Guia de governação para empresas complexas: Política corporativa inicial por trás da estratégia de governaçãoGovernance guide for complex enterprises: Initial corporate policy behind the governance strategy

A seguinte política corporativa define a posição inicial de governação que é o ponto de partida para este guia.The following corporate policy defines the initial governance position that's the starting point for this guide. Este artigo define riscos em fase inicial, declarações políticas iniciais e processos iniciais para impor declarações políticas.This article defines early-stage risks, initial policy statements, and early processes to enforce policy statements.

Nota

A política corporativa não é um documento técnico, mas impulsiona muitas decisões técnicas.The corporate policy is not a technical document, but it drives many technical decisions. O MVP de governação descrito na visão geral acaba por derivar desta política.The governance MVP described in the overview ultimately derives from this policy. Antes de implementar um MVP de governação, a sua organização deve desenvolver uma política corporativa baseada nos seus próprios objetivos e riscos de negócio.Before implementing a governance MVP, your organization should develop a corporate policy based on your own objectives and business risks.

Equipa de governação da nuvemCloud governance team

O CIO realizou recentemente uma reunião com a equipa de governação das TI para compreender a história dos dados pessoais e políticas críticas da missão e rever o efeito da mudança dessas políticas.The CIO recently held a meeting with the IT governance team to understand the history of the personal data and mission-critical policies and review the effect of changing those policies. O CIO também discutiu o potencial geral da nuvem para TI e para a empresa.The CIO also discussed the overall potential of the cloud for IT and the company.

Após a reunião, dois membros da equipa de governação de TI solicitaram autorização para pesquisar e apoiar os esforços de planeamento da nuvem.After the meeting, two members of the IT governance team requested permission to research and support the cloud planning efforts. Reconhecendo a necessidade de governação e uma oportunidade para limitar as TI sombra, o diretor da governação das TI apoiou esta ideia.Recognizing the need for governance and an opportunity to limit shadow IT, the director of IT governance supported this idea. Com isso, nasceu a equipa de governação das nuvens.With that, the cloud governance team was born. Ao longo dos próximos meses, herdarão a limpeza de muitos erros cometidos durante a exploração na nuvem do ponto de vista da governação.Over the next several months, they will inherit the cleanup of many mistakes made during exploration in the cloud from a governance perspective. Isto vai dar-lhes o nome de guardiães da nuvem.This will earn them the moniker of cloud custodians. Em iterações posteriores, este guia mostrará como os seus papéis mudam ao longo do tempo.In later iterations, this guide will show how their roles change over time.

ObjetivoObjective

O objetivo inicial é estabelecer uma base para a agilidade governativa.The initial objective is to establish a foundation for governance agility. Um MVP de governação eficaz permite que a equipa de governação se mantenha à frente da adoção em nuvem e implemente os guarda-costas à medida que o plano de adoção muda.An effective Governance MVP allows the governance team to stay ahead of cloud adoption and implement guardrails as the adoption plan changes.

Riscos empresariaisBusiness risks

A empresa está numa fase inicial de adoção em nuvem, experimentação e construção de provas de conceito.The company is at an early stage of cloud adoption, experimenting and building proofs of concept. Os riscos são agora relativamente baixos, mas os riscos futuros são suscetíveis de ter um impacto significativo.Risks are now relatively low, but future risks are likely to have a significant impact. Há pouca definição em torno do estado final das soluções técnicas a serem implantadas para a nuvem.There is little definition around the final state of the technical solutions to be deployed to the cloud. Além disso, a prontidão em nuvem dos funcionários de TI é baixa.In addition, the cloud readiness of IT employees is low. Uma base para a adoção de nuvens ajudará a equipa a aprender e a crescer com segurança.A foundation for cloud adoption will help the team safely learn and grow.

À prova de futuro: Existe o risco de não potenciar o crescimento, mas também de não fornecer as proteções adequadas contra riscos futuros.Future-proofing: There is a risk of not empowering growth, but also a risk of not providing the right protections against future risks.

