The Doppler Quarterly (DEUTSCHE) Herbst 2016

Das CBO stellt u. a. branchespezifische Best Practices für die Migration, Ent- wicklung, Sicherheit und Governance sowie für den Betrieb einer Cloud auf und sorgt für eine erfolgreiche Cloud-Transformation. Das bedeutet, dass all- gemeine Probleme in der Cloud durch ineinandergreifende Prozesse bewältigt werden, die beispielsweise von einem bewährten, unternehmensweiten Sicher- heitsframework ausgehen oder auf Sicherheitsmechanismen basieren, die standardmäßig im Unternehmen eingerichtet wurden. Da das CBO als Entscheidungs- und Kontrollinstanz für die unternehmens- weite Cloud-Nutzung fungiert, ist es nicht mehr nötig, bei jeder Entscheidung über die Nutzung Cloud-basierter Ressourcen unzählige Führungs- und Orga- nisationsebenen zu bemühen. So kann die Entscheidung über die Wahl eines Public Cloud-Anbieters für eine Reihe von Workloads beispielsweise innerhalb einer Woche und nicht erst nach monatelangen Gesprächen gefällt werden. Mithilfe des CBOs lässt sich zudem vermeiden, dass Entscheidungen von unqualifizierten, schlecht informierten Mitarbeitern getroffen werden. Das CBO wird oft mit Kompetenzzentren oder Program Management Offices verwechselt, die man heute in Unternehmen findet. Das CBO ist eine Res- source für die Anwendung von Best Practices und die Projektsteuerung und kann diese Konzepte in der Praxis in die Cloud-basierte Migration und Syste- mentwicklung integrieren. Die Konzepte eines CBOs lassen sich mit Agile- und DevOps-Methoden vergleichen, die darauf ausgerichtet sind, zu handeln, anstatt zu verstehen und zu planen. Kontinuierliche Compliance Die kontinuierliche Compliance beinhaltet eine „Single Source of Truth“ für Governance, Risikomanagement und Compliance. So können beispielsweise Probleme, die bei der Verarbeitung von Workloads und Daten auf Cloud- basierten Plattformen auftreten, in Echtzeit überwacht und behoben werden. Angenommen, ein Unternehmen aus dem Gesundheitswesen lässt zahlreiche Workloads in Public Clouds verarbeiten, muss die Vertraulichkeit und Integri- tät von Patientendaten gewährleisten (HIPAA) und andere Bestimmungen ein- halten, die die Nutzung von Daten regeln. Zusätzlich müssen Unternehmens- richtlinien und weitere gesetzliche Beschränkungen eingehalten werden. Beispielsweise stellen sich die Fragen: • Welche Daten dürfen wann offengelegt werden? • Welche Verschlüsselungsmechanismen sind auf welche Weise anzuwenden? Beim Konzept der kontinuierlichen Compliance geht es primär darum, Compli- ance-Prozesse für diejenigen zu automatisieren, die die Cloud-basierten Lösungen betreiben. Während der Begriff „Compliance“ häufig Kontrollme- chanismen beschreibt, die von Sicherheitspersonal angewendet werden, sollen Compliance-Prozesse bei der „kontinuierlichen Compliance“ möglichst unter- nehmensweit automatisiert werden, um den damit verbundenen Aufwand und die Risiken zu reduzieren. Herbst 2016 | THE DOPPLER | 63

The Doppler Quarterly (DEUTSCHE) Herbst 2016 | Page 65