Políticas corporativas

  • 20 minutos

As políticas de governança inadequadas criam restrições desnecessárias e podem não proteger a empresa. Esta unidade avalia maneiras de criar políticas corporativas adequadas e acionáveis.

Política corporativa incorreta da Tailwind Traders

O que há de errado com a política existente da Tailwind Traders de acordo com a narrativa do cliente?

Política da Tailwind: Os dados financeiros e de clientes podem ser hospedados somente em um segmento de rede específico dos datacenters existentes, chamados de ativos protegidos.

As políticas corporativas são projetadas para instruir as equipes sobre o modo mais adequado de lidar com riscos tangíveis que não são considerados toleráveis pela organização. As políticas corporativas não são projetadas para exigir uma implementação técnica específica.

Avaliar a política corporativa existente

Ao avaliar políticas corporativas existentes a fim de aplicá-las à nuvem ou a uma outra tecnologia nova, você deverá ser capaz de responder às seguintes perguntas:

  • Que tipo de risco essa política tenta atenuar?
  • Por que esse risco não está dentro da tolerância a riscos da organização?
  • Quem determinou que esse risco não é tolerável?
  • Quando essa política deverá ser aplicada (classificação de carga de trabalho, situação e assim por diante)? Quando as exceções deverão ser examinadas?
  • Como funciona a imposição desse processo? Com que frequência a política deverá ser examinada para garantir a aplicabilidade?
  • Para processos focados em tecnologia, essa política adicionará riscos criando um tipo de dependência de uma solução de tecnologia ou um fornecedor de tecnologia específico?

Na próxima unidade, você descobrirá que a política da Tailwind Traders para dados protegidos não responde a essas perguntas. Algumas delas podem ser respondidas em outro lugar, como nos manuais de política, mas direcionar a pergunta final à tecnologia é um erro inegável. Em vez de atenuar o risco, ela apresentou riscos de longo prazo ao focar em apenas uma solução.

Definir política corporativa

A definição da política corporativa requer um foco na identificação e na mitigação de riscos de negócios, independentemente da plataforma de nuvem usada pela organização. Estratégia de governança de nuvem íntegra começa com a política corporativa de som. O seguinte processo de três etapas guiará o desenvolvimento iterativo de políticas corporativas sólidas:

   

Business risk icon.
Risco empresarial: investigue planos de adoção de nuvem atuais e a classificação de dados para identificar riscos empresariais. Trabalhe com os negócios para equilibrar a tolerância a risco e custos de mitigação.

Policy and compliance icon.
Política e conformidade: avalia a tolerância ao risco para informar as políticas que controlam a adoção e o gerenciamento da nuvem. Em alguns setores, a conformidade de terceiros afeta a criação de política inicial.

Process enforcement icon.
Processos: O ritmo das atividades de adoção e inovação naturalmente criará violações de políticas. A execução de processos relevantes ajuda a monitorar e reforçar a adesão às políticas.

Riscos de negócios

Durante a adoção da nuvem, você encontrará vários riscos. Aqui estão alguns exemplos de riscos que podem evoluir em diferentes pontos de seu esforço de adoção:

  • Durante a experimentação inicial, alguns ativos com pouco ou nenhum dado relevante são implantados. O risco é pequeno.
  • Quando a primeira carga de trabalho é implantada, o risco aumenta um pouco. Esse risco é facilmente corrigido com a escolha de um aplicativo inerentemente de baixo risco com uma pequena base de usuários.
  • À medida que mais cargas de trabalho tornam-se online, os riscos alteram a cada liberação. Novos aplicativos são lançados e os riscos mudam.
  • Quando uma empresa colocar os primeiros 10 ou 20 aplicativos online, o perfil de risco será muito diferente do momento em que o milésimo aplicativo entrar em produção na nuvem.

O risco é relativo. Uma pequena empresa com alguns ativos de TI em um prédio offline representa pouco risco. Adicione usuários e uma conexão com a Internet com acesso a esses ativos e o risco se intensificará. Quando essa pequena empresa cresce para status de classificação Fortune 500, os riscos tornam-se exponencialmente maiores. Na medida em que as receitas, os processos de negócios, as contagens de funcionários e os ativos de TI se acumulam, os riscos aumentam e se aglutinam. Os ativos de TI que ajudam a gerar a receita correm um risco tangível de suspender esse fluxo de receita no caso de uma interrupção. Cada momento de inatividade equivale a perdas. Da mesma forma, à medida que os dados se acumulam, o risco de danos aos clientes aumenta.

De acordo com a estrutura de tópicos da unidade de narrativa do cliente da Tailwind Traders, os riscos com os quais a CIO (Diretora de Informações) da Tailwind mais se preocupa são:

  • Excesso de gastos na nuvem
  • A organização não atende aos requisitos de segurança nem de conformidade
  • Configuração de ativos criando omissões e problemas de gerenciamento de operações
  • Um acesso não autorizado comprometendo sistemas ou dados
  • Uma governança divergente devido a processos pouco aprimorados e a falta de habilidade da equipe

É importante observar que nenhuma das preocupações está relacionada a "um segmento de rede específico dos datacenters existentes", conforme citado na política atual da Tailwind. Para criar políticas de controle sólidas que escalem para a nuvem, precisaremos nos aprofundar um pouco mais. Vamos dar uma olhada nos riscos tangíveis capturados na política atual em comparação com a solução do estado atual.

