IT-Governance matters. Drei Geschichten über Chancen und Risiken der Cloud-Nutzung Dr. Dietmar G. Wiedemann, PMP® PROVENTA AG

Frankfurt, 22. November 2011 SecTXL '11

PROVENTA AG

Prolog: Zwei Sätze über mich.

Fachbereich Cloud Computing, ein Forum für die Zusammenarbeit und den Austausch im Cloud Computing.

Leiter des Fachbereichs Cloud Computing im Bundesverband der Dienstleister für Online-Anbieter (BDOA)

1. Cloud Computing benötigt IT-Governance-Prozesse, um die Chancen

zu nutzen und die Risiken zu minimieren.

2. Das Rad muss nicht neu erfunden werden, nutzen Sie existierende Frameworks, wie etwa COBIT.

Drei Geschichten über die Chancen von Cloud Computing.

PROVENTA AG

Was sind überzeugende Use Cases?

Nutzung im Zeitablauf

Bedarfs- volumen

Schwankend Konstant

Planbar

Nicht planbar

Saison-Geschäft

Start-up

?

Schnellere Batch-Prozesse

Quelle: Armbrust, M. et. al (2010): A View of Cloud Computing. Communications of the ACM.

Claudia E-Commerce mit Fokus

auf Weihnachtsartikel Nutzung von IaaS

Planbar, aber schwankend

Zeit

IT-B

edar

f

Cloud Tatsächlicher Bedarf On-Premises

Abfangen von planbaren Peaks im Saison-Geschäft

Finanzielle Vorteile durch eine CapEx-OpEx-Verschiebung

Peter Start-up im E-Commerce Nutzung von SaaS für CRM

Schwankend, aber nicht planbar

Keine hohen Anfangsinvestitionen

Flexibilität durch Skalierbarkeit

Time-to-Market

Martina Data-Mining-Beratung Große Datenmengen Meist Batch-Verarbeitung Nutzung von IaaS

Volumen nicht planbar, aber konstant

Zeit-Vorteile durch schnellere Batch-Prozesse

„Durch seine Vorzüge hat Cloud Computing das Potenzial, mittel- bis langfristig einen beträchtlichen Teil der traditionellen IT-Leistungsangebote zu ersetzen.“ !

Zwischenfazit I

Quelle: BITKOM (2009): Cloud Computing - Evolution in der Technik, Revolution im Business.

Drei Geschichten über die Risiken von Cloud Computing.

Das Weihnachtsgeschäft von Claudia war 2011 weniger erfolgreich.

Grund war ein Ausfall beim IaaS-Provider, durch den die Kundendaten vollständig verloren gingen.

Claudia hatte keinen Notfall-Plan Nutzung mehrerer Verfügbarkeitszonen Back-up (intern oder bei anderem Anbieter)

Eines Tages erhielt Peter einen unerfreulichen Brief vom Unabhängigen Landeszentrum für Datenschutz.

Grund waren datenschutzrechtliche Versäumnisse Verarbeitung personenbezogener Daten außerhalb des

Europäischen Wirtschaftsraums Kein Safe-Harbor-Abkommen Keine Auftragsdatenvereinbarung (§ 11 BDSG)

Peter droht ein hohes Bußgeld oder er unterlässt die SaaS-CRM-Nutzung.

Eines Tages stellt Martina massive Schatten-IT fest, wodurch Datensilos bei verschiedenen inkompatiblen Anbietern entstanden.

Grund war der einfache Zugang zur Cloud. Man benötigt nur eine Kreditkarte, um IT-Investitionen „an der IT vorbei“ zu tätigen.

Martina hatte keine Auklärungsarbeit geleistet und ist jetzt mit sämtlichen Cloud-Risiken konfrontiert

Lock-in - Loss of governance - Compliance challenges - Loss of business reputation due to co-tenant activities - Cloud service termination or failure - Cloud provider acquisition - Supply chain failure - Social engineering attacks - Backups lost - Resource exhaustion - Isolation failure - Cloud provider malicious insider - Management interface compromise - Intercepting data in transit - Data leakage on up/download - Insecure or ineffective deletion of data - DDoS - EDOS - Loss of encryption keys - Compromise service engine - Conflicts between customer hardening procedures and cloud environment Subpoena and e-discovery - Risk from changes of jurisdiction - Data protection risks - Licensing risks

“Cloud computing

needs governance.”

Quelle: Gordon Haff - Senior Cloud Product Manager, Red Hat

IT-Risken

Compliance

Schatten-IT

Zwischenfazit II

IT-Governance

PROVENTA AG

Definition: IT-Governance im Cloud-Kontext.

