# OPS 1. Bagaimana cara menentukan apa saja prioritas Anda? Setiap orang harus memahami peran mereka dalam mewujudkan kesuksesan bisnis. Miliki sasaran bersama guna menetapkan prioritas untuk sumber daya. Ini akan memaksimalkan manfaat dari upaya Anda. **Topics** + [ # OPS01-BP01 Mengevaluasi kebutuhan pelanggan eksternal ](ops_priorities_ext_cust_needs.md) + [ # OPS01-BP02 Mengevaluasi kebutuhan nasabah internal ](ops_priorities_int_cust_needs.md) + [ # OPS01-BP03 Mengevaluasi persyaratan tata kelola ](ops_priorities_governance_reqs.md) + [ # OPS01-BP04 Evaluasi persyaratan kepatuhan ](ops_priorities_compliance_reqs.md) + [ # OPS01-BP05 Mengevaluasi lanskap ancaman ](ops_priorities_eval_threat_landscape.md) + [ # OPS01-BP06 Mengevaluasi kompromi sambil mengelola manfaat dan risiko ](ops_priorities_eval_tradeoffs.md) # OPS01-BP01 Mengevaluasi kebutuhan pelanggan eksternal OPS01-BP01 Mengevaluasi kebutuhan pelanggan eksternal Libatkan pemangku kepentingan utama, termasuk tim bisnis, pengembangan, dan operasional, untuk menentukan ke mana harus memfokuskan usaha terkait kebutuhan pelanggan eksternal. Hal ini memverifikasi bahwa Anda memiliki pemahaman menyeluruh mengenai dukungan operasi yang dibutuhkan untuk mencapai hasil bisnis yang diinginkan. **Hasil yang diinginkan:** + Anda bekerja dengan berpatokan pada hasil pelanggan. + Anda memahami bagaimana praktik operasional Anda mendukung hasil dan tujuan bisnis. + Anda melibatkan semua pihak yang relevan. + Anda memiliki mekanisme untuk merekam kebutuhan pelanggan eksternal. **Anti-pola umum:** + Anda memutuskan untuk tidak menyediakan dukungan pelanggan di luar jam kerja, tetapi Anda belum meninjau riwayat data permintaan dukungan. Anda tidak tahu apakah hal ini akan memengaruhi pelanggan Anda. + Anda mengembangkan fitur baru, tetapi belum melibatkan pelanggan untuk mencari tahu apakah hal tersebut diinginkan—jika diinginkan, dalam bentuk apa—dan belum menjalankan eksperimen untuk memvalidasi kebutuhan serta metode penyediaannya. **Manfaat penerapan praktik terbaik:** Pelanggan yang kebutuhannya terpenuhi akan sangat berpotensi menjadi pelanggan tetap. Mengevaluasi dan memahami kebutuhan pelanggan eksternal akan menginformasikan cara Anda memprioritaskan usaha untuk memberikan nilai bisnis. **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi ## Panduan implementasi Panduan implementasi **Pahami kebutuhan bisnis:** Kesuksesan bisnis terwujud dengan tujuan dan pemahaman bersama di seluruh pemangku kepentingan, termasuk tim bisnis, pengembangan, dan operasional. **Tinjau tujuan bisnis, kebutuhan, dan prioritas pelanggan eksternal:** Libatkan para pemangku kepentingan utama, termasuk tim bisnis, pengembangan, dan operasional, untuk mendiskusikan tujuan, kebutuhan, dan prioritas pelanggan eksternal. Hal ini memastikan bahwa Anda memiliki pemahaman menyeluruh mengenai dukungan operasional yang dibutuhkan untuk mencapai hasil bisnis dan pelanggan. **Tetapkan pemahaman bersama:** Tetapkan pemahaman bersama terkait fungsi bisnis beban kerja, peran masing-masing tim dalam mengoperasikan beban kerja, dan bagaimana faktor-faktor ini mendukung tujuan bisnis bersama bagi seluruh pelanggan internal dan eksternal. ## Sumber daya Sumber daya **Praktik-praktik terbaik terkait:** + [OPS11-BP03 Mengimplementasikan loop umpan balik](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_evolve_ops_feedback_loops.html) # OPS01-BP02 Mengevaluasi kebutuhan nasabah internal OPS01-BP02 Mengevaluasi kebutuhan nasabah internal Libatkan pemangku kepentingan utama, termasuk tim bisnis, pengembangan, dan operasional, untuk menentukan ke mana harus memfokuskan usaha terkait kebutuhan pelanggan internal. Hal ini akan memastikan bahwa Anda memiliki pemahaman menyeluruh mengenai dukungan operasi yang dibutuhkan untuk mencapai hasil bisnis yang diinginkan. **Hasil yang diinginkan:** + Anda menggunakan prioritas yang ditetapkan untuk memfokuskan usaha peningkatan yang dapat memberikan dampak paling besar (misalnya, mengembangkan keterampilan tim, meningkatkan kinerja beban kerja, mengurangi biaya, mengotomatiskan runbook, atau meningkatkan pemantauan). + Anda memperbarui prioritas Anda sesuai perubahan kebutuhan. **Anti-pola umum:** + Anda memutuskan untuk mengubah alokasi alamat IP untuk tim produk tanpa berkonsultasi dengan mereka agar manajemen jaringan menjadi lebih mudah. Anda tidak tahu dampak yang akan ditimbulkan kepada tim produk. + Anda mengimplementasikan alat pengembangan baru tetapi belum melibatkan pelanggan internal untuk mencari tahu apakah alat itu dibutuhkan atau kompatibel dengan praktik yang sudah ada. + Anda mengimplementasikan sistem pemantauan baru, tetapi belum menghubungi