Styrningsguide för komplexa företag: Inledande företagspolicy bakom styrningsstrategin

Följande företagsprincip definierar den inledande styrningspositionen som är utgångspunkten för den här guiden. Den här artikeln definierar risker i ett tidigt skede, inledande principinstruktioner och tidiga processer för att framtvinga principframföranden.

Anteckning

Företagspolicyn är inte ett tekniskt dokument, men den styr många tekniska beslut. Styrnings-MVP som beskrivs i översikten härleds från den här principen. Innan du implementerar en styrnings-MVP bör din organisation utveckla en företagspolicy baserat på dina mål och affärsrisker.

Molnstyrningsteam

CIO:n höll nyligen ett möte med IT-styrningsteamet för att förstå historiken för personliga data och verksamhetskritiska policyer och för att granska effekten av att ändra dessa policyer. CIO:et diskuterade molnets övergripande potential för IT och företaget.

Efter mötet begärde två medlemmar i IT-styrningsteamet tillstånd att undersöka och stödja molnplaneringsarbetet. Chefen för IT-styrning insåg möjligheten att begränsa skugg-IT och behovet av styrning. De stödde den här idén. Därför föddes molnstyrningsteamet. Under de kommande månaderna ärver de rensningen av många misstag som gjorts under utforskningen i molnet ur ett styrningsperspektiv. Den här plikten ger dem molnansvarigas moniker. I senare iterationer visar den här guiden hur deras roller ändras över tid.

Mål

Det första målet är att upprätta en grund för styrningsflexialitet. Med en effektiv styrnings-MVP kan styrningsteamet ligga steget före molnimplementeringen och implementera skyddsmekanismer när implementeringsplanen ändras.

Affärsrisker

Företaget befinner sig i ett tidigt skede av molnimplementeringen där de experimenterar och skapar konceptbevis. Riskerna är relativt låga, men framtida risker kommer sannolikt att ha en betydande effekt. Det finns inte mycket definitioner kring det slutliga tillståndet för de tekniska lösningar som distribueras till molnet. IT-anställdas molnberedskap är låg. En grund för molnimplementering hjälper teamet att lära sig och växa på ett säkert sätt.

Framtidssäkra: Det finns en risk för att inte stärka tillväxten men också en risk för att inte ge rätt skydd mot framtida risker.

Styrelsens vision för företags- och teknisk tillväxt behöver en flexibel men robust styrningsmetod. Om en sådan strategi inte implementeras bromsas den tekniska tillväxten, vilket potentiellt riskerar den nuvarande och framtida tillväxten av marknadsandelar. Effekten av en sådan affärsrisk är otvivelaktigt betydande. Men it-avdelningens roll i dessa potentiella framtida tillstånd är okänd, vilket gör risken som är kopplad till dagens IT-arbete relativt hög. Tills mer konkreta planer justeras har verksamheten en hög risktolerans.

Den här affärsrisken kan delas upp taktiskt i flera tekniska risker:

  • Väl avsedda företagsprinciper kan bromsa omvandlingsarbetet eller bryta kritiska affärsprocesser om de inte beaktas i ett strukturerat godkännandeflöde.
  • Det kan vara svårt och kostsamt att tillämpa styrning på distribuerade tillgångar.
  • Styrning kanske inte tillämpas korrekt i ett program eller en arbetsbelastning, vilket skapar säkerhetsluckor.
  • Med många team som arbetar i molnet finns det en risk för inkonsekvens.
  • Kostnaderna kanske inte är korrekt anpassade till affärsenheter, team eller andra budgethanteringsenheter.
  • Användningen av flera identiteter för att hantera distributioner kan leda till säkerhetsproblem.
  • Trots aktuella principer finns det en risk att skyddade data kan distribueras av misstag till molnet.

Toleransindikatorer

Den nuvarande risktoleransen är hög och aptiten för att investera i molnstyrning är låg. Så toleransindikatorerna fungerar som ett system för tidig varning för att utlösa investeringar i tid och energi. Om följande indikatorer observeras är det klokt att gå vidare med styrningsstrategin.

  • Kostnadshanteringsområde: Distributionens skala överskrider 1 000 tillgångar till molnet, eller så överskrider de månatliga utgifterna 10 000 USD per månad.
  • Identitetsbaslinjeområde: Inkludering av program med äldre eller tredjeparts krav på multifaktorautentisering.
  • Säkerhetsbaslinjeområde: Inkludering av skyddade data i definierade molnimplementeringsplaner.
  • Resurskonsekvensområde: Inkludering av verksamhetskritiska program i definierade molnimplementeringsplaner.

Principrapporter

Följande policyinstruktioner fastställer de nödvändiga kraven för att åtgärda de definierade riskerna. Dessa principer definierar funktionskraven för styrnings-MVP. Varje principframställning representeras i implementeringen av styrnings-MVP.

Kostnadshantering:

  • I spårningssyfte måste du tilldela tillgångar till en programägare inom någon av de viktigaste affärsfunktionerna.
  • När det uppstår kostnadsbekymmer upprättas andra styrningskrav med ekonomiteamet.

Säkerhetsbaslinje:

  • En tillgång som distribueras till molnet måste ha en godkänd dataklassificering.
  • Inga tillgångar som identifieras med en skyddad datanivå kan distribueras till molnet förrän tillräckliga krav för säkerhet och styrning har godkänts och implementerats.
  • Tills de lägsta nätverkssäkerhetskraven kan verifieras och styras ses molnmiljöer som perimeternätverk och bör uppfylla liknande anslutningskrav som andra datacenter eller interna nätverk.

Resurskonsekvens:

  • Inga verksamhetskritiska arbetsbelastningar distribueras i det här skedet, så det finns inga krav på serviceavtal, prestanda eller BCDR att styra.
  • När verksamhetskritiska arbetsbelastningar distribueras upprättas andra styrningskrav med IT-åtgärder.

Identitetsbaslinje:

  • Tillgångar som distribueras till molnet styrs med hjälp av identiteter och roller som godkänns av aktuella styrningsprinciper.
  • Alla grupper i lokal Active Directory infrastruktur som har förhöjd behörighet ska mappas till en godkänd RBAC-roll.

Distributionsacceleration:

  • Tillgångar måste grupperas och taggas enligt definierade grupperings- och taggningsstrategier.
  • Tillgångar måste använda en godkänd distributionsmodell.
  • När en styrningsgrund har upprättats för en molnleverantör måste distributionsverktyg vara kompatibla med de verktyg som styrningsteamet definierar.

Processer

Ingen budget allokeras för löpande övervakning och genomförande av dessa styrningsprinciper. Molnstyrningsteamet har därför improviserat sätt att övervaka efterlevnaden av principframföranden.

  • Utbildning: Molnstyrningsteamet investerar tid för att utbilda molnimplementeringsteamen om de styrningsguider som stöder dessa principer.
  • Distributionsgranskningar: Innan du distribuerar en tillgång granskar molnstyrningsteamet styrningsguiden med molnimplementeringsteamen.

Nästa steg

Den här företagspolicyn förbereder molnstyrningsteamet för att implementera styrnings-MVP som grund för implementering. Nästa steg är att implementera den här MVP:en.

Metodtips förklaras