Cloud GovernanceBrauchen IT-Verantwortliche neueMethoden?Kornelius FuhrerSenior Consultant, OPITZ CONSULTINGOOP, München, ...
About me…                                          Kornelius.Fuhrer@opitz-consulting.com                                r...
Agenda1.   Real World Governance2.   Transparenz zur effektiven Governance3.   Kontrolle der Wolken4.   Praxisbeispiel: Te...
Bitte fragen Sie …          Cloud Governance   © OPITZ CONSULTING GmbH 2012   Seite 4
1   Real World Governance        Cloud Governance    © OPITZ CONSULTING GmbH 2012   Seite 5
Cloud GovernanceReal World Governance                              Luftfahrtamt                           LuftVG – Luftfah...
Real World GovernanceZwischenfazitAnalogie zur IT-GovernanceLuftfahrtamt = IT-SteuerungskreisGibt es auch Flughafensiche...
Transparenz zur effektiven2   Governance        Cloud Governance         © OPITZ CONSULTING GmbH 2012   Seite 8
Transparenz zur effektiven GovernanceIST Situation bei vielen Kunden    Historisch gewachsene            Unübersichtliche ...
Transparenz zur effektiven Governance– Standards, Gesetze und Regulierungen         Cloud Governance       © OPITZ CONSULT...
Transparenz zur effektiven Governance– Cloudsourcing: Haben Sie an alles gedacht?                                  Verteil...
Transparenz zur effektiven GovernanceImageschaden                               KonTraG: § 91 Abs. 2 AktG                 ...
Transparenz zur effektiven Governance– Architecture Development Method (TOGAF)                                  Stakeholde...
Transparenz zur effektiven Governance– Pragmatischer EA-Zyklus (Niemann)         Referenz-Architektur                     ...
Transparenz zur effektiven Governance– Dimensionen der Enterprise Architektur                             Strategiearchite...
Transparenz zur effektiven GovernanceMetamodell         Cloud Governance        © OPITZ CONSULTING GmbH 2012   Seite 16
Welche Blickwinkel auf die Architektur    schaffen Transparenz für die                       Governance?    Cloud Governan...
Transparenz zur effektiven Governance– Anwendungslandschaft (Informationsflusskarte)Welche Wechselbeziehungen bestehen in ...
Transparenz zur effektiven Governance– „CRUD Matrix“Welche Services verarbeiten wie, welche sensiblen Daten?Wo werden dies...
Transparenz zur effektiven Governance– Technischer Blueprint (Referenzmodell)Welche Architekturartefakte entsprechen den A...
Transparenz zur effektiven Governance– Strategische Roadmap (IT-Masterplan)Ist die Cloudsourcing-Strategie noch konsistent...
Risk & Compliance Dashboard(Governance Cockpit)Wie wirksam sind die implementierten Governance-Controls?Welche Risiken bes...
Zwischenfazit– Transparenz zur effektiven Governance Cloudsourcing birgt erhebliche Risiken Strategien, Ziele und Anford...
3   Kontrolle der Wolken        Cloud Governance   © OPITZ CONSULTING GmbH 2012   Seite 24
Kontrolle der Wolken– Fragestellungen     Welche Entscheidungen              Wer trifft diese     müssen getroffen werden?...
Kontrolle der Wolken– Governance-ModelleCloud-spezifische Governance als integraler Bestandteiler allerGovernance-Modelle ...
Kontrolle der Wolken– Governance-Referenzmodelle                      Cloud-Governance                      mit COBIT     ...
Kontrolle der Wolken– COBIT: IT-Governance-Prozessmodell                                             Planung & Organisatio...
Kontrolle der Wolken– COBIT: IT-Governance-ProzessmodellGeschäftsanforderungen                                        IT-P...
Kontrolle der WolkenCloud Control Matrix (Cloud Security Alliance)Zuweisung cloud-relevanter Kontroll- und Steurungselemen...
Kontrolle der Wolken – RACI: Wer ist für was verantwortlich? RACI ChartA RACI chart identifies who is Responsible,        ...
Kontrolle der WolkenIntegration der Governance-ModelleGovernance                                                          ...
Kontrolle der WolkenZwischenfazit                            Top Down IT-Governance-Ansatz   34 IT-Prozesse               ...
4   Praxisbeispiel: Telekommunikation        Cloud Governance        © OPITZ CONSULTING GmbH 2012   Seite 34
Praxisbeispiel: Telekommunikation– ÜberblickIaaSCloud-Anbieter stellt ISO-zertifizierte Images zur VerfügungKlient kann ...
Praxisbeispiel: Telekommunikation– ÜberblickSaaSMandantenfähige und konfigurierbare Business-ServicesUnabhängige Kontrol...
Praxisbeispiel: Telekommunikation– Erweiterung der bestehenden SOA-Governance         Principles | Guidelines | Vision | S...
Praxisbeispiel: TelekommunikationErweiterung der bestehenden SOA-Governance                   Principles | Guidelines | Vi...
Praxisbeispiel: Telekommunikation – Governance Vitality ProcessVitality                     InformationsaufnahmeTrigger   ...
Praxisbeispiel: TelekommunikationÜberblick der Rollen                                    IT Architect        SOA          ...
Praxisbeispiel: TelekommunikationÜberblick der Rollen                                    IT Architect        SOA          ...
Praxisbeispiel: Telekommunikation– Gremien                                                           EA    CIO Office     ...
Praxisbeispiel: Telekommunikation– Gremien                                         Sponsor- & Leadership                  ...
Praxisbeispiel: Telekommunikation– Gremien                                       Sponsor- & Leadership                    ...
Cloud Governance Framework  CloudGovernance                                                                               ...
COBIT Integration for XaaS                                         Cloud Governance Framework                   Define a S...
Cloud Governance Framework  CloudGovernance                                                                               ...
Cloud Governance Framework  CloudGovernance                                                                               ...
Cloud Governance Framework  CloudGovernance                                                                               ...
5   Fazit            Cloud Governance   © OPITZ CONSULTING GmbH 2012   Seite 50
Brauchen IT-Verantwortliche neue Methoden?      – Der Demingkreis (1982)            Domänen:Reifegrad            •Security...
Brauchen IT-Verantwortliche neue Methoden?– Parallelisierung der Zyklen                            Strategische Ausrichtun...
Fragen und Antworten         Cloud Governance   © OPITZ CONSULTING GmbH 2012   Seite 53
KontaktKornelius FuhrerSenior ConsultantOPITZ CONSULTINGStandort MünchenWeltenburger Straße 4 | 81677 MünchenTel. +49 89 6...
Nächste SlideShare
Wird geladen in …5
×

Cloud Governance – Brauchen IT-Verantwortliche neue Methoden? – OOP 2012 in München

2.218 Aufrufe

Veröffentlicht am

www.opitz-consulting.com/go/3-1-913

Die Auslagerung von Services und Daten in den Clouds bringt immer einen Kontroll- und Sicherheitsverlust mit sich. Dabei können sich geschäftliche Risiken negativ auf das Image eines Unternehmens auswirken und die Beziehung zum Kunden nachhaltig beschädigen. Steigende Abhängigkeiten zu Drittanbietern sowie komplexe gesetzliche Bestimmungen verschärfen Compliance-Szenarien und machen eine ausgefeilte Governance wichtiger denn je!

Brauchen IT-Verantwortliche neue Methoden, oder können Sie diese Herausforderungen mit COBIT und TOGAF bewältigen?

