Z Łukaszem Węgrzynem, Partnerem w kancelarii SSW i Michałem Furmankiewiczem, CEO Chmurowisko rozmawiamy o: problemach biznesowo-technicznych i prawnych związanych z migracją do cloud computing; podejściu dostawców do kontraktów chmurowych; motywacjach firm i potencjalnych korzyściach, które mogą one osiągnąć dzięki zastosowaniu rozwiązań cloud computing; zmianach związanych z możliwością wykorzystania chmury w sektorze bankowym oraz podejściu do rozwiązań multicloud.
Jakie są problemy biznesowo techniczne i prawne związane z migracją do chmury, którą na pewno rozważa obecnie wiele firm?
Michał Furmankiewicz (M.F.): Pierwszy problem, to czy naprawdę wiemy, czym ta chmura jest. Panuje przekonanie, że jest skalowalna, łatwo dostępna i nie trzeba inwestować upfront. Taka wiedza, to trochę za mało. W drugiej kolejności musimy odpowiedzieć na pytanie, do czego służy chmura? Co chcemy osiągnąć przez migrację? Czy chcemy dynamicznie tworzyć środowiska czy może szukamy gotowych rozwiązań, które już są w chmurze? Wiele firm wykorzystuje chmurę np. ze względu na potencjał zastosowania IoT i dostępność gotowych usług.
Jeśli traktujemy chmurę wyłącznie jako tańszy hosting albo pozbycie się problemów, to bym nie zaczynał, bo wówczas nic dobrego z tego nie wyjdzie. Dopiero, gdy poznam odpowiedzi na te pytania, poszedłbym do Łukasza i zapytał, czy są jakieś obostrzenia prawne i regulacyjne, które uniemożliwiają to w mojej branży. Z mojego doświadczenia rzadko napotyka się twarde przeszkody, których nie dałoby się obejść.
Poza sektorem bankowym, czy szerzej finansowym, są też obostrzenia w innych branżach?
M.F.: Na pewno, choć na rynku energetycznym spotkałem się bardziej z obostrzeniami wewnątrzfirmowymi niż sektorowymi. Są też te które dotyczą przedsiębiorstw, które podpadają pod ustawę o Krajowym Systemie Cyberbezpieczeństwa. Świat pokazuje, gdzie tak naprawdę leżą granice. Jeśli w UE można dane medyczne trzymać w chmurze, jeśli trzyma je tam armia amerykańska, czy firmy gazowe w Rosji (nawet jeśli oficjalnie tego nie potwierdzają), to nie widzę realnych, twardych przeciwskazań.
Jeśli traktujemy chmurę wyłącznie jako tańszy hosting albo pozbycie się problemów, to bym nie zaczynał, bo wówczas nic dobrego z tego nie wyjdzie. Dopiero, gdy poznam odpowiedzi na pytania – Do czego ma nam służyć chmura? Co chcemy osiągnąć przez migrację? Czy chcemy dynamicznie tworzyć środowiska czy może szukamy gotowych rozwiązań, które już są w chmurze? – poszedłbym do Łukasza i zapytał, czy są jakieś obostrzenia prawne i regulacyjne, które uniemożliwiają to w mojej branży. Z mojego doświadczenia rzadko napotyka się twarde przeszkody, których nie dałoby się obejść – mówi Michał Furmankiewicz.
Łukasz Węgrzyn (Ł.W.): Problem sektora bankowego jest najbardziej dyskutowany, podobnie jest z firmami ubezpieczeniowymi, chociaż – z pewnymi wyjątkami – sektor ten nie jest aż tak zaawansowany w wykorzystaniu rozwiązań chmurowych. Na dzisiaj zatem nie ma regulacji, które w sposób kategoryczny wykluczałaby dany sektor z korzystania z usług chmurowych. Nie oznacza to wszakże, że wejście do chmury jest łatwe. Wymaga istotnej analizy pod kątem technologicznym, biznesowym i prawnym. I o tym jak sądzę będzie nasza dzisiejsza rozmowa.
