Jak se vypořádat s cloud-outsourcing risk analýzou?
Jak se vypořádat s cloud-outsourcing risk analýzou?
Jeden z regulatorních požadavků pro přechod do cloudového prostředí je vypracování analýzy rizik (vycházející např. č. 163/2014 Příloha č. 7 a EBA/GL/2019/2).
Tato komplexní analýza rizik musí zahrnovat všechna relevantní rizika spojená se zamýšleným přechodem do cloudu. V článku vám poradíme, jak si (ne)počínat při jejím zpracování.
Přechod do cloudového prostředí představuje vždy přináší nová rizika. Důležité je daná rizika identifikovat, pojmenovat, zohlednit jejich relevanci, ocenit jejich pravděpodobnost a případný dopad, vytvořit preventivní opatření a ohodnotit znovu rizika, která jsou posléze schválena.
Analýza rizik je středobodem aktivit při migraci do cloudu. Je to činnost, do které vstupují výstupy z jiných oblastí (např. cloudová strategie) a zároveň se identifikují výstupy do jiných oblastí (např. návrh provozních procesů zabezpečení cloudových služeb).
Jak určitě NE!
Následující příklady vycházejí z našich zkušeností při tvorbě desítek analýz rizik. Být pionýrem slepých uliček, jak by řekl Cimrman, se tady nevyplatí. Tudy, přátelé, ne!
Extrémní obezřetnost
První z nevhodných přístupů je tzv. extrémně obezřetný přístup. Instituce chce řídit a monitorovat rizika, která se svým hodnocením blíží limitně k nule. S takovým přístupem můžeme mít i přes 100 rizik k jednomu cloudovému řešení (náš rekord je 156).
Při tomto přístupu nemohou být všechna rizika adekvátně řízena, protože se finančně nevyplatí vytvářet preventivní opatření pro každé z nich. Pouze přidáváte práci vlastníkovi analýzy rizik, který ji musí řídit, kontrolovat, reportovat a monitorovat (ideálně na roční bázi). Posléze ho ještě čeká více úsilí při kontrole interním auditem . V praxi je možné řídit maximálně několik málo desítek rizik.
Přílišná laxnost
Opačným přístupem je přílišná laxnost, kdy převáží postoj, že tvorba analýzy rizik je pouze nutné administrativní zlo. Nejčastěji se setkáváme s argumentací „však všechno je ve smlouvě podchyceno, riziko není žádné“. V důsledku toho je identifikováno málo heterogenních rizik, která jsou navíc odbyta jedním či dvěma preventivními opatřeními (bez následné kontroly a opakovaného vyhodnocování rizik v průběhu přechodu do cloudu).
Laxní přístup k tvorbě analýzy rizik je nebezpečnější než přístup extrémně obezřetný. V prvním případě se jedná (pouze) o mnoho zbytečných víceprací , ve druhém případě však nejsou správně řízena a současně ohodnocena rizika.
K ohodnocenému rizika je nutné zaujmout postoj, který riziko sníží. Jedná se o akceptace rizika, vyhnutí se riziku, jeho převod a vytvoření preventivního opatření. Poslední z postojů se vyžívá nejčastěji, ale pozor na laxnost v rámci identifikace preventivních opatření.
Preventivní opatření by neměla být zajištěna pouze pomocí smluvních doložek, ty vám totiž nezajistí praktické vykonání preventivního opatření. Pokud přistoupíte k opatřením jen tam, kde lze převést riziko smluvně, ale neuděláte interní nápravná opatření vedoucí k vyhnutí se nebo snížení rizik, budete hořce plakat.
Jedním z ukázkových příkladů je zajištění business kontinuity managementu a souvisejících plánů kontinuity. Ve smluvním zajištění je oblast standardně smluvně garantována. Pokud však dojde k aktivaci business kontinuity, tak bez procesně-organizačního zajištění není možné plán provést.
Samotné rozhodnutí o aktivaci business kontinuity vychází z procesního nastavení. Pokud přecházíte na záložní plány ( předpokládáme, že pravidelně testujete a budou zahrnovat i cloudové platformy), tak musíte následovat interní předpisy, které taktéž nejsou obsahem smlouvy.
Co doporučujeme?
Legislativní požadavky vymezují extrémní hranice v přístupu k analýzy rizik, čímž současně poskytují velkou míru volnosti, jak postupovat. Abychom byli přesní – jedná se o požadavek proporcionality (EBA/GL/2019/02 – Hlava III, část 5, 33. odstavec).
Metodika analýzy rizik je v každé instituci odlišná, na základě úspěšně dokončených projektů však obecně doporučujeme následující postup:
Jedná se o soustavu expertních workshopů. Jejich účastníky vyberte z různých oblastí/oddělení (právní, compliance, IT provoz, IT bezpečnost, business continuity management, outsourcing management, outsourcing manager, DPO, business vlastník, interní kontrola), a vytvořte tak heterogenní skupiny.
Máme zkušenost, že mezi účastníky budou tzv. brblalové, přistupující k analýze rizik extrémně obezřetně, i tzv. nadšenci, kteří smetávají rizika ze stolu. Laxní přístup eliminujete velkým počtem účastníků, extrémní obezřetnost udržíte pod kontrolou v kroku „deduplikace rizik“, která bývá nejčastěji prováděna rizikovými specialisty.
Zapojením souvisejících klíčových zaměstnanců zajistíte také lepší povědomí tam, a možných rizicích s tím spojených. Zaručujeme, že po 2–3 opakováních se procesní a časová náročnost zpracování cloud-outsourcingové analýzy rizik výrazně sníží a analýza přinese potřebné výsledky v podobě úspěšného a bezpečného přechodu do cloudu.
