"Von Cloud-Mythen zur Cloud-Strategie" Der Weg zum Risiko-adäquaten Cloud-Zielbild in Banken - Diskussionspapier - BMC Strategy Consultants
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
„Von Cloud-Mythen zur Cloud-Strategie“ −
Der Weg zum Risiko-adäquaten Cloud-Zielbild in Banken
Diskussionspapier
Frankfurt, im November 2020
© 2020 BMC Strategy Consultants
Inhalt
1. Cloud-Mythen und ihre Folgen
2. Grundlagen für eine Cloud-Strategie
3. Grundlagen für Cloud-Migration und -Betrieb
4. Mögliches Projektvorgehen
2
1. Cloud-Mythen und ihre Folgen
Die Banken IT adaptiert immer schneller Cloud-Dienstleistungen –
klare, faktenbasierte Cloud-Strategien liegen aber nicht immer vor
▪ „Attraktiver Kostenvorteil“ ▪ „Skalierte Zukunftstechnologie“
▪ „Mehr Agilität und Geschwindigkeit“ ▪ „Risiken und Regulatorik im Griff“
▪ „Stabil und Sicher“
Pull-Effekt: Hyperscaler dringen in den Markt mit attraktiven Leistungsperspektiven
Häufig keine klare Antwort zur strategischen Fragestellung:
„Warum mit welchem System bei welchem Risiko in die Cloud bzw. warum nicht?“
Umgang
mit
Cloud?
Push-Effekt: On-Premise Enterprise-IT „schrumpft“ auch in Banken
▪ Starke Zunahme SaaS-Inseln und BMAs
▪ Cloud-Projekte von „Pflicht“ (MS Office 365) bis „Kür“ (Data Analytics) laufen
▪ Perspektivisch (“dramatische“) Reduktion Enterprise IT – bis zum „Ende des Rechenzentrums“?
3
1. Cloud-Mythen und ihre Folgen
Cloud-Technologie ist dabei eine zentrale Voraussetzung zur Sicherstellung
der langfristigen Wettbewerbsfähigkeit auch in Banken
Potenzielle Nutzenvorteile der Cloud-Technologie
Qualitätssteigerung durch höhere Verfügbarkeit, geringere Fehlerquote in der
Entwicklung und erhöhte Testqualität
Qualität
Reduktion von Cyber Risk und Bereitstellung redundanter Infrastrukturen;
Gegenläufige Effekte durch politische Risiken
Risiko
Erzielung von nach-haltiger Effizienz-steigerung durch Reduzierung der
Gesamtkosten/ Sach- und Personal-kosten möglich (Potenzial)
TCO
Steigerung der Geschäftsagilität durch höhere Innovationskraft, verbesserte
Geschäfts- Time-to-Market und schnellere Skalierbarkeit
agilität
Sicherstellung der technologischen Zukunftsfähigkeit durch state-of-the-art
Technologische Infrastruktur-Technologie und Ermöglichung einer modernen Micro-services
Zukunftsfähigkeit Architektur
41. Cloud-Mythen und ihre Folgen
Innerhalb der Banken führen „Cloud-Mythen“ mitunter zu gravierenden
Fehleinschätzungen im Sinne einseitig positiver Bewertung oder ….
