Voor iedere IT-verantwoordelijke staat het op de agenda: de modernisering of vervanging van verouderde IT-systemen. Dat blijkt uit onderzoek onder IT-beslissers dat MT samen met Proact en NetApp uitvoerde.
Veel van de geïnterviewde beslissers geven aan dat ze nog een lijstje verouderde applicaties of systemen hebben die ze het liefst zouden willen aanpakken. De uitdaging zit vaak in het hoe: sommige systemen zijn zo verweven met andere applicaties, databestanden of hardware, dat het updaten begint met het ontwarren van een nauwelijks ontwarbare kluwen.
Een groot spinnenweb
Ard van der Scheer, Head of Technology bij Zoover en Weeronline kan daarover meepraten. In het onderzoeksrapport vertelt hij dat het ontwarren van de verouderde systemen binnen zijn bedrijf lastig is. ‘Je moet je voorstellen dat de meeste systemen met elkaar verbonden zijn.’
Er zijn volgens hem te veel kruisverbanden om alles in één keer te vervangen. ‘Een tekening ervan ziet eruit als een spinnenweb. De beste oplossing is om de afhankelijkheden terug te brengen. Elk lijntje dat we doorknippen is een stap vooruit.’
Hoe pak je de uitdaging van legacy verstandig aan? Antwoord op vijf veelgestelde vragen over legacy.
1. Een legacy-systeem, wat is dat eigenlijk?
De term legacy suggereert dat het gaat om software die is overgeërfd uit het verleden. Het gaat om verouderde systemen, die om welke reden dan ook nog altijd gebruikt worden.
Het feit dat ze al jarenlang gebruikt worden, hoeft op zichzelf geen probleem te zijn – het valt te betogen dat zo’n systeem de tand des tijds heeft doorstaan en dus bewezen succesvol is. Maar voor IT brengen legacy-systemen, juist doordat ze verouderd zijn, vaak ook risico’s met zich mee.
2. Hoe erg is die verouderde software eigenlijk?
Dat hangt er van af, stelt Jeroen van Yperen Hagedoorn, business development manager bij Proact. ‘Legacy gaat pas pijn doen als het de risico’s van je organisatie vergroot. Neem applicaties die alleen werken op Windowsversies die niet meer door Microsoft worden ondersteund. Waarvoor geen updates, of patches meer verspreid worden. Dan neemt de kwetsbaarheid van de organisatie toe. Daar begint de echte pijn in je buik voor IT-verantwoordelijken.’
Tegelijk is er ook oude software waarvoor de urgentie om het te vervangen niet bestaat: ‘Juist de oudste systemen zijn van origine minder toegankelijk. Op Cobol-systemen kun je niet zo eenvoudig van buiten inpluggen. Doorgaans verzorgen die systemen iets wat tot de kern van de organisatie behoort. Je zult ze dan via verschillende lagen moeten isoleren om veilig te kunnen gebruiken.’
3. Valt het probleem van legacy definitief op te lossen?
Nee, zegt Van Yperen Hagedoorn. Immers, ‘de legacy-systemen dijen alleen maar uit. Systemen en software, zelfs van leveranciers als Azure, AWS of Google, zelfs applicaties die nog operationeel zijn, wordt al door sommige IT-ers beschouwd als legacy. Het hoofdpijndossier valt niet te sluiten. Legacy-software gaat nooit weg.’
Zijn collega Henk de Ruiter (public cloud solution architect bij ProAct) stelt dat indien de ene legacy-software is vervangen, de volgende legacy-software zich alweer aandient. Zelfs in de nog maar jonge public cloud zijn er applicaties die nu alweer tot legacy-software worden gerekend.’
4. Maar hoe moet je dat probleem dan wel aanpakken?
Voor de meeste ondervraagde IT-verantwoordelijken die MT sprak, staat legacy-software bovenaan de lijst met aan te pakken problemen. IT-beslissers hebben duidelijke keuzes te maken. Maar hoe?
Volgens Van Yperen Hagedoorn zijn er drie opties: ‘De software die je nu hebt moet je ofwel zien te beheersen, ofwel optimaliseren, ofwel accepteren zoals het is.’ Dit is deels een overweging van budget of tijd. Van sommige applicaties kun je besluiten om ze te laten voortbestaan, omdat de risico’s van gebruik binnen de perken zijn.
5. Legacy is dus een blijvende realiteit. Valt deze realiteit slimmer te managen?
Ja, stelt De Ruiter. ‘Het antwoord op de uitdaging van legacy-software is life cycle-management. Vakvolwassen IT-beslissers zijn de veroudering van hun software voor. Wie dat op orde heeft, heeft het minste last van legacy.’
‘Daarbij hoort assetmanagement en licentiemanagement’, vult Van Yperen Hagedoorn aan. ‘Met een goed overzicht van alles wat je hebt lopen in je organisatie, weet je ook waar je kwetsbaarheden kunt verwachten. Dat gaat verder dan weten wanneer licenties aflopen of welke patches niet langer worden geleverd. Het gaat ook om zicht op de apparatuur en applicaties die gekoppeld zijn aan elkaar.’
Dat kan lijken als ‘een ongelooflijke hooiberg’, maar hoe beter je zicht daarop is, des te beter je je aanpak kunt plannen en je prioriteiten kunt stellen. Wat je als IT-beslisser moet zien te overstijgen, is ad-hocbeleid.
‘Als je met een verlopen servicecontract wordt geconfronteerd, ben je te laat’, zegt Van Yperen Hagedoorn. ‘Dan zit je ineens met een urgent probleem. Zorg ervoor dat je in staat bent twee jaar vooruit te kijken. Dan kun je afspraken maken met hetzij je developers, hetzij je leveranciers voor infrastructuur of software.’
Dit artikel is onderdeel van het dossier ‘IT-security’ op mt.nl. Dit dossier wordt mogelijk gemaakt door Proact. Proact levert flexibele, toegankelijke en veilige IT-oplossingen en -diensten.