💼 Management Samenvatting
Legacy system assessment vormt een kritieke fase in het migratieproces voor Nederlandse overheidsorganisaties die verouderde systemen naar Azure willen migreren. Door uitgebreide beoordeling van legacy systemen kunnen organisaties technische schuld identificeren, migratierisico's bepalen, kostenramingen maken en weloverwogen beslissingen nemen over modernisering versus lift-and-shift strategieën, waardoor migratiesucces wordt gemaximaliseerd en operationele risico's worden geminimaliseerd.
Aanbeveling
IMPLEMENTEER
Risico zonder
High
Risk Score
8/10
Implementatie
70u (tech: 40u)
Van toepassing op:
✓ Legacy on-premises systemen
✓ Verouderde applicaties
✓ Legacy databases
✓ Mainframe systemen
✓ Legacy netwerkapparatuur
✓ Verouderde applicaties
✓ Legacy databases
✓ Mainframe systemen
✓ Legacy netwerkapparatuur
Het ontbreken van een grondige assessment van legacy systemen voordat migraties worden gestart vormt een significant risico voor elke organisatie die verouderde workloads naar Azure wil migreren. Zonder adequate assessment kunnen organisaties niet begrijpen welke technische uitdagingen legacy systemen met zich meebrengen, welke beveiligingsrisico's bestaan, wat de verwachte kosten zijn voor migratie en onderhoud, en welke compliance-implicaties de migratie heeft. Dit kan leiden tot mislukte migraties, onverwachte kosten, beveiligingslekken, niet-naleving van compliance-vereisten en aanzienlijke vertragingen in het migratieproces. Voor Nederlandse overheidsorganisaties is dit onacceptabel, aangezien legacy systemen vaak kritieke diensten betreffen en moeten voldoen aan strikte eisen zoals vastgelegd in de Baseline Informatiebeveiliging Overheid (BIO), de NIS2 richtlijn en de Algemene Verordening Gegevensbescherming (AVG). Legacy system assessment lost deze problemen op door gestructureerde analyse te bieden van verouderde systemen, waarbij wordt gekeken naar technische architectuur, afhankelijkheden, beveiligingspostuur, compliance-status, operationele complexiteit en migratiereadiness. De assessment identificeert technische schuld, verouderde technologieën, ontbrekende documentatie, complexe afhankelijkheden en beveiligingskwetsbaarheden die moeten worden aangepakt voordat migratie kan plaatsvinden. Bovendien biedt legacy system assessment inzicht in de kosten van migratie versus de kosten van het behouden van legacy systemen, waardoor organisaties weloverwogen beslissingen kunnen nemen over modernisering versus lift-and-shift strategieën. Door deze uitgebreide assessment uit te voeren voordat migraties worden gestart, kunnen organisaties weloverwogen beslissingen nemen, risico's identificeren en mitigeren, en realistische migratieplannen ontwikkelen die aansluiten bij de business doelen en compliance-vereisten van de organisatie.
PowerShell Modules Vereist
Primary API: Azure API
Connection:
Required Modules: Az.Accounts, Az.Resources
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Resources
Implementatie
De implementatie van legacy system assessment omvat het uitvoeren van gestructureerde analyses van verouderde systemen, waarbij wordt gekeken naar verschillende aspecten zoals technische architectuur, afhankelijkheden, beveiligingspostuur, compliance-status, operationele complexiteit en migratiereadiness. Het assessment-proces begint met inventarisatie van alle legacy systemen in de omgeving, waarbij wordt gedocumenteerd welke systemen bestaan, welke technologieën worden gebruikt, welke afhankelijkheden er zijn en welke businessfuncties worden ondersteund. Vervolgens worden gedetailleerde technische analyses uitgevoerd die kijken naar de architectuur van legacy systemen, de gebruikte programmeertalen, frameworks en databases, de netwerkconfiguraties en integraties met andere systemen. Beveiligingsanalyses identificeren kwetsbaarheden, verouderde beveiligingsmaatregelen, ontbrekende patches en compliance-problemen die moeten worden aangepakt. Afhankelijkheidsanalyses brengen in kaart hoe legacy systemen met elkaar verbonden zijn en welke systemen samen moeten worden gemigreerd. Operationele analyses kijken naar de complexiteit van het beheer van legacy systemen, de beschikbaarheid van expertise, de kosten van onderhoud en de risico's van het behouden van verouderde technologieën. Op basis van deze analyses worden migratierecommendaties gegenereerd die aangeven welke systemen geschikt zijn voor migratie, welke modernisering vereisen, welke moeten worden vervangen en welke kunnen blijven zoals ze zijn. De assessment-resultaten worden gepresenteerd in gedetailleerde rapportages die organisaties helpen om weloverwogen beslissingen te nemen over migratiestrategieën, budgetten te bepalen, risico's te identificeren en mitigeren, en stakeholders te informeren over de verwachte impact van de migratie.
