1. Frankfurt, 22. November 2011
SecTXL '11
IT-Governance matters.
Drei Geschichten über Chancen und Risiken
der Cloud-Nutzung
Dr. Dietmar G. Wiedemann, PMP®
PROVENTA AG
PROVENTA AG

2. Prolog:
Zwei Sätze über mich.

4. Leiter des Fachbereichs Cloud Computing
im Bundesverband der Dienstleister für
Online-Anbieter (BDOA)
Fachbereich Cloud Computing, ein Forum
für die Zusammenarbeit und den Austausch
im Cloud Computing.

5. 1. Cloud Computing benötigt IT-Governance-Prozesse, um die Chancen
zu nutzen und die Risiken zu minimieren.
2. Das Rad muss nicht neu erfunden werden, nutzen Sie existierende
Frameworks, wie etwa COBIT.

6. Drei Geschichten über die
Chancen von Cloud Computing.

7. Was sind überzeugende Use Cases?
Saison-Geschäft
Planbar
Bedarfs-
?
volumen Start-up Schnellere Batch-Prozesse
Nicht planbar
Schwankend Nutzung im Zeitablauf Konstant
Quelle: Armbrust, M. et. al (2010): A View of Cloud Computing. Communications of the ACM. PROVENTA AG

8. Claudia
 E-Commerce mit Fokus
auf Weihnachtsartikel
 Nutzung von IaaS
Planbar, aber
schwankend

9. Abfangen von planbaren Peaks im Saison-Geschäft
IT-Bedarf
Zeit
Tatsächlicher Bedarf On-Premises Cloud

10. Finanzielle Vorteile durch
eine CapEx-OpEx-Verschiebung

11. Peter
 Start-up im E-Commerce
 Nutzung von SaaS für CRM
Schwankend, aber nicht planbar

12. Keine hohen Anfangsinvestitionen

13. Flexibilität durch Skalierbarkeit

14. Time-to-Market

15. Martina
 Data-Mining-Beratung
 Große Datenmengen
 Meist Batch-Verarbeitung
 Nutzung von IaaS
Volumen nicht planbar, aber konstant

16. Zeit-Vorteile durch
schnellere Batch-Prozesse

17. Zwischenfazit I
! „Durch seine Vorzüge hat Cloud Computing
das Potenzial, mittel- bis langfristig einen
beträchtlichen Teil der traditionellen IT-
Leistungsangebote zu ersetzen.“
Quelle: BITKOM (2009): Cloud Computing - Evolution in der Technik, Revolution im Business.

18. Drei Geschichten über die
Risiken von Cloud Computing.

19. Das Weihnachtsgeschäft von Claudia war
2011 weniger erfolgreich.

20. Grund war ein Ausfall beim IaaS-Provider,
durch den die Kundendaten vollständig
verloren gingen.

21. Claudia hatte keinen Notfall-Plan
 Nutzung mehrerer Verfügbarkeitszonen
 Back-up (intern oder bei anderem Anbieter)

22. Eines Tages erhielt Peter einen
unerfreulichen Brief vom Unabhängigen
Landeszentrum für Datenschutz.

23. Grund waren datenschutzrechtliche Versäumnisse
 Verarbeitung personenbezogener Daten außerhalb des
Europäischen Wirtschaftsraums
 Kein Safe-Harbor-Abkommen
 Keine Auftragsdatenvereinbarung (§ 11 BDSG)

24. Peter droht ein hohes Bußgeld oder er
unterlässt die SaaS-CRM-Nutzung.

25. Eines Tages stellt Martina massive Schatten-IT
fest, wodurch Datensilos bei verschiedenen
inkompatiblen Anbietern entstanden.

26. Grund war der einfache Zugang zur Cloud.
Man benötigt nur eine Kreditkarte, um
IT-Investitionen „an der IT vorbei“ zu tätigen.

27. Martina hatte keine Auklärungsarbeit geleistet
und ist jetzt mit sämtlichen Cloud-Risiken
konfrontiert
Lock-in - Loss of governance - Compliance challenges - Loss of business reputation due to co-tenant activities - Cloud service termination or
failure - Cloud provider acquisition - Supply chain failure - Social engineering attacks - Backups lost - Resource exhaustion - Isolation failure -
Cloud provider malicious insider - Management interface compromise - Intercepting data in transit - Data leakage on up/download - Insecure or
ineffective deletion of data - DDoS - EDOS - Loss of encryption keys - Compromise service engine - Conflicts between customer hardening
procedures and cloud environment Subpoena and e-discovery - Risk from changes of jurisdiction - Data protection risks - Licensing risks

28. Zwischenfazit II
Compliance
IT-Risken Schatten-IT
“Cloud
computing
needs
governance.”
Quelle: Gordon Haff - Senior Cloud Product Manager, Red Hat

29. IT-Governance

30. Definition: IT-Governance im Cloud-Kontext.
Cloud Governance stellt Entscheidungs- und Kontrollprozesse zur Verfügung,
um Risiken im Rahmen des Cloud-Service-Lebenszyklus zu senken und Chancen zu erhöhen.
Strategische
Planung
Design &
Exit
Architektur
Cloud Governance
Integration,
Change Migration &
Customizing
Monitoring Nutzung
PROVENTA AG

31. “The use of proven frameworks can help enable an
enterprise to realize expected benefits from the cloud.“
Quelle: ISACA (2011): IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud.

