Unternehmen wollen von den neuen Technologien profitieren, welche der digitale Markt ihnen bietet. Sie sind gezwungen, ihr Kerngeschäft gegenüber Disruptoren zu verteidigen und wollen daher vermehrt digitale Dienste in ihr Geschäftsmodell integrieren. Die traditionellen Betriebsmodelle, insbesondere der IT-Organisationen sind dabei oft nicht geeignet, da die Strukturen, Prozesse und Technologien der Komplexität und der Dynamik der digitalen Ära nicht gerecht werden.
Um in der digitalen Service-Ökonomie wettbewerbsfähig zu sein, muss sich die IT-Organisation von einer technologie- und projektzentrierten Ausrichtung zu einem neuen Management-Stil wandeln, das darauf ausgerichtet ist, Personen im und ausserhalb des Unternehmens auf neue Art und Weise zu verbinden und neue Erfahrungen und Innovationsmöglichkeiten zu schaffen. Die explosionsartige Verbreitung von Cloud-basierten Diensten haben dem Business neue Möglichkeiten für die Beschaffung von Geschäfts- und Technologiefunktionen eröffnet. Die IT-Organisation selbst muss zur treibenden Kraft für ein neues digitales Betriebsmodell werden, das die Service-Ökonomie in einem solchen Multiprovider-Umfeld unterstützt, eines das dem Business neue Erkenntnisse bei der Selbstbeschaffung von Services ermöglicht und damit die Innovationen vorantreibt.
So ein digitales Betriebsmodell ist gekennzeichnet durch einen hohen Automatisierungsgrad, automatischen Feedback-Loops und einer hoch getakteten kontinuierlichen Integrations- und Bereitstellungspipline. Die gesamte Toolchain-Architektur inklusive produktiver Betrieb basiert vermehrt nur noch mit Lösungen aus der Cloud, welche Ressourcen automatisiert bei Bedarf alloziert und nach Gebrauch wieder freigibt.
Herausforderungen aus Sicht der Governance
Was technisch vielversprechend funktioniert, birgt aus Sicht der Unternehmensverantwortung noch eine Reihe von zu beantwortenden Fragestellungen. Denn Cloud Computing hat erhebliche Auswirkungen auf die Governance, da es ein neues Businessmodell darstellt und Technologien einführt, die neue oder andere Arten von Kontrollen und Prozessen erfordern. Zudem sind beim Cloud Computing eine mehr oder weniger transparente Lieferantenkette involviert. Das digitale Betriebsmodel muss sich an diesen Herausforderungen ausrichten, um der neuen Realität gerecht zu werden. Der Governance-Ansatz kann entsprechend kompliziert werden, denn Cloud ist nicht gleich Cloud. Je nach Service Modell (IaaS, PaaS, SaaS) und je nach Deployment Modell (public, private, hybrid) sind unterschiedliche Überlegungen in der Ausgestaltung der Governance zu machen. Aber allgemein gilt zu beachten:
- Die Cloud kann zu einem Verlust der direkten Kontrolle über die zugrundeliegende IT-Infrastruktur führen. Damit ist ein Unternehmen gezwungen, neue Governance-Richtlinien und -Prozess einzuführen.
- Die Cloud-Services und -Daten können sich über mehrere Gerichtsbarkeiten erstrecken, so dass die Kunden gezwungen sind, mehr Gesetze und Vorschriften aus fremden Ländern einzuhalten.
- Die Sichtbarkeit und Transparenz einiger Cloud-Services und der beteiligten Provider können schwierig bis teilweise unmöglich sein. Cloud-Services werden oft als eine Kette von Provider aufgebaut, was den Umfang der Governance-Aktivitäten erschwert (z. B. ein SaaS-Anbieter, der auf der Infrastruktur eines anderen IaaS-Anbieters läuft).
- Die Nutzung von Cloud-Lösungen bedeutet nicht, dass das Unternehmen die Verantwortung für seine Kontrollen an eine Drittpartei auslagert.
- Die Eigentumsrechte an bestimmten Daten sind möglicherweise nicht intuitiv klar und müssen sorgfältig geprüft werden.
- Die meisten Provider haben ein Standardangebot, das nicht an die spezifischen Anforderungen des Kunden angepasst werden kann. Der Kunde muss für zwingend abweichende Anforderungen Umgehungslösungen finden.