Vereisten
Voor het succesvol implementeren van legacy system assessment zijn specifieke technische, organisatorische en expertisevereisten noodzakelijk. Deze vereisten vormen de fundamentele basis voor een succesvolle assessment en zijn essentieel om te kunnen voldoen aan compliance-vereisten zoals vastgelegd in de Baseline Informatiebeveiliging Overheid, de NIS2 richtlijn en andere relevante wet- en regelgeving. Organisaties die deze vereisten niet volledig begrijpen of implementeren, lopen het risico dat zij niet beschikken over adequate assessment-capaciteit en niet kunnen voldoen aan de eisen voor weloverwogen migratieplanning. De primaire organisatorische vereiste voor legacy system assessment is toegang tot alle relevante informatie over legacy systemen. Dit omvat technische documentatie zoals architectuurdiagrammen, configuratiebestanden, database-schema's en applicatiecode, operationele documentatie zoals runbooks, incidentrapporten en wijzigingshistorie, en business documentatie zoals functionele specificaties, procesbeschrijvingen en afhankelijkheidsanalyses. Organisaties moeten ervoor zorgen dat alle relevante documentatie beschikbaar is en dat beheerders, ontwikkelaars en businesseigenaren beschikbaar zijn voor interviews en workshops waarin legacy systemen worden besproken. Het ontbreken van adequate documentatie of toegang tot relevante stakeholders kan leiden tot onvolledige assessments die belangrijke aspecten van legacy systemen over het hoofd zien, wat kan resulteren in onnauwkeurige migratierecommendaties en onverwachte problemen tijdens migraties. Naast toegang tot documentatie zijn specifieke expertisevereisten noodzakelijk voor het uitvoeren van legacy system assessments. Assessment-teams moeten beschikken over expertise in legacy technologieën zoals mainframe systemen, verouderde programmeertalen zoals COBOL, Fortran of assembler, legacy databases zoals IMS, DB2 of Oracle versies die niet langer worden ondersteund, en verouderde netwerkprotocollen en integratietechnologieën. Daarnaast moeten assessment-teams beschikken over expertise in moderne cloudtechnologieën zoals Azure services, migratietools en moderniseringsstrategieën, zodat zij weloverwogen aanbevelingen kunnen doen over hoe legacy systemen kunnen worden gemigreerd of gemoderniseerd. Voor Nederlandse overheidsorganisaties is het vaak nodig om externe expertise in te schakelen, omdat interne teams mogelijk niet beschikken over de benodigde kennis van legacy technologieën of omdat de omvang van de assessment te groot is voor interne teams alleen. Technische vereisten omvatten toegang tot legacy systemen voor het uitvoeren van technische analyses. Dit kan betekenen dat assessment-teams toegang nodig hebben tot productieomgevingen, testomgevingen of kopieën van legacy systemen waarin analyses kunnen worden uitgevoerd zonder impact op productie. Voor systemen die niet direct toegankelijk zijn, kunnen assessment-teams gebruik maken van documentatie, configuratiebestanden en interviews met beheerders om inzicht te krijgen in de technische architectuur en configuratie. Daarnaast kunnen assessment-tools worden gebruikt voor het automatisch analyseren van code, databases en configuraties, waarbij patronen worden geïdentificeerd die wijzen op technische schuld, beveiligingskwetsbaarheden of migratie-uitdagingen. Organisaties moeten ervoor zorgen dat assessment-teams de juiste toegangsrechten hebben en dat security- en compliance-vereisten worden nageleefd tijdens het uitvoeren van assessments. Voor het documenteren en analyseren van assessment-resultaten zijn tools en processen nodig voor het beheren van assessment-data, het genereren van rapportages en het bijhouden van actie-items. Dit kan betekenen dat organisaties assessment-managementtools moeten implementeren, dat gestandaardiseerde templates moeten worden gebruikt voor het documenteren van bevindingen, en dat processen moeten worden geïmplementeerd voor het reviewen en goedkeuren van assessment-resultaten. Organisaties moeten ervoor zorgen dat assessment-resultaten centraal worden beheerd en dat alle relevante stakeholders toegang hebben tot de informatie die zij nodig hebben voor migratieplanning. Het is cruciaal te realiseren dat zonder de juiste organisatorische, expertise- en technische vereisten legacy system assessment niet correct kan functioneren en organisaties niet kunnen voldoen aan de eisen voor weloverwogen migratieplanning. Het ontbreken van adequate assessment-capaciteit kan leiden tot mislukte migraties, onverwachte kosten, beveiligingslekken en niet-naleving van compliance-vereisten. Daarom moeten organisaties ervoor zorgen dat alle vereisten volledig zijn geïmplementeerd voordat zij afhankelijk worden van legacy system assessment voor migratieplanning.
Implementatie
Gebruik PowerShell-script legacy-assessment.ps1 (functie Invoke-Remediation) – Ondersteunt het legacy system assessment-proces door inventarisatie, analyse en rapportage van verouderde systemen volgens de Nederlandse Baseline voor Veilige Cloud..
De implementatie van legacy system assessment vereist een gestructureerde aanpak die begint met inventarisatie van alle legacy systemen in de omgeving, gevolgd door gedetailleerde technische, beveiligings- en operationele analyses, en het genereren van migratierecommendaties op basis van de assessment-resultaten. Hoewel legacy system assessment een arbeidsintensief proces is, is het essentieel om de implementatie zorgvuldig te plannen en uit te voeren om ervoor te zorgen dat alle relevante aspecten van legacy systemen adequaat worden beoordeeld en dat assessment-resultaten aansluiten bij de migratiedoelen van de organisatie. Het ontbreken van deze planning kan leiden tot situaties waarin assessments niet correct zijn uitgevoerd, waardoor migratierecommendaties onnauwkeurig zijn of belangrijke aspecten van legacy systemen over het hoofd worden gezien. De eerste stap in het implementatieproces is het uitvoeren van een complete inventarisatie van alle legacy systemen in de omgeving. Dit omvat het identificeren van alle applicaties, databases, servers, netwerkapparatuur en andere systemen die als legacy worden beschouwd, waarbij wordt gedocumenteerd welke systemen bestaan, welke technologieën worden gebruikt, welke businessfuncties worden ondersteund en welke afhankelijkheden er zijn. Organisaties