Krönika: Så här styr banken in i en trygg hamn i molnet

Banker kan precis som de flesta andra företag dra nytta av molntjänster. Men det är i vissa avseenden krångligare för bankerna att åtnjuta fördelarna, inte minst på grund av regulatoriska skäl. Det krävs en del jobb för att kunna åtnjuta den ökade flexibilitet, de kostnadsbesparingar och det minskade behovet av intern kompetens som molnet ger.

En viktig faktor för att lyckas med molnmigreringar är att få till ett bra samarbete mellan banken och leverantörerna av både molntjänster och av publika molnplattformar. Det inbegriper bland annat tydliga beskrivningar och avtal om ansvarsfördelning. Med det på plats blir det möjligt att anpassa sig även till nya lagar och regler, och till olika typer av risker.

En uppenbar utmaning vid en molnmigrering är att säkerställa skydd av kunders data. För svenska banker inbegriper det till exempel lagstiftning om i vilka länder data får lagras, vilket utesluter många molntjänster, och förstås GDPR. Även andra data som hanteras är omgärdade av lagar och regler. Ett exempel är data som behövs för att få support, som kan få lagras utanför EU om vissa kriterier uppfylls, till exempel om kryptering.

En viktig sak att tänka på är att ansvaret för tjänsterna kvarstår hos banken även efter en molnmigrering. En molntjänstleverantör som hjälper till att identifiera och hantera risker underlättar. Tänk även på att banken behöver övervaka att tjänsteleverantören sköter sina åtaganden, vilket innebär att det måste finnas avtal om rättigheter till revisioner. Det gäller att nagelfara de avtal som leverantörer av både molntjänster och molnplattformar erbjuder.

Lägg till detta behovet av kontinuerlig drift och att upprätthålla tjänstekvaliteten för kunderna. Det innebär bland annat att tjänsteleverantören måste underrätta banken kontinuerligt om möjliga risker. Banken och tjänsteleverantören måste också tillsammans ta fram kontinuitetsplaner och testa dem regelbundet.

Det går att göra en väldigt lång lista över lagar, EU-direktiv, olika branschnormer, ISO-standarder, med mera, som är viktiga i sammanhanget. Det är naturligtvis bra att ha koll på så många som möjligt av dem. Men det finns också en fara att gå vilse i en skog av lagar, regler och standarder.

Jurister i all ära, de behövs, men de har en tendens att vara detaljfixerade och se varje enskild detalj som ett uppdrag som ska lösas. Det är nödvändigt, men risken finns att det blir väldigt tidsödande och att man ständigt behöver uppfinna hjulet på nytt. I värsta fall handlar det om att ständigt släcka nya bränder.

Det blir väldigt viktigt att definiera och implementera en modell för ansvarsfördelning mellan banken och leverantörerna av molntjänster och molnplattformar. Modellen ska tydligt definiera vilka olika ansvarsområden de olika parterna har.

Tjänste- och molnleverantörer som ser sig själva som partner till en bank och ger expertstöd åt den har bättre chanser att lyckas. Det innebär förstås att molnsatsningen blir dyrare för banken initialt och att leverantörerna måste lägga ner energi och pengar på fler saker än att bara leverera datakraft och applikationsdrift. Men det är en kalkyl som är en enkel att räkna hem i det långa loppet.