2015 02-25 CIP Modulair inkopen overheid
28
[email protected] www.hcderaad.nl Modulair inkopen CIP Practitionerbijeenkomst 25 februari 2015 UWV HC de Raad
-
Upload
hcderaad -
Category
Government & Nonprofit
-
view
67 -
download
1
Transcript of 2015 02-25 CIP Modulair inkopen overheid
Modulair inkopen
CIP Practitionerbijeenkomst
25 februari 2015
UWV
HC de Raad
Introductie
● Hans de Raad is een onafhankelijk ICT-specialist. Zijn ervaring met projectmanagement en consultancy gaat van (Rijksoverheid) via MKB tot internetstartups.
● Expert op het gebied van open source, security, privacy en open standaarden● Betrokken bij verschillende (internationale) samenwerkingsverbanden, waaronder
ENISA, Openforum en het forum Standaardisatie. ● Betrokkenheid bij verschillende departementale en interdepartementale aanbestedingen
waaronder – EASI2010,
– Onderhoud en ontwikkeling security systemen voor de (toenmalige) ministeries van BZK en Justitie,
– OT2010
– voorbereidingen voor een interdepartementale FMIS aanbesteding.
● Ook veel ervaring met interdepartementale samenwerkingsverbanden als P-direkt, Rijkspas en FMHaaglanden.
Aanbestedingen
● Uitgangspunt vaak uitbreiding van bestaande architectuur componenten– Zowel infrastructuur/systemen, als processen
● Vanuit “gesloten” omgevingen– Vendor lock-in
● MS verhoogt kosten support Windows XP met 100% *
– Intellectueel eigendom van producten● Eigendom klant of ontwikkelaar?
● Herbruikbaarheid aangeschafte producten vaak bijna niet mogelijk– Overdraagbaarheid van licenties/producten tussen leveranciers.
● Veel aandacht en tijd gaat naar afbakening van aansprakelijkheid– In plaats van naar concrete kwalitatieve product inhoud.
http://www.computerworld.com/article/2885759/microsoft-to-double-price-of-xps-post-retirement-support.html
ICT Systemen
● Zoals al eerder besproken in presentatie over Problemen bij IT aanbestedingen.– Vaak aanbesteedt als fysieke/logistieke infrastructuur
● Zoals wegen, bruggen, etc
– Weinig oog voor inpasbaarheid omliggende infrastructuur● Horizontale interoperabiliteit● In weg-, en waterbouw onontbeerlijk en standaard onderwerp
van inpassing
● Waarom dan bij ICT geen aandacht voor modulariteit?
(Minimaal) 3 dimensies ICT projecten
Organisatie Beleid
ICT omgeving
ICT Project
Probleemstelling
● Bepaling functionele scope ICT Project– Wat is leidend?
● Organisatie (Business), Beleid (Wet-, regelgeving), ICT infrastructuur (Legacy)?
● Wijzigingen in context van het project hebben invloed op scope van het project– Deze wijzigingen zijn onbeheersbaar vanuit het
project.
Modulair inkopen
● Een definitie:– “Bij een modulair productontwerp worden eindproducten
zodanig ontworpen dat bepaalde componenten in meerdere eindproducten kunnen worden gebruikt en dat de componenten pas op het laatst kunnen worden toegevoegd om zo het eindproduct te maken. Indien eindproducten modulair zijn opgebouwd, kunnen de modules efficiënt worden geproduceerd terwijl eindproducten op maat kunnen worden samengesteld.”
