Gobernanza para la adopción de la nube de defensa

La metodología de gobernanza se centra en el dominio de la plataforma. Afecta a la administración de costes de carga de trabajo, la línea de base de seguridad, los roles de acceso de identidad y los parámetros de coherencia de recursos.

Figura 1: Seguimiento de dominios: dominio de plataforma

La gobernanza es un marco que alinea el personal, las implementaciones y los presupuestos con una iniciativa común y evita el desfase de esa visión. Proporciona control sobre los entornos en la nube y ayuda a las organizaciones de defensa a cumplir objetivos de misión.

Las organizaciones de defensa necesitan gobernanza para mitigar los riesgos. El coste, la seguridad y la gobernanza de directivas eficaces pueden simplificar las operaciones de plataforma y proporcionar un medio para heredar estos límites de protección en el nivel de carga de trabajo. Sin una gobernanza adecuada, se producirán cargas de administración significativas y límites de productividad. Una falta de gobernanza también crea brechas de responsabilidad, introduce riesgos de seguridad y retrasos en la rentabilidad de las inversiones (ROIs) debido a retrasos excesivos en la implementación y re-proceso.

Para evitar algunos de estos problemas, merece la pena tener en cuenta los siguientes procedimientos recomendados de gobernanza.

Evaluar los roles y las responsabilidades

Los propietarios de misión necesitan un modelo de responsabilidad que tenga en cuenta todos los recursos de la nube antes de comprometerse con una estrategia de gobernanza. Si está disponible, los propietarios de misión deben coordinar los roles y las responsabilidades con la estrategia de agente de nube. Si el agente de nube no proporciona roles y modelos de responsabilidades, los propietarios de misión deberán establecer funciones de gobernanza.

La adopción de la nube puede cambiar aspectos de las operaciones de TI. Estos cambios requieren una reevaluación de roles y responsabilidades. El objetivo de la reevaluación es evitar tener varios grupos o personal responsable del mismo servicio, a la vez que se garantiza que no haya brechas de responsabilidad.

Las técnicas siguientes pueden ayudar a evitar redundancias o brechas de gobernanza:

• Crear un mapa de dependencias de servicio: un mapa de dependencias de servicio es un documento que enumera todos los servicios de TI y las personas responsables de ellos. Para crear un mapa de dependencias de servicio, debe describir todos los servicios que proporciona su organización e identificar los equipos o individuos responsables de cada uno de esos servicios.
• Realizar un seguimiento de los responsables, encargados, consultados e informados (RACI): una matriz de RACI define los niveles de responsabilidad de un servicio determinado. Debes hacer una lista de quién es responsable y responsable de cada servicio y quién debe consultarse e informarse en el proceso de toma de decisiones.

Para más información, consulta Funciones de gobernanza en la nube.

Automatización del cumplimiento

Las organizaciones de defensa tienen niveles de requisitos de cumplimiento para proteger los datos confidenciales y los secretos. La gobernanza es necesaria para proteger estos recursos, pero crea cargas de administración. La gobernanza requiere precisión, repetición y coherencia, y estas tareas la automatización funciona mucho mejor que los humanos. Las organizaciones de defensa deben automatizar los procesos de gobernanza. Mejorará la eficiencia operativa y la seguridad y el personal de defensa libre para centrarse en otras prioridades.

Azure simplifica muchos aspectos de la gobernanza de defensa. Azure tiene una herramienta de gobernanza automatizada denominada Azure Policy integrada en la plataforma Azure. Esta herramienta mantiene los entornos en la nube en consonancia con las directivas, los estándares y los requisitos de cumplimiento disponibles. Permite a los equipos automatizar las evaluaciones de cumplimiento e incluso corregir los estándares de cumplimiento predefinidos.

Hay muchas directivas integradas disponibles en Azure que facilitan la automatización de la gobernanza. Estas directivas integradas cumplen muchos requisitos de cumplimiento gubernamental. Incluyen NIST 800-53, NIST 800-171, CMMC 2.0, Impact-Level 4, Impact-Level 5, ISO 27001:2013, FedRAMP High y otros. También hay libros en Microsoft Sentinel que le ayudan a visualizar el cumplimiento. Los equipos de gobernanza pueden usar directivas para aplicar la gobernanza en los recursos en la nube. Los usuarios seleccionan las directivas deseadas y las asignan al ámbito adecuado de los recursos. Azure Policy también permite a los usuarios crear y modificar directivas para cumplir diferentes requisitos de gobernanza.

Estas directivas comprueban el cumplimiento de las nuevas implementaciones y los recursos existentes en las directivas que se han implementado. Las nuevas implementaciones que no cumplen un requisito de directiva no se implementarán. Las implementaciones existentes que no cumplen las directivas de gobernanza también se identificarán para que los equipos puedan aplicar el cumplimiento en cada recurso.

Las directivas de Azure crean una barrera de protección firme y automatizan la mayor parte de las tareas de gobernanza. Al hacerlo, mitigan el riesgo y aumentan la eficiencia, lo que ayuda a los propietarios de la misión a lograr sus objetivos de misión más rápido.

Para más información sobre la automatización de la gobernanza, consulta

• Gobernanza de la seguridad
• Introducción a Azure Policy
• Cumplimiento en Azure
• Estándares de compatibilidad de Azure
• Herramienta de visualización de gobernanza
• Cuadernos de trabajo de Microsoft Sentinel

Crear una estrategia de gobernanza de costes

Los costes son una indicación tangible de la eficacia de la gobernanza. Los cargos deben alinearse con las expectativas y sorpresas de una factura, lo que significa que el enfoque de gobernanza en vigor tiene lagunas. La gobernanza de costes consiste en sacar el máximo partido de los recursos necesarios e impedir las implementaciones de recursos que no están autorizadas.

Estas son algunas consideraciones a tener en cuenta al crear una estrategia de gobernanza de costes:

Conocer la responsabilidad de los costes: el consumo de recursos necesita gobernanza para optimizar los costos, evitar los residuos y cumplir el presupuesto asignado. La gobernanza de costes proporciona técnicas de administración de costos que permiten predecir, controlar y asignar correctamente los costos. La gobernanza de costes suele tener requisitos legales asociados. Está respaldado por leyes que iniciarán comités de supervisión presupuestaria para investigar y castigar si hay infracciones.

Revisar facturación: los costos deben revisarse cada ciclo de facturación. Las revisiones más frecuentes producirán un mejor control de costos. Las revisiones periódicas de costos ayudarán a identificar la gobernanza pronto en los problemas. Se recomienda que los agentes de nube y los propietarios de misiones implementen presupuestos y alertas en función del ámbito de interés. Los presupuestos ayudarán a realizar un seguimiento del gasto y enviar alertas si se superan los umbrales de gasto. Se pueden establecer varios umbrales para asegurarse de que los presupuestos se informen a tiempo.

Seguridad de los costes: una gobernanza de costes deficiente crea riesgos de seguridad y limita la capacidad de cumplir los objetivos de misión. Sin gobernanza de costes, cualquier persona podría agregar costos adicionales a una factura mediante el aprovisionamiento de recursos sin permiso. Los servicios aprovisionados de esta manera se pasan por alto y se olvidan fácilmente. Los recursos olvidados aumentan la superficie expuesta a ataques y las posibles vulnerabilidades en la nube. El gasto en servicios innecesarios no solo crea riesgos, sino que también roba fondos de otras prioridades. Los cargos inesperados pueden ser una indicación de una gobernanza incorrecta y requieren una revisión de la materia de gobernanza de la organización.

Análisis de tendencias: realiza análisis de tendencias para impulsar la transparencia y permita la visibilidad de los recursos activos y el consumo. Los picos anómalos en el gasto de recursos y deben comunicarse al equipo técnico para obtener una explicación. Podría indicar una nueva fase en las operaciones o una brecha de gobernanza. Marca y revisa los nuevos cargos o picos en las tendencias. Esta forma de administración de costes activa ayuda a evitar los residuos y a mitigar el riesgo. El análisis de tendencias también puede ayudar a administrar la infraestructura y determinar las prioridades futuras. Los propietarios de misión pueden ver cuánto dinero se gasta en una funcionalidad determinada. Si el dinero invertido no ayuda a cumplir los objetivos de misión, el futuro de este recurso o carga de trabajo necesita reevaluación.

Para más información, consulta gobernanza de costes y gestión de costes y facturación.

Creación de líneas base de coste

La gobernanza de costes de carga de trabajo comienza con las estimaciones de línea base. Los equipos de defensa deben realizar una estimación del coste total de propiedad para cada carga de trabajo individual que se espera migrar a la nube. Los Propietarios de Misión deben monitorizar los costes de los recursos de cloud y gestionar sus servicios adecuadamente para alcanzar los resultados deseados. Una ventaja de la nube es reducir las tarifas de servicios compartidos. Tienden a ser una fracción de las tarifas de servicio del centro de datos local.

Estos son algunos pasos prácticos para crear estimaciones de carga de trabajo:

Comienza con la rentabilidad de la inversión (ROI) de moverse a la nube: a fin de calcular el ROI de la nube, los propietarios de misión deben determinar el costo total de propiedad (TCO) para cada carga de trabajo individual que realiza la transición a la nube. Azure tiene una calculadora de TCO que permite al propietario de misión calcular el coste por instancia con varias variables:

• Instalaciones (edificio, bienes inmuebles)
• Cargos de electricidad y refrigeración
• Red (interna o externa al centro de datos)
• Hardware (servidores, bastidores, enrutadores, almacenamiento en disco)
• Licencias de software del sistema y de las aplicaciones
• Personal de operaciones

No todas las variables requieren entrada y algunos servicios pueden ser difíciles de calcular. Los propietarios de la misión deben determinar el nivel de precisión necesario para establecer esta línea base. Una vez creada una estimación de TCO, los propietarios de misión deben documentar estos datos para su posterior análisis.

Estimación de los costes mensuales de los servicios necesarios: el siguiente paso para establecer una línea base de costo de carga de trabajo consiste en determinar los costes mensuales estimados de los servicios necesarios. Las estimaciones mensuales se vinculan a presupuestos y presupuestos permiten la previsión empresarial. Las funcionalidades de la organización de recursos de Azure facilitan los presupuestos en distintos niveles de una estructura de la organización. Los presupuestos de Azure se pueden aplicar en el nivel de grupo de administración, suscripción o grupo de recursos. Puede encontrar información adicional sobre la creación, supervisión y actualización de presupuestos en Azure en la documentación de Microsoft Cost Management. La calculadora de precios de Azure puede ayudar a crear estimaciones mensuales y calculadora de TCO. Estas estimaciones se deben ejecutar para cada carga de trabajo individual que se va a migrar. Una vez que se ha calculado una estimación mensual de la carga de trabajo de Azure, el propietario de la misión debe documentar estos datos en un repositorio u otro recurso de seguimiento para su posterior análisis. Esta ubicación debe ser la misma que la estimación del TCO. Para más información, consulta herramientas de costes.

Para más información sobre gobernanza, consulta:

• Guía de gobernanza
• Disciplinas de gobernanza

Paso siguiente

Después de la gobernanza, la adopción de la nube se mueve al dominio de carga de trabajo y comienza con la metodología de adopción.

Adoptar