Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A governança de nuvem é como uma organização controla o uso de serviços de nuvem estabelecendo guardrails. Esses guardrails são um conjunto de políticas, procedimentos e ferramentas que definem atividades de nuvem aceitáveis e inaceitáveis. A governança de nuvem efetiva alinha o uso da nuvem com objetivos de negócios, reduz os riscos, garante a conformidade regulatória e impede ações de nuvem não gerenciadas ou não autorizadas. Na prática, a governança de nuvem abrange os principais domínios, como segurança, conformidade regulatória, operações, gerenciamento de custos, gerenciamento de dados, provisionamento de recursos e até mesmo áreas emergentes, como IA.
Links rápidos:ferramentas de governança do Azure e matriz RACI de governança de exemplo
Processo de governança: A governança de nuvem não é um projeto único, mas um processo contínuo. Após a configuração inicial, ele requer monitoramento contínuo, avaliação e atualizações para se adaptar a novas tecnologias, evoluindo riscos e alterando os requisitos. Depois de estabelecer a base de governança na Etapa 1, as etapas 2 a 5 se repetem em um ciclo para sustentar e melhorar a governança ao longo do tempo.
A primeira etapa é estabelecer uma equipe de governança de nuvem dedicada para supervisionar a governança de nuvem em toda a organização. Essa equipe é responsável por gerenciar riscos relacionados à nuvem, desenvolver e atualizar políticas de governança e relatar o progresso da governança. Os membros da equipe devem entender as necessidades de várias unidades de negócios e garantir que as políticas de governança minimizem efetivamente o risco sem bloquear as metas de negócios. O resultado dessa etapa é ter uma propriedade clara e responsabilidade para o sucesso da governança de nuvem.
1. Definir a função da equipe
Delineie claramente o que a equipe de governança de nuvem é responsável e quais atividades ela executará para implementar a governança. No mínimo, a equipe deve ser capaz de:
Envolva as partes interessadas. A equipe de governança de nuvem deve envolver ativamente os stakeholders em toda a organização (TI, finanças, operações, segurança e conformidade) para coletar informações sobre como definir políticas de governança de nuvem. O objetivo é garantir que as políticas de governança de nuvem minimizem o risco sem impedir que as equipes atinjam metas de negócios.
Avalie os riscos de nuvem. A equipe de governança de nuvem deve supervisionar a identificação e a avaliação de riscos relacionados à nuvem. A equipe conduz processos de avaliação de risco e comunica as descobertas de risco. Eles podem fornecer ferramentas ou estruturas para que outras pessoas avaliem a segurança, a conformidade e os riscos operacionais na nuvem.
Desenvolver e atualizar políticas de governança. A equipe de governança de nuvem deve documentar as políticas de governança de nuvem que abordam os riscos identificados. A equipe resolve todos os desafios que essas políticas criam para vários grupos e revisa periodicamente as políticas para mantê-las atualizadas com as alterações tecnológicas e os novos requisitos. As políticas devem ser abrangentes, exequíveis e alinhadas às necessidades comerciais atuais.
Monitorar e examinar a conformidade. A equipe de governança de nuvem precisa estabelecer métricas e métodos de relatório para medir a eficácia das políticas de governança. Acompanhe os níveis de conformidade, as violações de política, os tempos de resposta a incidentes e até mesmo a satisfação do usuário. Examine regularmente essas métricas para identificar áreas de melhoria e relatório sobre a postura de governança de nuvem da organização.
2. Selecionar membros da equipe
Escolha indivíduos para a equipe de governança de nuvem que tenham as habilidades e a experiência certas para impor políticas, gerenciar riscos e garantir a conformidade. Algumas recomendações para composição de equipe:
Mantenha uma pequena equipe. Escolha uma equipe pequena para incentivar a agilidade e a tomada de decisões mais rápidas.
Garanta uma representação diversificada. Inclua membros da equipe de diferentes departamentos ou domínios. Por exemplo, operações de TI, arquitetura de nuvem, segurança, conformidade, finanças e talvez desenvolvimento de aplicativos. A representação multifuncional garante que as políticas de governança considerem várias perspectivas.