Positive Cloud-Mythen … … BMC-Sicht und Praxisrealität
▪ Für „stabile, gleichmäßige“ Nutzungsformen führt Cloud
„Cloud spart uns in Run und Change oft zur IT-Kostenerhöhung („Taxi vs. eigener PKW“)
> 30% der IT-Kosten“
▪ Interne Transformationsaufwände werden unterschätzt
▪ Agilisierungsvorteile primär durch PaaS; dagegen haben
„Unsere Business-Lines brauchen IaaS und SaaS andere Zielsetzungen
die Cloud zur Digitalisierung“
▪ Interne Demand-Governance für Agilisierung wichtiger
▪ Aus technologischen (z.B. Mainframe) und Risiko-
„Enterprise IT stirbt aus; wir machen
Gründen (Daten) wird ein Kernbestand der „On-premise“
nur noch virtuelle Microservices“
IT bleiben
▪ Das Risikoprofil ist bei umfassendem Cloud-Outsourcing
„Die Hyperscaler machen uns erfordert „Risk Acceptances“ durch Vorstand
compliant und sicher“
▪ Tail-Risks (Politik, Datenschutz) sind dabei relevant
Ergebnis: oft einseitig positive Wahrnehmungen bei signifikanten Kosten- und Leistungsrisiken
51. Cloud-Mythen und ihre Folgen
… einseitig negativer Bewertung
Negative Cloud-Mythen … … BMC-Sicht und Praxisrealität
De facto keine Show-Stopper, nur ggf. „enge“
„Es gibt regulatorische Show-
Anforderungen an Auslagerung, Exit-Strategie,
Stopper für die Cloud
Datenschutz etc. (EBA-AL Richtlinie, DSGVO, …)
Cloud bzw. Virtualisierung und Container-Ansatz ist das
„Cloud ist eine technologische
nächste universale IT-Paradigma – vergleichbar mit dem
Modeerscheinung – wie z.B. SOA“
Schritt „Mainframe-Cobol“ auf Client-Server/Java
Die meisten Datenrisiken lassen sich durch tech-
„Gerade das Datenrisiko ist so hoch,
nische und rechtliche Vorkehrungen mitigieren
dass Cloud ausscheidet“
Rechtlich ist die Cloud-Auslagerung eine Unterform des
„Risiken der Cloud sind vielfach normalen Outsourcings; es bestehen besondere, aber
höher als im normalen Outsourcing“ nicht strukturell andere Risiken und reg. Anforderungen
Ergebnis: Oft einseitige Cloud-Verweigerung bei de-facto ungesteuerter Cloud-Migration
wo unvermeidbar (SaaS-Inseln, MS Office 365)
61. Cloud-Mythen und ihre Folgen
Regulatorische Vorgaben stellen hohe Ansprüche an eine risikoadjustierte
Gestaltung des Cloud-Outsourcing-Verhältnisses sowie Datenschutz
Regulatorische Anforderungen
BaFin: MaRisk, EBA Auslagerungs- Weitere, kritische
DSGVO
MaComp & BAIT1) richtlinie Themen
▪ MaRisk: Anforderungen an ▪ Die Richtlinien gehen über die ▪ Einrichtung von tech- ▪ BSI Kriterienkatalog mit
die Umsetzung von IT- Regelungen der MaRisk und nischen und organisato- Mindestanforderungen an
Sicherheit BAIT hinaus, darunter z.B.: rischen Maßnahmen, z.B.: sicheres Cloud Computing,
– Definition von kritischen und Mandantentrennung, 17 Bereiche, Orientierung Hohe regulatorische
▪ MaComp: Umsetzung von
wesentlichen Funktionen Löschkonzepte, Ort der an ISO 27001, z.B.
Verhaltens-, Organisations- Anforderungen,
Datenspeicherung, – Organisation Informa-
und Transparenzpflichten – Ganzheitliches Governance-
Rahmenwerk
Verschlüsselung tionssicherheit (OIS) risikoadjustierte
▪ BAIT: Gibt einen Rahmen
– Anforderungen an notwen- ▪ Berücksichtigung von – Sicherheitsrichtlinien und Ansätze des
für die technisch-organisa-
dige Abklärungen und Unterauftragsverhält- Arbeitsanweisungen
torische Ausstattung der
Analysen im Rahmen des nissen, Festlegung von (SP), auslagernden
Institute, insbesondere für
Auslagerungen und das IT- Auslagerungsprozesses Kontrollrechten des Cloud- – Identitäts- und Instituts gefordert
Nutzers und entsprechende Berechtigungsmgt. (IDM)
Risikomanagement – Zudem werden
Duldungs- und
Anforderungen an u.a. – Kryptographie und
Mitwirkungspflichten des
Sicherheit von Daten und Schlüsselmgmt. (CRY)
Cloud-Anbieters
Systemen, Beaufsichtigung – Kommunikationssicher-
der aus-gelagerten heit (COS)
Funktionen und
Ausstiegsstrategien ▪ …
festgehalten
1 Mindestanforderungen an das Risiko-Management; Mindestanforderungen an die Compliance-Funktion; Bankaufsichtliche Anforderungen an die IT
72. Grundlagen für eine Cloud-Strategie
Verschiedene Ansätze zur Entwicklung einer Cloud Strategie
„Summe der „Agil – „Infrastruktur- „Rollierend-
Einzelprojekte“ variabel“ orientiert“ anwendungs-
getrieben“
▪ Einzelne Cloud- ▪ Stark durch ▪ Perspektive ist ▪ Perspektive sind
Projekte werden Piloten/POCs „Rechenzentrum“ fachlich-technische
durchgeführt getrieben und Plattformen Anwendungscluster
▪ Cloud-Strategie ▪ Laufende (z.B. SAP HANA)
entspricht der Fortschreibung der
Summe der Einzel- Cloud-Strategie
Zielbilder
Heraus- ▪ Stimmigkeit ▪ Stimmigkeit ▪ Nachvollziehbarkeit und ▪ Einbindung VS und
forderung ▪ Konsistent ▪ Konsistent Nutzen Fachbereich
▪ Nachvollziehbarkeit ▪ Nachvollziehbarkeit ▪ Buy-in Fachbereich und ▪ Stimmigkeit aus
▪ Leitungsfunktion ▪ Leitungsfunktion Vorstand technischer Sicht
▪ Regulatorisches Risiko ▪ Regulatorisches Risiko
82. Grundlagen für eine Cloud-Strategie
BMC empfiehlt ein hypothesengesteuertes Anwendungscluster-orientiertes
Vorgehen zur schnellen und pragmatischen Entwicklung einer Cloud-Roadmap
In vier Schritten zur Cloud-Strategie
1 2 3 4
Heutige
Systemwelt Welches Ist die Cloud In welchen
Welche Systeme
Cloud- vorteilhaft? Schritten in
in die Cloud?
