Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La gobernanza de la nube es la forma en que una organización controla su uso de servicios en la nube mediante el establecimiento de barreras de protección. Estos límites de protección son conjuntos de directivas, procedimientos y herramientas que definen actividades en la nube aceptables e inaceptables. La gobernanza de la nube eficaz alinea el uso de la nube con los objetivos empresariales, mitiga los riesgos, garantiza el cumplimiento normativo y evita acciones en la nube no administradas o no autorizadas. En la práctica, la gobernanza de la nube abarca dominios clave, como seguridad, cumplimiento normativo, operaciones, administración de costos, administración de datos, aprovisionamiento de recursos e incluso áreas emergentes como la inteligencia artificial.
Vínculos rápidos:Herramientas de gobernanza de Azure y Matriz de RACI de gobernanza de ejemplo
Proceso de gobernanza: La gobernanza en la nube no es un proyecto único, sino un proceso continuo. Después de la configuración inicial, requiere supervisión, evaluación y actualizaciones continuas para adaptarse a las nuevas tecnologías, a los riesgos en evolución y a los requisitos cambiantes. Después de establecer la base de gobernanza en el paso 1, los pasos 2 a 5 se repiten en un ciclo para mantener y mejorar la gobernanza con el tiempo.
El primer paso es establecer un equipo de gobernanza de la nube dedicado para supervisar la gobernanza de la nube en toda la organización. Este equipo es responsable de administrar riesgos relacionados con la nube, desarrollar y actualizar directivas de gobernanza e informar sobre el progreso de la gobernanza. Los miembros del equipo deben comprender las necesidades de varias unidades de negocio y garantizar que las directivas de gobernanza minimicen eficazmente el riesgo sin bloquear los objetivos empresariales. El resultado de este paso es tener una propiedad clara y una responsabilidad para el éxito de la gobernanza en la nube.
1. Definir la función del equipo
Describa claramente lo que el equipo de gobernanza de la nube es responsable y qué actividades realizará para implementar la gobernanza. Como mínimo, el equipo debe poder:
Involucra a las partes interesadas. El equipo de gobernanza de la nube debe involucrar activamente a las partes interesadas en toda la organización (TI, finanzas, operaciones, seguridad y cumplimiento) para recopilar información sobre la definición de directivas de gobernanza en la nube. El objetivo es garantizar que las directivas de gobernanza en la nube minimicen el riesgo sin impedir que los equipos alcancen los objetivos empresariales.
Evaluar los riesgos de la nube. El equipo de gobernanza de la nube debe supervisar la identificación y evaluación de los riesgos relacionados con la nube. El equipo impulsa los procesos de evaluación de riesgos y comunica los resultados de riesgo. Pueden proporcionar herramientas o marcos para que otros usuarios evalúen los riesgos operativos, de cumplimiento y seguridad en la nube.
Desarrollar y actualizar directivas de gobernanza. El equipo de gobernanza de la nube debe documentar las directivas de gobernanza de la nube que abordan los riesgos identificados. El equipo resuelve los desafíos que estas directivas crean para varios grupos y revisa periódicamente las directivas para mantenerlas actualizadas con los cambios tecnológicos y los nuevos requisitos. Las directivas deben ser completas, ejecutables y alineadas con las necesidades empresariales actuales.
Supervisar y revisar el cumplimiento. El equipo de gobernanza de la nube debe establecer métricas y métodos de informes para medir la eficacia de las directivas de gobernanza. Realice un seguimiento de los niveles de cumplimiento, las infracciones de directivas, los tiempos de respuesta a incidentes e incluso la satisfacción del usuario. Revise periódicamente estas métricas para identificar áreas de mejora e informar sobre la posición de gobernanza en la nube de la organización.
2. Seleccionar miembros del equipo
Elija usuarios para el equipo de gobernanza de la nube que tengan las aptitudes y la experiencia adecuadas para aplicar directivas, administrar riesgos y garantizar el cumplimiento. Algunas recomendaciones para la composición del equipo:
Mantenga un pequeño equipo. Elija un equipo pequeño para fomentar la agilidad y la toma de decisiones más rápida.
Asegúrese de una representación diversa. Incluya miembros del equipo de diferentes departamentos o dominios. Por ejemplo, las operaciones de TI, la arquitectura en la nube, la seguridad, el cumplimiento, las finanzas y quizás el desarrollo de aplicaciones. La representación entre funciones garantiza que las directivas de gobernanza consideren varias perspectivas.