Mit dieser Fragestellung befasste sich Kornelius Fuhrer, Senior Consultant bei OPITZ CONSULTING, in seinem Vortrag auf der OOP 2012 in München. Und diskutierte mögliche Optionen mit den teilnehmenden Softwarearchitekten und Entscheidern.

--
Über uns:
Als führender Projektspezialist für ganzheitliche IT-Lösungen tragen wir zur Wertsteigerung der Organisationen unserer Kunden bei und bringen IT und Business in Einklang. Mit OPITZ CONSULTING als zuverlässigem Partner können sich unsere Kunden auf ihr Kerngeschäft konzentrieren und ihre Wettbewerbsvorteile nachhaltig absichern und ausbauen.
Über unsere IT-Beratung: http://www.opitz-consulting.com/go/3-8-10
Unser Leistungsangebot: http://www.opitz-consulting.com/go/3-8-874
Karriere bei OPITZ CONSULTING: http://www.opitz-consulting.com/go/3-8-5

Veröffentlicht in: Technologie, Business
0 Kommentare
1 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

Keine Downloads
Aufrufe
Aufrufe insgesamt
2.218
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
1
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
1
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie
  • Ich veröffentliche regelmäßig in unterschiedlichen Magazinen Oder spreche auf verschiedenen Konferenzen zu den erwähnten Themenkomplexen
  • Wo gibt es Governance-Methoden im Leben die funktionieren? als Berater fliegt man viel das Thema ist Cloud Governance Wie funktioniert die Governance im Flugverkehr Landeanflug durch die Wolken bei 150m Sicht Nach 40 sec. in den Wolken/also ohne Transparenz Ist ein jeder erfahrene Pilot tot => ohne die Instrumente 300m – Im Hintergrund hört man die ganze Zeit den Tower an gibt => Guidance 200m – die Instrumente Schaffen Transparenz 100m Also wie ist der Luftverkehr geregelt? Welche Maßnahmen/Governance Mechanismen werden ergriffen, um Risiken auszuräumen und Sicherheit zu gewährleisten
  • Luftfahrtamt erlässt Vorschriften und Gesetze Es gibt Flugschulen mit Schulungsunterlagen/Bücher und Prüfungen Unten rechts: Die FFL - Fachschule für Luftfahrzeugführer Pilot braucht Technische Hilfsmitte zur Schaffung von Transparenz Standardisierte Prozesse/Routinen/Verfahren die helfen Fehler zu vermeiden >> Alles nur um sicher durch die Wolken zu kommen! >> Menschenleben nicht zu gefährden!
  • Was ist bei vielen Kunden zu beobachten : Es gibt so was wie das Luftfahrtamt , dass nennt sich IT-Steuerungskreis , Hier werden Vorgaben und Richtlinien erstellt. Aber gibt es auch eine Flughafensicherheit die die Einhaltung und Wirksamkeit zyklisch überprüft? Gibt es einen Architektur-TüV ? Zyklischer technischer Check/Vorbeugung der Erosion der Architektur Dürfen die Projektleiter ohne Flugführerschein die Programme/Projekte durch die Cloud fliegen? Gibt es eine Flugschule? Werden die Betroffenen durch den durch den Governance-Prozess gelotst ? |> Das sind die Fragen die wie im Folgenden klären wollen
  • Die prominentesten sind hier wohl: Sarbanes-Oxley Act  für alle an US Börsen notierten Unternehmen Richtigkeit und Verlässlichkeit der veröffentlichten Finanzdaten Mindestanforderungen an das Risikomanagement (MaRisk) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich ( KonTraG ) Bundesdatenschutzgesetz  (BDSG) <RUHIG >> PAUSEN MACHEN>
  • Je nach Servicetyp findet ein zunehmender direkter Kontrollverlust statt Potenzielle geschäftliche Interessenkonflikte zwischen Cloud-Service Anbieter und Nutzer =>| Zeitnahe Durchführbarkeit von dringenden Änderungsmaßnahmen => Sicherheitsupdates Schwierige Einhaltung von gesetzliche Richtlinien über die geografischen und Unternehmensgrenzen hinweg =>| Service-Nutzer verstößt unbewusst gegen (geänderte) lokale Gesetze (wo Software/Daten physisch abgelegt) Die gemeinsame Nutzung von physikalischen Systemen in einer virtuellen Umgebung birgt Sicherheitrisiken! Gelöschte Daten können nach Freigabe des Speichers durch Dritte wiederhergestellt werden Aber das meisten haben Sie sowieso schon gehört! Fragen wie: Wer ändert wann was in welchen Systemteilen? Haben die Mitarbeiter des Dienstleisters Zugriff auf die Daten? Hat der Dienstleister weitere Dienstleister? =>| Können Sie diese Fragen ohne Bedenken noch sicher beantworten?
  • Als Resultat folgenden Imageschäden , Die nur mit kostenintensiven Marketing Initiativen abzumildern sind. KonTraG – Gesetz zur Kontrolle und Transparenz => Vorstände haften mit Ihrem Privatvermögen Der Skandal mit der Datenwolke war das Initialereignis für die Deutsche Telekom für eine erstgemeinte EA-Initiaitve! <RUHIG >> PAUSEN MACHEN>
  • Das The Open Group Architecture Framework (TOGAF) umfassenden Ansatz für Entwurf, Planung, Implementierung und Wartung von Enterprise Architekturen ADM => zyklische Ausführung => Architektur fortgeschrieben. Phase A ( Architekturvision ) Festlegung von Architekturziele + Stakeholder + Fragestellungen <klick> Phase B-D werden für die Geschäfts-, Anwendungs-, Informations-/Daten- und die Technologiearchitektur dokumentiert Erstellung der Ergebnisartefakte/Deliverables Phase E Roadmapping : Vorhaben festgelegt, die die Transformation aus der IST-Situation zum Zielzustand durchführen. Phase F Abstimmung => übergreifende Zusammenarbeit/Kommunikation diese Absprachen werden in Phase G überwacht . (EA-Governance) Phase H Veränderungsmanagement && Anforderungen und externe Einflüsse Grundlage für den nächsten Durchlauf der ADM >> TOGAF beinhaltet viele Konzepte, Prinzipien, Methoden, Richtlinien … Der Standard umfasst knapp 1000 Seiten >> Dauert immer Recht lange, den in den Unternehmen zu etablieren/zum leben zu bekommen
  • Etwas Pragmatischer: EA Zyklus von Niemann Nicht so stark formalisiert , sehr flexibel und schnell einsetzbar . Schnittpunkte zur IT-Governance Initial/Einmalig : Dokumentation der Ist-Situation begonnen (Document). DOCUMENT : Modell der Architektur erstellt, umgesetzt und befüllt. Analyze : Analyse der gesammelten Daten: Identifikation von Handlungsbedarfs PLAN: Planung des weiteren Vorgehens >> Ableitung und Auswertung von Szenarien => GAPs => Roadmap ACT: Umsetzung der geplanten Änderungen () gemäß Referenzarchitektur >> Dokumentation der Änderungen: Der Zyklus wird nun wieder von vorne durchlaufen. CHECK : Qualitätssicherung bei jedem Schritt (Check). Fortlaufende Definition und Überwachung der KPIs Sind die Maßnahmen noch zu den Architekturzielen konform?