moeten een gestandaardiseerde inventarisatie-template gebruiken die alle relevante informatie vastlegt, zoals systeemnaam, eigenaar, technologie-stack, versienummers, afhankelijkheden, business-kritikaliteit en migratieprioriteit. De inventarisatie kan worden uitgevoerd door interviews met beheerders en businesseigenaren, door het analyseren van configuratiebestanden en documentatie, en door het gebruik van automatische discovery-tools die systemen identificeren en categoriseren. Na het voltooien van de inventarisatie moet een prioritering worden gemaakt van welke systemen het eerst moeten worden beoordeeld, waarbij wordt gekeken naar business-kritikaliteit, migratieprioriteit, technische complexiteit en beschikbaarheid van informatie. Vervolgens moeten gedetailleerde technische analyses worden uitgevoerd voor elk legacy systeem. Deze analyses kijken naar de architectuur van legacy systemen, de gebruikte programmeertalen, frameworks en databases, de netwerkconfiguraties en integraties met andere systemen. Technische analyses identificeren technische schuld, verouderde technologieën, ontbrekende documentatie, complexe afhankelijkheden en architecturale problemen die moeten worden aangepakt voordat migratie kan plaatsvinden. Organisaties moeten gestandaardiseerde technische assessment-templates gebruiken die alle relevante technische aspecten vastleggen, zoals architectuurpatronen, codekwaliteit, database-structuren, integratiepunten en technische beperkingen. Voor systemen met beschikbare code kunnen code-analyse-tools worden gebruikt voor het automatisch identificeren van patronen die wijzen op technische schuld, beveiligingskwetsbaarheden of migratie-uitdagingen. Voor systemen zonder beschikbare code of documentatie moeten technische analyses worden uitgevoerd op basis van interviews met beheerders en ontwikkelaars, configuratiebestanden en runtime-observaties. Beveiligingsanalyses vormen een essentieel onderdeel van legacy system assessment en identificeren kwetsbaarheden, verouderde beveiligingsmaatregelen, ontbrekende patches en compliance-problemen die moeten worden aangepakt. Beveiligingsanalyses kijken naar authenticatie- en autorisatiemechanismen, encryptie-implementaties, netwerkbeveiliging, toegangscontroles en compliance-status. Organisaties moeten gestandaardiseerde beveiligingsassessment-templates gebruiken die alle relevante beveiligingsaspecten vastleggen, zoals beveiligingscontroles, kwetsbaarheden, compliance-gaps en beveiligingsaanbevelingen. Voor systemen met beschikbare code kunnen beveiligingsscan-tools worden gebruikt voor het automatisch identificeren van bekende kwetsbaarheden en beveiligingsproblemen. Voor systemen zonder beschikbare code moeten beveiligingsanalyses worden uitgevoerd op basis van configuratiebestanden, netwerkobservaties en interviews met beveiligingsteams. Afhankelijkheidsanalyses brengen in kaart hoe legacy systemen met elkaar verbonden zijn en welke systemen samen moeten worden gemigreerd. Deze analyses identificeren data-afhankelijkheden, functionele afhankelijkheden en operationele afhankelijkheden tussen systemen, waardoor organisaties kunnen begrijpen welke systemen samen moeten worden gemigreerd en welke migratievolgorde optimaal is. Organisaties moeten gestandaardiseerde afhankelijkheidsassessment-templates gebruiken die alle relevante afhankelijkheden vastleggen, zoals dataflows, API-calls, gedeelde databases en operationele processen. Voor systemen met beschikbare code kunnen dependency-analyse-tools worden gebruikt voor het automatisch identificeren van afhankelijkheden. Voor systemen zonder beschikbare code moeten afhankelijkheidsanalyses worden uitgevoerd op basis van documentatie, configuratiebestanden en interviews met beheerders en ontwikkelaars. Operationele analyses kijken naar de complexiteit van het beheer van legacy systemen, de beschikbaarheid van expertise, de kosten van onderhoud en de risico's van het behouden van verouderde technologieën. Deze analyses identificeren operationele uitdagingen, skills-gaps, onderhoudskosten en operationele risico's die moeten worden aangepakt. Organisaties moeten gestandaardiseerde operationele assessment-templates gebruiken die alle relevante operationele aspecten vastleggen, zoals beheercomplexiteit, beschikbare expertise, onderhoudskosten en operationele risico's. Operationele analyses moeten worden uitgevoerd op basis van interviews met operationele teams, incidentrapporten, wijzigingshistorie en kostenanalyses. Op basis van alle uitgevoerde analyses moeten migratierecommendaties worden gegenereerd die aangeven welke systemen geschikt zijn voor migratie, welke modernisering vereisen, welke moeten worden vervangen en welke kunnen blijven zoals ze zijn. Migratierecommendaties moeten worden gebaseerd op een gestructureerde beslissingsmatrix die kijkt naar technische haalbaarheid, business-kritikaliteit, migratiekosten, beveiligingsrisico's en compliance-vereisten. Organisaties moeten gestandaardiseerde migratierecommendatie-templates gebruiken die alle relevante aanbevelingen vastleggen, zoals migratiestrategie, geschatte kosten, geschatte tijdlijn, risico's en mitigatiemaatregelen. Migratierecommendaties moeten worden gereviewd en goedgekeurd door relevante stakeholders, inclusief businesseigenaren, technische teams, beveiligingsteams en compliance-officers. Tot slot moeten assessment-resultaten worden gedocumenteerd en gepresenteerd in gedetailleerde rapportages die organisaties helpen om weloverwogen beslissingen te nemen over migratiestrategieën, budgetten te bepalen, risico's te identificeren en mitigeren, en stakeholders te informeren over de verwachte impact van de migratie. Assessment-rapportages moeten een executive summary bevatten met de belangrijkste bevindingen en aanbevelingen, gedetailleerde technische analyses, beveiligingsbevindingen, afhankelijkheidsanalyses, operationele analyses en migratierecommendaties. Organisaties moeten ervoor zorgen dat assessment-rapportages centraal worden beheerd en dat alle relevante stakeholders toegang hebben tot de informatie die zij nodig hebben voor migratieplanning.
Monitoring
Gebruik PowerShell-script legacy-assessment.ps1 (functie Invoke-Monitoring) – Monitort de voortgang van legacy system assessments en rapporteert over voltooide assessments, openstaande actie-items en migratiereadiness-status..