Jeszcze do niedawna, nie tyle problem zgodności regulacyjnej, co problem bezpieczeństwa informatycznego danych odgrywał krytyczne znaczenie dla decyzji czy migrować do chmury. Dzisiaj bezpieczeństwo chmury wydaje się nie być kwestionowane. Rozmawiałem niedawno z przedstawicielem jednego z podmiotów rozważających migrację chmurową w sektorze regulowanym, który stwierdził, że 4 lata temu bezpieczeństwo usług cloud computing było dla niego problemem. Teraz już nie można go podważyć, bo nikt nie ma takich zabezpieczeń, jak sami dostawcy cloud computing.
M.F.: Kwestia związana z bezpieczeństwem jest zawsze ważna. Okazuje się, że 88% udanych ataków na zasoby chmurowe wynika z jednego składnika, który siedzi między klawiaturą a krzesłem. Problem jest, ale nie tam, gdzie go szukamy, czyli w bezpieczeństwie infrastruktury cloud computing. Szkolenie użytkowników końcowych to podstawowe rozwiązanie problemów związanych z zabezpieczeniami.
Ł.W.: Jedną z największych barier w wykorzystaniu chmury są kompetencje: techniczne, analityczne oraz prawne. Dostrzegają to też regulatorzy. W komunikacie Urzędu Komisji Nadzoru Finansowego dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej z 23 stycznia 2020 roku o kompetencjach mówi się aż 5 razy! Może się więc okazać, że nie mamy możliwości kompetencyjnych, aby chmurę wdrożyć. Tę barierę jednak też da się usunąć.
Jedną z największych barier w wykorzystaniu chmury są kompetencje: techniczne, analityczne oraz prawne. Dostrzegają to też regulatorzy. W komunikacie Urzędu Komisji Nadzoru Finansowego dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej z 23 stycznia 2020 roku (bit.ly/3g4TW5q) o kompetencjach mówi się aż 5 razy! Może się więc okazać, że nie mamy możliwości kompetencyjnych, aby chmurę wdrożyć. Tę barierę jednak też da się usunąć – mówi Łukasz Węgrzyn.
Jakich kompetencji potrzebujemy? Czy przypadkiem chmura nie powinna zdejmować nam problemów z głowy?
M.F.: Takie podejście – kupiliśmy usługę, która jest samograjem – jest problemem. Wchodzimy tu w trudny temat. Jeśli kupiłeś sobie Office 365 czy pocztę od Google, to na pewnym poziomie przejmujesz się usługami. Jeśli robisz nowy system, greenfield, to do pewnego stopnia chmura zdejmie z ciebie odpowiedzialność za kupowanie sprzętu, etc. Ale nie rozwiąże wyzwań dotyczących zapotrzebowania systemu na moc, wyboru technologii, procesu uwierzytelniania czy odpowiedniego wykorzystania certyfikatów. Te problemy zostaną. Jeśli kupujemy SaaS to większy zakres usług oddaliśmy dostawcy. Natomiast jeśli kupimy rozwiązanie niższego rzędu – IaaS lub PaaS – to z jednej strony mamy większą swobodę, ale i odpowiedzialność. Dlatego trzeba się uczyć, bo mamy różne poziomy dostępnych usług a co za tym odpowiedzialności (model Shared Responsibility).
Co z kontraktami z dostawcami usług chmurowych?
Ł.W.: Muszę powiedzieć, że jest naprawdę duża zmiana w podejściu dostawców do negocjacji warunków kontraktowych, i to szczególnie w rozmowach z klientami z sektorów regulowanych (bankowość, ubezpieczenie, energetyka, zdrowie). Jeszcze 4-5 lat temu, gdy migracje chmurowe stawiały swoje pierwsze kroki, elastyczność negocjacyjna dostawców chmury była taka, jak zdolność koalicyjna Grzegorza Brauna, a więc bardzo umiarkowana, wręcz żadna. Nie było pola do dyskusji na temat tego, co możemy zmienić w umowie, co więcej nawet nie negocjowała się z dostawcą tylko z jego brokerem.
