"Von Cloud-Mythen zur Cloud-Strategie" Der Weg zum Risiko-adäquaten Cloud-Zielbild in Banken - Diskussionspapier - BMC Strategy Consultants
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
„Von Cloud-Mythen zur Cloud-Strategie“ − Der Weg zum Risiko-adäquaten Cloud-Zielbild in Banken Diskussionspapier Frankfurt, im November 2020 © 2020 BMC Strategy Consultants
Inhalt 1. Cloud-Mythen und ihre Folgen 2. Grundlagen für eine Cloud-Strategie 3. Grundlagen für Cloud-Migration und -Betrieb 4. Mögliches Projektvorgehen 2
1. Cloud-Mythen und ihre Folgen Die Banken IT adaptiert immer schneller Cloud-Dienstleistungen – klare, faktenbasierte Cloud-Strategien liegen aber nicht immer vor ▪ „Attraktiver Kostenvorteil“ ▪ „Skalierte Zukunftstechnologie“ ▪ „Mehr Agilität und Geschwindigkeit“ ▪ „Risiken und Regulatorik im Griff“ ▪ „Stabil und Sicher“ Pull-Effekt: Hyperscaler dringen in den Markt mit attraktiven Leistungsperspektiven Häufig keine klare Antwort zur strategischen Fragestellung: „Warum mit welchem System bei welchem Risiko in die Cloud bzw. warum nicht?“ Umgang mit Cloud? Push-Effekt: On-Premise Enterprise-IT „schrumpft“ auch in Banken ▪ Starke Zunahme SaaS-Inseln und BMAs ▪ Cloud-Projekte von „Pflicht“ (MS Office 365) bis „Kür“ (Data Analytics) laufen ▪ Perspektivisch (“dramatische“) Reduktion Enterprise IT – bis zum „Ende des Rechenzentrums“? 3
1. Cloud-Mythen und ihre Folgen Cloud-Technologie ist dabei eine zentrale Voraussetzung zur Sicherstellung der langfristigen Wettbewerbsfähigkeit auch in Banken Potenzielle Nutzenvorteile der Cloud-Technologie Qualitätssteigerung durch höhere Verfügbarkeit, geringere Fehlerquote in der Entwicklung und erhöhte Testqualität Qualität Reduktion von Cyber Risk und Bereitstellung redundanter Infrastrukturen; Gegenläufige Effekte durch politische Risiken Risiko Erzielung von nach-haltiger Effizienz-steigerung durch Reduzierung der Gesamtkosten/ Sach- und Personal-kosten möglich (Potenzial) TCO Steigerung der Geschäftsagilität durch höhere Innovationskraft, verbesserte Geschäfts- Time-to-Market und schnellere Skalierbarkeit agilität Sicherstellung der technologischen Zukunftsfähigkeit durch state-of-the-art Technologische Infrastruktur-Technologie und Ermöglichung einer modernen Micro-services Zukunftsfähigkeit Architektur 4
1. Cloud-Mythen und ihre Folgen Innerhalb der Banken führen „Cloud-Mythen“ mitunter zu gravierenden Fehleinschätzungen im Sinne einseitig positiver Bewertung oder …. Positive Cloud-Mythen … … BMC-Sicht und Praxisrealität ▪ Für „stabile, gleichmäßige“ Nutzungsformen führt Cloud „Cloud spart uns in Run und Change oft zur IT-Kostenerhöhung („Taxi vs. eigener PKW“) > 30% der IT-Kosten“ ▪ Interne Transformationsaufwände werden unterschätzt ▪ Agilisierungsvorteile primär durch PaaS; dagegen haben „Unsere Business-Lines brauchen IaaS und SaaS andere Zielsetzungen die Cloud zur Digitalisierung“ ▪ Interne Demand-Governance für Agilisierung wichtiger ▪ Aus technologischen (z.B. Mainframe) und Risiko- „Enterprise IT stirbt aus; wir machen Gründen (Daten) wird ein Kernbestand der „On-premise“ nur noch virtuelle Microservices“ IT bleiben ▪ Das Risikoprofil ist bei umfassendem Cloud-Outsourcing „Die Hyperscaler machen uns erfordert „Risk Acceptances“ durch Vorstand compliant und sicher“ ▪ Tail-Risks (Politik, Datenschutz) sind dabei relevant Ergebnis: oft einseitig positive Wahrnehmungen bei signifikanten Kosten- und Leistungsrisiken 5
