Directivas corporativas

  • 20 minutos

Las directivas de gobernanza deficientes crean restricciones innecesarias y podrían no proteger la empresa. Esta unidad evalúa maneras de crear directivas corporativas adecuadas y que se puedan usar.

Directiva corporativa deficiente de Tailwind Traders

¿Cuál es el problema de la directiva actual de Tailwind Traders, desde la perspectiva del cliente?

Directiva de Tailwind: Los datos financieros y de los clientes, denominados "recursos protegidos", solo se pueden hospedar en un segmento de red específico de los centros de datos existentes.

Las directivas corporativas están diseñadas para instruir a los equipos sobre la mejor manera de abordar riesgos tangibles que la organización considera intolerables. Las directivas corporativas no están pensadas para requerir una implementación técnica específica.

Evaluación de la directiva corporativa existente

Al evaluar las directivas corporativas existentes para aplicarlas a la nube o en cualquier otra tecnología nueva, debería poder responder a las siguientes preguntas:

  • ¿Qué riesgo intenta mitigar esta directiva?
  • ¿Por qué la organización considera que dicho riesgo no es tolerable?
  • ¿Quién ha determinado que el riesgo no es tolerable?
  • ¿Cuándo se debe aplicar esta directiva (clasificación de la carga de trabajo, circunstancias específicas, etc.)? ¿Cuándo se deben revisar las excepciones?
  • ¿Cómo se aplica este proceso? ¿Con qué frecuencia debe revisarse la aplicabilidad de la directiva?
  • En el caso de procesos centrados en la tecnología, ¿agrega riesgo esta directiva al crear una dependencia en un proveedor o solución de tecnología específicos?

Como verá en la unidad siguiente, la directiva de Tailwind Traders para los datos protegidos no responde a estas preguntas. Puede que algunas se aborden en otro lugar, como en los manuales de directivas, pero de forma indiscutible no se alcanza a responder la pregunta final centrada en la tecnología. En lugar de mitigar el riesgo, en realidad genera riesgos a largo plazo al limitarse a una sola solución.

Definición de la directiva corporativa

La definición de directivas corporativas requiere centrarse en identificar y mitigar los riesgos empresariales, independientemente de la plataforma en la nube que use la organización. Una buena estrategia de gobernanza en la nube empieza con una sólida directiva corporativa. El siguiente proceso de tres pasos ofrece orientación sobre el desarrollo iterativo de directivas corporativas sólidas:

   

Business risk icon.
Riesgo empresarial: Investigue la clasificación de los datos y los planes de adopción de la nube actuales para identificar los riesgos empresariales. Trabaje con la empresa para equilibrar los costos de mitigación y tolerancia a riesgos.

Policy and compliance icon.
Directiva y cumplimiento: Evalúe la tolerancia a los riesgos para comunicar directivas que rijan la adopción de la nube y administren los riesgos. En algunas industrias, el cumplimiento de terceros afecta a la creación inicial de la directiva.

Process enforcement icon.
Procesos: El ritmo de las actividades de adopción e innovación naturalmente planteará infracciones de directivas. La ejecución de los procesos pertinentes ayuda a supervisar y aplicar el cumplimiento de las directivas.

Riesgo empresarial

Durante la adopción de la nube, se encuentra con varios riesgos. Estos son algunos ejemplos de los riesgos que pueden evolucionar en distintos puntos del trabajo de adopción:

  • Durante la experimentación temprana, se implementan algunos recursos con escasos datos relevantes. El riesgo es pequeño.
  • Cuando se implementa la primera carga de trabajo, el riesgo aumenta un poco. Este riesgo se corrige fácilmente si se elige una aplicación intrínsecamente de bajo riesgo con una base de usuarios pequeña.
  • A medida que se conectan más cargas de trabajo, los riesgos cambian en cada versión. Se ponen en marcha nuevas aplicaciones y los riesgos cambian.
  • Cuando una empresa pone en línea las primeras 10 o 20 aplicaciones, el perfil de riesgo es muy diferente de cuando entra en producción en la nube la milésima aplicación.

El riesgo es relativo. Una empresa pequeña con unos pocos recursos de TI en un edificio sin conexión tiene poco riesgo. Si se le suman usuarios y una conexión a Internet con acceso a estos recursos, el riesgo se intensifica. Cuando esa pequeña empresa crece hasta pertenecer a Fortune 500, los riesgos son exponencialmente mayores. A medida que se acumulan los ingresos, los procesos de negocio, los recuentos de empleados y los recursos de TI, los riesgos aumentan y se fusionan. Los recursos de TI que ayudan a generar ingresos se enfrentan al riesgo tangible de interrumpir la entrada de ingresos si se produce una interrupción. Cada momento de inactividad equivale a pérdidas. Del mismo modo, a medida que se acumulan los datos, aumenta el riesgo de daños para los clientes.

Según el resumen de la unidad sobre la narrativa del cliente de Tailwind Traders, a continuación se indican los riesgos que más preocupan a la CIO de Tailwind:

  • Gastos excesivos en la nube
  • Incumplimiento por parte de la organización de los requisitos de seguridad o cumplimiento
  • Una configuración de recursos que podría provocar descuidos o problemas de administración de operaciones.
  • Acceso no autorizado que pone en peligro los sistemas o los datos
  • Gobernanza incoherente debido a procesos todavía sin consolidar y equipos sin los conocimientos necesarios

Es importante tener en cuenta que ninguna de las preocupaciones está relacionada con "un segmento de red específico de los centros de datos existentes", como se menciona en la directiva actual de Tailwind. Para crear directivas de buena gobernanza empresarial que sean escalables a la nube, tenemos que profundizar más. Vamos a exponer los riesgos tangibles que se mencionan en la directiva actual frente a la solución actual.

