Sourcing aus der Cloud

Ohne Cloud-Policy wird das Risiko zu groß

Die IT-Verantwortlichen müssen damit rechnen, dass aus eigenständigen Aktivitäten der Fachbereiche und der eigenen Mitarbeiter ein unüberschaubares und schwer zu steuerndes Dickicht an externen Anwendungen und Services entsteht. Eine durchdachte Policy hilft, es einzudämmen.

Kaum ein Marktexperte hegt derzeit noch Zweifel, dass Cloud-Services künftig eine wesentliche Rolle in den Sourcing-Strategien der Unternehmen spielen. Solche Applikations- und Infrastrukturservices sind leicht zu erwerben und auch unabhängig von der IT-Abteilung einzuführen. Damit stellt sich aber zunehmend dringlicher die Frage, ob Auswahl und ihr Einsatz dieser Dienste eigentlich ohne zentral definierte und unternehmensweit geltende Richtlinien erlaubt sein sollten.

Richtig ist, dass der Bedarf nun einmal in den Fachabteilungen entsteht und die Anforderungen dort am besten bekannt sind. Doch wenn Entscheidungen selbständig und ohne Abstimmung mit der IT getroffen werden, entstehen zwangsläufig unübersichtliche Verhältnisse, die durch vielfältige dezentrale Interessen geprägt sind. Auf diese Weise wird die zentrale Steuerungsfunktion der IT unterlaufen. Zugleich wird ihr jede Möglichkeit einer sinnvollen Koordination genommen.

Um diese Situation zu vermeiden, bedarf es einer unternehmensweiten Cloud-Policy mit konkreten Richtlinien für den zentralen und dezentralen Einsatz solcher Dienste. Es empfiehlt sich dringend, sie schon im Vorfeld der Cloud-Nutzung zu formulieren. Wenn sich bereits ausgeprägte Cloud-Strukturen nach den individuellen Kriterien der Organisationsbereiche etabliert haben, lässt sich eine solche Policy deutlich schwerer entwickeln und umsetzen.

Ohne Cloud-Policy wird das Risiko zu groß.
Ohne Cloud-Policy wird das Risiko zu groß.
Foto: Helder Almeida, Fotolia.com

Was eine gute Cloud-Policy umfasst

Wie aber soll diese Policy aussehen? Ihr zentrales Ziel muss sein, die generellen Anforderungen an Cloud-Initiativen überall im Unternehmen zu berücksichtigen. Das ist die Voraussetzung dafür, dass diese Initiativen den übergreifenden IT- und Sourcing-Strategien nicht zuwider laufen. Weiter sollte die Policy die Definition von Rahmenbedingungen und Leitlinien umfassen, mit deren Hilfe sie die generelle Kompatibilität der Dienste mit der bestehenden technischen Landschaft und den schon festgeschriebenen internen Regeln gewährleisten kann.

Einen hohen Stellenwert haben dabei die Integrationsfähigkeit der Cloud-Services und die Datensicherheit sowie die Compliance-Aspekte. Diese Kriterien müssen in eine detaillierte Anforderungsmatrix für Cloud-Dienste einfließen.

Vor allem die mangelhafte Integration führt zu Produktivitätsverlusten. Beispielsweise wird eine CRM-Anwendung für das Kunden-Management als Insellösungen keinen optimalen Nutzen erzielen. Vielmehr sollte sie mit anderen Anwendungen und Datenquellen verbunden werden, weshalb die Anforderungen zumeist auch in diese Richtung zeigen.

Hier kommt die interne IT zwangsläufig mit ins Spiel - auch dann, wenn sie mangels interner Regeln für Cloud-Entscheidungen möglicherweise gar nicht am Auswahlprozess beteiligt war. Bei der Auswahl des Cloud-Dienstes müssen beispielsweise auch die technischen Voraussetzungen für eine Integration bewertet werden; zudem sind juristische oder datenschutzrechtliche Aspekte zu beurteilen. Und dazu benötigen die Fachabteilungen normalerweise den fachlichen Support durch die IT sowie durch Einkauf, Datenschutz- und Sicherheitsbeauftragten oder Rechtsabteilung.