Zielmodell? Risiken? die Cloud?
Ergebnis- Definition der Zuordnung Anwen- ▪ Cluster-individuelle ▪ Cloud-Voraus-
typ: Anwendungscluster dungscluster zu Bestimmung und setzungen
mit homogenen einem Cloud Ziel- Bewertung der ▪ Cloud-Investitions-
Eigenschaften und Service-/ Betriebs- −qualitativen u. programm
Anforderungen modell IaaS, PaaS, quantitativen ▪ Cloud-Roadmap
SaaS („Vorselektion“) Vorteile (Business
aufgrund Schutz- Case)
klasse, Standard-SW −Risiken
und SW Cloud- ▪ Cloud-Empfehlung
Verfügbarkeit je Cluster
Vorbereitende Arbeitshypothesen Einzelbewertung Cloud-Strategie
Iterationen bzgl. einzelner Anwendungen möglich
92. Grundlagen für eine Cloud-Strategie
1 Welche Systeme in die Cloud? Definition von Anwendungsclustern
Ableitung potenziell Cloud-geeigneter Anwendungscluster in fünf Stufen
BMC-Erfahrungswerte: Initialclusterung nach Zentrale fachliche Aspekte der Anwendungen
a 1) Geschäftsfeldern und werden im ersten Schritt berücksichtigt
▪ Bei Auswahl Cloud-geeigneter 2) Hauptgeschäftsprozessen
Systeme immer von
Anwendungssystemen z.B. Anwendungen auf Basis singulärer Technologie
ausgehen – auch wenn es „nur“ b oder für spezielle Kunden werden separiert → keine
Falls vorhanden: Sonder- weitere Betrachtung im Strategieprozess
um Verlagerung der Infra-struktur cluster herauslösen
geht
Kriterien: Datenschutz, Schutzbedarf, Entwick-
▪ Keine Einzelanwendungen be- c lungsmodell, Schnittstellenmenge, Volumen
trachten, sondern immer Cluster Unterteilung in technisch-
Datenaustausch, Batch-Jobs
von fachlich, technisch und operative Teilcluster
operativ ähnlichen (homogenen) Separieren latenzkritischer Anwendungen
Anwendungen d
Optional: Bildung latenz- (→ aus BMC-Sicht in 3 - 5 Jahren nicht mehr
▪ Fachbereiche in abschließende kritischer Teilcluster erforderlich)
Festlegung der Cluster
einbeziehen – andernfalls Gefahr e Notwendig zur Qualitätssicherung und
fehlender Akzeptanz Validierung durch Akzeptanzerhöhung
Fachbereiche
103. Grundlagen für Cloud-Migration und -Betrieb
Herausforderungen für die Finanzbranche - Die Rolle der IT kann sich in Richtung
„Cloud Broker“ für Public Cloud verändern
Rollenwandel IT bei Hybrid Nutzende Banken
Cloud Strategie
Architektur Verträge und Produkte und Vertrag & Compliance
Vertragsverhandlung/-pflege,
und Technik Regulatorik Prozesse Preismanagement, Risiko-einwertung,
EZB/BaFin/EBA vs. Hyperscaler
Datenschutz, ISM, Security etc.
„Broker“ „Broker“
Verträge Erheblicher, kontinuierlicher Aufwand Beratung
bei Vertrags- & Provider-Mgt.
