28/10/2022
Blog Chmura

Implementacja Chmury – wsparcie klientów z sektora finansowego. Dostosowanie organizacji, procesów i dokumentacji do obowiązków prawnych 

Bartłomiej Flak 7 min Przeczytaj

Inspiracją do napisania poniższego artykułu są bieżące doświadczenia Altkom Software w pracy z klientami z sektora finansowego. W ciągu ostatnich tygodni kilka instytucji finansowych, w tym również największe banki, zwróciły się do nas z prośbą o wsparcie w przygotowaniu ich organizacji w zakresie migracji do chmury obliczeniowej. W szczególności zależało im na dostosowaniu instytucji do spełnienia wymagań UKNF.

Ponieważ mamy doświadczenie w tym zakresie i wiemy, jak krok po kroku przeprowadzić firmy przez cały proces migracji w zgodzie z obowiązującymi regulacjami, postanowiliśmy podzielić się tą wiedzą. Chcemy uchylić nieco więcej światła na to, co właściwie trzeba przygotować w ramach wymienionych wyżej zagadnień.

Przetwarzanie danych w Chmurze

Okazuje się, że poważnym wyzwanie dla firm jest stworzenie klasyfikacji informacji i szacowanie ryzyka przeniesienia przetwarzania danych do chmury obliczeniowej.  

Warto przypomnieć, że przetwarzanie danych prawnie chronionych w chmurze obliczeniowej zostało rygorystycznie opisane w polskim prawie. Jednak wiele firm boi się, że zapisy te nie będą wystarczająco jasne lub poprawnie interpretowane przez ich pracowników. Obawy te są słuszne, tym bardziej że mówimy o danych szczególnie wrażliwych – finansowych. Wszelkie zaniedbania, czy błędne rozumienie wymagań regulatora może okazać się kosztowne lub wręcz uniemożliwić migrację.  

Co w takiej sytuacji należy zrobić? W pierwszej kolejności krok po kroku przejść przez zagadnienia związane z zagrożeniami stosowania chmury obliczeniowej oraz utraty kontroli nad przetwarzanymi danymi, a także ocenić długość łańcucha outsourcingowego. Następnie wypracować scenariusze obejmujące ryzykowne sytuacje, tak aby zawczasu przygotować się na ewentualne incydenty i móc szybko nimi zarządzić. Ponadto niezbędne jest przygotowanie dokumentów takich jak: plan wyjścia z chmury czy plan ciągłości działania. 

Długa lista dokumentów i analiz, które należy przygotować, może początkowo wywołać zawrót głowy i skutecznie zniechęcić firmy do przejścia do chmury. I nie chodzi tu nawet o ich skomplikowanie, a niewystarczające zasoby i brak kompetencji wśród pracowników do przeprowadzenia takich prac.

Zakres analiz i dokumentów w reżimie wymagań UKNF

Bazując na naszym doświadczeniu w projektach dla instytucji finansowych, przygotowaliśmy listę zagadnień obejmujących kompletny zakres czynności i dokumentów koniecznych do sprostania wymaganiom UKNF, a także IT i biznesu, co do ich wizji pracy w środowisku chmurowym. W każdym z tych punktów oferujemy pomoc, niezależnie czy projekt migracji został już rozpoczęty, czy dopiero budowana jest strategia przejścia do środowiska chmurowego. Na każdym etapie dostarczymy ekspercką i praktyczną wiedzę, pozwalającą z sukcesem przejść przez przygotowania do migracji.

Migracja do chmury. 11 krokow dla instytucji finansowych

Co należy wykonać przed migracją do chmury obliczeniowej?

1. Analiza systemów, które mają pracować w chmurze obliczeniowej, pod kątem przetwarzanych danych. Ocena tych danych w zakresie informacji prawnie chronionych; 

2. Analiza danych pod kątem outsourcingu szczególnego; 

3. Analiza łańcucha outsourcingowego; 

4. Przeprowadzenie klasyfikacji informacji, które mają być przetwarzane w chmurze; 

5. Przeprowadzenie oceny ryzyka i przygotowanie dokumentacji przetwarzania danych w chmurze obliczeniowej, w szczególności pod względem: 

  • zagrożeń stosowania chmury, 
  • wykorzystywanych usług chmury obliczeniowej, 
  • zasobów ludzkich niezbędnych do migracji do chmury obliczeniowej, 
  • utraty kontroli nad przetwarzaniem danych, 
  • aspektów szyfrowania, 
  • łańcucha outsourcingowego, 
  • zmian w korzystaniu z usługi chmury obliczeniowej, 
  • zmian w relacji z dostawcą chmury, w tym wypowiedzenia umowy. 

6. Przygotowanie dokumentacji, w szczególności uwzględniającej: 

  • źródła informacji o zagrożeniach w chmurze, 
  • kompetencje (bez uwzględniania wypożyczenia kompetencji), 
  • analizę zewnętrzną dostawcy usług chmurowych. 

