Cloud Governance Framework

Cloud ist das Service Delivery Modell der Zukunft. Dies zeichnet sich in immer mehr Unternehmen ab. Die einen sind schon vollständig in der Cloud angekommen, andere zieren sich noch. Ein Hybridmodell ist in aller Regel die Lösung, um die traditionelle Umgebung und Cloud Technologien im Verbund zu nutzen. Ich habe hier bereits ausführlich über die Reise in die Cloud und den Cloud Sourcing Lifecycle geschrieben. Auch im aktuellen Netzwochen-Special «CLOUD & MANAGED SERVICES 2021» durfte ich als Präsident des EuroCloud Swiss ein Interview dazu geben, wo ich sehr pointiert auf die Trends hingewiesen habe.

Die Frage ist also schon längst beantwortet, ob Cloud eingesetzt werden soll. Mittlerweise ist Cloud schon überall rund um uns herum – privat wie auch geschäftlich. Trotzdem ist Cloud für viele Entscheidungsträger eine nebulöse Geschichte. Viele glauben dabei immer noch, dass Cloud nur «someone else’s computer» ist. Einfach ein Rechenzentrum irgendwo weit weg mit einem Internet-Anschluss. Wer so denkt, hat noch nicht ganz begriffen, was die Essenz der Cloud tatsächlich ist. Da ist nicht einfach jemand anders, der die Server und Netzwerke konfiguriert und einfach die Ressourcen virtualisiert. Die Hardware wird vielleicht einmal aus der Verpackung nach der Lieferung geholt und in das Rack verschraubt. Bis zum Zeitpunkt der Entsorgung wird dort jedoch niemand mehr einen physischen Kontakt haben. Die Cloud ist vollständig Softwaregesteuert und funktioniert ausnahmslos automatisiert.

Die Cloud einfach den Software-Ingenieuren zu überlassen, ist aber zu heikel und zu riskant. Nicht dass man den Cloud-Experten nicht trauen darf, sondern weil es ohne klare Führung und Vorgaben einfach nicht geht. Das hat die Vergangenheit bereits mehrfach gezeigt und das Thema Governance speziell in den IT-Organisationen als wesentliche und notwendige Führungsdisziplin unterstrichen. Wer hat die Übersicht, welche Cloud’s im Einsatz sind? Wer entscheidet, wo die neue CRM-Lösung der Marketingabteilung deployed wird? Wer richtet die Zugriffe ein und überwacht deren Rechte? Wie werden Architektur- und Namenskonventionen umgesetzt? Welche Tools werden eingesetzt? Wie werden einmal allozierte Ressourcen überwacht und deren Freigabe sichergestellt? Aus welchem Land werden welche Saas-Lösungen bereitgestellt? Wo werden Daten gespeichert? Wer stellt sicher, dass Testumgebungen nach deren Gebrauch auch wieder de-alloziert werden. Wer hat eine Übersicht der aktuellen und geplanten Kosten? Wie beantwortet man Fragen des Auditors, wie diese Cloud betrieben wird und wo die Nachweise der eingesetzten Ressourcen sind?

Ohne klare Beantwortung solcher Fragen hat man die Führungsfähigkeit der Cloud verloren und wenig Vertrauen in die neue Technologie gewonnen. Aber all diese Fragen lassen sich klar beantworten und die Einhaltung von Unternehmens-Richtlinien sicherstellen. Dazu reichen die bestehenden Governance-Strukturen und Service Management Prozesse jedoch nicht mehr aus. Es braucht eine auf die neue Situation ausgerichtete Governance und ein entsprechendes Cloud Governance Framework, CGF.

Voraussetzung hierzu ist zu verstehen, dass Cloud nicht einfach ein neues «Sourcing-Modell» darstellt. Es ist die Grundlage eines neuen Geschäfts- und Betriebsmodells des Unternehmens. Wenn die Reise in die Cloud angetreten werden soll, muss man zuerst das «Warum Cloud?» im eigenen Unternehmen und insbesondere gemeinsam mit dem Business beantworten. Erst wenn diese Frage geklärt und Ziele dahinter verstanden sind, können Fragen des «Wie» und «Was» beantwortet werden.

1        Konkretes zum Cloud Governance Framework CGF

Unter Governance werden gemäss COBIT, dem international anerkannten Best Practice Governance-Leitfaden von ISACA grundsätzlich alle Strukturen, Rollen & Gremien, Prozesse und Praktiken eines Unternehmens mit den Zielen:

  • Sicherstellen der strategischen Ausrichtung auf Business-Strategie
  • Sicherstellen, dass die Ziele erreicht werden
  • Gewährleisten, dass die Risiken angemessen gehandhabt werden
  • Überprüfen, dass die Ressourcen des Unternehmens verantwortungsvoll genutzt werden

Dabei ist nun Cloud-Governance Teil der Unternehmens-Governance und entsprechend zu integrieren und sicherzustellen, dass mit Hilfe der Cloud ein echter Mehrwert zum Unternehmenserfolg generiert werden kann.

1.1 Unterscheidung von Cloud-Governance und Cloud-Management

Ein wichtiges Grundprinzip ist die klare Trennung zwischen Governance und Management. Die Vorgabe der Strategie, deren Umsetzungsüberwachung und allfälliger Zielkorrekturen sind Verantwortlichkeiten auf Governance-, respektive oberste Führungs-Ebene. Die Umsetzung selbst und den Betrieb der Cloud ist Aufgabe des Managements.

Wenn keine Governance für die Cloud definiert wurde, dann muss man sich nicht wundern, dass die Umsetzung der Cloud etwas führungslos wahrgenommen wurde. Dass dann die Business-Ziele erreicht werden, ist dann wohl eher Glückssache denn geschickt so gesteuert.

1.2 Dimensionen des Cloud Governance Frameworks

Ein Cloud-Governance-Framework besteht aus sieben gegenseitig abhängigen Dimensionen, welche definiert werden müssen:

  1. Business-Strategie
  2. Governance
  3. Architektur Technology
  4. Compliance & Security
  5. Entwicklung
  6. Service Management
  7. Mitarbeiter-Entwicklung

Abbildung 1:Cloud-Governance-Dimensionen

1.2.1       Dimension: Business-Strategie

Die Dimension der Business Cloud-Strategie konzentriert sich darauf, wie Cloud-Computing Geschäftsprozesse, Geschäftsmöglichkeiten sowie Produkte und Dienstleistungen transformieren kann. Darüber hinaus sind die Demand und Portfolio Management für die Cloud-Nutzung von entscheidender Bedeutung, da mit diesem neuen Service Delivery Modell, schnellere Bereitstellungszyklen erwartet werden können.

Es geht um die Fragestellung, ob der Nutzen der Cloud erkennbar und zum Vorteil des Kunden eingesetzt wird. Insbesondere gilt es sich über die Ziele und Prioritäten des Unternehmens klar zu werden. Cloud ist eine Form des Sourcing und bildete damit einen Teil der IT-Strategie. Diese müssen in Einklang gebracht und auf die Unternehmensstrategie ausgerichtet werden. Eine Cloud-Richtlinie, regelt den Einsatz von Cloud-Diensten und sollte auf die Unterstützung der Geschäftseinheiten und -prozesse ausgerichtet sein.

Hierzu werden folgende Themen betrachtet:

  1. Cloud-Strategie

In der “Cloud-Strategie” wird geklärt, wie das Unternehmen die Unternehmensstrategie an das digitale Umfeld anpasst. Wie wird die Notwendigkeit der Cloud im Unternehmen wahrgenommen und in der strategischen Weiterentwicklung berücksichtigt.

  • Geschäfts- und Kundenprozesse

Bei den Geschäfts- und Kundenprozesse werden die neuen innovativen Produkte entwickelt und bereitgestellt. Dies hat Auswirkungen auf das Cloud-Betriebsmodell.

  • Demand & Portfolio Management

Demand Management hat das Ziel, den Bedarf an Cloud-Services zu verstehen, vorherzusehen und zu beeinflussen. Er dient dazu sicherzustellen, dass die Cloud-Service-Provider (CSP) ausreichend Kapazitäten bereitstellen, um den Bedarf zu erfüllen und dass die Cloud-Services entsprechend dem Bedarf des Business bezogen werden. Portfolio Management ist verantwortlich für das Verwalten des Serviceportfolios. Es wird sichergestellt, dass die Cloud-Service-Provider (CSP) die richtige Mischung an Services bereithalten.

  • Cloud-Security-Awareness

Ein gutes Programm für die Cloud-Security-Awareness sollte Management und Mitarbeiter über die Chancen und Risiken, sowie die Richtlinien des Unternehmens und die damit zusammenhängenden Prozeduren für das Arbeiten mit Cloud-Services informieren.

  • Business Agilität – Time to Market

Mit Cloud-Computing können neue Applikationen als Cloud-Services schneller verfügbar gemacht werden und die Anforderungen aus dem Business dadurch effizienter erfüllt werden. Unternehmen können so innovative Ideen zeitnaher in marktfähige Produkte umsetzen. Business Opportunitäten können rascher genutzt und Märke ohne lange Implementierungszeiten erschlossen werden. Es kann insgesamt rascher auf veränderte Kundenbedürfnisse reagiert, neue Geschäftsstrategien schneller umgesetzt und effizienter mit Partnern und Kunden zusammengearbeitet werden.

  • Business Mobilität

Business Mobilität schafft wesentliche Vorteile in Bezug auf Mitarbeiterproduktivität und Kundenkommunikation, stellt auch ein Sicherheitsrisiko fürs Unternehmen dar, sobald die mobilen Geräte eine Verbindung mit dem Unternehmensnetzwerk herstellen oder auf Unternehmensdaten zugreifen.

1.2.2       Dimension: Governance

Die Anforderungen in Bezug auf Governance, Beschaffung und Qualitätssicherung sind sehr wichtig, um eine Cloud-Transformation zu unterstützen. Zusammen bieten sie den Überblick und die Möglichkeit, neue Anbieter und Anbieter von Cloud-Services zu integrieren, um die notwendigen Funktionen bereitzustellen, die die Cloud-Strategie unterstützen.

Es geht um die Fragestellung, ob alle Aspekte der Cloud-Governance und -Richtlinie während des gesamten Cloud-Governance-Lebenszyklus berücksichtigt wurden und wie die IT-Governance das Cloud-Computing in der gesamten IT-Wertschöpfungskette angeht. Mithilfe eine klaren Governance können undkontrollierte Shadow-IT vermieden werden, interne SLAs und Provider-SLAs im Auge behalten und die Verantwortlichkeit bei allen Beteiligten erhöht werden. Die Governance-Richtlinie sollte von den Führungskräften in Zusammenarbeit mit IT- und Security-Experten erstellt und regelmässig überprüft werden. Dabei ist auch wichtig, dass alle Mitarbeiter in der Nutzung der Governance Vorgaben geschult werden.

Governance ist dabei im Wesentlichen eine Aktivität, bei der Regeln, Richtlinien und Prozesse definiert, kontinuierlich überwacht und überprüft werden, die die Ressourcen und Aktionen eines bestimmten Betriebs zuordnen, koordinieren und steuern. Kurz gesagt: Festlegung und Prüfung der Anwendung der bestehenden Entscheidung.

Das Management ist die ergänzende Tätigkeit der Organisation, Koordinierung und Steuerung der Unternehmensressourcen und -massnahmen unter vollständiger Einhaltung der definierten Governance und gleichzeitig die Erreichung der strategischen und operativen Ziele. Kurz gesagt, sicherstellen, dass die Ziele erreicht werden, während Vermögenswerte nach festgelegten Regeln funktionieren. Hierzu werden folgende Dimensionen betrachtet:

  1. Cloud-Computing-Richtline

Die Cloud-Richtlinie enthält grundsätzliche Regelungen für alle Mitarbeiter und Partner die Cloud-Dienste nutzen wollen. Sie informiert über allgemeine Risiken und hilft bei der Klärung der Frage, in welchen Fällen oder unter welchen Bedingungen Cloud-Dienste genutzt werden dürfen.

  • Business – IT Alignment

Business Relationship Management identifiziert die Bedarfe und Anforderungen von bestehenden IT-Servicekonsumenten und potenziellen Kunden. Diese werden aus Sicht des Business erfasst und es wird sichergestellt, dass diese Anforderungen durch entsprechende geeignete IT & Cloud-Services wirtschaftlich erfüllt werden können. Es wird sichergestellt, dass die IT-Strategie auf die Geschäftsstrategie und das gewünschte Ergebnis der Kunden ausgerichtet ist.

  • Rollen & Verantwortlichkeiten

Diese Verschiebung der Verantwortlichkeiten durch Cloud-Computing trägt dazu bei, dass sich die Rolle der IT von den Betreibern der Technologie zu den Regulatoren der Systeme und Prozesse verändert. Und es erfordert die Etablierung eines Cloud-Governance-Modells, welches die Rollen und Verantwortlichkeiten von interner IT-Organisation, CSP und Cloud-Anwendern klar regelt.

  • Lieferanten und Vertrags-Management

Supplier Management stellt sicher, dass alle Verträge mit Lieferanten die geschäftsseitigen Notwendigkeiten unterstützen. Dieser Prozess sorgt dafür, dass alle Supplier ihre vertraglichen Pflichten erfüllen. Vertragsmanagement ist der Prozess der Vertragserstellung, -ausführung und -analyse, um die operative und finanzielle Leistung eines Unternehmens zu maximieren und gleichzeitig das finanzielle Risiko zu reduzieren.

  • Service-Integration

Service-Integration und Management ermöglicht es einer Organisation, mehrere Dienstleister auf eine konsistente und effiziente Weise zu managen, die sicherstellt, dass die Leistung in einem Portfolio von Multisourcing-Produkten und -Dienstleistungen als nahtloser Service erbracht wird und den Bedürfnissen der Nutzer gerecht wird. Unter Service-Integration verstehen wir das Zusammenspiel mehrerer Lieferanten, wobei die Integration von Prozessen und das Managen eigenständiger interner und externer Organisationen zu einem einzigen “IT-Team” welches einen gesamtheitlichen Service abliefert die Herausforderung bildet.

  • Überwachung & Qualitätssicherung

Die Qualitätssicherung dient als Werkzeug zur Schaffung von Effizienz und Transparenz sowie der kontinuierlichen Verbesserung. Bei der Qualitätssicherung im Cloud-Umfeld werden die Qualitätsparameter vorgegeben. Mit den CSP vereinbaren Qualitäts- und Service Level vereinbart, innerhalb dessen sich die Service Ergebnisse bewegen müssen. Das Reporting des «Schlüssel-Providers» Microsoft ist auf einem guten Niveau.

1.2.3       Dimension: Architektur & Technologie

Die Wahl der richtigen Cloud-Computing-Architektur hängt von den Geschäfts- und Technologieanforderungen ab. In dieser Domäne geht es um die Fähigkeit, eine Cloud-Referenzarchitektur zu definieren, um Portabilität und Interoperabilität für Daten, Services und Sicherheit im Unternehmen zu gewährleisten.

Es geht um die Fragestellung, ob bewährte Cloud-Pattern in allen Bereichen konsequent bereitgestellt und genutzt werden, um die Komplexität zu reduzieren, die Entkoppelung der Services zu fördern, die Sicherheit zu erhöhen sowie die Integration von Services zu erleichtern. Die Cloud-Computing-Architektur bezieht sich auf die Komponenten und Unterkomponenten, die für Cloud-Computing erforderlich sind. Diese Komponenten bestehen normalerweise aus einer Front-End-Plattform, Back-End-Plattformen (Server, Speicher), einer cloudbasierten Bereitstellung und einem Netzwerk (Internet, Intranet, Intercloud). Zusammen bilden diese Komponenten eine Cloud-Computing-Architektur. Hybrid Cloud Computing ist der Schlüssel für ein effizientes Management der Anwendungs-Workloads eines Unternehmens, da verschiedene Anwendungen eine andere Plattform erfordern. Wie wird Cloud-Computing in die Unternehmensarchitektur eingebettet und wie hilft ein Cloud-Referenzmodell die Integration in die bestehende Daten-, Applikations- und Infrastruktur-Landschaft sicherzustellen? 

Dabei ist die Definition einer Cloud-Referenzarchitektur ein wesentlicher Schritt auf dem Weg zu einem höheren Reifegrad der Cloud. Die Cloud-Referenzarchitektur spricht die Belange der wichtigsten Stakeholder an, indem sie die Architekturfähigkeiten und die Roadmap definiert, die auf die Geschäftsziele und die Architekturvision abgestimmt sind. Hierzu werden folgende Dimensionen betrachtet:

  1. Portability

Cloud-Portabilität ist die Fähigkeit eines Cloud-Computing-Produkts, einer Cloud-Lösung oder eines Cloud-Services, zu einem neuen Anbieter oder Standort zu migrieren. Cloud-Portabilität gilt für alle Servicemodelle des Cloud Computing – SaaS, PaaS, IaaS und Hybrid – unabhängig davon, ob sie öffentlich oder privat sind.

  • Interoperability

Interoperabilität ist die Fähigkeit eines Programms oder Systems (dessen Schnittstellen vollständig offengelegt sind) mit anderen gegenwärtigen oder zukünftigen Produkten oder Systemen ohne Einschränkungen hinsichtlich Zugriffes oder Implementierung zusammenzuarbeiten bzw. zu interagieren. Dienstinteroperabilität ist die Fähigkeit von Cloud-Verbrauchern, ihre Daten und Dienste über mehrere Cloud-Anbieter mit einer einheitlichen Managementschnittstelle zu verwenden.

  • Verschlüsselung & Verschlüsselungs-Management

Bei der Integration von kryptografischen Verschlüsselungsverfahren in Datennetzen spielt die Schlüsselverwaltung eine besondere Rolle, da die Sicherheit der verschlüsselten Kommunikation und die Prüfung der Authentizität von der Geheimhaltung abhängen. Um Missbrauch bei der asymmetrischen Verschlüsselung zu vermeiden, muss das Schlüsselmanagement sicherstellen, dass ein öffentlicher Schlüssel auch demjenigen gehört, der er angeblich ist.

  • Cloud-Service-Architektur

Eine einheitliche Cloud-Service-Architektur fehlt als Grundlage für den Aufbau und die Entwicklung von Cloud-Diensten. Erst die konsequente Umsetzung der Cloud-Architektur ermöglicht Portabilität und Interoperabilität, bildet die Grundlage für eine Orchestrierung der Cloud-Services.

  • Cloud-Security-Architektur

Cloud-Computing-Dienste müssen die Sicherheit bei der Übertragung sensibler Daten und kritischer Anwendungen in freigegebene und öffentliche Cloud-Umgebungen berücksichtigen. Eine Cloud-Computing-Umgebung hat verschiedene Vorteile sowie Nachteile für die Datensicherheit von Service-Verbrauchern. Eine unternehmensweite Sicherheitsarchitektur dient als Grundlage für den Aufbau und die Entwicklung von Cloud-Diensten. Sie berücksichtigt beispielsweise die Identity & Access Governance, die Netzwerksicherheit und den Entwicklungsprozess.

  • Datenarchitektur

Eine unternehmensweite Datenarchitektur dient als Grundlage für den Aufbau und die Entwicklung von Cloud-Diensten. Sie berücksichtigt beispielsweise die Datenlöschung, -sicherung und -archivierung und beinhaltet eine Datenklassifizierungsrichtlinie.

1.2.4 Dimension: Compliance & Security

Die Fähigkeit zur Cloud-Sicherheit konzentriert sich auf die verschiedenen Richtlinien und Vorgaben, Sicherheitskontrollen und Durchsetzungs- / Compliance- und Sicherungsprozesse, die Sicherheitsarchitektur und die allgemeine Cloud-Sicherheitsbereitschaft. Untersucht wird die allgemeine Sicherheitslage und -prozess gemäss Vorgaben durch CISO und Chief Security Architekt.

Es geht um die Fragestellung, wie die erhöhten und zusätzlichen Risiken einer Public Cloud aktiv gemanagt wird, d.h. es müssen Automatismen und Audit-Prozesse implementiert werden, die proaktiv bzw. möglichst zeitnah Veränderungen der Risikopositionen aufzeigen. Wenn Daten und Dienste von einem Dritten verwaltet werden, stellen Cloud-Lösungen eine einzigartige Sicherheits- und Compliance-Herausforderung dar. Cloud-Security ist ein integraler Bestandteil der Informationssicherheit im Unternehmen und Teil der Cloud-Strategie. Sie bezeichnet eine Sammlung von Richtlinien, Technologien und Kontrollen, die beim Schutz der kombinierten Elemente des Cloud-Computing eingesetzt werden. Dazu gehören Daten, Anwendungen und die Infrastruktur selbst.

Cloud-Security umfasst steuerungsbasierter Technologien und Richtlinien, die die Einhaltung gesetzlicher Vorschriften und den Schutz von Informationen, Datenanwendungen und der mit Cloud-Computing verbundenen Infrastruktur gewährleisten. Hierzu werden folgende Dimensionen betrachtet: ¨

  1. Informationssicherheits Management

Als Informationssicherheit bezeichnet man Eigenschaften von informations-verarbeitenden und -lagernden (technischen oder nicht-technischen) Systemen, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informations-sicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken.

  • Asset Management

Die Datenklassifizierung bietet eine der grundlegendsten Methoden für Organisationen, relative Daten zu ermitteln und deren Daten zuzuweisen. Durch den Prozess der Datenklassifizierung können Unternehmen ihre gespeicherten Daten nach Sensitivität und Geschäftsauswirkungen kategorisieren, um die mit den Daten verbundenen Risiken zu ermitteln. Dies ist insbesondere bei Verwendung von Cloud-Diensten von Bedeutung.

  • Identity & Access Management

Das Identity- and Access Management (IAM) sorgt für eine zentrale und interne Verwaltung von Identitäten und Zugriffsrechten auf unterschiedliche Systeme und Applikationen. Authentifizierung und Autorisierung der User sind zentrale Funktionen des Identity und Access Managements, welche insbesondere in einem Cloud-Verbund über alle Domänen hinaus gewährleistet werden muss.

  • Business Continuity Management

Die Kontinuität der kritischen Cloud-Services muss Teil des Business Continuity Management (BCM) der Organisation sein, so dass sichergestellt ist, dass Informationen jederzeit geschützt sind und die Organisation auf negative Ereignisse vorbereitet ist.

  • Betriebliche Cloud-Security

Operational Cloud-Security hat zum Ziel, die Sicherstellung des korrekten und sicheren Betriebs der Cloud-Dienste zu gewährleisten. Dies beinhaltet auch, dass Nutzerdaten, die Netzwerke durchqueren und in der Cloud gespeichert werden, durch eine Kombination aus Netzwerkschutz und Verschlüsselung ausreichend gegen Manipulation und Abhören geschützt werden.

  • Cloud-Privacy-Management

Das Cloud-Data-Protection-Management-System ist ein Compliance und Management System, das Unternehmen dabei unterstützt, den Prozess der Governance, des Risikos und der Einhaltung der Datenschutzgesetze zu steuern. Dies ist insbesondere seit den neuen Datenschutz Regulierungen in Europa eine zentrale Verantwortung von Unternehmen.

1.2.5       Dimension: Applikationsentwicklung

Ein wichtiger Aspekt des Cloud-Betriebsmodells ist die Steuerung des vorhandenen Anwendungsportfolios, um die geeigneten Workloads für Kandidaten zu ermitteln, die in die Cloud verschoben werden sollen. Diese Analyse ist ein wesentlicher Bestandteil einer Cloud-Computing-Strategie und einer Roadmap. Sie liefert die Grundlage für die Kosten- und Nutzenanalyse, die Amortisationszeit und andere Business Case für das Cloud-Computing. Zudem geht es um die Integrationsaspekte einer Hybrid-Cloud-Strategie.

Es geht um die Fragestellung, ob der Entwicklungsprozess für alle Cloud-Services agil, iterativ und dem DevOps und Continuous -Delivery-Modell folgt. Der Takt wird durch die Entwicklung der Technologien und Services in der Cloud vorgegeben. Die Cloud-Applikations-Entwicklung umfasst integrierte Entwicklungsumgebungen, Anwendungslebenszyklus-Management-Komponenten (wie Test- und Qualitätsmanagement, Quellcode- und Konfigurationsmanagement, Continuous-Delivery-Tools) sowie Testkomponenten für die Anwendungssicherheit. Die bekannte Herausforderung bei der Entwicklung und beim Testen (Entwicklung / Test) besteht darin, dass die Infrastruktur vor Ort  (On-Prem) über eine feste Kapazität verfügt, während diese Ressourcen in der heutigen Realität den variablen Bedarf decken müssen.

Es ist wichtig, eine Entwicklungs-Strategie und einen Fahrplan zu entwickeln, wie und wann Dienste wie z. B. On-Demand-Rechenkapazität, kostengünstigere Services, höhere Flexibilität, Skalierbarkeit und Flexibilität genutzt werden können, um die grösstmögliche Wirkung und Wertschöpfung für das Unternehmen zu erzielen. Hierzu werden folgende Dimensionen betrachtet:

  1. Entwicklungs-Strategie

Um sichere, cloudfähige hyperscale Applikationen mit hoher Verfügbarkeit und niedriger Antwortzeit für verteilte Systeme zu entwickeln braucht es eine ausgefeilte Entwicklungs-Strategie, die von Grund auf die Besonderheiten der Cloud-Computing-Technologie verinnerlicht.

  • Plattform-Strategie

Eine gemeinsam genutzte, möglichst Open Source basierte, Entwicklungsplattform dient dazu die Abläufe zu vereinfachen und zu beschleunigen. Cloud-Provider spezifische Funktionen werden nur in Ausnahmesituationen bewilligt.

  • Implementierungs-Anleitung

Eine Beschreibung wie Cloud-Anwendungen zu implementieren sind, sollte in Form einer Implementierungsanleitung allen Entwicklern und Anwendern zur Verfügung stehen.

  • Secure System-Engineering

Die Prinzipien für das Engineering sicherer Systeme sollten festgelegt, dokumentiert, aufrechterhalten und auf die Implementierung von Informationssystemen angewendet werden.

  • Hybrid-Cloud-Integration

Besteht die Cloud-Strategie auf einem hybdiden Cloud-Ansatz? Neue Applikationen sollen cloud nativ entwickelt werden. Um dies zu erreichen, sollten Unternehmen eine effektive Hybrid-Cloud-Integrationsplattform aufbauen, um eine nahtlose Konnektivität zwischen den Systemen und Diensten im gesamten Unternehmen zu ermöglichen und gleichzeitig die Vorteile des Cloud-Computing zu nutzen

  • Orchestrierung & Automatisierung

Der Entwicklungsprozess muss ein durchgängiger Prozess sein, der alle Aspekte von der Planung, Entwicklung bis hin zum Betrieb integriert und möglichst vollständig automatisiert. Die kontinuierliche Integration bezieht sich darauf, dass Entwickler die strikte Kontrolle der Codekompatibilität beibehalten.