Effectieve monitoring van legacy system assessment is essentieel om te waarborgen dat assessments correct worden uitgevoerd en dat organisaties altijd beschikken over actuele assessment-resultaten die essentieel zijn voor migratieplanning. Zonder uitgebreide monitoring kunnen organisaties niet garanderen dat alle relevante legacy systemen worden beoordeeld, dat assessment-resultaten actueel blijven, en dat er geen problemen zijn met het assessment-proces die kunnen leiden tot onvolledige of verouderde assessment-resultaten. Monitoring omvat het continu volgen van de voortgang van assessments, het verifiëren dat alle relevante systemen worden beoordeeld, het controleren van de kwaliteit van assessment-resultaten, en het waarborgen dat migratierecommendaties actueel blijven en aansluiten bij de huidige staat van legacy systemen. De basis van monitoring wordt gevormd door regelmatige verificatie van de voortgang van assessments via assessment-managementtools of via gestructureerde statusrapportages. Beheerders moeten wekelijks controleren welke legacy systemen zijn geïnventariseerd, welke systemen zijn beoordeeld, welke assessments nog openstaan, en of er problemen zijn met het assessment-proces die moeten worden opgelost. Deze verificatie kan worden geautomatiseerd via assessment-managementtools die de voortgang van assessments bijhouden en waarschuwingen genereren wanneer assessments achterlopen, wanneer bepaalde systemen niet zijn beoordeeld, of wanneer er problemen zijn gedetecteerd. Het is belangrijk om deze verificaties regelmatig uit te voeren, omdat legacy system assessments vaak langdurige processen zijn die maanden kunnen duren, en omdat het essentieel is om ervoor te zorgen dat assessments op schema blijven en dat alle relevante systemen worden beoordeeld. Naast het controleren van de voortgang moeten organisaties regelmatig verifiëren dat assessment-resultaten actueel blijven en aansluiten bij de huidige staat van legacy systemen. Legacy systemen kunnen wijzigen door configuratiewijzigingen, upgrades, patches of andere wijzigingen die de assessment-resultaten kunnen beïnvloeden. Organisaties moeten processen implementeren voor het regelmatig bijwerken van assessment-resultaten, waarbij wordt gecontroleerd of wijzigingen in legacy systemen impact hebben op assessment-resultaten en waarbij assessment-resultaten worden bijgewerkt wanneer nodig. Daarnaast moeten organisaties regelmatig assessment-resultaten reviewen om te verifiëren dat resultaten accuraat zijn en aansluiten bij de werkelijke staat van legacy systemen, waarbij wordt gelet op wijzigingen in technologie-stacks, afhankelijkheden, beveiligingspostuur en operationele complexiteit die kunnen leiden tot verouderde of onnauwkeurige assessment-resultaten. Voor assessment-teams is het essentieel om te monitoren of teams beschikken over de benodigde expertise en resources om assessments correct uit te voeren. Dit omvat het controleren of teams beschikken over expertise in legacy technologieën, of teams beschikken over toegang tot alle relevante informatie, en of teams beschikken over voldoende tijd en resources om assessments grondig uit te voeren. Problemen met assessment-teams kunnen leiden tot onvolledige of onnauwkeurige assessments die belangrijke aspecten van legacy systemen over het hoofd zien, wat kan resulteren in onnauwkeurige migratierecommendaties en onverwachte problemen tijdens migraties. Organisaties moeten processen implementeren voor het monitoren van assessment-team capaciteit, waarbij regelmatig wordt gecontroleerd of teams beschikken over de benodigde expertise en resources, en waarbij waarschuwingen worden gegenereerd wanneer problemen worden gedetecteerd. Daarnaast moeten organisaties processen implementeren voor het monitoren van de kwaliteit en nauwkeurigheid van assessment-resultaten. Dit omvat het controleren of assessment-resultaten aansluiten bij de werkelijke staat van legacy systemen, of migratierecommendaties realistisch zijn, en of assessment-resultaten compleet zijn en alle relevante aspecten van legacy systemen dekken. Wanneer assessment-resultaten niet aansluiten bij de werkelijke staat van legacy systemen, moeten organisaties onderzoeken wat de oorzaak is en passende maatregelen nemen om assessment-resultaten bij te werken of assessments opnieuw uit te voeren. Organisaties moeten regelmatig assessment-resultaten vergelijken met de werkelijke staat van legacy systemen om te verifiëren dat resultaten actueel en nauwkeurig zijn, waarbij wordt gelet op wijzigingen in technologie-stacks, afhankelijkheden, beveiligingspostuur en operationele complexiteit die kunnen leiden tot verouderde of onnauwkeurige assessment-resultaten.
Compliance en Auditing
Legacy system assessment is een fundamentele vereiste voor naleving van verschillende cybersecurity frameworks en wet- en regelgeving die van toepassing zijn op Nederlandse overheidsorganisaties die legacy systemen naar Azure willen migreren. Zonder adequate assessment kunnen organisaties niet voldoen aan de vereisten van internationale standaarden zoals ISO 27001 en sectorspecifieke regelgeving zoals de Baseline Informatiebeveiliging Overheid en de NIS2 richtlijn. Deze frameworks vereisen allemaal dat organisaties passende maatregelen hebben genomen om migraties te plannen en uit te voeren, wat essentieel is voor het waarborgen van beveiliging, transparantie en verantwoording. Het ontbreken van adequate assessment-capaciteit kan leiden tot mislukte migraties, onverwachte kosten, beveiligingslekken en niet-naleving van compliance-vereisten. De Baseline Informatiebeveiliging Overheid (BIO) norm 12.01 vereist dat organisaties passende voorzieningen treffen voor het beheren van veranderingen in informatiesystemen. Deze norm is specifiek ontwikkeld voor de Nederlandse publieke sector en stelt eisen aan het beheer van wijzigingen in informatiesystemen, inclusief migraties naar cloudomgevingen. Voor Azure-migraties van legacy systemen betekent dit dat organisaties moeten kunnen aantonen dat zij grondige assessments hebben uitgevoerd voordat migraties werden gestart, dat zij weloverwogen beslissingen hebben genomen over migratiestrategieën, en dat zij processen hebben geïmplementeerd voor het monitoren en beheren van migraties. Norm 12.01 specificeert dat organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om risico's te identificeren en te mitigeren voordat wijzigingen worden doorgevoerd, wat voor migraties betekent dat grondige assessments essentieel zijn. Voor legacy system assessment betekent dit dat assessments moeten zijn uitgevoerd voor alle legacy systemen die moeten worden gemigreerd, dat assessment-resultaten moeten zijn geanalyseerd en gebruikt voor migratieplanning, en dat regelmatig assessments moeten worden bijgewerkt om ervoor te zorgen dat resultaten actueel blijven. De NIS2 richtlijn, Artikel 21, stelt specifieke eisen aan essentiële en belangrijke entiteiten met betrekking tot risicobeheer en