Cloud GovernanceBrauchen IT-Verantwortliche neueMethoden?Kornelius FuhrerSenior Consultant, OPITZ CONSULTINGOOP, München, ...
About me…                                          Kornelius.Fuhrer@opitz-consulting.com                                r...
Agenda1.   Real World Governance2.   Transparenz zur effektiven Governance3.   Kontrolle der Wolken4.   Praxisbeispiel: Te...
Bitte fragen Sie …          Cloud Governance   © OPITZ CONSULTING GmbH 2012   Seite 4
1   Real World Governance        Cloud Governance    © OPITZ CONSULTING GmbH 2012   Seite 5
Cloud GovernanceReal World Governance                              Luftfahrtamt                           LuftVG – Luftfah...
Real World GovernanceZwischenfazitAnalogie zur IT-GovernanceLuftfahrtamt = IT-SteuerungskreisGibt es auch Flughafensiche...
Transparenz zur effektiven2   Governance        Cloud Governance         © OPITZ CONSULTING GmbH 2012   Seite 8
Transparenz zur effektiven GovernanceIST Situation bei vielen Kunden    Historisch gewachsene            Unübersichtliche ...
Transparenz zur effektiven Governance– Standards, Gesetze und Regulierungen         Cloud Governance       © OPITZ CONSULT...
Transparenz zur effektiven Governance– Cloudsourcing: Haben Sie an alles gedacht?                                  Verteil...
Transparenz zur effektiven GovernanceImageschaden                               KonTraG: § 91 Abs. 2 AktG                 ...
Transparenz zur effektiven Governance– Architecture Development Method (TOGAF)                                  Stakeholde...
Transparenz zur effektiven Governance– Pragmatischer EA-Zyklus (Niemann)         Referenz-Architektur                     ...
Transparenz zur effektiven Governance– Dimensionen der Enterprise Architektur                             Strategiearchite...
Transparenz zur effektiven GovernanceMetamodell         Cloud Governance        © OPITZ CONSULTING GmbH 2012   Seite 16
Welche Blickwinkel auf die Architektur    schaffen Transparenz für die                       Governance?    Cloud Governan...
Transparenz zur effektiven Governance– Anwendungslandschaft (Informationsflusskarte)Welche Wechselbeziehungen bestehen in ...
Transparenz zur effektiven Governance– „CRUD Matrix“Welche Services verarbeiten wie, welche sensiblen Daten?Wo werden dies...
Transparenz zur effektiven Governance– Technischer Blueprint (Referenzmodell)Welche Architekturartefakte entsprechen den A...
Transparenz zur effektiven Governance– Strategische Roadmap (IT-Masterplan)Ist die Cloudsourcing-Strategie noch konsistent...
Risk & Compliance Dashboard(Governance Cockpit)Wie wirksam sind die implementierten Governance-Controls?Welche Risiken bes...
Zwischenfazit– Transparenz zur effektiven Governance Cloudsourcing birgt erhebliche Risiken Strategien, Ziele und Anford...
3   Kontrolle der Wolken        Cloud Governance   © OPITZ CONSULTING GmbH 2012   Seite 24
Kontrolle der Wolken– Fragestellungen     Welche Entscheidungen              Wer trifft diese     müssen getroffen werden?...
Kontrolle der Wolken– Governance-ModelleCloud-spezifische Governance als integraler Bestandteiler allerGovernance-Modelle ...
Kontrolle der Wolken– Governance-Referenzmodelle                      Cloud-Governance                      mit COBIT     ...
Kontrolle der Wolken– COBIT: IT-Governance-Prozessmodell                                             Planung & Organisatio...
Kontrolle der Wolken– COBIT: IT-Governance-ProzessmodellGeschäftsanforderungen                                        IT-P...
Kontrolle der WolkenCloud Control Matrix (Cloud Security Alliance)Zuweisung cloud-relevanter Kontroll- und Steurungselemen...
Kontrolle der Wolken – RACI: Wer ist für was verantwortlich? RACI ChartA RACI chart identifies who is Responsible,        ...
Kontrolle der WolkenIntegration der Governance-ModelleGovernance                                                          ...
Kontrolle der WolkenZwischenfazit                            Top Down IT-Governance-Ansatz   34 IT-Prozesse               ...
4   Praxisbeispiel: Telekommunikation        Cloud Governance        © OPITZ CONSULTING GmbH 2012   Seite 34
Praxisbeispiel: Telekommunikation– ÜberblickIaaSCloud-Anbieter stellt ISO-zertifizierte Images zur VerfügungKlient kann ...
Praxisbeispiel: Telekommunikation– ÜberblickSaaSMandantenfähige und konfigurierbare Business-ServicesUnabhängige Kontrol...
Praxisbeispiel: Telekommunikation– Erweiterung der bestehenden SOA-Governance         Principles | Guidelines | Vision | S...
Praxisbeispiel: TelekommunikationErweiterung der bestehenden SOA-Governance                   Principles | Guidelines | Vi...
Praxisbeispiel: Telekommunikation – Governance Vitality ProcessVitality                     InformationsaufnahmeTrigger   ...
Praxisbeispiel: TelekommunikationÜberblick der Rollen                                    IT Architect        SOA          ...
Praxisbeispiel: TelekommunikationÜberblick der Rollen                                    IT Architect        SOA          ...
Praxisbeispiel: Telekommunikation– Gremien                                                           EA    CIO Office     ...
Praxisbeispiel: Telekommunikation– Gremien                                         Sponsor- & Leadership                  ...
Praxisbeispiel: Telekommunikation– Gremien                                       Sponsor- & Leadership                    ...
Cloud Governance Framework  CloudGovernance                                                                               ...
COBIT Integration for XaaS                                         Cloud Governance Framework                   Define a S...
Cloud Governance Framework  CloudGovernance                                                                               ...
Cloud Governance Framework  CloudGovernance                                                                               ...
Cloud Governance Framework  CloudGovernance                                                                               ...
5   Fazit            Cloud Governance   © OPITZ CONSULTING GmbH 2012   Seite 50
Brauchen IT-Verantwortliche neue Methoden?      – Der Demingkreis (1982)            Domänen:Reifegrad            •Security...
Brauchen IT-Verantwortliche neue Methoden?– Parallelisierung der Zyklen                            Strategische Ausrichtun...
Fragen und Antworten         Cloud Governance   © OPITZ CONSULTING GmbH 2012   Seite 53
KontaktKornelius FuhrerSenior ConsultantOPITZ CONSULTINGStandort MünchenWeltenburger Straße 4 | 81677 MünchenTel. +49 89 6...
Nächste SlideShare
Wird geladen in …5
×

Cloud Governance – Brauchen IT-Verantwortliche neue Methoden? – OOP 2012 in München

2.509 Aufrufe

Veröffentlicht am

www.opitz-consulting.com/go/3-1-913

Die Auslagerung von Services und Daten in den Clouds bringt immer einen Kontroll- und Sicherheitsverlust mit sich. Dabei können sich geschäftliche Risiken negativ auf das Image eines Unternehmens auswirken und die Beziehung zum Kunden nachhaltig beschädigen. Steigende Abhängigkeiten zu Drittanbietern sowie komplexe gesetzliche Bestimmungen verschärfen Compliance-Szenarien und machen eine ausgefeilte Governance wichtiger denn je!

Brauchen IT-Verantwortliche neue Methoden, oder können Sie diese Herausforderungen mit COBIT und TOGAF bewältigen?

Mit dieser Fragestellung befasste sich Kornelius Fuhrer, Senior Consultant bei OPITZ CONSULTING, in seinem Vortrag auf der OOP 2012 in München. Und diskutierte mögliche Optionen mit den teilnehmenden Softwarearchitekten und Entscheidern.

--
Über uns:
Als führender Projektspezialist für ganzheitliche IT-Lösungen tragen wir zur Wertsteigerung der Organisationen unserer Kunden bei und bringen IT und Business in Einklang. Mit OPITZ CONSULTING als zuverlässigem Partner können sich unsere Kunden auf ihr Kerngeschäft konzentrieren und ihre Wettbewerbsvorteile nachhaltig absichern und ausbauen.
Über unsere IT-Beratung: http://www.opitz-consulting.com/go/3-8-10
Unser Leistungsangebot: http://www.opitz-consulting.com/go/3-8-874
Karriere bei OPITZ CONSULTING: http://www.opitz-consulting.com/go/3-8-5

Veröffentlicht in: Technologie, Business
  • Als Erste(r) kommentieren

Cloud Governance – Brauchen IT-Verantwortliche neue Methoden? – OOP 2012 in München

  1. 1. Cloud GovernanceBrauchen IT-Verantwortliche neueMethoden?Kornelius FuhrerSenior Consultant, OPITZ CONSULTINGOOP, München, 25.01.2012 Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 1
  2. 2. About me… Kornelius.Fuhrer@opitz-consulting.com  roles@opitz-consulting.com  Governance Specialist  Enterprise Architect  key topics  Governance (IT, EA, SOA, Cloud)  Enterprise Architecture Management  Business- & IT-Transformation  Integration, SOA, EAIKornelius Fuhrer  community:  Author:Senior Consultant, JavaSpektrum, ObjektSpektrum, BusinessOPITZ CONSULTING Technology, IT-Management, Manage IT  Speaker: OOP, JAX, SOA | BPM Integration Days Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 2
  3. 3. Agenda1. Real World Governance2. Transparenz zur effektiven Governance3. Kontrolle der Wolken4. Praxisbeispiel: Telekommunikationsbranche5. Fazit Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 3
  4. 4. Bitte fragen Sie … Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 4
  5. 5. 1 Real World Governance Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 5
  6. 6. Cloud GovernanceReal World Governance Luftfahrtamt LuftVG – Luftfahrtgesetz LuftVO - Luftverkehrs-Ordnung FlUUG – Flugunfall-Untersuchungs-Gesetz LuftSiG – Luftsicherheitsgesetz LuftVZO – Luftverkehrs-Zulassungs-Ordnung Europäische und Internationale Gesetze Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 6
  7. 7. Real World GovernanceZwischenfazitAnalogie zur IT-GovernanceLuftfahrtamt = IT-SteuerungskreisGibt es auch Flughafensicherheit,die die Einhaltung und Wirksamkeit zyklisch überprüft?Gibt es einen Architektur-TüV?Dürfen die Projektleiter ohne Flugführerschein die Programme/Projekte durch dieCloud fliegen?Gibt es eine Flugschule?Werden die Betroffenen durch den durch den Governance-Prozess gelotst?Fragen, die hier beantwortet werden! Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 7
  8. 8. Transparenz zur effektiven2 Governance Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 8
  9. 9. Transparenz zur effektiven GovernanceIST Situation bei vielen Kunden Historisch gewachsene Unübersichtliche Anwendungslandschaften Schnittstellenkomplexität Welche Anwendungen können Wo werden überall sensible Daten bedenkenlos in die Cloud? transportiert oder zwischengespeichert? c Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 9
  10. 10. Transparenz zur effektiven Governance– Standards, Gesetze und Regulierungen Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 10
  11. 11. Transparenz zur effektiven Governance– Cloudsourcing: Haben Sie an alles gedacht? Verteilte Infrastrukturen Datenschutz Compliance Unautorisierter Zugriff Kontrollverlust Vendor Lock-in Gesetzliche Risiken Böswillige Insider Gerichtsbarkeit Datenverluste Unsichere Schnittstellen Account-Hijacking Unsichere APIs Lizenzierung Datenlecks Unbekannte Risiken Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 11
  12. 12. Transparenz zur effektiven GovernanceImageschaden KonTraG: § 91 Abs. 2 AktG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich kann Vorstände und Geschäftsführer mit Ihrem Privatvermögen haftbar machen Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 12
  13. 13. Transparenz zur effektiven Governance– Architecture Development Method (TOGAF) Stakeholderanalyse Veränderungsmanagement Fragestellungen Anforderungen -> Iteration Architekturziele IST Architektur Überwachung GAPs EA Governance SOLL Architektur Ergebnisartefakte Abstimmung Blickwinkel Kommunikation Roadmap vom IST ins SOLL Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 13
  14. 14. Transparenz zur effektiven Governance– Pragmatischer EA-Zyklus (Niemann) Referenz-Architektur document Umsetzung act Architektur KPIs definieren definieren Architektur KPIs auswerten check implementieren Architektur Architektur populieren Szenarien prüfen entwickeln Szenarien bewerten plan analyze Architektur GAPs analysieren analysieren Architektur Roadmap visualisieren Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 14
