Cloud Governance in deutschen Unternehmen eine Standortbestimmung

Transkript

1 Cloud Governance in deutschen Unternehmen eine Standortbestimmung ISACA Fokus Event Meet & Explore IT Sicherheit & Cloud Aleksei Resetko, CISA, CISSP PricewaterhouseCoopers AG WPG 2015 ISACA Germany Chapter e.v. 1

2 Cloud Governance in Deutschland Eine Standortbestimmung Inhalte der Studie Bedeutung von Cloud Computing für Unternehmen Nutzung von Cloud Computing in Unternehmen Haltung der Fachabteilungen gegenüber Cloud Computing Beurteilung der Güte von Cloud Angeboten Herausforderungen für die Steuerung der IT 2015 ISACA Germany Chapter e.v. 2

3 Herausgeber ISACA ist der bedeutendste Verband von IT Revisoren, IT Sicherheitsmanagern und IT Governance Beauftragten In Deutschland ca Mitglieder Weltweit ca Mitglieder in über 180 Ländern PwC ist die führende Wirtschaftsprüfungs und Beratungsgesellschaft in Deutschland und Mitglied im internationalen Netzwerk Deutschlandweit rund 500 Partner und Mitarbeiter an 29 Standorten Rund Experten in 158 Ländern 2015 ISACA Germany Chapter e.v. 3

4 Befragte Experten Kompetenz & Erfahrung bei IT Governance Antworten von 306 Mitgliedern des ISACA Germany Chapters. Führungs und Fachkräfte aus den Bereichen Finanzen, Revision, Audit, IT und Risikomanagement. 39% 61% Deutscher Mittelstand als auch global agierende Konzerne. Angestellte Führungskräfte/ Entscheider in einem Unternehmen Externe Beratungs-, Begleit- oder Koordinierungsfunktion in einem oder mehreren Unternehmen 2015 ISACA Germany Chapter e.v. 4

5 Repräsentierte Unternehmen Unterschiedlichste Größen und Branchen Große Unternehmen mit mehr als Mitarbeiter und Umsätzen von über 1 Mrd. Euro sind relativ stark vertreten. Die Mehrheit der repräsentierten Unternehmen ist weltweit oder europaweit aktiv lediglich 27% sind ausschließlich in Deutschland tätig. Mitarbeiter weltweit Mitarbeiter in Deutschland 14% 31% 53% 20% 42% 37% < bis 4999 > 5000 keine Angabe Kleine Unternehmen werden eher durch Berater repräsentiert, große durch angestellte Führungs und Fachkräfte. Umsatz weltweit Umsatz in Deutschland 16% 10% 22% 16% 50% 36% 34% 26% < 500 Mio. 0,5-1 Mrd. > 1 Mrd. nicht anwendbar/k.a ISACA Germany Chapter e.v. 5

6 Nutzung von Cloud Computing Ca. 70% der Unternehmen nutzen Cloud Services größere intensiver als kleinere. Der Großteil der Nichtnutzer plant auch keinen Einsatz von Cloud Computing Mehr als die Hälfte der repräsentierten Unternehmen verfügen über eine definierte Cloud Strategie. Unternehmen der Branchen Technologie und Medien sowie Automotive verfolgen besonders häufig eine Cloud Strategie. Nichtnutzer 31% 69% Nutzer Cloud Computing ist in deutschen Unternehmen angekommen 2015 ISACA Germany Chapter e.v. 6

7 Befürworter von Cloud Computing und Skeptiker Eher Pro Zustimmung und Ablehnung liegen oft dicht beieinander Eher Contra Marketing/ Vertrieb 46% Datenschutz-Beauftragter 54% IT-Betrieb 42% IT-Sicherheit, Compliance 53% Geschäftsleitung 35% Risikomanagement 42% Produktions- und Fachbereiche 33% Interne Revision 38% 2015 ISACA Germany Chapter e.v. 7

8 Wichtige Erwartungen häufig genannt Kosteneinsparungen 67% keine hohen Vorabinvestitionen Bessere Time to Market Flexibilität und Skalierbarkeit Pay-per-Use-Prinzip Verbesserte Verfügbarkeit 57% 56% 55% 54% 49% Unternehmen erwarten vor allem Kostenvorteile, kürzere Time to Market und weltweite Verfügbarkeit 2015 ISACA Germany Chapter e.v. 8

