my next computer is the cloud

Transkript

1 my next computer is the cloud Wertschöpfung op0mieren. Unternehmenswert steigern. Wie Unternehmen die Industrialisierung der ICT nutzen können, ohne die Kontrolle zu verlieren. Adrian Turtschi, armasuisse Science&Technology Mar0n GLENFIS AG ISACA After Hours Seminar, 26. November

2 Inhalt 1. CC Sourcing Strategien: Vielfalt und Instabilität 2. Hohe Erwartungen und resistente Vorbehalte 3. Spielraum und Bewertung von Handlungsop0onen 4. CC Adop0on: Anleitung zum Scheitern 5. Erfolgsfaktoren: Governance, Risk, Compliance (GRC) Service Management (SM) 2

3 I own it. My next Computer is the Cloud. Hauptfragen Ist Informa0k auch ein mit quan0ta0ven Wertbeitrag? ( oder nur eine Kostenposi/on) Was zeichnet (CC) aus? Welche Effekte lassen sich durch den Einsatz von (CC) erzielen? Welche Vorbehalte und welche Risikoexposi0on bestehen? Welche Anbieter und Produkte exis0eren heute? Wie gehe ich vor, wenn ich auf Cloud Compu0ng umstellen will? 3

4 4

5 5

6 Spielen mit dem Vulkan CC Sourcing Strategien: Vielfalt und Instabilität Fehlende durchgängige Normen und Standards Ausgrenzende Ecosysteme Fragmen0erte Märkte laufende Konsolidierung im Gang Misstrauen gegenüber Technologie- und Dienstleistungsunter- nehmen bezüglich der Einhaltung der Sicherheits- und Complianceanforderungen Unübersichtliche Vielfalt von Lösungen Individualität bei Servicekatalogen und Servicelevels Intransparenter risikobereinigter Wertbeitrag der IKT Ambi0onsgrad, fehlende Voraussetzungen, Zielabweichung und Umsetzungsfehler è führen häufig zu Rückschlägen und EnIäuschungen. Das muss nicht sein. 6

7 Applica0on Stack Cloud OS Choices Ecosysteme Amazon Eucalyptus RAX Citrix OpenStack WMWare SFDC Heroku Microsoft Azure 7

8 Non- Developer PaaS Developer PaaS Cura/ve Stack Ecosysteme

9 Migrationstreiber KostenredukKon Weniger gebundenes Kapital, geringere Fixkosten (Personal, Wartung/Unterhalt), Umgang mit dynamischen Lastprofilen à U/lity Compu/ng (Pay per use), Managed Opera/ons Agilitätsgewinn Kürzere Produkt- und Prozessentwicklungszeiten à Time to market Reduk0on der Remanenzeffekte zentralisierter IKT Kultur à Empowerment of End- Users (Föderalisierung der IKT Ressour- cen), Agile Development, neue IKT Rollenkonzepte Geräte-, orts- und zeitunabhängige Informa0onen 4) Skalierbarkeit Gewinn von Kapazität, Performance und Redundanz 9

10 SysOps. DevOps. NoOps. IKT Effek0vität durch neue Rollenkonzepte NoOps means developers can code and let a service deploy, manage and scale their code without a specific infrastructure project. 4) DevOps is an emerging set of principles, methods and prac0ces for communica0on, collabora0on and integra0on between sogware deve- lopment and IT Opera0ons. 4) PaaS for PHP developers: AppFog Extending the scope of Cloud Foundry 10

11 Hohe Erwartungen - Konzepte Instant- provisioning: (de- provisioning) via Kundenportal Pay per use: Leistungstransparenz, Kosten vorhersehbar, variabel. Self- healing: Fehlererkennung, Neustart und Rebalancierung von Lasten ohne oder mit kleinen Unterbrüchen SLA- Driven: Einhaltung der Leistung gemäss vereinbartem Lastprofil unabhängig der Veränderung der Kontextvariablen. Scalable: Automa0sche Alloka0on von Resourcen ohne «Turboloch». MulK- Tenancy: Resource- Sharing bei strikter Isolierung der Daten (Mandantenfähigkeit) durch Virtualisierung. 11

