Ähnlich wie SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Drei Geschichten über Chancen und Risiken der Cloud-Nutzung" (18)
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Drei Geschichten über Chancen und Risiken der Cloud-Nutzung"
1. Frankfurt, 22. November 2011
SecTXL '11
IT-Governance matters.
Drei Geschichten über Chancen und Risiken
der Cloud-Nutzung
Dr. Dietmar G. Wiedemann, PMP®
PROVENTA AG
PROVENTA AG
4. Leiter des Fachbereichs Cloud Computing
im Bundesverband der Dienstleister für
Online-Anbieter (BDOA)
Fachbereich Cloud Computing, ein Forum
für die Zusammenarbeit und den Austausch
im Cloud Computing.
5. 1. Cloud Computing benötigt IT-Governance-Prozesse, um die Chancen
zu nutzen und die Risiken zu minimieren.
2. Das Rad muss nicht neu erfunden werden, nutzen Sie existierende
Frameworks, wie etwa COBIT.
7. Was sind überzeugende Use Cases?
Saison-Geschäft
Planbar
Bedarfs-
?
volumen Start-up Schnellere Batch-Prozesse
Nicht planbar
Schwankend Nutzung im Zeitablauf Konstant
Quelle: Armbrust, M. et. al (2010): A View of Cloud Computing. Communications of the ACM. PROVENTA AG
17. Zwischenfazit I
! „Durch seine Vorzüge hat Cloud Computing
das Potenzial, mittel- bis langfristig einen
beträchtlichen Teil der traditionellen IT-
Leistungsangebote zu ersetzen.“
Quelle: BITKOM (2009): Cloud Computing - Evolution in der Technik, Revolution im Business.
20. Grund war ein Ausfall beim IaaS-Provider,
durch den die Kundendaten vollständig
verloren gingen.
21. Claudia hatte keinen Notfall-Plan
Nutzung mehrerer Verfügbarkeitszonen
Back-up (intern oder bei anderem Anbieter)
22. Eines Tages erhielt Peter einen
unerfreulichen Brief vom Unabhängigen
Landeszentrum für Datenschutz.
23. Grund waren datenschutzrechtliche Versäumnisse
Verarbeitung personenbezogener Daten außerhalb des
Europäischen Wirtschaftsraums
Kein Safe-Harbor-Abkommen
Keine Auftragsdatenvereinbarung (§ 11 BDSG)
24. Peter droht ein hohes Bußgeld oder er
unterlässt die SaaS-CRM-Nutzung.
25. Eines Tages stellt Martina massive Schatten-IT
fest, wodurch Datensilos bei verschiedenen
inkompatiblen Anbietern entstanden.
26. Grund war der einfache Zugang zur Cloud.
Man benötigt nur eine Kreditkarte, um
IT-Investitionen „an der IT vorbei“ zu tätigen.
27. Martina hatte keine Auklärungsarbeit geleistet
und ist jetzt mit sämtlichen Cloud-Risiken
konfrontiert
Lock-in - Loss of governance - Compliance challenges - Loss of business reputation due to co-tenant activities - Cloud service termination or
failure - Cloud provider acquisition - Supply chain failure - Social engineering attacks - Backups lost - Resource exhaustion - Isolation failure -
Cloud provider malicious insider - Management interface compromise - Intercepting data in transit - Data leakage on up/download - Insecure or
ineffective deletion of data - DDoS - EDOS - Loss of encryption keys - Compromise service engine - Conflicts between customer hardening
procedures and cloud environment Subpoena and e-discovery - Risk from changes of jurisdiction - Data protection risks - Licensing risks
28. Zwischenfazit II
Compliance
IT-Risken Schatten-IT
“Cloud
computing
needs
governance.”
Quelle: Gordon Haff - Senior Cloud Product Manager, Red Hat
30. Definition: IT-Governance im Cloud-Kontext.
Cloud Governance stellt Entscheidungs- und Kontrollprozesse zur Verfügung,
um Risiken im Rahmen des Cloud-Service-Lebenszyklus zu senken und Chancen zu erhöhen.
