Die Cloud steht für Flexibilität, Agilität und Effizienz. Unternehmen, die ihre IT-Infrastruktur vollständig oder teilweise in die Cloud verlagern, können schneller auf Veränderungen in den Geschäftsanforderungen oder in der Belegschaft reagieren und so nicht nur flexibler, sondern auch kosteneffizienter arbeiten. Wie ist es jetzt aber möglich, Cloud-Ressourcen effizient zu nutzen, die Übersicht zu behalten und Sicherheit zu gewährleisten? Unterstützung bieten eine durchdachte Cloud Governance Strategie sowie ein Cloud Governance Framework. Wir geben heute einen Überblick, auf welchen Säulen diese Strategie basiert und wie sie mit dem Cloud Governance Framework zusammenhängt.
Was ist überhaupt eine Cloud Governance Strategie und warum ist sie so wichtig?
Die Nutzung von Cloud Lösungen in Unternehmen bringt zahlreiche Vorteile mit sich, aber auch ein großes Risiko: Kontrollverlust. Cloud Services können grundsätzlich von jedem Mitarbeiter und jeder Abteilung gebucht werden. Das kann einerseits zu hohen Kosten und wenig effizienter Nutzung der Dienste führen, andererseits aber auch zu Sicherheitsrisiken sowie Unsicherheit in Bezug auf Datenschutz und Compliance-Einhaltung. Aufgabe der IT-Abteilung ist es, diesen Kontrollverlust zu vermeiden und Rahmenbedingungen für die Nutzung und Beschaffung von Cloud Lösungen zu schaffen. Diese Rahmenbedingungen werden im Cloud Governance Framework definiert, das wiederum in engem Zusammenhang mit der Cloud Governance Strategie steht. Hierbei handelt es sich um die Strategie, die die einzelnen Bereiche des Frameworks zusammenbringt und dabei die Verknüpfungen und Abhängigkeiten der individuellen Bereiche berücksichtigt. Ihre Basis liegt in der allgemeinen Governance Strategie des Unternehmens und adaptiert diese auf Cloud Prozesse.
Sie spielt aus mehreren Gründen eine wichtige Rolle in Unternehmen:
- Sie bildet die Grundlage für das Cloud Governance Framework.
- Sie sorgt für Sicherheit und ein Rahmenwerk für die Beschaffung und Nutzung von Cloud Services.
- Sie bietet übersichtliche Kontrollmechanismen.
- Sie verhindert den Kontrollverlust.
Die 4 Säulen der Cloud Governance
Kostenmanagement
Im Gegensatz zur klassischen On-Premise-Infrastruktur und ihrer Wartung ist die IT-Infrastruktur in der Cloud meist günstiger. Es gibt jedoch einen wichtigen Unterschied: Während für On-Premise Systeme oft nur wenige einzelne Kostenpunkte entstehen, kann es für Cloud Services viele kleinere Kostenpunkte geben, die es zu kontrollieren gilt. Unternehmen benötigen dafür drei Instanzen: Richtlinien, Budgets und Berichte.
- Richtlinien zum Kostenmanagement sind dazu da, einen Rahmen für den Bezug neuer Cloud Services zu geben. Sie können zum Beispiel angeben, ob das Unternehmen hauptsächlich auf Managed Services setzen oder die Administration selbst übernehmen möchte. Hilfreich kann auch eine Checkliste sein, die die kostenspezifischen Schritte hin zur Anforderung eines neuen Cloud Dienstes beschreibt.
- Budgets geben einen Überblick über die Gesamtkosten, die die Cloud Services verursachen und setzen Kostengrenzen. An dieser Stelle ist es besonders wichtig, einen Plan für das Sammeln der Informationen zu erarbeiten, um alle Kosten aufstellen und nachvollziehen zu können.
- Berichterstattung zu anfallenden Kosten ist meist über den Cloud Anbieter selbst möglich. Werden jedoch Cloud Services von mehreren Anbietern bezogen, bietet es sich an, ein zentrales Tool zu verwenden, das alle Kosten bündeln kann.
Betriebsmanagement
Im Betriebsmanagement geht es vor allem darum, die Bereitstellung der Cloud Ressourcen zu steuern und managen. Für die Einführung neuer Cloud Services sollte es feste Prozesse geben, die jede Abteilung durchlaufen muss, wenn sie neue Services intern oder für Kunden beziehen möchten. So können Unternehmen die Entstehung von Schatten-IT vermeiden und behalten einen zentralen Überblick über alle gebuchten Leistungen. Das sorgt beispielsweise auch dafür, dass sie Ressourcen, die nicht effizient genutzt oder verwaltet werden, schnell entdecken und optimieren können.
Sicherheits- & Compliance Management
IT-Sicherheit ist grundsätzlich eine zentrale Aufgabe für Unternehmen. Kommen Cloud Lösungen zum Einsatz, entstehen neue Sicherheitsrisiken, die in der bisherigen Sicherheitsstrategie berücksichtigt werden müssen. Es geht also nicht darum, eine vollständig neue Sicherheitsstrategie zu entwickeln, sondern die bestehende Strategie und Compliance durch Cloud-spezifische Maßnahmen zu ergänzen. Eine Herausforderung besteht dabei darin, die Balance zwischen Sicherheit und Praktikabilität zu finden: Je strenger die Richtlinien, desto weniger gewillt sind Mitarbeiter, die betreffenden Systeme und Tools zu verwenden. Auch die Einhaltung von offiziellen Richtlinien und Gesetzen wird an dieser Stelle sichergestellt.
Diese Themen spielen im Security Management eine Rolle:
- Risikobewertung
- Datenverschlüsselung und -verwaltung
- Zugriffs- und Identitätsverwaltung
- Anwendungssicherheit
- Notfallplanung
Datenmanagement
Die Verwaltung und Sicherung von Daten spielt auch in der Cloud eine essenzielle Rolle. In der Cloud Governance Strategie gilt es zu definieren, welche Daten wie sensibel sind und welches Sicherheitsniveau sie benötigen. Sinnvoll ist es grundsätzlich, alle Daten bei Speicherung und Übertragung zu verschlüsseln. Unterschiedliche Sicherheitsstufen können Unternehmen dann für Zugriff und Änderung der Daten definieren. Es bietet sich zudem an, die Datenverwaltung zu automatisieren und dazu die Tools der Cloud Anbieter selbst zu nutzen – so werden Daten automatisch gesichert, migriert oder gelöscht, sofern sie nicht mehr benötigt werden.
Das Zusammenspiel zwischen Cloud Governance Framework und Strategie
Um ein zuverlässiges Cloud Governance Framework erstellen zu können, benötigt es eine Strategie. Diese Cloud Governance Strategie bildet die Grundlage für die konkreten Regelungen im Framework und ist eng an die grundsätzliche Governance Strategie im Unternehmen angelehnt – diese wird lediglich um Cloud-spezifische Themen ergänzt. Bei der Erarbeitung einer Cloud Governance Strategie und anschließend des Cloud Governance Frameworks nimmt vor allem ein Thema eine zentrale Rolle ein: das Zusammenspiel der einzelnen Bereiche. Beispielsweise gibt es Überschneidungen zwischen den Bereichen Datenmanagement und Sicherheit, ebenso wie beim Kosten- und Betriebsmanagement. Sowohl die Strategie als auch das Framework soll vor allem praktikabel sein, gleichzeitig aber die Kontrolle bieten, die den Überblick über alle Cloud Aktivitäten ermöglicht.