Sourcing aus der Cloud
Ohne Cloud-Policy wird das Risiko zu groß
Kaum ein Marktexperte hegt derzeit noch Zweifel, dass Cloud-Services künftig eine wesentliche Rolle in den Sourcing-Strategien der Unternehmen spielen. Solche Applikations- und Infrastrukturservices sind leicht zu erwerben und auch unabhängig von der IT-Abteilung einzuführen. Damit stellt sich aber zunehmend dringlicher die Frage, ob Auswahl und ihr Einsatz dieser Dienste eigentlich ohne zentral definierte und unternehmensweit geltende Richtlinien erlaubt sein sollten.
Richtig ist, dass der Bedarf nun einmal in den Fachabteilungen entsteht und die Anforderungen dort am besten bekannt sind. Doch wenn Entscheidungen selbständig und ohne Abstimmung mit der IT getroffen werden, entstehen zwangsläufig unübersichtliche Verhältnisse, die durch vielfältige dezentrale Interessen geprägt sind. Auf diese Weise wird die zentrale Steuerungsfunktion der IT unterlaufen. Zugleich wird ihr jede Möglichkeit einer sinnvollen Koordination genommen.
Um diese Situation zu vermeiden, bedarf es einer unternehmensweiten Cloud-Policy mit konkreten Richtlinien für den zentralen und dezentralen Einsatz solcher Dienste. Es empfiehlt sich dringend, sie schon im Vorfeld der Cloud-Nutzung zu formulieren. Wenn sich bereits ausgeprägte Cloud-Strukturen nach den individuellen Kriterien der Organisationsbereiche etabliert haben, lässt sich eine solche Policy deutlich schwerer entwickeln und umsetzen.
Was eine gute Cloud-Policy umfasst
Wie aber soll diese Policy aussehen? Ihr zentrales Ziel muss sein, die generellen Anforderungen an Cloud-Initiativen überall im Unternehmen zu berücksichtigen. Das ist die Voraussetzung dafür, dass diese Initiativen den übergreifenden IT- und Sourcing-Strategien nicht zuwider laufen. Weiter sollte die Policy die Definition von Rahmenbedingungen und Leitlinien umfassen, mit deren Hilfe sie die generelle Kompatibilität der Dienste mit der bestehenden technischen Landschaft und den schon festgeschriebenen internen Regeln gewährleisten kann.
Einen hohen Stellenwert haben dabei die Integrationsfähigkeit der Cloud-Services und die Datensicherheit sowie die Compliance-Aspekte. Diese Kriterien müssen in eine detaillierte Anforderungsmatrix für Cloud-Dienste einfließen.
Vor allem die mangelhafte Integration führt zu Produktivitätsverlusten. Beispielsweise wird eine CRM-Anwendung für das Kunden-Management als Insellösungen keinen optimalen Nutzen erzielen. Vielmehr sollte sie mit anderen Anwendungen und Datenquellen verbunden werden, weshalb die Anforderungen zumeist auch in diese Richtung zeigen.
Hier kommt die interne IT zwangsläufig mit ins Spiel - auch dann, wenn sie mangels interner Regeln für Cloud-Entscheidungen möglicherweise gar nicht am Auswahlprozess beteiligt war. Bei der Auswahl des Cloud-Dienstes müssen beispielsweise auch die technischen Voraussetzungen für eine Integration bewertet werden; zudem sind juristische oder datenschutzrechtliche Aspekte zu beurteilen. Und dazu benötigen die Fachabteilungen normalerweise den fachlichen Support durch die IT sowie durch Einkauf, Datenschutz- und Sicherheitsbeauftragten oder Rechtsabteilung.
- Checkliste Cloud-SLAs
Um zu beurteilen, ob ein Cloud-Provider kundenfreundliche SLAs anbietet, lassen sich folgende Kriterien anlegen und überprüfen: - Punkt 1:
Kurze und klare Gestaltung von Inhalt, Struktur und Formulierung. - Punkt 2:
Version in der Landessprache des Kunden. - Punkt 3:
Klare Definitionen von Fach- und Produktbegriffen zu Beginn. - Punkt 4:
Detaillierte Ankündigung und Planung der Wartungsfenster (Beispiel: "Viermal im Jahr an vorangemeldeten Wochenenden"). - Punkt 5:
Leistungsbeschreibung in Tabellenform (Übersicht!). - Punkt 6:
Klar definierte Bereitstellungszeiträume für neue Ressourcen (Beispiele: Bereitstellung virtueller Server bei Managed Cloud in maximal vier Stunden; Bereitstellung kompletter Umgebungen oder dedizierter Server in fünf bis zehn Tagen). - Punkt 7:
Bereitstellung von klar abgegrenzten Konfigurationsoptionen für Ressourcen (Beispiel: Konfiguration von Servern nach Gigahertz, Gigabyte). - Punkt 8:
Einfach unterscheidbare Service-Levels (Beispiel: Silber, Gold, Platin); Abgrenzungskriterien können sein: Verfügbarkeit, Bereitstellungszeiten, fest reservierte Kapazitäten ja/nein, Support-Level (Telefon, E-Mail). - Punkt 9:
Bei IaaS-Angeboten unbedingt auf Netzwerk-Konfigurationsmöglichkeiten und Bandbreite achten (Volumen? Im Preis inkludiert ja/nein?). - Punkt 10:
Kundenfreundlicher Reporting- beziehungsweise Gutschriftenprozess (am besten aktive Gutschriften auf Kundenkonto; kein bürokratischer, schriftlicher Prozess; möglichst einfache Beweis- und Nachweispflicht für Kunden). - Punkt 11:
Reaktionszeiten und Serviceverfügbarkeit klar beschreiben (zentrale Hotline; Reaktionszeiten auf Incidents in Stunden). - Punkt 12:
Nennung der Rechenzentrumsstandorte mit Adresse und sonstigen Informationen wie Zertifizierungen und Tier. - Punkt 13:
Definition der Verfügbarkeiten: Unterschiede hinsichtlich Verfügbarkeit Server/VM und Verfügbarkeit Admin-Konsole definieren. - Punkt 14:
Erläuterung zu Möglichkeiten der SLA-Überwachung beziehungsweise des Incident-Reportings für den Anwender (Beispiel: Link auf Monitoring-Dashboard).