Upload
buixuyen
View
214
Download
0
Embed Size (px)
Citation preview
© 2015 ISACA Germany Chapter e.V. 1
Cloud Governance in deutschen Unternehmen – eine StandortbestimmungISACA Fokus Event „Meet & Explore ‐ IT‐Sicherheit & Cloud“
Aleksei Resetko, CISA, CISSPPricewaterhouseCoopers AG WPG
© 2015 ISACA Germany Chapter e.V. 2
Inhalte der Studie
Cloud Governance in Deutschland Eine Standortbestimmung
• Bedeutung von Cloud Computing für Unternehmen
• Nutzung von Cloud Computing in Unternehmen
• Haltung der Fachabteilungen gegenüber Cloud Computing
• Beurteilung der Güte von Cloud‐Angeboten
• Herausforderungen für die Steuerung der IT
© 2015 ISACA Germany Chapter e.V. 3
Herausgeber
• ISACA ist der bedeutendste Verband von IT‐Revisoren, IT‐Sicherheits‐managern und IT‐Governance‐Beauftragten
• In Deutschland ca. 2.400 Mitglieder
• Weltweit ca. 115.000 Mitglieder in über 180 Ländern
• PwC ist die führende Wirtschaftsprüfungs‐ und Beratungsgesellschaft in Deutschland und Mitglied im internationalen Netzwerk
• Deutschlandweit rund 500 Partner und 9.400 Mitarbeiter an 29 Standorten
• Rund 195.000 Experten in 158 Ländern
© 2015 ISACA Germany Chapter e.V. 4
Befragte Experten Kompetenz & Erfahrung bei IT Governance
• Antworten von 306 Mitgliedern des ISACA Germany Chapters.
• Führungs‐ und Fachkräfte aus den Bereichen Finanzen, Revision, Audit, IT und Risikomanagement.
• Deutscher Mittelstand als auch global agierende Konzerne.
61%
39%
Angestellte Führungskräfte/Entscheider in einem Unternehmen
Externe Beratungs-, Begleit- oderKoordinierungsfunktion in einem odermehreren Unternehmen
© 2015 ISACA Germany Chapter e.V. 5
Repräsentierte UnternehmenUnterschiedlichste Größen und Branchen
• Große Unternehmen mit mehr als 5.000 Mitarbeiter und Umsätzen von über 1 Mrd. Euro sind relativ stark vertreten.
• Die Mehrheit der repräsentierten Unternehmen ist weltweit oder europaweit aktiv – lediglich 27% sind ausschließlich in Deutschland tätig.
• Kleine Unternehmen werden eher durch Berater repräsentiert, große durch angestellte Führungs‐ und Fachkräfte.
20%
14%
42%
31%
37%
53%
Mitarbeiter inDeutschland
Mitarbeiterweltweit
< 500 500 bis 4999 > 5000 keine Angabe
22%
16%
16%
10%
36%
50%
26%
34%
Umsatz inDeutschland
Umsatzweltweit
< 500 Mio. € 0,5 - 1 Mrd. €> 1 Mrd. € nicht anwendbar/k.A.
© 2015 ISACA Germany Chapter e.V. 6
Nutzung von Cloud Computing
• Ca. 70% der Unternehmen nutzen Cloud‐Services – größere intensiver als kleinere.
• Der Großteil der Nichtnutzer plant auch keinen Einsatz von Cloud Computing
• Mehr als die Hälfte der repräsentierten Unternehmen verfügen über eine definierte Cloud‐Strategie.
• Unternehmen der Branchen Technologie und Medien sowie Automotive verfolgen besonders häufig eine Cloud‐Strategie.
Nichtnutzer31%
69% Nutzer
Cloud Computing ist in deutschen Unternehmen
angekommen
© 2015 ISACA Germany Chapter e.V. 7
38%
42%
53%
54%
Interne Revision
Risikomanagement
IT-Sicherheit, Compliance
Datenschutz-Beauftragter
Befürworter von Cloud Computing und Skeptiker
Eher Pro Eher Contra
Zustimmung und Ablehnung liegen oft dicht beieinanderZustimmung und Ablehnung liegen oft dicht beieinander
33%
35%
42%
46%
Produktions- undFachbereiche
Geschäftsleitung
IT-Betrieb
Marketing/ Vertrieb
© 2015 ISACA Germany Chapter e.V. 8
Unternehmen erwarten vor allem Kostenvorteile, kürzere Time to Market und weltweite Verfügbarkeit
Unternehmen erwarten vor allem Kostenvorteile, kürzere Time to Market und weltweite Verfügbarkeit
Wichtige Erwartungen – häufig genannt
49%
54%
55%
56%
57%
67%
Verbesserte Verfügbarkeit
Pay-per-Use-Prinzip
Flexibilität und Skalierbarkeit
Bessere Time to Market
keine hohen Vorabinvestitionen
Kosteneinsparungen
© 2015 ISACA Germany Chapter e.V. 9
23 % __der Unternehmen
erwarten Verbesserungen bei der Informationssicherheit
23 % __der Unternehmen
erwarten Verbesserungen bei der Informationssicherheit
29%
38%
44%
48%
48%
Erhöhte Informationssicherheit
Größere Benutzerfreundlichkeit
Professionalisierung der eigenen IT
Mehr Kostentransparenz
Unabhängigkeit von eigenen IT-Ressourcen
Unterstützung neuer & innovativerGeschäftsmodelle
Wichtige Erwartungen – weniger häufig
© 2015 ISACA Germany Chapter e.V. 10
18%
32%
34%
54%
77%
84%
Noch keine Beschäftigung mit dem Thema
Zu hoher Integrationsaufwand
Markt zu unübersichtlich
Keine Vorteile für das Unternehmen
Compliance-Verstöße
Sicherheit nicht gewährleistet
Wichtigster Ausschlussgrund sind Zweifel an der Informationssicherheit.
