Chmury warto uczyć się od innych, co potwierdzili przedstawiciele firm z branży finansowej, w tym banków i ubezpieczycieli, uczestniczący w panelu dyskusyjnym w trakcie niedawnego Microsoft Envision Forum 2021.  

Firmy w branży finansowej migrują do chmury coraz częściej. Organizacje z tego sektora, które decydują się na podobny krok, muszą jednak mierzyć się z wyzwaniami natury nie tylko technologicznej, ale również prawnej i budżetowej. Co to za wyzwania i jak sobie z nimi radzić? Rozmawiali o tym przedstawiciele firm z branży finansowej, w tym banków i ubezpieczycieli, uczestniczący w panelu dyskusyjnym w trakcie niedawnego Microsoft Envision Forum 2021.  

 

Polski rynek nie należy do najłatwiejszych pod względem współpracy z krajowym regulatorem –zastrzeżenia Urzędu Komisji Nadzoru Finansowego budziły w ostatnich latach szczególnie kwestie przetwarzania danych. Cztery-pięć lat temu UKNF był gotów obniżać ocenę badania i oceny nadzorczej banków (tzw. BION) już za sam zamiar przechowywania niektórych danych w chmurze, a dyskusja z urzędnikami prowadziła do konstatacji, że ryzyko dla ich bezpieczeństwa jest każdorazowo wyższe niż w wypadku utrzymywania ich na serwerach lokalnych – wspomina Andrzej Piotrowicz, dyrektor informatyki w Allianz.

 

Sytuacja na szczęście znacząco poprawiła się, czego dowodem jest wydany na początku 2020 r. komunikat UKNF, ostatni jak na razie dokument poruszający kwestie chmury w finansach. W porównaniu z pierwszym komunikatem z 2017 r. nastąpiło wyraźne złagodzenie stanowiska UKNF. Dawniej rozmowy były prowadzone na gruncie czysto prawnym. A dziś można toczyć z urzędnikami merytoryczny dialog – nadzór przeszedł drogę od niezrozumienia natury chmury do szerokiej wiedzy w tym zakresie, zarówno w aspektach operacyjnych, jak i bezpieczeństwa – dodaje Arkadiusz Terlikowski, CIO w Aviva.

 

Nadzór nie taki straszny

O ile poprzednie wytyczne UKNF były trudne w interpretacji, najnowsze cechuje dość daleko idąca szczegółowość. Komunikat zawiera sformułowania zasadniczo sprzyjające popularyzacji technologii chmurowych w branży. Nadzór zaczął patrzeć na chmurę bardziej przychylnym okiem i, jak uważa Joanna Gałajda, Senior Associate w firmie doradczej EY, widać, że chciał ułatwić wdrażanie chmury w bankowości.

 

Kluczowym etapem realizacji jakiegokolwiek projektu chmurowego w sektorze finansowym jest identyfikacja odnoszących się do niego regulacji albo ustalenie, czy zachodzi konieczność stosowania do niego pewnych regulacji – przekonuje przedstawicielka EY. Jest tak dlatego, że im regulacje bardziej szczegółowe, tym bardziej kosztowny pod względem regulacyjnym będzie projekt.

 

O ile na przykład w krajach zachodnich powszechna jest tendencja to opisywania projektów w sposób możliwie najbardziej szczegółowy, w Polsce „bezpieczniejsze” może wciąż wydawać się upraszczanie dokumentacji. Ponadto procesy w obrębie usługi chmurowej są układane tak, by zgłaszać ich jak najmniej. Mimo to jednak odpowiednie zgłoszenie do regulatora wymaga należytego zrozumienia wszystkich procesów oraz ustalenia, jakie dane i w jakim zakresie będą przetwarzane w ramach danej usługi.

 

Dlatego nie wystarczy współpraca działów technologii, bezpieczeństwa i biznesu – w prace powinien być od początku zaangażowany dział prawny organizacji.

 

„Projekt chmurowy jest projektem kompleksowym i tak musimy do niego podchodzić” – podkreśla Joanna Gałajda. „Zachęcamy do przygotowania projektu pod wymagania regulatora niezależnie od tego, czy jest lokalny czy multijurydsykcyjny.”

 

„Trzeba zrozumieć naturę wymagań KNF co do regulacji. Nie chodzi, by zgłaszać nadzorowi każdą projektowaną aplikację chmurową, ale o to, jakie dane się przetwarza i jakie narzędzia się wdraża do ochrony danych – zarówno organizacji, jak i właścicieli danych, czyli klientów banku lub ubezpieczalni” – ocenia Terlikowski. „Trzeba prowadzić otwartą dyskusję: jasno określić założenia projektu i sposób, w jaki chce się spełnić wymogi nadzoru.”