Teraz ta elastyczność jest dużo większa. Dostawcy co raz lepiej zdają sobie sprawę z nawisu regulacyjnego jaki ciąży nad sektorami regulowanymi. Ta świadomość dostawców pozwala im wyjść naprzeciw klientów i proponować takie warunki kontraktowe, które są zgodne z otoczeniem regulacyjnym, w którym dany klient funkcjonuje. Inny scenariusz w zasadzie wyklucza migrację chmurową, bo nikt nie zaryzykuje korzystania z usług chmurowych w sposób niezgodny z prawem lub wytycznymi regulacyjnymi. Sam KNF swoim styczniowym komunikatem jasno pokazuje, jakie warunki powinny być spełnione. Wdrożenia mają być kompatybilne z otoczeniem regulacyjnym i sektorowym. Dostawcy muszą to zaakceptować i akceptują.
Jeszcze raz podkreślę, że na tym obszarze postęp jest wykładniczy. Myślę, że to zasługa co raz większej świadomości dostawców chmurowych co do specyfiki regulacyjnej wybranych sektorów, a z drugiej strony jasnej polityki regulacyjnej UKNF, która pozwala zrozumieć wymagania i oczekiwania regulatora względem podmiotów planujących migrację chmurową.
Komunikat KNF wymaga sprawdzenia dwóch warunków: klasyfikacji rodzaju informacji, które przetwarzasz oraz określenia czy podlegasz pod wymogi regulatora. Wystąpienie jednego z tych warunków narzuca zastosowanie się do komunikatu. Jeśli nie podpadasz pod te kryteria, możesz – ale nie musisz – się zastosować. To oznacza, że mogę swobodnie budować środowiska przedprodukcyjne albo takie, które zawierają dane zanonimizowane. To duża różnica. Komunikat wymaga dostosowania wdrożeń w chmurze do nowych regulacji do 1 listopada 2020. Mamy maj, więc dużo czasu, aby się przygotować. W kwestii technologicznej komunikat mówi: oceń ryzyko, które dotyka twojego systemu, który chcesz osadzić w chmurze, oceń kwestię składowanych danych, a potem spełnij odpowiedni wymagania technologiczne, adekwatne do tego, co planujesz zrobić. To brzmi bardzo sensownie – mówi Michał Furmankiewicz.
M.F.: Musisz przyznać, że nowy komunikat Komisji Nadzoru Finansowego to krok w dobrą stronę.
Ł.W.: Tak, tego spodziewaliśmy się w 2017, kiedy miała nadejść liberalizacja chmury. Wtedy to się nie stało, ale w styczniu 2020 roku już tak. Przy czym warto zauważyć, że Komunikat z oczywistych względów nie rozwiązuje problemu zakazu limitowania odpowiedzialności dostawców za szkody klientów banku. To jest wymóg ustawowy wynikający z Prawa bankowego i dopiero zmiana prawa mogłaby ten wymóg zmienić. Przy czym warto zauważyć, że ten problem , rozwiązali dostawcy, wychodząc naprzeciw wymogom prawnym i proponując w umowach klauzulę spełniające ten konkretny obowiązek.
W jaki sposób komunikat KNF zmienia cloud computing w sektorze finansowym?
M.F.: Z mojej perspektywy komunikat wymaga sprawdzenia dwóch warunków: klasyfikacji rodzaju informacji, które przetwarzasz oraz określenia czy podlegasz pod wymogi regulatora. Wystąpienie jednego z tych warunków narzuca zastosowanie się do komunikatu. Jeśli nie podpadasz pod te kryteria, możesz – ale nie musisz – się zastosować. To oznacza, że mogę swobodnie budować środowiska przedprodukcyjne albo takie, które zawierają dane zanonimizowane. To duża różnica dla mnie. Komunikat wymaga dostosowania wdrożeń w chmurze do nowych regulacji do 1 listopada 2020. Mamy maj, więc dużo czasu, aby się przygotować.
W kwestii technologicznej komunikat mówi: oceń ryzyko, które dotyka twojego systemu, który chcesz osadzić w chmurze, oceń kwestię składowanych danych, a potem spełnij odpowiedni wymagania technologiczne, adekwatne do tego, co planujesz zrobić. To brzmi bardzo sensownie. Każdy system IT powinien być tak analizowany, nie tylko chmurowy. To ty musisz wiedzieć – bazując na klasyfikacji danych i ryzykach – jakie środki techniczne i procesowe zastosować by to zidentyfikowane ryzyko, mitygować.
