Accenture’ın yıllık bankacılık bulut raporuna göre, bankalar buluta geçiş için çekirdek sistemleri hedeflediğinden, bulut yeteneklerine kaynak sağlama zorluğu önemli bir risk faktörüdür.
Raporda, “bu temel işlevleri yönetmek için bulut uzmanlığına sahip personel eksikliği ve mevcut ortamda gerekli becerileri işe almanın zorluğu” da dahil olmak üzere, bankaların çekirdek geçişi çeşitli nedenlerle yüksek riskli olarak algıladıkları belirtildi.
Genel bulutun benimsenmesi, hem bir güvenlik yükseltmesini hem de bir risk faktörünü temsil ediyor; bu, bankacılık sektörünün bulut benimsemeye yönelik coşku ve suskunluk karışımına yansıyan bir paradoks.
ABD Hazine Bakanlığı tarafından finansal hizmetlerde bulutun benimsenmesi hakkında geçen ay yayınlanan bir rapora göre, bulut dağıtımlarının karmaşıklığı ve teknik uzmanlık eksiklikleri yanlış yapılandırma hatalarına yol açıyor; bu, güvenlik açıklarının en yaygın nedenlerinden biri.
Raporda, “Doğru bir şekilde yapılandırıldığında, genel bulut hizmetleri dayanıklı ve güvenli bir ortam sağlayabilir” deniyor. “Ancak herhangi bir bulut hizmetinin dayanıklılığı ve güvenliği, satıcıya ve hizmete ve ayrıca her hizmetin nasıl yapılandırıldığına, sağlandığına ve yönetildiğine bağlı olarak değişebilir ve değişecektir.”
Danışmanlık firması Gartner’da bankacılık ve finansal hizmetler araştırma müdürü Jason Malo, CIO Dive’a yama yönetiminin belirli bir zayıflık noktası olduğunu söyledi.
Malo, “Son birkaç yılda meydana gelen olaylara baktığınızda, nadiren büyük bir hizmet reddi veya bilgisayar korsanı saldırısı oluyor” dedi. “Genellikle birisi bilinen bir açıktan yararlanma ile bir web uygulaması güvenlik duvarına yama uygulamamıştır.”
Göç ilerlemeleri
Yine de Accenture, finans sektöründe bulut kullanımının geçen yıl hız kazandığını tespit etti.
Yaklaşık 100 bankayı analiz eden BT hizmetleri ve danışmanlık firmasına göre, toplam depolama ve bilgi işlemin yüzdesi olarak bulut iş yükleri, 2021’de yalnızca %8 olan ağırlıklı ortalama %15’e ulaşarak neredeyse iki katına çıktı.
Temel bankacılık sistemlerinin geçişi gecikmeli olarak devam etti ancak ivme kazandı. Buluttaki temel işlevlerin yüzdesi, 2021’de %3 olan bu iş yüklerinin %7’sini bulut ortamlarında çalıştıran bankalarla iki kattan fazla arttı.
Eski sistemlere bağımlı diğer birçok sektörde olduğu gibi bankalar için de bulut yolculuğu, değiştirilmesi en kolay kurumsal uygulamalarla başladı ve ardından arka uç BT’ye geçti.
5 bankadan yaklaşık 4’ü, satış, pazarlama, insan kaynakları ve finans uygulamaları da dahil olmak üzere kurumsal sistemler için en azından kısmen genel bulut altyapısına güveniyor. Yine de Accenture’a göre iş yüklerinin %85’i şirket içinde kalıyor ve karmaşık eski sistemlerde sıkışıp kalıyor.
Rapora göre, iş yüklerinin yarısından fazlası artık bulut tabanlı ve yıldan yıla yüzde 15 artışla, işbirliği yazılımı ve işyeri uygulamaları geçiş ücretine öncülük ediyor.
BT ve operasyon iş yükleri daha da büyük bir artış yaşadı ve yüzde 16 arttı, ancak bu hala iş yüklerinin yaklaşık üçte ikisini şirket içinde bırakıyor.
Güvenlik paradoksu
Bu ilerlemelere rağmen, çekirdek göçü sıkıntılı olmaya devam ediyor.
Teknoloji danışmanlığı şirketi PwC’de bulut ve dijital lider olan Cenk Özdemir, CIO Dive’a bir e-posta ile “Bulutta azaltılmış güvenlik algısı birçok kuruluş için bir zorluktur” dedi. “Ancak yaygın inanışın aksine, bulut sağlayıcıları siber güvenliğe daha fazla zaman ve para harcadıkları için buluta geçiş genellikle güvenliği artırabilir.”
Temel uygulamalar ve eski sistemlerle entegrasyon, bulutun benimsenmesini zorlaştırır. İşlemleri kesintiye uğratmadan veya sistemleri güvenlik risklerine maruz bırakmadan iş yüklerini değiştirmek için gereken bilgiyi bulmak zor olabilir.
Accenture, şirket içi sistemlere ek olarak, 10 bankadan 7’sinin birden fazla bulut hizmeti sağlayıcısı kullandığını tespit etti. Bu, ekosisteme daha fazla karmaşıklık getirir ve beceri geliştirme ve yetenek işe alımı için ön ödemeyi yükseltir.
Malo, çoğu bankanın birden fazla CSP’yi benimsediğini ve bir bulut ekosisteminin bilgisinin diğerlerine çevrilmesi gerekmediğini söyledi.
EY’de ABD finansal hizmetler teknolojisi risk sunumu lideri George Haggar, şirketlerin bulut ölçeklenebilirliğinden yararlanmak için yönetişim ve işletim prosedürlerini yeniden tanımlamaları gerektiğini söyledi.
Haggar, “Kuruluşların bulutun güçlü yönlerinden yararlanmak için farklı şekilde çalışması gerekiyor” dedi. “Şu anda yaptıklarını şirket içi ortamlara bir bulut bağlamında uygulamakla kalmıyor, bu işe yaramayacak.”
Hazine raporuna göre, CSP’lerin de finansal kurumlara operasyonel olaylar, tedarik zinciri riski ve dayanıklılık testi konusunda daha fazla şeffaflık sağlayarak oynayacakları bir rol var.
Bulut benimsemeyi kolaylaştırmak için CSP’lerin, bankalara yetenek eksikliğini gidermek için kaynak ve araçlar sağlaması gerekir.
Bankalar, kurumsal mimariden bağımsız olarak düzenleyicilere cevap vermeye hazır olmalıdır. Malo, “Bankalar uyumluluk sorularını yanıtlayamazsa, bu sorunlar yaratır ve bulut sağlayıcılar kesinlikle kendilerini bir denetimin ortasında bulmak istemezler,” dedi.
CSP’ler risk azaltıcı endüstri bulut çözümleri sunabilir, ancak güvenlik için sorumluluk Silikon Vadisi’nde değil finans sektöründedir.
Malo, “Bankalar teknoloji yığınlarını dışarıdan temin edebilir,” dedi. “Dış kaynak alamayacakları şey, verilere ve müşterilerine karşı sorumluluklarıdır.”