1. Cloud-Mythen und ihre Folgen … einseitig negativer Bewertung Negative Cloud-Mythen … … BMC-Sicht und Praxisrealität De facto keine Show-Stopper, nur ggf. „enge“ „Es gibt regulatorische Show- Anforderungen an Auslagerung, Exit-Strategie, Stopper für die Cloud Datenschutz etc. (EBA-AL Richtlinie, DSGVO, …) Cloud bzw. Virtualisierung und Container-Ansatz ist das „Cloud ist eine technologische nächste universale IT-Paradigma – vergleichbar mit dem Modeerscheinung – wie z.B. SOA“ Schritt „Mainframe-Cobol“ auf Client-Server/Java Die meisten Datenrisiken lassen sich durch tech- „Gerade das Datenrisiko ist so hoch, nische und rechtliche Vorkehrungen mitigieren dass Cloud ausscheidet“ Rechtlich ist die Cloud-Auslagerung eine Unterform des „Risiken der Cloud sind vielfach normalen Outsourcings; es bestehen besondere, aber höher als im normalen Outsourcing“ nicht strukturell andere Risiken und reg. Anforderungen Ergebnis: Oft einseitige Cloud-Verweigerung bei de-facto ungesteuerter Cloud-Migration wo unvermeidbar (SaaS-Inseln, MS Office 365) 6
1. Cloud-Mythen und ihre Folgen Regulatorische Vorgaben stellen hohe Ansprüche an eine risikoadjustierte Gestaltung des Cloud-Outsourcing-Verhältnisses sowie Datenschutz Regulatorische Anforderungen BaFin: MaRisk, EBA Auslagerungs- Weitere, kritische DSGVO MaComp & BAIT1) richtlinie Themen ▪ MaRisk: Anforderungen an ▪ Die Richtlinien gehen über die ▪ Einrichtung von tech- ▪ BSI Kriterienkatalog mit die Umsetzung von IT- Regelungen der MaRisk und nischen und organisato- Mindestanforderungen an Sicherheit BAIT hinaus, darunter z.B.: rischen Maßnahmen, z.B.: sicheres Cloud Computing, – Definition von kritischen und Mandantentrennung, 17 Bereiche, Orientierung Hohe regulatorische ▪ MaComp: Umsetzung von wesentlichen Funktionen Löschkonzepte, Ort der an ISO 27001, z.B. Verhaltens-, Organisations- Anforderungen, Datenspeicherung, – Organisation Informa- und Transparenzpflichten – Ganzheitliches Governance- Rahmenwerk Verschlüsselung tionssicherheit (OIS) risikoadjustierte ▪ BAIT: Gibt einen Rahmen – Anforderungen an notwen- ▪ Berücksichtigung von – Sicherheitsrichtlinien und Ansätze des für die technisch-organisa- dige Abklärungen und Unterauftragsverhält- Arbeitsanweisungen torische Ausstattung der Analysen im Rahmen des nissen, Festlegung von (SP), auslagernden Institute, insbesondere für Auslagerungen und das IT- Auslagerungsprozesses Kontrollrechten des Cloud- – Identitäts- und Instituts gefordert Nutzers und entsprechende Berechtigungsmgt. (IDM) Risikomanagement – Zudem werden Duldungs- und Anforderungen an u.a. – Kryptographie und Mitwirkungspflichten des Sicherheit von Daten und Schlüsselmgmt. (CRY) Cloud-Anbieters Systemen, Beaufsichtigung – Kommunikationssicher- der aus-gelagerten heit (COS) Funktionen und Ausstiegsstrategien ▪ … festgehalten 1 Mindestanforderungen an das Risiko-Management; Mindestanforderungen an die Compliance-Funktion; Bankaufsichtliche Anforderungen an die IT 7
2. Grundlagen für eine Cloud-Strategie Verschiedene Ansätze zur Entwicklung einer Cloud Strategie „Summe der „Agil – „Infrastruktur- „Rollierend- Einzelprojekte“ variabel“ orientiert“ anwendungs- getrieben“ ▪ Einzelne Cloud- ▪ Stark durch ▪ Perspektive ist ▪ Perspektive sind Projekte werden Piloten/POCs „Rechenzentrum“ fachlich-technische durchgeführt getrieben und Plattformen Anwendungscluster ▪ Cloud-Strategie ▪ Laufende (z.B. SAP HANA) entspricht der Fortschreibung der Summe der Einzel- Cloud-Strategie Zielbilder Heraus- ▪ Stimmigkeit ▪ Stimmigkeit ▪ Nachvollziehbarkeit und ▪ Einbindung VS und forderung ▪ Konsistent ▪ Konsistent Nutzen Fachbereich ▪ Nachvollziehbarkeit ▪ Nachvollziehbarkeit ▪ Buy-in Fachbereich und ▪ Stimmigkeit aus ▪ Leitungsfunktion ▪ Leitungsfunktion Vorstand technischer Sicht ▪ Regulatorisches Risiko ▪ Regulatorisches Risiko 8
