OPS01-BP03 Evaluar los requisitos de gobernanza
La gobernanza es el conjunto de políticas, normas o marcos que utiliza una empresa para conseguir sus objetivos empresariales. Los requisitos de gobernanza se generan en su organización. Pueden afectar a los tipos de tecnologías que elija o influir en la forma de utilizar su carga de trabajo. Incorpore los requisitos de gobernanza de la organización a su carga de trabajo. La conformidad es la capacidad de demostrar que ha implementado los requisitos de gobernanza.
Resultado deseado:
-
Los requisitos de gobernanza se incorporan al diseño arquitectónico y al funcionamiento de su carga de trabajo.
-
Puede aportar pruebas de que ha seguido los requisitos de gobernanza.
-
Los requisitos de gobernanza se revisan y actualizan periódicamente.
Patrones comunes de uso no recomendados:
-
Su organización exige que la cuenta raíz disponga de autenticación multifactor. No ha implementado este requisito y la cuenta raíz está comprometida.
-
Durante el diseño de la carga de trabajo, elige un tipo de instancia que no ha aprobado el departamento de TI. No puede lanzar la carga de trabajo y debe llevar a cabo un rediseño.
-
Debe disponer de un plan de recuperación de desastres. No ha creado uno y la carga de trabajo sufre una interrupción prolongada.
-
Su equipo quiere utilizar nuevas instancias pero sus requisitos de gobernanza no se han actualizado para permitirlo.
Beneficios de establecer esta práctica recomendada:
-
Seguir los requisitos de gobernanza alinea su carga de trabajo con las políticas de la organización.
-
Los requisitos de gobernanza reflejan los estándares del sector y las prácticas recomendadas para su organización.
Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto
Guía para la implementación
Colabore con las partes interesadas y las organizaciones de gobernanza para identificar los requisitos de gobernanza. Incluya los requisitos de gobernanza en su carga de trabajo. Sea capaz de demostrar que ha seguido los requisitos de gobernanza.
Ejemplo de cliente
En AnyCompany Retail, el equipo de operaciones en la nube colabora con las partes interesadas de toda la organización para desarrollar los requisitos de gobernanza. Por ejemplo, prohíben el acceso SSH a las instancias de Amazon EC2. Si los equipos necesitan acceso al sistema, deberán utilizar AWS Systems Manager Session Manager. El equipo de operaciones en la nube actualiza periódicamente los requisitos de gobernanza a medida que hay disponibles nuevos servicios.
Pasos para la implementación
-
Identifique a las partes interesadas para su carga de trabajo, incluidos los equipos centralizados.
-
Colabore con las partes interesadas para identificar los requisitos de gobernanza.
-
Una vez generada la lista, priorice los elementos de mejora y comience a implementarlos en su carga de trabajo.
-
Utilice servicios como AWS Config
para crear gobernanza como código y validar que se siguen los requisitos de gobernanza. -
Si utiliza AWS Organizations, puede aprovechar las políticas de control de servicios para implementar los requisitos de gobernanza.
-
-
Proporcione documentación que valide la implementación.
Nivel de esfuerzo para el plan de implementación: medio. La implementación de los requisitos de gobernanza que faltan puede dar lugar a un reajuste de su carga de trabajo.
Recursos
Prácticas recomendadas relacionadas:
-
OPS01-BP04 Evaluar los requisitos de cumplimiento: el cumplimiento es como la gobernanza pero viene de fuera de una organización.
Documentos relacionados:
-
AWS Management and Governance Cloud Environment Guide (Guía del entorno de la nube de la administración y la gobernanza de AWS)
-
Best Practices for AWS Organizations Service Control Policies in a Multi-Account Environment
(Prácticas recomendadas para las políticas de control de servicios de AWS Organizations en un entorno de varias cuentas) -
Governance in the Nube de AWS: The Right Balance Between Agility and Safety
(Gobernanza en Nube de AWS: el equilibrio adecuado entre agilidad y seguridad) -
What is Governance, Risk, And Compliance (GRC)?
(¿Qué es la gobernanza, el riesgo y el cumplimiento [GRC]?)
Vídeos relacionados:
-
AWS Management and Governance: Configuration, Compliance, and Audit - AWS Online Tech Talks
(Administración y gobernanza de AWS: configuración, cumplimiento y auditoría - AWS Online Tech Talks) -
AWS re:Inforce 2019: Governance for the Cloud Age (DEM12-R1)
(AWS re:Inforce 2019: Gobernanza para la era de la nube [DEM12-R1]) -
AWS re:Invent 2020: Achieve compliance as code using AWS Config
(AWS re:Invent 2020: Conseguir el cumplimiento como código mediante AWS Config) -
AWS re:Invent 2020: Agile governance on AWS GovCloud (US)
(AWS re:Invent 2020: Gobernanza ágil en AWS GovCloud (US))
Ejemplos relacionados:
-
AWS Config Conformance Pack Samples (Muestras de paquetes de conformidad de AWS Config)
Servicios relacionados: