Jak se vypořádat s cloud-outsourcing risk analýzou?

Jak se vypořádat s cloud-outsourcing risk analýzou?

Jeden z regulatorních požadavků pro přechod do cloudového prostředí je vypracování analýzy rizik (vycházející např. č. 163/2014 Příloha č. 7 a EBA/GL/2019/2).

Tato komplexní analýza rizik musí zahrnovat všechna relevantní rizika spojená se zamýšleným přechodem do cloudu. V článku vám poradíme, jak si (ne)počínat při jejím zpracování.

cp

Přechod do cloudového prostředí představuje vždy přináší nová rizika. Důležité je daná rizika identifikovat, pojmenovat, zohlednit jejich relevanci, ocenit jejich pravděpodobnost a případný dopad, vytvořit preventivní opatření a ohodnotit znovu rizika, která jsou posléze schválena.

Analýza rizik je středobodem aktivit při migraci do cloudu. Je to činnost, do které vstupují výstupy z jiných oblastí (např. cloudová strategie) a zároveň se identifikují výstupy do jiných oblastí (např. návrh provozních procesů zabezpečení cloudových služeb).

Jak určitě NE!

Následující příklady vycházejí z našich zkušeností při tvorbě desítek analýz rizik. Být pionýrem slepých uliček, jak by řekl Cimrman, se tady nevyplatí. Tudy, přátelé, ne!

Extrémní obezřetnost

První z nevhodných přístupů je tzv. extrémně obezřetný přístup. Instituce chce řídit a monitorovat rizika, která se svým hodnocením blíží limitně k nule. S takovým přístupem můžeme mít i přes 100 rizik k jednomu cloudovému řešení (náš rekord je 156).

Při tomto přístupu nemohou být všechna rizika adekvátně řízena, protože se finančně nevyplatí vytvářet preventivní opatření pro každé z nich. Pouze přidáváte práci vlastníkovi analýzy rizik, který ji musí řídit, kontrolovat, reportovat a monitorovat (ideálně na roční bázi). Posléze ho ještě čeká více úsilí při kontrole interním auditem . V praxi je možné řídit maximálně několik málo desítek rizik.

Přílišná laxnost

Opačným přístupem je přílišná laxnost, kdy převáží postoj, že tvorba analýzy rizik je pouze nutné administrativní zlo. Nejčastěji se setkáváme s argumentací „však všechno je ve smlouvě podchyceno, riziko není žádné“. V důsledku toho je identifikováno málo heterogenních rizik, která jsou navíc odbyta jedním či dvěma preventivními opatřeními (bez následné kontroly a opakovaného vyhodnocování rizik v průběhu přechodu do cloudu).

Laxní přístup k tvorbě analýzy rizik je nebezpečnější než přístup extrémně obezřetný. V prvním případě se jedná (pouze) o mnoho zbytečných víceprací , ve druhém případě však nejsou správně řízena a současně ohodnocena rizika.
K ohodnocenému rizika je nutné zaujmout postoj, který riziko sníží. Jedná se o akceptace rizika, vyhnutí se riziku, jeho převod a vytvoření preventivního opatření. Poslední z postojů se vyžívá nejčastěji, ale pozor na laxnost v rámci identifikace preventivních opatření.

Preventivní opatření by neměla být zajištěna pouze pomocí smluvních doložek, ty vám totiž nezajistí praktické vykonání preventivního opatření. Pokud přistoupíte k opatřením jen tam, kde lze převést riziko smluvně, ale neuděláte interní nápravná opatření vedoucí k vyhnutí se nebo snížení rizik, budete hořce plakat.

Jedním z ukázkových příkladů je zajištění business kontinuity managementu a souvisejících plánů kontinuity. Ve smluvním zajištění je oblast standardně smluvně garantována. Pokud však dojde k aktivaci business kontinuity, tak bez procesně-organizačního zajištění není možné plán provést.
Samotné rozhodnutí o aktivaci business kontinuity vychází z procesního nastavení. Pokud přecházíte na záložní plány ( předpokládáme, že pravidelně testujete a budou zahrnovat i cloudové platformy), tak musíte následovat interní předpisy, které taktéž nejsou obsahem smlouvy.

