IT-Governance - die Wolke fest im Griff

Dr. Dietmar G. Wiedemann, PMP®PROVENTA AG

Hamburg, 11. August 2011SecTXL '11

PROVENTA AG

Kompetenzen

Service

Qualität

Nachhaltigkeit

Erfahrungen

Dauer der Unternehmensvorstellung

Lan

gew

eile

PROVENTA AG

Dauer der Unternehmensvorstellung vs. Langeweile des Publikums

PROVENTA AGPROVENTA AG

692

Take aways

1. Cloud Computing benötigt IT-Governance-Prozesse.

2. Existierende Frameworks können angewendet werden.

3. Diese benötigen aber eine Anpassung an die Gegebenheiten des eigenen Unternehmens.

Warum benötigt Cloud Computing IT-Governance-Prozesse?

PROVENTA AG

IT-AbteilungBeratungshausFachabteilung

Gewichte laut Kausalanalyse auf die Frage „Wer empfiehlt IaaS “ in Relation zur IaaS-Akzeptanz: Fachabteilung 0,382; Beratungshäuser 0,186; IT-Abteilung 0,081; Quelle: Wiedemann/Strebel (2011)

Die Empfehlung der Fachabteilung IaaS zu nutzen, hat das schwerste Gewicht auf die IaaS-Nutzungsentscheidung.

Ergebnis der Studie „IaaS-Nutzung in Deutschland 2011“.

Fachabteilungen treiben das Thema Cloud Computing.

Gefahr der Schatten-IT steigt.

Einfacher Zugang zur Cloud ermöglicht Schatten-ITMan benötigt nur eine Kreditkarte, um IT-Investitionen „an der IT vorbei“ zu tätigen.

Was kann dem Unternehmen aufgrund der Schatten-IT im Worst-Case passieren?

Im Einzelfall Bußgelder bis zu 300.000 EUR für Verschweigen von Sicherheitspannen

Im Einzelfall Bußgelder bis zu 50.000 EUR für mangelhafte Verträge aus Datenschutzsicht

Verlust kritischer Daten wegen unzureichender Backup-Strategien

Vendor Locked-in durch fehlende oder ungeeignete Exit-Optionen

“Cloud computing needs governance. Which is to say that cloud computing needs processes, policies, and procedures.”-- Gordon Haff - Senior Cloud Product Manager, Red Hat!

Zwischenfazit

Was ist Cloud Governance?

PROVENTA AG

Definition: Cloud Governance.

Cloud Governance stellt Entscheidungs- und Kontrollprozesse, -kriterien und -regeln im Rahmen des Cloud-Service-Lebenszyklus zur Verfügung.

Strategische Planung

Design & Architektur

Integration, Migration & Customizing

NutzungMonitoring

Change

Exit

Cloud Governance

Wie funktioniert Cloud Governance?

PROVENTA AG

Die Information Systems Audit and Control Association(ISACA) empfiehlt die Nutzung von 4 integrierten Frameworks.

COBIT

Val IT

Business Model for Information

Security

Risk IT„Cloud Governance

Frameworks“

Quelle: ISACA: IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud.

COBIT bietet einen umfassenden Rahmen zur Erfüllung von Anforderungen an die IT-Governance.

Val IT hilft den optimalen Wertbeitrag aus IT-Investitionen zu erzielen.

Risk IT dient dem IT-Risikomanagement.

BMIS bietet Leitlinien, die sämtliche Aspekte der Informationssicherheit aus Geschäftssicht behandeln.

PROVENTA AG

Beispiel: Strategische Planung für ein Cloud-Programm.Vom Geschäftsziel zum Business Case.

Quelle: ISACA: IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud.