beveiligingsmaatregelen. Nederlandse organisaties die onder de reikwijdte van NIS2 vallen, moeten kunnen aantonen dat zij passende maatregelen hebben genomen om risico's te identificeren en te mitigeren, wat voor migraties betekent dat grondige assessments essentieel zijn. Artikel 21 specificeert dat organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om beveiligingsrisico's te identificeren en te mitigeren, wat onder andere betekent dat zij moeten beschikken over uitgebreide assessment-capaciteit die alle relevante legacy systemen analyseert op basis van beveiligingscriteria. Voor legacy system assessment betekent dit dat assessments moeten zijn uitgevoerd voor alle legacy systemen die moeten worden gemigreerd, dat beveiligingsbeoordelingen moeten zijn uitgevoerd, en dat beveiligingsrisico's moeten zijn geïdentificeerd en gemitigeerd voordat migraties worden gestart. De ISO 27001 standaard, controle A.8.1.1, vereist eveneens dat organisaties maatregelen treffen om veranderingen in informatiesystemen te beheren. Deze internationale standaard wordt veelvuldig gebruikt door Nederlandse organisaties die certificering nastreven en vormt een belangrijke basis voor informatiebeveiligingsmanagement. Controle A.8.1.1 specificeert dat organisaties moeten kunnen aantonen dat zij passende maatregelen hebben genomen om wijzigingen in informatiesystemen te plannen en uit te voeren, wat voor migraties betekent dat grondige assessments essentieel zijn. Voor legacy system assessment betekent dit dat assessments moeten zijn uitgevoerd voor alle legacy systemen die moeten worden gemigreerd, dat assessment-resultaten moeten zijn geanalyseerd en gebruikt voor migratieplanning, en dat regelmatig assessments moeten worden bijgewerkt. Het niet implementeren van adequate assessment-capaciteit kan leiden tot niet-naleving van ISO 27001, wat kan resulteren in het verlies van certificering en reputatieschade. Daarnaast speelt legacy system assessment een rol in de verantwoording richting burgers en bestuur. Wanneer een gemeente, ministerie of uitvoeringsinstantie besluit om legacy systemen naar Azure te migreren, zullen media, volksvertegenwoordigers en toezichthouders vragen of de organisatie redelijke maatregelen heeft genomen om migraties te plannen en risico's te mitigeren. Door te kunnen aantonen dat legacy system assessment is uitgevoerd voor alle relevante systemen, met gedocumenteerde assessment-resultaten en weloverwogen migratieplannen, laat de organisatie zien dat zij de verantwoordelijkheid voor migratieplanning serieus neemt. Dit versterkt niet alleen de juridische positie bij eventuele onderzoeken, maar draagt ook bij aan vertrouwen in de digitale overheid. Binnen de Nederlandse Baseline voor Veilige Cloud is een volwassen legacy system assessment daarom geen luxe, maar een essentieel onderdeel van aantoonbare naleving en goed openbaar bestuur.
Remediatie
Gebruik PowerShell-script legacy-assessment.ps1 (functie Invoke-Remediation) – Ondersteunt het legacy system assessment-proces door het identificeren van systemen die nog niet zijn beoordeeld en het faciliteren van assessment-activiteiten..
Remediatie van legacy system assessment omvat het uitvoeren van assessments voor legacy systemen die nog niet zijn beoordeeld, het bijwerken van assessment-resultaten wanneer legacy systemen zijn gewijzigd, en het waarborgen dat alle relevante legacy systemen adequaat worden beoordeeld. Het is belangrijk om te realiseren dat wanneer legacy systemen niet zijn beoordeeld, organisaties niet beschikken over adequate assessment-capaciteit voor de betreffende systemen, wat kan resulteren in onvolledige of verouderde migratieplanning. Daarom moeten organisaties processen implementeren voor het snel identificeren en beoordelen van legacy systemen die nog niet zijn geassesseerd, zodat de impact op de migratieplanning wordt geminimaliseerd. Wanneer legacy systemen nog niet zijn beoordeeld, moeten assessments worden gestart door het toevoegen van systemen aan de assessment-inventarisatie, het toewijzen van assessment-teams, en het starten van technische, beveiligings- en operationele analyses. Tijdens het starten van assessments wordt automatisch een assessment-plan opgesteld, worden assessment-templates geselecteerd en worden assessment-activiteiten gepland. Organisaties moeten ervoor zorgen dat de juiste assessment-teams worden toegewezen en dat teams beschikken over de benodigde expertise en toegang tot alle relevante informatie. Na het starten van assessments moeten assessment-activiteiten worden gemonitord en moeten assessment-resultaten worden gereviewd en goedgekeurd voordat migratierecommendaties worden gegenereerd. Wanneer legacy systemen zijn gewijzigd na het voltooien van assessments, moeten assessment-resultaten worden bijgewerkt om ervoor te zorgen dat resultaten actueel blijven en aansluiten bij de huidige staat van legacy systemen. Dit kan betekenen dat technische analyses opnieuw moeten worden uitgevoerd, dat beveiligingsanalyses moeten worden bijgewerkt, of dat migratierecommendaties moeten worden herzien. Organisaties moeten processen implementeren voor het identificeren van wijzigingen in legacy systemen, waarbij wordt gecontroleerd of wijzigingen impact hebben op assessment-resultaten en waarbij assessment-resultaten worden bijgewerkt wanneer nodig. Na het bijwerken van assessment-resultaten moeten migratierecommendaties worden herzien om ervoor te zorgen dat aanbevelingen actueel blijven en aansluiten bij de huidige staat van legacy systemen. Voor legacy systemen met onvolledige of onnauwkeurige assessment-resultaten kunnen aanvullende assessment-activiteiten nodig zijn om ervoor te zorgen dat alle relevante aspecten van legacy systemen adequaat worden beoordeeld. Dit kan bijvoorbeeld betekenen dat aanvullende technische analyses moeten worden uitgevoerd, dat aanvullende beveiligingsanalyses moeten worden uitgevoerd, of dat aanvullende interviews moeten worden gehouden met beheerders en ontwikkelaars. Organisaties moeten processen implementeren voor het identificeren van onvolledige of onnauwkeurige assessment-resultaten, waarbij wordt gecontroleerd of assessment-resultaten compleet zijn en alle relevante aspecten van legacy systemen dekken, en waarbij aanvullende assessment-activiteiten worden gestart wanneer nodig. Daarnaast moeten organisaties processen implementeren voor het onderzoeken van de oorzaak van assessment-problemen, zodat preventieve maatregelen kunnen worden genomen om te voorkomen dat problemen opnieuw optreden. Dit kan bijvoorbeeld betekenen dat assessment-processen moeten worden verbeterd, dat assessment-templates moeten worden bijgewerkt, of dat aanvullende training moet worden gegeven aan assessment-teams. Door deze preventieve maatregelen te implementeren kunnen organisaties ervoor zorgen dat legacy system assessment continu effectief blijft en dat er geen gaten ontstaan in de assessment-capaciteit die kunnen leiden tot onvolledige of verouderde migratieplanning.
