Governance-Prozess für führendes Handelsunternehmen

DER AUFTRAG

In einer Reihe von Cloud-Projekten mit produktiven Systemen musste der Kunde feststellen, dass die Anforderungen von Datenschutz, IT-Sicherheit und Compliance nicht unbedingt nachvollziehbar sichergestellt waren. Bei zukünftigen Cloud-Projekten sollte dies von vornherein verhindert werden. Zugleich wollte man alle Stakeholder der Organisation effektiv einbinden können.
Die direkt gruppe hat, basierend auf ihrer jahrelangen Erfahrung in den Bereichen Cloud, Compliance und Security, Best Practices für individuell gestaltete Cloud-Governance-Prozesse entwickelt.
Gemeinsam mit dem Kunden wurde ein geregelter Weg für Cloud-Projekte und -Initiativen erarbeitet, ein für das Unternehmen spezifischer Prozess designt und abschließend implementiert.

ÜBER DAS UNTERNEHMEN 

Der Kunde ist ein führender Lebensmittelhändler mit 11.000 Filialen in ganz Deutschland. Mit rund 376.000 Mitarbeitenden zählt das Unternehmen zu den bedeutendsten Arbeitgebern Deutschlands.

16+

Monate
Projektdauer

600

Mitarbeitende
kundenseitig

2-4

Mitarbeitende
direkt gruppe

3

Cloud
Hyperscaler

50

Cloud-Projekte

+

Landingzones auf
Azure & GDP

DIE HERAUSFORDERUNG

Der Organisation fehlte ein zentraler Onboarding-Prozess für Cloud-Projekte. Cloud-Umgebungen, die durch Eigeninitiative von Cloud-Projekten oder durch Re-Seller erstellt wurden, waren daher nicht zentral gelistet. Durch den mangelnden Überblick über vorhandene Cloud-Initiativen sowie diverse SaaS-Anbietern mit zum Teil überschneidenden Funktionen kam es zu einem nahezu unkontrollierten Wuchs von Cloud- Infrastrukturen.
Lösungen wurden doppelt, manchmal in dreifacher Ausfertigung angeboten, was unbekannte Risiken barg und die Ressourcen belastete.
Das größte Risiko bestand jedoch darin, dass der Kunde nicht lückenlos nachweisen konnte, ob und wie die Anforderungen des Datenschutzes, der IT-Sicherheit und der Unternehmens-Compliance in der Cloud erfüllt wurden.

UNSER LÖSUNGSVORSCHLAG

Der Cloud-Governance-Prozess: Er strukturiert Compliance-Anforderungen für Cloud-Projekte unter Einbindung aller relevanten Stakeholder. Durch den Cloud-Governance-Prozess stellt der Kunde heute sicher, dass alle Anforderungen an Cloud-Projekte zu einem exakten Zeitpunkt erfüllt werden, beispielsweise genau vor der ersten Verarbeitung produktiver Daten in der Cloud.
Dazu muss der Cloud-Governance-Prozess als solches passgenau für den Kunden definiert, implementiert und im aktiven Betrieb feinjustiert werden.
Der Cloud-Governance-Prozess ist in Phasen strukturiert. In den Prozess-Phasen werden die umfangreichen Anforderungen des Unternehmens an den Cloud-Betrieb strukturiert und – ganz wichtig – konsolidiert. So wird ein schneller Durchlauf aller Prozess-Phasen gewährleistet und ein zügiger effizienter Prozess implementiert. Dieses Vorgehen bietet einen hohen Mehrwert für alle beteiligten Cloud-Projekte und Stakeholder: Silos werden aufgebrochen und gegenseitiges Verständnis für die Belange aller Beteiligten geschaffen.

ERZIELTE ERFOLGE DES PROJEKTS

In einer Reihe von Workshops und individuellen Abstimmungen mit verschiedenen Stakeholdern machte die direkt gruppe zunächst eine Bestandsaufnahme. So wurde der technische und organisatorische Istzustand der bereits vorhandenen Cloud-Projekte ermittelt. Damit wurde das Fundament für einen passgenauen Cloud-Governance-Prozess gegossen. Im Anschluss wurden Landing Zones für alle genutzten Cloud Hyperscaler aufgebaut und die Anforderungen von Stakeholdern aufgenommen, um in dem Prozess berücksichtigt zu werden zu können. Erste Cloud-Projekte nutzten den Prozess, der kontinuierlich agil optimiert wird. So laufen Cloud-Projekte immer zügiger durch den Prozess, ohne durch vielfache und langwierige Abstimmungen, zum Beispiel zur Umsetzung von Features in der Cloud, behindert zu werden.
Die Akzeptanz aller Prozessmitwirkenden – den Cloud-Projekten, Stakeholdern aus Datenschutz und IT-Sicherheit, dem Management – wuchs. Zudem wird durch den Cloud-Governance-Prozess heute zentral und nachvollziehbar dokumentiert, dass alle Cloud-Projekte sämtliche technischen und organisatorischen Anforderungen an den Cloud-Betrieb erfüllen.

LESSONS LEARNED

Die Universallösung für jeden Kunden gibt es nicht. Die Anforderungen an Cloud-Projekte mögen sich ähneln – die Umsetzung kann sich jedoch von Branche zu Branche, von Kunde zu Kunde, stark unterscheiden.
Die meisten Unterschiede bestehen häufig in den individuellen Sichten und Anforderungen der Beteiligten.
Es wird eine gemeinsame, durch das Management getragene Zielsetzung benötigt, die verschiedenen Erwartungen in das gemeinsame Zieldesign zu übernehmen.

Projektfazit

Die Prozessimplementierung ist ein Change-Prozess, in dem Änderungen schnell als Problem wahrgenommen werden können. Daher ist es besonders wichtig, alle Seiten so früh wie möglich in das Projekt einzubeziehen. So werden Ziel, Weg und Umsetzung gemeinschaftlich gestaltet und getragen.

Oder direkt von unseren Cloud-Experten:

1 + 2 = ?