Políticas corporativas

  • 20 minutos

Políticas de governança deficientes criam restrições desnecessárias e podem não proteger a empresa. Esta unidade avalia formas de criar políticas corporativas adequadas e acionáveis.

Política corporativa imprópria da Tailwind Traders

O que há de errado com a política existente da Tailwind Traders, a partir da narrativa do cliente?

Política de vento de cauda: os dados financeiros e de clientes só podem ser hospedados em um segmento de rede específico dos datacenters existentes, conhecidos como ativos protegidos.

As políticas corporativas são projetadas para instruir as equipes sobre a melhor maneira de lidar com riscos tangíveis que a organização considera não toleráveis. As políticas corporativas não são projetadas para exigir uma implementação técnica específica.

Avaliar a política empresarial existente

Ao avaliar as políticas corporativas existentes para aplicá-las à nuvem ou a qualquer outra nova tecnologia, você deve ser capaz de responder às seguintes perguntas:

  • Que risco é que esta política tenta mitigar?
  • Porque é que esse risco não está enquadrado na tolerância de risco organizacional?
  • Quem é que decidiu que o risco não é tolerável?
  • Quando essa política deve ser aplicada (classificação da carga de trabalho, situacional, etc.)? Quando é que as exceções devem ser revistas?
  • De que forma é que este processo é imposto? Com que frequência deve a política ser revista quanto à sua aplicabilidade?
  • Para processos focados em tecnologia, essa política adiciona risco ao criar uma dependência de uma solução de tecnologia específica ou de um fornecedor de tecnologia?

Como você aprenderá na próxima unidade, a política da Tailwind Traders sobre dados protegidos não responde a essas perguntas. Alguns deles podem ser abordados em outros lugares, como em manuais de políticas, mas a questão final focada em tecnologia é uma falha inegável. Em vez de mitigar o risco, introduz riscos a longo prazo ao bloquear uma única solução.

Definir a política da empresa

A definição de políticas corporativas requer um foco na identificação e mitigação de riscos de negócios, independentemente da plataforma de nuvem que a organização usa. Uma estratégia saudável de governança da nuvem começa com uma política corporativa sólida. O seguinte processo em três etapas orienta o desenvolvimento iterativo de políticas empresariais sólidas:

   

Business risk icon.
Risco do negócio: investigue os planos atuais de adoção da nuvem e a classificação de dados para identificar riscos para os negócios. Trabalhe com a empresa para equilibrar os custos de tolerância e mitigação de riscos.

Policy and compliance icon.
Política e conformidade: avalie a tolerância ao risco para informar as políticas que regem a adoção da nuvem e gerenciam os riscos. Em algumas indústrias, a conformidade de terceiros afeta a criação de políticas inicial.

Process enforcement icon.
Processos: O ritmo das atividades de adoção e inovação naturalmente criará violações de políticas. A execução de processos relevantes ajuda a monitorar e impor a adesão às políticas.

Risco do negócio

Durante a adoção da nuvem, você encontra vários riscos. Aqui estão alguns exemplos de riscos que podem evoluir em diferentes pontos do seu esforço de adoção:

  • Durante a experimentação inicial, alguns ativos com pouco ou nenhum dado relevante são implantados. O risco é pequeno.
  • Quando a primeira carga de trabalho é implantada, o risco aumenta um pouco. Esse risco é facilmente corrigido escolhendo um aplicativo inerentemente de baixo risco que tenha uma pequena base de usuários.
  • À medida que mais cargas de trabalho ficam online, os riscos alteram-se a cada versão. Novos aplicativos entram em operação e os riscos mudam.
  • Quando uma empresa coloca as primeiras 10 ou 20 aplicações online, o perfil de riscos é muito diferente de quando a milésima aplicação entra em produção na cloud.

O risco é relativo. Uma pequena empresa com alguns ativos de TI em um prédio que está offline tem pouco risco. Adicione utilizadores e uma ligação à Internet com acesso a esses recursos e os riscos intensificam-se. Quando uma pequena empresa chega ao patamar da Fortune 500, os riscos são exponencialmente maiores. À medida que a receita, os processos de negócios, o número de funcionários e os ativos de TI se acumulam, os riscos aumentam e se aglutinam. Os ativos de TI que ajudam a gerar receita correm um risco tangível de interromper esse fluxo de receita se ocorrer uma interrupção. Cada momento de inatividade equivale a perda. Da mesma forma, à medida que os dados se acumulam, o risco de danos aos clientes aumenta.

De acordo com o esboço da unidade de narrativa do cliente da Tailwind Traders, aqui estão os riscos com os quais o CIO da Tailwind está mais preocupado:

  • Excesso de gastos na cloud
  • A organização não cumpre os requisitos de segurança ou de conformidade
  • Configuração de ativos criando problemas ou descuidos de gerenciamento de operações
  • Sistemas ou dados comprometedores de acesso não autorizado
  • Governação inconsistente devido a processos imaturos e falta de competências na equipa

É importante notar que nenhuma das preocupações está relacionada a "um segmento de rede específico dos datacenters existentes", como citado na política atual da Tailwind. Para criar políticas de governança sólidas que se expandam para a nuvem, precisamos nos aprofundar um pouco mais. Vejamos os riscos tangíveis que são capturados na política atual versus a solução do estado atual.

