Documentación de directivas de gobernanza en la nube
En este artículo se muestra cómo definir y documentar directivas de gobernanza en la nube. Las directivas de gobernanza de la nube especifican qué debe ocurrir o no en la nube. El equipo de gobernanza de la nube debe crear una o varias directivas de gobernanza de la nube para cada riesgo identificado en la evaluación de riesgos. Las directivas de gobernanza de la nube definen los límites de protección para interactuar con y en la nube.
Defina un enfoque para documentar las directivas de gobernanza en la nube.
Establezca un enfoque para crear, mantener y actualizar las reglas y directrices que rigen el uso de servicios en la nube. Las directivas de gobernanza en la nube no deben ser exclusivas de una carga de trabajo específica. El objetivo es generar directivas de gobernanza en la nube que no requieren actualizaciones frecuentes y que tienen en cuenta los efectos de las directivas de gobernanza de la nube en todo el entorno de nube. Para definir un enfoque de documentación de directivas, siga estas recomendaciones:
Defina el lenguaje de gobernanza estándar. Desarrolle una estructura y formato estándar para documentar las directivas de gobernanza en la nube. Las directivas deben ser una referencia clara y autoritativa para las partes interesadas.
Reconocer los distintos ámbitos de gobernanza. Defina y asigne responsabilidades de gobernanza específicas adaptadas a los roles únicos de su organización. Por ejemplo, un desarrollador rige el código de la aplicación. Un equipo de carga de trabajo es responsable de una sola carga de trabajo y el equipo de la plataforma es responsable de la gobernanza que heredan las cargas de trabajo.
Evalúe los efectos generales de la gobernanza de la nube. La gobernanza de la nube crea fricción. Encuentre un equilibrio entre fricción y libertad. Tenga en cuenta los efectos de la gobernanza en la arquitectura de cargas de trabajo, las prácticas de desarrollo de software y otras áreas a medida que desarrolla directivas de gobernanza en la nube. Por ejemplo, lo que permite o no determina la arquitectura de la carga de trabajo y afecta a las prácticas de desarrollo de software.
Defina las directivas de gobernanza en la nube
Cree directivas de gobernanza en la nube que describen cómo usar y administrar la nube para mitigar los riesgos. Minimice la necesidad de actualizaciones frecuentes de directivas. Para definir directivas de gobernanza en la nube, siga estas recomendaciones:
Uso de un id. de directiva. Use la categoría de directiva y un número para identificar de forma única cada directiva, como SC01 para la primera directiva de gobernanza de seguridad. Incremente el identificador secuencialmente a medida que se agregan nuevos riesgos. Si elimina riesgos, puede dejar huecos en la secuencia o usar el número más bajo disponible.
Incluya la instrucción de directiva. Cree instrucciones de directiva específicas que aborden los riesgos identificados. Use lenguaje definitivo como tiene que, debería, no tiene que y no debería. Use los controles de cumplimiento de la lista de riesgos como punto de partida. Céntrese en los resultados en lugar de en los pasos de configuración. Asigne un nombre a la herramienta necesaria para la aplicación a fin de saber dónde supervisar el cumplimiento.
Incluya un identificador de riesgo. Enumere el riesgo en la directiva. Asocie cada directiva de gobernanza de la nube a un riesgo.
Incluya la categoría de directiva. Incluya categorías de gobernanza, como seguridad, cumplimiento o administración de costos en la categorización de directivas. Las categorías ayudan a ordenar, filtrar y buscar directivas de gobernanza en la nube.
Incluya el propósito de la directiva. Indique el propósito de cada directiva. Use el riesgo o el requisito de cumplimiento normativo que cumple la directiva como punto de partida.
Defina el ámbito de la directiva. Defina a qué y a quién se aplica esta directiva, como todos los servicios en la nube, las regiones, los entornos y las cargas de trabajo. Especifique las excepciones para asegurarse de que no haya ambigüedad. Use lenguaje normalizado para que sea fácil ordenar, filtrar y buscar directivas.
Incluya las estrategias de corrección de directivas. Defina la respuesta deseada a una infracción de una directiva de gobernanza en la nube. Adapte las respuestas a la gravedad del riesgo, como programar discusiones para infracciones de no producción y esfuerzos de corrección inmediatos para infracciones de producción.
