Criteri aziendali

  • 20 minuti

Criteri di governance non appropriati creano vincoli superflui e possono non proteggere l'azienda. In questa unità vengono valutati i modi per creare criteri aziendali appropriati e applicabili.

Criteri aziendali non appropriati di Tailwind Traders

Qual è il problema dei criteri esistenti di Tailwind Traders nella storia del cliente?

Criteri di Tailwind: I dati dei clienti e finanziari possono essere ospitati solo in un segmento di rete specifico dei data center esistenti, a cui si fa riferimento con il termine asset protetti.

I criteri aziendali sono progettati per indicare ai team il modo migliore per affrontare i rischi tangibili che non sono tollerabili dall'organizzazione. I criteri aziendali non sono progettati per richiedere un'implementazione tecnica specifica.

Valutare i criteri aziendali esistenti

Quando si valutano i criteri aziendali esistenti per l'applicazione nel cloud o in qualsiasi altra nuova tecnologia, è necessario saper rispondere alle domande seguenti:

  • Qual è il rischio che questi criteri cercano di mitigare?
  • Perché tale rischio non rientra nel livello di tolleranza dell'organizzazione?
  • Chi ha determinato che il rischio non è tollerabile?
  • Quando è necessario applicare questi criteri (classificazione del carico di lavoro, situazioni specifiche e così via)? Quando è necessario esaminare le eccezioni?
  • Come viene applicato questo processo? Con che frequenza è necessario esaminare l'applicabilità dei criteri?
  • Per i processi incentrati sulla tecnologia, questi criteri comportano rischi aggiuntivi perché creano una dipendenza da una soluzione tecnologica o da un fornitore di tecnologie specifico?

Come si apprenderà nell'unità successiva, i criteri di Tailwind Traders sui dati protetti non rispondono a queste domande. Alcuni di esse possono trovare risposta altrove, ad esempio nei manuali dei criteri, ma la domanda finale incentrata sulla tecnologia rimane senza risposta. Anziché mitigare i rischi, i criteri introducono rischi a lungo termine vincolando l'azienda all'uso di una singola soluzione.

Definire i criteri aziendali

Per definire i criteri aziendali è necessario concentrarsi sull'identificare e sul mitigare i rischi aziendali, indipendentemente dalla piattaforma cloud usata dall'organizzazione. Una strategia di governance del cloud efficace inizia da criteri aziendali validi. Il processo in tre passaggi seguente guida lo sviluppo iterativo di criteri aziendali validi:

   

Business risk icon.
Rischio aziendale: esaminare i piani di adozione del cloud e la classificazione dei dati correnti per identificare i rischi per l'azienda. Collaborare con l'azienda per trovare un equilibrio tra tolleranza ai rischi e costi di mitigazione.

Policy and compliance icon.
Criteri e conformità: valutare la tolleranza ai rischi per definire criteri per la governance dell'adozione del cloud e la gestione dei rischi. In alcuni settori, la conformità delle terze parti influisce sulla creazione iniziale dei criteri.

Process enforcement icon.
Processi: il ritmo delle attività di adozione e innovazione creerà naturalmente violazioni dei criteri. L'esecuzione dei processi rilevanti consente di monitorare e applicare la conformità ai criteri.

Rischio aziendale

Durante l'adozione del cloud, si corrono diversi rischi. Di seguito sono illustrati alcuni esempi di rischi che possono evolversi in diversi punti del percorso di adozione:

  • Durante la sperimentazione iniziale, vengono distribuiti alcuni asset con pochissimi dati pertinenti o senza dati di questo tipo. I rischi sono minimi.
  • Quando viene distribuito il primo carico di lavoro, il rischio aumenta leggermente. Questo rischio può essere risolto facilmente scegliendo un'applicazione intrinsecamente a basso rischio con una base di utenti ridotta.
  • Man mano che sempre più carichi di lavoro sono online, i rischi mutano a ogni rilascio. Diventano disponibili nuove applicazioni e i rischi cambiano.
  • Quando un'azienda porta online le prime 10 o 20 applicazioni, il profilo di rischio è molto diverso rispetto a quando la millesima applicazione entra in produzione nel cloud.

Il rischio è relativo. Una piccola azienda con pochi asset IT in un edificio offline ha pochi rischi. Aggiungendo utenti e una connessione Internet con l'accesso a tali asset il rischio aumenta. E quando questa piccola impresa entra a far parte delle Fortune 500, i rischi sono esponenzialmente maggiori. Con l'aumentare dei profitti, dei processi aziendali, del numero di dipendenti e degli asset IT, i rischi aumentano e si combinano. Gli asset IT che contribuiscono a generare ricavi comportano un rischio tangibile di arrestare il flusso di ricavi in caso di interruzione del funzionamento. Ogni istante di inattività equivale a una perdita. Analogamente, man mano che i dati si accumulano, aumenta il rischio di danneggiare i clienti.

In base a quanto emerge dall'unità dedicata alla storia del cliente Tailwind Traders, i rischi che preoccupano di più il CIO sono i seguenti:

  • Spese eccessive nel cloud
  • Mancato rispetto dei requisiti di sicurezza o conformità dell'organizzazione
  • Configurazione degli asset che crea sviste o problemi nella gestione delle operazioni
  • Accesso non autorizzato che compromette i sistemi o i dati
  • Governance non coerente a causa di processi immaturi e mancanza di competenze nel team

È importante notare che nessuno dei problemi è correlato a "un segmento di rete specifico dei data center esistenti", a cui si fa riferimento nei criteri correnti di Tailwind. Per creare criteri di governance solidi che si adattano al cloud, è necessario scavare più a fondo. Verranno ora messi a confronto i rischi tangibili acquisiti nei criteri correnti rispetto alla soluzione di stato corrente.

