Anforderungen 2014

Die Cloud-fähige IT-Organisation

Martin Kuppinger ist Gründer des unabhängigen Analystenunternehmen KuppingerCole und als Prinzipal Analyst verantwortlich für den Bereich KuppingerCole Research. In seiner 25 jährigen IT-Erfahrung hat er bereits mehr als 50 IT-Bücher geschrieben und ist ein etablierter Referent und Moderator bei Seminaren sowie Kongressen. Sein Interesse an Identity Management stammt aus den 80er Jahren, als er viel Erfahrung in der Entwicklung von Software-Architekturen sammeln konnte. Im Laufe der Jahre, kamen weitere Forschungsfelder wie Virtualisierung, Cloud Computing, allgemeine IT-Sicherheit u.v.m. hinzu. Durch sein Wirtschaftsstudium in Economics gelingt es ihm seine IT-Kenntnisse mit einer starken Business-Perspektive zu verbinden.
Heute muss sich die Unternehmens-IT immer stärker als Service-Dienstleister für das Business verstehen. Dieser Trend wird sich auch im neuen Jahr fortsetzen.

Die Anforderungen an die IT haben sich in den vergangenen Jahren massiv verändert. Die IT muss mehr denn je schnell auf sich ändernde Business-Anforderungen reagieren. Unternehmen müssen insgesamt agiler werden und sich öffnen. Eine engere Einbindung von Geschäftspartnern und Kunden, aber auch neue Dienste für das IoT ("Internet of Things") werden vom Business gefordert - und die IT muss liefern.

Bevor ein Unternehmen wirklich "auf der Wolke sitzt" sind sorgfältige Vorarbeiten nötig.
Bevor ein Unternehmen wirklich "auf der Wolke sitzt" sind sorgfältige Vorarbeiten nötig.
Foto: lassedesignen - Fotolia.com

Diese neue "ABC" für Unternehmen - "Agile Business: Connected" - ist aus IT-Sicht vor allem durch vier Veränderungen geprägt. Die ersten drei - sozusagen die "Computing Troika" - sind Cloud Computing, Mobile Computing und Social Computing. Immer mehr Dienste sollen und müssen, trotz aller Bedenken hinsichtlich der Informationssicherheit, aus der Cloud bezogen werden. Benutzer wollen mehr und unterschiedliche Endgeräte einsetzen. Mobile Computing und ByoD ("Bring your own Device") sind längst eine Realität. Umso mehr gilt das, wenn man mit Kunden und Geschäftspartnern zusammenarbeitet, die ohnehin ihre eigenen Geräte "mitbringen".

Social Computing steht für die wachsenden Anforderungen an eine enge Kollaboration mit Geschäftspartnern und Kunden. Die Unterstützung von "social logins" wie dem Facebook-Account für die Authentifizierung von Kunden ist eines der Symptome dieses Wandels. Dahinter steht aber vor allem auch die Notwendigkeit, die Identitäten und den Zugriff nicht mehr nur der überschaubaren Zahl von Mitarbeitern, sondern auch von all den Business-Partnern und ungezählten Kunden, Leads und Prospects zu beherrschen.

Offene Schnittstellen

Neben diesen Veränderungen rücken auch offene, einfach nutzbare Schnittstellen immer mehr ins Blickfeld. Was schon lange im Zusammenhang mit Web Services diskutiert wurde, hat dank auf dem REST-Standard basierender Schnittstellen nun wirklich Fahrt aufgenommen. Die Bereitstellung und Nutzung von Daten von Geschäftspartnern - aus sozialen Netzwerken, von öffentlichen Datenquellen und so weiter - und die Bereitstellung von Schnittstellen zu eigenen Diensten werden immer wichtiger.