12 Hohe Erwartungen - Konzepte Virtualized: Abstrak0on von den unterliegenden Architektur- ebenen, Konzentra0on auf virtuelle Dienste, welche erforderlich sind := Übergangsfreie (Netz/RZ) SM Tools z.b. durch SDN- Ansätze (soqware- defined networking, OpenFlow) Live MigraKon: Automa0sche, Script- basierte Verteilung der Anwendungen auf der gesamten virtualisierten Infrastruktur (Resilience, SLA Management, Produk/on/Vorproduk/on/Test/ Schulung) 12

13 Resistente Vorbehalte 13

14 Bekannte Risiken 14

15 Spielraum für Handlungsoptionen Domäne: Posi0onierung: Finanzanwendung Ziel Status On Premise Private Cloud Managed Private Cloud Hosted Private Cloud Shared Cloud Services Public Cloud Services Quan0ta0ver Wertbeitrag (NPV, IRR) Qualita0ver Zusatznutzen Risikobilanz R

16 R RisikoexposiKon Verschiebungen zu erwarten. + RedukKon zu erwarten + Time to Market + Ubiquitous + Resource Management + IT OperaKons + Business Cont. Verlagerung (neutral) - Erhöhung zu erwarten (Steuerungsbedarf) Economic Goals - Loss CompeKKve Advantage - Lock- in - Project Risk InformaKon Security CompuKng Performance - Cloud Reliability - Compliance 6) ISACA [2008] The Risk IT Framework, 16

17 Bewertung von Handlungsoptionen Beitrag Finanzanwendung zum Ziel Unternehmensziel Lernen'und' Weiterentwicklung 2016 Finanziell 17'Kultur'in'Bezug'auf'ProduktY'und Geschäftsinnovationen 16'Kompetente'und'motivierte'Mitarbeiter 15'Compliance'mit'internen'Richtlinien 1'Wert'für'die'Anspruchsgruppe'aus Unternehmensinvestitionen 'Portfolio'wettbewerbsfähiger'Produkte und'services 3'Gemanagtes'Unternehmensrisiko (Sicherung'der'Betriebsmittel) 4'Einhaltung'externer'Gesetze'und Bestimmungen'(Compliance) 14'Betriebliche'und'personelle Produktivität 1 0 5'Fianzielle'Transparenz 13'Programme'für'gemanagte Geschäftsänderungen 6'Kundenorientierte'Servicekultur Intern 12'Optimierung'der Geschäftsprozesskosten 11'Optimierung'der'Funktionalität'von Geschäftsprozessen 10'Optimierung'der Servicebereitstellungskosten 7'Kontinuität'und'Verfügbarkeit'von Services 8'Agile'Reaktionen'auf'sich'wandelndes Geschäftsumfeld 9'Informierte,'strategische Entscheidungsfindung Kunde

18 Stay On Premise Move to Shared Cloud Services Lernen und Weiterentwicklung 15 Compliance mit internen Richtlinien 17 Kultur in Bezug auf Produkt- und Geschäftsinnovationen 16 Kompetente und motivierte Mitarbeiter On Premises 1 Wert für die Anspruchsgruppe aus Unternehmensinvestitionen Portfolio wettbewerbsfähiger Produkte und Services Finanziell 3 Gemanagtes Unternehmensrisiko (Sicherung der Betriebsmittel) 4 Einhaltung externer Gesetze und Bestimmungen (Compliance) Lernen und Weiterentwicklung 15 Compliance mit internen Richtlinien 17 Kultur in Bezug auf Produkt- und Geschäftsinnovationen 16 Kompetente und motivierte Mitarbeiter Shared Cloud Services 1 Wert für die Anspruchsgruppe aus Unternehmensinvestitionen Portfolio wettbewerbsfähiger Produkte und Services Finanziell 3 Gemanagtes Unternehmensrisiko (Sicherung der Betriebsmittel) 4 Einhaltung externer Gesetze und Bestimmungen (Compliance) 14 Betriebliche und personelle Produktivität 13 Programme für gemanagte Geschäftsänderungen Fianzielle Transparenz Ziel (0-5) Status (0-5) 6 Kundenorientierte Servicekultur 14 Betriebliche und personelle Produktivität 13 Programme für gemanagte Geschäftsänderungen Fianzielle Transparenz Ziel (0-5) Status (0-5) 6 Kundenorientierte Servicekultur 12 Optimierung der Geschäftsprozesskosten 7 Kontinuität und Verfügbarkeit von Services 12 Optimierung der Geschäftsprozesskosten 7 Kontinuität und Verfügbarkeit von Services Intern 11 Optimierung der Funktionalität von Geschäftsprozessen 10 Optimierung der Servicebereitstellungskosten 8 Agile Reaktionen auf sich wandelndes Geschäftsumfeld 9 Informierte, strategische Entscheidungsfindung Kunde Intern 11 Optimierung der Funktionalität von Geschäftsprozessen 10 Optimierung der Servicebereitstellungskosten 8 Agile Reaktionen auf sich wandelndes Geschäftsumfeld 9 Informierte, strategische Entscheidungsfindung Kunde