Defina as responsabilidades dos membros da equipe. Defina as funções e as responsabilidades em sua equipe de governança de nuvem. Adapte-os ao tamanho, à complexidade e à maturidade da nuvem da sua organização. As principais áreas de responsabilidade normalmente incluem sucesso geral do programa de governança de nuvem, supervisão da arquitetura de nuvem, segurança na nuvem, conformidade regulatória e gerenciamento financeiro de nuvem (otimização de custos).
3. Definir a autoridade da equipe
Capacite a equipe de governança de nuvem com o mandato e o suporte necessários para implementar a governança em toda a organização. As etapas para fazer isso incluem:
Garanta o patrocínio executivo. Obtenha suporte e informe a um executivo nomeado, como o CIO ou o CTO, para dar suporte à iniciativa de governança de nuvem. O patrocinador executivo serve como um ponto de escalonamento para desafios e ajuda a alinhar a governança de nuvem com as metas de negócios.
Estabelecer níveis de autoridade. O patrocinador executivo deve conceder à equipe a autoridade para definir políticas de governança de nuvem e tomar medidas corretivas para não conformidade.
Comunique a autoridade. O patrocinador executivo deve comunicar a autoridade da equipe de governança de nuvem para toda a organização. Inclua a importância de aderir às políticas de governança de nuvem que eles criam.
4. Definir o escopo da equipe
Estabeleça os limites das responsabilidades da equipe de governança de nuvem. O objetivo é esclarecer as áreas de responsabilidade para que a equipe de governança de nuvem possa se concentrar em suas funções definidas. Para definir o escopo, siga estas recomendações:
Definir relação com outras equipes. Determine como a equipe de governança de nuvem interagirá com a governança de TI existente, as equipes de infraestrutura locais ou as equipes de aplicativos. Por exemplo, em um ambiente híbrido, especifique quais aspectos a equipe de governança de nuvem manipula versus a governança de TI tradicional. A delineação clara do escopo evita confusão sobre quem gerencia o quê.
Use uma matriz RACI. Pode ser útil criar um gráfico RACI (Responsável, Responsável, Consultado, Informado) que mapeia tarefas relacionadas à governança e quem está envolvido. Por exemplo, a equipe de governança de nuvem pode ser responsável pelo desenvolvimento de políticas, enquanto os engenheiros da plataforma de nuvem são responsáveis por implementar controles específicos e assim por diante. Uma matriz RACI garante que todos saibam sua parte na governança de nuvem e como a equipe de governança colabora com outros grupos.
Exemplo de matriz RACI de governança de nuvem
A tabela a seguir é um exemplo de matriz RACI para governança de nuvem. A matriz indica quem é responsável (R), quem presta contas (A), quem é consultado (C) e quem é informado (I) em várias tarefas de governança de nuvem. Crie uma matriz RACI que se alinhe à sua organização e atenda às suas necessidades específicas.
| Tarefa | Equipe de governança de nuvem | Patrocinador executivo | Equipes da plataforma de nuvem | Equipes de carga de trabalho |
|---|---|---|---|---|
| intervenientes do Engage | R, A | I | C | C |
| Avaliar os riscos de nuvem | A | I | R | R |
| Desenvolver e atualizar políticas de governança | R, A | I | C | C |
| Relatório sobre o progresso da governança de nuvem | R, A | I | C | C |
| Planejar uma arquitetura de nuvem | A | I | R | R |
| Impor políticas de governança | A, C | I | R | R |
| Monitorar a conformidade | A, C | I | R | R |
Ter essa matriz ajuda a esclarecer quem faz o quê. Por exemplo, a Equipe de Governança de Nuvem é responsável (A) por avaliar os riscos de nuvem, mas as equipes da Plataforma de Nuvem e da Carga de Trabalho são responsáveis (R) por executar avaliações de risco em suas áreas. A equipe de Governança de Nuvem é consultada (C) ou responsável pela imposição, mas as equipes de plataforma e carga de trabalho a executam.
Com as funções da equipe, a associação, a autoridade e o escopo estabelecidos, você criou uma base para a governança de nuvem. Agora, essa equipe conduzirá as próximas etapas: definir políticas, aplicá-las e monitorar a conformidade.