Informační systémy ve finančním sektoru

Rostoucí počet on-line zneužití informačních systémů finančních institucí stejně jako regulatorní nařízení ved...


Rostoucí počet on-line zneužití informačních systémů finančních institucí
stejně jako regulatorní nařízení vede tyto ústavy k tomu, aby se poohlédly po
mnohem efektivnějším způsobu autentizace svých klientů. Problémem však je, že
právě tato oblast trpí minimální shodou o tom, co je vlastně tou optimální
metodou. Strana 18
Nové nástroje pro BI
Hitem posledních měsíců se staly nástroje, které dokáží zkombinovat funkce
vyhledávání v podnikových informačních systémech a systémů business
intelligence. Výsledkem je pak řešení, které je schopné nalézt relevantní
informace v reálném čase a poskytnout je i většímu počtu oprávněných uživatelů.
Strana 19
Jen málo odvětví si může dovolit tak značné investice do informačních systémů
jako právě finanční sektor. Vysoké marže, požadavky klientů i obrovská
konkurence mezi investičními, bankovními či pojišťovacími ústavy to jsou
klíčové faktory pro to, že tyto společnosti stojí v čele implementátorů
špičkových IT systémů zahrnující pokročilá úložná řešení, gridy, webové služby,
SOA, virtualizaci či rozšířené analytické nástroje. Za plány finančníků ale
nestojí jen jejich vlastní cíle tyto společnosti jsou často svázány i
legislativními požadavky, které musejí plnit ať už jde o bezpečnost
shromažďovaných údajů či soulad s různými vládními nařízení.
Výsledkem jejich snah je ale poněkud nestandardní situace zatímco tyto ústavy
provozují vynikající výpočetní prostředí s výbornou odezvou, existuje celá
armáda lidí, počínaje hackery a konče vládními úředníky, kteří se snaží na
chodu tohoto IS najít chybu. A každá zjištěná zranitelnost finančního subjektu
představuje masivní mediální kampaně, jak jsme se mohli ujistit nedávno v
souvislosti s problémem elektronického bankovnictví Komerční banky.
"Většina organizací z finančního sektoru si uvědomuje, že bez sofistikovaných
informačních technologií nebudou schopny čelit úspěšnějším konkurentům. Po
první generaci IS představovaných množstvím speciálních aplikací a systémů s
nepřehlednou strukturou a vysokými provozními náklady a zajišťujících podporu
administrativních back-office procesů přišla druhá generace IS, reprezentovaná
standardními a flexibilními back-office systémy integrovanými s pokročilými
front-office a řešením business intelligence či CRM," říká Petr Železník,
Business Consultant ve společnosti SAP. Na druhou stranu, jak dodává Lukáš
Zrzavý, výkonný ředitel společnosti Unicorn Systems, patří tyto ústavy mezi
velmi konzervativní zákazníky. Rozhodnutí o nahrazení existujících systémů
nepadají příliš často není potřeba nahrazovat fungující systém ve starších
technologiích a architekturách.
"V Česku je přitom poptávka v oblasti implementace nových IS ovlivněna zejména
třemi faktory, mezi něž patří snaha zvýšit efektivitu obchodních aktivit, dále
vnější změny finančního sektoru, kterým se instituce podřizují, a konečně i
tlak zahraničního vlastníka na centralizaci IT," dodává Martin Hladík, ředitel
divize Finance ve společnosti Ness Czech. "Finanční společnosti přitom musejí,"
upozorňuje Železník, "konsolidovat a centralizovat své obchodní aktivity,
vyrovnat se s novými požadavky ze strany regulatorních orgánů (například Basel
II), zefektivňovat své procesy či zavádět zákaznicky orientované služby."
"Velkou část těchto úkolů," pokračuje Železník, "nejsou finanční společnosti
schopné řešit prostřednictvím současných informačních systémů, jejichž tradiční
koncept většinou neumožňuje integrovat veškeré potřebné aplikace a systémy.