2. Grundlagen für eine Cloud-Strategie BMC empfiehlt ein hypothesengesteuertes Anwendungscluster-orientiertes Vorgehen zur schnellen und pragmatischen Entwicklung einer Cloud-Roadmap In vier Schritten zur Cloud-Strategie 1 2 3 4 Heutige Systemwelt Welches Ist die Cloud In welchen Welche Systeme Cloud- vorteilhaft? Schritten in in die Cloud? Zielmodell? Risiken? die Cloud? Ergebnis- Definition der Zuordnung Anwen- ▪ Cluster-individuelle ▪ Cloud-Voraus- typ: Anwendungscluster dungscluster zu Bestimmung und setzungen mit homogenen einem Cloud Ziel- Bewertung der ▪ Cloud-Investitions- Eigenschaften und Service-/ Betriebs- −qualitativen u. programm Anforderungen modell IaaS, PaaS, quantitativen ▪ Cloud-Roadmap SaaS („Vorselektion“) Vorteile (Business aufgrund Schutz- Case) klasse, Standard-SW −Risiken und SW Cloud- ▪ Cloud-Empfehlung Verfügbarkeit je Cluster Vorbereitende Arbeitshypothesen Einzelbewertung Cloud-Strategie Iterationen bzgl. einzelner Anwendungen möglich 9
2. Grundlagen für eine Cloud-Strategie 1 Welche Systeme in die Cloud? Definition von Anwendungsclustern Ableitung potenziell Cloud-geeigneter Anwendungscluster in fünf Stufen BMC-Erfahrungswerte: Initialclusterung nach Zentrale fachliche Aspekte der Anwendungen a 1) Geschäftsfeldern und werden im ersten Schritt berücksichtigt ▪ Bei Auswahl Cloud-geeigneter 2) Hauptgeschäftsprozessen Systeme immer von Anwendungssystemen z.B. Anwendungen auf Basis singulärer Technologie ausgehen – auch wenn es „nur“ b oder für spezielle Kunden werden separiert → keine Falls vorhanden: Sonder- weitere Betrachtung im Strategieprozess um Verlagerung der Infra-struktur cluster herauslösen geht Kriterien: Datenschutz, Schutzbedarf, Entwick- ▪ Keine Einzelanwendungen be- c lungsmodell, Schnittstellenmenge, Volumen trachten, sondern immer Cluster Unterteilung in technisch- Datenaustausch, Batch-Jobs von fachlich, technisch und operative Teilcluster operativ ähnlichen (homogenen) Separieren latenzkritischer Anwendungen Anwendungen d Optional: Bildung latenz- (→ aus BMC-Sicht in 3 - 5 Jahren nicht mehr ▪ Fachbereiche in abschließende kritischer Teilcluster erforderlich) Festlegung der Cluster einbeziehen – andernfalls Gefahr e Notwendig zur Qualitätssicherung und fehlender Akzeptanz Validierung durch Akzeptanzerhöhung Fachbereiche 10
3. Grundlagen für Cloud-Migration und -Betrieb Herausforderungen für die Finanzbranche - Die Rolle der IT kann sich in Richtung „Cloud Broker“ für Public Cloud verändern Rollenwandel IT bei Hybrid Nutzende Banken Cloud Strategie Architektur Verträge und Produkte und Vertrag & Compliance Vertragsverhandlung/-pflege, und Technik Regulatorik Prozesse Preismanagement, Risiko-einwertung, EZB/BaFin/EBA vs. Hyperscaler Datenschutz, ISM, Security etc. „Broker“ „Broker“ Verträge Erheblicher, kontinuierlicher Aufwand Beratung bei Vertrags- & Provider-Mgt. 25 - 35 % neue oder geänderte Cloud Design und Engineering, Com- Produkte pro Jahr pliance und Sicherheits-Consulting Über 40 Verträge in unterschied- lichsten Versionen (Bsp. Google) Vertragsverhandlung mit mehreren Migrations-Projektsupport