Tag: Governance

Categories
Management @de

IT-Abteilungen entscheiden nicht mehr über die Nutzung von Cloud Computing Services

Es ist wie Dietmar Wiedemann und ich es im vergangenen Jahr (Erstveröffentlichung, 16.08.2011) bereits vorausgesagt und darauf hingewiesen haben. Die Schatten-IT hat die Oberhand gewonnen. Das bestätigt ein Bericht von Capgemini, basierend auf einer Umfrage unter 460 Unternehmen weltweit. Kurzum: Die Verantwortung für die Einführung von Cloud Computing Services übernehmen vor allem Mitarbeiter ohne IT-Hintergrund.

45 Prozent der Fachabteilungen entscheiden über Cloud Services

Bereits 45 Prozent der Fachabteilungen entscheiden selbst, welche Arten von Cloud Services sie nutzen wollen. Im Vergleich dazu werden nur 44 Prozent der IT-Abteilungen zur Rate gezogen. Die restlichen 11 Prozent werden als Sonstige angegeben.

Das bedeutet, dass fast die Hälfte aller Entscheidung (Budget, Auswahl und Implementierung) um das Thema Cloud Computing herum von der Business-Seite getroffen werden. Im Umkehrschluss zeigt es, dass die IT-Abteilung sich mehr und mehr mit CMOs, Vorständen, Führungskräften, HR-Mitarbeitern, Mitarbeitern aus dem Procurement, der Finanzabteilung und der Verwaltung auseinandersetzen müssen. IT-Entscheidungen werden somit immer weniger von der IT-Abteilung selbst getroffen.

Cloud Computing startet durch

83 Prozent der befragten Unternehmen verfügen bereits über eine Strategie für die Einführung von Cloud Services. Dabei liegen US-amerikanische Organisationen deutlich vorne. Unternehmen aus Europa hingegen hinken hinterher.

89 Prozent glauben, dass Cloud Computing ein Treiber für ein besseres Wirtschaftsklima ist. Dabei sind neue Wachstumsmärkte erschließen (53 Prozent) und neue Anwendungen ausrollen (23 Prozent) die beiden Top-Gründe für Unternehmen, um in die Cloud zu gehen.

Private Cloud und Software-as-a-Service sind beliebt

45 Prozent der befragten Unternehmen entscheiden sich aktuell für eine durch einen Partner gehostete Private Cloud (Hosted Private Cloud). Weitere 22 Prozent bevorzugen eine selbst betriebene Private Cloud (on-Premise).

Software-as-a-Service gehört zu den derzeit am meisten genutzten Cloud Services (42%). Gefolgt von Infrastructure-as-a-Service (40 Prozent) und Platform-as-a-Service (36 Prozent). Dabei greifen Unternehmen bevorzugt auf CRM-Lösungen, HR-Applikationen, Finanzen- und Verwaltungsservices sowie Lösungen für die gemeinsame Abwicklung von Procurement-Prozessen zurück.

Top 1 Problem: Integration

Der Hauptgrund für Unternehmen, derzeit noch keine Cloud Services einzuführen, sind fehlende Integrationsmöglichkeiten (45 Prozent) gefolgt vom Mangel an Agilität im Unternehmen (35 Prozent), Angst vor Sicherheitslücken (33 Prozent) und eine nicht vorhandene Cloud-Strategie (31 Prozent).

Cloud Computing ist ein durch das Business getriebenes Konzept

Wirklich überrascht hat mich das Ergebnis der Umfrage nicht. Zwar wird Cloud Computing oft als ein rein technologischer Ansatz betrachtet, der nur dafür entwickelt wurde, Unternehmen in Zukunft zu helfen, skalierbarer, flexibler etc. zu agieren. Das ist auf der einen Seite auch richtig, allerdings vertrete ich schon sehr lange die Meinung, dass Cloud Computing in erster Linie durch das Business und nicht durch die Technologien getrieben wird bzw. wurde. Aber warum ist das so?

Das kann hier nachgelesen werden: Cloud Computing ist ein durch das Business getriebenes Konzept

Categories
News

Google Apps Vault wird globaler

Nachdem Google im März Google Apps Vault gestartet hat, um damit mehr Governance für Unternehmen in seine Office Google Apps zu bringen, rollt Google den Service nun mit weiteren Sprachen weltweit aus. Google Apps Vault ist eine Lösung für Google Apps for Business Kunden, mit denen diese ihre geschäftskritische Informationen verwalten und wichtige Daten archivieren können.