Současným trendem je využívat zavedená standardní odvětvová IT řešení
využívající takové technologie, jako web services, messaging na bázi XML či
SOA), a to na úkor speciálních aplikací vyvíjených na zakázku." S tím ale
nesouhlasí Miroslav Vaic, Senior Manager ve společnosti Trask solutions. Podle
něj v Česku dochází ke zvyšování poptávky ze strany finančních institucí po
všech typech projektů, a to včetně řešení programovaných na zakázku.
Rozporuplně se k této otázce staví Jiří Bíba, Chief Commercial Officer ve
společnosti Cleverlance. Jako zástupci společnosti, která z větší části
implementuje řešení dodávaná na zakázku, se mu prý přímo nabízí odpověď, že
klesá zájem o "balíková" řešení. Nicméně v mnoha oblastech je podle něj
poptávka po hotových řešení stále aktuální. Cleverlance například finančním
ústavům implementuje balíková řešení určená pro správu obsahu nebo systém pro
řízení IT.
Finanční instituce podle Zrzavého také masivně investují do řešení front-endu,
(pobočková síť, call centra, internet, osobní bankéři, dealeři atd.). Výjimkou
nejsou intranetové systémy provozované na přenosných zařízeních či noteboocích
prodejců vzdáleně přes internet. Pro vývoj jsou přitom využívány osvědčené
technologie, jako například Java nebo .Net. Přitom před třemi až pěti lety to
byl spíše PowerBuilder, C++ nebo Visual Basic.
Jedinou oblastí, která podle Vaice zatím nezaznamenala větší nárůst poptávky ze
strany finančních institucí, je B2B. To prý ale pravděpodobně souvisí s
otazníky kolem legislativního zajištění takových řešení a také kolem jejich
technologické a finanční náročnosti. Architektura služeb
Stále více společností si také uvědomuje, že konsolidace IT na jednotnou
standardní infrastrukturu umožňuje lepší stabilitu řešení při jeho rozšiřování
do budoucna a v konečném důsledku také nižší celkové náklady na řešení (TCO).
Petr Železník ze společnosti SAP si myslí, že jedním z důležitých
technologických trendů současného bankovnictví, vyplývajícího z požadavku na
obchodní flexibilitu, je potřeba nástroje pro podporu end-to-end procesů. To
při dnešní komplexnosti IT prostředí znamená nutnost vybudovat nad každým
interním i externím obchodním procesem (který může využívat různé systémy od
základních bankovních systémů přes CRM, scoringové systémy až po finanční
účetnictví či centrální správu smluv) infrastrukturu založenou na konceptu
podnikových služeb ESA, resp. SOA.
Tato architektura dovoluje snadno řídit různorodou infrastrukturu informačních
systémů, modifikovat ji podle aktuálních obchodních potřeb a rozšiřovat ji při
zachování jednotného prostředí pro práci uživatelů. V důsledku toho dochází ke
zprůhlednění procesů, vyčištění dat a k jejich sjednocení nad jednotnou datovou
bází, což například dovoluje vést jednotnou agendu daného klienta k různým
bankovním produktům navíc v reálném čase.
Čeští implementátoři někdy v případě finančních institucí stojí tváří v tvář
požadavkům, které nejsou jinými zákazníky často tak tvrdě vyžadovány. Většina
bankovních domů i dalších finančních institucí má podle Vaice od svých
vlastníků stanovenou řadu pravidel pro rozvoj i provoz IT počínaje doporučeními
v oblasti bezpečnosti a konče předepsanými balíkovými řešeními pro vlastní
byznys. Nadnárodní společnosti se také snaží lépe využívat svých zkušeností
získaných v jednotlivých zemích. Zajímavé na tom je ale i to, že se českým
organizacím často daří prosadit se v mezinárodním kontextu se svými řešeními, a
ta se pak stávají korporátním standardem.
Obecným trendem přitom podle Vaice i Bíby zůstává zkracování termínů na všechny
fáze realizace projektu počínaje analýzou a konče nasazením do produkce.