http://www.managementkennisbank.nl/NL/facilitair-productie-inkoop-advies/ketenintegratie-samenwerking/wat-waarom-ketenintegratie-scm
Europese Commissie
● Open Procurement (term door Open Forum Europe)– Uitwerking van EC ambitie
● “Against lock-in: building open ICT systems using standards”
● Principes
1)Interoperabiliteit van (modulaire) componenten als basiseis
2)Leveranciersonafhankelijkheid door open standaarden
3)Vooraf definiëren exit strategie bij initiële inkoop van product/dienst
4)Creëren van meer marktwerking, ook voor kleinere partijen
http://www.openforumeurope.org/openprocurement
UK overheid
● Interne micro competities in een pool van verschillende aanbieders per domein– Digital Services Store met 8 disciplines (inmiddels ruim 185 participerende leveranciers):
● software engineering and ongoing support● product development and service design● agile delivery management● front-end design and interaction design● content design and development● system administration and web operations● user research● embedding agile
– Framework wordt iedere 6 maanden geupdate aan de hand van ervaringen (agile)
https://gds.blog.gov.uk/2013/11/15/a-supplier-framework-for-building-digital-services/
Zweedse overheid
● Micro challenges/tenders in 4 IT domeinen– Door verschillende (helder gedefinieerde) percelen micro
aanbestedingen mogelijk, allen met dezelfde basisprincipes● Kantooromgevingen (office software, email, maar ook hardware, printers,
smartphones, etc)● IT support (management software, monitoring, deployment, etc)● Online services (document management, archiefbeheer)● Software ontwikkeling
– Basis principe: Open standaarden, interoperabiliteit en modulaire inkoop
http://avropa.se/topplankar/In-English/
USA Overheid
● Department of Homeland Security– Modulaire ICT projecten inkoop handleiding
● Doelstellingen– Voorkomen van langdurige ontwikkeltrajecten die ertoe leiden dat
systemen al voor invoering achterhaald zijn
– Snel in kunnen spelen op gewijzigde omstandigheden
– Minder afhankelijkheid van leveranciers door modulaire componenten
● Inmiddels best practise voor hele VS overheid.
http://www.whitehouse.gov/omb/procurement_index_memo/
Pianoo Micropercelen
● Oude argument: “Moeten groot inkopen ivm EU aanbestedingen”– Onzin. Enige eis is dat de scope van een aanbesteding uitlegbaar is (maw
gerelateerd aan of een functionele, of een organisatorische eis/omstandigheid).
● Voorbeelden vanuit Pianoo vooral gericht op fysieke infrastructuur (onderhoud weg-, en waterbouw).– Maar zeer goed vertaalbaar naar ICT.
● Veel aandacht voor aansluiting tussen de verschillende micropercelen (horizontale interoperabiliteit).
● In feite hetzelfde model als de UK en Zweden toepassen.
http://www.pianoo.nl/document/2668/handleiding-micropercelen
Forum Standaardisatie: Voorzieningen
● Standaard componenten die voldoen aan de “pas toe – of leg uit” open standaardenlijst.– Bevat open standaarden die door (Rijks)overheid gebruikt dienen te worden
voor diverse informatiedomeinen.
● Doelstelling om het gebruik van verschillende “proven technology” producten (open source) te stimuleren.– Kenmerk, meerdere aanbieders kunnen een specifieke Voorziening
aanbieden.
● Specifieke aandacht voor digitale duurzaamheid en open standaarden.
https://www.forumstandaardisatie.nl/themas/voorzieningen/
Beveiliging bij inkopen
● Er bestaan al diverse richtlijnen en handreikingen voor inkoop en security– ENISA
– CIP
– OSSTMM
● Ook de ARBIT en de aanbevelingen van de Commissie Elias geven handvatten.
ENISA Guidelines
● Secure ICT Procurement in Electronic Communications– Vaststellen van beveiligingsrichtlijnen bij inkoop voor keten gebaseerde
producten.● Ketens bestaan uit gelaagde, modulaire, producten/services.
● Security Guide for ICT Procurement– D1: Governance and risk management
– D2: Human resources security
– D3: Security of systems and facilities
– D4: Operations management
– D5: Incident management
– D6: Business continuity management
– D7: Monitoring, auditing and testing
ENISA Guidelines
● Diepgaande security eisen– Personeels management
– Continuity management
– Keten security management
● Enige overeenkomsten met ARBIT, echter dan primair vanuit security en resilience oogpunt opgesteld.
● Per geïdentificeerd risico worden een aantal mogelijke beheersingsmaatregelen gedefinieerd.
● ENISA heeft ook een aantal bestaande best practices gecombineerd:– UK, USA, India, Australie.
ARBIT
● Geeft ook handvatten voor modulair inkopen en interoperabiliteit.– Overdracht van IP bij specifiek voor Opdrachtgever ontwikkelde componenten (Artikel
8).● En Gebruiksrecht (Artikel 43 en 46 – overdracht).
– Gebreken van programmatuur in de samenwerking met andere programmatuur/apparatuur (Artikel 28).
– Deze rechten gelden ook voor maatwerk (Artikel 58)
● Ook handvatten voor security– Voornamelijk gericht op Personeel van Opdrachtnemer (Artikel 19) en screenings.