Google Apps Vault wird globaler

Verwaltung geschäftskritischer Informationen

Google Apps Vault bietet Möglichkeiten für das Speichern, Archivieren und der elektronischen Suche von E-Mail und Chat Nachrichten, wodurch Unternehmen jeder Größe ihre geschäftskritische Informationen verwalten können. Vault ist vollständig in Google Apps integriert, wodurch sich Governance Regelungen direkt auf die in Apps gespeicherten Daten anwenden lassen, ohne diese oder eine Kopie dieser an einen separaten Ort zu bewegen.

Mehr Sprachen mehr Reichweite

Google Apps Vault unterstützt bereits alle Sprachen, die auch von Google Apps abgedeckt werden. Das sind immerhin mehr als 50 Stück. Nun erweitert Google die Benutzeroberfläche von Vault auf 28 Sprachen inkl. Japanisch, Chinesisch und Arabisch.

Google Apps Vault steht für neue und aktuelle Kunden der Versionen Google Apps for Business und Education zur Verfügung. Ältere Kunden werden im Laufe des Jahres in den Genuss kommen.

Categories
News

Google Apps Vault: Google Enterprise startet Information Governance für Google Apps

Google Enterprise präsentiert Google Apps Vault. Dabei handelt es sich um eine Lösung für Google Apps for Business Kunden zur Verwaltung geschäftskritischer Informationen und der Archivierung wichtiger Daten.

Google Apps Vault: Google Enterprise startet Information Governance für Google Apps

Google Apps Vault soll dabei die Kosten für Rechtsstreitigkeiten, regulatorische Untersuchungen und Compliance Maßnahmen senken und richtet sich an Unternehmen jeder Größe.

Laut Google liefert Vault mit ein paar Klicks z.B. umgehend alle Informationen rund um GMail und ermöglicht es zudem E-Mails und Chats zu archivieren.

Die Kosten für Google Apps Vault belaufen sich auf 5 Dollar pro Google Apps Nutzer pro Monat.

Bildquelle: http://jalons.be

Categories
Analysen

Die Herausforderungen des Cloud Computing: Governance

Mit der Adaption von Cloud Computing Technologien und Services stehen Unternehmen Herausforderungen gegenüber, die es zu bewältigen gilt. Zum einen müssen organisatorische Voraussetzungen geschaffen und Aufklärungsarbeit innerhalb des Unternehmens geleistet werden, um die Akzeptanz und das Verständnis zu stärken. Zum anderen treffen aber auch viele “Widerstände” von außen auf das Unternehmen. Das sind neben Fragen bzgl. der Sicherheit und des Datenschutz ebenfalls Themen zur Verfügbarkeit und Performanz des ausgewählten Cloud Service sowie dessen Integrationsfähigkeit in die bereits bestehende IT-Infrastruktur und die nahtlose Unterstützung der vorhandenen Geschäftsprozesse. Und wie auch schon aus den klassischen Sourcingmöglichkeiten bekannt, besteht auch im Cloud Computing die Angst, in die Abhängigkeit eines einzigen Anbieters zu verfallen. So müssen auch hier die Interoperabilität und die Schnittstellen des Anbieters sowie ein Vergleich zu anderen Anbieteren vorgenommen werden.

Ist die Entscheidung für die Nutzung des Cloud Computing gefallen, ist es für Unternehmen zunächst an der Zeit, eine Ist-Analyse der bestehenden IT-Infrastruktur und Systeme vorzunehmen, um auf Basis dieser zu planen, welche Cloud Services adaptiert werden sollen. Hier kann bspw. eine Kosten-/ Nutzen-Analyse weiterhelfen, bei der auch eine Risikobewertung nicht fehlen sollte. Um erste Erfahrungen auf dem Cloud Computing Gebiet zu sammeln, sollte ein Pilotprojekt initiiert werden, welches auf Grund des Cloud Computing Konzepts schnell und kostengünstig gestartet werden kann. Dieses sollte einem Gesamtverantwortlichen “Cloud” untergeordnert sein, der als zentrale Stelle innerhalb der Organisation für die Adaption und Beratung der einzelnen Abteilungen für dieses Thema zuständig ist. Mit den gesammelten Erfahrungen können dann weitere Projekte gestartet werden und die Adaption unterschiedlicher Cloud Services sukzessive vorgenommen werden.