  • Strukturierung der Architekturartefakte in Dimensionen Nur die wichtigsten für Cloud Governance Strategiearchitektur = Unternehmensstrategie , alle Geschäfts- und IT-Strategien und - ziele, Geschäfts- und IT-Vorhaben/Initiativen Zielorientierte Gestaltung: Architekturziele und Vorgaben sind für alle darunter liegenden Dimensionen relevant Ausrichtung zwischen Geschäfts- und der IT-Strategie sowie Geschäftsarchitektur und der IT-Architektur |> Mangelhafte Ausrichtung führt zu nicht abgestimmten Aktivitäten und resultiert in nicht umsetzbaren Strategien Geschäftsarchitektur = kohärente fachliche Sicht => gesamte Unternehmen Geschäftsorientierte Gestaltung , Weiterentwicklung des Geschäftsmodells . Geschäftsobjekte , Geschäftsdomänen , Geschäftsfähigkeiten/Capabilities , Funktionen, Produkte , Wechselbeziehung |> SaaS Kontext: Transparenz => passgenaue Dimensionierung der SLAs =>Dimensionen darunter nicht mehr im Kontrollbereich Kernbestandteil der Enterprise Architektur ist die Bebauung der Servicearchitektur mit den Services, Wechselbeziehung Technische Architektur => Technologien, Technsiche Bausteine, Standards, Plattformen, Referenzarchitekturen etc. |>Im PaaS Kontext vollständig abstrahiert |>Im IaaS Kontext nur Hardware abstrahiert. Middleware, Technolgien Coporate, IT, Cloud und SOA Governance: Mechanismen, Prinzipien, Richtlinien, Policies, Governance Roadmaps
  • Im Metamodell ist das Herzstück einer Enterprise Architektur. Zu sehen sind die Architekturartefakte mit Wechselbeziehungen & Wechselwirkungen => transparent , analysierbar und planbar . >Im SaaS Kontext sind alle blauen und grauen Architekturartefakte abstrahiert -> beim SaaS-Anbieter! <freestyle auf der Folie> Aus welchen Technischen Bausteinen besteht die Standardplattform? Ist diese Cloud-Kontext einsatzfähig? Welche Informationsobjekte fließen über welche Informationsflüsse? Handelt es sich um sensible Daten? Wie ist der Informationsfluss gesichert? Das Metamodell ist die Basis für Blickwinkel Die Blickwinkel beantworten die Fragestellungen der Stakeholder über eine Visualisierung  
  • Es gibt unzählige Blickwinkel auf die Architektur, aber welche sind nun für die Governance relevant? Das hängt natürlich immer von den Fragestellungen der Stakholder ab! Vorstellung einer Auswahl Blickwinkeln => Best Practice => Zur Unterstützung der Governance <RUHIG >> PAUSEN MACHEN>
  • Der Klassiker Auszug aus einer Anwendungslandschaft => Informationsflusskarte Anwendungen und Bausteine sind über Informationsflüsse miteinander verknüpft. Informationsflüsse und Anwendungen sind hier klickbar , Traversierung/Drilldown ist zur Tiefenanalyse möglich. Informationsfluss => aufgefächert => einzelnen Informationsobjekte => übergeordnete Geschäftsobjekte sichtbar Fachlich und technische Analyse auf Compliance-Level, Standardkonformität , etc Anzeige von Kennzahlen : Oben rechts im Symbol: Standard- oder Strategiekonformitätsindex Pfeil ist der Gesundheitszustand des Architekturartefaktes Lebenszyklusphase (Active, Retired, Plan) angezeigt.
  • Die CRUD-Matrix ( CRUD = Create, Read, Update, Delete ) Welcher Service greift auf die Geschäftsobjekte wie zu? Inhärentes Abhängigkeitsverhältnis : Zwischen fachlichen und IT-Strukturen / Zwischen Geschäftsarchitektur und IT-Architektur Welche Services verarbeiten wie, welche sensiblen Daten? Wo werden diese zwischengespeichert? Sind sie verschlüsselt?
  • Zusehen: technischen Bausteine pro Architekturdomänen und deren Compliance-Level <Erklärung der Farben> Welche Architekturartefakte entsprechen Sicherheits- und Compliance- Anforderungen? Wie weit wurden welche SLAs umgesetzt? Wichtig wenn ich Standardplattformen für die Clouds zusammenstellen möchte!
  • Hier: Umsetzungsplan als strategische Roadmap : Roadmap zur Governance der Cloud Sourcing Strategie |> Fullfillment Geschäftsprozess soll vollständig in die Clouds PLAN und IST Zustand mit Meilensteinen Abbildung aller Services dieses Ziel verfolgen und in die Clouds transformiert werden müssen Auswirkungen der Programme/Projekte auf die IT-Architektur effektiv abbilden. Kurzum: Der Masterplan ist ein wichtiges Instrument für alle Governance Domänen
  • CIO => ganzheitliche und gleichzeitig kompakte Visualisierung => strategischen und operativen Kennzahlen Oben-Links: Governance Domäne => Risikomanagement Portfolio-Grafik => Quantitative Einschätzung der maximalen Verluste Oben-Rechts: Zustand der Governance-Kontrollpunkte/controls als Kreisdiagramm Unten-Links: Compliance Abdeckung im Gesamtunternehmen Unten-rechts: Issue Managment |> kennzahlengestützten Bewertung der Governance-Ziele Komplexe Zusammenhänge werden dadurch erkennbar Strategische und Operative Entscheidungen schnell und konsistent treffbar Trends ableitbar.   Nachhaltige Steuerung
  • Immer grösser werdende Risiken (Sicherheit, Compliance, Projekte und Partner) durch Cloudsourcing „ Klare Definition von Strategien und Ziele“ Ist Cloudsourcing Strategie konform zur gesamt IT-Strategie ? Werden die Ziele der Geschäftsstrategie unterstützt? Welche Compliance Anforderungen haben welche Cloud-Services ? Welche SLAs müssen mit dem Cloud-Anbieter vereinbart werden? Risikomanagement wird nicht im Dunkeln betrieben, sondern im Lichte einer transparenten Informationsbasis Die Enterprise Architektur produziert dieses Licht <klick>
  • Welche Entscheidungen müssen getroffen werden? Wer trifft diese Entscheidungen ? Wie werden diese Entscheidungen getroffen? Wie werden die Ergebnisse überwacht? und ganz wichtig: Auf welcher Informationsbasis werden die Entscheidungen getroffen. =>> Beitrag von EA geleistet