  15. 15. Transparenz zur effektiven Governance– Dimensionen der Enterprise Architektur Strategiearchitektur Geschäftsarchitektur IT-Architektur Anwendungs- architektur Servicearchitektur Technische Architektur Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 15
  16. 16. Transparenz zur effektiven GovernanceMetamodell Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 16
  17. 17. Welche Blickwinkel auf die Architektur schaffen Transparenz für die Governance? Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 17
  18. 18. Transparenz zur effektiven Governance– Anwendungslandschaft (Informationsflusskarte)Welche Wechselbeziehungen bestehen in der Anwendungslandschaft? Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 18
  19. 19. Transparenz zur effektiven Governance– „CRUD Matrix“Welche Services verarbeiten wie, welche sensiblen Daten?Wo werden diese zwischengespeichert? Sind sie verschlüsselt? Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 19
  20. 20. Transparenz zur effektiven Governance– Technischer Blueprint (Referenzmodell)Welche Architekturartefakte entsprechen den Anforderungen an Sicherheitund Compliance? Wie weit wurden welche SLAs umgesetzt? Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 20
  21. 21. Transparenz zur effektiven Governance– Strategische Roadmap (IT-Masterplan)Ist die Cloudsourcing-Strategie noch konsistent durchführbar?Welches Architekturartefakt hängt von welchen Zielen ab? Fulfillment Business Process (PLAN) Cloudsourcing Strategy Fulfillment Business Process (IST) Affected Services Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 21
  22. 22. Risk & Compliance Dashboard(Governance Cockpit)Wie wirksam sind die implementierten Governance-Controls?Welche Risiken bestehen hinsichtlich Compliance, Sicherheit und Verfügbarkeit? Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 22
  23. 23. Zwischenfazit– Transparenz zur effektiven Governance Cloudsourcing birgt erhebliche Risiken Strategien, Ziele und Anforderungen müssen klar definiert sein EA schafft die erforderliche Transparenz Entscheidungen können schneller, konsistenter und nachhaltiger getroffen werden Essenzielle Grundlage für jedes Governance Programm Enterprise Architecture Management informiert. Governance reguliert und kontrolliert. Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 23
  24. 24. 3 Kontrolle der Wolken Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 24
  25. 25. Kontrolle der Wolken– Fragestellungen Welche Entscheidungen Wer trifft diese müssen getroffen werden? Entscheidungen? Governance Wie werden diese Wie werden die Entscheidungen getroffen? Ergebnisse überwacht? Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 25
  26. 26. Kontrolle der Wolken– Governance-ModelleCloud-spezifische Governance als integraler Bestandteiler allerGovernance-Modelle im Unternehmen! Corporate Cloud- SOA- IT-Governance Governance Governance Governance Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 26
  27. 27. Kontrolle der Wolken– Governance-Referenzmodelle Cloud-Governance mit COBIT Horses for courses Jedes der Governance-Modelle bildet für einen definierten Zweck die Wirklichkeit aus einem spezifischen Sicht ab! Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 27
  28. 28. Kontrolle der Wolken– COBIT: IT-Governance-Prozessmodell Planung & OrganisationGeschäftsanforderungen Beschaffung & ImplementierungEffektivität Lieferung & UnterstützungEffizienz Überwachung & EvaluierungIntegritätVerfügbarkeit IT-ProzesseComplianceZuverlässigkeitVertraulichkeit GovernanceIT-Ressourcen DomänenPersonal Strat. AusrichtungInfrastruktur WertbeitragInformation/Daten RisikomanagementApplikationen/Services Ressourcenmanagement(IT-Architektur) Ergebnismessung Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 28