Task COBIT Risk IT Val IT

1 Identifikation der gewünschten Geschäftsziele und Ableitung der benötigten IT-Prozesse

X X X

2 Definition der Chancen, die durch Cloud Services entstehen sollen X X

3 Quantifizierung des Nutzens der Cloud Services X X

4 High-level Design der Cloud Services und erforderlichen Prozesse, um die Ziele zu erreichen

X X X

5 Identifikation der Compliance Anforderungen X

6 Abstimmung der Ergebnisse aus 1-5 mit allen Stakeholdern X

7 Alternativen-Vergleich: Cloud vs. traditionelle IT X

8 Erstellung des detaillierten Business Case X X

COBIT, Risk IT und Val IT liefern alle benötigten Entscheidungsprozesse für die strategische Planung von Cloud Programmen.

PROVENTA AG

Umsetzung von Task 1.

Quelle: ISACA: IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud.

Geschäftsziel 1

Positiver ROI für

IT-Investitionen

IT-Ziel 24

Verbesserung der

Kosteneffizienz der IT

und deren Beitrag zur

Profitabilität

1

2

3

4

5

6

7

8

COBIT liefert einen eines Top-Down-Ansatz zur Identifikation der gewünschten Geschäftsziele und Ableitung der benötigten IT-Prozesse.

DS6

Identifikation & Allokation von Kosten

PO5

Management der

IT-Investments

Matrix Geschäftsziel/IT-Ziel

Matrix IT-Ziel/IT-Prozess

PROVENTA AG

IT-Prozesse.

Metriken/KPIs und Reifegrad-Modell

Klar formulierte Verantwortlichkeiten

RACI

Prozessbeschreibung mit Kontrollzielenund Aktivitäten

Entsch

eidu

ng

Kon

trolle

Aber: IT-Governance-Frameworksbenötigen eine Anpassung an die Gegebenheiten des eigenen Unternehmens.

Bildquelle: http://geekandpoke.typepad.com

Wesentliche Nachteile bei COBIT sind der Umfang, Komplexität sowie der hohe Abstraktionsgrad.

4 Domänen 34 Prozesse 210 Kontrollziele

Unterschiedliche Cloud-Typen

Deployment Model: Public vs. Private

Service Model: IaaS, PaaS, SaaS

PROVENTA AG

Unterschiedliche Situationen erfordern unterschiedliche Maßnahmen und Cloud-Governance-Prozesse.

Unterschiedliche Compliance Anforderungen an die Daten

Anforderungen aus BDSG

Steuerrelevante Vorschriften (GDPdU, GoBS)

Unternehmensspezifische Vorgaben, z.B. Geheimnisschutz bei Rechtsanwälten

Internationale Regelungen (Sarbanes-Oxley Act)

Unterschiedliche Rahmenbedingungen im Unternehmen

Kritikalität der Cloud Services

„Street Value“ und strategischer Wert der Daten

Bestehende Governance Strukturen

Risikoakzeptanz im Unternehmen

Fazit

1. Cloud Computing benötigt IT-Governance-Prozesse.

2. Existierende Frameworks können angewendet werden.

3. Diese benötigen aber eine Anpassung an die Gegebenheiten des eigenen Unternehmens.

PROVENTA AGPROVENTA AG

1999 2010

Projekte in der Telekommunikationsbranche*

692

*Stand: 11/2010

PROVENTA AG

Proventa AG

Services• Projektmanagement • Konzeption & Design• Prozessmanagement• Systemintegration • Architektur • Datenmanagement• Technische Tests• Support und Wartung

Corporate Applications

• Order-Management

• CRM

• Fulfillment

• Billing and Rating

• Business Intelligence

• Data Governance

Interactive Media• Internet Applications• Mobile Applications

Gegründet 1992

Fachschwerpunkt Beratungshaus + System-Integrator

Branchenschwerpunkt Telekommunikation und ISP

Anzahl Mitarbeiter 75

Technologien und Plattformen

Kontakt

Dr. Dietmar Georg Wiedemann, PMP®

PROVENTA AGUntermainkai 2960329 Frankfurt

Fon: +49 (0)69 - 23 25 50Fax: +49 (0)69 - 23 42 67Mobil: +49 (0)151-16 78 95 82Email: d.wiedemann[at]proventa.de