Nejpatrnější je to ve fázi RFP (nabídky), kdy zákazníci často očekávají, že na
základě svých předchozích zkušeností je dodavatel schopen připravit i rozsáhlou
nabídku v řádu několika málo dnů. Martin Hladík z firmy Ness si navíc myslí, že
je občas obtížné vyhovět všem požadavkům na implementaci IS. "Někdy se objeví
se výběrová řízení, kde je vyžadována implementace IS již využívaného
zahraničním vlastníkem. Pokud se v tomto případě nejedná o globálně dostupný
produkt (třeba SAP), pak to může znamenat pro lokální dodavatele ztížení
podmínek.
Určitou míru svobodného rozhodování, pokud jde o dceřiné společnosti
zahraničních bank, ale Zrzavý z firmy Unicorn vidí. "Snahy majitelů a
managementu mateřských institucí centralizovat řešení jsou viditelné, ale
zavádět jednotné systémy je rozumné v závislosti na míře shodnosti obchodního
prostředí v jednotlivých zemích a regionech. Podle mne dobrý majitel v takovém
případě ponechá české instituci určitou autonomii, při dodržení jasných
technologických a architektonických standardů," dodává Zrzavý.
Vliv outsourcingu
Využití outsourcingových služeb není podle Zrzavého ve finančním sektoru příliš
vysoké. "Pokud jde o plný outsourcing informačních systémů, včetně outsourcingu
provozu v hostingovém centru, domnívám se, že tato služba není příliš
rozvinuta. Jsou sice známy případy outsourcingu celého IT samostatnou
společností, ale obvykle se jedná pouze o formálně jiný právní subjekt, ale o
třetí straně bych nehovořil, protože tyto společnosti jsou vlastnicky
provázány. Finanční instituce si IS provozují obvykle sami s využitím třetích
stran na systémovou integraci, údržbu a rozvoj těchto systémů."
S tím souhlasí i Železník z firmy SAP: "Velké nadnárodní finanční společnosti
disponující dostatečnými finančními prostředky mnohdy zakládají vlastní
(interní) outsourcingové společnosti, kterým důvěřují více než externím. Těmto
poté předávají komplexně veškeré IS do správy včetně zodpovědnosti za rozvoj a
rutinní provoz." Outsourcing se využívá poměrně hojně v oblasti hardwarové
infrastruktury, například v oblasti přenosových linek, zajišťující propojení
jednotlivých poboček s garantovanou přenosovou kapacitou, náhradním nezávislým
řešením apod. Nejrozvinutější je v současné době podle Zrzavého outsourcing
lidských zdrojů, kdy si finanční instituce pronajímají kapacity ICT specialistů
pro vlastní IT projekty.
Miroslav Vaic z firmy Trask se podle svých slov zase setkává především s
outsourcingem vývojových prací, a to jak na úrovni jednotlivých konzultantů,
tak na úrovni konkrétních vývojových projektů. S tím souhlasí i Ondřej
Frydrych, obchodní ředitel segmentu finance ve firmě Adastra, a Jiří Bíba z
firmy Cleverlance, podle kterých se v ČR outsourcing IT služeb týká v převážné
většině případů vývoje IT systémů. Vyplývá to prý ze strategie finančních
institucí mít vlastní IT týmy nastaveny na velikost odpovídající minimální
poptávce po jejich službách a vyšší nároky pokrývat externě.
E-bankovnictví
"Dnes už snad každá banka disponuje určitou formou elektronického bankovnictví.
Já sám bych přitom tato řešení označil jako první generaci tohoto řešení," říká
Zrzavý. Jednotícím prvkem pro ní jsou podle něj jen základní operace jako
převod peněz z účtu na účet, zůstatek na účtu a výpis z něj, hromadný příkaz k
úhradě apod. Jednotlivé banky si postupem času ověřily technologie, postoje
klientů i možná očekávání. V současné době banky podle Zrzavého uvažují o
takzvané druhé generaci elektronického bankovnictví, kde hlavním přínosem pro
klienta bude integrace přes všechny produkty banky, popřípadě celé finanční
instituce. Vznikne tak jakýsi osobní finanční portál, kde bude možné pracovat s
celým portfoliem produktů (od běžných a spořících účtů, přes hypotéky, úvěry,
kreditní a debetní karty, podílové fondy, stavebních spoření, pojištění atd.).