Ł.W.: Regulator pokazał, że wszystko zależy od tego, z czego korzystasz, jakie dane przetwarzasz, jakie środki bezpieczeństwa stosujesz. Przeanalizuj to i podejmij decyzję we własnym zakresie. Musisz sam szacować ryzyko. Tu po raz kolejny kłaniają się kompetencje. Trzeba dopasować środki bezpieczeństwa i stwierdzić, czy są wystarczające.
Muszę powiedzieć, że jest naprawdę duża zmiana w podejściu dostawców do negocjacji warunków kontraktowych, i to szczególnie w rozmowach z klientami z sektorów regulowanych, takich jak bankowość, ubezpieczenie, energetyka i zdrowie. Jeszcze 4-5 lat temu, gdy migracje chmurowe stawiały swoje pierwsze kroki, elastyczność negocjacyjna dostawców chmury była taka, jak zdolność koalicyjna Grzegorza Brauna, a więc bardzo umiarkowana, wręcz żadna. Nie było pola do dyskusji na temat tego, co możemy zmienić w umowie, co więcej nawet nie negocjowała się z dostawcą tylko z jego brokerem. Teraz ta elastyczność jest dużo większa – mówi Łukasz Węgrzyn.
M.F.: Co mnie uderza, to gotowość kancelarii prawniczych i poziom przygotowania analiz umów na usługi cloud computing, które oferują dostawcy. Różnica w porównaniu z przeszłością jest gigantyczna, a i ceny zmalały. Te umowy mamy już przepracowane i można dosyć szybko rozpocząć pewne kwestie. Przykładowo Związek Banków Polskich przygotował Polish Banking Standard, to nie są pełne wytyczne, ale bardzo ułatwiają. Bardzo doceniam ten dokument.
Ł.W.: To się przydaje. Przyznaję to, choć pisała to moja konkurencja. Przekora podpowiada, że pewne rzeczy można by zrobić inaczej, ale co do zasady, chylę czoła i oddaję należny szacunek konkurentom.
KNF wspomina też o dywersyfikacji ryzyk poprzez multicloud. Jak to wygląda?
Ł.W.: To jest marzenie wielu podmiotów rynkowych, w szczególności dostawców, którzy mogą po prostu zaproponować: “niech pan kupi trzy chmury”. Prawnicy też z tego skorzystają. To już pączkowało 2 lata temu. Na poziomie unijnym dyskutowano, czy multicloud nie jest dobrą strategią na plany zapewnienia kontynuacji działania. W razie awarii zawsze można się przepiąć do innej usługi. Pojawiły się jednak problemy, gdy okazało się, że to przepięcie nie jest proste…
M.F.: …bo to są różne standardy.
Ł.W.: Jest też dyskusja o tym, aby zwiększać przenoszalność i interoperacyjność aplikacji i danych. Regulator idzie w kierunku wymagającym uwzględnienia modelu multicloud jako opcji bezpieczeństwa dla cloud computing. Zgaduję, i to Michał pewnie ten watek poszerzy, że na dzisiaj nie jesteśmy jeszcze przygotowani, aby pójść na dwa fronty. Ze względu na kompetencje, które muszą być podwojone. Co do zasady to dobry kierunek, pozwalający ograniczyć ryzyko vendor lock’a, który się może zdarzyć. Ale myślę, że na duże migracje typu multicloud musimy jeszcze poczekać, choć jako prawnik życzyłbym sobie, aby ten model już był powszechny.
Nikt nie zabroni klientowi rozważyć wielu chmur już teraz od strony prawnej i architektonicznej. Warto sprawdzić, ile taki projekt by potrwał. Pamiętajmy jednak, że migracja danych jest tak szybka, jak przepustowość łącza. Można się przygotowywać, pytanie czy na raz, czy stopniowo. Trzeba też pamiętać, że nie wszystkie usługi są przenaszalne. Nie wszystko jest kontenerem gotowym do migracji. Koszty budowy dwóch środowisk i szkoleń mogą urosnąć do znaczących rozmiarów. Jeśli mieliśmy zapłacić 1000-2000 USD miesięcznie za rozwiązanie chmurowe, to na dwóch strukturach koszt może wzrosnąć kilkukrotnie. Wtedy cała inwestycja może stracić sens – mówi Michał Furmankiewicz.
