Корпоративные политики

  • 20 мин

Неэффективные политики управления приводят к созданию ненужных ограничений и могут не защищать компанию. В этом уроке рассматриваются способы создания продуманных и действенных корпоративных политик.

Непродуманная корпоративная политика Tailwind Traders

Что не так с существующей политикой Tailwind Traders из описания клиента?

Согласно политике Tailwind, "данные клиентов и финансовые данные могут размещаться только в определенном сетевом сегменте существующих центров обработки данных, которые относятся к защищенным ресурсам".

Корпоративные политики определяют процессы, которым должны следовать команды, чтобы устранять реальные риски, не относящиеся к допустимым. Корпоративные политики не предназначены для использования конкретной технической реализации.

Оценка существующей корпоративной политики

При оценке существующих политик для их применения в облаке или в других новых технологиях необходимо ответить на следующие вопросы.

  • Какой риск пытается устранить эта политика?
  • Почему этот риск не входит в число допустимых организационных рисков?
  • Кто определил, что этот риск недопустим?
  • Когда следует применять эту политику (классификация рабочей нагрузки, ситуация и т. д.)? Когда следует проверять исключения?
  • Как происходит реализация этого процесса? Как часто следует проверять политику на предмет применимости?
  • Для технологических процессов: привносит ли эта политика риск, создавая зависимость от конкретного технологического решения или поставщика технологии?

Как вы узнаете в следующем уроке, политика Tailwind Traders в защищенных данных не отвечает на эти вопросы. Некоторые из них могут быть рассмотрены в других документах, например в руководстве по политикам, но последний вопрос, связанный с технологиями, является неоспоримым упущением. Вместо того чтобы устранять риск, он фактически вводит долгосрочные риски, ограничивая их в одном решении.

Определение корпоративной политики

При определении корпоративной политики требуется сконцентрироваться на выявлении и снижении бизнес-рисков независимо от того, какую облачную платформу использует организация. Работоспособная стратегия управления облаком начинается с обоснованной корпоративной политики. Следующий процесс, состоящий из трех этапов, представляет собой пошаговые инструкции по итеративной разработке таких корпоративных политик.

   

Business risk icon.
Бизнес-риск: изучение текущих планов внедрения облака и классификации данных для выявления рисков для бизнеса. Работайте с бизнесом, чтобы сбалансировать риски и снизить затраты.

Policy and compliance icon.
Политика и соответствие требованиям. Оценка допустимости рисков для информирования политик, которые управляют внедрением облака и управляют рисками. В некоторых отраслях соблюдение требований сторонних производителей влияет на создание исходной политики.

Process enforcement icon.
Процессы: темпы внедрения и инноваций, естественно, создают нарушения политики. Выполнение соответствующих процессов помогает отслеживать и применять соблюдение политик.

Бизнес-риск

Во время внедрения облака возникают различные риски. Ниже приведено несколько примеров рисков, которые могут возникать в разные моменты процесса внедрения.

  • На этапе ранних экспериментов развертывается несколько активов с небольшим объемом соответствующих данных или полным их отсутствием. Риск при этом невелик.
  • При развертывании первой рабочей нагрузки риск немного повышается. Этот риск легко устранить, выбрав приложение с низким уровнем риска с небольшой базой пользователей.
  • По мере вывода в сеть дополнительных рабочих нагрузок, с каждым выпуском изменяется и уровень риска. Новые приложения идут в режиме реального времени, и риски изменяются.
  • Когда компания предоставляет онлайн первые 10 или 20 приложений, профиль риска значительно отличается от того, когда приложение переходит в рабочую среду в облаке.

Риск всегда является относительным. Риск для небольшой работающей в автономном режиме компании, у которой незначительное количество ИТ-ресурсов, минимальный. Но стоит увеличить количество пользователей и добавить подключение к Интернету, обеспечивающее доступом к этим ресурсам, и риск тут же увеличивается. Если же эта компания вырастет настолько, что попадет в список Fortune 500, риск будет расти уже в геометрической прогрессии. Риски увеличиваются и объединяются по мере роста прибыли, количества бизнес-процессов, сотрудников и ИТ-ресурсов. ИТ-активы, приносящие доход, являются реальным фактором риска потерять этот доход в случае сбоя. Каждая секунда простоя означает убытки для предприятия. Аналогично, по мере накопления данных растет риск роста ущерба для клиентов.

С точки зрения клиента Tailwind Traders, риски, на которые ИТ-директору следует обратить особое внимание, следующие.

  • Чрезмерные затраты в облаке
  • Организация не выполняет требования к безопасности или соответствию норм
  • Конфигурация актива создает проблемы, связанные с управлением операциями или недостаточным контролем.
  • Несанкционированный доступ к системам или данным
  • Несогласованное управление из-за недостаточно развитых процессов и нехватки опыта и навыков у членов группы

Важно отметить, что ни одна из проблем не связана с "конкретным сегментом сети существующих центров обработки данных", как указано в текущей политике Tailwind. Чтобы создать политики управления звуком, масштабируемые в облаке, необходимо немного глубже. Рассмотрим реальные риски, которые фиксируются в текущей политике и в решении текущего состояния.