Para obtener más información, consulte el ejemplo de directivas de gobernanza en la nube.
Distribuya las directivas de gobernanza en la nube
Conceda acceso a todos los usuarios que necesiten cumplir las directivas de gobernanza en la nube. Busque formas de facilitar el cumplimiento de las directivas de gobernanza en la nube para las personas de su organización. Para distribuir directivas de gobernanza en la nube, siga estas recomendaciones:
Use un repositorio de directivas centralizado. Use un repositorio centralizado y fácilmente accesible para toda la documentación de gobernanza. Asegúrese de que todas las partes interesadas, los equipos y las personas tengan acceso a las versiones más recientes de directivas y documentos relacionados.
Cree listas de comprobación de cumplimiento. Proporcione información general rápida y procesable de las directivas. Facilite el cumplimiento de los equipos sin tener que navegar por una amplia documentación. Para obtener más información, vea la lista de comprobación de cumplimiento de ejemplo.
Revise las directivas de gobernanza en la nube
Evalúe y actualice las directivas de gobernanza de la nube para asegurarse de que siguen siendo relevantes y eficaces en el gobierno de los entornos en la nube. Las revisiones periódicas ayudan a garantizar que las directivas de gobernanza de la nube se alineen con los requisitos normativos cambiantes, las nuevas tecnologías y los objetivos de negocio en constante evolución. Al revisar las directivas, tenga en cuenta las siguientes recomendaciones:
Implemente mecanismos de comentarios. Establezca formas de recibir comentarios sobre la eficacia de las directivas de gobernanza en la nube. Recopile información de las personas afectadas por las directivas para asegurarse de que todavía pueden hacer su trabajo de forma eficaz. Actualice las directivas de gobernanza para reflejar desafíos y necesidades prácticos.
Establezca revisiones basadas en eventos. Revise y actualice las directivas de gobernanza en la nube en respuesta a eventos, como una directiva de gobernanza errónea, un cambio tecnológico o un cambio de cumplimiento normativo.
Programe revisiones periódicas. Revise periódicamente las directivas de gobernanza para asegurarse de que se alinean con las necesidades, los riesgos y los avances en la nube en constante evolución. Por ejemplo, incluya revisiones de gobernanza en las reuniones periódicas de gobernanza de la nube con las partes interesadas.
Facilite el control de cambios. Incluya un proceso para la revisión y las actualizaciones de directivas. Asegúrese de que las directivas de gobernanza de la nube se mantengan alineadas con los cambios organizativos, normativos y tecnológicos. Deje claro cómo editar, quitar o agregar directivas.
Identifique las ineficiencias. Revise las directivas de gobernanza para buscar y corregir ineficacias en la arquitectura y las operaciones en la nube. Por ejemplo, en lugar de exigir que cada carga de trabajo debe usar su propio firewall de aplicaciones web, actualice la directiva para requerir el uso de un firewall centralizado. Revise las directivas que requieren un esfuerzo duplicado y vea si hay una manera de centralizar el trabajo.
Ejemplo de directivas de gobernanza en la nube
Las siguientes directivas de gobernanza en la nube son ejemplos de referencia. Estas directivas se basan en los ejemplos de la lista de riesgos de ejemplo.
