Upload
dietmar-georg-wiedemann
View
1.491
Download
3
Embed Size (px)
DESCRIPTION
Key Messages: Cloud Computing benötigt IT-Governance-Prozesse, um die Chancen zu nutzen und die Risiken im Rahmen des Cloud-Lebenszyklus zu minimieren. Das Rad muss nicht neu erfunden werden, nutzen Sie existierende Frameworks, wie etwa COBIT. Über den Autor: Dr. Dietmar G. Wiedemann ist Leiter des Fachbereichs Cloud Computing im BDOA e.V. Seit 2009 arbeitet er als Senior Consultant bei der Proventa AG. Als Projekt Manager liegen seine Beratungsschwerpunkte im Bereich des Software Engineering zur Entwicklung innovativer Informationssysteme. Zum Thema Cloud Computing war er bei unterschiedlichen Projekten eines großen deutschen Telekommunikationsunternehmens tätig. Seit 2003 ist er Vorsitzender des Aufsichtsrats der aubergemediale AG, die sich mit der Konzeption von E-Commerce Geschäftsmodellen befasst und diese mit eigens entwickelten Cloud-Lösungen umsetzt. Er referierte auf zahlreichen nationalen und internationalen Fachkonferenzen und ist Autor und Herausgeber von Büchern und Fachartikeln zu den Themen Payments und Marketing im E- und M-Commerce sowie Cloud Computing.
Citation preview
IT-Governance matters. Drei Geschichten über Chancen und Risiken der Cloud-Nutzung Dr. Dietmar G. Wiedemann, PMP® PROVENTA AG
Frankfurt, 22. November 2011 SecTXL '11
PROVENTA AG
Prolog: Zwei Sätze über mich.
Fachbereich Cloud Computing, ein Forum für die Zusammenarbeit und den Austausch im Cloud Computing.
Leiter des Fachbereichs Cloud Computing im Bundesverband der Dienstleister für Online-Anbieter (BDOA)
1. Cloud Computing benötigt IT-Governance-Prozesse, um die Chancen
zu nutzen und die Risiken zu minimieren.
2. Das Rad muss nicht neu erfunden werden, nutzen Sie existierende Frameworks, wie etwa COBIT.
Drei Geschichten über die Chancen von Cloud Computing.
PROVENTA AG
Was sind überzeugende Use Cases?
Nutzung im Zeitablauf
Bedarfs- volumen
Schwankend Konstant
Planbar
Nicht planbar
Saison-Geschäft
Start-up
?
Schnellere Batch-Prozesse
Quelle: Armbrust, M. et. al (2010): A View of Cloud Computing. Communications of the ACM.
Claudia E-Commerce mit Fokus
auf Weihnachtsartikel Nutzung von IaaS
Planbar, aber schwankend
Zeit
IT-B
edar
f
Cloud Tatsächlicher Bedarf On-Premises
Abfangen von planbaren Peaks im Saison-Geschäft
Finanzielle Vorteile durch eine CapEx-OpEx-Verschiebung
Peter Start-up im E-Commerce Nutzung von SaaS für CRM
Schwankend, aber nicht planbar
Keine hohen Anfangsinvestitionen
Flexibilität durch Skalierbarkeit
Time-to-Market
Martina Data-Mining-Beratung Große Datenmengen Meist Batch-Verarbeitung Nutzung von IaaS
Volumen nicht planbar, aber konstant
Zeit-Vorteile durch schnellere Batch-Prozesse
„Durch seine Vorzüge hat Cloud Computing das Potenzial, mittel- bis langfristig einen beträchtlichen Teil der traditionellen IT-Leistungsangebote zu ersetzen.“ !
Zwischenfazit I
Quelle: BITKOM (2009): Cloud Computing - Evolution in der Technik, Revolution im Business.
Drei Geschichten über die Risiken von Cloud Computing.
Das Weihnachtsgeschäft von Claudia war 2011 weniger erfolgreich.
Grund war ein Ausfall beim IaaS-Provider, durch den die Kundendaten vollständig verloren gingen.
Claudia hatte keinen Notfall-Plan Nutzung mehrerer Verfügbarkeitszonen Back-up (intern oder bei anderem Anbieter)
Eines Tages erhielt Peter einen unerfreulichen Brief vom Unabhängigen Landeszentrum für Datenschutz.
Grund waren datenschutzrechtliche Versäumnisse Verarbeitung personenbezogener Daten außerhalb des
Europäischen Wirtschaftsraums Kein Safe-Harbor-Abkommen Keine Auftragsdatenvereinbarung (§ 11 BDSG)
Peter droht ein hohes Bußgeld oder er unterlässt die SaaS-CRM-Nutzung.
Eines Tages stellt Martina massive Schatten-IT fest, wodurch Datensilos bei verschiedenen inkompatiblen Anbietern entstanden.
Grund war der einfache Zugang zur Cloud. Man benötigt nur eine Kreditkarte, um IT-Investitionen „an der IT vorbei“ zu tätigen.
