Корпоративные политики
Неэффективные политики управления приводят к созданию ненужных ограничений и могут не защищать компанию. В этом уроке рассматриваются способы создания продуманных и действенных корпоративных политик.
Непродуманная корпоративная политика Tailwind Traders
Что не так с существующей политикой Tailwind Traders из описания клиента?
Согласно политике Tailwind, "данные клиентов и финансовые данные могут размещаться только в определенном сетевом сегменте существующих центров обработки данных, которые относятся к защищенным ресурсам".
Корпоративные политики определяют процессы, которым должны следовать команды, чтобы устранять реальные риски, не относящиеся к допустимым. Корпоративные политики не предназначены для использования конкретной технической реализации.
Оценка существующей корпоративной политики
При оценке существующих политик для их применения в облаке или в других новых технологиях необходимо ответить на следующие вопросы.
- Какой риск пытается устранить эта политика?
- Почему этот риск не входит в число допустимых организационных рисков?
- Кто определил, что этот риск недопустим?
- Когда следует применять эту политику (классификация рабочей нагрузки, ситуация и т. д.)? Когда следует проверять исключения?
- Как происходит реализация этого процесса? Как часто следует проверять политику на предмет применимости?
- Для технологических процессов: привносит ли эта политика риск, создавая зависимость от конкретного технологического решения или поставщика технологии?
Как вы узнаете в следующем уроке, политика Tailwind Traders в защищенных данных не отвечает на эти вопросы. Некоторые из них могут быть рассмотрены в других документах, например в руководстве по политикам, но последний вопрос, связанный с технологиями, является неоспоримым упущением. Вместо того чтобы устранять риск, он фактически вводит долгосрочные риски, ограничивая их в одном решении.
Определение корпоративной политики
При определении корпоративной политики требуется сконцентрироваться на выявлении и снижении бизнес-рисков независимо от того, какую облачную платформу использует организация. Работоспособная стратегия управления облаком начинается с обоснованной корпоративной политики. Следующий процесс, состоящий из трех этапов, представляет собой пошаговые инструкции по итеративной разработке таких корпоративных политик.
Бизнес-риск: изучение текущих планов внедрения облака и классификации данных для выявления рисков для бизнеса. Работайте с бизнесом, чтобы сбалансировать риски и снизить затраты. |
|
Политика и соответствие требованиям. Оценка допустимости рисков для информирования политик, которые управляют внедрением облака и управляют рисками. В некоторых отраслях соблюдение требований сторонних производителей влияет на создание исходной политики. |
|
Процессы: темпы внедрения и инноваций, естественно, создают нарушения политики. Выполнение соответствующих процессов помогает отслеживать и применять соблюдение политик. |
Бизнес-риск
Во время внедрения облака возникают различные риски. Ниже приведено несколько примеров рисков, которые могут возникать в разные моменты процесса внедрения.
- На этапе ранних экспериментов развертывается несколько активов с небольшим объемом соответствующих данных или полным их отсутствием. Риск при этом невелик.
- При развертывании первой рабочей нагрузки риск немного повышается. Этот риск легко устранить, выбрав приложение с низким уровнем риска с небольшой базой пользователей.
- По мере вывода в сеть дополнительных рабочих нагрузок, с каждым выпуском изменяется и уровень риска. Новые приложения идут в режиме реального времени, и риски изменяются.
- Когда компания предоставляет онлайн первые 10 или 20 приложений, профиль риска значительно отличается от того, когда приложение переходит в рабочую среду в облаке.
Риск всегда является относительным. Риск для небольшой работающей в автономном режиме компании, у которой незначительное количество ИТ-ресурсов, минимальный. Но стоит увеличить количество пользователей и добавить подключение к Интернету, обеспечивающее доступом к этим ресурсам, и риск тут же увеличивается. Если же эта компания вырастет настолько, что попадет в список Fortune 500, риск будет расти уже в геометрической прогрессии. Риски увеличиваются и объединяются по мере роста прибыли, количества бизнес-процессов, сотрудников и ИТ-ресурсов. ИТ-активы, приносящие доход, являются реальным фактором риска потерять этот доход в случае сбоя. Каждая секунда простоя означает убытки для предприятия. Аналогично, по мере накопления данных растет риск роста ущерба для клиентов.
С точки зрения клиента Tailwind Traders, риски, на которые ИТ-директору следует обратить особое внимание, следующие.
- Чрезмерные затраты в облаке
- Организация не выполняет требования к безопасности или соответствию норм
- Конфигурация актива создает проблемы, связанные с управлением операциями или недостаточным контролем.
- Несанкционированный доступ к системам или данным
- Несогласованное управление из-за недостаточно развитых процессов и нехватки опыта и навыков у членов группы
Важно отметить, что ни одна из проблем не связана с "конкретным сегментом сети существующих центров обработки данных", как указано в текущей политике Tailwind. Чтобы создать политики управления звуком, масштабируемые в облаке, необходимо немного глубже. Рассмотрим реальные риски, которые фиксируются в текущей политике и в решении текущего состояния.
Скорее всего, более глубокое исследование проблем заинтересованных лиц и план внедрения облака показывает больше рисков, которые организация не может терпеть. Но сейчас у нас достаточно времени для начала формирования политик управления, которые устраняют эти реальные риски.
Политика и соответствие требованиям
Корпоративные политики устанавливают требования, стандарты и цели, которых должны придерживаться ИТ-специалисты и автоматизированные системы. Отдельные инструкции в политике — это рекомендации по устранению определенных рисков, обнаруженных в процессе оценки рисков. Ниже приведено несколько примеров продуманных корпоративных политик, которые помогут в развертывании общедоступных и частных облаков и позволят исключить зависимость от определенного поставщика.
Избегайте перерасходов. При развертывании облачных решений существует риск перерасхода, особенно для самостоятельных развертываний. Любое развертывание должно выполняться под надзором центра учета расходов в рамках утвержденного бюджета и с механизмом для применения бюджетных ограничений.
Рекомендации по проектированию. В Azure можно управлять бюджетом с помощью Microsoft Cost Management. Хотя помощник по Azure может предоставить рекомендации по оптимизации, чтобы сократить расходы на ресурс.
Защищайте конфиденциальные данные. Ресурсы, взаимодействующие с конфиденциальными данными, могут быть недостаточно защищены, что приведет к потенциальным утечкам данных или нарушению работы бизнеса. Группа безопасности должна определить и проверить все ресурсы, взаимодействующие с конфиденциальными данными, чтобы обеспечить надлежащий уровень защиты.
Рекомендации по проектированию. В Azure все развернутые ресурсы должны быть помечены соответствующими уровнями классификации данных. Команда управления облаком и владелец приложения должны просмотреть классификации перед развертыванием в облаке.
Обработка
Облако предоставляет инструкции, которые помогают снизить нагрузку на людей при выполнении повторяющихся процессов за счет триггеров проверки на основе конфигурации реализации. В следующей таблице приведено несколько триггеров и действий, которые могут помочь в устранении рисков, заботящих ИТ-директора Tailwind Traders.
Риск | Пример триггера | Пример действия |
---|---|---|
Чрезмерные затраты в облаке | Ежемесячные затраты на облако на 20 % выше ожидаемых. | Уведомите лидера единицы выставления счетов, чтобы начать просмотр использования ресурсов. |
Чрезмерные затраты в облаке | Развернутые ресурсы не используют выделенные ЦП или память. | Уведомите руководителя центра учета расходов и по возможности автоматически измените размер. |
Организация не выполняет требования к безопасности или соответствию норм | Определите отклонения от заданного уровня безопасности или соответствия требованиям. | Сообщите о группе ИТ-безопасности и автоматизируйте процесс устранения, когда это возможно. |
Конфигурации активов создают проблемы, связанные с управлением операциями или недостаточным контролем | Использование ЦП рабочей нагрузкой превышает 90 %. | Уведомите ИТ-группу и масштабируйте дополнительные ресурсы для обработки нагрузки. |
Конфигурации активов создают проблемы, связанные с управлением операциями или недостаточным контролем | Активы, которые не соответствуют требованиям к исправлению или непрерывности бизнес-процессов и аварийному обеспечению, вызывают срабатывание предупреждений о соответствии операционной системы требованиям. | Сообщите о группе ИТ-безопасности и устраните отклонение, когда это возможно. |
Несанкционированный доступ к системам или данным | Шаблоны трафика отличаются от утвержденных сетевых топологий. | Сообщите о группе ИТ-безопасности и автоматически заблокируйте векторы атак, когда это возможно. |
Несанкционированный доступ к системам или данным | Ресурсы настроены без надлежащего назначения ролей или повышенных привилегий. | Сообщите о группе ИТ-безопасности и устраните отклонение, когда это возможно. |
Несогласованное управление из-за недостаточно развитых процессов и нехватки опыта и навыков у членов группы | Обнаружены активы, которые не включены в необходимые процессы управления. | Сообщите о группе ИТ-управления и устраните отклонение, когда это возможно. |
Вы можете автоматизировать каждый из этих триггеров и действий с помощью средств управления Azure. Другим поставщикам облачных служб может потребоваться реализуемый вручную подход, но определенные политики по-прежнему применимы. Избегайте политик, которые привязывают организацию к решениям определенного поставщика, чтобы избежать повторения этого процесса в будущем.
После создания инструкций облачной политики и разработки руководства по проектированию необходимо создать стратегию, чтобы обеспечить соответствие облачному развертыванию требованиям политики. Эта стратегия должна охватывать текущие процессы проверки и коммуникации группы управления облаком. Эта стратегия должна охватывать текущие процессы проверки и связи команды управления облаком и устанавливать критерии, когда нарушения политики требуют действий. Он также должен определять требования для автоматизированных систем мониторинга и соответствия требованиям, которые обнаруживают нарушения и запускают действия по исправлению.
В следующем уроке мы сгруппируем эти типы рисков в действенные облачные дисциплины.