– Maar ook bij vervanging van personeels van Opdrachtnemer (Artikel 22) ivm continuiteit.
http://wetten.overheid.nl/BWBR0035022/geldigheidsdatum_11-04-2014#Bijlage1
Commissie Elias
● Reeds besproken:– Functioneel inkopen
– Project aansturing en wijzigingsmanagement
– Contract management● Geen “uur-factuur” tijdsinkopen, maar (modulaire)
prestaties/resultaten inkopen.
http://www.tweedekamer.nl/kamerleden/commissies/tcict
OSSTMM
● Beveiliging en risicobeheersing van interacties van componenten– Functionele modules
● Hoe kleiner een module, hoe beter deze te beveiligen.– En hoe eenvoudiger te valideren.
CIP Grip op beveiliging in inkoopcontracten
● Heeft nu ook een goede handreiking gedaan– Oa voor prestatie gericht inkopen
● Noodzaak om ook het wetgevingskader (ARBIT en Aanbestedingswet) hierop te toetsen.
● Toevoeging van modulair inkopen?
http://www.cip-overheid.nl/downloads/grip-op-ssd/
Projectmanagement
● Wat is de impact van modulair inkopen en ontwikkelen op project management?– Waterval
● Prince 2– Veel requirements vooraf– Lang “onder water” ontwikkelen
– Iteratief● Agile / Scrum, Lean, etc
– Veel losse functionele modules– Snelle oplevering van tussenproducten
Hoe doen bedrijven dit?
● Microsoft– Traditioneel “waterval”
● Problemen met verschuivende deadlines (Vista, Windows 8, etc)
– Helemaal overgestapt op Iteratief
● Google/Facebook/Twitter/etc/etc/etc– Iteratief vanaf het eerste begin.– Snel nieuwe functionaliteiten ontwikkelen en uitrollen.
– Werken vrijwel allen met Agile/Scrum projectmanagement modellen.
Architectuur principes en voordelen
● Beperkte, herbruikbare, onderling interoperabele modules– Snelle release van tussenproducten
– Herbruikbaarheid van componenten, ook wanneer overkoepelend project stopt kunnen anderen hiervan gebruik maken.
● Tussentijds bijsturen veel beter mogelijk wanneer componenten als (relatief) geïsoleerde units worden ontwikkeld.
● Risico op vendor lockin kleiner door intrinsieke impuls tot interoperabiliteit. – Vervanging van individuele modules heeft veel kleinere impact dan
vervanging volledig (monolithisch) systeem.
– Ook bij end-of-life van een van de modules.
Agile / BDD
● Uit de eerste presentatie over Inkoop problemen:– Agile/Scrum en BDD
● Iteratief ontwikkelmodel● Business value is uitgangspunt bij het definieren van een feature request.● Functional requirements worden beschreven in normale taal (begrijpelijk voor
alle stakeholders)● Sterke link met TDD (Test Driven Development) voor kwaliteitsbewaking.● De meest voorkomende development-,, en testmethodiek bij continuous
integration en continuous deployment
– Continuous Integration en Deployment● Altijd, op ieder moment van de ontwikkelfase van een project in staat zijn om
een werkende versie van de programmatuur te kunnen deployen.● Continu, na iedere wijziging (commit), geautomatiseerd uitvoeren van testsuites.
Agile / BDD
● Voor inkopers tot dusver wellicht vreemd.– Lijkt op time boxed inkopen
● Iteraties kennen doorgaans een vaste doorlooptijd
– Kan ook prestatie-gericht worden ingekocht● Per feature request of module kan worden ingekocht
– Door functionele requirements te koppelen aan business processen is er een sterke link met het organisatorisch nut.
● Prettig voor acceptatie testing.
Mag Prince2 dan helemaal niet meer?
● PRINCE2 (PRojects IN Controlled Environments)– It's all in the name, de omgeving is namelijk doorgaans
niet statisch, noch gecontroleerd....
● Maar op zich wel, want ook daarmee is modulaire/gefaseerde ontwikkeling mogelijk.– Wel extra aandacht voor wijzigende scope/requirements.
– De Prince2 methodiek leent zich daar niet goed voor.
● Gevaar bestaat tijdens “Onder water” ontwikkelen– Zoals bij reguliere Prince2 projecten veel voorkomt.
Modulair inkopen en de cloud?
● Microservices– Cloudservices zijn vrijwel altijd gericht op modulair
gebruik (en hergebruik en interoperabiliteit).
● Component based– Kleine services vormen samen een veel bredere
functionele dienst.
● Nog wel veel winst te behalen– Met name SaaS, PaaS en IaaS modellen zijn nog sterk
vendor specifiek.