É necessária uma abordagem de governação ágil mas robusta para apoiar a visão do conselho de administração para o crescimento corporativo e técnico.An agile yet robust governance approach is needed to support the board's vision for corporate and technical growth. A não aplicação desta estratégia irá abrandar o crescimento técnico, arriscando potencialmente o crescimento atual e futuro da quota de mercado.Failure to implement such a strategy will slow technical growth, potentially risking current and future market share growth. O impacto de tal risco empresarial é inquestionavelmente elevado.The impact of such a business risk is unquestionably high. No entanto, o papel que a TI desempenhará nesses potenciais estados futuros é desconhecido, tornando o risco associado aos atuais esforços de TI relativamente elevados.However, the role IT will play in those potential future states is unknown, making the risk associated with current IT efforts relatively high. Dito isto, até que os planos mais concretos estejam alinhados, o negócio tem uma alta tolerância ao risco.That said, until more concrete plans are aligned, the business has a high tolerance for risk.

Este risco de negócio pode ser dividido tacticamente em vários riscos técnicos:This business risk can be broken down tactically into several technical risks:

  • As políticas corporativas bem-intencionadas poderiam abrandar os esforços de transformação ou quebrar processos de negócio críticos, se não forem considerados dentro de um fluxo de aprovação estruturado.Well-intended corporate policies could slow transformation efforts or break critical business processes, if not considered within a structured approval flow.
  • A aplicação da governação aos ativos implantados pode ser difícil e dispendiosa.The application of governance to deployed assets could be difficult and costly.
  • A governação não pode ser adequadamente aplicada através de uma aplicação ou carga de trabalho, criando lacunas na segurança.Governance may not be properly applied across an application or workload, creating gaps in security.
  • Com tantas equipas a trabalhar na nuvem, existe o risco de inconsistência.With so many teams working in the cloud, there is a risk of inconsistency.
  • Os custos podem não se alinhar adequadamente com unidades de negócio, equipas ou outras unidades de gestão orçamental.Costs may not properly align to business units, teams, or other budgetary management units.
  • O uso de múltiplas identidades para gerir várias implementações pode levar a problemas de segurança.The use of multiple identities to manage various deployments could lead to security issues.
  • Apesar das políticas atuais, existe o risco de os dados protegidos poderem ser erroneamente implantados na nuvem.Despite current policies, there is a risk that protected data could be mistakenly deployed to the cloud.

Indicadores de tolerânciaTolerance indicators

A atual tolerância ao risco é elevada e o apetite por investir na governação das nuvens é baixo.The current risk tolerance is high and the appetite for investing in cloud governance is low. Como tal, os indicadores de tolerância funcionam como um sistema de alerta precoce para desencadear o investimento de tempo e energia.As such, the tolerance indicators act as an early warning system to trigger the investment of time and energy. Se forem observados os seguintes indicadores, seria sensato avançar com a estratégia de governação.If the following indicators are observed, it would be wise to advance the governance strategy.

  • Disciplina de Gestão de Custos: A escala de implantação excede 1.000 ativos na nuvem, ou a despesa mensal excede $10.000 USD por mês.Cost Management discipline: Scale of deployment exceeds 1,000 assets to the cloud, or monthly spending exceeds $10,000 USD per month.
  • Disciplina de base de identidade: Inclusão de aplicações com requisitos de autenticação de vários fatores de legado ou de terceiros.Identity Baseline discipline: Inclusion of applications with legacy or third-party multi-factor authentication requirements.
  • Disciplina de base de segurança: Inclusão de dados protegidos em planos definidos de adoção em nuvem.Security Baseline discipline: Inclusion of protected data in defined cloud adoption plans.
  • Disciplina de Consistência de Recursos: Inclusão de quaisquer aplicações críticas da missão em planos de adoção de nuvem definida.Resource Consistency discipline: Inclusion of any mission-critical applications in defined cloud adoption plans.

Instruções de políticaPolicy statements

As seguintes declarações políticas estabelecem os requisitos necessários para remediar os riscos definidos.The following policy statements establish the requirements needed to remediate the defined risks. Estas políticas definem os requisitos funcionais para o MVP de governação.These policies define the functional requirements for the governance MVP. Cada um deles estará representado na implementação do MVP de governação.Each will be represented in the implementation of the governance MVP.

