Kalawin - stock.adobe.com
Der 5-Punkte-Plan für Cloud-optimierte Prozesse
Die Cloud hat den professionellen Umgang mit IT verändert. Fachabteilungen entscheiden zunehmend selbst über ihre Anwendungen. Das ist zwar schnell, wirft aber auch Fragen auf.
Der Einstieg in Cloud Computing wird häufig nicht vom Vorstand oder von der IT-Abteilung geplant und angestoßen, sondern ergibt sich unkoordiniert aus den einzelnen Fachabteilungen heraus. Es ist einfach, einen Messenger für die Event-Abteilung, eine Grafikanwendung für das Marketing oder ein CRM-Tool für den Vertrieb als Software as a Service (SaaS) im Abo zu buchen und zu betreiben. Darin liegt – unter anderem – der Charme von Cloud-Services. Es ist unkompliziert, geht schnell und entlastet die IT-Abteilung.
Allerdings hat diese Praxis neben den besagten Vorteilen ihre Tücken. Denn sie erfolgt in der Regel ohne Berücksichtigung interner Prozesse, der Security- und Compliance-Richtlinien, aber auch externer regulatorischer Vorgaben. Manche sprechen in diesem Zusammenhang von einer neuen Form von Schatten-IT. Die IT-Abteilungen tragen zwar nach wie vor die Verantwortung für den IT-Betrieb, verlieren aber einen Teil ihrer Steuerungshoheit und Einflussmöglichkeiten, und müssen notfalls für die Schadensbearbeitung oder -begrenzung eingreifen. Das kann gefährlich werden, insbesondere, wenn es sich um sicherheitskritische Unternehmen oder Organisationen handelt. Neue Gesetze wie der Digital Operational Resilience Act (DORA) oder die BSI-Vorgaben für Kritische Infrastrukturen (KRITIS) schaffen hier zusätzlichen Handlungsdruck.
No Cloud ist keine Lösung: der 5-Schritte-Plan
Also wie umgehen mit dem Thema Cloud Computing? Da es unproduktiv ist darauf zu verzichten, muss ein Modus Vivendi, ein Code of Conduct für die Nutzung von SaaS-Anwendungen innerhalb des Unternehmens gefunden, und entsprechende Richtlinien aufgesetzt werden. Was auf den ersten Blick wie eine Hürde für die Nutzung von Cloud-Lösungen aussehen mag, entpuppt sich auf den zweiten Blick jedoch oft als unbegründete Furcht. Denn die damit verbundenen Prozesse und Regularien müssen in der Regel nicht neu erfunden werden. Vielmehr ist es möglich, auf die bestehende Prozess-Architektur aufzusetzen. Es reicht völlig aus, sie gezielt an die neue Cloud-Welt anzupassen. Dazu muss man sie allerdings gut kennen.
Deshalb besteht der initiale logische Schritt darin, die existierenden Prozesse erst einmal transparent zu machen: Welche Prozesse gibt es und wie greifen sie ineinander? Um einen Überblick zu bekommen ist es notwendig, die wichtigen Prozesse zu identifizieren und die in den entsprechenden Dokumenten festgehaltenen Richtlinien und Guidelines zu prüfen. Daraus ergibt sich, welche Prozesse weiter wie gewohnt genutzt werden können, welche angepasst werden müssen und ob darüber hinaus neue aufzusetzen sind.
Im anschließenden Schritt geht es um die Cloud-Lösungen selbst. Und das auf allen Ebenen einer typischen Cloud-Architektur, also von der Compute-Basis Infrastructure as a Service (IaaS), über die Bereitstellungsebene Platform as a Service (PaaS) bis hin zu den Cloud-Anwendungen in Form von Software as a Service (SaaS). Sie werden unter den für das Unternehmen relevanten rechtlichen und prozeduralen Gesichtspunkten charakterisiert und qualifiziert. Das kann dann sowohl in Form von konkreten Empfehlungen (Whitelist), als auch im Ausschlussverfahren (Blacklist) erfolgen. Dabei fließen Überlegungen wie Outsourcing-Strategie, Qualitätskriterien oder Richtlinien bezüglich der Auslagerung und Fremdbezüge von Softwaredienstleistungen (MaRisk- & BAIT-Anforderungen) ein, die gerade für Banken oder Behörden eine wichtige Rolle spielen. Die Cloud-Richtlinien werden damit Teil der IT-Governance.
Security und Compliance
Bei der Sichtung und Prüfung dieser Prozesse hilft es, praxisnahe Szenarien durchzuspielen. So lässt sich leichter aufspüren, wo ein Prozess verändert oder gegebenenfalls ein fehlender Prozess neu aufgesetzt werden muss. Für die im Umfeld von Cloud Computing komplexere Arbeitsteilung und Rollenverteilung zwischen dem Cloud Provider, der IT und den Fachabteilungen müssen klare Regelung vereinbart und festgehalten werden. Das betrifft neben den Prozessen auch die Sicherheitsaspekte (EU-DSGVO) und Compliance-Guidelines. Daneben können neben IT- und Fachabteilungen andere Ressorts, wie etwa der Einkauf betroffen sein. Auch sie müssen in die neuen Regelungen einbezogen werden.
„Für die im Umfeld von Cloud Computing komplexere Arbeitsteilung und Rollenverteilung zwischen dem Cloud Provider, der IT und den Fachabteilungen müssen klare Regelung vereinbart und festgehalten werden.“
Leyla Varli, CGI
Nach der Live-Schaltung der geänderten, respektive neuen Prozesse ist es sinnvoll, regelmäßig das Feedback der Business-Einheiten bezüglich der Prozesseffizienz und -produktivität im Sinne einer ständigen Prozessoptimierung einzuholen. Ergänzend zu diesen fünf Kernpunkten können noch Worst-Case-Szenarien durchgespielt werden, um daraus wie in einem Störfallplan Anweisungen für Zuständigkeiten, Berechtigungen, abweichende Abläufe oder Informationspflichten abzuleiten.
Die Rolle von KI
Künstliche Intelligenz (KI) kann an verschiedenen Stellen in dieser Kette unterstützend eingesetzt werden. Sie ist beispielsweise hilfreich bei der Sichtung und Zusammenfassung der aktuellen Policies zur bestehenden Prozess-Architektur, aber auch beim Durchspielen von Szenarien. Gerade hier sind in nächster Zeit enorme Fortschritte zu erwarten, die die Anpassung von Prozessstrukturen an Cloud-Szenarien weiter vereinfachen und beschleunigen.
Über die Autorin:
Leyla Varli hat internationale Finanzen und IT-Management studiert und verfügt über mehr als 11 Jahre Erfahrung in der IT-Beratung, Cloud-Migration und Prozessoptimierung. Sie ist seit 2021 bei CGI, davor war sie über 5 Jahre als Beraterin beim IT-Outsourcing-Spezialisten microfin tätig. Seit 2022 ist Leyla Varli Leiterin der Google Cloud Practice mit Fokus auf kontinuierlichem Wissensaustausch und Ausbau der Angebote im Rahmen der Google Cloud.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
