Kennzahlen und Reporting

Wie man ein Cloud-Monitoring aufbaut

07.05.2014 von Sebastian Paas
Wandern Geschäftsprozesse in die Cloud, sollte ein Continuous Monitoring und Risikomanagement etabliert werden. Wie das geht, erläutert Sebastian Paas von KPMG in seiner Kolumne.
Sebastian Paas ist Partner bei KPMG im Bereich CIO Advisory Services.
Foto: KPMG

Mit zunehmender Zahl von Cloud Service Providern (CSP) steigt auch die Notwendigkeit für ein Continuous Monitoring (CM).

Letzteres hilft bestehende Risiken des Geschäftsbetriebs in der Cloud effektiv zu überwachen und bei Bedarf entsprechende Maßnahmen einzuleiten.

Effektives CM umfasst die Zusammenführung von aktuellen, relevanten und präzisen Informationen, die als Grundlage für operative Entscheidungen dienen. Zusätzlich benötigt werden:

Je mehr die Geschäftsprozesse in die Cloud ausgelagert werden, umso höher ist die Notwendigkeit für ein entsprechendes Reporting. Dieses umfasst Kennzahlen zu den wichtigsten geschäftlichen und regulativen Anforderungen. Das zu erstellenden CM-Programm muss den skizzierten Informationsfluss stetig gewährleisten können.

Hindernisse beim Cloud-Betrieb

Informationssicherheit und Datenschutz stellen eine immerwährende Herausforderung für Unternehmen dar. Durch den Einbezug zusätzlicher Parteien in den Monitoring-Prozess wird diese umso größer. Der Betrieb in der Cloud kann - unabhängig vom Reifegrad - mit folgenden Hindernissen verbunden sein:

Lösungsansätze

CM hat sich im Verlauf der letzten Jahre stetig weiterentwickelt. Dadurch kann das mit dem Umzug diverser Geschäftsprozesse in die Cloud verbundene Risiko wesentlich begrenzt werden.

Hierbei schafft CM die notwendige Transparenz über Risiken, die mit der Zusammenstellung, Verarbeitung und Speicherung von Daten in der Cloud verbunden sind.

Die 4 Kernkomponenten

CM versteht sich zudem selbst als ein Bestandteil der Geschäftsprozesse, die in die Cloud verlagert werden. Die vier folgenden Kernkomponenten sind dabei zu berücksichtigen:

Passenden Monitoring-Level finden

Im Hinblick auf jede einzelne dieser Komponenten hat der Kunde den optimalen Monitoring-Level zu ermitteln. Zudem ist zu überprüfen, wie diese Anforderungen vom CSP erfüllt werden können.

Verantwortung regeln

Operationalisierung der Kernkomponenten des Continuous Monitoring.
Foto: KPMG

Im nächsten wichtigen Schritt ist zu evaluieren, wie die Verantwortungskompetenz in Bezug auf die einzelnen Komponenten des CM zwischen Unternehmen und CSP aufgeteilt werden soll.

So können die vertraglichen Leistungen, die Leistungen im Betrieb und die Interoperabilität jeweils voll in die Verantwortung des CSP fallen oder in einer gemeinsamen Verantwortung von CSP und Unternehmen liegen.

Kennzahlen für das Reporting

Eine Auswahl aus folgenden Kennzahlen sollten Unternehmen, die mit CSP zusammenarbeiten, im Hinblick auf das Reporting etablieren:

Vor dem Hintergrund der Komplexität und des geringen Reifegrades von CM in Cloud-Umgebungen, wird zu einem strukturierten Vorgehen geraten. Im Rahmen dessen soll zunächst eine Risikobewertung vorgenommen werden. Zugleich ist der Leistungsumfang für CM auf Basis des Cloud-Delivery Modells zu definieren.

Phasen des Continuous Monitoring Life Cycle.
Foto: KPMG

Im weiteren Verlauf ist darauf zu achten, dass das CM-Programm unter Einbeziehung der CSP implementiert wird. Auf diese Weise können Kennzahlen für das Reporting der einzelnen Komponenten des CM (zum Beispiel vertragliche Leistung, Leistungen im Betrieb, Interoperabilität) vereinbart werden.

Die dann vom CSP bereitgestellten Daten sind zu prüfen. Abweichungen sind gemeinsam mit den CSP zu evaluieren und zu beseitigen. Im letzten Schritt sind Kennzahlen für die kontinuierliche Verbesserung einzuführen. Ebenfalls sind Risiken jährlich neu zu bewerten und die CM Strategie mit den CM Anforderungen abzugleichen.

Zusammenfassung

Das Ergebnis eines effektiven CM ist ein Managementprozess für die Risiken, die sich aus der Migration von Geschäftsfunktionen in die Cloud ergeben. Anforderungen an Compliance, Verfügbarkeit und Betrieb lassen sich auf diese Weise erfüllen.

In der Aufbauphase des CM sind die Aufgaben des Monitoring und Reporting klar zu definieren, sodass die Anforderungen eines effektiven Risikomanagements und die Informationsansprüche externer Stakeholder erfüllt werden können.

Sebastian Paas ist Partner bei KPMG im Bereich CIO Advisory Services.