Co doporučujeme?

Legislativní požadavky vymezují extrémní hranice v přístupu k analýzy rizik, čímž současně poskytují velkou míru volnosti, jak postupovat. Abychom byli přesní – jedná se o požadavek proporcionality (EBA/GL/2019/02 – Hlava III, část 5, 33. odstavec).
Metodika analýzy rizik je v každé instituci odlišná, na základě úspěšně dokončených projektů však obecně doporučujeme následující postup:

Jedná se o soustavu expertních workshopů. Jejich účastníky vyberte z různých oblastí/oddělení (právní, compliance, IT provoz, IT bezpečnost, business continuity management, outsourcing management, outsourcing manager, DPO, business vlastník, interní kontrola), a vytvořte tak heterogenní skupiny.

Máme zkušenost, že mezi účastníky budou tzv. brblalové, přistupující k analýze rizik extrémně obezřetně, i tzv. nadšenci, kteří smetávají rizika ze stolu. Laxní přístup eliminujete velkým počtem účastníků, extrémní obezřetnost udržíte pod kontrolou v kroku „deduplikace rizik“, která bývá nejčastěji prováděna rizikovými specialisty.
Zapojením souvisejících klíčových zaměstnanců zajistíte také lepší povědomí tam, a možných rizicích s tím spojených. Zaručujeme, že po 2–3 opakováních se procesní a časová náročnost zpracování cloud-outsourcingové analýzy rizik výrazně sníží a analýza přinese potřebné výsledky v podobě úspěšného a bezpečného přechodu do cloudu.

Lenka Syrová

 

 

 

Cloudová zralost zákazníka

Cloudová zralost zákazníka

Nejprve je potřeba zjistit, kde se zákazník a jeho týmy mentálně, procesně a znalostně nacházejí.

Patříte mezi Rezidenty, Průzkumníky, Hráče, Transformátory nebo Disruptory?

Kamil Kovář, Business Consultant, ve svém článku popisuje, k čemu je cloudová zralost a jak ji posoudit. Jak se od sebe liší jednotlivé stupně cloudové zralosti zákazníka, co to vlastně je, k čemu je dobrá a jak ji posoudit.

Jak jsem zralý pro cloud?

Cloudová zralost zákazníka| Compliance Portal

Covid-19 vs. Microsoft 365. Jde to dohromady?

To, že pandemie Covid-19 udeřila vší silou a nejenom finanční instituce nebyly dostatečně připraveny na okamžitý přesun na home-office, je realita, které musí čelit. Jedná se o jedinečnou příležitost implementovat tzv. nový normální normál neboli práci z domova, která plnohodnotně zastoupí práci on-site.

Covid-19 vs. Microsoft 365 | Compliance portal

 

Trh, který byl nedávno „modrým oceánem“ se stal exponenciální rychlostí  tzv. červeným oceánem. Požadavky na práci z domova se liší podle velikosti firem, oblasti jejich podnikání nebo technických a finančních možností. Možným řešením je implementace balíčků služeb Microsoft Office 365.

Náročnost implementace je ovlivněna mnoha faktory. Bohužel neexistuje kouzelný proutek, jehož mávnutím bychom všichni seděli za počítačem a schůzovali virtuálně. Bez ohledu na velikost firmy, počet uživatelů a oblast podnikání firmy se jedná o outsourcingový vztah a využití cloud computing technologie.

Migrace do Microsoft 365 není jen tak ledajaký cloudový projekt. Většinou se pro danou instituci jedná o největší projekt za desítky let. Prostupuje totiž napříč celou společností, mění způsob spolupráce a kulturu chování. Jestliže platí, že cloudové projekty zvyšují operační rizika, tak při implementaci balíčku služeb Microsoft Office 365 to platí dvojnásob, ne-li trojnásob.