9 Wichtige Erwartungen weniger häufig Unterstützung neuer & innovativer Geschäftsmodelle Unabhängigkeit von eigenen IT-Ressourcen 48% 48% Mehr Kostentransparenz 44% Professionalisierung der eigenen IT 38% Größere Benutzerfreundlichkeit Erhöhte Informationssicherheit 29% 23 % der Unternehmen erwarten Verbesserungen bei der Informationssicherheit 2015 ISACA Germany Chapter e.v. 9

10 Bedenken Wichtigster Ausschlussgrund sind Zweifel an der Informationssicherheit. Sicherheit nicht gewährleistet 84% Compliance-Verstöße 77% Keine Vorteile für das Unternehmen 54% Markt zu unübersichtlich 34% Zu hoher Integrationsaufwand 32% Noch keine Beschäftigung mit dem Thema 18% 2015 ISACA Germany Chapter e.v. 10

11 Wichtigste Kriterien für die Auswahl eines Cloud Services und Anbieters Daten- bzw. Informationssicherheit 91% Compliance-Anforderungen 89% Standort Datenspeicherung/verarbeitung 85% Image, Vertrauenswürdigkeit 78% Zertifizierungen durch Dritte 73% Datenschutz, Informationssicherheit und Compliance sind die wichtigsten Auswahlkriterien. Hinzu kommt der Standort der Server und der Rechtsrahmen ISACA Germany Chapter e.v. 11

12 Weniger wichtige Kriterien Möglichkeiten von eigenen Audits Skalierbarkeit der Lösung 72% 72% Firmensitz des Anbieters Flexible & verbrauchsgerechte Preismodelle Flexibilität in Verträgen, Exit-Möglichkeiten Finanzstärke des Anbieters 64% 61% 61% 58% Größe des Anbieters 50% Empfehlung durch Dritte, Erfahrungsberichte Bewertung durch Scoring-/Ratingfirmen 37% 42% Unternehmerische soziale Verantwortung 28% 2015 ISACA Germany Chapter e.v. 12

13 Relevante Standards und Zertifikate bei der Auswahl eines Cloud Anbieters ISO/IEC 2700x ITIL bzw. ISO/IEC COBIT Cloud Security Alliance (CSA) Payment Card Industry (PCI) Standard IAASB BITKOM-Leitfäden AICPA, SOC Reports Open Data Center Alliance (ODCA) andere Standards und Zertifikate weiß nicht, keine Angabe 8% 11% 9% 21% 31% 30% 27% 36% 47% 54% 82% Auch bei Cloud Computing setzen Unternehmen auf die ISO/IEC Reihe. Die Bedeutung Cloudspezifischer Richtlinien und Zertifikate nimmt zu ISACA Germany Chapter e.v. 13

14 Eingesetzte Steuerungsmodelle individuelle, nicht standardisierte Methode 21% ITIL/ISO und die ISO Reihe haben sich in Unternehmen durchgesetzt. ITIL, ISO ISO/IEC 2700x 66% 74% Die Erfahrungen mit den genutzen Steuerungsmodellen sind auch für Cloud Computing meist positiv.. Cobit CMMI andere standardisierte Methode 14% 18% 46% 2015 ISACA Germany Chapter e.v. 14

15 Funktioniert die Sicherheit in der Cloud? Funktioniert Cloud Sicherheit besser oder schlechter als on premise? Umsetzung von Verfügbarkeit 36% 33% 23% 8% Schutz gegen Angriffe von Außen 14% 32% 45% 9% Erkennung von Sicherheitsvorfällen 14% 32% 43% 11% Der Schutz vor Angriffen und das Erkennen von Vorfällen bleibt eine Herausforderung für Service Provider. besser gleich schlechter weiss nicht 2015 ISACA Germany Chapter e.v. 15