Klient také bude mít celkový přehled o svých finančních prostředcích a
produktech, bude si provádět, plánovat a modelovat rozložení financí do
jednotlivých produktů apod.
Elektronické bankovnictví bude podle Hladíka také doplněno o internetové kanály
spojené s institucemi působícími mimo finanční sektor. "Strmější rozvoj je v
současnosti omezen zejména chybějící legislativou (třeba přijímání
elektronických dokumentů) a zdrženlivostí finančních institucí investovat do
nových projektů, kde prozatím neexistuje zřetelný obchodní úspěch v zahraničí."
(pal) 6 1395


Bezpečnost předevšímRostoucí počet on-line zneužití informačních systémů
finančních institucí stejně jako regulatorní nařízení vede finanční ústavy k
tomu, aby se poohlédly po mnohem efektivnějším způsobu autentizace svých
klientů. Problémem však je, že právě tato oblast trpí minimální shodou o tom,
co je vlastně tou nejoptimálnější metodou. Přesto už první smysluplné návody
toho, jak na to, existují. V první řadě je nutné stanovit si stupeň rizika, a
to ještě před tím, než se nakoupí hory hardwarových autentizačních prostředků a
biometrických systémů. "V oblasti autentizace neexistuje jedno řešení pro
všechny potřeby. Vše závisí na úrovni bezpečnosti, které je potřeba klientům
zajistit," říká Sally Hudsonová z firmy IDC. "Například v bance pro
nejrizikovější operace jsou výhodnější tokeny či smart-karty, méně rizikovým
uživatelům postačí softwarově řešená autentizace." Karen Devinová z firmy RSA
je rovněž přesvědčena, že by si bezpečnostní manažer příslušného finančního
ústavu měl předem odpovědět na tři základní otázky:
Kým je příslušná osoba? Zaměstnanec, partner, či zákazník. Pro všechny platí
jiný stupeň ochrany.
Kde se osoba nalézá? Jiné nebezpečí představuje osoba otevírající si čipovou
kartou dveře ústavu a jinou někdo, kdo vzdáleně přistupuje k IS finančního
ústavu. Nebo jinak se nahlíží na uživatele, který komunikuje s ústavem ze známé
IP adresy, a jinak na někoho, kdo má zemi původu v Nigérii.
Co vlastně osoba potřebuje? Jde o uživatele, který přistupuje k důvěrným datům,
anebo o zákazníka, jehož zajímají všeobecné údaje? Avšak i v případě, že se
jedná o on-line bankovnictví nebo o e-commerce, je třeba zachovat určitou
hranici. V případě příliš komplikovaného řešení totiž uživatelé mohou velmi
snadno o služby ztratit zájem a přejít k ústavu, který tak striktní metody
nepoužívá. Nikdo přece nechce za pár let chodit ověšen spoustou tokenů jenom
proto, že si někdo myslí, že je to nejvhodnější metoda, jak své služby
zabezpečit. Některé banky, jako třeba Bank of America, se přiklonily k systému
grafické relevance uživatelé před svým prvotním přihlášením si musejí například
vybrat oblíbený obrázek či frázi, a poté, co se připojí na web banky a vidí to
samé, vědí, že jsou na platné stránce ústavu. Anebo odpoví správně na předem
domluvený dotaz banky v případě, že přistupují z jí neznámé lokality. A cena
takového řešení prý jeden dolar ročně na jednoho uživatele.
Ne vždy je ale stupeň zabezpečení zcela rozhodujícím faktorem. "Dvoufaktorová
autentizace je vždy silnější než zabezpečení heslem. Ale v řadě aplikacích se
ta účinnější hodit nemusí. Vždy volte způsob, který je levný, uživatelsky
přívětivý a snadno aplikovatelný," radí bezpečnostní konzultant Brice Schneier.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.