1. Frankfurt, 22. November 2011SecTXL 11IT-Governance matters.Drei Geschichten ber Chancen und Risikender Cloud-NutzungDr. Dietmar G. Wiedemann, PMPPROVENTA AGPROVENTA AG

2. Prolog:Zwei Stze ber mich. 3. Leiter des Fachbereichs Cloud Computingim Bundesverband der Dienstleister frOnline-Anbieter (BDOA)Fachbereich Cloud Computing, ein Forumfr die Zusammenarbeit und den Austauschim Cloud Computing. 4. 1. Cloud Computing bentigt IT-Governance-Prozesse, um die Chancen zu nutzen und die Risiken zu minimieren.2. Das Rad muss nicht neu erfunden werden, nutzen Sie existierende Frameworks, wie etwa COBIT. 5. Drei Geschichten ber dieChancen von Cloud Computing. 6. Was sind berzeugende Use Cases? Saison-Geschft PlanbarBedarfs-?volumenStart-upSchnellere Batch-ProzesseNicht planbar SchwankendNutzung im ZeitablaufKonstantQuelle: Armbrust, M. et. al (2010): A View of Cloud Computing. Communications of the ACM.PROVENTA AG 7. Claudia E-Commerce mit Fokusauf Weihnachtsartikel Nutzung von IaaSPlanbar, aber schwankend 8. Abfangen von planbaren Peaks im Saison-GeschftIT-BedarfZeit Tatschlicher BedarfOn-PremisesCloud 9. Finanzielle Vorteile durcheine CapEx-OpEx-Verschiebung 10. Peter Start-up im E-Commerce Nutzung von SaaS fr CRMSchwankend, aber nicht planbar 11. Keine hohen Anfangsinvestitionen 12. Flexibilitt durch Skalierbarkeit 13. Time-to-Market 14. Martina Data-Mining-Beratung Groe Datenmengen Meist Batch-Verarbeitung Nutzung von IaaS Volumen nicht planbar, aber konstant 15. Zeit-Vorteile durchschnellere Batch-Prozesse 16. Zwischenfazit I !Durch seine Vorzge hat Cloud Computingdas Potenzial, mittel- bis langfristig einenbetrchtlichen Teil der traditionellen IT-Leistungsangebote zu ersetzen.Quelle: BITKOM (2009): Cloud Computing - Evolution in der Technik, Revolution im Business. 17. Drei Geschichten ber dieRisiken von Cloud Computing. 18. Das Weihnachtsgeschft von Claudia war2011 weniger erfolgreich. 19. Grund war ein Ausfall beim IaaS-Provider,durch den die Kundendaten vollstndigverloren gingen. 20. Claudia hatte keinen Notfall-Plan Nutzung mehrerer Verfgbarkeitszonen Back-up (intern oder bei anderem Anbieter) 21. Eines Tages erhielt Peter einenunerfreulichen Brief vom UnabhngigenLandeszentrum fr Datenschutz. 22. Grund waren datenschutzrechtliche Versumnisse Verarbeitung personenbezogener Daten auerhalb desEuropischen Wirtschaftsraums Kein Safe-Harbor-Abkommen Keine Auftragsdatenvereinbarung ( 11 BDSG) 23. Peter droht ein hohes Bugeld oder erunterlsst die SaaS-CRM-Nutzung. 24. Eines Tages stellt Martina massive Schatten-ITfest, wodurch Datensilos bei verschiedeneninkompatiblen Anbietern entstanden. 25. Grund war der einfache Zugang zur Cloud.Man bentigt nur eine Kreditkarte, umIT-Investitionen an der IT vorbei zu ttigen. 26. Martina hatte keine Auklrungsarbeit geleistet und ist jetzt mit smtlichen Cloud-Risiken konfrontiertLock-in - Loss of governance - Compliance challenges - Loss of business reputation due to co-tenant activities - Cloud service termination orfailure - Cloud provider acquisition - Supply chain failure - Social engineering attacks - Backups lost - Resource exhaustion - Isolation failure -Cloud provider malicious insider - Management interface compromise - Intercepting data in transit - Data leakage on up/download - Insecure orineffective deletion of data - DDoS - EDOS - Loss of encryption keys - Compromise service engine - Conflicts between customer hardeningprocedures and cloud environment Subpoena and e-discovery - Risk from changes of jurisdiction - Data protection risks - Licensing risks 27. Zwischenfazit IIComplianceIT-RiskenSchatten-IT Cloud computing needsgovernance.Quelle: Gordon Haff - Senior Cloud Product Manager, Red Hat 28. IT-Governance 29. Definition: IT-Governance im