  29. 29. Kontrolle der Wolken– COBIT: IT-Governance-ProzessmodellGeschäftsanforderungen IT-ProzesseEffektivität Planung & OrganisationEffizienz Beschaffung & ImplementierungIntegrität Lieferung & UnterstützungVerfügbarkeit ÜberwachungCompliance & EvaluierungZuverlässigkeit GeschäftszieleVertraulichkeit Kennzahlen IT-Ziele KPI Prozessziele KGI Aktivitätsziele GovernanceIT-Ressourcen DomänenPersonal Strat. AusrichtungInfrastruktur WertbeitragInformation/Daten RisikomanagementApplikationen/Services Ressourcenmanagement(IT-Architektur) Ergebnismessung Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 29
  30. 30. Kontrolle der WolkenCloud Control Matrix (Cloud Security Alliance)Zuweisung cloud-relevanter Kontroll- und Steurungselementezu COBIT Prozesszielen Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 30
  31. 31. Kontrolle der Wolken – RACI: Wer ist für was verantwortlich? RACI ChartA RACI chart identifies who is Responsible, FunctionsAccountable, Consulted and/or Informed.Activities A/Link business goals to IT goals. C I R I C A/Identify critical dependencies and current performance. C C R R C C C C C CBuild an IT strategic plan. A C C R I C C C C I CBuild IT tactical plans. C I A C C C C C R IAnalyse programme portfolios and manage project and C I I A R R C R C C Iservice portfolios.  Klare Definition der Verantwortlichkeiten  Detaillierte Beschreibung der Ergebnistypen  Vertragliche Fixierung Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 31
  32. 32. Kontrolle der WolkenIntegration der Governance-ModelleGovernance CSAKontrollelemente ControlsAusrichtungder RollenOperativeUmsetzung Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 32
  33. 33. Kontrolle der WolkenZwischenfazit Top Down IT-Governance-Ansatz 34 IT-Prozesse COBIT + 5 Governance-Domänen CSA Controls = Cloud 210 Prozessziele Governance Reifegradmodell mit 6 Reifegradstufen 98 CSA Controls Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 33
  34. 34. 4 Praxisbeispiel: Telekommunikation Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 34
  35. 35. Praxisbeispiel: Telekommunikation– ÜberblickIaaSCloud-Anbieter stellt ISO-zertifizierte Images zur VerfügungKlient kann die Infrastruktur beliebig konfigurieren und Technologien installierenPaaSCloud-Anbieter stellt Middleware-Technologie und Konfigurationen bereitKlient installiert Business ServicesBestandteile des IaaS & PaaS-Angebots:  Hosting Services Platforms  Security Services  Managed Document Services Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 35
  36. 36. Praxisbeispiel: Telekommunikation– ÜberblickSaaSMandantenfähige und konfigurierbare Business-ServicesUnabhängige Kontrollmechanismen (Bereitstellung Security Funktionalitäten)Verschlüsselte Übertragung und Speicherung von sensiblen DatenKodifizierung der Zuständigkeits- und VerantwortungsbereicheFortlaufende Dokumentation aller SLA-Messergebnisse (QoS, response time,etc)Zyklische Validierung aller Kennzahlen (Sicherheit, Performance, Compliance)Bestandteile des SaaS-Angebots:  Help Desk Services  Application Operations Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 36
  37. 37. Praxisbeispiel: Telekommunikation– Erweiterung der bestehenden SOA-Governance Principles | Guidelines | Vision | Scope | Maturity Governing Processes Governed Processes Policies Triggers Roles Goals Roadmaps Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 37
  38. 38. Praxisbeispiel: TelekommunikationErweiterung der bestehenden SOA-Governance Principles | Guidelines | Vision | Scope | Maturity Governing Processes Governed Processes Policies Vitality Triggers TriggersCompliance Policies Roles Goals Roadmaps Change Management Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 38
  39. 39. Praxisbeispiel: Telekommunikation – Governance Vitality ProcessVitality InformationsaufnahmeTrigger Identify Akkurate Identifikation der Umstände Motivation & Benefits Assess Kosten, Risiken & Auswirkungen (Business Continuity, Projektgeschäft) Legitime Alternativen Refresh Steuerung, Regulierung und Durchführung der Änderungen Review (CIO Office und Business Sponsors) Approve Genehmigung und formale Abnahme (Cloud Governance Autorität) Com- Kommunikation und Information (Stakholder und Projektteams) municate Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 39
