Declaraciones de la directiva de ejemplo de aceleración de la implementaciónDeployment Acceleration sample policy statements

Cada declaración de directiva de nube es una guía para abordar los riesgos específicos identificados durante el proceso de evaluación de riesgos.Individual cloud policy statements are guidelines for addressing specific risks identified during your risk assessment process. Estas declaraciones deben proporcionar un breve resumen de los riesgos y los planes para resolverlos.These statements should provide a concise summary of risks and plans to deal with them. La definición de cada declaración debe incluir estos fragmentos de información:Each statement definition should include these pieces of information:

  • Riesgo técnico: Un resumen del riesgo que esta directiva abordará.Technical risk: A summary of the risk this policy will address.
  • Declaración de directiva: Una explicación clara que resuma los requisitos de la directiva.Policy statement: A clear summary explanation of the policy requirements.
  • Opciones de diseño: Recomendaciones que requieren acción, especificaciones u otras instrucciones que los equipos de TI y los desarrolladores pueden usar al implementar la directiva.Design options: Actionable recommendations, specifications, or other guidance that IT teams and developers can use when implementing the policy.

Las siguientes declaraciones de la directiva de ejemplo abordan algunos riesgos empresariales comunes relacionados con la configuración.The following sample policy statements address common configuration-related business risks. Estas declaraciones son ejemplos a los que se puede hacer referencia al elaborar el borrador de las declaraciones de directiva para satisfacer las necesidades de su organización.These statements are examples you can reference when drafting policy statements to address your organization's needs. Estos ejemplos no pretenden ser excluyentes y hay varias opciones posibles de directiva para solucionar cada riesgo concreto identificado.These examples are not meant to be proscriptive, and there are potentially several policy options for dealing with each identified risk. Trabaje estrechamente con los equipos de TI y de dirección para identificar las mejores directivas para su conjunto de riesgos en particular.Work closely with business and IT teams to identify the best policies for your unique set of risks.

Dependencia de la configuración o implementación manual de sistemasReliance on manual deployment or configuration of systems

Riesgo técnico: depender de la intervención humana durante la implementación o configuración aumenta la probabilidad de error humano y reduce la repetibilidad y previsión de las implementaciones y la configuración del sistema.Technical risk: Relying on human intervention during deployment or configuration increases the likelihood of human error and reduces the repeatability and predictability of system deployments and configuration. Normalmente, también conlleva una implementación más lenta de los recursos del sistema.It also typically leads to slower deployment of system resources.

Declaración de directiva: todos los recursos que se implementan en la nube deben implementarse mediante plantillas o scripts de automatización siempre que sea posible.Policy statement: All assets deployed to the cloud should be deployed using templates or automation scripts whenever possible.

Opciones de diseño posibles: las plantillas de Azure Resource Manager permiten usar infraestructura como código para implementar los recursos en Azure.Potential design options: Azure Resource Manager templates enable using infrastructure as code to deploy your resources to Azure. También puede usar Terraform como una herramienta de implementación coherente tanto local como basada en la nube.You could also use Terraform as a consistent on-premises and cloud-based deployment tool.

Falta de visibilidad de los problemas del sistemaLack of visibility into system issues

Riesgo técnico: una supervisión y un diagnóstico insuficientes de los sistemas empresariales impiden al personal de operaciones identificar y corregir problemas antes de que se produzca una interrupción del sistema, lo que puede aumentar considerablemente el tiempo necesario para resolver correctamente una interrupción.Technical risk: Insufficient monitoring and diagnostics for business systems prevent operations personnel from identifying and remediating issues before a system outage occurs, and can significantly increase the time needed to properly resolve an outage.

Declaración de directiva: se implementarán las siguientes directivas:Policy statement: The following policies will be implemented:

  • Se identificarán medidas de diagnóstico y métricas clave para todos los sistemas de producción y los componentes, y se aplicarán herramientas de supervisión y diagnóstico a estos sistemas, que el personal de operaciones se encargará de supervisar regularmente.Key metrics and diagnostics measures will be identified for all production systems and components, and monitoring and diagnostic tools will be applied to these systems and monitored regularly by operations personnel.
  • El personal de operaciones considerará la opción de usar las herramientas de supervisión y diagnóstico en entornos que no sean de producción, como ensayo y control de calidad, a fin de identificar los problemas del sistema antes de que se produzcan en el entorno de producción.Operations will consider using monitoring and diagnostic tools in nonproduction environments such as staging and QA to identify system issues before they occur in the production environment.

Opciones de diseño posibles: Azure Monitor, que incluye Log Analytics y Application Insights, proporciona herramientas para recopilar y analizar datos de telemetría para ayudarle a comprender cómo funcionan las aplicaciones e identificar proactivamente los problemas que les afectan y los recursos de los que dependen.Potential design options: Azure Monitor, including Log Analytics and Application Insights, provides tools for collecting and analyzing telemetry to help you understand how your applications are performing and proactively identify issues affecting them and the resources they depend on. Además, el registro de actividad de Azure notifica todos los cambios que se realizan en la plataforma y que se deben supervisar y auditar para detectar cambios no compatibles.Additionally, Azure activity log reports all changes that are being made at the platform level and should be monitored and audited for noncompliant changes.

Revisiones de seguridad de configuraciónConfiguration security reviews

Riesgo técnico: con el tiempo, los nuevos problemas y amenazas de seguridad pueden aumentar los riesgos de acceso no autorizado a recursos seguros.Technical risk: Over time, new security threats or concerns can increase the risks of unauthorized access to secure resources.

Declaración de directiva: los procesos de gobernanza de la nube deben incluir revisiones mensuales con los equipos de administración de configuración para así poder identificar usuarios malintencionados o patrones de uso que deban evitarse mediante la configuración de recursos en la nube.Policy statement: Cloud governance processes must include monthly review with configuration management teams to identify malicious actors or usage patterns that should be prevented by cloud asset configuration.

Opciones de diseño posibles: celebrar una reunión de revisión de seguridad mensual en la que participen los miembros del equipo de gobernanza y el personal de TI responsable de los recursos y las aplicaciones de configuración en la nube.Potential design options: Establish a monthly security review meeting that includes both governance team members and IT staff responsible for configuration cloud applications and resources. Revisar las métricas y los datos de seguridad existentes para identificar deficiencias en las herramientas y la directiva de aceleración de la implementación y actualizar la directiva para remediar todos los nuevos riesgos.Review existing security data and metrics to establish gaps in current Deployment Acceleration policy and tooling, and update policy to remediate any new risks.

Pasos siguientesNext steps

Use los ejemplos mencionados en este artículo como punto de partida para desarrollar directivas que aborden los riesgos de negocio específicos que se alinean con los planes de adopción de la nube.Use the samples mentioned in this article as a starting point to develop policies that address specific business risks that align with your cloud adoption plans.

Para comenzar a desarrollar sus propias declaraciones de directiva personalizadas de la base de referencia de identidad, descargue la plantilla de la materia de base de referencia de identidad.To begin developing your own custom Identity Baseline policy statements, download the Identity Baseline discipline template.

Para acelerar la adopción de esta materia, elija la guía accionable de gobernanza que más se ajuste a su entorno.To accelerate adoption of this discipline, choose the actionable governance guide that most closely aligns with your environment. Después, modifique el diseño para incorporar las decisiones de directiva específicas de su organización.Then modify the design to incorporate your specific corporate policy decisions.

A partir de los riesgos y la tolerancia, establezca un proceso para regular y comunicar la adhesión a la directiva de aceleración de la implementación.Building on risks and tolerance, establish a process for governing and communicating Deployment Acceleration policy adherence.