Cloud-Kontext.Cloud Governance stellt Entscheidungs- und Kontrollprozesse zur Verfgung,um Risiken im Rahmen des Cloud-Service-Lebenszyklus zu senken und Chancen zu erhhen.StrategischePlanungDesign &Exit ArchitekturCloud Governance Integration, ChangeMigration & Customizing MonitoringNutzungPROVENTA AG 30. The use of proven frameworks can help enable anenterprise to realize expected benefits from the cloud.Quelle: ISACA (2011): IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud. 31. Die Information Systems Audit and Control Association(ISACA) empfiehlt die Nutzung von 4 integrierten Frameworks. COBIT bietet einen umfassenden COBIT Rahmen zur Erfllung von Anforderungen an die IT-Governance. Val IT hilft den optimalen Wertbeitrag aus IT-Investitionen zu erzielen.Cloud Governance Risk ITVal IT Risk IT dient dem IT-Risikomanagement. Frameworks BMIS bietet Leitlinien, die smtliche Aspekte der Informationssicherheit aus Geschftssicht behandeln. Business Model forInformationSecurityQuelle: ISACA (2011): IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud. PROVENTA AG 32. COBIT in a nutshell 33. Grundprinzip von COBIT Start Richtung vorgeben IT-Prozesse Ziele setzen Vergleichen aufsetzen und implementieren Performance messen 34. Identifikation der Geschfts- und IT-Ziele fr denCloud-Einsatz und Ableitung der bentigten IT-Prozesse, umdie IT am Geschft auszurichtenMatrix Geschftsziel/IT-Ziel Matrix IT-Ziel/IT-Prozess Ausrichtung der IT am Geschft 35. Beschreibung von 34 Prozessen, diesich an vier Domnen orientierenberwachung &Evaluierung Lieferung & SupportBeschaffung & Implementierung Planung & Organisation 36. Metriken zur Beurteilung des Prozesses des Beitrags einzelner Aktivitten zu den Prozess-Zielen des Beitrags des Prozesses wiederum zu den IT-Zielen Bild: Ashlinorton 37. Reifegradmodell, das die typischenAusprgungen des Prozesses in6 Reifegradstufen (0 bis 5) beschreibt 38. Festlegung von Verantwortlichkeiten fr jedenProzess ber RACIBild: Kamal Selle 39. OK, und was ntztIT Governance fr meinUnternehmen? 40. to control the formulation andimplementation of IT strategy and in thisway ensure the fusion of business and IT.Quelle: De Haes, S., van Grembergen, W. (2004): IT Governance and its Mechanisms. 41. Risikomanagement, um Sicherheit, Verfgbarkeitund Einhaltung von gesetzlichen Bestimmungenzu gewhrleisten. 42. Firms with superior IT governance have more than25% higher profitsthan firms with poor governance given the samestrategic objectives.Quelle: Weill, P.; Ross, J.W.: IT Governance. Harvard Business Press Books, 2004. 43. Was muss ich tun, umIT-Governance im Unternehmenrichtig einzusetzen? 44. Lesen Sie Bcher understellen Sie einen Projektplan! 45. Besuchen Sie eine Schulung undlassen Sie sich zertifizieren. 46. Lassen Sie sich durch einenConsultant untersttzen. 47. 1. Cloud Computing bentigt IT-Governance-Prozesse, um die Chancen zu nutzen und die Risiken zu minimieren.2. Das Rad muss nicht neu erfunden werden, nutzen Sie existierende Frameworks, wie etwa COBIT. 48. Proventa AG Gegrndet 1992Services Strategieberatung Fachschwerpunkt Beratungshaus + System-Integrator Projektmanagement Konzeption & Design Branchenschwerpunkt Telekommunikation und ISP Prozessmanagement Systemintegration Anzahl Mitarbeiter110 Architektur Erfahrung ber 700 IT-Projekte Datenmanagement Technische Tests Support und Wartung Corporate Applications Technologien und Plattformen Order-Management CRM Billing and Rating Business Intelligence Data Governance Interactive Media Internet Applications Mobile Applications PROVENTA AG 49. KontaktDr. Dietmar Georg Wiedemann, PMPPROVENTA AGUntermainkai 2960329 FrankfurtFon: +49 (0)69 - 23 25 50Fax: +49 (0)69 - 23 42 67Mobil: +49 (0)151-16 78 95 82Email: d.wiedemann[at]proventa.de