  40. 40. Praxisbeispiel: TelekommunikationÜberblick der Rollen IT Architect SOA Policy Custodian CLOUD Service Analyst SOA Governance Specialist Cloud Governance Specialist SOA Security Specialist Cloud Security Specialist Service Architect Cloud Architect Cloud Service Owner Service Administrator Cloud Ressource Administrator Service Developer Cloud Technology Professional QA Specialist Basiert auf : Thomas Erl Educator SOA Governance Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 40
  41. 41. Praxisbeispiel: TelekommunikationÜberblick der Rollen IT Architect SOA Policy Custodian CLOUD Service Analyst SOA Governance Specialist Cloud Governance Specialist SOA Security Specialist Cloud Security Specialist Service Architect Cloud Architect Cloud Service Owner Service Administrator Cloud Ressource Administrator Service Developer Cloud Technology Professional QA Specialist Basiert auf Thomas Erls Educator „SOA Governance“ Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 41
  42. 42. Praxisbeispiel: Telekommunikation– Gremien EA CIO Office Governance Council Cloud Governance Program Office Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 42
  43. 43. Praxisbeispiel: Telekommunikation– Gremien Sponsor- & Leadership Cloud Steering EA CIO Office Comittee Governance Council Chief Architect, Business Sponsor Scope & Delivery Mgmt. Definition & Development Cloud Business Domain Cloud Center of Governance Representatives Excellence Program Office Cloud Architects, Cloud Program Manager, Business Technology Professionals, Cloud Architect, Process Engineer Security Spec. Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 43
  44. 44. Praxisbeispiel: Telekommunikation– Gremien Sponsor- & Leadership Cloud Steering EA CIO Office Comittee Governance Council Chief Architect, Business Sponsor Scope & Delivery Mgmt. Definition & Development Cloud Business Domain Cloud Center of Governance Representatives Excellence Program Office Cloud Architects, Cloud Program Manager, Business Technology Professionals, Cloud Architect, Process Engineer Security Spec. Execution & Delivery IaaS PaaS SaaS Development Teams Development Teams Development Teams Project Manager, Service Analysts, Cloud Architects, Cloud Integration Specialist, Cloud Ressource Administrators, Cloud Technology Professionals, Cloud Security Specialists Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 44
  45. 45. Cloud Governance Framework CloudGovernance ITG Integration Strategy (COBIT, CSA, ITIL, …) XaaS Governance ModelCloud define planGovernanceConcept Implement monitor IaaS PaaS SaaS Governance Governance Governance Model Model Model define plan define plan define plan monitor monitor monitor KPI & KPG KPI & KPG KPI & KPGInput implement Output - Input implement Output - Input implement Output Infrastructure Service Platform Service Software Service Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 45
  46. 46. COBIT Integration for XaaS Cloud Governance Framework Define a Strategic Plan (PO1) PO4 – CSA ControlDefine IT Processes, Organization & Relationships (PO4) Information Security Cloud Communicate Management Aims & Direction (PO6)Governance ITG Integration Assess & Manage IT Risks (P10) (COBIT, CSA, ITIL, …) Strategy Enable Operation & Use (AI4)XaaS PO10 – CSA Control Governance Manage Performance & Capacity (DS3) Risk Mgmt. Program Model Risk Mgmt. AssessmentCloud Monitor & Evaluate Internal (ME2) define planGovernance Provide IT-Governance (ME4)Concept Implement monitor IaaS PaaS SaaS Governance Governance Governance Model Model Model define plan define plan define plan monitor monitor monitor KPI & KPG KPI & KPG KPI & KPG Input Output - Input Output - Input Output implement implement implement Infrastructure Service Platform Service Software Service Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 46
  47. 47. Cloud Governance Framework CloudGovernance ITG Integration Strategy (COBIT, CSA, ITIL, …) XaaS Governance ModelCloud define planGovernanceConcept COBIT Integration for IaaS Define the Information Architecture (PO2) Implement monitor Determine Technological Direction (PO3) PO2 – CSA ControlAcquire & Maintain Tech. Infrastructure (AI3) DATA Governance IaaS PaaS SaaS Procure IT Resources (AI5) Governance Governance Governance Model Manage Changes (AI6) Model Model DS2 – CSA Control Define & Manage Service Levels (DS1) Compliance – 3rd Party Audits define plan define plan define plan Manage Third-party Services (DS2) Risk Mgmt.- 3rd Party Access Ensure Regulatory Compliance (ME3) monitor monitor monitor KPI & KPG KPI & KPG KPI & KPG ME3– CSA Control Input implement Output - Input implement Compliance – Independent implement Output - Input Output Infrastructure Service Platform Service Audits Software Service Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 47