So gibt es beispielsweise für den Mietwagendienst Car2Go solche Schnittstellen, mit denen Entwickler eigene Apps und Anwendungen realisieren können. Mit denen könnten beispielsweise nicht nur Mietwagen gebucht, sondern die ganze Buchung abhängig von den aktuellen Ankunftszeiten von Zügen gemacht werden. Voraussetzung ist, auch die Schnittstellen anderer Transportunternehmen zusätzlich zu nutzen.

Car2go bietet Entwickler-Interfaces, mit deren Hilfe die Anwendung beliebig erweitert werden kann.
Car2go bietet Entwickler-Interfaces, mit deren Hilfe die Anwendung beliebig erweitert werden kann.

Traditionelle, in Silos organisierte IT-Organisationen, tun sich mit diesen neuen Anforderungen, die durch eine starke Vernetzung vieler IT-Bereiche geprägt sind, schwer. Um eigene Dienste nach außen verfügbar zu machen, müssen die "Besitzer" von Business-Anwendungen wie beispielsweise die SAP, Anwendungsentwickler und Informationssicherheit eng zusammenarbeiten. Um einen sicheren Zugriff aller Nutzer von mobilen Endgeräten sowohl auf Cloud-Dienste als auch On-Premise-Anwendungen zu ermöglichen, müssen die IT-Infrastruktur, die Informationssicherheit und die Bereiche, die Cloud-Anwendungen bereits im Einsatz haben oder anfordern, eng zusammenarbeiten.

In der IT-Organisation der Zukunft müssen IT-Management, IT-Governance und diverse Service-Bereich perfekt ineinander greifen.
In der IT-Organisation der Zukunft müssen IT-Management, IT-Governance und diverse Service-Bereich perfekt ineinander greifen.
Foto: KuppingerCole

Der 6-Punkte-Plan für 2014

Hinzu kommt die Forderung nach Agilität, das heißt einer höheren Flexibilität der IT. Die Kunden der IT, also die Business-Bereiche, sind es von Cloud-Diensten gewohnt, sehr schnell neue Funktionen anfordern zu können. Auch hier muss sich die interne IT verändern. IT-Organisationen müssen sich an die neuen Herausforderungen anpassen.

Ein Sechs-Punkte-Plan für die Veränderung der IT-Organisation in 2014 könnte so aussehen:

  1. Trennung von IT-Management (Verwaltung) und IT-Betrieb (Produktion): Viele IT-Organisationen tun sich schwer im Umgang mit Cloud-Diensten. Diese werden vielfach an der IT vorbei bestellt, so dass die IT viel zu spät reagieren kann. Das liegt auch daran, dass die IT-Organisationen primär als Erbringer eigener IT-Dienstleistungen aufgestellt sind. Tatsächlich ist die eigene IT-Leistungserbringung heute aber nur noch ein Ansatz, während Dienste eben auch aus der Cloud kommen können. Die Trennung der IT-Organisation in den Betrieb, der dann neben der Cloud (im weitesten Sinne) ein Lieferant ist, und die Verwaltung, die Dienste bezieht, orchestriert, verwaltet und für das Business bereitstellt, ist die Basis für erfolgreiche IT-Organisationen. Das betrifft sowohl Cloud- als auch On-Premise-Umgebungen. Die Trennung ist die Basis für ein einheitliches, durchgängiges und starkes IT-Management und gibt auch der IT-Produktion die Chance, sich durch eine fokussierte Leistungserbringung von definierten Diensten zu optimieren.

  2. Definition und Durchsetzung von "Gates" für Einkauf und Entwicklung von Software und Cloud-Dienste: Um die Beschaffung von Cloud-Diensten an der IT vorbei zu meistern, braucht es klare Gates im Beschaffungs- und Entwicklungsprozess. So lässt es sich auch vermeiden, dass Software eingekauft wird, die nicht mit den gestiegenen Security-Anforderungen kompatibel ist. Die IT muss hier mit den Einkaufsabteilungen kooperieren. Nur dann lassen sich strukturierte Prozesse für die Auswahl von CSPs (Cloud Service Providern) umsetzen. Hier werden schon früh mögliche Risiken, Restriktionen und mögliche kompensatorische Steuerungsfunktionen geprüft und definiert, um die Business-Anforderungen und die Anforderungen insbesondere der Informationssicherheit in Einklang zu bringen.

