Die Verwendung von Cloud-Diensten ist oft sehr leicht: Einfach Anmelden, Zahlungsinformationen angeben, und schon kann es losgehen. Doch selbst in den einfachsten Fällen lauern Risiken und Fallstricke. Es kann zum Beispiel schnell zu Compliance-Verstößen wie dem Missachten von Datenschutzregeln oder einem Datenverlust aufgrund mangelnder Vorsichtsmaßnahmen kommen.
Für eine Cloud-First-Strategie müssen Unternehmen deshalb alle IT-Bereiche neu ausrichten – von der Organisationskultur und -struktur über Systeme und Prozesse bis hin zu Rollen und Verantwortlichkeiten.
Nur so können sie das volle Potenzial von Cloud Computing ausschöpfen und sicher von den Vorteilen profitieren. Beim Übergang von traditioneller On-Premise-IT über hybride Modelle bis hin zum flächendeckenden Cloud-Einsatz sollten sie Cloud Governance, Risk & Compliance nicht dem Zufall überlassen.
Unser Cloud Governance & Management Lifecycle deckt alle wesentlichen Phasen einer Cloud-Initiative ab. Das Modell basiert auf dem etablierten COBIT Framework, das ursprünglich von der international anerkannten ISACA Vereinigung entwickelt wurde. Für jede Phase sind zentrale Anforderungen an die Cloud-Nutzung für die Organisation und die eingesetzten Systeme und Prozesse definiert. Wenn die Aktivitäten der einzelnen Phasen nicht angemessen gesteuert werden, kann dies zu einer Gefährdung für die Funktionsfähigkeit der IT-Services und folglich für den Geschäftsbetrieb der gesamten Organisation führen.
Die Verlagerung von IT-Services in die Cloud entbindet Ihre Organisation nicht von der Verantwortung für das Compliance- und Risikomanagement. Das sogenannte Shared-Responsibility-Modell erfordert, dass die Nutzerorganisation einige Verantwortlichkeiten selbst wahrnimmt und geeignete Maßnahmen umsetzt, um sich vor Risiken zu schützen und Compliance-Anforderungen zu erfüllen. Je nach Art der genutzten Cloud-Services sind die Verantwortlichkeiten unterschiedlich aufgeteilt.
Um die Transparenz der Cloud-Risiken zu erhöhen, haben wir das Cloud GRC Radar entwickelt. Es ist in fünf Bereiche unterteilt, die dem Cloud Governance & Management Lifecycle entsprechen. Es macht transparent, in welchen Bereichen des Lebenszyklus bereits ein ausreichender Reifegrad hinsichtlich Cloud Governance, Risk & Compliance besteht und wo die Organisation aufgrund fehlender oder nicht ausgereifter Prozesse bestimmten Risiken ausgesetzt ist.
Wir unterstützen Sie in allen Compliance- und Risiko-bezogenen Fragestellungen in jeder Phase Ihrer Cloud Initiative. Auf Basis unseres bewährten, systematischen Ansatzes entwickeln wir integrierte und modulare Lösungen, die exakt auf Ihren Bedarf und Ihre individuellen Ziele abgestimmt sind.
Welche externen Compliance-Anforderungen gilt es zu berücksichtigen (ISO 27001, EU-GDPR, GoBD, HGB, KRITIS, ...)? Welche internen Anforderungen werden zusätzlich an Organisation, Systeme und Prozesse gestellt (ITIL, COBIT, ...)? Wir unterstützen Sie dabei, eine transparente Aufstellung aller spezifischen Anforderungen zu erstellen. Dies ist eine Voraussetzung für angemessene Steuerung und Kontrolle des Cloud-Einsatzes im Unternehmen und hilft bei der Auswahl passender Cloud Service Provider.
Analog zu den Compliance-Anforderungen gilt es, alle Cloud-bezogenen Risiken transparent zu machen. Nur mit einem vollumfassenden Überblick über die relevanten Risiken lassen sich diese durch geeignete Maßnahme für Ihre Organisation im Griff behalten.
Gute und passend ausgestaltete Vorgaben stellen die Basis für eine Konformität mit den Anforderungen sicher, erhalten aber gleichzeitig auch das richtige Niveau an Flexibilität und Agilität. Basierend auf unserer langjährigen Erfahrung in der Ausgestaltung von entsprechenden Cloud Governance Rahmenwerken helfen wir Ihnen, genau das richtige Maß an Richtlinien zu definieren.
Wie sind Ihre IT-Prozesse gestaltet? Welche Risiken sind damit verbunden und welche Kontrollen sind erforderlich? Wir unterstützen Sie bei der Einrichtung oder Anpassung ihrer IT-Prozesse, entsprechend Ihren individuellen Anforderungen, auf die Erfordernisse beim Einsatz von Cloud Diensten.
Angemessene und effektive Kontrollen sind wichtig, um Risiken zu mindern und den ordnungsgemäßen Betrieb Ihrer Cloud-basierten IT sicherzustellen. Wir helfen Ihnen dabei, passende Kontrollen zu definieren und ein effektives Monitoring einzurichten. Dabei stellen wir sicher, dass diese passgenau zu den Prüfberichten (z.B. SOC 1 / 2 oder BSI C5 ) und Spezifika Ihrer Cloud Service Anbieter ausgestaltet sind.
Sind die genutzten Systeme angemessen konzipiert, entwickelt und implementiert? Unsere technischen Expert:innen untersuchen Ihre Systeme auf Schwachstellen und stellen sicher, dass Sie sich auf Ihre Systeme, auch wenn diese in der Cloud betrieben werden, verlassen können.
„Die Nutzung von Cloud-Diensten bietet Unternehmen zahlreiche Vorteile. Allerdings müssen Organisationen, wie bei der Nutzung eines eigenen Rechenzentrums auch, ausreichende Maßnahmen ergreifen, um die Verlässlichkeit und Compliance ihrer IT in der Cloud sicherzustellen. Andernfalls sind Probleme durch Non-Compliance, Dienstausfälle oder gar Datenverluste vorprogrammiert.“