Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La governance del cloud è il modo in cui un'organizzazione controlla l'uso dei servizi cloud stabilendo protezioni. Queste protezioni sono set di criteri, procedure e strumenti che definiscono attività cloud accettabili e inaccettabili. La governance del cloud efficace allinea l'utilizzo del cloud agli obiettivi aziendali, riduce i rischi, garantisce la conformità alle normative e impedisce azioni cloud non gestite o non autorizzate. In pratica, la governance del cloud riguarda i domini chiave, ad esempio sicurezza, conformità alle normative, operazioni, gestione dei costi, gestione dei dati, provisioning delle risorse e anche aree emergenti come l'IA.
Collegamenti rapidi:Strumenti di governance di Azure e Matrice RACI di governance di esempio
Processo di governance: La governance del cloud non è un progetto monouso, ma un processo continuo. Dopo la configurazione iniziale, richiede monitoraggio, valutazione e aggiornamenti continui per adattarsi a nuove tecnologie, rischi in evoluzione e requisiti mutevoli. Dopo aver stabilito la base di governance nel passaggio 1, i passaggi da 2 a 5 si ripetono in un ciclo per sostenere e migliorare la governance nel tempo.
Il primo passaggio consiste nel definire un team dedicato di governance del cloud per supervisionare la governance del cloud nell'organizzazione. Questo team è responsabile della gestione dei rischi correlati al cloud, dello sviluppo e dell'aggiornamento dei criteri di governance e della creazione di report sullo stato di governance. I membri del team devono comprendere le esigenze di varie business unit e garantire che i criteri di governance riducano efficacemente i rischi senza bloccare gli obiettivi aziendali. Il risultato di questo passaggio consiste nell'avere una chiara proprietà e responsabilità per il successo della governance del cloud.
1. Definire la funzione del team
Delineare chiaramente ciò di cui il team di governance del cloud è responsabile e quali attività eseguirà per implementare la governance. Almeno, il team dovrebbe essere in grado di:
Coinvolgere gli stakeholder. Il team di governance del cloud deve coinvolgere attivamente gli stakeholder nell'organizzazione (IT, finanza, operazioni, sicurezza e conformità) per raccogliere input sulla definizione dei criteri di governance del cloud. L'obiettivo è garantire che i criteri di governance del cloud riducano al minimo i rischi senza impedire ai team di raggiungere gli obiettivi aziendali.
Valutare i rischi del cloud. Il team di governance del cloud deve supervisionare l'identificazione e la valutazione dei rischi correlati al cloud. Il team guida i processi di valutazione dei rischi e comunica i risultati dei rischi. Possono fornire strumenti o framework per consentire ad altri utenti di valutare rischi operativi, di sicurezza, conformità e operativi nel cloud.
Sviluppare e aggiornare i criteri di governance. Il team di governance del cloud deve documentare i criteri di governance del cloud che affrontano i rischi identificati. Il team risolve tutte le sfide che questi criteri creano per vari gruppi e esamina periodicamente i criteri per mantenerli aggiornati con i cambiamenti tecnologici e i nuovi requisiti. I criteri devono essere completi, applicabili e allineati alle esigenze aziendali correnti.
Monitorare ed esaminare la conformità. Il team di governance del cloud deve stabilire metriche e metodi di creazione di report per misurare l'efficacia dei criteri di governance. Tenere traccia dei livelli di conformità, delle violazioni dei criteri, dei tempi di risposta agli eventi imprevisti e persino della soddisfazione degli utenti. Esaminare regolarmente queste metriche per identificare le aree per migliorare e segnalare il comportamento di governance del cloud dell'organizzazione.
2. Selezionare i membri del team
Scegliere le persone per il team di governance del cloud che hanno le competenze e l'esperienza appropriate per applicare criteri, gestire i rischi e garantire la conformità. Alcuni consigli per la composizione del team:
Mantieni una piccola squadra. Scegli un piccolo team per incoraggiare l'agilità e il processo decisionale più rapido.
Assicurarsi una rappresentazione diversificata. Includere membri del team di reparti o domini diversi. Ad esempio, operazioni IT, architettura cloud, sicurezza, conformità, finanza e forse sviluppo di applicazioni. La rappresentazione interfunzionale garantisce che i criteri di governance considerino più prospettive.
