Definindo necessidades e casos de uso - Práticas recomendadas para políticas

Definindo necessidades e casos de uso

Comece a criar sua estratégia interagindo com as partes interessadas que têm uma necessidade fundamental subjacente de consumir metadados. Essas equipes definem os metadados com os quais os recursos precisam ser marcados para apoiar suas atividades, como relatórios, automação e classificação de dados. Eles descrevem como os recursos precisam ser organizados e para quais políticas eles precisam ser mapeados. Exemplos de papéis e funções que essas partes interessadas podem ter nas organizações incluem:

  • As finanças e a linha de negócios precisam entender o valor do investimento mapeando-o aos custos para priorizar as ações que precisam ser tomadas ao lidar com a ineficiência. Entender o custo versus o valor gerado ajuda a identificar linhas de negócios ou ofertas de produtos malsucedidas. Isso leva a decisões informadas sobre suporte contínuo, adoção de uma alternativa (por exemplo, uso de uma oferta de SaaS ou serviço gerenciado) ou retirada de uma oferta comercial não lucrativa.

  • A governança e a conformidade precisam entender a categorização dos dados (por exemplo, públicos, confidenciais ou confidenciais), se uma carga de trabalho específica está dentro ou fora do escopo da auditoria em relação a um padrão ou regulamento específico e a importância do serviço (se o serviço ou aplicativo é essencial para os negócios) para aplicar controles e supervisão adequados, como permissões, políticas e monitoramento.

  • As operações e o desenvolvimento precisam entender o ciclo de vida da carga de trabalho, os estágios implementados de seus produtos suportados e o gerenciamento dos estágios de lançamento (por exemplo, desenvolvimento, teste, divisão de produção) e suas priorizações de suporte associadas e requisitos de gerenciamento de partes interessadas. Deveres como backups, aplicação de patches, observabilidade e suspensão de uso também precisam ser definidos e compreendidos.

  • A Segurança da Informação (InfoSec) e as Operações de Segurança (SecOps) descrevem quais controles devem ser aplicados e quais são recomendados. O InfoSec normalmente define a implementação dos controles, e o SecOps geralmente é responsável por gerenciar esses controles.

Dependendo do seu caso de uso, das prioridades, do tamanho da sua organização e das práticas operacionais, você pode precisar da representação de várias equipes dentro da organização, como finanças (incluindo compras), segurança da informação, capacitação da nuvem e operações na nuvem. Você também precisa da representação dos proprietários de aplicativos e processos para funções como aplicação de patches, backup e restauração, monitoramento, agendamento de tarefas e recuperação de desastres. Esses representantes ajudam a orientar a definição, a implementação e a medir a eficácia da estratégia de marcação. Eles devem trabalhar de trás para frente com as partes interessadas e seus casos de uso e conduzir um workshop multifuncional. No workshop, eles têm a chance de compartilhar suas perspectivas e necessidades e ajudar a impulsionar uma estratégia geral. Exemplos de participantes e seu envolvimento em vários casos de uso são descritos posteriormente neste whitepaper.

As partes interessadas também definem e validam as chaves para as etiquetas obrigatórias e podem recomendar o escopo das etiquetas opcionais. Por exemplo, as equipes financeiras podem precisar relacionar um recurso a um centro de custos interno, a uma unidade de negócios ou a ambos. Assim, eles podem exigir que certas chaves de tag, como CostCenter eBusinessUnit, sejam tornadas obrigatórias. As equipes de desenvolvimento individuais podem decidir usar tags adicionais para fins de automação, como EnvironmentName, OptIn ou OptOut.

As principais partes interessadas precisam concordar com a abordagem da estratégia de marcação e documentar as respostas para questões relacionadas à conformidade e à governança, como:

  • Quais casos de uso precisam ser abordados?

  • Quem é responsável por marcar recursos (implementação)?

  • Como as tags são aplicadas e quais métodos e automação serão usados (proativos ou reativos)?

  • Como a eficácia e as metas da marcação são medidas?

  • Com que frequência a estratégia de marcação deve ser revisada?

  • Quem impulsiona as melhorias? Como isso é feito?

Funções de negócios, como capacitação de nuvem, escritório de negócios em nuvem e engenharia de plataforma em nuvem, podem então desempenhar o papel de facilitadoras do processo de criação da estratégia de marcação, ajudar a impulsionar sua adoção e garantir a consistência de sua aplicação medindo o progresso, removendo obstáculos e reduzindo o esforço duplicado.