Es ist schon seit längerer Zeit deutlich, dass Cloud Computing kein kurzfristiger Trend ist, sondern die IT-Nutzung dauerhaft verändert. Immer mehr Unternehmen verwenden Applikationen in der Wolke, doch mit der Entwicklung einer ausreichenden Governance Policy sind die meisten von ihnen gefährlich lange im Verzug.
Die Vorteile des Cloud Computing im Hinblick auf Effizienz und Flexibilität sind offensichtlich. Doch eine dynamische IT-Infrastruktur bringt auch neue Gefährdungen mit sich und entzieht sich den herkömmlichen Überwachungsmechanismen.
Eine verbindliche und aussagekräftige Governance-Richtlinie ist eine Möglichkeit, um zu verhindern, dass das IT-System zu komplex und schwer kontrollierbar wird. Sie definiert Routinen und Überwachungsmechanismen für die Einführung und Weiterentwicklung der Cloud-Strukturen und ermöglicht es, einen Überblick über die Infrastruktur der Organisation zu behalten.
Im Folgenden haben wir wichtige kritische Punkte gesammelt, die Sie in Ihrer Dokumentation berücksichtigen sollten.
- Um die Cloud Governance zu entwickeln, müssen Sie nicht bei null anfangen. Existiert für Ihr Netzwerk ein Datenschutzkonzept, die den Aufbau auch externer Dienste regelt, ist es empfehlenswert, die Cloud Governance darauf aufzubauen. Damit werden die bestehende Struktur und bewährte Routinen berücksichtigt.
- Eines der wichtigsten Elemente der Policy bilden die Regeln für den Ausbau der Cloud Services und die dazugehörigen Kontrollroutinen. Wenn die Erweiterung von Cloud-Funktionen unkoordiniert erfolgt, können isolierte Dateninseln bei inkompatiblen Services entstehen, die Ihr IT-System fragmentieren. Durch den Einsatz von Produkten, wie dem VMware vShield TM Manager ist eine Kontrolle und Protokollierung möglich. Weitere Informationen zum Produkt finden Sie hier. Global Access setzt bei seiner Cloudlösung den VMware vShield TM Manager ein.
- Die Auswahl von Anbietern sollte ebenfalls geregelt sein. Erfolgt diese nicht wohl überlegt, können Abhängigkeiten von einzelnen Providern entstehen, deren Auflösung mit erheblichen Kosten verbunden sein kann. Auch muss bedacht werden, dass die Verarbeitung von personenbezogenen Daten in der Cloud eine Auftragsdatenverarbeitung nach § 11 BDSG darstellt, die besondere Vertrags- und Prüfanforderungen mit sich bringt.
- Werden personenbezogene Daten über eine Public Cloud verarbeitet, sind eindeutige Datenschutz-Richtlinien notwendig. Bei Verstößen gegen das Datenschutzrecht drohen Bußgelder und Imageverlust. Die Leitlinien dafür können aus dem Datenschutzkonzept der Organisation abgeleitet werden.
- Oft sind in Cloud-Umgebungen die Verantwortlichkeiten verteilt. Um Sicherheitsmechanismen durchgängig zu etablieren, sollten Zuständigkeiten eindeutig geregelt werden.
- Eine Möglichkeit, die im Umgang mit Daten mit unterschiedlichem Schutzbedarf immer häufiger genutzt wird, ist die Hybrid Cloud, die die Vorteile einer Private – und einer Public Cloud verbindet. Daten mit hohem Schutzbedarf können innerhalb der Private Cloud unter strengerer Kontrolle verarbeitet werden, während weniger risikoreiche Elemente aus der Public Cloud bezogen werden.
