IT-Governance - die Wolke fest im Griff

Dr. Dietmar G. Wiedemann, PMP®PROVENTA AG

Hamburg, 11. August 2011SecTXL '11

PROVENTA AG

Kompetenzen

Service

Qualität

Nachhaltigkeit

Erfahrungen

Dauer der Unternehmensvorstellung

L a n g e w ei le

PROVENTA AG

Dauer der Unternehmensvorstellung vs. Langeweile des Publikums

PROVENTA AGPROVENTA AG

692

Take aways

1. Cloud Computing benötigt IT-Governance-Prozesse.

2. Existierende Frameworks können angewendet werden, benötigen aber eine Anpassung an die Gegebenheiten des eigenen Unternehmens.

Warum benötigt Cloud Computing IT-Governance Prozesse?

PROVENTA AG

IT-AbteilungBeratungshausFachabteilung

Gewichte laut Kausalanalyse auf die Frage „Wer empfiehlt IaaS “ in Relation zur IaaS-Akzeptanz: Fachabteilung 0,382 , Beratungshäuser 0,186, IT-Abteilung 0,081; Quelle: Wiedemann/ Strebel (2011)

Die Empfehlung der Fachabteilung IaaS zu nutzen, hat das schwerste Gewicht auf die IaaS-Nutzungsentscheidung.

Ergebnis der Studie „IaaS-Nutzung in Deutschland 2011“

Fachabteilungen treiben das Thema Cloud Computing.

Gefahr der Schatten-IT steigt.

Einfacher Zugang zur Cloud ermöglicht Schatten-ITMan benötigt nur eine Kreditkarte, um IT-Investitionen zu tätigen.

Was kann dem Unternehmen aufgrund der Schatten-IT im Worst-Case passieren?

„Für den Fall der personenbezogenen und steuerrelevanten Daten sind vom Gesetzgeber Bußgelder bis zu 250.000,- EUR für jeden Einzelfall der Zugriffsverhinderung oder der unzulässigen Datenverlagerung ins Ausland vorgesehen.“--- Rechtsanwalt Dr. Jens Bücking

Verlust kritischer Daten wegen unzureichender Backups

Data & Vendor Locked-in durch fehlende oder ungeeignete Exit-Optionen

“Cloud computing needs governance. Which is to say that cloud computing needs processes, policies, and procedures.”-- Gordon Haff - Senior Cloud Product Manager, Red Hat!

Zwischenfazit

Was ist eigentlich Cloud Governance?

PROVENTA AG

Definition: Cloud Governance.

Cloud Governance ist Teil der IT-Governance und stellt Entscheidungsprozesse, -kriterien und -regeln im Rahmen des Cloud-Service-Lebenszyklus zur Verfügung. Ziel ist das Schaffen von Wert und die Risikominimierung im Cloud Computing.

Cloud Governance

Wie funktioniert Cloud Governance?

PROVENTA AG

Die Information Systems Audit and Control Association (ISACA) empfiehlt die Nutzung von 4 integrierten Frameworks.

Govenrance Frameworks

Quelle: ISACA: IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud.

COBIT bietet einen umfassenden Rahmen zur Erfüllung von Anforderungen an die IT-Governance.

Val IT hilft den optimalen Wertbeitrag aus IT-Investitionen zu erzielen.

Risk IT dient dem IT-Risikomanagement.

BMIS  bietet Leitlinien, die sämtliche Aspekte der Informationssicherheit aus Geschäftssicht behandeln.

PROVENTA AG

Beispiel 1: Von der Zielsetzung zum Business Case für Cloud

Quelle: ISACA: IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud.

PROVENTA AG

Beispiel 2: Welche Schritte sind zur Zielerreichung nötig?

Quelle: ISACA: IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud.

DS6 Identify and Allocate Costs− DS6.1 Definition of Services− DS6.2 IT Accounting− DS6.3 Cost Modelling and Charging− DS6.4 Cost Model Maintenance

PO5 Manage the IT Investment −PO5.1 Financial Management Framework−PO5.3 IT Budgeting −PO5.4 Cost Management−PO5.5 Benefit Management −PO5.5 Benefit Management

PROVENTA AG

Gelebte Cloud Governance bietet drei wesentliche Vorteile

Risikominimierung und Schaffen von Werten durch strategisches Alignment IT/Business, Ressourcenmanagement und Performance-Monitoring

Klar formulierte VerantwortlichkeitenRACI

Abgestimmte und etablierte Prozesse für Cloud- Entscheidungen

Aber: Cloud Governance-Frameworks benötigen eine Anpassung an die Gegebenheiten des eigenen Unternehmens

PROVENTA AG

Unterschiedliche Situationen in Unternehmen erfordern unterschiedliche Maßnahmen und Governance-Prozesse.

Compliance Anforderungen an die Daten− Anforderungen aus BDSG− Steuerrelevante Vorschriften (GDPdU, GoBS)− Unternehmensspezifische Vorgaben, z.B. Geheimnisschutz bei

Rechtsanwälten− Internationale Regelungen (Sarbanes-Oxley Act)

§Rahmenbedingungen im Unternehmen

− Kritikalität der Cloud Services− „Street Value“ und strategischer Wert der Daten− Bestehende Governance Strukturen− Risikoakzeptanz im Unternehmen

Fazit

1. Cloud Computing benötigt IT-Governance-Prozesse.

2. Existierende Frameworks können angewendet werden, benötigen aber eine Anpassung an die Gegebenheiten des eigenen Unternehmens.

PROVENTA AGPROVENTA AG

1999 2010

Projekte in der Telekommunikationsbranche*

692

*Stand: 11/2010

PROVENTA AG

Proventa AG

Services• Projektmanagement • Konzeption & Design• Prozessmanagement• Systemintegration • Architektur • Datenmanagement• Technische Test• Support und Wartung

Corporate Applications• Order-Management • CRM • Fulfillment • Billing and Rating • Business Intelligence• Data Governance

Interactive Media• Internet Applications• Mobile Applications

Gegründet 1992

Fachschwerpunkt Beratungshaus + System-Integrator

Branchenschwerpunkt Telekommunikation und ISP

Anzahl Mitarbeiter 75

Technologien und Plattformen

Kontakt

Dr. Dietmar Georg Wiedemann, PMP® PROVENTA AGUntermainkai 2960329 Frankfurt

Fon: +49 (0)69 - 23 25 50Fax: +49 (0)69 - 23 42 67Mobil: +49 (0)151-16 78 95 82Email: d.wiedemann[at]proventa.de

PROVENTA AG

Branche: 42% der Befragten stammen aus der IKT-Branche. Funktion im Unternehmen: 45% der Befragten haben eine Führungsposition inne.

Unternehmensgröße: Die Stichprobe ist hinsichtlich der Mitarbeiterzahl sehr heterogen.

Unternehmensumsatz: Ein Drittel der Unternehmen erzielt mehr als 100 Mio. Umsatz.

CEO/COO11%

CIO/CTO19%

IT-Leitungsfunktion

15%

IT-Manager / Teamleiter / Projektleiter

26%

IT-Spezialist 12%

Keine Antwort6%

Manager, Teamleiter

5%

Spezialist in Fachabteilung

6%

Teilnehmer-Statistik:Der Studie liegt eine Stichprobe von 226 Teilnehmer zugrunde.

N=226