Definir las responsabilidades de los miembros del equipo. Defina los roles y responsabilidades dentro del equipo de gobernanza de la nube. Adaptarlos al tamaño, la complejidad y la madurez de la nube de su organización. Las áreas clave de responsabilidad suelen incluir el éxito general del programa de gobernanza de la nube, la supervisión de la arquitectura en la nube, la seguridad en la nube, el cumplimiento normativo y la administración financiera en la nube (optimización de costos).
3. Definir la autoridad del equipo
Capacite al equipo de gobernanza de la nube con el mandato y el soporte técnico necesarios para implementar la gobernanza en toda la organización. Entre los pasos para hacerlo se incluyen:
Patrocinio ejecutivo seguro. Obtenga apoyo de un ejecutivo designado, como el CIO o el CTO, e infórmele para respaldar la iniciativa de gobernanza en la nube. El patrocinador ejecutivo actúa como punto de escalación para los desafíos y ayuda a alinear la gobernanza de la nube con los objetivos empresariales.
Establecer niveles de autoridad. El patrocinador ejecutivo debe conceder al equipo la autoridad para definir directivas de gobernanza en la nube y tomar medidas correctivas para no cumplimiento.
Comunicar autoridad. El patrocinador ejecutivo debe comunicar la autoridad del equipo de gobernanza de la nube a toda la organización. Incluya la importancia de cumplir las directivas de gobernanza en la nube que crean.
4. Definir el ámbito del equipo
Establezca los límites de las responsabilidades del equipo de gobernanza en la nube. El objetivo es aclarar áreas de responsabilidad para que el equipo de gobernanza de la nube pueda centrarse en sus funciones definidas. Para definir el ámbito, siga estas recomendaciones:
Defina la relación con otros equipos. Determine cómo interactuará el equipo de gobernanza de la nube con la gobernanza de TI existente, los equipos de infraestructura local o los equipos de aplicaciones. Por ejemplo, en un entorno híbrido, especifique qué aspectos controla el equipo de gobernanza de la nube frente a la gobernanza de TI tradicional. Delimitar claramente el ámbito evita confusiones sobre quién administra lo que.
Use una matriz RACI. Puede resultar útil crear un gráfico de RACI (Responsable, Asumidor, Consultado, Informado) que desglosa las tareas relacionadas con la gobernanza y quién participa. Por ejemplo, el equipo de gobernanza de la nube puede ser responsable de desarrollar directivas, mientras que los ingenieros de plataforma en la nube son responsables de implementar controles específicos, etc. Una matriz de RACI garantiza que todos conozcan su parte en la gobernanza de la nube y cómo colabora el equipo de gobernanza con otros grupos.
Matriz RACI de gobernanza en la nube de ejemplo
En la tabla siguiente se muestra un ejemplo de una matriz de RACI para la gobernanza en la nube. La matriz indica quién es responsable (R), responsable (A), consultado (C) e informado (I) en varias tareas de gobernanza de la nube. Cree una matriz de RACI que se alinee con su organización y satisfaga sus necesidades específicas.
| Tarea | Equipo de gobernanza de la nube | Patrocinador ejecutivo | Equipos de plataforma en la nube | Equipos de gestión de carga |
|---|---|---|---|---|
| Engage partes interesadas | R, A | I | C | C |
| Evaluación de los riesgos de la nube | A | I | R | R |
| Desarrollo y actualización de directivas de gobernanza | R, A | I | C | C |
| Informe sobre el progreso de la gobernanza en la nube | R, A | I | C | C |
| Planeamiento de una arquitectura en la nube | A | I | R | R |
| Aplicación de directivas de gobernanza | A, C | I | R | R |
| Supervisión del cumplimiento | A, C | I | R | R |
Tener una matriz de este tipo ayuda a aclarar quién hace lo que. Por ejemplo, el equipo de gobernanza de la nube es responsable (A) para evaluar los riesgos de la nube, pero los equipos de plataforma en la nube y carga de trabajo son responsables (R) para realizar evaluaciones de riesgos en sus áreas. El equipo de gobernanza de la nube es consultado (C) o es responsable de la aplicación, pero los equipos de la plataforma y de las cargas de trabajo lo llevan a cabo.
Con las funciones, la pertenencia, la autoridad y el ámbito del equipo establecidos, ha creado una base para la gobernanza de la nube. Este equipo ahora impulsará los pasos siguientes: definir directivas, aplicarlas y supervisar el cumplimiento.