16 Erfahrungen mit Cloud Service Modellen Unternehmen bevorzugen SaaS. SaaS 66% 20% 7% 7% Software as a Service (SaaS) wird bevorzugt genutzt. Überwiegend positive Erfahrungen mit allen Serviceformen. Standardisierte und individuell konfigurierte Serviceverträge werden zu annähernd gleichen Teilen genutzt. Die meisten Erfahrungen haben die Befragten mit Private Clouds gemacht. Diese fallen vorwiegend positiv aus. IaaS PaaS BpaaS Consulting 53% 44% 19% 14% 41% Ja, bereits genutzt Nein 15% 22% 10% 20% 22% 14% 37% 30% 14% 27% 18% Ja, geplant keine Angabe 2015 ISACA Germany Chapter e.v. 16

17 Erfahrungen mit Cloud Deployment Modellen Private Cloud Modelle führen. Private Clouds 16% 71% 9% 1% 3% Überwiegend positive Erfahrungen mit Private Clouds. Public Clouds 6% 57% 29% 3% 5% Mit Public Clouds hat fast jeder dritte Teilnehmer negative Erfahrungen gemacht. Hybrid Clouds 6% 63% 26% 5% Community Clouds 6% 62% 23% 9% sehr positiv eher positiv eher negativ sehr negativ keine Angabe 2015 ISACA Germany Chapter e.v. 17

18 Herausforderungen bei Public Clouds Speicherung von Unternehmensdaten in einer Public Cloud: Generell nein 42% % 58 % Ja, wenn das Schlüsselmaterial unter eigener Kontrolle verbleibt (88%) der Server in Deutschland bzw. der EU steht (79%). die Compliance belegt ist (64%) 2015 ISACA Germany Chapter e.v. 18

19 Herausforderungen Die Befragten wünschen sich mehr Orientierung beim Risiko und Compliance Management sowie der Prüfbarkeit von Cloud Services und Cloud Anbietern. Prüfbarkeit von Cloud- Dienstleistungen Unterstützung bei der Umsetzung rechtlicher Vorgaben Management von Risiken bei der Einführung von Cloud- Diensten Standards und Leitfäden mit konkreten Empfehlungen für bestimmte 90% 77% 76% 67% Leitlinien für Entscheider 50% 2015 ISACA Germany Chapter e.v. 19

20 Prognosen Der Aufwand für nimmt zu bleibt gleich nimmt ab weiss nicht Sicherheitsmanagement 75% 20% 3% 2% Juristische Prüfungen 73% 20% 2% 5% Kontrollen & Auditierung 71% 20% 7% 2% Risikomanagement 70% 25% 2% 3% Kostenkontrolle 54% 29% 13% 4% Integration 42% 38% 16% 4% Planung/Evaluation 38% 44% 14% 4% 2015 ISACA Germany Chapter e.v. 20

21 Fazit Die Cloud ist in Deutschland angekommen Informationssicherheit & Compliance sind und bleiben Schlüsselthemen. Verschlüsselung, Compliance und Rechtssicherheit sind wichtige Enabler für den weiteren Ausbau. as a Service Lösungen müssen in vorhandene Steuerungsmodelle integrierbar sein Unternehmen erwarten vom Anbieter Sicherheits und Governance Ansätze, die zu denen im eigenen Unternehmen passen. ISO und ITIL/ISO sind die bevorzugten Steuerungsmodelle. IT Governance wird wichtiger und aufwändiger Sicherheits und Risikomanagement, juristische Prüfungen und Audits können nicht komplett an Cloud Anbieter ausgelagert werden. Unternehmen haben weiterhin Orientierungs und Beratungsbedarf Vor allem bzgl. Risiko und Compliance Management und der Prüfbarkeit von Cloud Services und Cloud Anbietern wird Unterstützung erwartet ISACA Germany Chapter e.v. 21

22 Fragen und Antworten Danke für Ihre Aufmerksamkeit! Dr. Karl Friedrich Thier T Systems International T: E: karl friedrich.thier@t systems.com Aleksei Resetko PricewaterhouseCoopers T: E: aleksei.resetko@de.pwc.com Die vollständige Studie ist über folgenden Webseiten erhältlich: ISACA Germany Chapter e.v. : start/cloud PricewaterhouseCoopers AG : ISACA Germany Chapter e.v. 22

23 Weitere ISACA Dokumente zum Thema Cloud Computing Security as a Service: Business Benefits with Security and Assurance Perspectives (Whitepaper,2013) Security Considerations for Cloud Computing (2012) IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud (2011) Download der Dokumente: Center/ 2015 ISACA Germany Chapter e.v. 23