| Id. de directiva | Categoría de directivas | Id. de riesgo | Instrucción de la directiva | Fin | Ámbito | Corrección | Supervisión |
|---|---|---|---|---|---|---|---|
| RC01 | Cumplimiento normativo | R01 | Microsoft Purview debe usarse para supervisar datos confidenciales. | Cumplimiento normativo | Equipos de carga de trabajo, equipo de plataforma | Acción inmediata por parte del equipo afectado, entrenamiento de cumplimiento | Microsoft Purview |
| RC02 | Cumplimiento normativo | R01 | Los informes diarios de cumplimiento de datos confidenciales deben generarse a partir de Microsoft Purview. | Cumplimiento normativo | Equipos de carga de trabajo, equipo de plataforma | Resolución en un día, auditoría de confirmación | Microsoft Purview |
| SC01 | Seguridad | R02 | Asegúrese de que la autenticación multifactor (MFA) esté habilitada para todos los usuarios. | Mitigación de infracciones de datos y acceso no autorizado | Usuarios de Azure | Revocación del acceso de usuarios | Acceso condicional de Microsoft Entra ID |
| SC02 | Seguridad | R02 | Las revisiones de acceso deben realizarse mensualmente en la gobernanza de Microsoft Entra ID. | Garantizar la integridad de los datos y del servicio | Usuarios de Azure | Revocación inmediata del acceso por incumplimiento | Gobernanza de id. |
| SC03 | Seguridad | R03 | Los equipos deben usar la organización de GitHub especificada para el hospedaje seguro de todo el código de software e infraestructura. | Garantizar la administración segura y centralizada de los repositorios de código | Equipos de desarrollo | Transferencia de repositorios no autorizados a la organización de GitHub especificada y posibles acciones disciplinarias por incumplimiento | Registro de auditoría de GitHub |
| SC04 | Seguridad | R03 | Los equipos que usan bibliotecas de orígenes públicos deben adoptar el patrón de cuarentena. | Asegúrese de que las bibliotecas son seguras y conformes antes de la integración en el proceso de desarrollo | Equipos de desarrollo | Eliminación de bibliotecas no conformes y revisión de prácticas de integración para proyectos afectados | Auditoría manual (mensual) |
| CM01 | Administración de costos | R04 | Los equipos de carga de trabajo deben establecer alertas de presupuestos en el nivel de grupo de recursos. | Evitar gastos excesivos | Equipos de carga de trabajo, equipo de plataforma | Revisiones inmediatas, ajustes para alertas | Microsoft Cost Management |
| CM02 | Administración de costos | R04 | Las recomendaciones sobre los costes de Azure Advisor deben revisarse. | Optimización del uso de la nube | Equipos de carga de trabajo, equipo de plataforma | Auditorías de optimización obligatorias después de 60 días | Advisor |
| OP01 | Operaciones | R05 | Las cargas de trabajo de producción deben tener una arquitectura activa-pasiva entre regiones. | Garantizar la continuidad del servicio | Equipos de carga de trabajo | Evaluaciones de arquitectura, revisiones semestrales | Auditoría manual (por versión de producción) |
| OP02 | Operaciones | R05 | Todas las cargas de trabajo críticas deben implementar una arquitectura activa-activa entre regiones. | Garantizar la continuidad del servicio | Equipos de cargas de trabajo críticas | Actualizaciones en un plazo de 90 días, revisiones de progreso | Auditoría manual (por versión de producción) |
| DG01 | Datos | R06 | El cifrado en tránsito y en reposo debe aplicarse a todos los datos confidenciales. | Protección de datos confidenciales | Equipos de carga de trabajo | Cumplimiento inmediato del cifrado y entrenamiento de seguridad | Azure Policy |
| DG02 | Datos | R06 | Las directivas de ciclo de vida de datos deben estar habilitadas en Microsoft Purview para todos los datos confidenciales. | Administración del ciclo de vida de los datos | Equipos de carga de trabajo | Implementación en un plazo de 60 días, auditorías trimestrales | Microsoft Purview |
| RM01 | Administración de recursos | R07 | Bicep debe usarse para implementar recursos. | Normalización del aprovisionamiento de recursos | Equipos de carga de trabajo, equipo de plataforma | Plan inmediato de transición de Bicep | Canalización de integración continua y entrega continua (CI/CD) |
| RM02 | Administración de recursos | R07 | Las etiquetas deben aplicarse en todos los recursos en la nube mediante Azure Policy. | Facilitar el seguimiento de recursos | Todos los recursos en la nube | Corrección del etiquetado en un plazo de 30 días | Azure Policy |
| AI01 | INTELIGENCIA ARTIFICIAL | R08 | La configuración de filtrado de contenido de IA debe establecerse en media o superior. | Mitigación de salidas perjudiciales de IA | Equipos de carga de trabajo | Medidas correctivas inmediatas | Azure OpenAI Service |
| AI02 | INTELIGENCIA ARTIFICIAL | R08 | Los sistemas de IA orientados al cliente deben estar en equipo rojo mensualmente. | Identificación de sesgos de IA | Equipos de modelos de IA | Revisión inmediata, acciones correctivas para errores | Auditoría manual (mensual) |