Guida alla governance per le aziende complesse: criteri aziendali iniziali dietro la strategia di governanceGovernance guide for complex enterprises: Initial corporate policy behind the governance strategy

I criteri aziendali seguenti definiscono la posizione iniziale di governance che rappresenta il punto di partenza per questa guida.The following corporate policy defines the initial governance position that's the starting point for this guide. L'articolo definisce i rischi in fase iniziale, le istruzioni iniziali sui criteri e i processi anticipati per applicare le istruzioni dei criteri.This article defines early-stage risks, initial policy statements, and early processes to enforce policy statements.

Nota

I criteri aziendali non costituiscono un documento tecnico, ma guidano molte decisioni tecniche.The corporate policy is not a technical document, but it drives many technical decisions. La governance MVP descritta nella panoramica deriva in definitiva da questo criterio.The governance MVP described in the overview ultimately derives from this policy. Prima di implementare una governance MVP, l'organizzazione dovrebbe sviluppare un criterio aziendale in base ai propri obiettivi e rischi aziendali.Before implementing a governance MVP, your organization should develop a corporate policy based on your own objectives and business risks.

Team di governance del cloudCloud governance team

Il CIO ha recentemente tenuto una riunione con il team di governance IT per comprendere la cronologia dei dati personali e i criteri cruciali ed esaminare l'effetto della modifica di tali criteri.The CIO recently held a meeting with the IT governance team to understand the history of the personal data and mission-critical policies and review the effect of changing those policies. Il CIO ha anche illustrato il potenziale globale del cloud per l'IT e la società.The CIO also discussed the overall potential of the cloud for IT and the company.

Dopo la riunione, due membri del team di governance IT hanno richiesto l'autorizzazione per la ricerca e il supporto degli sforzi per la pianificazione del cloud.After the meeting, two members of the IT governance team requested permission to research and support the cloud planning efforts. Riconoscendo la necessità di governance e la possibilità di limitare shadow IT, il direttore della governance IT ha supportato questa idea.Recognizing the need for governance and an opportunity to limit shadow IT, the director of IT governance supported this idea. A questo proposito, è Nato il team di governance del cloud.With that, the cloud governance team was born. Nei mesi successivi, si erediterà la pulizia di molti errori commessi durante l'esplorazione nel cloud da una prospettiva di governance.Over the next several months, they will inherit the cleanup of many mistakes made during exploration in the cloud from a governance perspective. Questo consentirà di ottenere loro il moniker dei depositari del cloud.This will earn them the moniker of cloud custodians. Nelle iterazioni successive questa guida mostrerà come cambiano i loro ruoli nel tempo.In later iterations, this guide will show how their roles change over time.

ObiettivoObjective

L'obiettivo iniziale consiste nello stabilire una base per una governance flessibile.The initial objective is to establish a foundation for governance agility. Un MVP di governance efficace consente al team di governance di rimanere al passo con l'adozione del cloud e di implementare Guardrails in quanto il piano di adozione cambia.An effective Governance MVP allows the governance team to stay ahead of cloud adoption and implement guardrails as the adoption plan changes.

Rischi aziendaliBusiness risks

La società è in una fase iniziale dell'adozione del cloud, caratterizzata dalla sperimentazione e dalla creazione di modelli di verifica.The company is at an early stage of cloud adoption, experimenting and building proofs of concept. I rischi sono ora relativamente bassi, ma i rischi futuri possono avere un impatto significativo.Risks are now relatively low, but future risks are likely to have a significant impact. La definizione dello stato finale delle soluzioni tecniche da distribuire nel cloud è bassaThere is little definition around the final state of the technical solutions to be deployed to the cloud. e la preparazione per il cloud dei dipendenti IT è scarsa.In addition, the cloud readiness of IT employees is low. Una base per l'adozione del cloud consentirà al team di imparare e crescere in modo sicuro.A foundation for cloud adoption will help the team safely learn and grow.

Prove future: Il rischio di non consentire la crescita, ma anche il rischio di non fornire le protezioni appropriate contro i rischi futuri.Future-proofing: There is a risk of not empowering growth, but also a risk of not providing the right protections against future risks.