  48. 48. Cloud Governance Framework CloudGovernance ITG Integration Strategy (COBIT, CSA, ITIL, …) XaaS Governance ModelCloud define planGovernanceConcept COBIT Integration for PaaS Manage Quality (PO8) Implement monitor Manage Projects (PO10) Enable Operation & Use (AI4) IaaS PaaS SaaS PO8– CSA Control Governance IT Resources (AI5) Procure Governance Governance Release Management/QA Model Model Model Manage Changes (AI6) Define & Manage Service Levels (DS1) define plan define plan define plan Manage Third-party Services (DS2) Ensure KPI & KPG Regulatory Compliance (ME3)monitor monitor KPI & KPG monitor KPI & KPG Input implement implement Output - Input implement Output Output - Input Infrastructure Service Platform Service Software Service Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 48
  49. 49. Cloud Governance Framework CloudGovernance ITG Integration Strategy (COBIT, CSA, ITIL, …) XaaS Governance ModelCloud define planGovernanceConcept Implement monitor COBIT Integration for SaaS IaaS PaaS Enable Operation & Use (AI4) SaaS DS2 – CSA Control Governance Governance Accredit Solutions & Changes (AI7) Install & Governance Compliance – Audits/Reviews ModelManage Third-party Services (DS2) Model Model Risk Mgmt. 3rd Party Access Ensure Systems Security (DS5) define plan define plan define plan DS5– CSA Control Monitor & Evaluate Internal Control (ME2) Information Security - Policy monitor monitor monitor KPI & KPG KPI & KPG KPI & KPG Reviews Input implement Output - Input implement implement Output Output - Input Infrastructure Service Platform Service Software Service Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 49
  50. 50. 5 Fazit Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 50
  51. 51. Brauchen IT-Verantwortliche neue Methoden? – Der Demingkreis (1982) Domänen:Reifegrad •Security Plan: •Compliance Problembeschreibung, •Risk Management Zieldefinition, Planung und Definition •… der Maßnahmen Do: Umsetzung der Maßnahmen in beschränktem Rahmen mit Current Position/Risk Act: Entscheidung einfachen Mitteln (Pilot) Business Mission Industry Average über Service Management System Service Improvement 4.00 Risk Management Service Measurement & Reporting Relationship, Demand, Portfolio Facilities Management Financial Management Technical Management Function Business Continuity Management 3.00 flächendeckende Server & Operating System Workforce Management Storage 2.00 Program & Project Management Einführung ggfs. Database Administration Service Catalogue Management 1.00 Network Service Level Management 0.00 Application Management Function Availability Management Application & Middleware Service Continuity Management nach Optimierung Check: Operations and Event Management Capacity Management oder neuer Zyklus Problem Management Supplier Management Incident Management Inf Security & Access Mgmt Request Fulfilment Transition Planning & Support Service Desk Release & Deployment Management Validation & Testing Asset & Config Mgmt Change Management Knowledge Management Überprüfung der Ist-Aufnahme Wirksamkeit und Zielerreichung BSI 100-1 ISO 27001 Konsolidierung Zeit Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 51
  52. 52. Brauchen IT-Verantwortliche neue Methoden?– Parallelisierung der Zyklen Strategische Ausrichtung Wertbeitrag Risiko-Management Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 52
  53. 53. Fragen und Antworten Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 53
  54. 54. KontaktKornelius FuhrerSenior ConsultantOPITZ CONSULTINGStandort MünchenWeltenburger Straße 4 | 81677 MünchenTel. +49 89 680098-0kornelius.fuhrer@opitz-consulting.com youtube.com/opitzconsulting @OC_WIRE slideshare.net/opitzconsultin g xing.com/net/opitzconsulting Cloud Governance © OPITZ CONSULTING GmbH 2012 Seite 54

×