25 - 35 % neue oder geänderte Cloud Design und Engineering, Com-
Produkte pro Jahr pliance und Sicherheits-Consulting
Über 40 Verträge in unterschied-
lichsten Versionen (Bsp. Google)
Vertragsverhandlung mit mehreren Migrations-Projektsupport
Arbeitsgruppen pro Hyperscaler
Intransparenz des Hyperscalers Optimize, Legacy, Transformation,
Vendor Lock-In vs. Compliance Service Design
Kontinuierliche Aufrechterhaltung
der Produktcompliance Betrieb
Zero-Trust BYOK/BYOE* Service Level, Verfügbarkeit,
Intransparente Produktrisiken Automation, Cloudkompetenz
DSGVO vs. Cloud-Act
Operativer Support
Pseudonymisierung/Tokenisierung
Große Komplexität von
Incident-, Problem- & Change-
ca. 1.000 Produkten management, CMS, Security,
Identity & Access Management
113. Grundlagen für Cloud-Migration und -Betrieb
Um das volle Potenzial der Cloud Technologie zu heben
sind Veränderungen in der ganzen IT-Organisation erforderlich
Cross-funktionale Cloud
Training und Upskilling
Center of Competence
Neue Mechanismen Frühzeitiges,
der Kostensteuerung organisatorisches,
Change Management
Erfolgsfaktoren
Cloud Transition
Management Support, Schlanke und
Commitment und Konsequenz automatisierte Prozesse
124. Mögliches Projektvorgehen
Klare Fragestellungen sind die Grundlage eines ergebnisorientierten
Projektvorgehens
Abgeleitete Fragestellungen für das Projekt „Cloud-Zielbild und -Vorgehen“
Welche IT-Cluster der Bank sind für eine potenzielle Cloud-Migration sinnvollerweise
Aufgabenstellung aus abzugrenzen/zu schneiden?
BMC Projekterfahrung:
Welche (z.B. Geschäfts-)Anforderungen und Zielkriterien (Kosten, Geschwindigkeit,
▪ Welche IT-Cluster …
Qualität, techn. Zukunftsfähigkeit, Risiko) bestehen für eine Cloud-Migration?
▪ sollten warum (Nutzen)…
▪ wie und wann… Welche konkreten Dienstleistungs-/Bereitstellungsmodelle bieten sich als „Cloud-
Landeplattformen“ für die IT-Cluster an?
▪ auf welche Cloud-
Dienstleistungs-/
Bereitstellungsmodelle? Warum (Nutzen) sollten welche IT-Cluster auf welche Cloud-Dienstleistungs-/
▪ Welche Risiken bestehen Bereitstellungsmodelle migrieren? Wann/in welcher Reihenfolge?
dabei….,
▪ wie können diese Risiken Welche Risiken bestehen? Welche Risiken können mitigiert werden, welche Risiken
reduziert/mitigiert werden… müssen akzeptiert werden?
▪ … und welche müssten vom
VS akzeptiert werden?
Welche internen Voraussetzungen müssen für eine Cloud-Migration vorhanden sein?
134. Mögliches Projektvorgehen
Ein typisches Vorgehensmodell geht in drei Schritten vor
Vorgehen für Aufgabenblock I:
Ia Ausgangslage und II III Empfehlung Zielbild und
Bewertungsdurchführung
Grundlagen Vorgehensmodell
5.1
1 Ausgangslage und Ziele Fachbereich IT Zielbild (für alle Cluster)
2 Trends Technologie und Markt 5.2 Erfolgsfaktoren
4.4
Bewertung Cloud-Eignung der
3 Erarbeitung Methodik 5.3 Grobes Vorgehensmodell
Cluster
Ib Erarbeitung IV Voraussetzungen und
Bewertungsartefakte weiteres Vorgehen
4.5 Gesamthafte Kosten-, Nutzen-
4.1 Anwendungs- u. Infrastrukturcluster u. Risikobewertung 5.4 Interne Voraussetzungen
4.2 Bewertungskriterien u. Anforderungen 5.5 Risikomitigation/-akzeptanz
4.3 Definition u. Einwertung Cloud- 5.6 Implikationen Rolle IT
Lösungsmodelle
6 Weiteres Vorgehen
„Storylining“, Change Management und Stakeholder Management
14BMC Strategy Consultants: Kontakt
Deutschland: Schwesterfirma in Österreich:
BMC Strategy Consultants GmbH BMC Professionals GmbH
Taunus Turm, Taunustor 1 Tuerkenschanzplatz 7/4
DE-60310 Frankfurt am Main AT-1180 Wien
+ 49 69 50 50 60 4-586 + 43 6604 968608
Roland.Bubik@bmc-strategy.com Thomas.Pasche@bmc-strategy.com Roland.Kropf@bmc-professionals.com
+49 170 554 1013 +49 175 290 5018
15Sie können auch lesen