  • Corporate Governance =>Unternehmenssteuerung/Unternehmenskontrolle => langfristige Wertschöpfung Aufsichts- bzw. Verwaltungsrat => Risikomanagement/Risikocontrolling Corporate Governance => Compliance Fragen, Einhaltung von Gesetzen + geforderten Regulierungen IT-Governance = Pendant zum IT-Management und abhängig von IT-Strategie und Corporate Governance IT-Führung, IT- Organisation und IT-Prozesse werden Unternehmensstrategie/-ziele ausgerichtet IT-Governance hat die Aufgabe diese Abstimmungsprozesse zu organisieren und zu kontrollieren Ressourcen / Risiko Management zentrale Rolle für Integration/Ausrichtung der ITG mit der Cloud Governance =>> bestimmt letztendlich die Effektivität der Cloud Governance SOA-Governance => Service-Business Alignment + Service-Denken Fachbereich und IT etablieren SOA-Service => Cloud ausgelagert => SOA Governance => cloud-spezifisch erweitert Cloud Governance (Service-Modell, Bereitstellungsmodelle) ist wesentlich umfassender als SOA Governance Alle Governance Modelle definieren: Prinzipien , Prozesse , Rollen und Verantwortlichkeiten >> Und damit die Regulierung und Kontrolle Ihrer Domänen
  • Rechts die verschiedenen Sichten der Governance Pyramide Auf der Ebene der Unternehmensführung die Sicht der Corporate und IT Governance (COBIT) Reifegrade / Maturity Models TOGAF für die Enterprise Architektur Sicht Infrastruktur Sichten (ITIL) Unternehmensspezifische Governance Prozesse und Verfahren <klick> Cloud Governance mit COBIT als prominentestes Beispiel <RUHIG >> PAUSEN MACHEN>
  • COBIT = Control Objectives for Information & Related Technology Zielgruppe: Strategisches Management, Vorstand, Aufsichtsgremien, Business-& IT-Management • Weltweit anerkanntes Werkzeug zur Sicherstellung, dass die IT effektiv arbeitet • Stellt eine gemeinsame Sprache zur Kommunikation von Zweck, Zielen und erwarteten Resultate zur Verfügung Governance-Domänen 1. Strategische Ausrichtung: Abgleich Geschäfts- und IT-Strategie => kontinuierliche Verbesserung des Wertbeitrages der IT 2. Wertbeitrag : Schaffung von geschäftlichen Werten/Nutzen von Services und Projekten => gesamten Lebenszyklus => Kosteneffizienz 3. Risikomanagement Identifizierung/Analyse/Begrenzung/Eliminierung von Risiken 4. Ressourcenmanagement : Optimierung von Investition => Effizienter Ressourceneinsatz 5. Ergebnismessung : Überwachung und leistungsseitige Steuerung der Strategieimplementierung Generische Geschäftsanforderungen => Qualitätskritieren => müssen von IT-Prozesse erfüllt => dann Kontrollziel erreicht 34 IT-Prozesse PO: 10 Planungsprozesse => technischen, strukturellen und strategischen Rahmen => Beitrag der IT für den Geschäftserfolg AI: 7 Prozesse zur Identifikation/Beschaffung/Entwicklung/Integration von Leistungen und Ressourcen
  • DS: 13 Prozesse Steuerung des Systembetriebes : Performance/Sicherheit/Skalierbarkeit/Business Continuity ME: 4 Prozesse zum Performance Management/Interne Kontrolle/regulatorische Anforderungen KPI: Zielerreichungsindikatoren/Managementinfomrationen : Hat IT-Prozess die Geschäftsanforderungen erfüllt? KGI: Outcome Measures: Leistungsindikatoren: Prozessziel erreicht? Control erreicht Essentieller Bestandteil von COBIT: Controls: Kontroll- und Steuerungselemente für Prozesse und Anwendungen <In der Grafik anzeigen> Application-Controls sind wesentlicher Bestandteil eines internen Kontrollsystems |> Und hier muss beim Cloudsourcing angesetzt werden |> Welche Controls brauchen wir beim Cloudsourcing
  • 98 Sicherheitskontrolle Integration cloud-relevanter Kontroll- und Steuerungselemente in eigene Cloud Governance Prozesse >> COBIT IT Prozessziele
  • RACI Charts aus COBIT zur Vollständigkeit: Wer ist Verantwortlich? Wer ist haftbar? Wer muss beraten werden? Wer muss nur informiert werden
  • Operative Umsetzung in den Clouds? Ist abhängig vom Servicetyp!
  • |> Cloud Governance a la COBIT kann hier mit den vorgestellten Mechanismen funktionieren |> COBIT sehr umfangreich und formalisiert
  • Cloud Governance aus der Sicht eines Cloud Anbieters!
  • IaaS: Die Infrastruktur kann entsprechend den Anforderungen des Services angepasst werden Klient muss sich um explizite Sicherheitsmaßnahmen muss auf Anwendungsebene selbst kümmern Verschlüsselung sämtlicher Kommunikationswege Verschlüsselte Speicherung von sensiblen Daten Secret keys <> „Standard“ software application keys PaaS Installation der Services in eine virtualisierte und standardisierte Betriebsumgebung beispielsweise mit vorkonfigurierter Middleware Hosting Services Security Services: Identity and Access Management (IAM) Firewalls ,  VPN , Anti-Malware / Intrusion Detection and Prevention. Managed Document Services: Dokumentenmanagement für Unternehmen
  • Hohe, mandantenfähige Sicherheitsstandards für sensible Daten Application Operations (Standard und SAP) Hosting, Betrieb und Wartung von mandantenfähigen Anwendungen und Services (SAP Umfeld) Cloud-Angebot von ganzen Servicelandschaften Kunden nutzen die standardisierten und industrialisierten Services nach Bedarf und bleiben technologisch auf dem neuesten Stand . 
  • SOA-Regelungen für die Cloud:  Cloud Governance Buttom-Up! (COBIT ist TOP DOWN) Erweiterung der bestehende Governance-Strategie statt das Rad für die Cloud neu zu erfinden. |> logische Weiterentwicklung der SOA Governance. PLAN: Governance-Methodik und Stakeholderanalyse , Workshops, Interviews Identifizierung von GAPs und Verbesserungsmöglichkeiten Governance Maturity Assessement: Validierung der aktuellen SOA/Cloud Prinzipien/Strategie / Ziele . Governance Scoping: inkl. der betroffenen Prozesse und Rollen DEFINE: Definition der Mechanismen/Instrumente (Prozesse, Ziele, … Roadmaps), um die Ziele der Planphase zu erreichen Erstellung einer Roadmap mit Messpunkten Welche Prozesse/Policies/Trigger werden wo benötigt? Welche Prozesse müssen überwacht/kontrolliert werden ( Governed Processes ) Sind neue Rollen und Verantwortlichkeiten erforderlich? RACI charts! => Erstellung von Roadmaps => Technolgisch, organisatorisch und prozessual!