Per supportare la visione della lavagna per la crescita aziendale e tecnica, è necessario un approccio di governance ancora affidabile e agile.An agile yet robust governance approach is needed to support the board's vision for corporate and technical growth. L'impossibilità di implementare una strategia di questo tipo rallenterà la crescita tecnica, rischiando potenzialmente la crescita della quota di mercato attuale e futura.Failure to implement such a strategy will slow technical growth, potentially risking current and future market share growth. L'impatto di un tale rischio aziendale è inequivocabilmente elevato.The impact of such a business risk is unquestionably high. Il ruolo dell'IT sul possibile stato futuro dell'azienda, tuttavia, è sconosciuto. Ciò rende relativamente alto il rischio associato agli sforzi attuali del reparto IT.However, the role IT will play in those potential future states is unknown, making the risk associated with current IT efforts relatively high. Ciò premesso, finché non vengono allineati piani più concreti, l'azienda ha a tolleranza ai rischi elevata.That said, until more concrete plans are aligned, the business has a high tolerance for risk.

Questo rischio aziendale può essere suddiviso tatticamente in diversi rischi tecnici:This business risk can be broken down tactically into several technical risks:

  • Criteri aziendali ben concepiti possono rallentare gli sforzi verso la trasformazione o interrompere processi aziendali critici, se non vengono considerati all'interno di un flusso di approvazione strutturato.Well-intended corporate policies could slow transformation efforts or break critical business processes, if not considered within a structured approval flow.
  • L'applicazione della governance per gli asset distribuiti può essere difficile e costosa.The application of governance to deployed assets could be difficult and costly.
  • La governance può non essere applicata correttamente in un'applicazione o in un carico di lavoro e creare lacune nella sicurezza.Governance may not be properly applied across an application or workload, creating gaps in security.
  • I numerosi team che lavorano nel cloud pongono un rischio di incoerenza.With so many teams working in the cloud, there is a risk of inconsistency.
  • I costi possono non allinearsi in modo corretto alle business unit, ai team o ad altre unità di gestione del budget.Costs may not properly align to business units, teams, or other budgetary management units.
  • L'uso di più identità per gestire varie distribuzioni può causare problemi di sicurezza.The use of multiple identities to manage various deployments could lead to security issues.
  • Nonostante i criteri correnti, sussiste il rischio che dati protetti vengano erroneamente distribuiti nel cloud.Despite current policies, there is a risk that protected data could be mistakenly deployed to the cloud.

Indicatori sulla tolleranzaTolerance indicators

L'attuale tolleranza ai rischi è elevata e il desiderio di investire nella governance cloud è basso.The current risk tolerance is high and the appetite for investing in cloud governance is low. Di conseguenza, gli indicatori di tolleranza agiscono come un sistema di avviso preventivo per attivare l'investimento di tempo ed energia.As such, the tolerance indicators act as an early warning system to trigger the investment of time and energy. Se vengono osservati gli indicatori seguenti, sarebbe opportuno avanzare la strategia di governance.If the following indicators are observed, it would be wise to advance the governance strategy.

  • Disciplina gestione costi: La scalabilità della distribuzione supera gli asset 1.000 al cloud o la spesa mensile supera $10.000 USD al mese.Cost Management discipline: Scale of deployment exceeds 1,000 assets to the cloud, or monthly spending exceeds $10,000 USD per month.
  • Disciplina di base di identità: Inclusione di applicazioni con requisiti di autenticazione a più fattori legacy o di terze parti.Identity Baseline discipline: Inclusion of applications with legacy or third-party multi-factor authentication requirements.
  • Disciplina di base di sicurezza: Inclusione di dati protetti nei piani di adozione del cloud definiti.Security Baseline discipline: Inclusion of protected data in defined cloud adoption plans.
  • Disciplina della coerenza delle risorse: Inclusione di applicazioni cruciali nei piani di adozione del cloud definiti.Resource Consistency discipline: Inclusion of any mission-critical applications in defined cloud adoption plans.

Policy statementsPolicy statements

Le seguenti istruzioni dei criteri stabiliscono i requisiti necessari per correggere i rischi definiti.The following policy statements establish the requirements needed to remediate the defined risks. Questi criteri definiscono i requisiti funzionali per il prodotto minimo funzionante (MVP, Minimum Viable Product) per la governance.These policies define the functional requirements for the governance MVP. Ognuno sarà rappresentato nell'implementazione dell'MVP per la governance.Each will be represented in the implementation of the governance MVP.