M.F.: Nikt nie zabroni klientowi rozważyć wielu chmur już teraz od strony prawnej i architektonicznej. Warto sprawdzić, ile taki projekt by potrwał. Pamiętajmy jednak, że migracja danych jest tak szybka, jak przepustowość łącza. Można się przygotowywać, pytanie czy na raz, czy stopniowo.
Trzeba też pamiętać, że nie wszystkie usługi są przenaszalne. Nie wszystko jest kontenerem gotowym do migracji. Koszty budowy dwóch środowisk i szkoleń mogą urosnąć do znaczących rozmiarów. Jeśli mieliśmy zapłacić 1000-2000 USD miesięcznie za rozwiązanie chmurowe, to na dwóch strukturach koszt może wzrosnąć kilkukrotnie. Wtedy cała inwestycja może stracić sens. Ktoś powie, że ma wspaniałe narzędzia do multicloud, ale ja spytam do czego ich używa? Do tworzenia usług? Monitorowania? Rozliczenia kosztów? Multicloud dopiero raczkuje, tak jak usługi brokerskie. W pewnych obszarach można to rozważać, ale nie jest to powtarzalne. Najczęściej wciąż przenaszalność nie jest tak wysoka, jakbyśmy sobie tego życzyli.
Dochodzi to tego koszt wymiany danych, gdy wychodzimy z danymi pomiędzy dwiema chmurami. Koszty są trudno policzalne i zazwyczaj wyższe niż myśleliśmy…
M.F.: Uczę klientów modeli kosztowych. Architekci chmurowi muszą te modele rozumieć. Musimy usiąść, wziąć rozwiązanie, sprawdzić, co chcemy zrobić i rozważyć czy warto. Dopóki nie jesteś platformą strumieniującą media, to paradoksalnie koszt danych wyjściowych z chmury nie przekracza często 10-15% całego kosztu, na który składa się głównie element „computing”. Gdybym robił drugiego Netfliksa, to uznałbym, że wyjściowy transfer jest kluczowy, ale to nie dotyczy banków czy dużych przedsiębiorstw.
Zoom zmigrował się teraz do chmury i wymienia 7PB danych dziennie.
M.F.: Gdybyśmy sprawdzili, jak dużą infrastrukturę mają po to, aby obsługiwać wszystkich użytkowników, to byśmy się dowiedzieli, np. ile kosztuje cała moc obliczeniowa pod rozwiązaniem. Tu trzeba wejść w detale, bo na poziomie ogólnym taka dyskusja nigdy nie jest prawdziwa.
Rozumiem, że multicloud i dywersyfikacja ograniczają się do części infrastrukturalnej, bo dwóch CRM-ów raczej nie będziemy instalować?
M.F.: Pamiętam moment, gdy mój kolega pracujący u partnera Google pokazywał, jak łatwo jest się zmigrować z narzędzi Google G Suite do Microsoft Office 365. To nie zawsze jest takie trudne. Jeśli na rynku jest zapotrzebowanie, to znajdzie się ktoś, kto takie uniwersalne narzędzie do migracji zbuduje, wypromuje i zacznie sprzedawać. Natomiast dam wam inny przykład z obszaru Serverless, nowej technologii tworzenia aplikacji. Narzędzia do pisania rozwiązań Serverless tak, aby były one uruchamiane w różnych chmurach, są powszechne.
Po pierwsze zadaj sobie pytanie, dlaczego chcesz wchodzić do chmury i szczerze na to pytanie odpowiedź. To pozwoli ci zobaczyć co jest dla ciebie największym priorytetem, a tym samym pozwoli na skoncentrowanie uwagi podczas negocjacji na kwestiach dla ciebie najważniejszych. Jednocześnie przeprowadź swój wewnętrzny audyt technologiczno-regulacyjny. To pozwoli zobaczyć ci twoje możliwości jak i ograniczenia wynikające z technologią jaką posiadasz dzisiaj, oraz otoczenia regulacyjnego w jakim dzisiaj jako organizacja funkcjonujesz. W drugim kroku zobacz jakie opcje chmurowe są na stole i które z nich najpełniej adresują twoje wyzwania i ograniczenia technologiczno-regulacyjne. W trzecim kroku zacznij negocjować z dostawcą – mówi Łukasz Węgrzyn.
Czy obecna sytuacja przyspiesza migrację do chmury?
Ł.W.: Czy przyspiesza? Już przyspieszyła. To było do przewidzenia. Jeśli szukać “szczepionki” na to, co mamy teraz, czyli pandemię, to chmura jest jednym z takich modeli. Uniezależnia bowiem organizacje od obecnej sytuacji, która może się powtórzyć. Chmura jest technologią, która jeszcze podwoi zainteresowanie sobą. Przechodzimy z fazy mówienia o chmurze, do działania.
Jeszcze nie wdrażamy jej hurtowo, ale tworzy się kolejka chętnych. Chmura na tej pandemii zyska, tak jak systemy paperless, zdalny obieg dokumentacji, zdalna komunikacja czy biznes z domu. Pandemia to napędzi. Pamiętajmy, że i tak 2020 miał być rokiem chmury. Teraz można uznać, że to rzeczywistość.
M.F.: Mam jedną uwagę. Nie jest sztuką teraz przenieść technologie do chmury. Trudniej jest zmienić procesy biznesowe, a bez tego dalej nic się nie wydarzy. Netfliks migrował się do Amazon Web Services aż 8 lat, Maersk migruje się 3 czy 4 rok do Microsoft Azure i innych chmur. To nie jest proces typu overnight. Wymaga głębokiej zmiany w organizacji. Każdy ma systemy, które wymagają odświeżenia. Trzeba przeprowadzić dogłębne planowanie. Dlatego u nas to się nie dzieje jeszcze masowo, bo planowanie trwa.
Rozmawiałem z jedną z firm, która praktycznie już się zmigrowała do chmury, ale został jej mocno scustomizowany system ERP. Legacy systems to jest duży problem, jeśli chodzi o migrację. Czy wobec tego stare systemy należy wymieniać na nowe? Czy może przepisać na mikroserwisy i kontenery? Działającego na mainframe systemu raczej nie zintegrujemy do chmury łatwo…
M.F.: To się zmienia. Usługi cloud computing z roku 2010, 2013, 2018 i dzisiaj to różne oferty, na innym poziomie dojrzałości. Najwięksi dostawcy w jakiejś formie oferują wynoszenie corowych systemów w oparciu o inne technologie do chmury. Pamiętajmy też, że przed problemami z systemami legacy nie uciekniemy. Jeśli będziemy zwlekać, to czy nie będziemy w takiej sytuacji jak Amerykanie, którzy – aby wypłacić środki z funduszu ubezpieczeń społecznych – muszą modyfikować kod napisany w latach 60. i za darmo rozdają szkolenia tylko po to, aby ktoś im zmienił ten system a’la nasz KSI ZUS?
Decyzja o tym jak migrować nigdy nie jest prosta. Pamiętam migrację w jednym z banków w Szwecji, która została rozpisana na 5 lat i kosztowała 120 mln USD. Projekt zwrócił się w ciągu kolejnych 5 latach. Bank jednak zmigrował się z technologii mainframe. Zawsze można zrobić hybrydową konstrukcję, ale wtedy długo zostajemy z ogonem. Dobrą praktyką jest rozpocząć od kanałów kontaktu z klientami, platform mobilnych, etc.
Teraz często migruje się środowisko użytkownika końcowego…
M.F.: Dokładnie. Całe nasze środowisko to jest jeden organizm, w którym występują opóźnienia, szyfrowanie, uwierzytelnienie… Pytanie, czy użytkownik będzie miał ten sam komfort pracy po migracji. Dla nas – 20-osobowej organizacji, która w chmurze pracuje od lat – jest to łatwe. W większych organizacjach trzeba jednak chwilę się zastanowić, aby lepsze nie stało się wrogiem dobrego.