19 CC Adoption 19

20 CC Adoption Anleitung zum Scheitern. [Checkliste] þ þ þ þ Es besteht kein Handlungsdruck und keine Einsicht für eine strategische Entwicklung in der IKT. Erwarteter wirtschaglicher Grenznutzen kleiner als Grenzrisiko. Die IKT Governance ist auf die Erbringung der eigenen IKT Leistungen ausgerichtet. IKT Vorhaben werden situa0v entschieden, eine längerfris0ge Entwicklungsplanung fehlt. Es fehlt eine Kosten- und Leistungstransparenz in der IKT. 20

21 CC Adoption Anleitung zum Scheitern. þ þ þ þ þ þ Mit der IKT Inves00ons- /Kostenplanung werden gegen Ende des Geschägsjahrs die Performance- und CashFlow- Ziele bedient (Instrumentalisierung) Die Anwendungslandschag besteht aus stark gekoppelten und mit den Geschägsprozessen verflochtenen Einheit. Die Informa0k wurde um die Leistungsfähigkeit der Netzwerke herum gebaut. Die IKT muss gewährleisten, dass gewisse Informa0onen vor dem Zugang staatlicher Interessen geschützt werden. Mit PaaS beginnen Mit CC kann man auf teure eigene IKT Mitarbeitende verzich- ten und fehlende IKT Kompetenz subs0tuieren 21

22 Corporate ICT: BYOx und ein Diestleistungsvertrag? Erfolgsfaktor Governance, Risk & Compliance (GRC) 22

23 Prozesse: Schwerpunktverlagerung im CC Umfeld 23

24 Prozesse für die Governance der Unternehmens- IT: Maturität steigern Evaluieren, Vorgeben und Überwachen EDM01 Sicherstellen der Einrichtung und Pflege des Governance- Rahmenwerks EDM02 Sicherstellen der Lieferung von Wertbeiträgen EDM03 Sicherstellen der Risiko- Optimierung EDM04 Sicherstellen der Ressourcenoptimierung EDM05 Sicherstellen der Transparenz gegenüber Anspruchsgruppen Anpassen, Planen und Organisieren APO01 Managen des IT- Management- Rahmenwerks APO08 Managen von Beziehungen APO02 Managen der Strategie APO09 Managen von Servicevereinbarungen APO03 Managen der Unternehmensarchitektur APO10 Managen von Lieferanten APO04 Managen von Innovationen APO11 Managen der Qualität APO05 Managen des Portfolios APO12 Managen von Risiko APO06 Managen von Budget und Kosten APO13 Managen der Sicherheit APO07 Managen des Personals Überwachen, Evaluieren und Beurteilen MEA01 Überwachen, Evaluieren und Beurteilen von Leistung und Konformität Aufbauen, Beschaffen und Implementieren BAI01 Managen von Programmen und Projekten BAI02 Managen der Definition von Anforderungen BAI03 Managen von Lösungsidentifizierung und Lösungsbau BAI04 Managen von Verfügbarkeit und Kapazität BAI05 Managen der Ermöglichung organisatorischer Veränderungen BAI06 Managen von Änderungen BAI07 Managen der Abnahme und Überführung von Änderungen MEA02 Überwachen, Evaluieren und Beurteilen des internen Kontrollsystems BAI08 Managen von Wissen BAI09 Managen von Betriebsmitteln BAI10 Managen der Konfiguration Bereitstellen, Betreiben und Unterstützen DSS01 Managen des Betriebs DSS02 Managen von Service- Anfragen und Störungen DSS03 Managen von Problemen DSS04 Managen der Kontinuität DSS05 Managen von Sicherheitsservices DSS06 Managen von Geschäftsprozesskontrollen MEA03 Überwachen, Evaluieren und Beurteilen der Compliance mit externen Anforderungen Prozesse für das Management der Unternehmens-IT

