EY安永是指 Ernst & Young Global Limited 的全球組織,也可指其中一個或多個成員機構,各成員機構都是獨立的法人個體。Ernst & Young Global Limited 是英國一家擔保有限公司,並不向客戶提供服務。
概要
企業對是否要在雲端資料、平臺即服務(PaaS)到軟體即服務(SaaS)技術等雲端基礎建設上投入數十億資金舉棋不定。目前的市場迫使高階主管面臨以更少的資源完成更多工作的挑戰,必須將新技術納入生態系統中,即使可能因此使環境產生改變。這代表希望讓雲端投資發揮極大價值的企業,必須先調整自身策略。立即採取行動將有助於企業瞭解雲端所帶來的全方位效益提升。
雲端技術儼然成為企業轉型、脫穎而出及取得市場優勢的基礎。1 過去幾年來,地震與疫情所帶來的轉變迫使企業迅速行動,加快採用及建置的腳步,且預期未來的速度仍不會放緩。實際上,IT研究機構Gartner預測雲端應用SaaS支出將於2023年達到1,950億美元,較2022年增加17%。2
隨著雲端採用迅速增加,企業無疑已開始透過這種營運方式發揮嶄新優勢。實際上,Nucleus Research指出從2018年1月到2020年11月,雲端部署的投資報酬率比地端工作量高出4倍。3 此外,企業初期投資成本的回收速度也較地端部署快上2.5倍。4
儘管如此,雲端仍有許多複雜性與各種未知因素。除了科技進步速度快外,更多樣的操作環境也不斷帶來挑戰,可能造成企業對完全採用雲端望之卻步。
要克服企業孤島與痛點,使用者必須採取從企業觀點出發的人本精神,方能讓雲端效益與功能發揮到極致。真正的問題是應該從何著手?
透過突顯效益,建置讓所有使用者皆可加入的連續性雲端模型,日後再根據即時意見回饋持續進化。從瞭解讓使用者怯步的常見瓶頸與痛點著手,據此開始建構模型。
企業仍擔心儲存在雲端的資料安全,以及可能危及機敏客戶資訊的潛在網路攻擊。一項由AMS所進行的研究顯示,95%的企業表示對雲端安全有所疑慮。5 資料外洩、資料隱私與機密意外揭露都令人擔心。
最佳範例:一間大型上市公司正在評估是否推動雲端轉型至Azure。該公司希望讓資料、運算、網路與儲存服務使用相同的基本架構,並透過原生與第三方工具提供多層防護。利用工具將所有資料分類、標示並加以保護也相當重要。要實現這項目標,我們利用Collibra資料治理平臺來剖析、分類與決定必須保護哪些資料元素。同時藉由資料保護功能,讓企業能夠遮蔽及(或)編輯DataBricks與資料視覺化層中(PowerBI)的個人身分識別訊息。
這項策略運用相同機制,有助於控制階段式資料轉移。這也讓我們能夠在資料加載、分析及最終使用前,檢查安全性及隱私防護,然後方能落實Azure安全性基準及DataBricks安全性建議,確保資料機密性與隱私。
這些對必須信任機構平臺的終端使用者來說都相當重要。現在,該企業可在機構環境中安全工作及營運了。以人為本的雲端方針代表以終端使用者觀點考量安全性。
要轉移至雲端需要事先投資硬體及軟體授權,也需有維護、支援及人員培訓的持續性成本預算。對大型企業來說,預算會迅速累加。
因此清楚闡明雲端效益有助於凝聚公司內部共識,推動大範圍採用及成果,深入研究雲端商業案例並進行策略對話,有助於往前邁進。不同的業務使用者對雲端疑慮的瞭解程度不盡相同,立刻縮小落差,讓應用程序所有者建立對程序及其預期效益最終的信任。
將使用者特定效益納入雲端轉移計畫是流程中不可或缺的一環。規劃完善的雲端轉移計畫不僅擘劃出清晰的轉移藍圖,也說明轉移至雲端的相關前期費用,使企業能夠規劃必要的投資、根據業務需求列出轉移活動優先順序,並透過定期監控雲端使用、成本優化以及特定部門或專案之成本分配,而管控成本。
最後的重點是善用雲端服務業者支援,管理雲端基礎建設並優化成本。如此一來,可減輕內部IT人員在各環節的工作負擔。
