Ohne Cloud-Policy wird das Risiko zu groß

Weder restriktiv noch statisch

Der Wert einer Cloud-Policy besteht nur teilweise darin, einer unkontrollierten Zerfaserung der IT-Landschaft entgegenzuwirken: Neben der steuernden Funktion hat sie vielmehr auch die Aufgabe, die rechtlichen Erfordernisse und Konsequenzen des Bezugs von Cloud-Services aufzuzeigen. So kann sie dazu beitragen, die Entwicklung abteilungsindividueller Cloud-Strategien aufeinander abzustimmen und methodisch zu standardisieren. Damit werden Synergiepotenziale nutzbar und Risiken transparent. Die Fachbereiche erhalten gleichzeitig Hilfe bei der konkreten Ausgestaltung ihrer Cloud-Planungen.

Deshalb darf die IT-Policy nicht durch allzu restriktive Regeln geprägt sein. Die würden den Handlungsspielraum der Business-Bereiche zu stark einschränken. Und das liefe dem Grundcharakter von Cloud-Lösungen - der schnellen, bedarfsbezogenen Einführung - ebenso zuwider wie dem individuellen Entscheidungsinteresse der Organisationsbereiche.

Darüber hinaus darf ein solches internes Regelwerk auch nicht zu statisch angelegt sein. Der Cloud-Markt befindet sich immer noch in einem dynamischen Entwicklungsprozess. Mögliche oder sogar wahrscheinliche Veränderungen müssen darin kontinuierlich abbildbar sein.

Für sich allein ist die Policy nutzlos

Empfehlenswert ist auch eine kooperative Grundidee hinsichtlich der Entwicklung der IT-Policy. Das heißt, bei deren Definition sollten sich Fachbereiche, Einkauf und Rechtsabteilung eng miteinander abstimmen. Das ist besser, als wenn die Regeln quasi von der IT verordnet werden. Je mehr sich die Fachbereiche darin wiederfinden, desto größer ist ihre Akzeptanz, und umso weniger besteht die Gefahr, dass es wieder zu Eigeninitiativen abseits der IT-Sourcing-Strategie kommt.

Andererseits kann sich die Steuerung der dezentralen Cloud-Maßnahmen nicht auf ein solches Regelwerk beschränken. Das kann lediglich einen Handlungsrahmen darstellen, der durch weitere Maßnahmen der IT zu begleiten ist. Zu diesen Maßnahmen gehören beispielsweise ein effektives Anforderung-Management und eine beratende Moderation für den konkreten Umgang der Business-Bereiche mit der IT-Policy. Zum Serviceangebot der zentralen IT sollten - last, but not least - frei wählbare Unterstützungsleistungen für alle Phasen einer geplanten Cloud-Entscheidung gehören. (qua)