25 Erfolgsfaktor Service Management «Wer sich nicht ändert, wird verändert». Mit neuen Trends werden keine Wunder vollbracht. Bestehende Probleme werden nicht verlagert und verstärkt (Kostendruck, Sicherheit, Mehr- wert der IT wird nicht erkannt) Nur ganzheitliche IT- Services sind die Basis für Wachstum und Erfolg. Ü Das IT- Management muss neu definiert und ausgerichtet werden. Glenfis AG Glenfis AG

26 Erfolgsfaktor ist Service Management Das Business will Leistung und Professionalität. Ü Sourcingstrategie und Cloud- Governance Ü Transforma0on IT into Business. Ü IT- Organisa0onen posi0onieren sich als Service Provider mit umfassenden Kompetenzen Glenfis AG Glenfis AG

27 Die Rolle der IT Organisation wird sich verändern, die Verantwortlichkeiten bleiben Wandlung vom Technologie- Experten zum Service- Experten. Wandlung vom Lieferanten zum Analysten, Berater, Enabler, Einkäufer. Weitere Spezialisierung Wandlung vom Line Manager zum Subjekt MaIer Experten. Tradi0oneller Fokus Generatio n Portfolio Demand Financial Catalogue SLM Capacity Availabilit y ITSCM Security Supplier Planning Change SACM Rel./Depl. Valid./Test Evaluatio n Knowledg e Event Request Incident Problem Access Strategy Design Transition Operation Continual Service Improvement Zuküngiger Fokus Glenfis AG Glenfis AG

28 Der CIO an der Schnittstelle zwischen Business und Technologie Der CIO der Zukung muss die ParKtur des Service Managements beherrschen. Küngig wird er aber nicht mehr die schnell eingreifende Feuerwehr bereitstellen, sondern er wird als Service Broker zwischen Business und Lieferanten die op0malen Service- Leistungen gewinnbringend aber auch Risiko und Ressourcen op0miert sicherstellen. Glenfis AG Glenfis AG

29 Das zuküngige IT Management ist insbesondere auf folgende Service Management Skills angewiesen: Sourcing Governance und Sourcing Strategie Compliance & Risks Business Rela0onship Management Supplier und Contract Management Service Level Management Service Monitoring bezüglich Service Qualität Glenfis AG Glenfis AG

30 ... gültiger, denn je. Adrian Turtschi leitet bei armasuisse Wissenschag+Technologie den Fachbereich Führungs- und Auulärungssysteme (C4I) und ist Mitglied der Geschägsleitung. Vorher er ein Beratungsmandat in den USA inne und bekleidete bei Swisscom vor der Übernahme der CIO Aufgabe (Swisscom Gruppe) verschiedene leitende Posi0onen in der Informa0k. Background: Exakte Wissenschagen, Päd. Psychologie, Informa0k- und Betriebswirtschag. Umfassende Weiterbildung auf den Gebieten der Kryptologie, Nachrichtentechnik sowie IKT Governance, Risk Management, and Compliance (GRC). Dozent für IT Management und zer0fizierter Auditor (CISA, CGEIT, CRISC). Mitglied der Expertenjury des Swiss Economic Forums (SEF) für den Schweizer Jungunternehmerpreis (SEA). Kontakt: 30

31 MarKn AndenmaIen Ist Gründer und Geschägsführer der Glenfis AG, einem führenden Service Management und Governance Beratungs- und Trainingshaus in der Schweiz. Vorher war er Verantwortlich für die Planung und den Betrieb aller dezentralen Infrastruktursysteme der Bank Julius Bär. Background: Wirtschagsinforma0ker und Betriebswirt. Weiterbildungen im Bereich Service Management und Governance: ITIL Master, CGEIT, CRISC und CISA. Seine Praxiserfahrungen hat er als Herausgeber und Autor in seinen Büchern "ISO 20000: Praxishandbuch für Servicemanagement und IT- Governance" sowie "IT Services steuern mit ITIL" beschrieben." Kontakt: 31