Скорее всего, более глубокое исследование проблем заинтересованных лиц и план внедрения облака показывает больше рисков, которые организация не может терпеть. Но сейчас у нас достаточно времени для начала формирования политик управления, которые устраняют эти реальные риски.

Политика и соответствие требованиям

Корпоративные политики устанавливают требования, стандарты и цели, которых должны придерживаться ИТ-специалисты и автоматизированные системы. Отдельные инструкции в политике — это рекомендации по устранению определенных рисков, обнаруженных в процессе оценки рисков. Ниже приведено несколько примеров продуманных корпоративных политик, которые помогут в развертывании общедоступных и частных облаков и позволят исключить зависимость от определенного поставщика.

  • Избегайте перерасходов. При развертывании облачных решений существует риск перерасхода, особенно для самостоятельных развертываний. Любое развертывание должно выполняться под надзором центра учета расходов в рамках утвержденного бюджета и с механизмом для применения бюджетных ограничений.

    Рекомендации по проектированию. В Azure можно управлять бюджетом с помощью Microsoft Cost Management. Хотя помощник по Azure может предоставить рекомендации по оптимизации, чтобы сократить расходы на ресурс.

  • Защищайте конфиденциальные данные. Ресурсы, взаимодействующие с конфиденциальными данными, могут быть недостаточно защищены, что приведет к потенциальным утечкам данных или нарушению работы бизнеса. Группа безопасности должна определить и проверить все ресурсы, взаимодействующие с конфиденциальными данными, чтобы обеспечить надлежащий уровень защиты.

    Рекомендации по проектированию. В Azure все развернутые ресурсы должны быть помечены соответствующими уровнями классификации данных. Команда управления облаком и владелец приложения должны просмотреть классификации перед развертыванием в облаке.

Обработка

Облако предоставляет инструкции, которые помогают снизить нагрузку на людей при выполнении повторяющихся процессов за счет триггеров проверки на основе конфигурации реализации. В следующей таблице приведено несколько триггеров и действий, которые могут помочь в устранении рисков, заботящих ИТ-директора Tailwind Traders.

Риск Пример триггера Пример действия
Чрезмерные затраты в облаке Ежемесячные затраты на облако на 20 % выше ожидаемых. Уведомите лидера единицы выставления счетов, чтобы начать просмотр использования ресурсов.
Чрезмерные затраты в облаке Развернутые ресурсы не используют выделенные ЦП или память. Уведомите руководителя центра учета расходов и по возможности автоматически измените размер.
Организация не выполняет требования к безопасности или соответствию норм Определите отклонения от заданного уровня безопасности или соответствия требованиям. Сообщите о группе ИТ-безопасности и автоматизируйте процесс устранения, когда это возможно.
Конфигурации активов создают проблемы, связанные с управлением операциями или недостаточным контролем Использование ЦП рабочей нагрузкой превышает 90 %. Уведомите ИТ-группу и масштабируйте дополнительные ресурсы для обработки нагрузки.
Конфигурации активов создают проблемы, связанные с управлением операциями или недостаточным контролем Активы, которые не соответствуют требованиям к исправлению или непрерывности бизнес-процессов и аварийному обеспечению, вызывают срабатывание предупреждений о соответствии операционной системы требованиям. Сообщите о группе ИТ-безопасности и устраните отклонение, когда это возможно.
Несанкционированный доступ к системам или данным Шаблоны трафика отличаются от утвержденных сетевых топологий. Сообщите о группе ИТ-безопасности и автоматически заблокируйте векторы атак, когда это возможно.
Несанкционированный доступ к системам или данным Ресурсы настроены без надлежащего назначения ролей или повышенных привилегий. Сообщите о группе ИТ-безопасности и устраните отклонение, когда это возможно.
Несогласованное управление из-за недостаточно развитых процессов и нехватки опыта и навыков у членов группы Обнаружены активы, которые не включены в необходимые процессы управления. Сообщите о группе ИТ-управления и устраните отклонение, когда это возможно.

Вы можете автоматизировать каждый из этих триггеров и действий с помощью средств управления Azure. Другим поставщикам облачных служб может потребоваться реализуемый вручную подход, но определенные политики по-прежнему применимы. Избегайте политик, которые привязывают организацию к решениям определенного поставщика, чтобы избежать повторения этого процесса в будущем.

После создания инструкций облачной политики и разработки руководства по проектированию необходимо создать стратегию, чтобы обеспечить соответствие облачному развертыванию требованиям политики. Эта стратегия должна охватывать текущие процессы проверки и коммуникации группы управления облаком. Эта стратегия должна охватывать текущие процессы проверки и связи команды управления облаком и устанавливать критерии, когда нарушения политики требуют действий. Он также должен определять требования для автоматизированных систем мониторинга и соответствия требованиям, которые обнаруживают нарушения и запускают действия по исправлению.

В следующем уроке мы сгруппируем эти типы рисков в действенные облачные дисциплины.