Risikopraxis der alten Welt bleibt auch bei der Cloud erhalten

Die Nutzung der Cloud zur Verbesserung der geschäftlichen Flexibilität ist eine Selbstverständlichkeit, aber wie kann die IT flexibler werden, ohne die heilige Dreifaltigkeit der Informationssicherheit (Vertraulichkeit, Integrität und Verfügbarkeit) zu opfern?

Meine Antwort auf dieses vermeintliche Dilemma basiert auf dem ältesten aller Risikomanagement-Prinzipien, nämlich dass man nicht alles auf eine Karte setzen sollte, oder genauer gesagt, dass es besser ist, zwei Cloud-Anbieter zu haben als nur einen.

Diese Frage scheint der Grund für einen kürzlich durchgeführten V3 Agile Business Roundtable gewesen zu sein.

Die Verlagerung großer Arbeitslasten und Dienste in die Cloud ist ein wichtiger Bestandteil der meisten agilen Unternehmensstrategien, aber die Teilnehmer aus den verschiedensten Branchen teilten ihre Bedenken hinsichtlich der Sicherheit, Zuverlässigkeit und der Akzeptanz des Cloud Computing. Trevor Hackett, Unternehmensarchitekt bei BSkyB, wies darauf hin, dass man bei der Nutzung eines Cloud-Service-Anbieters ein berechtigtes Interesse an dem Unternehmen hat, denn wenn es pleite geht, droht eine Katastrophe.

Bevor sensible Daten einem Cloud-Service-Anbieter anvertraut werden, benötigen die Entscheidungsträger eines Unternehmens eine solide Grundlage, auf der sie die Vorzüge eines Serviceangebots bewerten können. Dazu sollte eine Bewertung der Bedingungen der Service Level Agreements (SLA), des betrieblichen Rahmens, des Architekturmodells, der Unternehmensgeschichte, des Ansehens in der Branche und der den Kunden gewährten Zusicherungen jedes Cloud-Service-Anbieters gehören.

Wir haben schon oft darauf hingewiesen, dass seriöse Anbieter von Cloud-Diensten nur zu gerne bereit sind, Ihnen zu erklären, wie sie Sie und Ihre Daten bedienen und schützen, und wie wichtig es ist, dass Sie vor dem Kauf Ihre eigene Sorgfaltspflicht erfüllen.

Die Einführung von Office 365 ist ein großartiges Beispiel für die Möglichkeit, mit Cloud-Diensten die Flexibilität zu verbessern und die Betriebskosten zu senken. Aber oft wollen CIOs nicht das Risiko eingehen, dass kritische Geschäftssysteme wie zentrale E-Mail-Dienste außerhalb ihrer unmittelbaren Kontrolle liegen. E-Mail-Benutzer tolerieren keine Ausfallzeiten und verlangen, dass ihre Konnektivität so schnell und schmerzlos wie möglich wiederhergestellt wird.

Bei Exchange vor Ort haben IT-Manager die Wahl, wie sie mit geplanten oder ungeplanten Ausfällen umgehen wollen, und richten oft vollständige Disaster Recovery- und Hochverfügbarkeitslösungen vor Ort ein. Bei Office 365 gibt es diese Möglichkeit jedoch nicht mehr, und für viele Unternehmen ist die Tatsache, dass Office 365 bei einem so geschäftskritischen Dienst eine einzige Ausfallstelle darstellt, ein großes Problem und ein häufiges Hindernis für die Cloud-Migration.

Der Wechsel in die Cloud bedeutet jedoch nicht, dass Sie auf eine Sicherheitsstrategie mit mehreren Anbietern und mehreren Ebenen verzichten sollten. Ein Blended-Cloud-Ansatz ermöglicht es Unternehmen, wichtige Daten auf mehrere Anbieter zu verteilen. Es ist eine Binsenweisheit, dass es bei allen Clouds zu Ausfällen kommen kann. Diese Strategie bietet Wiederherstellungsoptionen und alternative Möglichkeiten, die Kommunikation fortzusetzen, wenn der primäre Cloud-Anbieter nicht verfügbar ist. Diese Übung im Risikomanagement unterstützt auch eine intelligentere Beschaffung, indem sie die Möglichkeit einer Anbieterbindung verringert. Kurz gesagt, Sie würden die Mehrpunkt-Business-Continuity-Strategie, die Sie im LAN aufgebaut haben, in der Cloud wiederholen - ein Konzept, das bei einer Cloud-Migration oft übersehen wird.

Letztendlich ermöglicht ein pragmatischer Ansatz für das Risikomanagement vor Ort und in der Cloud den Unternehmen, das größte Risiko von allen zu vermeiden - Untätigkeit und Stagnation bei zunehmend agilen Geschäftspraktiken.