Compliance & Frameworks
- BIO: 12.01 - Passende voorzieningen voor het beheren van veranderingen in informatiesystemen.
- ISO 27001:2022: A.8.1.1 - Verantwoordelijkheden en procedures voor het beheren van veranderingen.
- NIS2: Artikel - Risicobeheer en beveiligingsmaatregelen voor essentiële en belangrijke entiteiten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Legacy System Assessment
.DESCRIPTION
Ondersteunt het legacy system assessment-proces door inventarisatie, analyse
en rapportage van verouderde systemen voor migratieplanning naar Azure.
Biedt monitoring van assessment-voortgang en ondersteuning voor het
identificeren van systemen die assessment nodig hebben.
.NOTES
Filename: legacy-assessment.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/azure/migration/legacy-assessment.json
NBVC Debug: Gebruik de omgevingsvariabele NBVC_LOCAL_DEBUG=1 om
lokale testen uit te voeren zonder verbinding te maken
met Azure-API's.
.EXAMPLE
.\legacy-assessment.ps1 -Monitoring
Controleert de voortgang van legacy system assessments
.EXAMPLE
.\legacy-assessment.ps1 -Remediation -WhatIf
Preview van assessment-activiteiten voor legacy systemen zonder assessment
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Resources
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Controleert de voortgang van legacy system assessments")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Identificeert legacy systemen die assessment nodig hebben")]
[switch]$Remediation,
[Parameter(HelpMessage = "Preview van wijzigingen zonder daadwerkelijke acties")]
[switch]$WhatIf
)
$ErrorActionPreference = 'Stop'
$PolicyName = "Legacy System Assessment"
function Get-IsLocalDebug {
param()
return [bool]($env:NBVC_LOCAL_DEBUG -eq '1')
}
function Connect-RequiredServices {
if (Get-IsLocalDebug) {
Write-Verbose "NBVC_LOCAL_DEBUG is actief - Azure verbinding wordt overgeslagen."
return
}
try {
$requiredModules = @('Az.Accounts', 'Az.Resources')
foreach ($module in $requiredModules) {
if (-not (Get-Module -ListAvailable -Name $module)) {
throw "Het PowerShell-module '$module' is niet beschikbaar. Installeer dit module voordat u het script gebruikt."
}
}
$ctx = Get-AzContext -ErrorAction SilentlyContinue
if (-not $ctx) {
Write-Host "Verbinding maken met Azure (Connect-AzAccount)..." -ForegroundColor Yellow
Connect-AzAccount -ErrorAction Stop | Out-Null
}
else {
Write-Verbose "Bestaande Azure context gevonden: $($ctx.Name)"
}
}
catch {
throw "Kon niet verbinden met Azure: $($_.Exception.Message)"
}
}
function Get-LegacyAssessmentStatus {
<#
.SYNOPSIS
Haalt assessment-status op voor legacy systemen.
.OUTPUTS
PSCustomObject met assessment-status per legacy systeem.
#>
[CmdletBinding()]
param()
if (Get-IsLocalDebug) {
# Gesimuleerde gegevens voor lokale debug en CI-tests
return [PSCustomObject]@{
Timestamp = Get-Date
TotalLegacySystems = 12
AssessedSystems = 8
UnassessedSystems = 4
Systems = @(
[PSCustomObject]@{
SystemName = "Legacy-Mainframe-Prod"
SystemType = "Mainframe"
TechnologyStack = "COBOL, IMS, DB2"
AssessmentStatus = "Completed"
AssessmentDate = (Get-Date).AddDays(-30)
MigrationReadiness = "Medium"
RiskLevel = "High"
},
[PSCustomObject]@{
SystemName = "Legacy-Database-LegacyDB"
SystemType = "Database"
TechnologyStack = "Oracle 9i, PL/SQL"
AssessmentStatus = "Completed"
AssessmentDate = (Get-Date).AddDays(-15)
MigrationReadiness = "Low"
RiskLevel = "Critical"
},
[PSCustomObject]@{
SystemName = "Legacy-Application-CRM"
SystemType = "Application"
TechnologyStack = "VB6, SQL Server 2000"
AssessmentStatus = "In Progress"
AssessmentDate = $null
MigrationReadiness = "Unknown"
RiskLevel = "Medium"
},
[PSCustomObject]@{
SystemName = "Legacy-Network-Firewall"
SystemType = "Network"
TechnologyStack = "Cisco PIX, EOL"
AssessmentStatus = "Not Started"
AssessmentDate = $null
MigrationReadiness = "Unknown"
RiskLevel = "High"
}
)
}
}
Connect-RequiredServices
try {
# In een echte implementatie zou hier een assessment-database of
# configuratiebestand worden gelezen met legacy system inventarisatie.
# Voor nu gebruiken we een vereenvoudigde benadering.
# Zoek naar resources die mogelijk legacy systemen vertegenwoordigen
# Dit is een vereenvoudigde benadering - in productie zou dit
# gebaseerd zijn op een centrale inventarisatie
$resourceGroups = Get-AzResourceGroup -ErrorAction SilentlyContinue
$systems = @()
$totalSystems = 0
$assessedSystems = 0
# Voor demonstratiedoeleinden: zoek naar resources met "legacy" in de naam
foreach ($rg in $resourceGroups) {
$legacyResources = Get-AzResource -ResourceGroupName $rg.ResourceGroupName -ErrorAction SilentlyContinue |
Where-Object { $_.Name -like "*legacy*" -or $_.ResourceType -like "*legacy*" }
foreach ($resource in $legacyResources) {
$totalSystems++
# In productie zou hier de assessment-status worden opgehaald
# uit een assessment-database of configuratiebestand
$systems += [PSCustomObject]@{
SystemName = $resource.Name
SystemType = "Unknown"
TechnologyStack = "Unknown"
AssessmentStatus = "Unknown"
AssessmentDate = $null
MigrationReadiness = "Unknown"
RiskLevel = "Unknown"
}
}
}
# Als er geen legacy resources zijn gevonden, retourneer dan een lege status
if ($systems.Count -eq 0) {
Write-Verbose "Geen legacy systemen gevonden in deze context."
}
return [PSCustomObject]@{
Timestamp = Get-Date
TotalLegacySystems = $totalSystems
AssessedSystems = $assessedSystems
UnassessedSystems = [Math]::Max(0, $totalSystems - $assessedSystems)
Systems = $systems
}
}
catch {
Write-Verbose "Fout bij ophalen van legacy assessment-status: $($_.Exception.Message)"
return [PSCustomObject]@{
Timestamp = Get-Date
TotalLegacySystems = 0
AssessedSystems = 0
UnassessedSystems = 0
Systems = @()
Error = $_.Exception.Message
}
}
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Monitort de voortgang van legacy system assessments.
#>
[CmdletBinding()]
param()
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName - Monitoring" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
$status = Get-LegacyAssessmentStatus
Write-Host "Totaal aantal legacy systemen: $($status.TotalLegacySystems)" -ForegroundColor White
Write-Host "Beoordeelde systemen: $($status.AssessedSystems)" -ForegroundColor $(if ($status.AssessedSystems -gt 0) { "Green" } else { "Yellow" })
Write-Host "Niet-beoordeelde systemen: $($status.UnassessedSystems)" -ForegroundColor $(if ($status.UnassessedSystems -eq 0) { "Green" } else { "Yellow" })
if ($status.Systems.Count -gt 0) {
Write-Host "`nLegacy systemen:" -ForegroundColor Cyan
foreach ($system in $status.Systems) {
Write-Host "`nSysteemnaam: $($system.SystemName)" -ForegroundColor Cyan
Write-Host " Type: $($system.SystemType)" -ForegroundColor Gray
Write-Host " Technologie-stack: $($system.TechnologyStack)" -ForegroundColor Gray
Write-Host " Assessment-status: $($system.AssessmentStatus)" -ForegroundColor $(if ($system.AssessmentStatus -eq "Completed") { "Green" } elseif ($system.AssessmentStatus -eq "In Progress") { "Yellow" } else { "Red" })
if ($system.AssessmentDate) {
Write-Host " Assessment-datum: $($system.AssessmentDate.ToString('yyyy-MM-dd'))" -ForegroundColor Gray
}
Write-Host " Migratiereadiness: $($system.MigrationReadiness)" -ForegroundColor $(if ($system.MigrationReadiness -eq "High") { "Green" } elseif ($system.MigrationReadiness -eq "Medium") { "Yellow" } else { "Red" })
Write-Host " Risiconiveau: $($system.RiskLevel)" -ForegroundColor $(if ($system.RiskLevel -eq "Low") { "Green" } elseif ($system.RiskLevel -eq "Medium") { "Yellow" } else { "Red" })
}
}
else {
Write-Host "`nGeen legacy systemen gevonden in deze context." -ForegroundColor Yellow
Write-Host "Opmerking: Dit script vereist een centrale inventarisatie van legacy systemen." -ForegroundColor Cyan
Write-Host "Voor een volledige implementatie moet een assessment-database of" -ForegroundColor Cyan
Write-Host "configuratiebestand worden gebruikt om legacy systemen te inventariseren." -ForegroundColor Cyan
}
if ($status.Error) {
Write-Host "`nFout bij ophalen van assessment-status: $($status.Error)" -ForegroundColor Red
}
# Compliance evaluatie
$assessmentPercentage = if ($status.TotalLegacySystems -gt 0) {
[Math]::Round(($status.AssessedSystems / $status.TotalLegacySystems) * 100, 2)
}
else {
0
}
if ($status.TotalLegacySystems -gt 0 -and $assessmentPercentage -ge 80) {
Write-Host "`nResultaat: Legacy system assessment is goed uitgevoerd. De meeste systemen zijn beoordeeld en assessment-resultaten zijn beschikbaar." -ForegroundColor Green
return 0
}
elseif ($status.TotalLegacySystems -gt 0 -and $assessmentPercentage -ge 50) {
Write-Host "`nResultaat: Legacy system assessment is gedeeltelijk uitgevoerd. Overweeg om meer systemen te beoordelen voor complete migratieplanning." -ForegroundColor Yellow
return 1
}
else {
Write-Host "`nResultaat: Legacy system assessment is niet of nauwelijks uitgevoerd. Dit vormt een significant risico voor migratieplanning." -ForegroundColor Red
Write-Host "Aanbeveling: Voer legacy system assessment uit voor alle verouderde systemen die moeten worden gemigreerd om weloverwogen migratieplanning te waarborgen." -ForegroundColor Yellow
return 2
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Identificeert legacy systemen die assessment nodig hebben en biedt ondersteuning voor assessment-activiteiten.
.DESCRIPTION
Deze functie identificeert legacy systemen zonder assessment en biedt
ondersteuning voor het starten van assessment-activiteiten. In productie
vereist dit handmatige assessment-activiteiten of uitgebreidere automatisering.