1.2.6       Dimension: Service Management

Beim Cloud-Service-Management geht es darum, beide Welten miteinander in Einklang zu bringen, d. H. die Welt des Cloud-Computing und des Service Managements, und bewährte Cloud-Management-Praktiken bei Kunden, Verbrauchern und Zulieferern einzuführen. Cloud-Überwachung und Cloud-Service-Management ermöglichen es Organisationen, in virtualisierten On-Demand-Umgebungen optimale Leistung, Kontinuität und Effizienz sicherzustellen.

Es geht um die Fragestellung, ob IT-Service verschiedener Leistungserbringer (interne IT/ Partner und Lieferanten) nahtlos integriert und aufs Fach und auf den Endkunden ausgerichtet erbracht werden. Cloud-Computing wird dabei als Geschäftsmodell für die Verwendung anderer zugrunde liegender Technologien und nicht als Technologie betrachtet.

Im Wesentlichen bezieht sich das Cloud-Service-Management auf die Kundensicht als Mass für die Service Qualität und verwaltet alle einzelnen IT-Ressourcen so, dass dies unterstützt wird. Hierzu werden folgende Dimensionen betrachtet:

  1. Service Katalog

Das Service Catalogue Management definiert die grundlegenden Leistungen der Organisation gegenüber seinen Servicenehmern (Kunden oder Mitarbeiter). Ziel ist es, die Analyse, Strukturierung und Standardisierung aller gegenwärtigen und zukünftigen IT- & Cloud-Services zu unterstützen. In einem zentralen Service Katalog sind die Cloud-Dienste externer Provider zu integrieren. Schnittstellen und Verantwortlichkeiten sind im technischen Service Katalog abzubilden.

  • Service Level Management

Wer Cloud-Services nutzt, ist darauf angewiesen, dass die Dienste immer bereitstehen und ordnungsgemäss funktionieren. Service Level Management (SLM) sorgt für das Abschliessen von Service-Level-Vereinbarungen (Service Level Agreements, SLA) mit den Kunden und Entwerfen von Services, die den vereinbarten Service-Level-Zielen entsprechen.

  • Change & Release Management

Das Service Management System ermöglicht die Koordination aller Komponenten, die für das Design und die Entwicklung der Cloud-Services erforderlich sind.

Beim Übergang von neuen oder geänderten Diensten werden die Anforderungen festgelegt, die für die Planung, das Design, die Entwicklung und den Übergang eines neuen oder geänderten Cloud-Dienstes gelten. Änderungen am neuen Cloud-Dienst sowie Änderungen an vorhandenen Diensten sollten durch den Änderungsverwaltungsprozess gesteuert werden.

Der Change Management Prozess und der Release Management Prozess sind auf ein Multicloud Provider Umfeld ausgerichtet und berücksichtigen die Erwartungen und Anforderungen die DevOps mit sich bringt.

  • Performance & Capacity Management

Mittels Cloud-Kapazitätsplanung und Performance Monitoring wird sichergestellt, dass das Unternehmen die Cloud-Dienste und die damit verbundenen Kosten so effizient wie möglich nutzt. Der Cloud-Dienstanbieter meldet und bewertet Serviceleistungen sowie etwaige Abweichungen gegen das SLA mit dem Kunden und interessierten Parteien, beispielsweise einem Cloud-Service-Partner.

  • Incident & Problem Management

Cloud-Kunden benötigen ein klares Verständnis der verfügbaren Cloud-Service-Angebote, einschließlich des verfügbaren Supports, des Support-Angebots und der Verfahren und Kundenpflichten für den Zugriff auf den Support für jeden Service. Incident- und Problem Management Prozesse sind den Anforderungen des Multi-Cloud-Provider Umfelds anzupassen, fördern die Zusammenarbeit der internen und externen Cloud-Service-Provider und sind entsprechend der definierten Prozessziele zu leben.

  • Automatische Service-Provisionierung (Service Request Management)

Automatisierung ist wichtig für die Bereitstellung von Cloud-Services und das Hauptmerkmal der Cloud. Service-Provisioning und -Decomissioning Verfahren, Integration Orchestrierung Cloud-Services, Workflow Überwachung und automatische Verfahren sind eingeführt.

1.2.7       Dimension: Mitarbeiter und Skills Entwicklung

Die Mitarbeiter und vorhandenen Skills fokussieren sich auf die IT-Organisation, persönliche Kenntnisse und Fähigkeiten sowie die allgemeine Fähigkeit der IT, einen Cloud-Transformationsprozess voranzutreiben. Normalerweise führt die IT-Organisation die Cloud-Awareness Trainings durch. Die Organisation und Kultur eines Unternehmens haben einen grossen Einfluss auf seine Fähigkeit, Veränderungen einzuführen, sowie auf das Potenzial für eine erfolgreiche Transformation.

Es geht um die Fragestellung, ob die interne IT vermehrt die Rolle des Bindeglieds (Service Broker) übernimmt zwischen dem Business und den externen Cloud-Providern und ob sie andere Bereiche in Operation und Infrastruktur abgibt.

Cloud-Technologien zwingen Unternehmen, ihre Ansichten zu Software und digitaler Transformation rasch zu verbessern, und Führungskräfte müssen nach Wegen suchen, um ihren Teams zu helfen, das Wissen über vorhandene Technologien zu erhalten, und gleichzeitig neue Fähigkeiten erwerben, die für Innovationsprojekte relevant sind.

Unternehmen müssen ihr Talentportfolio verstehen und wissen, wer über die notwendigen Schritte verfügt, um die nächste Cloud-Initiative durch Vergleiche zwischen Einzelpersonen, Teams oder dem gesamten Unternehmen in Angriff zu nehmen. Qualifikationslücken sind rechtzeitig zu identifizieren und mit geeigneten Trainingsplänen zu schliessen.     Hierzu werden folgende Dimensionen betrachtet:

  1. Organisationsstrategie und Prozesse

Im Unternehmen ist eine Organisation mit Rollen und Funktionen etabliert, welche für Cloud Computing zuständig ist. Diese Organisationseinheit ist für den Aufbau und die Entwicklung der Cloud-Dienste sowie die kontinuierliche Weiterentwicklung der Cloud-Readiness im Unternehmen zuständig.

  • Cloud-Trainingspläne

Personalentwicklung muss als Teil der Cloud-Transformation verstanden werden. Mitarbeiter zu fördern und damit den Erfolg der Unternehmung zu sichern, stellt hohe Anforderungen an Vorgesetzte und Personalverantwortliche. Alle Funktionen/Stellen müssen mit den neuen Anforderungen die Cloud-Computing mit sich bringt ausgestattet werden.

  • Cloud-Technologie-Kompetenzen

Cloud-Services sind mittelfristig hybride Lösungen. Public- und Private-Cloud-Technologien werden integriert und sorgen für sicheren und störungsfreien Betrieb in diesem Szenario. Ein umfassendes Verständnis von Technologien und Produkten der IT-Infrastruktur, des Netzwerks und der Anwendungsbereitstellung hilft, bestehende Systeme und Anwendungen optimal zu nutzen und neue Services zu implementieren.

  • Management und Verhandlungskompetenz

Die Anforderungen Cloud-Services erfolgreich zu steuern und zu verwalten fordert von IT-Mitarbeitern neue Kompetenzen. Während die technischen Fähigkeiten und Kennnisse vermehrt bei den CSP liegen muss die Retained-IT ihr Management und Verhandlungskompetenzen ausbauen um die verteilt erbrachten Cloud-Dienste orchestrieren und bündeln zu können. Die Entwicklung und die Überwachung der Service Level gewinnt an Bedeutung.

  • Cloud-Security-Kompetenz

Der Schlüssel zur Kundenakzeptanz und somit auch zum Markterfolg von SaaS-Anwendungen und Cloud-IT-Services ist neben der nachvollziehbaren Umsetzung von Sicherheitsmechanismen auch die Einhaltung gesetzlicher Rahmenbedingungen bei der Datenverarbeitung und Datenaufbewahrung (Compliance). Dazu sind sowohl technologische, regulatorische wie auch organisatorische Security Skills notwendig

  • Zusammenarbeitskultur

Verschiedene Dienstleister (Cloud-Service-Provider, interne IT) bedeuten unterschiedliche Unternehmenskulturen, aber sie müssen optimal zusammenarbeiten, um die geforderten Ergebnisse für den Kunden zu erzielen.

2        Standortbestimmung als Ausgangslage zur Definition des Cloud Governance Framework CGF

Wie startet man? Wo ist Handlungsbedarf? Diese Fragen lassen sich am ehesten mit einer Standortbestimmung ermitteln. Ich zeige hier einen Ansatz auf, welchen wir seitens Glenfis bereits mehrfach erfolgreich angewendet haben. Mittels unseres Cloud Readiness Assessment Framework (CRA) untersuchen wir die relative Fähigkeit (Capability) einer Organisation, Cloud-Computing-Funktionen erfolgreich in eine Organisationsstruktur zu integrieren. Diese richtet sich exakt an die vorgängig beschriebenen Dimensionen des Cloud Govenrance Frameworks: Die Business-Strategie, die Governance, die Sicherheit und Compliance, die Architektur, die Lösungsentwicklung sowie die Fähigkeiten und Skills (Capabilities) der IT.

Das Cloud Readiness Assessment geht von der Betrachtung aus, dass Cloud Computing das Potential im Unternehmen unterstützt, seine IT-Organisation und seine durchgehenden Wertschöpfungsprozesse durch die Nutzung von Cloud zu transformieren. Mit diesem Cloud Readiness Assessment wird die Bereitschaft der Organisation und ihre Fähigkeiten zur Nutzung von Cloud Computing als Enabler dieser Transformation untersucht.

Dieses Cloud-Readiness-Modell ist ein auf Fähigkeiten (Capabilities) basierender Ansatz und kein Reifegradmodell (Maturity). Maturity-Reifegradmodelle sind statische Ansichten des Standorts einer Organisation. Ein fähigkeitsbasiertes Modell konzentriert sich darauf, wie die für die Verwirklichung der Cloud-Computing-Ziele der Organisation erforderlichen Fähigkeiten entwickelt werden.

2.1 Cloud Capability Levels

Es werden folgende vier Fähigkeits-Level unterschieden:

Level 1: Reaktiv – Der Experimentierer

Für diesen ersten, vorsichtigen Schritt in die Cloud sind sichere Technologien erforderlich – Technologien, die auf einfache Weise auf Anwendungen und Teile von Anwendungen angewendet werden, die normalerweise weniger geschäftskritisch sind.

In Level 1 wird die Cloud für einen einzelnen, einfachen Teil einer Anwendung verwendet, um die Funktionsweise von Cloud-Services zu testen.

Diese Stufe beginnt normalerweise als einmaliges Experiment, bei dem ein oder mehrere Teams eigenständige Migrationen durchführen. Zu diesem Zeitpunkt werden keine Cloud-Richtlinien erstellt. Stattdessen geht es darum, genau herauszufinden, was die Cloud ist.

Experimentierer sind Unternehmen, die einzelne Dienstleistungen aus der Cloud beziehen und erste Erfahrungen sammeln. Sie evaluieren weitere Cloud-Lösungen und untersuchen Applikationen, die in die Cloud gehen könnten. Der Cloud Bedarf ist erkannt – es wurde jedoch noch keine Cloud-Strategie definiert.

Level 2: Informativ – Der Absicherer

Der Level 2 ist ein kritischer Entwicklungspunkt in der Cloud-Kultur eines Unternehmens, da er allmählich Disziplinen im gesamten Unternehmen einbezieht, so wie Recht, Finanzen, Sicherheit usw.

Zu diesem Zeitpunkt beginnen sich Richtlinien für die Nutzung der Cloud in einem Unternehmen zu formulieren. Die genaue Natur dieser Richtlinien, von formalen Richtlinien bis hin zu Ad-hoc-Verständnis der Unternehmenskultur, spielt aktuell noch keine Rolle. Wichtig ist, dass das gesamte Unternehmen involviert ist und alle Stakeholder Input dazu haben.

Hier sollten auch Applikationssichtbarkeits- und Überwachungsstrategien konzipiert werden. Das Ziel ist es, Fragen zu beantworten wie:

Wie überwachen wir grundlegende Anwendungen, wenn sie in die Cloud wechseln?

Kann diese Überwachungsstrategie die dynamischen Veränderungen bewältigen, die mit dem zukünftigen Wachstum der Cloud-Reifung einhergehen?

Haben wir den richtigen Einblick in die Funktionsweise unserer neuen Cloud-Infrastruktur?

Absicherer sind Unternehmen, die bereits einige Cloud-Lösungen nutzen und eine Cloud-Strategie definiert haben. Veränderung des Unternehmens wurde jedoch noch nicht angegangen. Die Cloud als Treiber für Digitalisierung, Innovation und Agilität ist noch nicht klar ersichtlich. Unternehmen, die diesen Punkt nicht überschreiten, werden in der Cloud wahrscheinlich nicht vollständig erfolgreich sein.

Level 3: Prediktiv – Der Erfahrene

Sobald ein Unternehmen zu einer Cloud-fähigen Organisation geworden ist, können hochwertige Cloud-spezifische Services genutzt werden.  Natürlich ist die Cloud nun weit mehr als nur ein Ort, auf dem Anwendungen auf Servern ausserhalb der Rechenzentren eines Unternehmens gehostet werden. Auf Level 3 nutzen Organisationen einige der Mehrwertdienste in der Cloud. 

Wenn die dynamische Cloud hier wirksam wird, wirken sich die grössten Vorteile der Cloud aus. Dies ist auch der Fall, wenn sich Unternehmen dazu verpflichten, die Cloud für zumindest einige ihrer strategischen Anwendungen und Services zu nutzen.

Cloud Erfahrene sind Unternehmen mit mehreren Cloud-Lösungen und ihre Daten sind zum grössten Teil klassifiziert. Eine Veränderung des Unternehmens ist im Gange.

Level 4: Transformativ – Der Überzeugte

Dies ist der oberste Reifegrad der Cloud-Akzeptanz. Wenn eine Organisation diesen Level erreicht, erfüllt die Cloud die meisten, wenn nicht alle Anforderungen ihres Rechenzentrums, und stellt darüber hinaus zusätzliche Mehrwertdienste bereit. Auf diesem Level werden neue Anwendungen standardmässig in der Cloud und nicht in einem Rechenzentrum ausgeführt, und die Organisation muss begründen, warum sie sich in einem Rechenzentrum befinden müssen. Das Endziel besteht jedoch darin, alle Anwendungen in die Cloud zu migrieren, damit das Unternehmen seine Rechenzentren ausser Betrieb setzen kann.

Dies ist besonders in Cloud-ansässigen Unternehmen üblich, während etabliertere Unternehmen ihre alten Rechenzentren zumindest vorübergehend beibehalten möchten. Dennoch nehmen immer mehr traditionelle Unternehmen den Sprung in die Cloud auf und geben das Geschäft mit der Verwaltung von Rechenzentren auf.

Unternehmen, die eine stark ausgebaute Cloud-Infrastruktur nutzen. Hauptziele sind die optimierte Nutzung und Integration der Cloud. Das Unternehmen wird verändert, agiler und der Datenaustausch ist durchgehend gewährleistet.

2.2 Umsetzung des Cloud Governance Frameworks

Auf der Basis dieser Erkenntnisse können die zentralen Anforderungen des Business und der Unternehmensziele abgeleitet werden und den Rahmen des Governance-Modells definiert werden. Insbesondere besteht Klarheit bezüglich Performance und Leistungserwartungen an die Cloud im Bezug auf die Geschäftsziele. Es besteht eine klare Erwartungshaltung hinsichtlich Kostenoptimierung und wie die Kontrolle der Kosten im Zusammenhang mit dem Cloud-Betrieb zu verstehen ist. Es besteht ein besseres Verständnis bezüglich internen und externen Compliance- und Sicherheit-Anforderungen an Ihre Compliance-Vorschriften und der Business Impact Analyse sowie der bestehenden Risiken.

Auf Basis dieser Erkenntnis geht es darum, die Strategie und den Ansatz zu definieren und festzulegen, wie die geschäftlichen Anforderungen ausgerollt werden soll und wie die Geschäftsziele und Kontrolle wie Kostenoptimierung und Compliance abgestimmt werden. Das Cloud Governance Framework liefert letztlich den Blueprint für die steuer- und kontrollierbare Umsetzung.

1 thought on “Cloud Governance Framework”

  1. Pingback: Auch früher war die Zukunft besser – Ausblick & Trends 2021 | Disruptive agile Service Management

Leave a Comment

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.