受高度管制的產業必須符合可能與雲端運算系統並不相容的嚴格法律規範。持續演進的法規越來越複雜,使企業對如何有效遵守與治理產生疑問及不確定性。
最佳範例:一間大型銀行希望利用Azure與AWS中的雲端原生功能,將雲端安全性態勢自動化,同時確保政策可靠並使用兩階段測試產生所需要的結果。該銀行之前使用Azure與AWS架構,希望無論利用哪種技術或雲端環境,都能達到雲端管控目標,並符合產業最佳實踐。
要達成這項目標,我們分析了超過200項雲端安全管控要求,設計政策邏輯以評估是否達到特定資源管控目的。我們使用HashiCorp Sentinel、Azure Policy及具備匿名函式功能的AWS Config,設計出兩階段、超過150項的其他政策,以便強化管控,接下來是其他階段。
這些措施確立了持續整合/持續部署(CI/CD)實踐與Git管控開發,同時探究如參數注入等彈性編碼機制。
各步驟都有助於銀行整合彈性編碼機制,在日新月異的法規環境中更游刃有餘。這項讓雲端功能發揮到極致的人本策略,能夠讓在各種監管環境下營運的所有企業受惠。
企業希望確保客戶資料保存在國內,而非交由外國第三方託管。此類資料主權與在政府及公務部門中營運的企業尤其有關。
要符合這些要求,代表必須與有本地資料中心的雲端業者合作;資料中心需位於蒐集及處理資料的國家內。此舉可確保資料仍在該國管轄範圍內,並受當地資料保護法保護。傳輸與儲存資料時,企業可加密以保護機敏資料。
企業應考慮使用靜態加密及傳輸中加密,防止未經授權的資料存取。擬定資料治理策略,以符合當地法規的方式管理資料,確保以負責任的手段使用資料並符合道德規範。
將IT營運外包給雲端業者,可能讓絕大多數企業擔心對資料管理與留存失去掌控,而可能讓客戶隱私及法遵要求暴露於風險中。
要克服這項障礙,企業必須採取全方位策略。掌握將風險、勞動力、治理、技術與營運連結起來的整體局勢相當重要,將有助於確保您的現代化手法可對整個職能領域產生正面影響,而非孤立進行。建構涵蓋所有範圍的整體策略,包括上述特定挑戰,同時建立雲端策略。
選擇在安全及隱私方面聲譽卓著、採取透明安全與法規合規實踐的雲端服務業者。針對雲端資料,制定明確的資料存取管控也相當重要,可涵蓋一切相關資訊,包括有權存取資料者、存取時間,以及使用方法,更重要的是,在流程中加入定期安全稽核。藉此將有助於企業確認及因應弱點,確保儲存在雲端的資料安全無虞。
在地觀點
隨著科技的迅速發展,雲端服務已成為金融創新的關鍵推動力,金融業者可藉採用雲端服務,提升資料處理能力及快速導入新金融服務。為了加速推動金融業的雲端服務應用,近期金管會宣布修改法規,鬆綁金融三業上雲規定,減少申請準備文件種類,降低金融業者申請核准使用雲端服務的門檻。
雲端服務管理回歸金融業者依照內控機制管理,負有最終責任,並應加強董(理)事會對委外風險的認知。各金融業者應關注的重要課題為建構完善的雲端治理架構,透過事前充分評估風險、事中完善規劃、事後落實控管的具體措施。金融業者使用雲端服務,在提升服務品質及增進客戶體驗的同時,亦應以確保客戶權益及維持重要營運為優先,善盡管理責任,落實法令遵循。
曾韵 Christina Tseng
安永諮詢服務股份有限公司 執行副總經理
以人本精神重新檢視現有雲端模型,有助於在雲端中工作、創新、協作與連接的使用者將其功能發揮到極致。雖然CIO與其他主管可能尚在努力對抗雲端部署的疲勞浪潮,但現在還不到放棄的時刻。反之,應該協助利害關係人瞭解雲端,以彰顯其價值。從「一步到位」策略轉向擁抱真正不斷演進的持續性雲端方針,尋求建置雲端的持續性模型、評估其有效性、定期調整,自此獲得更可觀的雲端投資報酬率。
安永最新觀點
本文主要整理安永近期觀察各國監管針對銀行業氣候變遷之轉型情境分析與壓測指引之重點,以及安永與風險管理協會(RMA)對全球28間銀行進行氣候風險調查之結果。