Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Governança de nuvem é como uma organização controla seu uso de serviços de nuvem estabelecendo guarda-corpos. Esses guardrails são um conjunto de políticas, procedimentos e ferramentas que definem atividades aceitáveis e inaceitáveis na nuvem. A governança eficaz da nuvem alinha o uso da nuvem com os objetivos de negócios, reduz os riscos, garante a conformidade regulatória e evita ações não gerenciadas ou não autorizadas na nuvem. Na prática, a governança em nuvem abrange domínios-chave como segurança, conformidade regulatória, operações, gerenciamento de custos, gerenciamento de dados, provisionamento de recursos e até mesmo áreas emergentes como IA.
Links rápidos:Ferramentas de governança do Azure e Exemplo de matriz RACI de governança
Processo de governação: A governança de nuvem não é um projeto único, mas um processo contínuo. Após a configuração inicial, requer monitoramento, avaliação e atualizações contínuas para se adaptar às novas tecnologias, à evolução dos riscos e às mudanças nos requisitos. Depois de estabelecer a base de governança na Etapa 1, as Etapas 2 a 5 se repetem em um ciclo para sustentar e melhorar a governança ao longo do tempo.
O primeiro passo é estabelecer uma equipe dedicada de governança de nuvem para supervisionar a governança de nuvem em toda a organização. Essa equipe é responsável por gerenciar riscos relacionados à nuvem, desenvolver e atualizar políticas de governança e relatar o progresso da governança. Os membros da equipe devem entender as necessidades de várias unidades de negócios e garantir que as políticas de governança minimizem efetivamente os riscos sem bloquear as metas de negócios. O resultado desta etapa é ter uma propriedade e responsabilidade claras para o sucesso da governança da nuvem.
1. Definir a função da equipa
Descreva claramente pelo que a equipe de governança de nuvem é responsável e quais atividades ela realizará para implementar a governança. No mínimo, a equipa deve ser capaz de:
Envolva as partes interessadas. A equipe de governança de nuvem deve envolver ativamente as partes interessadas em toda a organização (TI, finanças, operações, segurança e conformidade) para coletar informações sobre a definição de políticas de governança de nuvem. O objetivo é garantir que as políticas de governança da nuvem minimizem os riscos sem impedir que as equipes atinjam as metas de negócios.
Avalie os riscos da nuvem. A equipe de governança da nuvem deve supervisionar a identificação e a avaliação dos riscos relacionados à nuvem. A equipa conduz os processos de avaliação de riscos e comunica os resultados dos riscos. Eles podem fornecer ferramentas ou estruturas para que outras pessoas avaliem riscos de segurança, conformidade e operacionais na nuvem.
Desenvolver e atualizar políticas de governança. A equipe de governança de nuvem deve documentar as políticas de governança de nuvem que abordam os riscos identificados. A equipe resolve quaisquer desafios que essas políticas criem para vários grupos e revisa periodicamente as políticas para mantê-las atualizadas com as mudanças tecnológicas e novos requisitos. As políticas devem ser abrangentes, aplicáveis e alinhadas com as necessidades atuais dos negócios.
Monitorar e revisar a conformidade. A equipe de governança de nuvem precisa estabelecer métricas e métodos de relatórios para medir a eficácia das políticas de governança. Rastreie os níveis de conformidade, violações de políticas, tempos de resposta a incidentes e até mesmo a satisfação do usuário. Revise regularmente essas métricas para identificar áreas de melhoria e relatar a postura de governança de nuvem da organização.
2. Selecione os membros da equipe
Escolha indivíduos para a equipe de governança de nuvem que tenham as habilidades e a experiência certas para aplicar políticas, gerenciar riscos e garantir a conformidade. Algumas recomendações para a composição da equipa:
Mantenha uma equipa pequena. Escolha uma pequena equipa para incentivar a agilidade e uma tomada de decisão mais rápida.
Assegurar uma representação diversificada. Inclua membros da equipe de diferentes departamentos ou domínios. Por exemplo, operações de TI, arquitetura de nuvem, segurança, conformidade, finanças e talvez desenvolvimento de aplicativos. A representação multifuncional garante que as políticas de governança considerem múltiplas perspetivas.