Governance

Für die Leitung und Überwachung setzen Unternehmen seit vielen Jahren auf den Einsatz einer Corporate Governance, um damit neuartige externe Interessen berücksichtigen zu können. Speziell börsennotierte Unternehmen unterliegen besonderen Rahmenbedingungen, die sich auf die Strukturen und Prozesse der Führung, Verwaltung und Kontrolle auswirken. Vor allem Regulierungen zwingen Unternehmen dazu, betriebliche Abläufe transparenter zu gestalten und führen zu einem höheren internen Kontrollbedarf, der bestmöglich automatisiert in die Geschäftsprozesse integriert wird. Speziell hier hat die Corporate Governance einen nahtlosen Einfluss auf die IT eines Unternehmens, was IT-Entscheider dazu bewegt, aus der Corporate Governance eine IT-Governance abzuleiten.

Der Schwerpunkt der IT-Governance liegt, gemäß den aktuellen und zukünftigen Anforderungen durch die Unternehmensseite (intern) und der Kundenseite (extern), auf der Transformation der IT. Zudem stellt eine IT-Governance mittels organisatorischer Strukturen und Prozesse sicher, dass alle eingesetzten Funktionen der IT eines Unternehmens die Gesamtunternehmensstrategie optimal unterstützt. Aus diesem Grund hängt die IT-Governance unmittelbar von der Corporate Governance ab. Somit leiten sich die IT-Prozesse neben der IT-Strategie ebenfalls aus den Geschäftsprozessen ab. Die Aufgabe der IT-Governance besteht darin, die Organisation und die Steuerung dieses Abstimmungsprozesses zu übernehmen.
Ein Blick auf die Bereiche einer Unternehmensarchitektur, zu denen auch die Corporate Governance und somit die IT-Governane gehört, zeigt, dass zu der Unternehmensstrategie, den Geschäftsprozessen und der Geschäftsinfrastruktur ebenfalls die entsprechenden Pendants wie eine IT-Strategie, die IT-Prozesse und eine IT-Infrastruktur gehören.

Während der IT-Nutzung über das eigene Rechenzentrum oder dem Bezug der Ressourcen mittels des klassischen Outsourcings hat oder vielmehr sollte die IT-Abteilung die Kontrolle über die Gestaltung und Einhaltung der IT-Governance haben. Dies ändert sich in Zeiten von Public Cloud Angeboten. Mit einer Kreditkarte stehen ihnen quasi unbegrenzte Ressourcen zur Verfügung, die sie ohne Kenntnis der IT-Abteilung nutzen können. Mitarbeitern ist jedoch in der Regel nicht bewusst, was sie durch ein unkontrolliertes Cloud Sourcing in den Strukturen eines Unternehmens anrichten. So entstehen voneinander separierte Dateninseln und zueinander nicht kompatible Cloud Services, die zu einer fragmentierten IT-Unternehmensarchitektur führen. Auch der Transfer personenbezogener Daten oder kritischer Unternehmensdaten zu einem nicht europäischen Public Cloud Anbieter kann rechtswirksame Probleme nach sich ziehen. Des Weiteren kann der unkoordinierte Wechsel zu einem Cloud Vendor Lock-in mit hohen Exitkosten führen.

Unternehmen, die über den Einsatz von Cloud Computing nachdenken, müssen damit ebenfalls ihre (IT)-Governance Prozesse überarbeiten und an die Bedürfnisse einer Cloud Strategie anpassen. Neben technischen müssen dabei ebenfalls rechtliche, finanzielle und organisatorische Aspekte berücksichtigt und der Lebenszyklus der jeweiligen verwendeten Cloud Services mit betrachtet werden.

Der “Leadership Council for Information Advantage” ist der Meinung, dass alte Governance Modelle den Ansprüchen der Cloud mehr gerecht werden und neue Ansätze benötigen, da “[…] mit dem Einstieg in Hybrid- oder Public-Clouds das Risiko steigt, die Kontrolle über die eigenen Daten zu verlieren.“ Da bei der Nutzung einer Private Cloud ein Unternehmen die Verantwortung und Kontrolle über alle Informationen behält, “[..] können sie etablierte Governance-Richtlinien mit mehr oder weniger Aufwand an eine Cloud-Infrastruktur anpassen.” Hingegen verändern sich die Anforderungen und Verantwortlichkeiten, “[…] wenn öffentliche Clouds oder hybride Mischangebote ins Spiel kommen. Sie erfordern vollkommen neuartige Information-Governance-Ansätze, die den Gegebenheiten verteilter IT-Architekturen gerecht werden.”