Bedenken
© 2015 ISACA Germany Chapter e.V. 11
Wichtigste Kriterien für die Auswahl eines Cloud‐Services und ‐Anbieters
73%
78%
85%
89%
91%
Zertifizierungen durch Dritte
Image, Vertrauenswürdigkeit
Standort Datenspeicherung/verarbeitung
Compliance-Anforderungen
Daten- bzw. Informationssicherheit
Datenschutz, Informations‐sicherheit und Compliance sind die
wichtigsten Auswahlkriterien.
Datenschutz, Informations‐sicherheit und Compliance sind die
wichtigsten Auswahlkriterien.
Hinzu kommt der Standort der Server und
der Rechtsrahmen.
Hinzu kommt der Standort der Server und
der Rechtsrahmen.
© 2015 ISACA Germany Chapter e.V. 12
28%
37%
42%
50%
58%
61%
61%
64%
72%
72%
Unternehmerische soziale Verantwortung
Bewertung durch Scoring-/Ratingfirmen
Empfehlung durch Dritte, Erfahrungsberichte
Größe des Anbieters
Finanzstärke des Anbieters
Flexibilität in Verträgen, Exit-Möglichkeiten
Flexible & verbrauchsgerechte Preismodelle
Firmensitz des Anbieters
Skalierbarkeit der Lösung
Möglichkeiten von eigenen Audits
Weniger wichtige Kriterien …
© 2015 ISACA Germany Chapter e.V. 13
Relevante Standards und Zertifikate bei der Auswahl eines Cloud‐Anbieters
9%
11%
8%
21%
27%
30%
31%
36%
47%
54%
82%
weiß nicht, keine Angabe
andere Standards und Zertifikate
Open Data Center Alliance (ODCA)
AICPA, SOC Reports
BITKOM-Leitfäden
IAASB
Payment Card Industry (PCI) Standard
Cloud Security Alliance (CSA)
COBIT
ITIL bzw. ISO/IEC 20000
ISO/IEC 2700x
Die Bedeutung Cloud‐spezifischer Richtlinien
und Zertifikate nimmt zu.
Auch bei Cloud Computing setzen
Unternehmen auf die ISO/IEC 27000‐Reihe.
© 2015 ISACA Germany Chapter e.V. 14
Die Erfahrungen mit den genutzen
Steuerungsmodellen sind auch für Cloud Computing
meist positiv. .
Eingesetzte Steuerungsmodelle
18%
14%
46%
66%
74%
21%
andere standardisierteMethode
CMMI
Cobit
ISO/IEC 2700x
ITIL, ISO 20000
individuelle, nichtstandardisierte Methode
ITIL/ISO 20000 und die ISO 27000‐Reihe
haben sich in Unternehmen durchgesetzt.
© 2015 ISACA Germany Chapter e.V. 15
Funktioniert die Sicherheit in der Cloud?
Funktioniert Cloud‐Sicherheit besser oder schlechter als „on premise“?
14%
14%
36%
32%
32%
33%
43%
45%
23%
11%
9%
8%
Erkennung von Sicherheitsvorfällen
Schutz gegen Angriffe von Außen
Umsetzung von Verfügbarkeit
„besser“ „gleich“ „schlechter“ „weiss nicht“
Der Schutz vor Angriffen und das Erkennen von Vorfällen bleibt eine
Herausforderung für Service Provider.
Der Schutz vor Angriffen und das Erkennen von Vorfällen bleibt eine
Herausforderung für Service Provider.
© 2015 ISACA Germany Chapter e.V. 16
Erfahrungen mit Cloud Service‐Modellen
• Software‐as‐a‐Service (SaaS) wird bevorzugt genutzt. Überwiegend positive Erfahrungen mit allen Serviceformen.
• Standardisierte und individuell konfigurierte Serviceverträge werden zu annähernd gleichen Teilen genutzt.
• Die meisten Erfahrungen haben die Befragten mit Private Clouds gemacht. Diese fallen vorwiegend positiv aus.