Microsoft Office 365 nabízí řadu výhod a úspor, na druhou stranu přináší vyšší rizika a compliance požadavky, které firma musí splnit.

Firma ORBIT implementovala Microsoft Office 365 u mnoho spokojených zákazníků. Naše služby mají jak formu konzultace tak celkové implementace společně s adopční a komunikační kampaní. Pojďme se společně potkat, a to klidně i virtuálně.

 

Lenka Syrová

EIOPA vs. Cloud Computing. Co říkají Obecné pokyny?

Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění (EIOPA) identifikoval potřebu vytvořit konkrétní pokyny pro oblast outsourcingu / cloud computingu. Výsledkem jsou „Obecné pokyny k outsourcingu u poskytovatelů cloudových služeb – EIOPA-BoS-20-002“.

EIOPA vs. Cloud Computing | Compliance portal

 

Jaký je záměr pokynů?

  • poskytnout účastníkům trhu objasnění a transparentnost a vyhnout se možným regulačním arbitrážím;
  • podporovat sbližování dohledu, pokud jde o očekávání a procesy použitelné v souvislosti s cloud computingem.

 

EBA/GL/2019/02 vs. EIOPA-BoS-20-002

Na místě je pochvala autorům, kteří se snažili o nastolení jednotných požadavků. Pokyny na sebe odkazují, formulace jednotlivých doporučení jsou podrobné. Na základě analýzy můžeme konstatovat, že se v pokynech neobjevují významné odchylky. Hlavní rozdíly jsou v podobě odkazů na jiné nadřazené zákony/předpisy (např. Směrnice Evropského parlamentu a Rady 2009/138/ES ze dne 25. listopadu 2009 o přístupu k pojišťovací a zajišťovací činnosti a jejím výkonu (Solventnost II).

 

Důležitá data

Pokyny se použijí od 1. ledna 2021 na všechna ujednání o externím zajištění cloudových služeb, která byla uzavřena nebo pozměněna k tomuto datu nebo později. Podniky by měly přezkoumat a odpovídajícím způsobem změnit stávající ujednání o externím zajištění cloudových služeb, která se týkají rozhodujících nebo důležitých provozních funkcí nebo činností, a to s cílem zajistit dodržování těchto obecných pokynů do 31. prosince 2022.

Nebude-li toto přezkoumání dokončeno do 31. prosince 2022, měl by podnik o této skutečnosti informovat svůj orgán dohledu. Aktualizace (v případě potřeby) zásad a vnitřních procesů podniku by měla být provedena do 1. ledna 2021, zatímco požadavky na dokumentaci (související s externím zajištěním cloudových služeb, které se týkají rozhodujících nebo důležitých provozních funkcí nebo činností) by měly být provedeny do 31. prosince 2022.

 

Dokážeme pomoct?

Týkají se vás pokyny EIOPA-BoS-20-002? Rádi byste implementovali cloudový projekt v pojišťovně? Pak se na nás neváhejte obrátit.

 


Základni informace o EIOPA

Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění (European Insurance and Occupational Pensions Authority, EIOPA) byl zřízen nařízením Evropského parlamentu a Rady (EU) č. 1094/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro pojišťovnictví a zaměstnanecké penzijní pojištění), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/79/ES.

Od 1. ledna 2011 přebírá EIOPA veškeré stávající úkoly od Výboru evropských orgánů dohledu v pojišťovnictví a zaměstnaneckých penzích (Committee of European Insurance and Occupational Pensions Supervisors, CEIOPS) a je jí současně přidělena řada nových úkolů. EIOPA má zejména usilovat o:

  • lepší fungování vnitřního trhu, včetně především důkladné, účinné a jednotné úrovně regulace a dohledu,
  • zajištění integrity, průhlednosti, účinnosti a řádného fungování finančních trhů,
  • posílení koordinace dohledu na mezinárodní úrovni,
  • předcházení regulatorní arbitráži a prosazování rovných podmínek hospodářské soutěže,
  • zajištění, aby rizika spojená s pojištěním, zajištěním a zaměstnaneckými penzemi byla vhodně regulována a dohlížena,
  • posílení ochrany spotřebitelů.