- Cloud-Anbieter können einen unterschiedlichen Reifegrad und eine Vielzahl von Services, Lizenzen und Modellen aufweisen, was die Festlegung einer einheitlichen Cloud-Richtlinie erschwert
- Die Cloud verwendet ein Modell der geteilten Verantwortung, welches eine spezifische Zuordnung von Kontrollen und Verantwortlichkeiten zwischen Provider und Kunde erfordert.
- Hybride Cloud-Modelle können die Governance erschweren, da es schwierig ist, klare Grenzen zwischen den Verantwortlichkeiten von Providern und Kunden zu ziehen.
- Bei Cloud-Services müssen sich die Kunden mehr auf die Bewertung der bereitgestellten Unterlagen und nicht auf eigene durchgeführte Audit-Tests verlassen.
- Cloud-Provider ändern sich schnell, so dass langfristige Planung und komplexe Richtlinien Gefahr laufen, innerhalb kürzester Zeit nicht mehr relevant zu sein.
Das Modell der geteilten Verantwortung sieht vor, dass ein Unternehmen und ein Cloud Service Provider jeweils getrennte, aber sich ergänzende Verpflichtungen haben, um sicherzustellen, dass der Cloud-Service wie vorgesehen funktioniert und geschützt bleibt. In der Realität erstreckt sich diese gemeinsame Verantwortung oft nicht nur auf den Cloud Service Provider, sondern auch auf die Agenten und Partner, die er für die Bereitstellung des Service einsetzt, und auf andere Parteien, wie z.B. einen Cloud-Plattform-Integrator und Softwareentwicklungsunternehmen, die Anwendungen erstellen oder managen, die auf der Cloud-Plattform laufen.
Herausforderungen aus Sicht der Compliance
Die Anforderungen zu kennen, welche einzuhalten sind und diese in Policies zu verankern ist das eine. Diese Einhaltung, respektive die Compliance überall nachzuweisen wohl das andere. Es braucht ein Cloud-Compliance Programm, dessen Ziel es ist kontinuierlich sicherzustellen, dass alle Aspekte im Zusammenhang mit der Cloud-Einführung in einer Organisation den Anforderungen entsprechen, für die sie verantwortlich ist. Risikomanagement, Governance-Richtlinien, Informationssicherheit, Datenschutz usw. sind Schlüsselkomponenten, die die Entscheidungen für die von der Organisation eingeführten Massnahmen vorantreiben. Die Einhaltung der Vorschriften zielt letztlich darauf ab, zu überprüfen, ob diese Massnahmen ordnungsgemäss konzipiert, umgesetzt und wie beabsichtigt betrieben werden.
Um dies überhaupt zu ermöglichen, braucht es zuerst ein vollständiges Verständnis und eine Dokumentation des aktuellen Cloud-Ökosystems des Unternehmens. Dazu gehören eine aktuelle Bestandsaufnahme aller Cloud-Services, deren Cloud Service Provider sowohl für den Service als auch für die Bereitstellung und beteiligten Parteien sowie eine Verantwortungsmatrix für alle. Dabei muss das Unternehmen die Risiken einschätzen und einen Risikoakzeptanzlevel mit der Geschäftsleitung abgestimmt haben, und zwar bevor es Vereinbarungen mit Cloud Service Providern trifft. Denn die Auslagerung von Verantwortlichkeiten an einen Provider geht grundsätzlich immer einher mit einem erhöhten Mass neuer Risiken, denen das Unternehmen zuvor nicht ausgesetzt war. Wenn das Betriebsmodell dies nicht bereits beinhaltet, braucht es spätestens jetzt ein effektives Unternehmens-Risikomanagementprogramm, das mit dem Cloud-Service-Portfolio synchronisiert ist, um Überraschungen zu vermeiden.
Cloud-Computing im digitalen Betriebsmodell fusst in weiten Teilen auf Vertrauen. Jedoch kein blindes Vertrauen, sondern eines basierend auf drei Variablen: Transparenz wer was tut, Sicherheit die sich nachweisen lässt und Verantwortlichkeit welche sichtbar wahrgenommen wird – und zwar auf allen Seiten.
Der Autor
Martin Andenmatten, CEO Glenfis AG, CISA, CRISK, CGEIT und ITIL-Master