41%
19%
44%
53%
66%
14%
14%
20%
15%
20%
27%
37%
22%
22%
7%
18%
30%
14%
10%
7%
Consulting
BpaaS
PaaS
IaaS
SaaS
Ja, bereits genutzt Ja, geplant
Nein keine Angabe
Unternehmen bevorzugen SaaS.
© 2015 ISACA Germany Chapter e.V. 17
Erfahrungen mit Cloud Deployment‐Modellen
• Überwiegend positive Erfahrungen mit Private Clouds.
• Mit Public Clouds hat fast jeder dritte Teilnehmer negative Erfahrungen gemacht.
6%
6%
6%
16%
62%
63%
57%
71%
23%
26%
29%
9%
3%
1%
9%
5%
5%
3%
Community Clouds
Hybrid Clouds
Public Clouds
Private Clouds
sehr positiv eher positiv eher negativ
sehr negativ keine Angabe
Private Cloud Modelle führen.
© 2015 ISACA Germany Chapter e.V. 18
… das Schlüsselmaterial unter eigener Kontrolle verbleibt (88%)
… der Server in Deutschland bzw. der EU steht (79%)
…. die Compliance belegt ist (64%)
… das Schlüsselmaterial unter eigener Kontrolle verbleibt (88%)
… der Server in Deutschland bzw. der EU steht (79%)
…. die Compliance belegt ist (64%)
Ja, wenn …Ja, wenn …
Herausforderungen bei Public Clouds
Speicherung von Unternehmensdaten in einer Public Cloud:
Generell nein 42%Generell nein 42%
58 %
42 %
© 2015 ISACA Germany Chapter e.V. 19
Herausforderungen
50%
67%
76%
77%
90%
Leitlinien für Entscheider
Standards und Leitfäden mitkonkreten Empfehlungen für
bestimmte…
Management von Risiken beider Einführung von Cloud-
Diensten
Unterstützung bei derUmsetzung rechtlicher
Vorgaben
Prüfbarkeit von Cloud-Dienstleistungen
Die Befragten wünschen sich mehr Orientierung beim Risiko‐ und Compliance‐Management sowie der Prüfbarkeit von Cloud‐Services und Cloud‐Anbietern.
© 2015 ISACA Germany Chapter e.V. 20
38%
42%
54%
70%
71%
73%
75%
44%
38%
29%
25%
20%
20%
20%
14%
16%
13%
2%
7%
2%
3%
4%
4%
4%
3%
2%
5%
2%
Planung/Evaluation
Integration
Kostenkontrolle
Risikomanagement
Kontrollen & Auditierung
Juristische Prüfungen
Sicherheitsmanagement
Prognosen
Der Aufwand für … „nimmt zu“ „bleibt gleich“ „nimmt ab“ „weiss nicht“
© 2015 ISACA Germany Chapter e.V. 21
Fazit
• Die Cloud ist in Deutschland angekommenInformationssicherheit & Compliance sind und bleiben Schlüsselthemen. Verschlüsselung, Compliance und Rechtssicherheit sind wichtige Enabler für den weiteren Ausbau.
• „as‐a‐Service“ Lösungen müssen in vorhandene Steuerungsmodelle integrierbar seinUnternehmen erwarten vom Anbieter Sicherheits‐ und Governance‐Ansätze, die zu denen im eigenen Unternehmen passen. ISO 27001 und ITIL/ISO 20000 sind die bevorzugten Steuerungsmodelle.
• IT‐Governance wird wichtiger und aufwändigerSicherheits‐ und Risikomanagement, juristische Prüfungen und Audits können nicht komplett an Cloud Anbieter ausgelagert werden.
• Unternehmen haben weiterhin Orientierungs‐ und Beratungsbedarf Vor allem bzgl. Risiko‐ und Compliance‐Management und der Prüfbarkeit von Cloud‐Services und Cloud‐Anbietern wird Unterstützung erwartet.
© 2015 ISACA Germany Chapter e.V. 22
Fragen und Antworten
Danke für Ihre Aufmerksamkeit!
Die vollständige Studie ist über folgenden Webseiten erhältlich:ISACA Germany Chapter e.V. : www.isaca.de/index.php/fg‐start/cloudPricewaterhouseCoopers AG : www.pwc.de/cloud
Dr. Karl‐Friedrich ThierT‐Systems InternationalT: 06151‐5832753E: karl‐friedrich.thier@t‐systems.com
Aleksei ResetkoPricewaterhouseCoopersT: 069‐9585‐5059E: [email protected]
© 2015 ISACA Germany Chapter e.V. 23
Weitere ISACA Dokumente zum Thema Cloud Computing
• Security as a Service: Business Benefits with Security and Assurance Perspectives (Whitepaper,2013)
• Security Considerations for Cloud Computing (2012)
• IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud (2011)
Download der Dokumente: www.isaca.org/Knowledge‐Center/