  • IMPLEMENT: Rollout/Implementierung der planten Governance Lösung mit den definierten Mechanismen Veränderungsmanagement : Kommunikationskonzept : Informationsveranstaltungen, Information und Abholung aller Beteiligen Coaching und Schulung der beteiligten Personen MONITOR: Überwachung und Messung der Effektivität Auswertung der Kennzahlen Wie oft werden Trigger ausgelöst und aus welchem Grund? Müssen Policies, Proezsse oder die Trigger selbst angepasst Vitality Process nächste Folie
  • Wird ein Trigger ausgelöst => Vitality Process <klick> Identify : Identifizierung der Umstände Warum wurde der Trigger ausgelöst? Berechtigt oder unberechtigt? Müssen Governance Mechanismen angepasst werden? >> Als Beispiel könnte man nehmen: SLA kann für einen Service kann nicht aufrechtgehalten werden. Infrastruktur ist azyklisch unter Last Assess : Evaluierung der Erforderlichen Änderungen Muss der Service in die Clouds? Abstimmung zwischen Service Architekten und Cloud Governance Spezialisten Refresh : Auslagerung des Services die Clouds Approve: Genehmigung durch Governance Autorität Communicate: Kommunikation und Information der Beteiligten |> Welche Gremien und Rollen wurden implementiert
  • @TODO: Reihenfolge Fokussierung auf Cloud-Rollen IT Architect: Hat den Gesamtüberblick über alle IT Betriebs- und Servicemodelle, Technologien, Standards , EA: Technische Architektur und Anwendungsarchitektur und Informationsarchitektur. Entwirft und Plant Standards und Richtlinien , um beispielsweise die IT-Strategie besser zu unterstützen. Policy Custodian: Erstellt, erweitert und wartet Policy‘s und stellt sicher, dass Policy‘s und Serviceverträge den entsprechenden Services zugeordnet sind. Service Analyst : S-O Analyse und Service Modelling : Identifikation von Service Kandidaten, Capability Kandidaten, Service Kompositionskandidaten , Koordiniert und führt die Service Architekten und Business Analysten Cloud Governance Specialist: Betriebsmodelle (public, private, community) haben Ihre eigenen Charakteristiken . Plattformen => herstellerspezifisch . Unterschiedliche Regeln, Ziele, Prozesse mapping auf Governance Mechanismen Cloud Security Specialist: Spezialist für spezifische Bedrohungen in den Clouds unabhängig von der Softwarearchitektur Fokus ist weiter als beim SOA Security Spezialist Cloud Architect: spezialisiert auf Cloud-Technologien, Entwurftskonzepte und –muster, Cloud-Mechanismen Rolle SOA Architekt + Rolle des Cloud Architekten = eine Person Er konzipiert Architekturen dessen Teile in den clouds und andere nicht in den clouds liegen. Er stellt zur Entwurfszeit sicher das Standards und Compliance berücksichtigt werden
  • Cloud Service Owner: Person oder Organisation , die für den Service von Gesetzgeber her verantwortlich und haftbar ist. Im Kontext von public Clouds und sensibler Daten relevant. Cloud Ressource Administrator : Ist verantwortlich für die Administration , Deployment und Wartung von Services => Cloud IT Ressourcen Rolle kann ein Person oder Organisation sein die Cloudservices anbietet oder benutzt sein =>| Cloud Service Hersteller , Service Owner und Ressource Administrator unterschiedliche Organisationen sein Cloud Technology Professional: devleop, build & deploy cloud-basierte services und it ressourcen . (Cloud Entwickler = Person: Service Developer und Administrator) QA Spezialist: operationalisiert/verifiziert entsprechende Tests Harmonisiert mit dem Service Analyst und Policy Custodian . Educator: Zentrale Rollen entlang des gesamten Governance Prozesses. => Mentor coacht/schult/senibilisiert/informiert über allen Governance Prinzipien, Mechanismen und die eingesetzten Technologien
  • Cloud Governance Program Office • Ist die zentrale Autorität , die die Cloud Governance Modell konzipiert und justiert . • Sicherstellung der Standard- und Regelkonformität • Ausrichtung => IT Governance, EA Governance oder SOA Governance • Führt Revisionen durch und behandelt Ausnahmen • Veränderungsmanagement : Erstellung einen Informations- und Kommunikationsplan CIO Office • Entscheider der letzten Instanz • Postulierung/Freigabe der strategischen Vergehens in den Clouds • Freigabe der Governance Mechanismen => CIO, CTO, IT-Planer oder IT-Strategen, Business Domain Owners EA Governance Council • Definition/Konzeption von Cloud - portfolios => Chief Enterprise Architect, Chief Cloud Architect
  • Sponsor- & Leadership • Definiert die zukünftige strategische Stoßrichtung und Roadmaps für Cloud Vorhaben • Sicherstellung => Beitrag zur Geschäfts-/Unternehmensstrategie leisten • Bereitstellung von Mitteln und Ressourcen Scope & Delivery Mgmt. • Verantwortllich für Lösungen aus einen Business Blickwinkel • Ermittlung und Sicherstellung des Wertbeitrages • Kommunikation der Anforderungen Definition & Development • Konzeption von Cloud Goverance Prozessen/Methoden und best practices • Definition der Kontrollelemente/Controls • Definition and Überwachung von KPI/KGI • Initiierung und Begleitung von organisatorischen Veränderungen • Roadmap zur Cloud Transformation
  • => Cloud Competence Center sichert Projektwissen nachhaltig verantwortet die Cloud Governance bildet die Schnittstelle zwischen technischer IT und den Fachbereichen bindet Ressourcen flexibel und skalierbar ein, vom virtuellen Team bis zur eigenen Orga-Einheit initiiert und betreut Folgeprojekte Execution and Delivery • Steuerung der Lösungen einer bestimmten Domäne • Design, Entwicklung, Test, deployment, Betrieb der Services • Wartung der Schnittstellen • Befolgung von Richtlinien und Standards • Verständnis und bewusste Einhaltung der Gov-Mechnismen
  • WOFÜR braucht der Kunde dieses Governance Framework? IaaS, PaaS und SaaS für interne Nutzung und als mandantenfähigen Services nach extern. Servicetypen brauchen Ihre eigenen Modelle => starke regulatorische Unterschiede PLAN, DEFINE, IMPLEMENT und MONITOR für die Cloud Governance Unten: Weiterentwicklung von IaaS => PaaS => SaaS Integration in IT-Governance mit COBIT und CSA
  • XaaS Governance Prozesse PO1: Definition eines strategischen IT-Plan ( Ausrichung und Steuerung der IT-Ressourcen, Optimierung des Wertbeitrags ) PO4: Definition der IT-Prozesse, Organisation und Beziehungen Neue Anforderungen: Personal, Qualifikationen, Funktionen, Verantwortung, Entscheidungsbefugnis, Rollen, Zuständigkeiten und Überwachung. => CSA Information Security: Verständnis/Bewusstsein für Einhaltung der Policies/Standards/Prozesse PO10: Beurteile und Manage IT-Risiken => CSA Risk Management Program: Einführung eines Risiko Managements Programms => Identifikation/Begrenzung/Eliminierung des Risiko in den Clouds => CSA Risk Management Assessment: Änderungen von Business/Sicherheits-Policies/Prozeduren/Standards/Kontrollelemente müssen relevant und wirksam bleiben =>| CSA Controls sind nicht vollständig nur Beispiele!!!
  • IaaS Governance Prozesse PO2: Definition die Informationsarchitektur => CSA-Control : Data Governance: Unternehmensweiten Data Dictionary, Syntaxregeln, Datenklassifikationsschemas und Sicherheitsstufen gemäß der Compliance, Zu schützende Daten bekommen einen DATA Owner/Steward mit definierten Verantwortlichkeiten DS2: Steuerung der Leistungen und Angebote von Drittanbietern => CSA: Compliance – Audits, Reviews der Verträge, Reports, Messdaten und Services => CSA: Risk Management: Third Party Access: Identifikation/Evaluierung von Geschäftsprozessen die den Zugang von Dritten erfordern ME3: Sicherstellung der Compliance und Vorgaben => CSA Compliance – Independent Audits : Unabhängige Audits
  • PaaS Governance Prozesse PO8: Qualitätsmanagement (Standards, Richtlinien, Verfahren, Blueprints) => CSA-Control: Release Management – Qualitätstests : Kontinuierliche Überwachung, Analyse und Verbesserung >> Den Rest wiederholt sich von der letzten Folie
  • SaaS Governance Prozesse DS2: Steuerung der Leistungen und Angebote von Drittanbietern (Wirksamkeit, Compliance) => CSA: Compliance – Transparente Audits, Reviews der Verträge, Reports, Messdaten und Services => CSA: Risk Management : Third Party Access: Identifikation/Evaluierung von Geschäftsprozessen die den Zugang von Dritten erfordern DS5: Sicherstellung der Security der Cloud Services (Security Management) => CSA: Information Security - Policy Reviews zur Sicherung der Wirksamkeit
  • Kommt aus dem Qualitätsmanagement => ist aber die Basis für fast jeden Zyklus |>Transformation in allen vorgestellten Zyklen ist möglich Die Basis von TOGAF und der ADM: Architekturvision = PLAN Modellierung der IST und SOLL Architektur= DO, Überprüfung der Roadmap & EA Governance= CHECK Implementierung = ACT Die Basis von EA-Zyklus Niemann |>> Document >> Analyse >> Plan >> Act >> check Die Basis von COBIT! |>> Plan & Organise, Aquire & Implement, Deliver & Support, Monitor & Evaluate! Die Basis von Open Group SOA Governance |>> PLAN, DEFINE, IMPLEMENT, MONITOR Eigentlich hat sich doch nichts geändert! Warum: Weil das Basisprinzip der gesunde Menschenverstand ist Bevor ich was mache plane ich es, Dann führe ich es im Kleinen aus und prüfe es / ziehe meine Rückschlüsse / Erkenntnisgewinn Setze es dann im Großen um!