7. Przygotowanie dokumentu zawierającego plan przetwarzania informacji w chmurze obliczeniowej; 

8. Przygotowanie dokumentu opisującego plan wycofania z przetwarzania danych w chmurze obliczeniowej; 

9. Przygotowanie dokumentu opisującego plan ciągłości działania dla wskazanych aplikacji przenoszonych do usługi chmury obliczeniowej; 

10. Analiza stanu dojrzałości technicznej i procesowej IT, opracowanie strategii IT niezbędnej do przejścia do chmury oraz przygotowanie strategii w zakresie narzędzi, standardów i artefaktów; 

11. Sporządzenie zgłoszenia do UKNF.

Architektura migrowanych systemów

Kolejnym wyzwaniem, przed którym stają instytucje finansowe chcące sprostać wymaganiom UKNF, jest stworzenie docelowej architektury migrowanych systemów. Często ze względu na systemy pozbawione wsparcia i\lub posiadające monolityczną architekturę, niezbędne jest przepisanie lub rekonfiguracja środowisk w procesie migracji. Najczęściej spotykamy się z sytuacją, w której nasi klienci dopiero kształcą swoich architektów w tym obszarze, licząc na pomoc z zewnątrz.    

Warto w tym zakresie skorzystać z doświadczeń firm, które mają za sobą podobne projekty, a także mogą zaproponować pomoc certyfikowanych architektów czy ekspertów znających możliwości danej chmury w zakresie tworzonej architektury, jak np. Azure Well-Architected Framework.

Optymalizacja kosztów

Etap przygotowań organizacji do migracji to najlepszy moment, aby zadbać o przyszłe koszty nowo tworzonego rozwiązania oraz optymalizację — samodzielnie lub z pomocą zewnętrznych specjalistów. Dotyczy to szczególnie firm z sektora regulowanego, ponieważ w ich przypadku migracja do chmury obarczona jest dodatkowymi kosztami wewnętrznymi na początkowym etapie projektu.  

Wynikają one głównie z kosztów pracy nad dokumentacją opisującą dostosowanie instytucji do rekomendacji UKNF oraz cykliczne prace nad zarządzaniem ryzykiem i klasyfikacją informacji. Stanowi to dodatkowy workflow, który przekłada się na trudność zrobienia pierwszego kroku w chmurze. Działy IT oraz biznes w cykliczny sposób muszą testować scenariusze wyjścia z chmury i DRC, co zwiększa koszty uzasadnienia biznesowego projektu. Na szczęście część z tych prac można przenieść na dostawców, co jest szczególnie opłacalne, jeżeli organizacja nie przewiduje zwiększenia na stałe liczby pracowników. 

Ponadto, robiąc coś po raz pierwszy i nie mając w tym żadnego doświadczenia czy benchmarku, można niepotrzebnie przepłacić. A możliwości optymalizacji na wczesnym etapie migracji jest naprawdę wiele. Należy jednak wiedzieć, na co uważać i znać skutki podjętych decyzji. Korzystając z usługi FinOps (link do artykułu o FinOps w Azure) można zaoszczędzić od 20% do nawet 40% budżetu. Warto także pytać swoich dostawców o ceny subskrypcji. Klient może mieć kilku resellerów subskrypcji chmurowych, co znowu dla konkretnych produktów czy aplikacji pozwala na kolejne obniżenie kosztów.

Więcej w tym temacie przeczytasz w artykule:

11 kroków do optymalizacji kosztów i świadomego zarządzania finansami w chmurze Azure

Wsparcie w migracji

Migracja do chmury to wyjątkowo duże i wymagające przedsięwzięcie. Waga prac migracyjnych sprawia, że coraz chętniej firmy przenoszą na dostawców ciężar zadań przygotowawczych, compliance’owych i projektowych.

„Lubimy w zespole mówić, że pracujemy dla klienta podobnie jak chmura obliczeniowa. Gdy Ci potrzebują „mocy”, a więc wsparcia — pobiera ją od nas. A kiedy dodatkowa moc nie jest już potrzebna, kończymy współpracę i klient nie ponosi dalszych kosztów. Dokładnie tak, jak wygląda to w przypadku opłat dla zasobów w chmurze. Warto pamiętać, że korzystanie ze wsparcia zewnętrznego zespołu nie musi oznaczać utraty jakości działania. Wręcz przeciwnie, może przynieść szereg korzyści, szczególnie jeżeli partner może pochwalić się certyfikatami i doświadczeniem w podobnych projektach”. 

Bartłomiej Flak 

Delivery Manager, Azure Unit

Skończyłaś/eś właśnie jeden z przygotowanych przez nas wpisów z serii o samodzielnym zarządzaniu możliwościami Microsoft Azure Cloud. Sięgnij po pozostałe artykuły: