# Prioridades de la organización
Sus equipos necesitan disponer de un entendimiento compartido de toda la carga de trabajo, su rol en ella y los objetivos empresariales compartidos para establecer las prioridades que permitan alcanzar el éxito empresarial. Unas prioridades bien definidas maximizarán los beneficios de sus esfuerzos. Revise sus prioridades con regularidad para poder actualizarlas a medida que cambien las necesidades de su organización.
**Topics**
+ [OPS01-BP01 Evaluación de las necesidades de los clientes externos](ops_priorities_ext_cust_needs.md)
+ [OPS01-BP02 Evaluación de las necesidades de los clientes internos](ops_priorities_int_cust_needs.md)
+ [OPS01-BP03 Evaluación de los requisitos de gobernanza](ops_priorities_governance_reqs.md)
+ [OPS01-BP04 Evaluación de los requisitos de cumplimiento](ops_priorities_compliance_reqs.md)
+ [OPS01-BP05 Evaluación del panorama de amenazas](ops_priorities_eval_threat_landscape.md)
+ [OPS01-BP06 Evaluación de las compensaciones al administrar los beneficios y los riesgos](ops_priorities_eval_tradeoffs.md)
# OPS01-BP01 Evaluación de las necesidades de los clientes externos
Involucre a las partes interesadas clave, incluidos los equipos de negocio, desarrollo y operaciones, para determinar dónde centrar los esfuerzos en función de las necesidades de los clientes externos. De este modo, se asegurará de comprender a fondo el respaldo operativo que se requiere para lograr los resultados empresariales deseados.
**Resultado deseado:**
+ Trabaja en sentido inverso a partir de los resultados de los clientes.
+ Entiende cómo sus prácticas operativas respaldan los resultados y objetivos empresariales.
+ Involucra a todas las partes pertinentes.
+ Dispone de mecanismos para recopilar las necesidades de los clientes externos.
**Patrones comunes de uso no recomendados:**
+ Ha decidido no ofrecer asistencia a los clientes fuera de las horas laborables centrales, pero no ha revisado los datos históricos de solicitud de asistencia. No sabe si esto afectará a sus clientes.
+ Está desarrollando una característica nueva, pero no ha involucrado a sus clientes para saber si les interesa, y si les interesa, de qué forma, y tampoco ha experimentado para validar la necesidad y la forma de la entrega.
**Beneficios de establecer esta práctica recomendada:** es más probable que los clientes cuyas necesidades se satisfagan sigan siendo clientes. Evaluar y comprender las necesidades de los clientes externos le permitirá saber dónde centrar sus esfuerzos para aportar valor a la empresa.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** alto
## Guía para la implementación
**Conozca los objetivos empresariales:** el éxito de una empresa se consigue por medio de metas compartidas y un entendimiento entre las partes interesadas, incluidos los equipos de negocio, desarrollo y operaciones.
**Revisión de los objetivos empresariales, las necesidades y las prioridades de los clientes externos:** involucre a las partes interesadas clave, incluidos los equipos de negocios, desarrollo y operaciones, para analizar los objetivos, las necesidades y las prioridades de los clientes externos. Esto garantiza que comprenda a fondo la asistencia operativa que se requiere para lograr los resultados de la empresa y de los clientes.
**Establecimiento de un entendimiento compartido:** establezca un entendimiento compartido de las funciones empresariales de la carga de trabajo, los roles de cada uno de los equipos que manejan la carga de trabajo y cómo estos factores facilitan sus objetivos empresariales compartidos entre los clientes internos y externos.
## Recursos
**Prácticas recomendadas relacionadas:**
+ [OPS11-BP03 Implementación de bucles de retroalimentación](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_evolve_ops_feedback_loops.html)
# OPS01-BP02 Evaluación de las necesidades de los clientes internos
Para determinar dónde centrar los esfuerzos en función de las necesidades de los clientes internos, involucre a las partes interesadas clave, incluidos los equipos de negocios, desarrollo y operaciones. Así se asegurará de que comprende exhaustivamente la asistencia operativa que se requiere para lograr resultados comerciales.
**Resultado deseado:**
+ Utiliza sus prioridades establecidas para centrar sus esfuerzos de mejora en las que tendrán mayor repercusión (por ejemplo, el desarrollo de las competencias del equipo, la mejora del rendimiento de la carga de trabajo, la reducción de los costos, la automatización de los manuales de procedimientos o la mejora de la supervisión).
+ Actualiza sus prioridades a medida que cambian las necesidades.
**Patrones comunes de uso no recomendados:**
+ Ha decidido cambiar las asignaciones de direcciones IP de sus equipos de producto, sin consultar con ellos, para facilitar la administración de su red. No sabe cómo afectará esto a sus equipos de producto.
+ Está implementando una nueva herramienta de desarrollo, pero no ha involucrado a sus clientes internos para averiguar si es necesaria o si es compatible con sus prácticas actuales.
+ Está implementando un nuevo sistema de supervisión, pero no ha contactado con sus clientes internos para averiguar si tienen necesidades de supervisión o de elaboración de informes que deban tenerse en cuenta.
**Beneficios de establecer esta práctica recomendada:** evaluar y comprender las necesidades internas de los clientes sirve de base para priorizar sus esfuerzos por ofrecer valor empresarial.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** alto
## Guía para la implementación
+ Conozca los objetivos empresariales: el éxito de una empresa se consigue por medio de metas compartidas y un entendimiento entre las partes interesadas, incluidos los equipos de negocio, desarrollo y operaciones.
+ Revise los objetivos empresariales, las necesidades y las prioridades de los clientes internos: involucre a las partes interesadas clave, incluidos los equipos de negocios, desarrollo y operaciones, para analizar los objetivos, las necesidades y las prioridades de los clientes internos. Esto garantiza que comprenda a fondo la asistencia operativa que se requiere para lograr los resultados de la empresa y de los clientes.
+ Establezca un entendimiento compartido: establezca un entendimiento compartido de las funciones empresariales de la carga de trabajo, los roles de cada uno de los equipos que manejan la carga de trabajo y cómo estos factores facilitan sus objetivos empresariales compartidos entre los clientes internos y externos.
## Recursos
**Prácticas recomendadas relacionadas:**
+ [OPS11-BP03 Implementación de bucles de retroalimentación](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_evolve_ops_feedback_loops.html)
# OPS01-BP03 Evaluación de los requisitos de gobernanza
La gobernanza es el conjunto de políticas, normas o marcos que utiliza una empresa para conseguir sus objetivos empresariales. Los requisitos de gobernanza se generan en su organización. Pueden afectar a los tipos de tecnologías que elija o influir en la forma de utilizar su carga de trabajo. Incorpore los requisitos de gobernanza de la organización a su carga de trabajo. El cumplimiento es la capacidad de demostrar que ha implementado los requisitos de gobernanza.
**Resultado deseado:**
+ Los requisitos de gobernanza se incorporan al diseño arquitectónico y al funcionamiento de su carga de trabajo.
+ Puede aportar pruebas de que ha seguido los requisitos de gobernanza.
+ Los requisitos de gobernanza se revisan y actualizan periódicamente.
**Patrones comunes de uso no recomendados:**
+ Su organización exige que la cuenta raíz disponga de autenticación multifactor. No ha implementado este requisito y la cuenta raíz está comprometida.
+ Durante el diseño de la carga de trabajo, elegirá un tipo de instancia que no ha aprobado el departamento de TI. No puede lanzar la carga de trabajo y debe llevar a cabo un rediseño.
+ Debe disponer de un plan de recuperación de desastres. No ha creado ninguno y la carga de trabajo sufre una interrupción prolongada.
+ Su equipo quiere utilizar nuevas instancias, pero sus requisitos de gobernanza no se han actualizado para permitirlo.
**Beneficios de establecer esta práctica recomendada:**
+ Seguir los requisitos de gobernanza alinea su carga de trabajo con las políticas de la organización.
+ Los requisitos de gobernanza reflejan los estándares del sector y las prácticas recomendadas para su organización.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** alto
## Guía para la implementación
Colabore con las partes interesadas y las organizaciones de gobernanza para identificar los requisitos de gobernanza. Incluya los requisitos de gobernanza en su carga de trabajo. Sea capaz de demostrar que ha seguido los requisitos de gobernanza.
**Ejemplo de cliente**
En AnyCompany Retail, el equipo de operaciones en la nube colabora con las partes interesadas de toda la organización para desarrollar los requisitos de gobernanza. Por ejemplo, prohíben el acceso SSH a las instancias de Amazon EC2. Si los equipos necesitan acceso al sistema, deberán utilizar AWS Systems Manager Session Manager. El equipo de operaciones en la nube actualiza periódicamente los requisitos de gobernanza a medida que hay disponibles nuevos servicios.
**Pasos para la implementación**
1. Identifique a las partes interesadas para su carga de trabajo, incluidos los equipos centralizados.
1. Colabore con las partes interesadas para identificar los requisitos de gobernanza.
1. Una vez generada la lista, priorice los elementos de mejora y comience a implementarlos en su carga de trabajo.
1. Utilice servicios como [AWS Config](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) para crear una gobernanza como código y validar que se cumplan los requisitos de gobernanza.
1. Si utiliza [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html), puede aprovechar las políticas de control de servicios para implementar los requisitos de gobernanza.
1. Proporcione documentación que valide la implementación.
**Nivel de esfuerzo para el plan de implementación:** medio. La implementación de los requisitos de gobernanza que faltan puede dar lugar a un reajuste de su carga de trabajo.
## Recursos
**Prácticas recomendadas relacionadas:**
+ [OPS01-BP04 Evaluación de los requisitos de cumplimiento](ops_priorities_compliance_reqs.md): el cumplimiento es como la gobernanza, pero proviene de fuera de la organización.
**Documentos relacionados:**
+ [AWS Management and Governance Cloud Environment Guide ](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/management-and-governance-cloud-environment-guide.html)
+ [ Best Practices for AWS Organizations Service Control Policies in a Multi-Account Environment ](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [Governance in the Nube de AWS: The Right Balance Between Agility and Safety](https://aws.amazon.com/blogs/apn/governance-in-the-aws-cloud-the-right-balance-between-agility-and-safety/)
+ [¿Qué es el enfoque de gobernanza, riesgo y cumplimiento (GRC)?](https://aws.amazon.com/what-is/grc/)
**Videos relacionados:**
+ [AWS Management and Governance: Configuration, Compliance, and Audit - AWS Online Tech Talks](https://www.youtube.com/watch?v=79ud1ZAaoj0)
+ [AWS re:Inforce 2019: Governance for the Cloud Age (DEM12-R1) ](https://www.youtube.com/watch?v=y3WmHnavuN8)
+ [AWS re:Invent 2020: Achieve compliance as code using AWS Config](https://www.youtube.com/watch?v=m8vTwvbzOfw)
+ [AWS re:Invent 2020: Agile governance on AWS GovCloud (US)](https://www.youtube.com/watch?v=hv6B17eriHQ)
**Ejemplos relacionados:**
+ [AWS Config Conformance Pack Samples](https://docs.aws.amazon.com/config/latest/developerguide/conformancepack-sample-templates.html)
**Servicios relacionados:**
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Organizations - Service Control Policies](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
# OPS01-BP04 Evaluación de los requisitos de cumplimiento
Los requisitos de cumplimiento normativo, del sector e internos son importantes a la hora de definir las prioridades de la organización. Es posible que su marco de cumplimiento le impida utilizar determinadas tecnologías o ubicaciones geográficas. Aplique la diligencia debida si no se identifican marcos de cumplimiento externos. Genere auditorías o informes que validen el cumplimiento.