 

Wiedzę na ten temat najlepiej zdobyć używając środowisk testowych, nieprodukcyjnych, gdzie dane klienta z założenia nie powinny trafiać. Ucząc się w bezpiecznym środowisku można pozwolić sobie na większą swobodę eksperymentowania i zebrać doświadczenie niezbędne w zarządzaniu docelową infrastrukturą.

 

„Inaczej słucha się ludzi, którzy mówią o zamiarach, a inaczej tych, którzy mówią, jakie mają doświadczenie i jak rozwiązują swoje problemy” – powiedział Szymon Sobczak, dyrektor Wydziału Bezpieczeństwa Informacji w Getin Noble Bank.

 

Co z kosztami?

Projekty chmurowe w instytucjach finansowych mogą przybierać różnorakie formy. Organizacje mogą używać wybranych „kawałków” chmury – pojedynczych usług jako elementów uzupełniających istniejące rozwiązania on-premises. Inne konstruują całe platformy w oparciu o chmurę publiczną. Można też tworzyć rozwiązania „równoległe”, powiązane z bankowym rdzeniem usługi dodane.

 

Chmura, w porównaniu ze środowiskami on-premises, zapewnia krótszy czas wprowadzenia rozwiązań na rynek (time-to-market) i jest bardziej atrakcyjna cenowo. Pytanie, czy przejście do chmury należy w ogóle traktować jako projekt optymalizacji kosztów przedsiębiorstwa? Zdaniem Andrzeja Piotrowicza z Allianz – nie. Korzyści z przejścia do chmury nie polegają na tym, że będzie taniej. Cloud to przede wszystkim obietnica nowych modeli biznesowych, sposób na budowanie kapitału innowacyjności, dywersyfikację źródeł przychodu i przyciąganie nowych klientów.

 

Aspektu kosztowego nie da się jednak całkowicie pominąć. Tomasz Onyszko, CTO w Predica (partner Microsoft w organizacji panelu dyskusyjnego) spodziewa się nawet, że w najbliższych latach znacznie wzrośnie zapotrzebowanie na inżynierów ds. FinOps. To specjaliści zajmujący się analityką architektury i optymalizacją kosztową chmury. Taką analizę trzeba będzie wykonywać regularnie.

 

„Obecnie budżetowanie najczęściej odbywa się w cyklu rocznym, ale niektóre organizacje robią to już kwartalnie lub miesięcznie. Czasem projekt szybko okazuje się nieperspektywiczny i trzeba budżet przerzucić gdzieś indziej” – mówi CTO firmy Predica.

 

U jednego z klientów firmy tylko przez przejrzenie kodu aplikacji i optymalizację wywołań udało się obniżyć rachunek chmurowy o 10 tys. dolarów – dodaje.

 

O czym jeszcze pamiętać?

Przede wszystkim – o długofalowej strategii organizacji. Migracja do chmury to nie tylko kwestia technologii, ale przede wszystkim planowania. Janusz Zdrojewski, Digital Architect w Microsofcie, przypomina, że projekty chmurowe coraz częściej są wynikiem zapotrzebowania działów biznesowych. Biznes oczekuje konkretnych rozwiązań, które pomogą dotrzeć do konkretnej grupy klientów albo lepiej ją obsłużyć.

 

„To biznes finansuje wejście w chmurę i bezpośrednio zyskuje na migracji. Zaangażowanie biznesu wydaje się nieodzowne – im większy jego udział, tym migracja łatwiejsza” – ocenia.

 

Strategia chmurowa, jak wskazuje Tomasz Motyl, CIO w banku Aion, musi obejmować również scenariusze wyjścia. Usługi chmurowe są usługami outsource’ingowymi, należy więc przewidzieć możliwość lub konieczność modernizacji stosu technologicznego jaką może spowodować migracja do innego usługodawcy, kiedy korzystamy z usług przypisanych do danej chmury.

 

Warto uczyć się chmury od tych organizacji, które migrację czy wdrożenia mają już za sobą – wskazuje z kolei Tomasz Onyszko z firmy Predica. „Architekturę warto budować tak, by można było ją jak najszybciej zmienić jak najniższym kosztem” – przekonuje.

 

https://itreseller.pl/itrnewgleboka-transformacja-czy-szybki-make-up-czego-potrzebujemy-by-dzis-przeprowadzic-transformacje/