Martina hatte keine Auklärungsarbeit geleistet und ist jetzt mit sämtlichen Cloud-Risiken konfrontiert
Lock-in - Loss of governance - Compliance challenges - Loss of business reputation due to co-tenant activities - Cloud service termination or failure - Cloud provider acquisition - Supply chain failure - Social engineering attacks - Backups lost - Resource exhaustion - Isolation failure - Cloud provider malicious insider - Management interface compromise - Intercepting data in transit - Data leakage on up/download - Insecure or ineffective deletion of data - DDoS - EDOS - Loss of encryption keys - Compromise service engine - Conflicts between customer hardening procedures and cloud environment Subpoena and e-discovery - Risk from changes of jurisdiction - Data protection risks - Licensing risks
“Cloud computing
needs governance.”
Quelle: Gordon Haff - Senior Cloud Product Manager, Red Hat
IT-Risken
Compliance
Schatten-IT
Zwischenfazit II
IT-Governance
PROVENTA AG
Definition: IT-Governance im Cloud-Kontext.
Cloud Governance stellt Entscheidungs- und Kontrollprozesse zur Verfügung, um Risiken im Rahmen des Cloud-Service-Lebenszyklus zu senken und Chancen zu erhöhen.
Strategische Planung
Design & Architektur
Integration, Migration & Customizing
Nutzung Monitoring
Change
Exit
Cloud Governance
Quelle: ISACA (2011): IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud.
“The use of proven frameworks can help enable an enterprise to realize expected benefits from the cloud.“
PROVENTA AG
Die Information Systems Audit and Control Association (ISACA) empfiehlt die Nutzung von 4 integrierten Frameworks.
COBIT
Val IT
Business Model for Information
Security
Risk IT
Quelle: ISACA (2011): IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud.
COBIT bietet einen umfassenden Rahmen zur Erfüllung von Anforderungen an die IT-Governance.
Val IT hilft den optimalen Wertbeitrag aus IT-Investitionen zu erzielen.
Risk IT dient dem IT-Risikomanagement.
BMIS bietet Leitlinien, die sämtliche Aspekte der Informationssicherheit aus Geschäftssicht behandeln.
„Cloud Governance Frameworks“
COBIT in a nutshell
Start
Ziele setzen Vergleichen
IT-Prozesse aufsetzen und
implementieren
Richtung vorgeben
Performance messen
Grundprinzip von COBIT
Identifikation der Geschäfts- und IT-Ziele für den Cloud-Einsatz und Ableitung der benötigten IT-Prozesse, um die IT am Geschäft auszurichten
Matrix IT-Ziel/IT-Prozess
Matrix Geschäftsziel/IT-Ziel
Ausrichtung der IT am Geschäft
Beschreibung von 34 Prozessen, die sich an vier Domänen orientieren
Planung & Organisation
Beschaffung & Implementierung
Lieferung & Support
Überwachung & Evaluierung
Bild: Ashlinorton
Metriken zur Beurteilung des Prozesses des Beitrags einzelner Aktivitäten zu den Prozess-Zielen des Beitrags des Prozesses wiederum zu den IT-Zielen
Reifegradmodell, das die typischen Ausprägungen des Prozesses in 6 Reifegradstufen (0 bis 5) beschreibt
Festlegung von Verantwortlichkeiten für jeden Prozess über RACI
Bild: Kamal Selle
OK, und was nützt IT Governance für mein
Unternehmen?
„to control the formulation and implementation of IT strategy and in this way ensure the fusion of business and IT.”
Quelle: De Haes, S., van Grembergen, W. (2004): IT Governance and its Mechanisms.
Risikomanagement, um Sicherheit, Verfügbarkeit und Einhaltung von gesetzlichen Bestimmungen zu gewährleisten.
Quelle: Weill, P.; Ross, J.W.: IT Governance. Harvard Business Press Books, 2004.
“Firms with superior IT governance have more than
25% higher profits than firms with poor governance given the same strategic objectives.”
Was muss ich tun, um IT-Governance im Unternehmen
richtig einzusetzen?
Lesen Sie Bücher und erstellen Sie einen Projektplan!
Besuchen Sie eine Schulung und lassen Sie sich zertifizieren.
Lassen Sie sich durch einen Consultant unterstützen.
1. Cloud Computing benötigt IT-Governance-Prozesse, um die Chancen
zu nutzen und die Risiken zu minimieren.
2. Das Rad muss nicht neu erfunden werden, nutzen Sie existierende Frameworks, wie etwa COBIT.
PROVENTA AG
Proventa AG
Services • Strategieberatung • Projektmanagement • Konzeption & Design • Prozessmanagement • Systemintegration • Architektur • Datenmanagement • Technische Tests • Support und Wartung
Corporate Applications
• Order-Management
• CRM
• Billing and Rating
• Business Intelligence
• Data Governance
Interactive Media • Internet Applications • Mobile Applications
Gegründet 1992
Fachschwerpunkt Beratungshaus + System-Integrator
Branchenschwerpunkt Telekommunikation und ISP
Anzahl Mitarbeiter 110
Erfahrung Über 700 IT-Projekte
Technologien und Plattformen
Kontakt
Dr. Dietmar Georg Wiedemann, PMP® PROVENTA AG Untermainkai 29 60329 Frankfurt Fon: +49 (0)69 - 23 25 50 Fax: +49 (0)69 - 23 42 67 Mobil: +49 (0)151-16 78 95 82 Email: d.wiedemann[at]proventa.de