  • Skalierung des Deming-Zyklus für mehrere Governance Domänen (horizontal) Für diese gibt es jeweils auch einen Implementierungszyklen Governance Zyklus ist praktisch der Deming-Zyklus auf sich selbst angewendet , Um die applizierten Governance Mechanismen pro Governance Domäne evolutionär zu verbessern Animation! Welche Richtlinien/Methoden/Policies pro Governance Domäne brauche definiere ich kundenspezifisch! Meines Erachtens der agilste und verständlichste Ansatz Der ist eigentlich sehr starr/standardisiert/formalsiert => Und nur alter Wein in neuen/aufgeblähten Schleuchen!!!
  • Cloud Governance – Brauchen IT-Verantwortliche neue Methoden? – OOP 2012 in München

    1. 1. Cloud GovernanceBrauchen IT-Verantwortliche neueMethoden?Kornelius FuhrerSenior Consultant, OPITZ CONSULTINGOOP, München, 25.01.2012 Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 1
    2. 2. About me… Kornelius.Fuhrer@opitz-consulting.com  roles@opitz-consulting.com  Governance Specialist  Enterprise Architect  key topics  Governance (IT, EA, SOA, Cloud)  Enterprise Architecture Management  Business- & IT-Transformation  Integration, SOA, EAIKornelius Fuhrer  community:  Author:Senior Consultant, JavaSpektrum, ObjektSpektrum, BusinessOPITZ CONSULTING Technology, IT-Management, Manage IT  Speaker: OOP, JAX, SOA | BPM Integration Days Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 2
    3. 3. Agenda1. Real World Governance2. Transparenz zur effektiven Governance3. Kontrolle der Wolken4. Praxisbeispiel: Telekommunikationsbranche5. Fazit Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 3
    4. 4. Bitte fragen Sie … Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 4
    5. 5. 1 Real World Governance Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 5
    6. 6. Cloud GovernanceReal World Governance Luftfahrtamt LuftVG – Luftfahrtgesetz LuftVO - Luftverkehrs-Ordnung FlUUG – Flugunfall-Untersuchungs-Gesetz LuftSiG – Luftsicherheitsgesetz LuftVZO – Luftverkehrs-Zulassungs-Ordnung Europäische und Internationale Gesetze Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 6
    7. 7. Real World GovernanceZwischenfazitAnalogie zur IT-GovernanceLuftfahrtamt = IT-SteuerungskreisGibt es auch Flughafensicherheit,die die Einhaltung und Wirksamkeit zyklisch überprüft?Gibt es einen Architektur-TüV?Dürfen die Projektleiter ohne Flugführerschein die Programme/Projekte durch dieCloud fliegen?Gibt es eine Flugschule?Werden die Betroffenen durch den durch den Governance-Prozess gelotst?Fragen, die hier beantwortet werden! Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 7
    8. 8. Transparenz zur effektiven2 Governance Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 8
    9. 9. Transparenz zur effektiven GovernanceIST Situation bei vielen Kunden Historisch gewachsene Unübersichtliche Anwendungslandschaften Schnittstellenkomplexität Welche Anwendungen können Wo werden überall sensible Daten bedenkenlos in die Cloud? transportiert oder zwischengespeichert? c Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 9
    10. 10. Transparenz zur effektiven Governance– Standards, Gesetze und Regulierungen Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 10
    11. 11. Transparenz zur effektiven Governance– Cloudsourcing: Haben Sie an alles gedacht? Verteilte Infrastrukturen Datenschutz Compliance Unautorisierter Zugriff Kontrollverlust Vendor Lock-in Gesetzliche Risiken Böswillige Insider Gerichtsbarkeit Datenverluste Unsichere Schnittstellen Account-Hijacking Unsichere APIs Lizenzierung Datenlecks Unbekannte Risiken Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 11
    12. 12. Transparenz zur effektiven GovernanceImageschaden KonTraG: § 91 Abs. 2 AktG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich kann Vorstände und Geschäftsführer mit Ihrem Privatvermögen haftbar machen Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 12
    13. 13. Transparenz zur effektiven Governance– Architecture Development Method (TOGAF) Stakeholderanalyse Veränderungsmanagement Fragestellungen Anforderungen -> Iteration Architekturziele IST Architektur Überwachung GAPs EA Governance SOLL Architektur Ergebnisartefakte Abstimmung Blickwinkel Kommunikation Roadmap vom IST ins SOLL Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 13
    14. 14. Transparenz zur effektiven Governance– Pragmatischer EA-Zyklus (Niemann) Referenz-Architektur document Umsetzung act Architektur KPIs definieren definieren Architektur KPIs auswerten check implementieren Architektur Architektur populieren Szenarien prüfen entwickeln Szenarien bewerten plan analyze Architektur GAPs analysieren analysieren Architektur Roadmap visualisieren Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 14
    15. 15. Transparenz zur effektiven Governance– Dimensionen der Enterprise Architektur Strategiearchitektur Geschäftsarchitektur IT-Architektur Anwendungs- architektur Servicearchitektur Technische Architektur Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 15
    16. 16. Transparenz zur effektiven GovernanceMetamodell Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 16
    17. 17. Welche Blickwinkel auf die Architektur schaffen Transparenz für die Governance? Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 17
    18. 18. Transparenz zur effektiven Governance– Anwendungslandschaft (Informationsflusskarte)Welche Wechselbeziehungen bestehen in der Anwendungslandschaft? Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 18
    19. 19. Transparenz zur effektiven Governance– „CRUD Matrix“Welche Services verarbeiten wie, welche sensiblen Daten?Wo werden diese zwischengespeichert? Sind sie verschlüsselt? Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 19
    20. 20. Transparenz zur effektiven Governance– Technischer Blueprint (Referenzmodell)Welche Architekturartefakte entsprechen den Anforderungen an Sicherheitund Compliance? Wie weit wurden welche SLAs umgesetzt? Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 20
    21. 21. Transparenz zur effektiven Governance– Strategische Roadmap (IT-Masterplan)Ist die Cloudsourcing-Strategie noch konsistent durchführbar?Welches Architekturartefakt hängt von welchen Zielen ab? Fulfillment Business Process (PLAN) Cloudsourcing Strategy Fulfillment Business Process (IST) Affected Services Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 21
    22. 22. Risk & Compliance Dashboard(Governance Cockpit)Wie wirksam sind die implementierten Governance-Controls?Welche Risiken bestehen hinsichtlich Compliance, Sicherheit und Verfügbarkeit? Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 22
    23. 23. Zwischenfazit– Transparenz zur effektiven Governance Cloudsourcing birgt erhebliche Risiken Strategien, Ziele und Anforderungen müssen klar definiert sein EA schafft die erforderliche Transparenz Entscheidungen können schneller, konsistenter und nachhaltiger getroffen werden Essenzielle Grundlage für jedes Governance Programm Enterprise Architecture Management informiert. Governance reguliert und kontrolliert. Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 23
    24. 24. 3 Kontrolle der Wolken Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 24