È probabile che un'analisi più approfondita delle preoccupazioni degli stakeholder e del piano di adozione del cloud esponga più rischi che non possono essere tollerati dall'organizzazione. Per il momento, tuttavia, si dispone di elementi sufficienti per iniziare a definire i criteri di governance con cui affrontare tali rischi tangibili.

Criteri e conformità

I criteri aziendali stabiliscono i requisiti, gli standard e gli obiettivi che il personale IT e i sistemi automatizzati devono supportare. Le singole istruzioni dei criteri sono linee guida per affrontare rischi specifici identificati durante il processo di valutazione dei rischi. Di seguito sono riportati alcuni esempi di criteri aziendali appropriati per guidare l'adozione di distribuzioni di cloud pubblico e privato, che non comportano un vincolo a un unico fornitore:

  • Evitare spese eccessive:le distribuzioni cloud comportano il rischio di eccedere nelle spese, in particolare per le distribuzioni self-service. Tutte le distribuzioni devono essere allocate a un'unità di fatturazione con un budget approvato e con un meccanismo per applicare i limiti di budget.

    Considerazioni sulla progettazione: in Azure è possibile controllare il budget con la Gestione dei costi Microsoft. Mentre Azure Advisor può fornire raccomandazioni per l'ottimizzazione, per ridurre la spesa per asset.

  • Proteggere i dati sensibili:gli asset che interagiscono con i dati sensibili possono non ricevere protezioni sufficienti e ciò può portare a potenziali perdite di dati o interruzioni delle attività aziendali. Il team responsabile della sicurezza deve identificare ed esaminare tutti gli asset che interagiscono con i dati sensibili per garantire che siano applicati livelli di protezione appropriati.

    Considerazione sulla progettazione: in Azure tutti gli asset distribuiti devono essere contrassegnati con livelli di classificazione dei dati appropriati. Il team responsabile della governance cloud e il proprietario dell'applicazione devono esaminare le classificazioni prima della distribuzione nel cloud.

Processo

Il cloud fornisce protezioni che possono ridurre il carico di lavoro umano dei processi ricorrenti fornendo trigger di convalida basati sulla configurazione dell'implementazione. La tabella seguente illustra alcuni trigger e azioni utili per affrontare i rischi che preoccupano il CIO di Tailwind Traders:

Rischio Trigger di esempio Azione di esempio
Spese eccessive nel cloud La spesa per il cloud mensile è superiore del 20% rispetto a quanto previsto. Inviare una notifica al responsabile dell'unità di fatturazione per iniziare a esaminare l'utilizzo delle risorse.
Spese eccessive nel cloud Gli asset distribuiti non usano la CPU o la memoria allocata. Inviare una notifica al responsabile dell'unità di fatturazione e ridimensionare automaticamente le risorse in base all'utilizzo effettivo, quando possibile.
Mancato rispetto dei requisiti di sicurezza o conformità dell'organizzazione Rilevare qualsiasi deviazione dalla sicurezza o dalla conformità definita. Inviare una notifica al team responsabile della sicurezza IT e automatizzare la correzione, quando possibile.
Configurazioni degli asset che creano sviste o problemi nella gestione delle operazioni L'utilizzo della CPU per un carico di lavoro è superiore al 90%. Inviare una notifica al team responsabile delle operazioni IT e aumentare le risorse per gestire il carico.
Configurazioni degli asset che creano sviste o problemi nella gestione delle operazioni Gli asset che non soddisfano i requisiti di applicazione di patch o di continuità aziendale e ripristino di emergenza attivano un avviso di conformità operativa. Inviare una notifica al team responsabile della sicurezza IT e risolvere automaticamente la deviazione, quando possibile.
Accesso non autorizzato che compromette i sistemi o i dati I modelli di traffico deviano dalle topologie di rete approvate. Inviare una notifica al team responsabile della sicurezza IT e chiudere automaticamente i vettori di attacco, quando possibile.
Accesso non autorizzato che compromette i sistemi o i dati Gli asset sono configurati senza assegnazioni di ruolo appropriate o privilegi elevati. Inviare una notifica al team responsabile della sicurezza IT e risolvere automaticamente la deviazione, quando possibile.
Governance non coerente a causa di processi immaturi e mancanza di competenze nel team Sono stati identificati asset che non sono inclusi nei processi di governance richiesti. Inviare una notifica al team responsabile della governance IT e risolvere automaticamente la deviazione, quando possibile.

Ognuno dei trigger e delle azioni può essere automatizzato usando gli strumenti di governance di Azure. Altri provider di servizi cloud possono richiedere un approccio più manuale, ma i criteri definiti saranno comunque applicabili. Prestare attenzione per evitare di definire criteri che vincolino a un fornitore specifico, in modo da evitare di ripetere questo processo in futuro.

Dopo la definizione delle istruzioni dei criteri cloud e l'elaborazione di una guida di progettazione, è necessario creare una strategia per garantire che la distribuzione cloud sia conforme ai requisiti dei criteri. Questa strategia deve includere i processi di revisione e comunicazione in corso del team responsabile della governance del cloud. Questa strategia deve includere i processi di revisione e comunicazione in corso del team responsabile della governance del cloud e stabilire criteri per i casi di violazione dei criteri che richiedono un'azione. Deve anche definire i requisiti per i sistemi automatizzati di monitoraggio e conformità che rilevano violazioni e attivano azioni correttive.

Nell'unità successiva questi tipi di rischi verranno raggruppati in discipline cloud applicabili.