Si indica que su producto se ajusta a estándares de cumplimiento específicos, debe tener un proceso interno que garantice el cumplimiento continuo. Algunos ejemplos de estándares de cumplimiento son PCI DSS, FedRAMP e HIPAA. Las estándares de cumplimiento aplicables se determinan en función de diversos factores, como los tipos de datos que la solución almacena o transmite, o las regiones geográficas compatibles con la solución.
**Resultado deseado:**
+ Los requisitos de cumplimiento normativo, sectorial e interno se incorporan a la selección de arquitectura.
+ Puede validar el cumplimiento y generar informes de auditoría.
**Patrones comunes de uso no recomendados:**
+ Algunas partes de su carga de trabajo entran dentro del marco del estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), pero su carga de trabajo almacena los datos de las tarjetas de crédito sin cifrar.
+ Sus desarrolladores y arquitectos de software desconocen el marco de cumplimiento al que debe adherirse su organización.
+ La auditoría anual de sistemas y organizaciones de control (SOC2) de tipo II tendrá lugar en breve y no puede verificar que los controles están aplicados.
**Beneficios de establecer esta práctica recomendada:**
+ Evaluar y comprender los requisitos de cumplimiento se aplican a su carga de trabajo determinarán cómo priorizar sus esfuerzos para ofrecer valor empresarial.
+ Elige las ubicaciones y las tecnologías adecuadas que sean congruentes con su marco de cumplimiento.
+ Diseñar su carga de trabajo para que pueda auditar lo ayuda a demostrar que se atiene a su marco de cumplimiento.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** alto
## Guía para la implementación
La implementación de esta práctica recomendada significa que se incorporan los requisitos de cumplimiento a su proceso de diseño de la arquitectura. Los miembros de su equipo conocen el marco de cumplimiento necesario. Valida el cumplimiento de acuerdo con el marco.
**Ejemplo de cliente**
AnyCompany Retail almacena la información de las tarjetas de crédito de los clientes. Los desarrolladores del equipo de almacenamiento de tarjetas saben que deben cumplir el marco PCI-DSS. Han tomado medidas para verificar que la información de las tarjetas de crédito se almacena y se accede a ella de forma segura de acuerdo con el marco PCI-DSS. Cada año colaboran con su equipo de seguridad para validar el cumplimiento.
**Pasos para la implementación**
1. Colabore con sus equipos de seguridad y gobernanza para determinar qué marcos de cumplimiento sectorial, normativo o interno debe cumplir su carga de trabajo. Incorpore los marcos de cumplimiento a su carga de trabajo.
1. Valide el cumplimiento continuo de los recursos de AWS con servicios como [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/what-is-compute-optimizer.html) y [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html).
1. Informe a los miembros de su equipo sobre los requisitos de cumplimiento para que puedan utilizar y hacer evolucionar la carga de trabajo de acuerdo con ellos. Los requisitos de cumplimiento deben incluirse en las opciones de arquitectura y tecnología.
1. En función del marco de cumplimiento, puede que deba generar un informe de auditoría o de cumplimiento. Colabore con su organización para automatizar este proceso en la medida de lo posible.
1. Utilice servicios como [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html) para validar el cumplimiento y generar informes de auditoría.
1. Puede descargar documentos de seguridad y cumplimiento de AWS con [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html).
**Nivel de esfuerzo para el plan de implementación:** medio. La implementación de marcos de cumplimiento puede suponer un desafío. La generación de informes de auditoría o documentos de cumplimiento agrega complejidad adicional.
## Recursos
**Prácticas recomendadas relacionadas:**
+ [SSEC01-BP03 Identificación y validación de los objetivos de control:](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_control_objectives.html) los objetivos de control de seguridad son una parte importante del cumplimiento general.
+ [SEC01-BP06 Automatización de la implementación de controles de seguridad estándares:](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_test_validate_pipeline.html) como parte de sus canalizaciones, valide los controles de seguridad. También puede generar documentación de cumplimiento para los nuevos cambios.
+ [SEC07-BP02 Definición de los controles de protección de datos:](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_define_protection.html) muchos marcos de cumplimiento se basan en políticas de control y almacenamiento de datos.
+ [SEC10-BP03 Preparación de las capacidades forenses:](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) a veces se pueden utilizar capacidades forenses para auditar el cumplimiento.
**Documentos relacionados:**
+ [Centro de cumplimiento de AWS](https://aws.amazon.com/financial-services/security-compliance/compliance-center/)
+ [Recursos de conformidad de AWS](https://aws.amazon.com/compliance/resources/)
+ [Documento técnico sobre riesgo y cumplimiento de AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-risk-and-compliance/welcome.html)
+ [Modelo de responsabilidad compartida de AWS](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Servicios de AWS en el ámbito del programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/)
**Videos relacionados:**
+ [AWS re:Invent 2020: Achieve compliance as code using AWS Compute Optimizer](https://www.youtube.com/watch?v=m8vTwvbzOfw)
+ [AWS re:Invent 2021 - Cloud compliance, assurance, and auditing](https://www.youtube.com/watch?v=pdrYGVgb08Y)
+ [AWS Summit ATL 2022 - Implementing compliance, assurance, and auditing on AWS (COP202)](https://www.youtube.com/watch?v=i7XrWimhqew)
**Ejemplos relacionados:**
+ [PCI DSS and AWS Foundational Security Best Practices on AWS](https://aws.amazon.com/solutions/partners/compliance-pci-fsbp-remediation/)
**Servicios relacionados:**
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)
+ [AWS Compute Optimizer](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)
# OPS01-BP05 Evaluación del panorama de amenazas
Evalúe las amenazas para la empresa (por ejemplo, las empresas de la competencia, los riesgos y responsabilidades empresariales, los riesgos operativos y las amenazas para la seguridad de la información) y mantenga la información actualizada en un registro de riesgos. Incluya la repercusión de los riesgos a la hora de determinar dónde centrar los esfuerzos.
El [Marco de Well-Architected](https://aws.amazon.com/architecture/well-architected/) hace hincapié en aprender, medir y mejorar. Proporciona un enfoque coherente para evaluar las arquitecturas e implementar diseños que se escalarán con el tiempo. AWS proporciona la [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/) para ayudarle a revisar su enfoque antes del desarrollo, el estado de sus cargas de trabajo antes de la producción y el estado de sus cargas de trabajo durante la producción. Puede compararlos con las prácticas recomendadas de arquitectura de AWS más recientes, supervisar el estado general de sus cargas de trabajo y obtener información sobre posibles riesgos.
Los clientes de AWS son elegibles para una revisión de Well-Architected de sus cargas de trabajo de importancia crítica para [medir sus arquitecturas](https://aws.amazon.com/premiumsupport/programs/) con las prácticas recomendadas de AWS. Los clientes de Enterprise Support son elegibles para una [revisión de operaciones](https://aws.amazon.com/premiumsupport/programs/) diseñada para ayudarlos a identificar las lagunas en su enfoque para operar en la nube.
La participación de todos los equipos en estas revisiones ayuda a establecer un entendimiento común de sus cargas de trabajo y de cómo los roles del equipo contribuyen al éxito. Las necesidades identificadas a través de la revisión pueden ayudar a dar forma a sus prioridades.
[AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/) es una herramienta que proporciona acceso a un conjunto básico de comprobaciones que recomiendan optimizaciones para su entorno y que pueden ayudar a dar forma a sus prioridades. Los [clientes de Business y Enterprise Support](https://aws.amazon.com/premiumsupport/plans/) reciben acceso a comprobaciones adicionales centradas en la seguridad, la fiabilidad, el rendimiento y la optimización de los costos que pueden ayudar a configurar sus prioridades.
**Resultado deseado:**
+ Revisa y toma medidas regularmente en función de los resultados de Well-Architected y Trusted Advisor.
+ Conoce las revisiones que se han aplicado más recientemente a sus servicios.
+ Conoce el riesgo y la repercusión de las amenazas conocidas y actúa en consecuencia.
+ Implementa mitigaciones de la forma necesaria.
+ Comunica acciones y el contexto.
**Patrones comunes de uso no recomendados:**
+ Está utilizando una versión antigua de una biblioteca de software en su producto. No está al corriente de las actualizaciones de seguridad de la biblioteca por problemas que pueden tener un impacto no deseado en la carga de trabajo.
+ Su competidor acaba de lanzar una versión de su producto que resuelve muchas de las quejas de sus clientes sobre su producto. No ha priorizado la resolución de ninguno de estos problemas conocidos.
+ Los reguladores han estado persiguiendo a empresas como la suya que no cumplen con los requisitos legales de conformidad de la normativa. No ha priorizado el cumplimiento de ninguno de sus requisitos pendientes.
**Beneficios de establecer esta práctica recomendada:** identifica y comprende las amenazas a su organización y carga de trabajo, lo que lo ayuda a determinar qué amenazas debe abordar, su prioridad y los recursos necesarios para hacerlo.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** medio
## Guía para la implementación
+ **Evaluación del panorama de amenazas:** evalúe las amenazas a la empresa (por ejemplo, competencia, riesgos y responsabilidades comerciales, riesgos operativos y amenazas a la seguridad de la información), de modo que pueda incluir su impacto al determinar dónde centrar los esfuerzos.
+ [Últimos boletines de seguridad de AWS](https://aws.amazon.com/security/security-bulletins/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)
+ **Mantenimiento de un modelo de amenazas:** establezca y mantenga un modelo de amenazas que identifique las amenazas potenciales, las mitigaciones planificadas y en curso, y su prioridad. Revise la probabilidad de que las amenazas se manifiesten en forma de incidentes, el costo de recuperación de dichos incidentes y el daño causado esperado, así como el costo de prevención de los incidentes. Revise las prioridades a medida que cambie el contenido del modelo de amenazas.
## Recursos
**Prácticas recomendadas relacionadas:**
+ [SEC01-BP07 Identificación de amenazas y priorización de mitigaciones con un modelo de amenazas](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_threat_model.html)
**Documentos relacionados:**
+ [Cumplimiento de Nube de AWS](https://aws.amazon.com/compliance/)
+ [Últimos boletines de seguridad de AWS](https://aws.amazon.com/security/security-bulletins/)
+ [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/)
**Videos relacionados:**
+ [AWS re:Inforce 2023 - A tool to help improve your threat modeling](https://youtu.be/CaYCsmjuiHg?si=e_CXPGqRF4WeBr1u)
# OPS01-BP06 Evaluación de las compensaciones al administrar los beneficios y los riesgos
Los intereses contrapuestos de diversas partes pueden complicar la priorización de esfuerzos, el desarrollo de capacidades y la obtención de resultados que se ajusten a las estrategias empresariales. Por ejemplo, es posible que se le pida que acelere la comercialización de nuevas características en lugar de optimizar los costos de la infraestructura de TI. Esto puede poner en conflicto a dos partes interesadas. En estas situaciones, es necesario trasladar las decisiones a una autoridad superior para resolver el conflicto. Los datos son necesarios para eliminar el factor emocional del proceso de toma de decisiones.
Podría presentarse el mismo reto en un nivel táctico. Por ejemplo, la elección entre utilizar tecnologías de bases de datos relacionales o no relacionales puede tener una importante repercusión en el funcionamiento de una aplicación. Es fundamental conocer los resultados predecibles de las distintas opciones.
AWS puede ayudarlo a capacitar a sus equipos sobre AWS y sus servicios para aumentar su comprensión de cómo sus elecciones pueden tener un impacto en su carga de trabajo. Debe utilizar los recursos proporcionados por [Soporte](https://aws.amazon.com/premiumsupport/programs/) ([Centro de conocimientos de AWS](https://aws.amazon.com/premiumsupport/knowledge-center/), [foros de debate de AWS](https://forums.aws.amazon.com/index.jspa) y [Centro de Soporte](https://console.aws.amazon.com/support/home/)) y la [documentación de AWS](https://docs.aws.amazon.com/) para capacitar a sus equipos. Si tiene más preguntas, contacte con Soporte.
AWS también comparte las prácticas recomendadas y las patrones operativos en [la Amazon Builders' Library](https://aws.amazon.com/builders-library/). Hay una gran variedad de información útil disponible a través del [Blog de AWS](https://aws.amazon.com/blogs/) y [The Official AWS Podcast](https://aws.amazon.com/podcasts/aws-podcast/).
**Resultado deseado:** cuenta con un marco de gobierno de toma de decisiones claramente definido para facilitar las decisiones importantes en todos los niveles de su organización de entrega en la nube. Este marco incluye características como un registro de riesgos, roles definidos que están autorizados a tomar decisiones y modelos definidos para cada nivel de decisión que puede tomarse. Este marco define de antemano cómo se resuelven los conflictos, qué datos deben presentarse y cómo se priorizan las opciones para que, una vez tomadas las decisiones, pueda ponerlas en marcha sin demora. El marco de toma de decisiones incluye un enfoque estandarizado para revisar y sopesar los beneficios y los riesgos de cada decisión con el fin de entender si compensa. Esto puede incluir factores externos, como el cumplimiento de los requisitos normativos.
**Patrones comunes de uso no recomendados:**
+ Sus inversores le piden que demuestre que cumple los estándares de seguridad de datos del sector de las tarjetas de pago (PCI DSS). No ha considerado las ventajas y desventajas de satisfacer su solicitud y de continuar con sus esfuerzos actuales de desarrollo. En su lugar, sigue adelante con sus esfuerzos de desarrollo sin demostrar el cumplimiento. Sus inversores dejan de apoyar a su empresa porque les preocupa la seguridad de la plataforma y las inversiones que han hecho en ella.
+ Ha decidido incluir una biblioteca que uno de los desarrolladores ha encontrado en Internet. No ha evaluado los riesgos de adoptar esta biblioteca de una fuente desconocida y no sabe si contiene vulnerabilidades o código malicioso.
+ La justificación empresarial original de su migración se basaba en la modernización del 60 % de las cargas de trabajo de sus aplicaciones. Sin embargo, debido a dificultades técnicas, se tomó la decisión de modernizar solo el 20 %, lo que se tradujo en una reducción de los beneficios previstos a largo plazo, un aumento de la carga de trabajo de los equipos de infraestructura para dar asistencia manual a los sistemas heredados y una mayor necesidad de desarrollar nuevas competencias en sus equipos de infraestructura, que no tenían previsto este cambio.
**Beneficios de establecer esta práctica recomendada:** alinear y respaldar plenamente las prioridades empresariales a nivel de los consejos de administración, comprender los riesgos que implica lograr el éxito, tomar decisiones informadas y actuar de forma adecuada cuando los riesgos impiden las posibilidades de éxito. Comprender las implicaciones y consecuencias que tienen sus decisiones le ayudará a priorizar las opciones que tiene y a lograr que los líderes lleguen a un acuerdo más rápidamente, lo que se traducirá en mejores resultados empresariales. Identificar los beneficios disponibles de sus opciones y ser consciente de los riesgos para su organización lo ayuda a tomar decisiones basadas en datos, en lugar de en anécdotas.
**Nivel de riesgo expuesto si no se establece esta práctica recomendada:** medio
## Guía para la implementación
La administración de los beneficios y los riesgos debe definirla un órgano de gobierno que determine los requisitos para la toma de decisiones clave. Desea que las decisiones se tomen y se prioricen en función de cómo benefician a la organización, con conocimiento de los riesgos que conllevan. Tener información precisa es fundamental para tomar las decisiones de la organización. Esto debe basarse en mediciones sólidas y definirse de acuerdo con las prácticas habituales del sector en materia de análisis de costos y beneficios. Para tomar este tipo de decisiones, busque un equilibrio entre la autoridad centralizada y la descentralizada. Siempre hay un punto medio y es importante comprender cómo afecta cada elección a las estrategias definidas y a los resultados empresariales deseados.
### Pasos para la implementación
1. Formalice las prácticas de medición de beneficios dentro de un marco integral de gobernanza en la nube.
1. Equilibre el control central de la toma de decisiones con la autoridad descentralizada para algunas decisiones.
1. Tenga en cuenta que los arduos procesos de toma de decisiones impuestos en cada decisión pueden ralentizarle.
1. Incorpore factores externos en su proceso de toma de decisiones (por ejemplo, requisitos de cumplimiento).
1. Establezca un marco de toma de decisiones consensuado para los distintos niveles de decisiones, que incluya quién está obligado a desbloquear las decisiones que estén sujetas a intereses conflictivos.
1. Centralice las decisiones unidireccionales que podrían ser irreversibles.
1. Permita que los líderes de la organización de nivel inferior tomen decisiones bidireccionales.
1. Conozca y administre los beneficios y los riesgos. Equilibre los beneficios de las decisiones con los riesgos involucrados.
1. **Identificación de beneficios**: identifique los beneficios en función de los objetivos, las necesidades y las prioridades comerciales. Entre algunos ejemplos, se incluyen la repercusión del caso empresarial, el tiempo de comercialización, la seguridad, la fiabilidad, el rendimiento y el costo.
1. **Identificación de riesgos**: identifique los riesgos en función de los objetivos comerciales, las necesidades y las prioridades. Los ejemplos incluyen tiempo de comercialización, seguridad, fiabilidad, rendimiento y costo.
1. **Evaluación de los beneficios frente a los riesgos y toma de decisiones fundamentadas**: determine el impacto de los beneficios y los riesgos en función de los objetivos, las necesidades y las prioridades de sus partes interesadas clave, incluidos el negocio, el desarrollo y las operaciones. Evalúe el valor del beneficio frente a la probabilidad de que el riesgo se materialice y el costo de su impacto. Por ejemplo, enfatizar la velocidad de comercialización sobre la fiabilidad podría suponer una ventaja competitiva. Sin embargo, podría dar lugar a una reducción del tiempo de actividad si hay problemas de fiabilidad.
1. Imponga de forma programada decisiones clave que automaticen el cumplimiento de los requisitos de conformidad.
1. Utilice marcos y capacidades conocidos del sector, como el análisis del flujo de valor y LEAN, para establecer una base de referencia del rendimiento actual y las métricas empresariales y definir las iteraciones del progreso hacia la mejora de estas métricas.
**Nivel de esfuerzo para el plan de implementación:** medio-alto
## Recursos
**Prácticas recomendadas relacionadas:**
+ [OPS01-BP05 Evaluación del panorama de amenazas](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_priorities_eval_threat_landscape.html)
**Documentos relacionados:**
+ [Elementos de la cultura del día 1 de Amazon \$1 Tome decisiones de alta velocidad y alta calidad](https://aws.amazon.com/executive-insights/content/how-amazon-defines-and-operationalizes-a-day-1-culture/)
+ [Gobernanza de la nube](https://aws.amazon.com/cloudops/cloud-governance/)
+ [Management & Governance Cloud Environment](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/management-and-governance-cloud-environment-guide.html?did=wp_card&trk=wp_card)
+ [Governance in the Cloud and in the Digital Age: Parts One & Two](https://aws.amazon.com/blogs/enterprise-strategy/governance-in-the-cloud-and-in-the-digital-age-part-one/)
**Videos relacionados:**
+ [Podcast \$1 Jeff Bezos \$1 On how to make decisions](https://www.youtube.com/watch?v=VFwCGECvq4I)
**Ejemplos relacionados:**
+ [Make informed decisions using data (The DevOps Sagas)](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/oa.bcl.10-make-informed-decisions-using-data.html)
+ [Using development value stream mapping to identify constraints to DevOps outcomes](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-devops-value-stream-mapping/introduction.html)