Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Con la información de la evaluación de riesgos, el equipo ahora formula directivas para controlar esos riesgos. Para cada riesgo significativo o grupo de riesgos, debe haber una o varias directivas de gobernanza correspondientes. Al documentar las directivas de gobernanza en la nube, tenga en cuenta los procedimientos recomendados siguientes:
Diagrama que muestra el proceso para configurar y mantener la gobernanza en la nube. En el diagrama se muestran cinco pasos secuenciales: crear un equipo de gobernanza de la nube, evaluar riesgos en la nube, documentar directivas de gobernanza de la nube, aplicar directivas de gobernanza de la nube y supervisar el cumplimiento de la nube. El primer paso que realice una vez. Los cuatro últimos pasos que se realizan una vez para configurar la gobernanza de la nube y mantener continuamente la gobernanza en la nube.
1. Establecer un formato de directiva estándar y un idioma
Cree una plantilla o formato coherentes para todas las directivas. Cada documento de directiva (o sección) debe incluir elementos clave, como identificador, instrucción y ámbito. Use un lenguaje claro e inequívoco. Las políticas están pensadas para ser referencias autoritativas, por lo que deben ser fáciles de entender sin posibilidad de interpretación incorrecta. Por ejemplo, decida el texto estándar como "debe" o "no debe" para los requisitos, y evite términos imprecisos. Un formato estandarizado, como una directiva con identificador, categoría y propósito, facilita la navegación y el mantenimiento de las directivas.
2. Definición de directivas de gobernanza en la nube
Cree directivas de gobernanza en la nube que describen cómo usar y administrar la nube para mitigar los riesgos. Minimice la necesidad de actualizaciones frecuentes de directivas. Para definir directivas de gobernanza en la nube, siga estas recomendaciones:
Use un ID de política. Use la categoría de directiva y un número para identificar de forma única cada directiva, como SC01 para la primera directiva de gobernanza de seguridad. Incremente el identificador secuencialmente a medida que se agregan nuevos riesgos. Si elimina riesgos, puede dejar huecos en la secuencia o usar el número más bajo disponible.
Incluya la declaración de política. Cree declaraciones de directiva específicas que aborden los riesgos identificados. Use un lenguaje definitivo, como debe, debería, no debe, y no debería. Use los controles de cumplimiento de la lista de riesgos como punto de partida. Céntrese en los resultados en lugar de en los pasos de configuración. Asigne un nombre a la herramienta necesaria para la aplicación para saber dónde supervisar el cumplimiento.
Incluya un identificador de riesgo. Enumere el riesgo en la directiva. Asocie cada directiva de gobernanza de la nube a un riesgo.
Incluya la categoría de directiva. Incluya categorías de gobernanza, como seguridad, cumplimiento o administración de costos, en la categorización de directivas. Las categorías ayudan a ordenar, filtrar y buscar directivas de gobernanza en la nube.
Incluya el propósito de la directiva. Indique el propósito de cada directiva. Use el riesgo o el requisito de cumplimiento normativo que cumple la directiva como punto de partida.
Defina el ámbito de la política. Defina a qué y a quién se aplica esta directiva, como todos los servicios en la nube, las regiones, los entornos y las cargas de trabajo. Especifique las excepciones para asegurarse de que no haya ambigüedad. Use lenguaje estandarizado para que sea fácil ordenar, filtrar y buscar directivas.
Incluya las estrategias de corrección de directivas. Defina la respuesta deseada a una infracción de una directiva de gobernanza en la nube. Adapte las respuestas a la gravedad del riesgo, como programar discusiones para infracciones en entornos no productivos y esfuerzos inmediatos para la corrección de infracciones en entornos productivos.
Para obtener más información, consulte el ejemplo de directivas de gobernanza en la nube.
