Compartir a través de


Documentación de directivas de gobernanza en la nube

En este artículo se muestra cómo definir y documentar directivas de gobernanza en la nube. Las directivas de gobernanza de la nube especifican qué debe ocurrir o no en la nube. El equipo de gobernanza de la nube debe crear una o varias directivas de gobernanza de la nube para cada riesgo identificado en la evaluación de riesgos. Las directivas de gobernanza de la nube definen los límites de protección para interactuar con y en la nube.

Diagrama que muestra el proceso para configurar y mantener la gobernanza en la nube. En el diagrama se muestran cinco pasos secuenciales: crear un equipo de gobernanza de la nube, documentar directivas de gobernanza en la nube, aplicar directivas de gobernanza en la nube y supervisar la gobernanza de la nube. El primer paso se realiza una vez. Los cuatro últimos pasos se realizan una vez para configurar la gobernanza en la nube y de forma continua para mantener la gobernanza en la nube.

Defina un enfoque para documentar las directivas de gobernanza en la nube.

Establezca un enfoque para crear, mantener y actualizar las reglas y directrices que rigen el uso de servicios en la nube. Las directivas de gobernanza en la nube no deben ser exclusivas de una carga de trabajo específica. El objetivo es generar directivas de gobernanza en la nube que no requieren actualizaciones frecuentes y que tienen en cuenta los efectos de las directivas de gobernanza de la nube en todo el entorno de nube. Para definir un enfoque de documentación de directivas, siga estas recomendaciones:

  • Defina el lenguaje de gobernanza estándar. Desarrolle una estructura y formato estándar para documentar las directivas de gobernanza en la nube. Las directivas deben ser una referencia clara y autoritativa para las partes interesadas.

  • Reconocer los distintos ámbitos de gobernanza. Defina y asigne responsabilidades de gobernanza específicas adaptadas a los roles únicos de su organización. Por ejemplo, un desarrollador rige el código de la aplicación. Un equipo de carga de trabajo es responsable de una sola carga de trabajo y el equipo de la plataforma es responsable de la gobernanza que heredan las cargas de trabajo.

  • Evalúe los efectos generales de la gobernanza de la nube. La gobernanza de la nube crea fricción. Encuentre un equilibrio entre fricción y libertad. Tenga en cuenta los efectos de la gobernanza en la arquitectura de cargas de trabajo, las prácticas de desarrollo de software y otras áreas a medida que desarrolla directivas de gobernanza en la nube. Por ejemplo, lo que permite o no determina la arquitectura de la carga de trabajo y afecta a las prácticas de desarrollo de software.

Defina las directivas de gobernanza en la nube

Cree directivas de gobernanza en la nube que describen cómo usar y administrar la nube para mitigar los riesgos. Minimice la necesidad de actualizaciones frecuentes de directivas. Para definir directivas de gobernanza en la nube, siga estas recomendaciones:

  • Uso de un id. de directiva. Use la categoría de directiva y un número para identificar de forma única cada directiva, como SC01 para la primera directiva de gobernanza de seguridad. Incremente el identificador secuencialmente a medida que se agregan nuevos riesgos. Si elimina riesgos, puede dejar huecos en la secuencia o usar el número más bajo disponible.

  • Incluya la instrucción de directiva. Cree instrucciones de directiva específicas que aborden los riesgos identificados. Use lenguaje definitivo como tiene que, debería, no tiene que y no debería. Use los controles de cumplimiento de la lista de riesgos como punto de partida. Céntrese en los resultados en lugar de en los pasos de configuración. Asigne un nombre a la herramienta necesaria para la aplicación a fin de saber dónde supervisar el cumplimiento.

  • Incluya un identificador de riesgo. Enumere el riesgo en la directiva. Asocie cada directiva de gobernanza de la nube a un riesgo.

  • Incluya la categoría de directiva. Incluya categorías de gobernanza, como seguridad, cumplimiento o administración de costos en la categorización de directivas. Las categorías ayudan a ordenar, filtrar y buscar directivas de gobernanza en la nube.

  • Incluya el propósito de la directiva. Indique el propósito de cada directiva. Use el riesgo o el requisito de cumplimiento normativo que cumple la directiva como punto de partida.