    25. 25. Kontrolle der Wolken– Fragestellungen Welche Entscheidungen Wer trifft diese müssen getroffen werden? Entscheidungen? Governance Wie werden diese Wie werden die Entscheidungen getroffen? Ergebnisse überwacht? Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 25
    26. 26. Kontrolle der Wolken– Governance-ModelleCloud-spezifische Governance als integraler Bestandteiler allerGovernance-Modelle im Unternehmen! Corporate Cloud- SOA- IT-Governance Governance Governance Governance Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 26
    27. 27. Kontrolle der Wolken– Governance-Referenzmodelle Cloud-Governance mit COBIT Horses for courses Jedes der Governance-Modelle bildet für einen definierten Zweck die Wirklichkeit aus einem spezifischen Sicht ab! Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 27
    28. 28. Kontrolle der Wolken– COBIT: IT-Governance-Prozessmodell Planung & OrganisationGeschäftsanforderungen Beschaffung & ImplementierungEffektivität Lieferung & UnterstützungEffizienz Überwachung & EvaluierungIntegritätVerfügbarkeit IT-ProzesseComplianceZuverlässigkeitVertraulichkeit GovernanceIT-Ressourcen DomänenPersonal Strat. AusrichtungInfrastruktur WertbeitragInformation/Daten RisikomanagementApplikationen/Services Ressourcenmanagement(IT-Architektur) Ergebnismessung Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 28
    29. 29. Kontrolle der Wolken– COBIT: IT-Governance-ProzessmodellGeschäftsanforderungen IT-ProzesseEffektivität Planung & OrganisationEffizienz Beschaffung & ImplementierungIntegrität Lieferung & UnterstützungVerfügbarkeit ÜberwachungCompliance & EvaluierungZuverlässigkeit GeschäftszieleVertraulichkeit Kennzahlen IT-Ziele KPI Prozessziele KGI Aktivitätsziele GovernanceIT-Ressourcen DomänenPersonal Strat. AusrichtungInfrastruktur WertbeitragInformation/Daten RisikomanagementApplikationen/Services Ressourcenmanagement(IT-Architektur) Ergebnismessung Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 29
    30. 30. Kontrolle der WolkenCloud Control Matrix (Cloud Security Alliance)Zuweisung cloud-relevanter Kontroll- und Steurungselementezu COBIT Prozesszielen Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 30
    31. 31. Kontrolle der Wolken – RACI: Wer ist für was verantwortlich? RACI ChartA RACI chart identifies who is Responsible, FunctionsAccountable, Consulted and/or Informed.Activities A/Link business goals to IT goals. C I R I C A/Identify critical dependencies and current performance. C C R R C C C C C CBuild an IT strategic plan. A C C R I C C C C I CBuild IT tactical plans. C I A C C C C C R IAnalyse programme portfolios and manage project and C I I A R R C R C C Iservice portfolios.  Klare Definition der Verantwortlichkeiten  Detaillierte Beschreibung der Ergebnistypen  Vertragliche Fixierung Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 31
    32. 32. Kontrolle der WolkenIntegration der Governance-ModelleGovernance CSAKontrollelemente ControlsAusrichtungder RollenOperativeUmsetzung Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 32
    33. 33. Kontrolle der WolkenZwischenfazit Top Down IT-Governance-Ansatz 34 IT-Prozesse COBIT + 5 Governance-Domänen CSA Controls = Cloud 210 Prozessziele Governance Reifegradmodell mit 6 Reifegradstufen 98 CSA Controls Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 33
    34. 34. 4 Praxisbeispiel: Telekommunikation Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 34
    35. 35. Praxisbeispiel: Telekommunikation– ÜberblickIaaSCloud-Anbieter stellt ISO-zertifizierte Images zur VerfügungKlient kann die Infrastruktur beliebig konfigurieren und Technologien installierenPaaSCloud-Anbieter stellt Middleware-Technologie und Konfigurationen bereitKlient installiert Business ServicesBestandteile des IaaS & PaaS-Angebots:  Hosting Services Platforms  Security Services  Managed Document Services Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 35
    36. 36. Praxisbeispiel: Telekommunikation– ÜberblickSaaSMandantenfähige und konfigurierbare Business-ServicesUnabhängige Kontrollmechanismen (Bereitstellung Security Funktionalitäten)Verschlüsselte Übertragung und Speicherung von sensiblen DatenKodifizierung der Zuständigkeits- und VerantwortungsbereicheFortlaufende Dokumentation aller SLA-Messergebnisse (QoS, response time,etc)Zyklische Validierung aller Kennzahlen (Sicherheit, Performance, Compliance)Bestandteile des SaaS-Angebots:  Help Desk Services  Application Operations Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 36
    37. 37. Praxisbeispiel: Telekommunikation– Erweiterung der bestehenden SOA-Governance Principles | Guidelines | Vision | Scope | Maturity Governing Processes Governed Processes Policies Triggers Roles Goals Roadmaps Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 37
    38. 38. Praxisbeispiel: TelekommunikationErweiterung der bestehenden SOA-Governance Principles | Guidelines | Vision | Scope | Maturity Governing Processes Governed Processes Policies Vitality Triggers TriggersCompliance Policies Roles Goals Roadmaps Change Management Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 38
    39. 39. Praxisbeispiel: Telekommunikation – Governance Vitality ProcessVitality InformationsaufnahmeTrigger Identify Akkurate Identifikation der Umstände Motivation & Benefits Assess Kosten, Risiken & Auswirkungen (Business Continuity, Projektgeschäft) Legitime Alternativen Refresh Steuerung, Regulierung und Durchführung der Änderungen Review (CIO Office und Business Sponsors) Approve Genehmigung und formale Abnahme (Cloud Governance Autorität) Com- Kommunikation und Information (Stakholder und Projektteams) municate Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 39
    40. 40. Praxisbeispiel: TelekommunikationÜberblick der Rollen IT Architect SOA Policy Custodian CLOUD Service Analyst SOA Governance Specialist Cloud Governance Specialist SOA Security Specialist Cloud Security Specialist Service Architect Cloud Architect Cloud Service Owner Service Administrator Cloud Ressource Administrator Service Developer Cloud Technology Professional QA Specialist Basiert auf : Thomas Erl Educator SOA Governance Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 40
    41. 41. Praxisbeispiel: TelekommunikationÜberblick der Rollen IT Architect SOA Policy Custodian CLOUD Service Analyst SOA Governance Specialist Cloud Governance Specialist SOA Security Specialist Cloud Security Specialist Service Architect Cloud Architect Cloud Service Owner Service Administrator Cloud Ressource Administrator Service Developer Cloud Technology Professional QA Specialist Basiert auf Thomas Erls Educator „SOA Governance“ Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 41
    42. 42. Praxisbeispiel: Telekommunikation– Gremien EA CIO Office Governance Council Cloud Governance Program Office Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 42
    43. 43. Praxisbeispiel: Telekommunikation– Gremien Sponsor- & Leadership Cloud Steering EA CIO Office Comittee Governance Council Chief Architect, Business Sponsor Scope & Delivery Mgmt. Definition & Development Cloud Business Domain Cloud Center of Governance Representatives Excellence Program Office Cloud Architects, Cloud Program Manager, Business Technology Professionals, Cloud Architect, Process Engineer Security Spec. Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 43