Gestione costi:Cost Management:

  • per motivi di rilevamento, tutti gli asset devono essere assegnati a un proprietario dell'applicazione all'interno di una delle funzioni aziendali principali.For tracking purposes, all assets must be assigned to an application owner within one of the core business functions.
  • Quando si verificano problemi relativi ai costi, verranno stabiliti altri requisiti di governance per il team finanziario.When cost concerns arise, additional governance requirements will be established with the finance team.

Baseline di sicurezza:Security Baseline:

  • qualsiasi asset distribuito nel cloud deve avere una classificazione dei dati approvata.Any asset deployed to the cloud must have an approved data classification.
  • Nessun asset identificato con un livello di dati protetto può essere distribuito nel cloud, finché non possono essere approvati e implementati i requisiti minimi per la sicurezza e la governance.No assets identified with a protected level of data may be deployed to the cloud, until sufficient requirements for security and governance can be approved and implemented.
  • Fino a quando non è possibile convalidare e governare i requisiti minimi di sicurezza della rete, gli ambienti cloud vengono considerati come reti perimetrali e devono soddisfare requisiti di connessione simili ad altri Data Center o reti interne.Until minimum network security requirements can be validated and governed, cloud environments are seen as perimeter networks and should meet similar connection requirements to other datacenters or internal networks.

Coerenza delle risorse:Resource Consistency:

  • poiché in questa fase non vengono distribuiti carichi di lavoro di importanza strategica, non sussistono requisiti da disciplinare relativi a Contratti di servizio, prestazioni o continuità aziendale e ripristino di emergenza.Because no mission-critical workloads are deployed at this stage, there are no SLA, performance, or BCDR requirements to be governed.
  • Quando vengono distribuiti carichi di lavoro cruciali, verranno stabiliti ulteriori requisiti di governance con il reparto IT.When mission-critical workloads are deployed, additional governance requirements will be established with IT operations.

Baseline di identità:Identity Baseline:

  • tutti gli asset distribuiti nel cloud devono essere controllati tramite identità e ruoli approvati da criteri di governance correnti.All assets deployed to the cloud should be controlled using identities and roles approved by current governance policies.
  • tutti i gruppi con privilegi elevati nell'infrastruttura di Active Directory Domain Services locale dovrebbero essere associati a un ruolo di controllo approvato degli accessi in base al ruolo.All groups in the on-premises Active Directory infrastructure that have elevated privileges should be mapped to an approved RBAC role.

Accelerazione della distribuzione:Deployment Acceleration:

  • tutte le risorse devono essere raggruppate e contrassegnate in base a strategie definite di raggruppamento e assegnazione dei tag.All assets must be grouped and tagged according to defined grouping and tagging strategies.
  • Tutti gli asset devono usare un modello di distribuzione approvato.All assets must use an approved deployment model.
  • Una volta stabilita una base di governance per un provider di servizi cloud, eventuali strumenti di distribuzione devono essere compatibili con quelli definiti dal team di governance.Once a governance foundation has been established for a cloud provider, any deployment tooling must be compatible with the tools defined by the governance team.

ProcessiProcesses

Non è stato allocato alcun budget per il monitoraggio e l'applicazione continui di questi criteri di governance.No budget has been allocated for ongoing monitoring and enforcement of these governance policies. Per questo motivo, il team di governance del cloud ha dimostrato modi per monitorare la conformità alle istruzioni dei criteri.Because of that, the cloud governance team has improvised ways to monitor adherence to policy statements.

  • Istruzione: Il team di governance del cloud sta investendo tempo per istruire i team di adozione del cloud sulle guide di governance che supportano questi criteri.Education: The cloud governance team is investing time to educate the cloud adoption teams on the governance guides that support these policies.
  • Revisioni della distribuzione: Prima di distribuire qualsiasi asset, il team di governance del Cloud esamina la guida alla governance con i team di adozione del cloud.Deployment reviews: Before deploying any asset, the cloud governance team will review the governance guide with the cloud adoption teams.

Passaggi successiviNext steps

Questo criterio aziendale prepara il team di governance del cloud per implementare il MVP di governance come base per l'adozione.This corporate policy prepares the cloud governance team to implement the governance MVP as the foundation for adoption. Il passaggio successivo consiste nell'implementazione di tale MVP.The next step is to implement this MVP.