É provável que uma investigação mais profunda das preocupações das partes interessadas e do plano de adoção da nuvem mostre mais riscos que a organização não pode tolerar. Contudo, por enquanto, temos informações suficientes para começar a delinear as políticas de governança que lidarão com esses riscos tangíveis.

Política e conformidade

As políticas corporativas estabelecem requisitos, padrões e metas aos quais os sistemas automatizados e a equipe de TI precisarão dar suporte. As declarações de políticas individuais são diretrizes para lidar com riscos específicos e identificados durante o processo de avaliação de riscos. Aqui estão alguns exemplos de políticas corporativas apropriadas que orientam a adoção em implantações de nuvem pública e privada e que evitam o foco em um fornecedor específico:

  • Evite o excesso de gastos: as implantações de nuvem envolvem um risco de excesso de gastos, especialmente para implantações de autoatendimento. Todas as implantações deverão ser alocadas em uma unidade de cobrança com um orçamento aprovado e um mecanismo para manter limites orçamentários.

    Considerações sobre o projeto: no Azure, você pode controlar o orçamento com o Gerenciamento de Custos da Microsoft. Embora o Assistente do Azure possa fornecer recomendações de otimização para reduzir os gastos por ativo.

  • Dados confidenciais seguros: os ativos que interagem com determinados dados confidenciais podem não receber proteções suficientes, ocasionando possíveis vazamentos de dados ou interrupções dos negócios. A equipe de segurança deve identificar e analisar todos os ativos que interagem com dados confidenciais, para certificar-se de que os níveis adequados de proteção estejam em vigor.

    Considerações sobre o design: no Azure, todos os ativos implantados devem ser marcados com níveis apropriados de classificação de dados. A equipe de governança da nuvem e o proprietário do aplicativo devem revisar as classificações antes da implantação na nuvem.

Processar

A nuvem fornece verificadores de integridade que ajudam a reduzir a sobrecarga humana de processos recorrentes, fornecendo gatilhos de validação baseados na configuração da implementação. A seguinte tabela descreve alguns gatilhos e ações que podem lidar com os riscos que geram preocupações para o CIO da Tailwind Traders:

Risco Gatilho de exemplo Ação de exemplo
Excesso de gastos na nuvem Os gastos mensais com a nuvem são 20% maiores do que o esperado. Notifique o líder da unidade de faturamento para começar a revisar o uso dos recursos.
Excesso de gastos na nuvem Os ativos implantados não estão usando a memória nem a CPU alocadas. Notifique o líder da unidade de cobrança e execute um redimensionamento de modo automático para se ajustar ao uso real, quando possível.
A organização não atende aos requisitos de segurança nem de conformidade Detecte todos os desvios de segurança ou conformidade definida. Notifique a equipe de segurança de TI e automatize a correção, quando possível.
As configurações de ativos criarem omissões ou problemas de gerenciamento de operações A utilização da CPU de uma carga de trabalho é maior do que 90%. Notifique a equipe de operações de TI e escalone mais recursos para lidar com a carga.
As configurações de ativos criarem omissões ou problemas de gerenciamento de operações Os ativos que deixarem de atender aos requisitos de recuperação de desastre e aplicação de patch ou continuidade empresarial dispararão um aviso de conformidade operacional. Notifique a equipe de segurança de TI e resolva o desvio de modo automático, quando possível.
Um acesso não autorizado comprometendo sistemas ou dados Há um desvio dos padrões de tráfego das topologias de rede aprovadas. Notifique a equipe de segurança de TI e feche os vetores de ataque de modo automático, quando possível.
Um acesso não autorizado comprometendo sistemas ou dados Os ativos foram configurados sem atribuições de função adequadas nem privilégios elevados. Notifique a equipe de segurança de TI e resolva o desvio de modo automático, quando possível.
Uma governança divergente devido a processos pouco aprimorados e a falta de habilidade da equipe Os ativos identificados não foram incluídos em processos de governança obrigatórios. Notifique a equipe de governança de TI e resolva o desvio de modo automático, quando possível.

Você pode automatizar cada um desses gatilhos e ações usando as ferramentas de Governança do Azure. Outros provedores de serviços de nuvem poderão exigir uma abordagem de modo mais manual, porém as políticas definidas ainda serão aplicáveis. Para não precisar repetir esse processo no futuro, tome cuidado para evitar definir políticas que poderão resultar no foco em um fornecedor específico.

Depois de estabelecer suas declarações de política de nuvem e elaborar um guia de projeto, será necessário criar uma estratégia para certificar-se de que a implantação da nuvem permaneça em conformidade com os requisitos da política. Essa estratégia deve abranger os processos contínuos de revisão e comunicação da sua equipe de governança da nuvem. Essa estratégia deve abranger os processos contínuos de revisão e comunicação da sua equipe de governança da nuvem e estabelecer critérios para quando as violações de políticas exigirem uma ação. Também deve definir os requisitos para sistemas automatizados de monitoramento e conformidade que detectem violações e disparem ações de correção.

Na próxima unidade, agruparemos esses tipos de riscos em disciplinas de nuvem acionáveis.