Definir as responsabilidades dos membros da equipa. Defina as funções e responsabilidades dentro da sua equipe de governança de nuvem. Adapte-os ao tamanho, complexidade e maturidade da nuvem da sua organização. As principais áreas de responsabilidade normalmente incluem o sucesso geral do programa de governança de nuvem, supervisão da arquitetura de nuvem, segurança de nuvem, conformidade regulatória e gerenciamento financeiro de nuvem (otimização de custos).
3. Definir a autoridade da equipa
Capacite a equipe de governança de nuvem com o mandato e o suporte necessários para implementar a governança em toda a organização. As etapas para fazer isso incluem:
Garantir patrocínio executivo. Obtenha suporte e reporte a um executivo nomeado, como o CIO ou o CTO, para apoiar a iniciativa de governança de nuvem. O patrocinador executivo serve como um ponto de escalonamento para desafios e ajuda a alinhar a governança da nuvem com os objetivos de negócios.
Estabeleça níveis de autoridade. O patrocinador executivo deve conceder à equipe a autoridade para definir políticas de governança de nuvem e tomar medidas corretivas para não conformidade.
Comunicar autoridade. O patrocinador executivo deve comunicar a autoridade da equipe de governança de nuvem para toda a organização. Inclua a importância de aderir às políticas de governança de nuvem que eles criam.
4. Definir o âmbito da equipa
Estabeleça os limites das responsabilidades da equipe de governança de nuvem. O objetivo é esclarecer áreas de responsabilidade para que a equipe de governança de nuvem possa se concentrar em suas funções definidas. Para definir o escopo, siga estas recomendações:
Definir relacionamento com outras equipes. Determine como a equipe de governança de nuvem interagirá com as equipes de governança de TI existentes, as equipes de infraestrutura local ou as equipes de aplicativos. Por exemplo, em um ambiente híbrido, especifique quais são os aspetos que a equipa de governança de nuvem deve lidar em comparação com a governança de TI tradicional. Delimitar claramente o âmbito evita confusão sobre quem gere o quê.
Use uma matriz RACI. Pode ser útil criar um gráfico RACI (Responsável, Responsável, Consultado, Informado) que mapeie as tarefas relacionadas à governança e quem está envolvido. Por exemplo, a equipe de governança de nuvem pode ser responsável pelo desenvolvimento de políticas, enquanto os engenheiros de plataforma de nuvem são responsáveis pela implementação de controles específicos, e assim por diante. Uma matriz RACI garante que todos saibam sua parte na governança da nuvem e como a equipe de governança colabora com outros grupos.
Exemplo de matriz RACI de governança de nuvem
A tabela a seguir é um exemplo de uma matriz RACI para governança de nuvem. A matriz indica quem é responsável (R), quem presta contas (A), quem é consultado (C) e quem é informado (I) em várias tarefas de governação na nuvem. Crie uma matriz RACI que se alinhe à sua organização e atenda às suas necessidades específicas.
| Tarefa | Equipe de governança de nuvem | Patrocinador executivo | Equipa(s) da plataforma na nuvem | Equipes de carga de trabalho |
|---|---|---|---|---|
| Envolver as partes interessadas | R, A | I | C | C |
| Avalie os riscos da nuvem | A | I | R | R |
| Desenvolver e atualizar políticas de governança | R, A | I | C | C |
| Relatório sobre o progresso da governança da nuvem | R, A | I | C | C |
| Planejar uma arquitetura de nuvem | A | I | R | R |
| Aplicar políticas de governança | A, C | I | R | R |
| Monitorar a conformidade | A, C | I | R | R |
Ter essa matriz ajuda a esclarecer quem faz o quê. Por exemplo, a Equipe de Governança de Nuvem é responsável (A) pela avaliação de riscos de nuvem, mas as equipes de Plataforma de Nuvem e Carga de Trabalho são responsáveis (R) por realizar avaliações de risco em suas áreas. A equipa de Governação da Nuvem é consultada (C) ou responsável pela aplicação, mas são as equipas de plataforma e de cargas de trabalho que a realizam.
Com as funções, a associação, a autoridade e o escopo da equipe estabelecidos, você criou uma base para a governança da nuvem. Essa equipe agora conduzirá as próximas etapas: definir políticas, aplicá-las e monitorar a conformidade.