Bij haar oprichting (1 april 2011) moest de Autoriteit voor Financiële Diensten en Markten FSMA (voorheen CBFA) zich de informatica opnieuw eigen maken die tot dan toe gezamenlijk werd beheerd met de Nationale Bank van België. De keuze viel op een gedeeltelijke outsourcing bij NRB. De eerste lessen na enkele contractmaanden.

In het kader van de hervorming van het financieel toezicht in België werd een bipolair controlemodel ingevoerd (bekend onder de naam Twin Peaks) met enerzijds de Nationale Bank die instaat voor het prudentiële toezicht op de banken, verzekeringsmaatschappijen en beursvennootschappen, en anderzijds de FSMA (Autoriteit voor Financiële Diensten en Markten), die de opvolger is van de CBFA en instaat voor de bescherming van de consument, de integriteit van de markten en de controle op de financiële producten en gedragsregels, met dus een reeks nieuwe vaardigheden die deels nieuw zijn.

Toen het project eind 2010 vorm begon te krijgen, werkten de CBFA en de NBB samen op informaticavlak. De infrastructuur werd immers geïnstalleerd bij de NBB en door haar beheerd in het kader van een sla, terwijl de applicatieontwikkelingen intern gebeurden.

Outsourcing

Eind 2010 ging er een grootschalig denkproces van start. “Al zeer snel werd duidelijk dat het weinig efficiënt was om het beheer van de informatica-infrastructuur intern te blijven beheren”, aldus Tom Plasschaert, adjunct-directeur die instaat voor ict. Dit komt vooral door de geringe omvang van het it-team, waarvoor we trouwens nog altijd op zoek zijn naar kwaliteitsvolle medewerkers. Het andere uiterste was dat we een volledige outsourcing met sla’s zouden overwegen. Uiteindelijk hebben we gekozen voor een middenweg, die de naam partial ict outsourcing kreeg.” Bij dit denkproces werd een externe consultant betrokken.

Na een ‘request for information’ waren er nog 18 kandidaten over en werd er een ‘request for proposal’ verstuurd waarin het project meer gedetailleerd beschreven werd. In de zomer van 2011 hadden we 12 kandidaturen binnen. Daarna werd een versie 2 van het lastenboek opgemaakt, met als deadline oktober 2011, waarop 5 bedrijven hebben geantwoord. De nadruk ligt vooral op de volgende punten: men moet een servicecatalogus kunnen waarborgen die intern door de FSMA geüpdatet wordt met precieze sla’s; de regels en verantwoordelijkheden van elke partij zijn duidelijk bepaald; de dienstverlener moet instaan voor de productie op een infrastructuur die toebehoort aan de FMSA, met duidelijke doelstellingen en sancties; en de FSMA neemt de lead met betrekking tot de omgevingen voor de ontwikkeling, testing en ‘user acceptance’. Elementen zoals vertrouwelijkheid, integriteit en beschikbaarheid werden ook belicht.

Tot slot kregen 3 kandidaten de kans om een mondelinge presentatie te houden en 2 van hen werden in december 2011 geselecteerd. Uiteindelijk sleepte de NBB het ondertekende contract eind januari 2012 in de wacht.

Partnerschap

“Aangezien de NBB volop bezig was met de virtualisatie van haar infrastructuur, kozen we voor een ‘don’t move, but rebuild from scratch’-aanpak”, legt Johan Vanhaverbeke, consultant en verantwoordelijke van het picto-project uit (partial ict outsourcing). Met andere woorden, de vorming van een privécloud met virtualisatie en dmz. Enkele andere ontwerpprincipes van de infrastructuur die Vanhaverbeke noemt, zijn standaardisatie op Microsoft Windows (terwijl de NBB zeker andere OS gebruikt), SQL Server dat de voorkeur kreeg op die andere OS (wat een migratie met zich meebracht) en een dual firewall. “We ontwierpen een referentieconfiguratie op basis van de infrastructuur van de NBB, door vooruit te lopen op de evolutie van de komende 6 jaar.” Bovendien moet het partnerschap voorzien in een capaciteit die kan variëren van minstens 75 % tot hoogstens 150 %.

Andere belangrijke criteria zijn het aspect no single point of failure, waarbij gebruik wordt gemaakt van een dubbel datacenter met synchrone replicatie (alleen de managementtool wordt gedeeld) met het oog op integriteit, beschikbaarheid en (eventueel) disaster recovery, en fysieke veiligheid en zelfs een off-site vaulting.

Er werd trouwens besloten om over te gaan tot een migratie van het type ‘functional as-is’ (behalve voor de overstap naar SQL Server natuurlijk), rekening houdend met de krappe deadlines. Het project ging wel gepaard met een Windows-upgrade en een aanpassing van de Active Directory.

De migratie was eind september 2012 klaar, zoals gepland. Het contract loopt over 6 jaar (met benchmarking na 3 jaar).

Lessen

Verwijzend naar de lessons learned is Tom Plasschaert van mening dat de keuze van een goed partnerschap van essentieel belang is. “De toekenning van het contract aan de NBB is het resultaat van een gedetailleerde selectieprocedure en we zijn tevreden met onze keuze. Als je met strakke deadlines zit, zoals in ons geval, moet je een vertrouwenrelatie opbouwen en een partner kiezen die je cultuur begrijpt en je filosofie deelt. Procedures zijn natuurlijk nodig, maar ook een partner die met je meedenkt als organisatie en oplossingen aanreikt.”

“In plaats van over een partial ict outsourcing heb ik het liever over een partner ict outsourcing”, benadrukt Johan Vanhaverbeke. Hij wijst er nog op dat de migratie van de NBB naar NRB perfect “transparant voor gebruikers is verlopen. Er werd een goed evenwicht gevonden tussen de gevraagde garanties en wederzijds vertrouwen.”

Willy van Mechelen, director public & social sector bij NRB, herinnert eraan dat NRB zich vooral richt tot organisaties van een bepaalde omvang die voornamelijk actief zijn in de financiële sector, nutsvoorzieningen, de industrie en de openbare sector. Hij legt de nadruk op de ingevoerde catalogus (die steeds vaker is terug te vinden bij de klanten), op de geboden flexibiliteit en op de continuïteit bij de partners die betrokken zijn in dit contract.

Marc Husquinet