Es probable que si se investigan más a fondo las preocupaciones de las partes interesadas y el plan de adopción de la nube, saldrá a la luz más riesgos que la organización no puede tolerar. Pero, por el momento, tenemos lo suficiente para empezar a dar forma a directivas de gobernanza que aborden estos riesgos tangibles.

Directiva y cumplimiento

Las directivas corporativas establecen requisitos, estándares y objetivos que el personal de TI y los sistemas automatizados tienen que admitir. Las instrucciones de directiva individuales son unas pautas para abordar los riesgos específicos que se han identificado durante el proceso de evaluación de riesgos. A continuación, se muestran algunos ejemplos de directivas corporativas adecuadas que guían la adopción en implementaciones de nube pública y privada, y que evitan la dependencia de un proveedor específico:

  • Evitar los gastos excesivos: las implementaciones en la nube conllevan un riesgo de incurrir en gastos excesivos, especialmente en el caso de las implementaciones de autoservicio. Todas las implementaciones deben asignarse a una unidad de facturación con un presupuesto aprobado y un mecanismo para aplicar límites presupuestarios.

    Consideración de diseño: en Azure, el presupuesto se puede controlar con Microsoft Cost Management. De la misma manera, Azure Advisor puede proporcionar recomendaciones de optimización para reducir el gasto por recurso.

  • Datos confidenciales seguros: es posible que los recursos que interactúan con datos confidenciales no reciban la protección suficiente, lo que puede provocar fugas de datos o interrupciones en la empresa. El equipo de seguridad debe identificar y revisar todos los recursos que interactúan con datos confidenciales para garantizar la aplicación de los niveles adecuados de protección.

    Consideración de diseño: en Azure, todos los recursos implementados deben etiquetarse con niveles adecuados de clasificación de datos. El equipo de gobernanza de la nube y el propietario de la aplicación deben revisar las clasificaciones antes de la implementación en la nube.

Proceso

La nube ofrece límites de protección para ayudar a reducir la sobrecarga humana de los procesos recurrentes al proporcionar desencadenadores de validación basados en la configuración de implementación. En la tabla siguiente se describen algunos desencadenadores y acciones que pueden abordar los riesgos que preocupan a la CIO de Tailwind Traders:

Riesgo Desencadenador de ejemplo Acción de ejemplo
Gastos excesivos en la nube El gasto mensual en la nube es un 20 % mayor de lo esperado. Informe al responsable de la unidad de facturación, para empezar a revisar el uso de los recursos.
Gastos excesivos en la nube Los recursos implementados no usan la CPU o memoria asignada. Informe al responsable de la unidad de facturación y cambie el tamaño automáticamente para que se adapte al uso real, siempre que sea posible.
Incumplimiento por parte de la organización de los requisitos de seguridad o cumplimiento Detecte cualquier desviación con respecto a la seguridad o el cumplimiento definidos. Informe al equipo de seguridad de TI y automatice la corrección, siempre que sea posible.
Configuraciones de recursos que podrían provocar descuidos o problemas de administración de operaciones El uso de CPU para una carga de trabajo es superior al 90 %. Notifique al equipo de operaciones de TI y amplíe los recursos extra para administrar la carga.
Configuraciones de recursos que podrían provocar descuidos o problemas de administración de operaciones Los recursos que no cumplen la aplicación de revisiones o los requisitos de continuidad empresarial y recuperación ante desastres desencadenan una advertencia de cumplimiento operativo. Informe al equipo de seguridad de TI y resuelva automáticamente la desviación, siempre que sea posible.
Acceso no autorizado que pone en peligro los sistemas o los datos Los patrones de tráfico se desvían de las topologías de red aprobadas. Informe al equipo de seguridad de TI y cierre automáticamente los vectores de ataque, siempre que sea posible.
Acceso no autorizado que pone en peligro los sistemas o los datos Los recursos están configurados sin asignaciones de roles adecuadas o privilegios elevados. Informe al equipo de seguridad de TI y resuelva automáticamente la desviación, siempre que sea posible.
Gobernanza incoherente debido a procesos todavía sin consolidar y equipos sin los conocimientos necesarios Los recursos identificados no están incluidos en los procesos de gobernanza necesarios. Informe al equipo de gobernanza de TI y resuelva automáticamente la desviación, siempre que sea posible.

Puede automatizar cada uno de estos desencadenadores y acciones mediante las herramientas de la Gobernanza en Azure. Otros proveedores de nube pueden requerir un enfoque más manual, pero las directivas definidas seguirán siendo aplicables. Tenga cuidado para evitar definir directivas que crearían una dependencia de un proveedor específico, de modo que no tenga que repetir este proceso de nuevo en el futuro.

Después de establecer las instrucciones de la directiva de la nube y redactar una guía de diseño, debe crear una estrategia para garantizar que su implementación de la nube cumpla con los requisitos de la directiva. Esta estrategia debe abarcar los procesos continuos de revisión y comunicación del equipo de gobernanza de la nube. Esta estrategia abarca los procesos de comunicación y revisión continuos del equipo de gobernanza de la nube. De la misma forma, también exige que se establezcan criterios para determinar cuándo las infracciones de directivas requieren acciones. También debe definir los requisitos para los sistemas de supervisión y cumplimiento automatizados que detectan infracciones y desencadenan acciones de corrección.

En la siguiente unidad, agruparemos estos tipos de riesgos en materias en la nube procesables.