Łukasz, na koniec zapytam o 3 najważniejsze rzeczy, na które trzeba zwrócić uwagę migrując się do chmury, poza tym, od czego zawsze zaczynasz prezentację, czyli planu wyjścia?
Ł.W.: Zawsze trzeba wiedzieć, jak wyjść (śmiech). Odwołam się jednak do naszej metodyki. Po pierwsze zadaj sobie pytanie dlaczego chcesz wchodzić do chmury i szczerze na to pytanie odpowiedź. To pozwoli ci zobaczyć co jest dla ciebie największym priorytetem, a tym samym pozwoli na skoncentrowanie uwagi podczas negocjacji na kwestiach dla ciebie najważniejszych. Jednocześnie przeprowadź swój wewnętrzny audyt technologiczno-regulacyjny. To pozwoli zobaczyć ci twoje możliwości jak i ograniczenia wynikające z technologią jaką posiadasz dzisiaj, oraz otoczenia regulacyjnego w jakim dzisiaj jako organizacja funkcjonujesz.
W drugim kroku zobacz jakie opcje chmurowe są na stole, i które z nich najpełniej adresują twoje wyzwania i ograniczenia technologiczno-regulacyjne.
W trzecim kroku zacznij negocjować z dostawcą. To wbrew powszechnej opinii jest możliwe. Ale warunkiem dobrych negocjacji jest zrobienie dwóch pierwszych kroków. One dadzą ci świadomość co do ograniczeń, priorytetów oraz koniecznych ustępstw. Pierwszym jest zapytanie klienta, po co chciałby wejść do chmury. Gdy już to dobrze wie, zastanawiamy się w jakim otoczeniu regulacyjnym funkcjonuje i jakie opcje są na przysłowiowym stole. Jeśli to wiemy, to wybieramy dostawcę lub dostawców i zaczynamy negocjować.
Dobra informacja jest taka, że nie ma dzisiaj takich barier, których co do zasady zabraniałby korzystać z chmury. To tylko kwestia wyboru usług, oszacowania ryzyk i sposobów ich mitygacji.
M.F.: Tak, możesz mieć techniczne wyzwania, ale to inna sprawa.
Ł.W.: Zgadzam się, ale z ogródka prawnego nie znajdziesz krytycznych przeciwskazań, które wyrzucą cię na margines. Oczywiście, to nie jest specjalne proste. Ta migracja się nie zadzieje w ani w 2, ani w 4 tygodnie. Jest dziś okienko chmurowe. Trzeba się spieszyć, ale to nie dzieje się overnight. Jestem zbudowany podejściem regulatora i dostawców. Kilka lat temu mi się marzyło, gdy brytyjski regulator Financial Conduct Authority wyszedł z propozycją, że nie mają nic przeciwko strategii Cloud First Policy dla sektora finansowego, jeśli sektor finansowy spełni odpowiednie kryteria, i że u nas też kiedyś tak będzie. Pamiętam, jak w Polsce byliśmy zachwyceni, jakie to FCA zaawansowane w ich myśleniu o chmurze. Teraz zbliżamy się do tego poziomu. Z perspektywy patriotycznej to bardzo dobre dla naszego rynku i kraju, bo jeśli nie wejdziemy do chmury, firmy się stąd wyniosą.
Michał, a jakie są największe wyzwania techniczne?
M.F.: Trzeba przede wszystkim zdefiniować, co chcemy zmigrować. Jak już mamy cel, to przeprowadźmy analizę systemów, które mamy i wybrać pierwszych kandydatów do migracji. Dobrze, aby te systemy dodatkowo dawały coś zwrotnie. Polecam zbudowanie sobie bazowej architektury chmury u siebie – sieć, komunikacja, tożsamość, zabezpieczenia, monitoring. To jest taki landing zone pod migrację. Kiedy już to mamy, zaczynamy migrować. Wyzwania wówczas mogą być różne: opóźnienia, nieprzenoszalność technologii, brak kompetencji wobec systemu, zamknięte rozwiązania dostarczane przez vendora trzeciego. Kluczowy jest wybór prostych pierwszych kandydatów do migracji. Potem możemy przesuwać się dalej w strategii migracyjnej.