Artikel VNSG Magazine Juni 2017 https://vnsg.eezine.nl/vnsgjuni2017/9
Interview & Tekst Teus Molenaar • Fotografie Jonas Briels
De Koning troont zijn bezoek op weg naar een spreekkamer door het grootste bakstenen kantoorpand van Nederland, De Inktpot in Utrecht. Tussen 1918 en 1921 gemetseld met 22 miljoen bakstenen. Het rijksmonument toont niet alleen aan de buitenkant indrukwekkend, maar evenzeer vanbinnen. Een kijkje omhoog in het acht verdiepingen hoge trappenhuis met zijn tientallen meters leegte is duizelingwekkend. Hij vertelt dat ProRail twee ICT-systemen heeft: eentje voor ‘het spoorse deel’ en een voor de kantoorautomatisering. Het SAP-systeem draait in het kantoorautomatiseringsnetwerk. De Koning is binnen de onderneming specifiek actief voor beveiliging van de gegevens binnen het SAP-systeem. “Natuurlijk speelt bij de taken van mijn ICT-collega’s beveiliging ook altijd een rol, maar ik ben de enige die de SAP-systemen veilig houdt.”
Best complex
“SAP heeft een verscheidenheid aan producten die ook nog eens onderling verweven zijn bij ons. Dat is best complex”, luidt De Konings understatement. “Je wilt er zeker van zijn dat alle attributen kloppen. Dat de beveiligingsregels die we ons zelf opleggen, worden nageleefd. Als we bijvoorbeeld eisen stellen aan de samenstelling van een wachtwoord, dan moet dat worden gecontroleerd. Hetzelfde geldt voor complianceafspraken; die moeten gewoon kloppen binnen de applicaties.” Ruim een jaar nu gebruikt hij daarvoor de tool Protect4S van het Nederlandse softwarebedrijf ERP-SEC. Hoe hij daar zo bij kwam? “In gesprekken met onze implementatiepartner The Next View kwam dit naar voren en ik had zelf op internet gesurft. Eigenlijk is deze tool de enige die deze functionaliteit biedt. Ik geloof dat er tegenwoordig ook een bedrijfje in Duitsland is dat zoiets doet, maar daar heb ik verder niet naar gekeken. Ben tevreden met dit gereedschap.”
“De tool loopt alles na, niet alleen de SAP-applicatiemodules, maar ook de database en het besturingssysteem”
Scan
Om na te gaan of alle regels goed worden nageleefd in de systemen, moet je alle SAP-notes nalopen en controleren. Er is een periode geweest dat De Koning daar iemand voor inhuurde om een deel van het systeem na te lopen. “Het werk was gewoon te veel voor me en een deel werd gewoon niet (goed genoeg) uitgevoerd.” Daarmee is meteen het antwoord gegeven op het voordeel van deze tool. “Het scheelt gewoon heel veel tijd, en daarmee geld. Bovendien weet je dat de scan goed gebeurt, omdat het automatisch is. Ik vind de tool zijn prijs wel waard.”
Normaal gesproken kost een scan ongeveer een uur. “Maar bij ons was het al in een kwartier gepiept. De tool loopt alles na, niet alleen de SAP-applicatiemodules, maar ook de database en het besturingssysteem. Bij ons gaat het dan trouwens om een Microsoft SQL-database. Het loopt de kwetsbaarheden na en geeft die aan, bovendien krijg je ook inzicht in de risico’s die je loopt als iets niet in orde is. En je krijgt suggesties om het op te lossen. Dan gaat het om fouten in de instellingen. Er zijn zo veel parameters waar je op moet letten; ik ben blij dat dit automatisch kan. De resultaten kun je importeren in Excel en vervolgens heb ik dan meteen een mooi rapport voor het management.”
Maarten de Koning van ProRail
De Koning voegt er aan toe dat hij de rapportages wel altijd naloopt. “Vooral omdat het je inzicht geeft in hoe de systemen ervoor staan. Hij scant overigens alleen de parameters, niet de code zelf. De missende security notes worden wel weergegeven, zodat je weet welke patches je moet toepassen.” De tool draait als add-on op SAP Solution Manager. “Die hebben we al, dus we hoefden niet extra software of hardware te kopen om met de tool aan de slag te kunnen.”
Cyclus
Tot nog toe is het gereedschap twee keer aan het werk gezet en is de derde keer al gepland. “Er zit nog wel wat tijd tussen, omdat het veel werk was de aanbevelingen van de eerste scan uit te voeren. Dat had wel wat voeten in de aarde. Natuurlijk is dat vooral het geval bij de eerste keer. De tweede scan leverde al minder werk op. De eerste keer hebben we trouwens een test in de zandbak uitgevoerd voordat we er echt mee aan de slag gingen.”
Uiteindelijk wil De Koning toe naar een cyclus waarbij hij de scan uitvoert, de verbeteringen aanbrengt en vervolgens weer een scan uitvoert. “Daar wil ik een regelmatig terugkerend patroon in krijgen.” Overigens is zo’n scan uitvoeren kinderlijk eenvoudig. “Daar heb je geen extra kennis voor nodig of zo. Het werkt heel eenvoudig.”
De Koning toont zich tevreden met deze oplossing. “Onze aannemers werken op ons platform, dan wil je dat de data beschermd zijn en dat zij veilig hun werk kunnen doen. We willen een betrouwbare partner zijn als het gaat om de punctualiteit van het treinverkeer, maar ook als het gaat om de inhoud van onze ICTsystemen.”
Prorail spoort
ProRail is verantwoordelijk voor het spoorwegnet van Nederland: aanleg, onderhoud, beheer en veiligheid. Het bedrijf verdeelt als onafhankelijke partij de ruimte op het spoor, regelt alle treinverkeer, bouwt en beheert stations en legt nieuwe sporen aan. Ten slotte onderhoudt de organisatie bestaande sporen, wissels, seinen en overwegen. Dit spoor moet betrouwbaar en in goede conditie blijven voor reizigers en vervoerders. Goed onderhoud is daarbij van groot belang. Enkele kerncijfers: Nederland telt 404 stations, 7219 km spoorlengte, 12.093 seinen, 2.368 overwegen, en 7.006 wissels. Er werken ruim vierduizend mensen bij het bedrijf.
ProRail en SAP
ProRail gebruikt de ERP-applicatie van SAP al sinds 1996. Inmiddels benut de onderneming SAP ECC. En in de loop der jaren is zij meerdere modules van de softwareleverancier gaan gebruiken. Zoals SAP EAM (Enterprise Asset Management) voor het plannen van vervangingen en groot onderhoud. Het bedrijf heeft met SAPUI5 interface een portal gebouwd, waardoor via de SAP ESB (Enterprise Service Bus) onderaannemers met dezelfde informatie en met dezelfde karakteristieken van een object werken. Op de lijst voorts onder meer SAP SRM (Supplier Relationship Management), SAP IM (Investment Management), SAP PLM (Product Lifecycle Management), SAP FICO (Financial Accounting and Control), Solutions Manager, en eHRM van de Duitse softwarebouwer. De financiële afdeling van ProRail bereidt nu de overgang naar S/4HANA voor.