Strategische
Planung
Design &
Exit
Architektur
Cloud Governance
Integration,
Change Migration &
Customizing
Monitoring Nutzung
PROVENTA AG
31. “The use of proven frameworks can help enable an
enterprise to realize expected benefits from the cloud.“
Quelle: ISACA (2011): IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud.
32. Die Information Systems Audit and Control Association
(ISACA) empfiehlt die Nutzung von 4 integrierten Frameworks.
COBIT bietet einen umfassenden
COBIT Rahmen zur Erfüllung von
Anforderungen an die IT-Governance.
Val IT hilft den optimalen Wertbeitrag
aus IT-Investitionen zu erzielen.
„Cloud Governance
Risk IT Val IT Risk IT dient dem IT-Risikomanagement.
Frameworks“
BMIS bietet Leitlinien, die sämtliche
Aspekte der Informationssicherheit aus
Geschäftssicht behandeln.
Business Model for
Information
Security
Quelle: ISACA (2011): IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud. PROVENTA AG
34. Grundprinzip von COBIT
Start Richtung vorgeben
IT-Prozesse
Ziele setzen Vergleichen aufsetzen und
implementieren
Performance
messen
35. Identifikation der Geschäfts- und IT-Ziele für den
Cloud-Einsatz und Ableitung der benötigten IT-Prozesse, um
die IT am Geschäft auszurichten
Matrix Geschäftsziel/IT-Ziel Matrix IT-Ziel/IT-Prozess
Ausrichtung der IT am Geschäft
36. Beschreibung von 34 Prozessen, die
sich an vier Domänen orientieren
Überwachung &
Evaluierung
Lieferung &
Support
Beschaffung &
Implementierung
Planung &
Organisation
37. Metriken zur Beurteilung
des Prozesses
des Beitrags einzelner Aktivitäten zu den Prozess-Zielen
des Beitrags des Prozesses wiederum zu den IT-Zielen
Bild: Ashlinorton
38. Reifegradmodell, das die typischen
Ausprägungen des Prozesses in
6 Reifegradstufen (0 bis 5) beschreibt
40. OK, und was nützt
IT Governance für mein
Unternehmen?
41. „to control the formulation and
implementation of IT strategy and in this
way ensure the fusion of business and IT.”
Quelle: De Haes, S., van Grembergen, W. (2004): IT Governance and its Mechanisms.
43. “Firms with superior IT governance have more than
25% higher profits
than firms with poor governance given the same
strategic objectives.”
Quelle: Weill, P.; Ross, J.W.: IT Governance. Harvard Business Press Books, 2004.
44. Was muss ich tun, um
IT-Governance im Unternehmen
richtig einzusetzen?
48. 1. Cloud Computing benötigt IT-Governance-Prozesse, um die Chancen
zu nutzen und die Risiken zu minimieren.
2. Das Rad muss nicht neu erfunden werden, nutzen Sie existierende
Frameworks, wie etwa COBIT.
49. Proventa AG
Gegründet 1992 Services
• Strategieberatung
Fachschwerpunkt Beratungshaus + System-Integrator • Projektmanagement
• Konzeption & Design
Branchenschwerpunkt Telekommunikation und ISP • Prozessmanagement
• Systemintegration
Anzahl Mitarbeiter 110 • Architektur
Erfahrung Über 700 IT-Projekte • Datenmanagement
• Technische Tests
• Support und Wartung
Corporate Applications
Technologien und Plattformen • Order-Management
• CRM
• Billing and Rating
• Business Intelligence
• Data Governance
Interactive Media
• Internet Applications
• Mobile Applications
PROVENTA AG
50. Kontakt
Dr. Dietmar Georg Wiedemann, PMP®
PROVENTA AG
Untermainkai 29
60329 Frankfurt
Fon: +49 (0)69 - 23 25 50
Fax: +49 (0)69 - 23 42 67
Mobil: +49 (0)151-16 78 95 82
Email: d.wiedemann[at]proventa.de