3. Distribuir directivas de gobernanza en la nube
Conceda acceso a todos los usuarios que necesiten cumplir las directivas de gobernanza en la nube. Busque formas de facilitar el cumplimiento de las directivas de gobernanza en la nube para las personas de su organización. Para distribuir directivas de gobernanza en la nube, siga estas recomendaciones:
Use un repositorio de directivas centralizado. Use un repositorio centralizado y fácilmente accesible para toda la documentación de gobernanza. Asegúrese de que todas las partes interesadas, los equipos y las personas tengan acceso a las versiones más recientes de directivas y documentos relacionados.
Cree listas de comprobación de cumplimiento. Proporcione información general rápida y accionable de las directivas. Facilite que los equipos cumplan sin tener que navegar por una extensa documentación. Para obtener más información, consulte la lista de comprobación de cumplimiento de ejemplo.
4. Revisión de las directivas de gobernanza de la nube
Evalúe y actualice las directivas de gobernanza de la nube para asegurarse de que siguen siendo relevantes y eficaces en el gobierno de los entornos en la nube. Las revisiones periódicas ayudan a garantizar que las directivas de gobernanza de la nube se alineen con los requisitos normativos cambiantes, las nuevas tecnologías y los objetivos empresariales en constante evolución. Al revisar las directivas, tenga en cuenta las siguientes recomendaciones:
Implementar mecanismos de comentarios. Establecer formas de recibir comentarios sobre la eficacia de las directivas de gobernanza en la nube. Recopile información de las personas afectadas por las directivas para asegurarse de que todavía puede hacer su trabajo de forma eficaz. Actualice las directivas de gobernanza para reflejar desafíos y necesidades prácticos.
Establecer revisiones basadas en eventos. Revise y actualice las directivas de gobernanza en la nube en respuesta a eventos, como una directiva de gobernanza errónea, un cambio tecnológico o un cambio de cumplimiento normativo.
Programar revisiones periódicas. Revise periódicamente las directivas de gobernanza para asegurarse de que se alinean con las necesidades, los riesgos y los avances en la nube en constante evolución. Por ejemplo, incluya revisiones de gobernanza en las reuniones periódicas de gobernanza de la nube con las partes interesadas.
Facilitar el control de cambios. Incluya un proceso para la revisión y las actualizaciones de directivas. Asegúrese de que las directivas de gobernanza de la nube se mantengan alineadas con los cambios organizativos, normativos y tecnológicos. Deje claro cómo editar, quitar o agregar políticas.
Identificar ineficacias. Revise las directivas de gobernanza para buscar y corregir ineficacias en la arquitectura y las operaciones en la nube. Por ejemplo, en lugar de exigir que cada carga de trabajo debe usar su propio firewall de aplicaciones web, actualice la directiva para requerir el uso de un firewall centralizado. Revise las directivas que requieren un esfuerzo duplicado y vea si hay una manera de centralizar el trabajo.
Ejemplo de directivas de gobernanza en la nube
Las siguientes directivas de gobernanza en la nube son ejemplos de referencia. Estas directivas se basan en los ejemplos de la lista de riesgos de ejemplo.