  • Defina el ámbito de la directiva. Defina a qué y a quién se aplica esta directiva, como todos los servicios en la nube, las regiones, los entornos y las cargas de trabajo. Especifique las excepciones para asegurarse de que no haya ambigüedad. Use lenguaje normalizado para que sea fácil ordenar, filtrar y buscar directivas.

  • Incluya las estrategias de corrección de directivas. Defina la respuesta deseada a una infracción de una directiva de gobernanza en la nube. Adapte las respuestas a la gravedad del riesgo, como programar discusiones para infracciones de no producción y esfuerzos de corrección inmediatos para infracciones de producción.

Para obtener más información, consulte el ejemplo de directivas de gobernanza en la nube.

Distribuya las directivas de gobernanza en la nube

Conceda acceso a todos los usuarios que necesiten cumplir las directivas de gobernanza en la nube. Busque formas de facilitar el cumplimiento de las directivas de gobernanza en la nube para las personas de su organización. Para distribuir directivas de gobernanza en la nube, siga estas recomendaciones:

  • Use un repositorio de directivas centralizado. Use un repositorio centralizado y fácilmente accesible para toda la documentación de gobernanza. Asegúrese de que todas las partes interesadas, los equipos y las personas tengan acceso a las versiones más recientes de directivas y documentos relacionados.

  • Cree listas de comprobación de cumplimiento. Proporcione información general rápida y procesable de las directivas. Facilite el cumplimiento de los equipos sin tener que navegar por una amplia documentación. Para obtener más información, vea la lista de comprobación de cumplimiento de ejemplo.

Revise las directivas de gobernanza en la nube

Evalúe y actualice las directivas de gobernanza de la nube para asegurarse de que siguen siendo relevantes y eficaces en el gobierno de los entornos en la nube. Las revisiones periódicas ayudan a garantizar que las directivas de gobernanza de la nube se alineen con los requisitos normativos cambiantes, las nuevas tecnologías y los objetivos de negocio en constante evolución. Al revisar las directivas, tenga en cuenta las siguientes recomendaciones:

  • Implemente mecanismos de comentarios. Establezca formas de recibir comentarios sobre la eficacia de las directivas de gobernanza en la nube. Recopile información de las personas afectadas por las directivas para asegurarse de que todavía pueden hacer su trabajo de forma eficaz. Actualice las directivas de gobernanza para reflejar desafíos y necesidades prácticos.

  • Establezca revisiones basadas en eventos. Revise y actualice las directivas de gobernanza en la nube en respuesta a eventos, como una directiva de gobernanza errónea, un cambio tecnológico o un cambio de cumplimiento normativo.

  • Programe revisiones periódicas. Revise periódicamente las directivas de gobernanza para asegurarse de que se alinean con las necesidades, los riesgos y los avances en la nube en constante evolución. Por ejemplo, incluya revisiones de gobernanza en las reuniones periódicas de gobernanza de la nube con las partes interesadas.

  • Facilite el control de cambios. Incluya un proceso para la revisión y las actualizaciones de directivas. Asegúrese de que las directivas de gobernanza de la nube se mantengan alineadas con los cambios organizativos, normativos y tecnológicos. Deje claro cómo editar, quitar o agregar directivas.

  • Identifique las ineficiencias. Revise las directivas de gobernanza para buscar y corregir ineficacias en la arquitectura y las operaciones en la nube. Por ejemplo, en lugar de exigir que cada carga de trabajo debe usar su propio firewall de aplicaciones web, actualice la directiva para requerir el uso de un firewall centralizado. Revise las directivas que requieren un esfuerzo duplicado y vea si hay una manera de centralizar el trabajo.

Ejemplo de directivas de gobernanza en la nube

Las siguientes directivas de gobernanza en la nube son ejemplos de referencia. Estas directivas se basan en los ejemplos de la lista de riesgos de ejemplo.

Id. de directiva Categoría de directivas Id. de riesgo Instrucción de la directiva Fin Ámbito Corrección Supervisión
RC01 Cumplimiento normativo R01 Microsoft Purview debe usarse para supervisar datos confidenciales. Cumplimiento normativo Equipos de carga de trabajo, equipo de plataforma Acción inmediata por parte del equipo afectado, entrenamiento de cumplimiento Microsoft Purview
RC02 Cumplimiento normativo R01 Los informes diarios de cumplimiento de datos confidenciales deben generarse a partir de Microsoft Purview. Cumplimiento normativo Equipos de carga de trabajo, equipo de plataforma Resolución en un día, auditoría de confirmación Microsoft Purview
SC01 Seguridad R02 Asegúrese de que la autenticación multifactor (MFA) esté habilitada para todos los usuarios. Mitigación de infracciones de datos y acceso no autorizado Usuarios de Azure Revocación del acceso de usuarios Acceso condicional de Microsoft Entra ID
SC02 Seguridad R02 Las revisiones de acceso deben realizarse mensualmente en la gobernanza de Microsoft Entra ID. Garantizar la integridad de los datos y del servicio Usuarios de Azure Revocación inmediata del acceso por incumplimiento Gobernanza de id.
SC03 Seguridad R03 Los equipos deben usar la organización de GitHub especificada para el hospedaje seguro de todo el código de software e infraestructura. Garantizar la administración segura y centralizada de los repositorios de código Equipos de desarrollo Transferencia de repositorios no autorizados a la organización de GitHub especificada y posibles acciones disciplinarias por incumplimiento Registro de auditoría de GitHub
SC04 Seguridad R03 Los equipos que usan bibliotecas de orígenes públicos deben adoptar el patrón de cuarentena. Asegúrese de que las bibliotecas son seguras y conformes antes de la integración en el proceso de desarrollo Equipos de desarrollo Eliminación de bibliotecas no conformes y revisión de prácticas de integración para proyectos afectados Auditoría manual (mensual)
CM01 Administración de costos R04 Los equipos de carga de trabajo deben establecer alertas de presupuestos en el nivel de grupo de recursos. Evitar gastos excesivos Equipos de carga de trabajo, equipo de plataforma Revisiones inmediatas, ajustes para alertas Microsoft Cost Management
CM02 Administración de costos R04 Las recomendaciones sobre los costes de Azure Advisor deben revisarse. Optimización del uso de la nube Equipos de carga de trabajo, equipo de plataforma Auditorías de optimización obligatorias después de 60 días Advisor
OP01 Operaciones R05 Las cargas de trabajo de producción deben tener una arquitectura activa-pasiva entre regiones. Garantizar la continuidad del servicio Equipos de carga de trabajo Evaluaciones de arquitectura, revisiones semestrales Auditoría manual (por versión de producción)
OP02 Operaciones R05 Todas las cargas de trabajo críticas deben implementar una arquitectura activa-activa entre regiones. Garantizar la continuidad del servicio Equipos de cargas de trabajo críticas Actualizaciones en un plazo de 90 días, revisiones de progreso Auditoría manual (por versión de producción)
DG01 Datos R06 El cifrado en tránsito y en reposo debe aplicarse a todos los datos confidenciales. Protección de datos confidenciales Equipos de carga de trabajo Cumplimiento inmediato del cifrado y entrenamiento de seguridad Azure Policy
DG02 Datos R06 Las directivas de ciclo de vida de datos deben estar habilitadas en Microsoft Purview para todos los datos confidenciales. Administración del ciclo de vida de los datos Equipos de carga de trabajo Implementación en un plazo de 60 días, auditorías trimestrales Microsoft Purview
RM01 Administración de recursos R07 Bicep debe usarse para implementar recursos. Normalización del aprovisionamiento de recursos Equipos de carga de trabajo, equipo de plataforma Plan inmediato de transición de Bicep Canalización de integración continua y entrega continua (CI/CD)
RM02 Administración de recursos R07 Las etiquetas deben aplicarse en todos los recursos en la nube mediante Azure Policy. Facilitar el seguimiento de recursos Todos los recursos en la nube Corrección del etiquetado en un plazo de 30 días Azure Policy
AI01 INTELIGENCIA ARTIFICIAL R08 La configuración de filtrado de contenido de IA debe establecerse en media o superior. Mitigación de salidas perjudiciales de IA Equipos de carga de trabajo Medidas correctivas inmediatas Azure OpenAI Service
AI02 INTELIGENCIA ARTIFICIAL R08 Los sistemas de IA orientados al cliente deben estar en equipo rojo mensualmente. Identificación de sesgos de IA Equipos de modelos de IA Revisión inmediata, acciones correctivas para errores Auditoría manual (mensual)

Paso siguiente