(zdroj: ČNB, 2020)

Outsourcing vs. Cloud computing – přehledné srovnání

Existují nějaké compliance rozdíly mezi termíny Outsourcing a Cloud computing? Z regulatorního hlediska je to diskutované téma, jak se na ně tedy dívají české regulace?

Outsourcing vs. Cloud computing přehledně | Compliance portal

 

Termín Definice Zdroj
Outsourcing Pokud některou činnost, kterou by jinak vykonávala nebo mohla vykonávat povinná osoba sama, vykonává povinná osoba prostřednictvím jiné osoby (dále jen „outsourcing“), není tím dotčena odpovědnost povinné osoby“ (Vyhláška č. 163/2014 Sb. Vyhláška č. 163/2014 Sb.
Outsourcing Externí zajištění služeb nebo činností (outsourcing)” – znamená jakékoli ujednání mezi institucí, platební institucí nebo institucí elektronických peněz a poskytovatelem služeb, na jehož základě dotyčný poskytovatel služeb vykonává proces, službu nebo činnost, které by jinak byly prováděny samotnou institucí, platební institucí nebo institucí elektronických peněz EBA/GL/2019/02
Cloud computing Cloud Computing rozumí model uplatňovaný v oblasti informačních a komunikačních systémů a technologií, který umožní získat síťový přístup ke konfigurovatelným výpočetním prostředkům (např. sítě, servery, datová úložiště, aplikace a služby), které jsou sdíleny větším množstvím uživatelů a jejichž kapacita je poskytována a opět uvolňována s minimálními nároky na jejich správu anebo na intervenci poskytovatele cloud computingu . V právních předpisech finančního trhu se pojem cloud computing nevyskytuje“ Věstník ČNB, 2016
Cloudové služby Cloudové služby znamenají služby poskytované za použití cloud computingu, což je model, který umožňuje pohodlný síťový přístup kdykoliv a odkudkoliv ke sdílené množině konfigurovatelných výpočetních zdrojů (např. sítím, serverům, úložištím, aplikacím a službám), které lze rychle poskytnout či uvolnit s vynaložením minimálních nároků na jejich správu anebo zásahy ze strany poskytovatele služby. EBA/GL/2019/02

 

Regulace vnímají Cloud computing jako specifický druh Outsourcingu, z této logiky vychází i compliance požadavky. Požadavky, které jsou uvaleny na cloud computing, jsou přísnější. Poslední dobou se však objevují služby, které využívají cloudové služby a naplňují cloudové prvky, ale nejedná se o outsourcing. Pojem „non-outsoucing cloud“ však není v regulatorním prostředí ještě řádně ukotven.

Více… »

Jak je vaše společnost připravena na cloud?

Ad-hoc migrace aplikace do cloudového prostředí může být časově a nákladově náročná. Pokud se četnost migrací zvyšuje, tak celkové náklady na cloud mohou převýšit potenciální přínosy. Jak tomu předejít?

Jak je vaše společnost připravena na cloud? | Compliance portal

 

Odborníci ORBITu doporučují před opakovaným a plošným migrováním do cloudu provést analýzu připravenosti a ohodnotit vyspělost instituce.

Na jaké úrovni se nacházíte?

 

Vaším cílem by však neměla být tendence být na úrovni 5 (v některých případech to není ani možné). Pro celkový obrázek připravenosti je nutné vnímat i druhou perspektivu, a to:

 

 

Vyšší úroveň připravenosti na cloud snižuje rizika, ale zvyšuje se nutnost řízení daných aktivit. Vše je tedy otázkou vaší cloud strategie. Pomůžeme vám ji připravit.