Wie Sie in Ihrem Unternehmen noch heute anfangen können, Cloud-Projekte zu optimieren, und das meiste aus Ihnen herausholen, haben Stefan Ruckstuhl von Swisscom und Alexander Hofmann von Laux Lawyers für Sie erörtert. Die wichtigsten Prinzipien sowie eine Schritt-für-Schritt-Anleitung.
Text: Tanja Dujic, Bilder: Swisscom
13. Dezember 2023
2023 wird uns wohl als das Jahr in Erinnerung bleiben, bei dem Unternehmen sich mit einer nie zuvor dagewesenen Menge an Fragen zum Thema Compliance auseinandersetzen mussten. Gleichzeitig wurde klar: Wir befinden uns erst zu Beginn dieser Reise.
Daher ist jetzt der optimale Zeitpunkt, um eine Cloud-Governance einzurichten. Unternehmen können nur dazugewinnen, vor allem an Sicherheit und Kontrolle, wenn sie sich frühzeitig mit Cloud-Infrastrukturen auseinandersetzen und eine Governance erarbeiten.
Zusammengefasst ist die Governance die Organisation eines Prozesses zur Kontrolle von Daten. Ziel dieses Prozesses ist es, Unternehmen fähiger und dynamischer zu machen. Eine gut aufgestellte Governance ermöglicht Innovationen erst, sie verhindert sie nicht.
Gemeinsam im Unternehmen erarbeitet, kann die Governance Cloud-Projekte beschleunigen.
Das praktische Vorgehen haben Stefan Ruckstuhl von Swisscom und Alexander Hofmann von Laux Lawyers in einem Expertentalk erörtert. Die wichtigsten Prinzipien sowie eine Schritt-für-Schritt-Anleitung haben wir hier für Sie zusammengefasst.
«Eine gut aufgestellte Governance ermöglicht Innovationen erst, sie verhindert sie nicht.»
Stefan Ruckstuhl, Head of Product Management, Cloud & Datacenter – Swisscom
Alle an einem Tisch: Die interne Rechtsabteilung, die Compliance-Abteilung, das Risikomanagement und auch Technik-Owner und Businessverantwortliche: Dieses interne Kontrollsystem bildet das Umfeld, in dem der Austausch stattfindet. Damit wären wir bereits beim ersten Prinzip des Aufstellens einer Cloud-Governance.
Die 5 wichtigsten Prinzipien:
Nachdem Sie alle relevanten Stakeholder an einen Tisch gebracht haben, stellen Sie im ersten Schritt ein Gerüst der wichtigsten Interessengruppen auf. Sammeln Sie alle Anforderungen und achten Sie darauf, das rechtliche Anforderungen eng mit Kundenanforderungen und den technischen Möglichkeiten abgeglichen werden.
Das Gerüst sorgt dafür, dass der Balanceakt zwischen Governance, Innovation und Technologie dauerhaft gewährleistet ist. Das ermöglicht es, dass Unternehmen Innovationen sinnvoll und risikokonform für ihre Weiterentwicklung nutzen können.
Bei grösseren Organisationen lohnen sich Cloud-Kompetenzzentren, die im Lead für Cloud-Projekte sind. Und dafür sorgen, dass alle dranbleiben.
Aber wie machen Unternehmen das am besten und wo fangen Sie an?
Auf äussere Anforderungen können Unternehmen am besten reagieren, wenn sie im ersten Schritt definieren, was ihre Ziele mit der Cloud sind, also ihre eigenen Kontrollziele definieren für die Cloud-Journey.
Dabei passiert ein weiterer wichtiger Schritt automatisch: Weg von der opportunistischen, hin zur Cloud-First Strategie, da Sie proaktiv anstatt reaktiv auf äussere Gegebenheiten reagieren. Sie handeln intrinsisch.
Fragen, die sich Unternehmen bei der Zielsetzung stellen können, sind: Was wollen wir erreichen, was ist das Kontrollziel, das wir erreichen wollen. Die Antworten können sehr unterschiedlich ausfallen: Ist es ein Null-Zugriff, ist es mehr Sicherheit, ist es Compliance mit dem Gesetz?
Eine Frage, die sich Unternehmen dabei stellen können, ist: Habe ich eine einfache Applikation, also einen Use Case, der keine kritischen Daten nutzt?
Dann muss dieser nicht den gleichen Anforderungen genügen wie ein komplexer Case mit sensiblen Daten. Für manche Use Cases braucht es also striktere Vorgaben als für andere.
Diese Differenzierung erfolgt einmal für die Use Cases und im gleichen Schritt für die Hürden. Eine Hürde könnte zum Beispiel sein, dass Kundendaten dieser Applikation in der Schweiz gespeichert werden müssen.
Behalten Sie Immer die Frage im Hinterkopf: Wie komme ich in die Cloud? Die Hürden sollten in jedem Falle also so gering wie möglich gehalten werden. Dann kann die Risikoabstufung erfolgen, die schlussendlich in einer Entscheidung für oder gegen die Cloud-Migration der betrachteten Use Cases und ihrer Hürden mündet.
Im vierten Schritt empfehlen die Experten, einen Pilot Case durchzuspielen. Auf Basis dieses Test-Cases können Sie entscheiden: Können wir das Risiko in Kauf nehmen in die Cloud zu gehen oder nicht?
Fragen wie: Handelt es sich um ein rechtliches Risiko? Handelt es sich um ein technisches Risiko? helfen, eine informierte Entscheidung zu treffen.
Als Ergebnis des Testens sollte eine möglichst eindeutige Meinung zum Test-Case herauskommen.
Wenn Sie sich in diesem Use-Case gegen eine Cloud-Migration entscheiden, so sind Sie wenigstens weiter in der eigenen Cloud Strategie. Denn Sie wissen, welche Art von Applikationen sich nicht eignet und zu viele Hürden.
Stehenzubleiben aus Angst, etwas falsch zu machen oder Regeln zu brechen, ist keine Option.
Das Erarbeiten einer Cloud-Governance setzt voraus, sich als Unternehmen ausführlich über Compliance-Themen zu informieren, diese auf die eigene Situation zu adaptieren, neue Prozesse aufzustellen und Innovationen dynamisch umzusetzen.
Anhand der folgenden Checkliste können Sie prüfen, ob Ihr Cloud-Governance-Prozess seine Aufgabe erfüllt:
Die Erarbeitung einer Governance ist auch ein Prozess, um eine gemeinsame Haltung zu entwickeln: Wie gehen wir in die Cloud, was machen wir darin und was nicht?
Dabei dient die Governance als weit mehr als nur ein rechtliches Regelwerk, das bestimmt, was man tun darf und was nicht. Eine Governance definiert auch die Leitplanken, wie ein Unternehmen mit Herausforderungen auf Projektebene umgeht, zum Beispiel mit explodierenden Kosten. Die Governance ist auch in der Lage, Budgets und Zeitangaben unter Kontrolle zu halten.
Dafür lohnt es sich mit der Governance einen Prozess zu erarbeiten, der das Potenzial hat, einen Grossteil der SaaS-Lösungen in die Cloud zu migrieren. Und dieses Potenzial erhält er, wenn Unternehmen sich die Zeit und Ressourcen genommen haben, den Prozess einmal richtig aufzustellen und zu definieren.
Mit einer praktikablen Cloud-Governance, als Entscheidungshilfe, können Innovationen betreffende Entscheidungen schnell getroffen werden. Das ist entscheidend in immer dynamischer werdenden Märkten. Zukünftiger Erfolg hängt heute mehr denn je von der Geschwindigkeit und Anpassungsfähigkeit ab.
Unternehmen sollten sich kontinuierlich über die neuesten Entwicklungen und Best Practices in Bezug auf Cloud Governance informieren. Die Cloud-Landschaft entwickelt sich ständig weiter, und es ist wichtig, auf dem Laufenden zu bleiben, um Sicherheitslücken zu vermeiden und die Effizienz der Cloud-Nutzung zu maximieren.
Denn eine Cloud-Governance ist kein Projekt mit einem klar definierten Ende. Vielmehr ist sie als eine andauernde Reise zu betrachten.
Eine klare Regelung, kontinuierliche Überwachung, Zusammenarbeit und stetige Weiterbildung sind grundlegende Prinzipien, die Unternehmen bei der Navigation durch die Cloud Governance unterstützen können. Indem sie diese Prinzipien befolgen, können Unternehmen das volle Potenzial der Cloud nutzen und gleichzeitig Sicherheit und Compliance gewährleisten.
Bei Fragen, wie Sie Ihre Cloud-Governance am besten aufstellen, können Sie gerne unsere Experten kontaktieren.