32. Die Information Systems Audit and Control Association
(ISACA) empfiehlt die Nutzung von 4 integrierten Frameworks.
COBIT bietet einen umfassenden
COBIT Rahmen zur Erfüllung von
Anforderungen an die IT-Governance.
Val IT hilft den optimalen Wertbeitrag
aus IT-Investitionen zu erzielen.
„Cloud Governance
Risk IT Val IT Risk IT dient dem IT-Risikomanagement.
Frameworks“
BMIS bietet Leitlinien, die sämtliche
Aspekte der Informationssicherheit aus
Geschäftssicht behandeln.
Business Model for
Information
Security
Quelle: ISACA (2011): IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud. PROVENTA AG

33. COBIT in a nutshell

34. Grundprinzip von COBIT
Start Richtung vorgeben
IT-Prozesse
Ziele setzen Vergleichen aufsetzen und
implementieren
Performance
messen

35. Identifikation der Geschäfts- und IT-Ziele für den
Cloud-Einsatz und Ableitung der benötigten IT-Prozesse, um
die IT am Geschäft auszurichten
Matrix Geschäftsziel/IT-Ziel Matrix IT-Ziel/IT-Prozess
Ausrichtung der IT am Geschäft

36. Beschreibung von 34 Prozessen, die
sich an vier Domänen orientieren
Überwachung &
Evaluierung
Lieferung &
Support
Beschaffung &
Implementierung
Planung &
Organisation

37. Metriken zur Beurteilung
 des Prozesses
 des Beitrags einzelner Aktivitäten zu den Prozess-Zielen
 des Beitrags des Prozesses wiederum zu den IT-Zielen
Bild: Ashlinorton

38. Reifegradmodell, das die typischen
Ausprägungen des Prozesses in
6 Reifegradstufen (0 bis 5) beschreibt

39. Festlegung von Verantwortlichkeiten für jeden
Prozess über RACI
Bild: Kamal Selle

40. OK, und was nützt
IT Governance für mein
Unternehmen?

41. „to control the formulation and
implementation of IT strategy and in this
way ensure the fusion of business and IT.”
Quelle: De Haes, S., van Grembergen, W. (2004): IT Governance and its Mechanisms.

42. Risikomanagement, um Sicherheit, Verfügbarkeit
und Einhaltung von gesetzlichen Bestimmungen
zu gewährleisten.

43. “Firms with superior IT governance have more than
25% higher profits
than firms with poor governance given the same
strategic objectives.”
Quelle: Weill, P.; Ross, J.W.: IT Governance. Harvard Business Press Books, 2004.

44. Was muss ich tun, um
IT-Governance im Unternehmen
richtig einzusetzen?

45. Lesen Sie Bücher und
erstellen Sie einen Projektplan!

46. Besuchen Sie eine Schulung und
lassen Sie sich zertifizieren.

47. Lassen Sie sich durch einen
Consultant unterstützen.

48. 1. Cloud Computing benötigt IT-Governance-Prozesse, um die Chancen
zu nutzen und die Risiken zu minimieren.
2. Das Rad muss nicht neu erfunden werden, nutzen Sie existierende
Frameworks, wie etwa COBIT.

49. Proventa AG
Gegründet 1992 Services
• Strategieberatung
Fachschwerpunkt Beratungshaus + System-Integrator • Projektmanagement
• Konzeption & Design
Branchenschwerpunkt Telekommunikation und ISP • Prozessmanagement
• Systemintegration
Anzahl Mitarbeiter 110 • Architektur
Erfahrung Über 700 IT-Projekte • Datenmanagement
• Technische Tests
• Support und Wartung
Corporate Applications
Technologien und Plattformen • Order-Management
• CRM
• Billing and Rating
• Business Intelligence
• Data Governance
Interactive Media
• Internet Applications
• Mobile Applications
PROVENTA AG

50. Kontakt
Dr. Dietmar Georg Wiedemann, PMP®
PROVENTA AG
Untermainkai 29
60329 Frankfurt
Fon: +49 (0)69 - 23 25 50
Fax: +49 (0)69 - 23 42 67
Mobil: +49 (0)151-16 78 95 82
Email: d.wiedemann[at]proventa.de