Das führt dem “Leadership Council for Information Advantage” demnach zu vier Risiken bei der Nutzung von Cloud Services:

  • Die unkontrollierte Ausbreitung untereinander inkompatibler Cloud-Services
  • Fragmentierung der Informationsarchitektur durch isolierte Dateninseln auf verschiedenen Cloud-Plattformen
  • Die zunehmende Gefahr der Abhängigkeit von einzelnen Anbietern (Vendor Lock-in)
  • Schwierigkeiten beim Etablieren durchgehender Sicherheits- und Governance-Mechanismen durch verteilte Verantwortlichkeiten in Cloud-Umgebungen.

Lothar Lockmaier hält die “[…] Gewährleistung der Datensicherheit und das Einhalten von länderspezifischen Regularien” speziell in Kombination mit der Nutzung von Public Cloud Services für “[…] eine enorme Herausforderung für Unternehmen” und nennt folgende Ansätze bzw. Fragen, die für eine auf Cloud Computing angepasste IT-Governance geklärt werden müssen.

  • Wo werden die Daten physisch gespeichert? Bestimmte Daten dürfen nicht ohne weiteres bei nicht-europäischen Cloud Providern verarbeitet bzw. gespeichert werden. Das betrifft u.a. personenbezogene Daten.
  • Wie sind die Schnittstellen abgesichert? Es gilt nicht nur Cloud-Zugriff auf den Cloud-Dienst selbst sondern auch auf die Provisionierung von Benutzern, das Management der Umgebung oder auf das Monitoring zu haben. Die Schnittstellen müssen aus diesem Grund gegen Schwachstellen wie z.B. einer schwachen Authentisierung, der Übermittelung von Daten in Klartext und einer falschen Autorisierung geschützt sein.
  • Wie schützt man sich gegen interne Angreifer? Ein interner Angreifer hat innerhalb einer Cloud Computing Umgebung möglicherweise Zugriff auf Daten mehrerer Kunden. Der Cloud Provider muss daher transparent aufzeigen, wie autorisierte Benutzer behandelt werden und wie internen Angriffen vorgebeugt wird.
  • Wie wird die Vertraulichkeit der Daten gewährleistet? Auf Grund der hohen Komplexität der gesamten Architektur können minimale Fehler beim Cloud Provider eine große Auswirkung haben. Der Cloud Provider muss nicht nur transparent aufklären, wie die Vertraulichkeit der Daten bei der Übertragung, Verarbeitung und Speicherung sichergestellt wird sondern auch wie die Vertraulichkeit über den ganzen Lebenszyklus der Hardware garantiert wird und was mit den Daten passiert, nachdem der Vertrag abgelaufen oder gekündigt ist. Dazu gehört ebenfalls die sichere Entsorgung der Datenträger etc.
  • Wie sind die Security-Management-Prozesse implementiert? Zur Bestimmung des Risikoprofils benötigt der Kunde eine Einsicht in die Prozesse in den Bereichen Security Incident Management, Hardening, Patching, Logging, etc. des Cloud Provider. Auch Zertifizierungen wie ISO 27001/2, SAS70 oder PCI DSS zeigen die Vertrauenswürdigkeit. Jedoch sollte sich jeder Kunde über die Einhaltung der Prozesse erkundigen und Audit-Reports prüfen.
Categories
Literatur

Buch – Cloud Computing Explained: Implementation Handbook for Enterprises

Titel: Cloud Computing Explained: Implementation Handbook for Enterprises

Autor: John Rhoton

Beschreibung:
“Cloud Computing Explained provides an overview of Cloud Computing in an enterprise environment. There is a tremendous amount of enthusiasm around cloud-based solutions and services as well as the cost-savings and flexibility that they can provide. It is imperative that all senior technologists have a solid understanding of the ramifications of cloud computing since its impact is likely to permeate the entire IT landscape. However, it is not trivial to introduce a fundamentally different service-delivery paradigm into an existing enterprise architecture. This book describes the benefits and challenges of Cloud Computing and then leads the reader through the process of assessing the suitability of a cloud-based approach for a given situation, calculating and justifying the investment that is required to transform the process or application, and then developing a solid design that considers the implementation as well as the ongoing operations and governance required to maintain the solution in a partially outsourced delivery model.”

Bestellmöglichkeit: Amazon

Cover: