Mit zunehmender Zahl von Cloud Service Providern (CSP) steigt auch die Notwendigkeit für ein Continuous Monitoring (CM).
Letzteres hilft bestehende Risiken des Geschäftsbetriebs in der Cloud effektiv zu überwachen und bei Bedarf entsprechende Maßnahmen einzuleiten.
Effektives CM umfasst die Zusammenführung von aktuellen, relevanten und präzisen Informationen, die als Grundlage für operative Entscheidungen dienen. Zusätzlich benötigt werden:
-
Ein klares Verständnis über die Risikotoleranz des Unternehmens
-
Ein stimmiges Risikomanagement-Modell
-
Aussagekräftige Kennzahlen und Indices zur kontinuierlichen Statusaufnahme
-
Überprüfung von Compliance-Anforderungen anhand von strategischen Unternehmenszielen, regulatorischen und vertraglichen Verpflichtungen, Unternehmensrichtlinien und -standards
-
Einsicht in die und Kontrolle der Betriebskonfiguration
-
Ein gewisser Automatisierungslevel, um ein zeitgerechtes Reporting zu gewährleisten
Je mehr die Geschäftsprozesse in die Cloud ausgelagert werden, umso höher ist die Notwendigkeit für ein entsprechendes Reporting. Dieses umfasst Kennzahlen zu den wichtigsten geschäftlichen und regulativen Anforderungen. Das zu erstellenden CM-Programm muss den skizzierten Informationsfluss stetig gewährleisten können.
Hindernisse beim Cloud-Betrieb
Informationssicherheit und Datenschutz stellen eine immerwährende Herausforderung für Unternehmen dar. Durch den Einbezug zusätzlicher Parteien in den Monitoring-Prozess wird diese umso größer. Der Betrieb in der Cloud kann - unabhängig vom Reifegrad - mit folgenden Hindernissen verbunden sein:
-
Divergierendes Verständnis der Anforderungen an das CM: auf Seiten des Unternehmens und des CSP
-
Einblick in die Kompetenzen der CSP in Bezug auf Informationssicherheit und Datenschutz ist eingeschränkt
-
Unklarheit bezüglich der notwendigen Anforderungen an die CSP
-
Inkonsistente und multiple Risikomanagement-Modelle innerhalb des Unternehmens erschweren die effiziente Erkennung und das Management von (aufkommenden) Risiken
-
Unzureichende unternehmensübergreifende Integration von Governance-, Risiko- und Compliance Maßnahmen
-
Mangelnder Überblick über die diversen Projekte einzelner Geschäftseinheiten erschweren die Entscheidungsfindung
Lösungsansätze
CM hat sich im Verlauf der letzten Jahre stetig weiterentwickelt. Dadurch kann das mit dem Umzug diverser Geschäftsprozesse in die Cloud verbundene Risiko wesentlich begrenzt werden.
Hierbei schafft CM die notwendige Transparenz über Risiken, die mit der Zusammenstellung, Verarbeitung und Speicherung von Daten in der Cloud verbunden sind.
Die 4 Kernkomponenten
CM versteht sich zudem selbst als ein Bestandteil der Geschäftsprozesse, die in die Cloud verlagert werden. Die vier folgenden Kernkomponenten sind dabei zu berücksichtigen:
-
Strategie
-
Management
-
Betrieb
-
Technologie und Support
Passenden Monitoring-Level finden
Im Hinblick auf jede einzelne dieser Komponenten hat der Kunde den optimalen Monitoring-Level zu ermitteln. Zudem ist zu überprüfen, wie diese Anforderungen vom CSP erfüllt werden können.
Verantwortung regeln
Im nächsten wichtigen Schritt ist zu evaluieren, wie die Verantwortungskompetenz in Bezug auf die einzelnen Komponenten des CM zwischen Unternehmen und CSP aufgeteilt werden soll.
So können die vertraglichen Leistungen, die Leistungen im Betrieb und die Interoperabilität jeweils voll in die Verantwortung des CSP fallen oder in einer gemeinsamen Verantwortung von CSP und Unternehmen liegen.
Kennzahlen für das Reporting
Eine Auswahl aus folgenden Kennzahlen sollten Unternehmen, die mit CSP zusammenarbeiten, im Hinblick auf das Reporting etablieren:
-
Demand-Supply-Reports (Verbrauchs- und Kostenberichte)
-
Uptime-Reports (CSP Outages)
-
Reports über die Durchführung von Data-Backups
-
Reports über implementierte Changes und Pläne über zukünftige Changes
-
Reports zu Gefahren und Schwachstellen in der Cloud-Umgebung sowie Maßnahmen, mit denen der CSP diesen begegnet
-
Reports in Bezug auf Störungen und Sicherheitsvorfälle
-
Daten-Zugriffsberichte, zum Beispiel auf Kundendaten
Vor dem Hintergrund der Komplexität und des geringen Reifegrades von CM in Cloud-Umgebungen, wird zu einem strukturierten Vorgehen geraten. Im Rahmen dessen soll zunächst eine Risikobewertung vorgenommen werden. Zugleich ist der Leistungsumfang für CM auf Basis des Cloud-Delivery Modells zu definieren.
Im weiteren Verlauf ist darauf zu achten, dass das CM-Programm unter Einbeziehung der CSP implementiert wird. Auf diese Weise können Kennzahlen für das Reporting der einzelnen Komponenten des CM (zum Beispiel vertragliche Leistung, Leistungen im Betrieb, Interoperabilität) vereinbart werden.
Die dann vom CSP bereitgestellten Daten sind zu prüfen. Abweichungen sind gemeinsam mit den CSP zu evaluieren und zu beseitigen. Im letzten Schritt sind Kennzahlen für die kontinuierliche Verbesserung einzuführen. Ebenfalls sind Risiken jährlich neu zu bewerten und die CM Strategie mit den CM Anforderungen abzugleichen.
Zusammenfassung
Das Ergebnis eines effektiven CM ist ein Managementprozess für die Risiken, die sich aus der Migration von Geschäftsfunktionen in die Cloud ergeben. Anforderungen an Compliance, Verfügbarkeit und Betrieb lassen sich auf diese Weise erfüllen.
In der Aufbauphase des CM sind die Aufgaben des Monitoring und Reporting klar zu definieren, sodass die Anforderungen eines effektiven Risikomanagements und die Informationsansprüche externer Stakeholder erfüllt werden können.
Sebastian Paas ist Partner bei KPMG im Bereich CIO Advisory Services.