Cloud Policies: Governance statt Kontrolle für eine erfolgreiche Nutzung der Cloud.

Ob es um die Nutzung, die Sicherheit oder die Einführung neuer cloudbasierter Tools geht – die Entwicklung von Cloud Policies zählt zu einer der zentralen Aufgaben im Zuge der Cloud Transformation. Erarbeitet werden können diese Policies beispielsweise durch das Cloud Competence Center. Worauf kommt es jetzt aber an, damit die Cloud Policies den Erfolg der Transformation unterstützen, statt sie auszubremsen? Warum Governance statt starrer Kontrolle der richtige Weg ist und welche Faktoren Einfluss auf die Cloud Policies nehmen können, erfahren Sie in diesem Artikel.

Kontrolle und Governance – so können Cloud Policies umgesetzt werden

Durch Richtlinien und Leitfäden, die Cloud Policies, entstehen Rahmenbedingungen für den zielgerichteten und effizienten Einsatz der Cloud. Diese Rahmenbedingungen werden in der Regel im Cloud Governance Framework festgehalten. Hier gilt es allerdings, eine durchdachte Herangehensweise zu finden, die sowohl Risiken verringert als auch Chancen auf Flexibilität und Agilität ermöglicht. Grundsätzlich geht es darum, eine Cloud Governance aufzubauen, statt starr zu kontrollieren. Feste Mechanismen werden vor allem technisch durch Cloud Spezialisten eingeführt, um Risiken zu minimieren, etwa durch:

• Sicherheitskontrollen
• Zugriffskontrollen
• Prozesse zum Erwerb von Cloud Services

Zusätzlich gibt es häufig einige feste, organisatorische Richtlinien, die Risiken vermeiden sollen, wie beispielsweise Genehmigungsprozesse vor dem Kauf neuer Cloud Services.

Bei allen anderen Richtlinien zur Cloud Nutzung handelt es sich jedoch vor allem um Leitfäden. Sie kommunizieren Risiken und Grenzen, aber dennoch erleben die Nutzer Freiheit in der Anwendung und Weiterentwicklung der Cloud im Unternehmen. Denn, je nahtloser sich die Cloud Lösungen in den Arbeitsalltag der Mitarbeiter einbinden lassen, desto höher sind die Akzeptanz, Zufriedenheit und Produktivität. Fühlen Mitarbeiter sich stattdessen durch starre Richtlinien eingeschränkt, sinkt die Akzeptanz bis hin zum Entstehen von Schatten-IT, da die bestehenden Cloud Lösungen umgangen werden.

Wie Sie flexible Cloud Policies etablieren können

Die Erarbeitung sinnvoller Cloud Policies hängt von mehreren Faktoren ab. Hier gibt es keine einheitliche Lösung, die für alle Unternehmen und Teams funktioniert. Vielmehr gilt es, flexible Cloud Policies zu erstellen, die sich an den Bedürfnissen der Mitarbeiter und an den Gegebenheiten der Cloud Lösungen anpassen. Einfluss nehmen deshalb unterschiedliche Faktoren.

• Hierarchie im Unternehmen: Werden alle Cloud Policies für jede Hierarchieebene im Unternehmen benötigt? Häufig gibt es Richtlinien, die für die gesamte Organisation gelten, wie beispielsweise grundlegende Sicherheitsanforderungen. Teils können Richtlinien jedoch auch für einzelne Geschäftsbereiche oder konkrete Teams nötig sein. Je unterschiedlicher die Anforderungen der einzelnen Abteilungen und Teams sind, desto individueller sollten auch die Cloud Policies aussehen.

• Art der Cloud Lösung: Je nachdem, welche Arten von Cloud Services im Unternehmen zum Einsatz kommen, benötigt es auch hier individuelle Policies. Sowohl Governance als auch Management und Sicherheit sehen für SaaS-Lösungen häufig anders aus als für IaaS- oder PaaS-Lösungen. Diese Unterschiede sollten unbedingt berücksichtigt werden.

• Cloud Nativity: Für cloudbasierte, agile Anwendungen sind häufig andere Guidelines nötig als für Anwendungen, die bereits seit längerer Zeit in der Cloud betrieben, aber kaum verändert werden.

• Spezifische Apps & Prozesse im Team: Abhängig davon, welches Team die Cloud Services verwendet, können sich die Anforderungen deutlich unterscheiden. Unterschiedliche Teams nutzen unterschiedliche Anwendungen, haben unterschiedliche Prozesse und Tools für ihre Arbeit. Cloud Policies sollten auch diese individuellen Anforderungen berücksichtigen, statt alle Anwender nach den gleichen Policies agieren zu lassen.

• Kenntnisse des Teams: In einigen Teams bestehen tiefere Kenntnisse der Cloud Technologien oder ein umfassendes Verständnis rund um die IT-Sicherheit. In anderen Teams wiederum gibt es nur ein Basis-Verständnis für den Einsatz der Cloud Lösungen. Bestehen tiefere Kenntnisse, können die Policies möglicherweise weniger strikt ausfallen. Sie ermöglichen dann den Teams mehr Freiheiten und kreative Wege für die Nutzung der Cloud unter Anwendung ihres Cloud- und Sicherheitswissens.

Eine dauerhafte Aufgabe: Aktualisierung und Prüfung der Guidelines

Beim gesamten Cloud Governance Framework handelt es sich um ein Dokument, das dauerhafter Prüfung und Aktualisierung untersteht. Immer wieder entwickelt sich die Cloud Technologie weiter, im Unternehmen kommen neue Cloud Services zum Einsatz, Mitarbeiter entwickeln neue Kenntnisse und verbessern ihr aktuelles Verständnis. Ebenso sollten sich auch die Cloud Policies weiterentwickeln und den aktuellen Gegebenheiten anpassen. Bestenfalls entsteht ein regelmäßiges Intervall, in dem Verantwortliche die bestehenden Policies, Richtlinien und Leitfäden prüfen, beispielsweise einmal im Quartal. Wichtig ist dabei auch: Veränderte Policies sollten Sie frühzeitig an die Mitarbeiter kommunizieren. Je nachdem, welche Veränderungen es gibt, müssen einzelne Teams gegebenenfalls ihre Routinen ändern. Sie benötigen für die Umsetzung eine entsprechende Vorlaufzeit.

Fazit: Cloud Transformation und Nutzung flexibel & individuell gestalten

Ein Cloud Governance Framework mit Richtlinien und Policies in Einheitsgröße gibt es nicht. Vielmehr gilt: Je individueller dieser zentrale Leitfaden an einzelne Teams, Anwendungen und Anforderungen angepasst ist, desto erfolgversprechender ist auch die Nutzung. So haben Mitarbeiter die Möglichkeit, ihre Cloud Tools agil und flexibel einzusetzen. Sie können innovativ arbeiten und das volle Potenzial der Cloud ausnutzen. Umso wichtiger ist es also, dass das Cloud Competence Center Cloud Policies gewissenhaft erarbeitet, um alle Mitarbeiter zu enabeln, statt ihnen Steine in den Weg zu legen.