#>
[CmdletBinding()]
param()
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName - Remediatie" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
$status = Get-LegacyAssessmentStatus
if ($status.TotalLegacySystems -gt 0 -and $status.UnassessedSystems -eq 0) {
Write-Host "Alle legacy systemen zijn beoordeeld." -ForegroundColor Green
Write-Host "Geen remediatie nodig." -ForegroundColor Green
return 0
}
Write-Host "`nLegacy systemen zonder assessment: $($status.UnassessedSystems)" -ForegroundColor Yellow
Write-Host "Totaal aantal legacy systemen: $($status.TotalLegacySystems)" -ForegroundColor $(if ($status.TotalLegacySystems -gt 0) { "Green" } else { "Yellow" })
if ($WhatIf) {
Write-Host "`n[WHATIF] Het script zou de volgende acties uitvoeren:" -ForegroundColor Yellow
Write-Host " 1. Legacy systemen identificeren zonder assessment" -ForegroundColor White
Write-Host " 2. Assessment-prioriteiten bepalen op basis van business-kritikaliteit en risico" -ForegroundColor White
Write-Host " 3. Assessment-teams toewijzen aan legacy systemen" -ForegroundColor White
Write-Host " 4. Assessment-activiteiten starten voor prioritaire systemen" -ForegroundColor White
Write-Host "`nOpmerking: Legacy system assessment vereist uitgebreide technische, beveiligings-" -ForegroundColor Cyan
Write-Host "en operationele analyses. Gebruik deze functie voor het identificeren van" -ForegroundColor Cyan
Write-Host "systemen die assessment nodig hebben." -ForegroundColor Cyan
return 0
}
Write-Host "`nAanbevolen vervolgstappen voor legacy system assessment:" -ForegroundColor Cyan
Write-Host " 1. Inventariseer alle legacy systemen in de omgeving" -ForegroundColor White
Write-Host " - Documenteer systeemnaam, type, technologie-stack en business-functie" -ForegroundColor Gray
Write-Host " - Identificeer systeemeigenaren en beheerders" -ForegroundColor Gray
Write-Host " - Documenteer afhankelijkheden tussen systemen" -ForegroundColor Gray
Write-Host " 2. Prioriteer legacy systemen voor assessment" -ForegroundColor White
Write-Host " - Bepaal business-kritikaliteit van elk systeem" -ForegroundColor Gray
Write-Host " - Evalueer technische complexiteit en migratie-uitdagingen" -ForegroundColor Gray
Write-Host " - Identificeer beveiligingsrisico's en compliance-implicaties" -ForegroundColor Gray
Write-Host " 3. Voer technische analyses uit" -ForegroundColor White
Write-Host " - Analyseer architectuur, codekwaliteit en technische schuld" -ForegroundColor Gray
Write-Host " - Identificeer verouderde technologieën en afhankelijkheden" -ForegroundColor Gray
Write-Host " - Documenteer technische beperkingen en migratie-uitdagingen" -ForegroundColor Gray
Write-Host " 4. Voer beveiligingsanalyses uit" -ForegroundColor White
Write-Host " - Identificeer kwetsbaarheden en verouderde beveiligingsmaatregelen" -ForegroundColor Gray
Write-Host " - Evalueer compliance-status en compliance-gaps" -ForegroundColor Gray
Write-Host " - Documenteer beveiligingsaanbevelingen en mitigatiemaatregelen" -ForegroundColor Gray
Write-Host " 5. Voer operationele analyses uit" -ForegroundColor White
Write-Host " - Evalueer beheercomplexiteit en beschikbare expertise" -ForegroundColor Gray
Write-Host " - Analyseer onderhoudskosten en operationele risico's" -ForegroundColor Gray
Write-Host " - Documenteer operationele uitdagingen en skills-gaps" -ForegroundColor Gray
Write-Host " 6. Genereer migratierecommendaties" -ForegroundColor White
Write-Host " - Bepaal geschikte migratiestrategie voor elk systeem" -ForegroundColor Gray
Write-Host " - Maak kostenramingen en tijdlijnschattingen" -ForegroundColor Gray
Write-Host " - Documenteer risico's en mitigatiemaatregelen" -ForegroundColor Gray
Write-Host " 7. Documenteer assessment-resultaten" -ForegroundColor White
Write-Host " - Maak gedetailleerde assessment-rapportages" -ForegroundColor Gray
Write-Host " - Update regelmatig assessments om resultaten actueel te houden" -ForegroundColor Gray
Write-Host " - Gebruik assessment-resultaten voor migratieplanning" -ForegroundColor Gray
if ($status.TotalLegacySystems -eq 0) {
Write-Host "`nVoor nieuwe legacy system assessments:" -ForegroundColor Yellow
Write-Host " 1. Zorg ervoor dat u beschikt over toegang tot alle relevante documentatie" -ForegroundColor White
Write-Host " 2. Verzeker beschikbaarheid van assessment-teams met expertise in legacy technologieën" -ForegroundColor White
Write-Host " 3. Plan voldoende tijd voor uitgebreide technische, beveiligings- en operationele analyses" -ForegroundColor White
Write-Host " 4. Gebruik gestandaardiseerde assessment-templates voor consistentie" -ForegroundColor White
Write-Host " 5. Zorg voor regelmatige reviews en updates van assessment-resultaten" -ForegroundColor White
}
return 1
}
try {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
if ($Monitoring) {
$exitCode = Invoke-Monitoring
exit $exitCode
}
elseif ($Remediation) {
$exitCode = Invoke-Remediation
exit $exitCode
}
else {
# Standaard: monitoring uitvoeren
$exitCode = Invoke-Monitoring
exit $exitCode
}
}
catch {
Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red
Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red
if ($_.Exception.InnerException) {
Write-Host "Inner Exception: $($_.Exception.InnerException.Message)" -ForegroundColor Red
}
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
High: Hoog - Zonder legacy system assessment beschikken organisaties niet over adequate assessment-capaciteit voor migratieplanning van verouderde systemen. Dit kan leiden tot mislukte migraties, onverwachte kosten, beveiligingslekken, niet-naleving van BIO, NIS2 en ISO 27001, en aanzienlijke vertragingen in het migratieproces.
Management Samenvatting
Voer legacy system assessment uit voor alle verouderde systemen die moeten worden gemigreerd. Essentieel voor weloverwogen migratieplanning en risicobeheer. Voldoet aan BIO 12.01, NIS2 Artikel 21, ISO 27001 A.8.1.1. Implementatietijd: 70 uur (40 technisch, 30 organisatorisch). Regelmatig assessments bijwerken om ervoor te zorgen dat resultaten actueel blijven.
- Implementatietijd: 70 uur
- FTE required: 0.25 FTE