Arbeitsgruppen pro Hyperscaler Intransparenz des Hyperscalers Optimize, Legacy, Transformation, Vendor Lock-In vs. Compliance Service Design Kontinuierliche Aufrechterhaltung der Produktcompliance Betrieb Zero-Trust BYOK/BYOE* Service Level, Verfügbarkeit, Intransparente Produktrisiken Automation, Cloudkompetenz DSGVO vs. Cloud-Act Operativer Support Pseudonymisierung/Tokenisierung Große Komplexität von Incident-, Problem- & Change- ca. 1.000 Produkten management, CMS, Security, Identity & Access Management 11
3. Grundlagen für Cloud-Migration und -Betrieb Um das volle Potenzial der Cloud Technologie zu heben sind Veränderungen in der ganzen IT-Organisation erforderlich Cross-funktionale Cloud Training und Upskilling Center of Competence Neue Mechanismen Frühzeitiges, der Kostensteuerung organisatorisches, Change Management Erfolgsfaktoren Cloud Transition Management Support, Schlanke und Commitment und Konsequenz automatisierte Prozesse 12
4. Mögliches Projektvorgehen Klare Fragestellungen sind die Grundlage eines ergebnisorientierten Projektvorgehens Abgeleitete Fragestellungen für das Projekt „Cloud-Zielbild und -Vorgehen“ Welche IT-Cluster der Bank sind für eine potenzielle Cloud-Migration sinnvollerweise Aufgabenstellung aus abzugrenzen/zu schneiden? BMC Projekterfahrung: Welche (z.B. Geschäfts-)Anforderungen und Zielkriterien (Kosten, Geschwindigkeit, ▪ Welche IT-Cluster … Qualität, techn. Zukunftsfähigkeit, Risiko) bestehen für eine Cloud-Migration? ▪ sollten warum (Nutzen)… ▪ wie und wann… Welche konkreten Dienstleistungs-/Bereitstellungsmodelle bieten sich als „Cloud- Landeplattformen“ für die IT-Cluster an? ▪ auf welche Cloud- Dienstleistungs-/ Bereitstellungsmodelle? Warum (Nutzen) sollten welche IT-Cluster auf welche Cloud-Dienstleistungs-/ ▪ Welche Risiken bestehen Bereitstellungsmodelle migrieren? Wann/in welcher Reihenfolge? dabei…., ▪ wie können diese Risiken Welche Risiken bestehen? Welche Risiken können mitigiert werden, welche Risiken reduziert/mitigiert werden… müssen akzeptiert werden? ▪ … und welche müssten vom VS akzeptiert werden? Welche internen Voraussetzungen müssen für eine Cloud-Migration vorhanden sein? 13
4. Mögliches Projektvorgehen Ein typisches Vorgehensmodell geht in drei Schritten vor Vorgehen für Aufgabenblock I: Ia Ausgangslage und II III Empfehlung Zielbild und Bewertungsdurchführung Grundlagen Vorgehensmodell 5.1 1 Ausgangslage und Ziele Fachbereich IT Zielbild (für alle Cluster) 2 Trends Technologie und Markt 5.2 Erfolgsfaktoren 4.4 Bewertung Cloud-Eignung der 3 Erarbeitung Methodik 5.3 Grobes Vorgehensmodell Cluster Ib Erarbeitung IV Voraussetzungen und Bewertungsartefakte weiteres Vorgehen 4.5 Gesamthafte Kosten-, Nutzen- 4.1 Anwendungs- u. Infrastrukturcluster u. Risikobewertung 5.4 Interne Voraussetzungen 4.2 Bewertungskriterien u. Anforderungen 5.5 Risikomitigation/-akzeptanz 4.3 Definition u. Einwertung Cloud- 5.6 Implikationen Rolle IT Lösungsmodelle 6 Weiteres Vorgehen „Storylining“, Change Management und Stakeholder Management 14
BMC Strategy Consultants: Kontakt Deutschland: Schwesterfirma in Österreich: BMC Strategy Consultants GmbH BMC Professionals GmbH Taunus Turm, Taunustor 1 Tuerkenschanzplatz 7/4 DE-60310 Frankfurt am Main AT-1180 Wien + 49 69 50 50 60 4-586 + 43 6604 968608 Roland.Bubik@bmc-strategy.com Thomas.Pasche@bmc-strategy.com Roland.Kropf@bmc-professionals.com +49 170 554 1013 +49 175 290 5018 15
Sie können auch lesen