Cloud Governance stellt Entscheidungs- und Kontrollprozesse zur Verfügung, um Risiken im Rahmen des Cloud-Service-Lebenszyklus zu senken und Chancen zu erhöhen.

Strategische Planung

Design & Architektur

Integration, Migration & Customizing

Nutzung Monitoring

Change

Exit

Cloud Governance

Quelle: ISACA (2011): IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud.

“The use of proven frameworks can help enable an enterprise to realize expected benefits from the cloud.“

PROVENTA AG

Die Information Systems Audit and Control Association (ISACA) empfiehlt die Nutzung von 4 integrierten Frameworks.

COBIT

Val IT

Business Model for Information

Security

Risk IT

Quelle: ISACA (2011): IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud.

COBIT bietet einen umfassenden Rahmen zur Erfüllung von Anforderungen an die IT-Governance.

Val IT hilft den optimalen Wertbeitrag aus IT-Investitionen zu erzielen.

Risk IT dient dem IT-Risikomanagement.

BMIS bietet Leitlinien, die sämtliche Aspekte der Informationssicherheit aus Geschäftssicht behandeln.

„Cloud Governance Frameworks“

COBIT in a nutshell

Start

Ziele setzen Vergleichen

IT-Prozesse aufsetzen und

implementieren

Richtung vorgeben

Performance messen

Grundprinzip von COBIT

Identifikation der Geschäfts- und IT-Ziele für den Cloud-Einsatz und Ableitung der benötigten IT-Prozesse, um die IT am Geschäft auszurichten

Matrix IT-Ziel/IT-Prozess

Matrix Geschäftsziel/IT-Ziel

Ausrichtung der IT am Geschäft

Beschreibung von 34 Prozessen, die sich an vier Domänen orientieren

Planung & Organisation

Beschaffung & Implementierung

Lieferung & Support

Überwachung & Evaluierung

Bild: Ashlinorton

Metriken zur Beurteilung des Prozesses des Beitrags einzelner Aktivitäten zu den Prozess-Zielen des Beitrags des Prozesses wiederum zu den IT-Zielen

Reifegradmodell, das die typischen Ausprägungen des Prozesses in 6 Reifegradstufen (0 bis 5) beschreibt

Festlegung von Verantwortlichkeiten für jeden Prozess über RACI

Bild: Kamal Selle

OK, und was nützt IT Governance für mein

Unternehmen?

„to control the formulation and implementation of IT strategy and in this way ensure the fusion of business and IT.”

Quelle: De Haes, S., van Grembergen, W. (2004): IT Governance and its Mechanisms.

Risikomanagement, um Sicherheit, Verfügbarkeit und Einhaltung von gesetzlichen Bestimmungen zu gewährleisten.

Quelle: Weill, P.; Ross, J.W.: IT Governance. Harvard Business Press Books, 2004.

“Firms with superior IT governance have more than

25% higher profits than firms with poor governance given the same strategic objectives.”

Was muss ich tun, um IT-Governance im Unternehmen

richtig einzusetzen?

Lesen Sie Bücher und erstellen Sie einen Projektplan!

Besuchen Sie eine Schulung und lassen Sie sich zertifizieren.

Lassen Sie sich durch einen Consultant unterstützen.

1. Cloud Computing benötigt IT-Governance-Prozesse, um die Chancen

zu nutzen und die Risiken zu minimieren.

2. Das Rad muss nicht neu erfunden werden, nutzen Sie existierende Frameworks, wie etwa COBIT.

PROVENTA AG

Proventa AG

Services • Strategieberatung • Projektmanagement • Konzeption & Design • Prozessmanagement • Systemintegration • Architektur • Datenmanagement • Technische Tests • Support und Wartung

Corporate Applications

• Order-Management

• CRM

• Billing and Rating

• Business Intelligence

• Data Governance

Interactive Media • Internet Applications • Mobile Applications

Gegründet 1992

Fachschwerpunkt Beratungshaus + System-Integrator

Branchenschwerpunkt Telekommunikation und ISP

Anzahl Mitarbeiter 110

Erfahrung Über 700 IT-Projekte

Technologien und Plattformen

Kontakt

Dr. Dietmar Georg Wiedemann, PMP® PROVENTA AG Untermainkai 29 60329 Frankfurt Fon: +49 (0)69 - 23 25 50 Fax: +49 (0)69 - 23 42 67 Mobil: +49 (0)151-16 78 95 82 Email: d.wiedemann[at]proventa.de