Gestão de Custos:Cost Management:

  • Para efeitos de rastreio, todos os ativos devem ser atribuídos a um titular de uma aplicação dentro de uma das funções principais do negócio.For tracking purposes, all assets must be assigned to an application owner within one of the core business functions.
  • Quando surgirem preocupações de custos, serão estabelecidos requisitos adicionais de governação com a equipa financeira.When cost concerns arise, additional governance requirements will be established with the finance team.

Linha de Base de Segurança:Security Baseline:

  • Qualquer ativo implantado na nuvem deve ter uma classificação de dados aprovada.Any asset deployed to the cloud must have an approved data classification.
  • Nenhum ativo identificado com um nível protegido de dados pode ser implantado na nuvem, até que possam ser aprovados e implementados requisitos suficientes de segurança e governação.No assets identified with a protected level of data may be deployed to the cloud, until sufficient requirements for security and governance can be approved and implemented.
  • Até que os requisitos mínimos de segurança da rede possam ser validados e regidos, os ambientes em nuvem são vistos como redes de perímetro e devem satisfazer requisitos de conexão semelhantes a outros centros de dados ou redes internas.Until minimum network security requirements can be validated and governed, cloud environments are seen as perimeter networks and should meet similar connection requirements to other datacenters or internal networks.

Consistência dos recursos:Resource Consistency:

  • Como não são implementadas cargas de trabalho críticas de missão nesta fase, não existem requisitos de SLA, desempenho ou BCDR a serem regidos.Because no mission-critical workloads are deployed at this stage, there are no SLA, performance, or BCDR requirements to be governed.
  • Quando forem implementadas cargas de trabalho críticas à missão, serão estabelecidos requisitos adicionais de governação com operações de TI.When mission-critical workloads are deployed, additional governance requirements will be established with IT operations.

Linha de base de identidade:Identity Baseline:

  • Todos os ativos implantados na nuvem devem ser controlados utilizando identidades e funções aprovadas pelas políticas de governação atuais.All assets deployed to the cloud should be controlled using identities and roles approved by current governance policies.
  • Todos os grupos na infraestrutura ative directy que tenham privilégios elevados devem ser mapeados para uma função de RBAC aprovada.All groups in the on-premises Active Directory infrastructure that have elevated privileges should be mapped to an approved RBAC role.

Aceleração da implantação:Deployment Acceleration:

  • Todos os ativos devem ser agrupados e marcados de acordo com estratégias definidas de agrupamento e marcação.All assets must be grouped and tagged according to defined grouping and tagging strategies.
  • Todos os ativos devem utilizar um modelo de implantação aprovado.All assets must use an approved deployment model.
  • Uma vez criada uma fundação de governação para um fornecedor de nuvem, qualquer ferramenta de implantação deve ser compatível com os instrumentos definidos pela equipa de governação.Once a governance foundation has been established for a cloud provider, any deployment tooling must be compatible with the tools defined by the governance team.

ProcessosProcesses

Não foi atribuído qualquer orçamento para o acompanhamento e execução permanentes destas políticas de governação.No budget has been allocated for ongoing monitoring and enforcement of these governance policies. Por isso, a equipa de governação das nuvens improvisou formas de monitorizar a adesão às declarações políticas.Because of that, the cloud governance team has improvised ways to monitor adherence to policy statements.

  • Educação: A equipa de governação da nuvem está a investir tempo para educar as equipas de adoção em nuvem nos guias de governação que apoiam estas políticas.Education: The cloud governance team is investing time to educate the cloud adoption teams on the governance guides that support these policies.
  • Comentários de implantação: Antes de implantar qualquer ativo, a equipa de governação da nuvem irá rever o guia de governação com as equipas de adoção em nuvem.Deployment reviews: Before deploying any asset, the cloud governance team will review the governance guide with the cloud adoption teams.

Próximos passosNext steps

Esta política corporativa prepara a equipa de governação da nuvem para implementar o MVP de governação como base para a adoção.This corporate policy prepares the cloud governance team to implement the governance MVP as the foundation for adoption. O próximo passo é implementar este MVP.The next step is to implement this MVP.