    44. 44. Praxisbeispiel: Telekommunikation– Gremien Sponsor- & Leadership Cloud Steering EA CIO Office Comittee Governance Council Chief Architect, Business Sponsor Scope & Delivery Mgmt. Definition & Development Cloud Business Domain Cloud Center of Governance Representatives Excellence Program Office Cloud Architects, Cloud Program Manager, Business Technology Professionals, Cloud Architect, Process Engineer Security Spec. Execution & Delivery IaaS PaaS SaaS Development Teams Development Teams Development Teams Project Manager, Service Analysts, Cloud Architects, Cloud Integration Specialist, Cloud Ressource Administrators, Cloud Technology Professionals, Cloud Security Specialists Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 44
    45. 45. Cloud Governance Framework CloudGovernance ITG Integration Strategy (COBIT, CSA, ITIL, …) XaaS Governance ModelCloud define planGovernanceConcept Implement monitor IaaS PaaS SaaS Governance Governance Governance Model Model Model define plan define plan define plan monitor monitor monitor KPI & KPG KPI & KPG KPI & KPGInput implement Output - Input implement Output - Input implement Output Infrastructure Service Platform Service Software Service Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 45
    46. 46. COBIT Integration for XaaS Cloud Governance Framework Define a Strategic Plan (PO1) PO4 – CSA ControlDefine IT Processes, Organization & Relationships (PO4) Information Security Cloud Communicate Management Aims & Direction (PO6)Governance ITG Integration Assess & Manage IT Risks (P10) (COBIT, CSA, ITIL, …) Strategy Enable Operation & Use (AI4)XaaS PO10 – CSA Control Governance Manage Performance & Capacity (DS3) Risk Mgmt. Program Model Risk Mgmt. AssessmentCloud Monitor & Evaluate Internal (ME2) define planGovernance Provide IT-Governance (ME4)Concept Implement monitor IaaS PaaS SaaS Governance Governance Governance Model Model Model define plan define plan define plan monitor monitor monitor KPI & KPG KPI & KPG KPI & KPG Input Output - Input Output - Input Output implement implement implement Infrastructure Service Platform Service Software Service Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 46
    47. 47. Cloud Governance Framework CloudGovernance ITG Integration Strategy (COBIT, CSA, ITIL, …) XaaS Governance ModelCloud define planGovernanceConcept COBIT Integration for IaaS Define the Information Architecture (PO2) Implement monitor Determine Technological Direction (PO3) PO2 – CSA ControlAcquire & Maintain Tech. Infrastructure (AI3) DATA Governance IaaS PaaS SaaS Procure IT Resources (AI5) Governance Governance Governance Model Manage Changes (AI6) Model Model DS2 – CSA Control Define & Manage Service Levels (DS1) Compliance – 3rd Party Audits define plan define plan define plan Manage Third-party Services (DS2) Risk Mgmt.- 3rd Party Access Ensure Regulatory Compliance (ME3) monitor monitor monitor KPI & KPG KPI & KPG KPI & KPG ME3– CSA Control Input implement Output - Input implement Compliance – Independent implement Output - Input Output Infrastructure Service Platform Service Audits Software Service Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 47
    48. 48. Cloud Governance Framework CloudGovernance ITG Integration Strategy (COBIT, CSA, ITIL, …) XaaS Governance ModelCloud define planGovernanceConcept COBIT Integration for PaaS Manage Quality (PO8) Implement monitor Manage Projects (PO10) Enable Operation & Use (AI4) IaaS PaaS SaaS PO8– CSA Control Governance IT Resources (AI5) Procure Governance Governance Release Management/QA Model Model Model Manage Changes (AI6) Define & Manage Service Levels (DS1) define plan define plan define plan Manage Third-party Services (DS2) Ensure KPI & KPG Regulatory Compliance (ME3)monitor monitor KPI & KPG monitor KPI & KPG Input implement implement Output - Input implement Output Output - Input Infrastructure Service Platform Service Software Service Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 48
    49. 49. Cloud Governance Framework CloudGovernance ITG Integration Strategy (COBIT, CSA, ITIL, …) XaaS Governance ModelCloud define planGovernanceConcept Implement monitor COBIT Integration for SaaS IaaS PaaS Enable Operation & Use (AI4) SaaS DS2 – CSA Control Governance Governance Accredit Solutions & Changes (AI7) Install & Governance Compliance – Audits/Reviews ModelManage Third-party Services (DS2) Model Model Risk Mgmt. 3rd Party Access Ensure Systems Security (DS5) define plan define plan define plan DS5– CSA Control Monitor & Evaluate Internal Control (ME2) Information Security - Policy monitor monitor monitor KPI & KPG KPI & KPG KPI & KPG Reviews Input implement Output - Input implement implement Output Output - Input Infrastructure Service Platform Service Software Service Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 49
    50. 50. 5 Fazit Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 50
    51. 51. Brauchen IT-Verantwortliche neue Methoden? – Der Demingkreis (1982) Domänen:Reifegrad •Security Plan: •Compliance Problembeschreibung, •Risk Management Zieldefinition, Planung und Definition •… der Maßnahmen Do: Umsetzung der Maßnahmen in beschränktem Rahmen mit Current Position/Risk Act: Entscheidung einfachen Mitteln (Pilot) Business Mission Industry Average über Service Management System Service Improvement 4.00 Risk Management Service Measurement & Reporting Relationship, Demand, Portfolio Facilities Management Financial Management Technical Management Function Business Continuity Management 3.00 flächendeckende Server & Operating System Workforce Management Storage 2.00 Program & Project Management Einführung ggfs. Database Administration Service Catalogue Management 1.00 Network Service Level Management 0.00 Application Management Function Availability Management Application & Middleware Service Continuity Management nach Optimierung Check: Operations and Event Management Capacity Management oder neuer Zyklus Problem Management Supplier Management Incident Management Inf Security & Access Mgmt Request Fulfilment Transition Planning & Support Service Desk Release & Deployment Management Validation & Testing Asset & Config Mgmt Change Management Knowledge Management Überprüfung der Ist-Aufnahme Wirksamkeit und Zielerreichung BSI 100-1 ISO 27001 Konsolidierung Zeit Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 51
    52. 52. Brauchen IT-Verantwortliche neue Methoden?– Parallelisierung der Zyklen Strategische Ausrichtung Wertbeitrag Risiko-Management Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 52
    53. 53. Fragen und Antworten Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 53
    54. 54. KontaktKornelius FuhrerSenior ConsultantOPITZ CONSULTINGStandort MünchenWeltenburger Straße 4 | 81677 MünchenTel. +49 89 680098-0kornelius.fuhrer@opitz-consulting.com youtube.com/opitzconsulting @OC_WIRE slideshare.net/opitzconsultin g xing.com/net/opitzconsulting Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 54

    ×