Definire le responsabilità dei membri del team. Definire i ruoli e le responsabilità all'interno del team di governance del cloud. Personalizzarle in base alle dimensioni, alla complessità e alla maturità del cloud dell'organizzazione. Le aree di responsabilità chiave includono in genere il successo generale del programma di governance del cloud, la supervisione dell'architettura cloud, la sicurezza del cloud, la conformità alle normative e la gestione finanziaria cloud (ottimizzazione dei costi).
3. Definire l'autorità del team
Offrire al team di governance del cloud il mandato e il supporto necessari per implementare la governance in tutta l'organizzazione. I passaggi per eseguire questa operazione includono:
Garantire il sostegno degli executive. Ottenere supporto da e fare riferimento a un dirigente specifico, come il CIO o il CTO, a sostegno dell'iniziativa di governance del cloud. Lo sponsor esecutivo funge da punto di escalation per le sfide e aiuta a allineare la governance del cloud agli obiettivi aziendali.
Stabilire i livelli di autorità. Lo sponsor esecutivo deve concedere al team l'autorità per definire i criteri di governance del cloud e adottare misure correttive per la mancata conformità.
Autorità di comunicazione. Lo sponsor esecutivo deve comunicare l'autorità del team di governance del cloud all'intera organizzazione. Includere l'importanza di aderire ai criteri di governance del cloud che hanno creato.
4. Definire l'ambito del team di lavoro
Stabilire i limiti delle responsabilità del team di governance del cloud. L'obiettivo è chiarire le aree di responsabilità in modo che il team di governance del cloud possa concentrarsi sulle funzioni definite. Per definire l'ambito, seguire queste indicazioni:
Definire la relazione con altri team. Determinare in che modo il team di governance del cloud interagirà con i team di governance IT esistenti, i team dell'infrastruttura locale o i team delle applicazioni. Ad esempio, in un ambiente ibrido, specificare gli aspetti gestiti dal team di governance del cloud rispetto alla governance IT tradizionale. Chiaramente delineando l'ambito si evita confusione su chi gestisce ciò che.
Usare una matrice RACI. Può essere utile creare una tabella RACI (Responsabile, Colui che è responsabile, Consultato, Informato) che traccia le attività di governance e chi è coinvolto. Ad esempio, il team di governance del cloud potrebbe essere responsabile dello sviluppo di criteri, mentre i tecnici della piattaforma cloud sono Responsabili dell'implementazione di controlli specifici e così via. Una matrice RACI garantisce che tutti conoscano la propria parte nella governance del cloud e il modo in cui il team di governance collabora con altri gruppi.
Esempio di matrice RACI per la governance del cloud
La tabella seguente è un esempio di matrice RACI per la governance del cloud. La matrice indica chi è responsabile (R), responsabile (A), consultato (C) e informato (I) in varie attività di governance cloud. Creare una matrice RACI che sia allineata all'organizzazione e soddisfi le esigenze specifiche.
| Task | Team di governance del cloud | Sponsor esecutivo | Team della piattaforma cloud | Team di gestione dei carichi di lavoro |
|---|---|---|---|---|
| Engage parti interessate | R, A | I | C | C |
| Valutare i rischi del cloud | A | I | R | R |
| Sviluppare e aggiornare i criteri di governance | R, A | I | C | C |
| Report sullo stato di governance del cloud | R, A | I | C | C |
| Pianificare un'architettura cloud | A | I | R | R |
| Applicare i criteri di governance | A, C | I | R | R |
| Monitorare la conformità | A, C | I | R | R |
Avere una tale matrice aiuta a chiarire chi fa cosa. Ad esempio, il team di governance del cloud è responsabile (A) per la valutazione dei rischi cloud, ma i team della piattaforma cloud e del carico di lavoro sono responsabili (R) di eseguire valutazioni dei rischi nelle proprie aree. Il team di governance del cloud è consultato (C) o responsabile dell'applicazione delle regole, ma i team della piattaforma e del carico di lavoro ne effettuano l'esecuzione.
Con le funzioni del team, l'appartenenza, l'autorità e l'ambito stabiliti, è stata creata una base per la governance del cloud. Questo team guiderà ora i passaggi successivi: definizione dei criteri, applicazione e monitoraggio della conformità.