  3. Informationssicherheitsorganisation stärken: Informationssicherheit hat sich, gerade in der aktuellen "Post-Snowden"-Ära, zu einem Thema entwickelt, das von der IT-Ebene bis hin in die Unternehmensführung als wichtiges und kritisches Thema wahrgenommen wird. Um Investitionen in Punktlösungen zu vermeiden, die häufig im "Panik-Modus" getätigt werden, und stattdessen hin zu strukturierten Gesamtansätzen mit einem Verständnis der adressierten und verbleibenden Risiken zu kommen, braucht es eine starke, zentrale Informationssicherheitsorganisation für das Risiko- und Vorgabenmanagement. Nur so lassen sich beispielsweise Punktlösungen für die mobile Sicherheit vermeiden, die man besser im Kontext von umfassenden Lösungen für das Identitäts- und Zugriffsmanagement adressieren würde. Eine solche Organisation trennt ebenfalls die steuernde und verwaltende Ebene (Informationssicherheit) vom "Betrieb", also der IT-Sicherheit.

  4. Zentralisiertes IT Service Management als Kernfunktion: Eine Konsequenz einer klaren Trennung von IT-Management und IT-Betrieb ist, dass auf der zentralen Ebene des IT-Managements ein umfassendes IT Service Management umgesetzt werden muss. Dieses muss die Services - gleich ob aus der Cloud oder innerhalb der eigenen IT erstellt - verwalten und in die vom Business geforderten Services umsetzen. Eine solche zentrale Schicht eröffnet der IT-Organisation völlig neue Möglichkeiten - auch für das Kostenmanagement und die Kostenverrechnung, weil alle Services zentral und einheitlich verwaltet werden.

  5. IT Governance und Enterprise Governance integrieren: In den meisten Unternehmen ist die IT-Governance heute - wenn überhaupt sauber definiert - eine von der Enterprise Governance weitgehende isolierte organisatorische Funktion. In Anbetracht der Vielzahl von Compliance-Regelungen gerade im Bereich der Informationssicherheit und den offensichtlichen strategischen, operationalen und reputationalen Risiken für Unternehmen, die in diesem Bereich entstehen können, braucht es aber ein viel engeres Zusammenspiel zwischen diesen Bereichen. Risiken, die innerhalb der IT-GRC-Funktion (Governance, Risk Management, Compliance) erkannt werden, müssen auch auf der Ebene der Enterprise Governance sichtbar sein. Dazu müssen beispielsweise geeignete gemeinsame Risikomodelle entwickelt werden.

  6. IT-Marketing als eigenständige Funktion: Der einzige Grund, aus dem Unternehmen IT zu betreiben, ist, das Business optimal zu unterstützen. Dazu muss man aber auch verstehen, was das Business möchte. Andererseits ist es oft so, dass die IT Dienste bereitstellen könnte, von denen das Business nichts weiß. IT-Organisationen brauchen daher ein Marketing - sowohl "inbound", um den Bedarf des Business zu erkennen - als auch "outbound". Eine solche Funktion lässt sich bei einer klaren Trennung von Verwaltung und Produktion auch viel sinnvoller umsetzen als in traditionellen Silo-Strukturen.

Die eingangs genannten Herausforderungen sind nicht neu. Sie werden die Unternehmen und ihre IT auch zukünftig prägen. Deshalb muss sich die IT-Organisation dem nun anpassen. Agile, vernetzte Unternehmen benötigen eine neue IT-Organisation, die dem Business genau die Dienste liefert, die das Business braucht - egal von welchem "Produzenten" die Dienste kommen. Das alles muss aber so geschehen, dass die Informationssicherheitsrisiken beherrschbar bleiben (oder überhaupt erst werden). (sh)

»