Die Cloud fordert die 
IT-Governance heraus

Jedes Unternehmen arbeitet mit einem bestimmten Set an Policies, die grundsätzliche Regeln und Abläufe für jede IT-Infrastruktur-Komponente definieren: wie zum Beispiel neue Ressourcen in Betrieb genommen werden, welcher Mitarbeiter das darf, welche Eskalationsprozesse im Falle eines Falles einzuhalten sind und was dokumentiert werden muss. Es geht vor allem darum, Risiken auf ein beherrschbares Niveau zu begrenzen, die Business Continuity sicherzustellen, Richtlinien konsequent anzuwenden und nicht zuletzt Daten zu schützen.

Die Integration von Cloud-Ressourcen macht die Umsetzung der IT-Governance noch einmal komplexer. Denn gerade die Flexibilität und Agilität, die zu den wichtigsten Vorteilen der Cloud zählen, machen die Integration, die Steuerung und die Verwaltung schwieriger. Bestehende Governance-Prozesse decken diese Art der IT-Ressourcen und ihre Bereitstellung zumeist nicht ab und sind den verschiedenen Sourcing-Optionen und der sich stetig verändernden IT-Infrastruktur nicht gewachsen. Eine Cloud-Governance muss demnach in der Lage sein, Veränderungen mitzutragen und entsprechend flexibel umsetzbar sein.

Die fünf Disziplinen der Cloud Governance

Wie die allgemeine IT-Governance geht es auch bei der Cloud Governance darum, Unternehmensrichtlinien zu definieren. Dabei bietet zum Beispiel das Cloud Adoption Framework von Microsoft eine Hilfe: Hier sind umfangreiche Leitfäden, Empfehlungen und Best Practices für den Cloud-Migrations-Prozess zusammengestellt, an denen sich Projektverantwortliche orientieren können. Auch wir haben damit in zahlreichen Kundenprojekten bereits gute Erfahrungen gemacht.

Das Cloud Adoption Framework unterteilt den Gesamtprozess in drei Phasen:

• Business Risks: Identifizieren Sie Geschäftsrisiken und schätzen Sie die Risikotoleranz Ihres Unternehmens ein.
• Policy & Compliance: Wandeln Sie diese Erkenntnisse in Richtlinien und Anweisungen um und legen Sie Grenzen für die Nutzung von Cloud-Ressourcen fest.
• Prozesse: Etablieren Sie entsprechende Prozesse, um die Einhaltung der Richtlinien zu gewährleisten und Verstöße zu erkennen

Das ist zunächst sehr allgemein, lässt sich aber anhand von fünf Handlungsfeldern individuell spezifizieren, um einen Cloud-Standard für das eigene Unternehmen zu definieren.

• Im Rahmen des Cost Managements entwickeln Sie Richtlinien, um die Kosten der Cloud-Ressourcen effektiv im Auge und unter Kontrolle zu behalten. Dabei sollten Sie z.B. folgende Fragen beantworten: Wie genau werden die Cloud-Ressourcen bestellt, über ein Enterprise Agreement, einen Cloud-Provider oder einen anderen Dienstleister? Welche Abrechnungsmodelle wird es geben, werden Budgets zugewiesen und welche Personengruppen tragen die Verantwortung?
• Der Bereich der Security Baseline erweitert die bestehenden Sicherheitslevel: Identitäts- und Zugriffskonzepte müssen ebenso angepasst werden, wie Backup-Szenarien, Verschlüsselungslevel und Datenhaltungsvorgaben.
• Die Ressource Consistency sorgt dafür, dass die Cloud sich nahtlos in die IT-Infrastruktur einfügt. So sollten Sie beispielsweise definieren, wie genau neue Ressourcen hinzugeschaltet und auch wie sie wieder entfernt werden können. Welche Rollen dürfen das und passt Ihr Rollenkonzept zu dem, welches für die Cloud benötigt wird? Welche Management-Goups, Tagging- und Lock-Konzepte gibt es?
• Die Identity Baseline setzt hier direkt auf: Schaffen Sie Regelungen für den Zugriff auf alle Ressourcen und Dienste. Achten Sie darauf, dass mit den neuen Ressourcen keine Identitäts-Inkonsistenzen entstehen – dies könnte das Sicherheitsrisiko erhöhen.
• Hinter Deployment Acceleration steckt die Standardisierung und Automatisierung des Bereitstellungs-Prozesses, um diesen zu beschleunigen. Dafür können die Maßnahmen aller vorangegangenen Disziplinen in Templates und Blueprints gegossen werden, um diese dann bei Bedarf sofort anzuwenden.

Mit einem Governance-MVP starten

Schnell wird klar, dass die Cloud-Governance ein recht umfangreicher Teil des eigentlichen Migrations-Projektes ist – und das von Beginn an. So besteht durchaus die Gefahr, dass Governance-Überlegungen das Projekt ausbremsen. In der Praxis hat sich die Arbeit mit einem Governance-MVP (Minimum Viable Product) bewährt. Dabei legen Sie zu Beginn sozusagen einen Mindeststandard an Governance-Richtlinien fest. Wichtig schon jetzt: der konkrete Bezug zum Geschäftsbetrieb. Durch eine Art Governance Proof-of-Concept, der in das Migrations-Projekt integriert ist, werden diese Mindeststandards einbezogen und geprüft. Zugleich können so die notwendigen Anpassungen und Verfeinerungen definiert werden. So erhalten Sie sukzessive eine maßgeschneiderte Cloud-Governance und lernen selbst dabei, was für Ihr Unternehmen wichtig und praktikabel ist.

 Wenn Sie mehr über die Themen Cloud-Governance und Cloud Adoption Framework wissen möchten, sprechen Sie uns gerne an.