É provável que uma investigação mais profunda das preocupações das partes interessadas e do plano de adoção da nuvem mostre mais riscos que a organização não pode tolerar. Por enquanto, temos o suficiente para começar a dar forma a políticas de governação que abordam estes riscos tangíveis.

Política e conformidade

As políticas corporativas estabelecem os requisitos, padrões e metas que sua equipe de TI e sistemas automatizados precisam suportar. As declarações de política individuais são diretrizes para lidar com riscos específicos identificados durante o processo de avaliação de riscos. Aqui estão alguns exemplos de políticas corporativas adequadas que orientam a adoção em implantações de nuvem pública e privada e que evitam bloquear um fornecedor específico:

  • Evite gastos excessivos: as implantações na nuvem envolvem um risco de gastos excessivos, especialmente para implantações de autoatendimento. Qualquer implantação deve ser alocada a uma unidade de faturamento, com orçamento aprovado e mecanismo de aplicação de limites orçamentários.

    Consideração de design: no Azure, você pode controlar o orçamento com o Microsoft Cost Management. Enquanto o Azure Advisor pode fornecer recomendações de otimização para reduzir os gastos por ativo.

  • Proteger dados confidenciais: os ativos que interagem com dados confidenciais podem não receber proteções suficientes, levando a possíveis vazamentos de dados ou interrupções de negócios. A equipe de segurança deve identificar e revisar todos os ativos que interagem com dados confidenciais, para garantir que os níveis adequados de proteção estejam em vigor.

    Consideração de design: no Azure, todos os ativos implantados devem ser marcados com níveis de classificação de dados adequados. A equipe de governança de nuvem e o proprietário do aplicativo devem revisar as classificações antes da implantação na nuvem.

Processo

A nuvem fornece guarda-corpos para ajudar a reduzir a sobrecarga humana de processos recorrentes, fornecendo gatilhos de validação com base na configuração de implementação. A tabela a seguir descreve alguns gatilhos e ações que podem abordar os riscos que dizem respeito ao CIO da Tailwind Traders:

Risco Acionador de exemplo Ação de exemplo
Excesso de gastos na cloud Os gastos mensais com a cloud são 20 por cento mais elevados do que o esperado. Notifique o líder da unidade de faturamento para começar a revisar o uso de recursos.
Excesso de gastos na cloud Os recursos implementados não estão a utilizar a CPU ou memória alocada. Notifique o diretor da unidade de faturação e redimensione automaticamente para se ajustar à utilização real, sempre que possível.
A organização não cumpre os requisitos de segurança ou de conformidade Detete quaisquer desvios da conformidade ou segurança definida. Notifique a equipa de segurança de TI e automatize a remediação, sempre que possível.
A configuração a criar problemas ou descuidos da gestão de operações A utilização da CPU para uma carga de trabalho é superior a 90 por cento. Notifique a equipe de operações de TI e dimensione mais recursos para lidar com a carga.
A configuração a criar problemas ou descuidos da gestão de operações Os recursos que não cumprirem os requisitos de aplicação de patches ou de continuidade de negócio e recuperação após desastre acionam um aviso de conformidade operacional. Notifique a equipa de segurança de TI e resolva automaticamente o desvio, sempre que possível.
Sistemas ou dados comprometedores de acesso não autorizado Os padrões de tráfego desviam-se das topologias de rede adequadas Notifique a equipa de segurança de TI e feche automaticamente o vetor de ataques, sempre que possível.
Sistemas ou dados comprometedores de acesso não autorizado Os recursos estão configurados sem as atribuições de função ou privilégios elevados adequados. Notifique a equipa de segurança de TI e resolva automaticamente o desvio, sempre que possível.
Governação inconsistente devido a processos imaturos e falta de competências na equipa Ativos identificados que não estão incluídos nos processos de governança necessários. Notifique a equipa de governação de TI e resolva automaticamente o desvio, sempre que possível.

Você pode automatizar cada um desses gatilhos e ações usando as ferramentas de governança do Azure. Outros provedores de nuvem podem exigir uma abordagem mais manual, mas as políticas definidas ainda seriam aplicáveis. Tome cuidado para evitar a definição de políticas que o impeçam a usar um fornecedor específico para evitar ter que repetir esse processo novamente no futuro.

Depois de estabelecer suas declarações de política de nuvem e elaborar um guia de design, você precisa criar uma estratégia para garantir que sua implantação na nuvem permaneça em conformidade com seus requisitos de política. Essa estratégia deve abranger os processos contínuos de revisão e comunicação da sua equipe de governança de nuvem. Essa estratégia deve abranger os processos contínuos de revisão e comunicação da sua equipe de governança de nuvem e estabelecer critérios para quando as violações de políticas exigem ação. Deve também definir os requisitos para sistemas automatizados de monitorização e conformidade que detetem violações e desencadeiem ações de reparação.

Na próxima unidade, vamos agrupar estes tipos de riscos em disciplinas acionáveis da cloud.