Blogs
& video

De (unieke) uitrol van Microsoft 365 bij overheden

10 stappen volgens onze expert Just Spoor

Hoe ziet de stapsgewijze uitrol van Microsoft 365 eruit bij overheden? Het antwoord wordt gegeven door Just Spoor, één van onze Business Security Consultants en tevens analist op het gebied van Data Privacy. Zijn mening is echter dat er geen ‘one size fits all’ stappen bestaan, omdat elke overheidsinstelling een andere reden heeft om te migreren naar een cloudomgeving of bijvoorbeeld al in een bepaalde volwassenheidsfase is aanbeland. Toch wist hij 10 stappen te benoemen.

“Belangrijk bij het onboarden van elke SaaS-dienst binnen overheden, zoals Microsoft 365, is dat mogelijke risico’s vooraf goed worden ingeschat. Er moet altijd rekening gehouden worden met de privacy van burgers en medewerkers en daarmee de security van alle data. Mijn ervaring is dat het stapsgewijs volgen van eigen processen, maar ook het overtuigen van interne stakeholders, uitdagend is voor overheden: technologie evolueert razendsnel en de beschikbare capaciteit en kennis is niet altijd voorhanden. Dat is waar wij overheden bij helpen en niet alleen op het gebied van Microsoft”, vertelt Just.

Hoewel elke overheidsinstelling dus uniek is, heeft Just tien stappen benoemd die in de meeste gevallen gelden:

Stap 1: het uitgebreid inventariseren van behoeften en doelen

Het uitgebreid inventariseren van behoeften en doelen is altijd het startpunt: de businesscase moet duidelijk zijn. Het kan bij overheden bijvoorbeeld gaan om kostenbesparing, het verbeteren van het contact met burgers, of het nog veiliger samenwerken met applicaties zoals bijvoorbeeld Teams. “We steken in het voortraject veel energie, om de slagingskans achteraf te vergroten.”

Stap 2: verdieping in de businesscase – wensen en risico analyse

Binnen overheidsinstellingen is er vaak sprake van een groot aantal stakeholders. Dit is wat Just erover vertelt: “Je kunt pas een implementatieplan gaan maken als je niet alleen de business eigenaar gesproken hebt, maar ook alle betrokkenen. Alle wensen, maar ook de mogelijke risico’s, moeten bekend zijn en vooraf worden doorgesproken. Uit ervaring weet ik dat deze verdieping er ook voor zorgt dat je mensen ontmoet die je op een later moment verder kunnen helpen.”

Stap 3: het vormen van een kernteam/projectgroep

Als er wederzijds commitment is over de businesscase en het te behalen resultaat dan is de tijd gekomen om een team te vormen. Projectmanagers, informatiemanagers, de CISO, business analisten, architecten, privacy security officers, hr- en financiële managers zijn in veel gevallen nodig om de uitrol van Microsoft 365 mogelijk te maken. “Belangrijk is dat Rubicon ook kennis kan inbrengen, bijvoorbeeld in de vorm van innovatiespecialisten op het gebied van data, integratie, development en business applicaties. Naast advies leveren we vaak ook capaciteit.”

Stap 4: ontwerp en advies

De requirements zijn helder en er is een team gevormd met wederzijds commitment. Vervolgens is het aan de architect van Rubicon om een ontwerp te maken en advies uit te brengen. Dat advies is altijd voorzien van een bewezen SaaS leidraad in de vorm van een Microsoft Cloud Adoption Framework. Dat houdt onder andere in dat het advies gevoed is met een Security risico analyse, een Business impact assessment, een Data protection assessement inclusief een Privacy analyse. Kortom, het totale plaatje om zowel de technische als menselijke impact te begrijpen en te overzien. “Na grofweg deze vier stappen zal gevraagd worden om Rubicon de opdracht te gunnen.”

Stap 5: het maken van een implementatieplan

De gunning is gegeven. Er wordt een implementatieplan gemaakt waarin de verschillende rollen en verantwoordelijkheden beschreven staan, maar ook de tijdlijn voor de implementatie en een beschrijving van wijzigingen die aan de bestaande infrastructuur nodig zijn. Ook zal in veel gevallen al nagedacht worden hoe de communicatie met medewerkers gaat plaatsvinden (het voor-informeren van hetgeen in aantocht is). “Hoe eerder je gebruikers betrekt, hoe sneller er ook acceptatie is van de beoogde verandering.”

Stap 6: het controleren van de infrastructuur

Om Microsoft 365 te implementeren, of delen daarvan, zal de IT-infrastructuur gereed moeten zijn. We controleren in deze fase bijvoorbeeld op recent geïnstalleerde software updates, de mate van netwerkbeveiliging maar ook of op het gebied van privacy en andere wet- en regelgeving alles klopt.

Stap 7: het gereed maken van alle apps en tools

Na het controleren en veilig inrichten van de infrastructuur wordt begonnen met het configureren en implementeren van apps en tools. “Afhankelijk van de klant is elk implementatieplan anders. Het kan bijvoorbeeld gaan over het veilig inrichten van Teams, voor zowel interne- als externe gebruikers, maar ook over het implementeren van Exchange Online of SharePoint Online. Binnen overheden zorgen we ook voor veilig e-mailen, waarbij geen bijlagen (attachments) worden verzonden, maar een URL voorzien van authenticatie.”

Stap 8: het testen en valideren van de implementatie

Voorafgaand aan elke livegang worden tests gedaan om te controleren of alle apps en tools voor de gebruikers goed werken. “Daarbij controleren we of gebruikers toegang hebben tot alle functionaliteiten die zij mogen gebruiken, maar doen we ook extra checks of de data goed beveiligd is. Overheden kunnen zich een datalek niet permitteren.” Het kernteam/de stuurgroep geeft vervolgens akkoord voor de livegang.

Stap 9: het trainen van gebruikers

In de meeste gevallen is er additionele training nodig. Medewerkers van overheidsinstellingen wordt eerst aangeleerd hoe ze veilig en efficiënt met verschillende apps en tools kunnen werken. De nadruk ligt daarbij ook altijd op databeveiliging. “Als er veel training gewenst is dan doen we dat gedurende een bepaalde periode met kleinere groepen, zodat er ook ruimte is om vragen te stellen.”

Stap 10: livegang en overdracht

Voor de livegang wordt er altijd een moment gekozen waarop de continuïteit van werkzaamheden niet verstoord wordt. Vaak gebeurt dat in het weekend of in de avonduren. Overheden mogen immers niet stilvallen. Vervolgens vindt ook de overdracht plaats, waarin onder andere bepaald wordt of er nog nazorg nodig is. “Ook als er langdurig of tijdelijk beheer nodig is kunnen overheidsinstellingen bij ons terecht.”

Zijn we er dan?

Nee, want na stap 10 begint het pas. Er zal, zeker in de beginperiode, veel contact zijn om vragen te beantwoorden, extra training uit te voeren, maar vooral ook om te controleren of de vooraf gestelde doelen behaald zijn. “Verbeterpunten zijn er altijd, dat maakt dit vak juist zo ontzettend leuk”, sluit Just af.