| ID de política | Categoría de política | Id. de riesgo | Declaración de política | Propósito | Ámbito | Remediación | Monitorización |
|---|---|---|---|---|---|---|---|
| RC01 | Cumplimiento normativo | R01 | Microsoft Purview deben usarse para supervisar datos confidenciales. | Cumplimiento normativo | Equipos de carga de trabajo, equipo de plataforma | Acción inmediata por parte del equipo afectado, entrenamiento de cumplimiento | Microsoft Purview |
| RC02 | Cumplimiento normativo | R01 | Los informes de cumplimiento de datos confidenciales diarios deben generarse a partir de Microsoft Purview. | Cumplimiento normativo | Equipos de carga de trabajo, equipo de plataforma | Resolución en un día, auditoría de confirmación | Microsoft Purview |
| SC01 | Security | R02 | La autenticación multifactor (MFA) debe estar habilitada para todos los usuarios. | Mitigación de infracciones de datos y acceso no autorizado | usuarios de Azure | Revocar el acceso de usuario | Acceso Condicional de Microsoft Entra ID |
| SC02 | Security | R02 | Las revisiones de acceso deben realizarse mensualmente en Gobierno de Microsoft Entra ID. | Garantizar la integridad de los datos y del servicio | usuarios de Azure | Revocación inmediata del acceso para incumplimiento | Gobernanza de identificadores |
| SC03 | Security | R03 | Teams debe usar la organización de GitHub especificada para el hospedaje seguro de todo el código de software e infraestructura. | Garantizar la administración segura y centralizada de los repositorios de código | Equipos de desarrollo | Transferencia de repositorios no autorizados a la organización de GitHub especificada y posibles acciones disciplinarias para no cumplimiento | GitHub registro de auditoría |
| SC04 | Security | R03 | Los equipos que usan bibliotecas de orígenes públicos deben adoptar el patrón de cuarentena. | Asegurarse de que las bibliotecas son seguras y compatibles antes de la integración en el proceso de desarrollo | Equipos de desarrollo | Eliminación de bibliotecas no compatibles y revisión de prácticas de integración para proyectos afectados | Auditoría manual (mensual) |
| CM01 | Administración de costos | R04 | Los equipos de carga de trabajo deben establecer alertas presupuestarias en el nivel de grupo de recursos. | Evitar el gasto excesivo | Equipos de carga de trabajo, equipo de plataforma | Revisiones inmediatas, ajustes de alertas | Microsoft Cost Management |
| CM02 | Administración de costos | R04 | Las recomendaciones de costos de Azure Advisor deben ser revisadas. | Optimización del uso de la nube | Equipos de carga de trabajo, equipo de plataforma | Auditorías de optimización obligatorias después de 60 días | Advisor |
| OP01 | Operations | R05 | Las cargas de trabajo de producción deben tener una arquitectura activa-pasiva entre regiones. | Garantizar la continuidad del servicio | Equipos de gestión de carga | Evaluaciones de arquitectura, revisiones bianuales | Auditoría manual (por cada liberación de producción) |
| OP02 | Operations | R05 | Todas las cargas de trabajo críticas deben implementar una arquitectura activa-activa entre regiones. | Garantizar la continuidad del servicio | Equipos de operaciones esenciales para la misión | Actualizaciones en un plazo de 90 días, revisiones de progreso | Auditoría manual (por cada liberación de producción) |
| DG01 | Data | R06 | El cifrado en tránsito y en reposo debe aplicarse a todos los datos confidenciales. | Protección de datos confidenciales | Equipos de gestión de carga | Cumplimiento inmediato del cifrado y entrenamiento de seguridad | Azure Policy |
| DG02 | Data | R06 | Las directivas de ciclo de vida de datos deben estar habilitadas en Microsoft Purview para todos los datos confidenciales. | Administración del ciclo de vida de los datos | Equipos de gestión de carga | Implementación en un plazo de 60 días, auditorías trimestrales | Microsoft Purview |
| RM01 | Administración de recursos | R07 | Bicep debe usarse para implementar recursos. | Estandarización del aprovisionamiento de recursos | Equipos de carga de trabajo, equipo de plataforma | Plan inmediato de transición de Bicep | Canalización de integración continua y entrega continua (CI/CD) |
| RM02 | Administración de recursos | R07 | Las etiquetas deben aplicarse en todos los recursos en la nube mediante Azure Policy. | Facilitar el seguimiento de recursos | Todos los recursos en la nube | Corrección del etiquetado en un plazo de 30 días | Azure Policy |
| AI01 | AI | R08 | La configuración de filtrado de contenido de IA debe establecerse en media o superior. | Mitigación de salidas perjudiciales de IA | Equipos de gestión de carga | Medidas correctivas inmediatas | Azure OpenAI Service |
| AI02 | AI | R08 | Los sistemas de inteligencia artificial orientados al cliente deben ser evaluados por un equipo rojo mensualmente. | Identificación de sesgos de inteligencia artificial | Equipos de modelos de IA | Revisión inmediata, acciones correctivas para errores | Auditoría manual (mensual) |
Paso siguiente
Aplicación de directivas de gobernanza en la nube