pelanggan internal untuk mencari tahu apakah mereka memiliki kebutuhan pemantauan atau pelaporan yang perlu dipertimbangkan. **Manfaat menerapkan praktik terbaik:** Mengevaluasi dan memahami kebutuhan pelanggan internal akan menginformasikan cara Anda memprioritaskan usaha untuk memberikan nilai bisnis. **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi ## Panduan implementasi Panduan implementasi + Pahami kebutuhan bisnis: Kesuksesan bisnis diciptakan dengan tujuan dan pemahaman bersama di seluruh pemangku kepentingan termasuk tim bisnis, pengembangan, dan operasional. + Tinjau tujuan bisnis, kebutuhan, dan prioritas pelanggan internal: Libatkan pemangku kepentingan utama, termasuk tim bisnis, pengembangan, dan operasional, untuk mendiskusikan tujuan, kebutuhan, dan prioritas pelanggan internal. Hal ini memastikan bahwa Anda memiliki pemahaman menyeluruh mengenai dukungan operasional yang dibutuhkan untuk mencapai hasil bisnis dan pelanggan. + Tetapkan pemahaman bersama: Tetapkan pemahaman bersama terkait fungsi bisnis beban kerja, peran masing-masing tim dalam mengoperasikan beban kerja, dan bagaimana faktor-faktor ini mendukung tujuan bisnis bersama bagi seluruh pelanggan internal dan eksternal. ## Sumber daya Sumber daya **Praktik-praktik terbaik terkait:** + [OPS11-BP03 Menerapkan loop umpan balik](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_evolve_ops_feedback_loops.html) # OPS01-BP03 Mengevaluasi persyaratan tata kelola OPS01-BP03 Mengevaluasi persyaratan tata kelola Tata kelola adalah serangkaian kebijakan, aturan, atau kerangka kerja yang digunakan perusahaan untuk mencapai sasaran bisnisnya. Persyaratan tata kelola dibuat dari dalam organisasi Anda. Persyaratan ini dapat memengaruhi jenis teknologi yang Anda pilih atau memengaruhi cara Anda mengoperasikan beban kerja Anda. Sertakan persyaratan tata kelola organisasi ke dalam beban kerja Anda. Konformitas adalah kemampuan untuk menunjukkan bahwa Anda telah mengimplementasikan persyaratan tata kelola. **Hasil yang diinginkan:** + Persyaratan tata kelola disertakan ke dalam operasi dan desain arsitektur beban kerja Anda. + Anda dapat memberikan bukti bahwa Anda telah mengikuti persyaratan tata kelola. + Persyaratan tata kelola ditinjau dan diperbarui secara teratur. **Anti-pola umum:** + Organisasi Anda memerintahkan agar akun root memiliki autentikasi multi-faktor. Anda gagal mengimplementasikan persyaratan ini dan akun root terancam bahaya. + Selama desain beban kerja Anda, Anda memilih jenis instans yang tidak disetujui oleh departemen IT. Anda tidak dapat meluncurkan beban kerja Anda dan harus mendesain ulang. + Anda diwajibkan memiliki rencana pemulihan bencana. Anda tidak membuat rencana pemulihan bencana dan beban kerja Anda mengalami pemadaman yang berdurasi lama. + Tim Anda ingin menggunakan instans baru tetapi persyaratan tata kelola Anda belum diperbarui untuk memungkinkannya. **Manfaat menjalankan praktik terbaik ini:** + Mengikuti persyaratan tata kelola akan menyelaraskan beban kerja Anda dengan kebijakan lebih besar dalam organisasi. + Persyaratan tata kelola mencerminkan standar industri dan praktik terbaik untuk organisasi Anda. **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi ## Panduan implementasi Panduan implementasi Identifikasi persyaratan tata kelola melalui kerja sama dengan pemangku kepentingan dan organisasi tata kelola. Sertakan persyaratan tata kelola ke dalam beban kerja Anda. Dapat menunjukkan bukti bahwa Anda telah mengikuti persyaratan tata kelola. **Contoh pelanggan** Di AnyCompany Retail, tim operasi cloud bekerja dengan pemangku kepentingan di seluruh organisasi untuk mengembangkan persyaratan tata kelola. Misalnya, mereka melarang SSH akses ke EC2 instans Amazon. Jika tim memerlukan akses ke sistem, mereka harus menggunakan AWS Systems Manager Session Manager. Tim operasi cloud secara teratur memperbarui persyaratan tata kelola saat layanan baru tersedia. **Langkah-langkah implementasi** 1. Identifikasi pemangku kepentingan untuk beban kerja Anda, termasuk semua tim tersentralisasi. 1. Bekerja sama dengan pemangku kepentingan untuk mengidentifikasi persyaratan tata kelola. 1. Setelah Anda membuat daftar, prioritaskan item untuk ditingkatkan, dan mulai implementasikan ke dalam beban kerja Anda. 1. Gunakan layanan seperti [AWS Config](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)untuk membuat governance-as-code dan memvalidasi bahwa persyaratan tata kelola diikuti. 1. Jika Anda menggunakan [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html), Anda dapat memanfaatkan Kebijakan Kontrol Layanan untuk menerapkan persyaratan tata kelola. 1. Berikan dokumentasi yang memvalidasi implementasinya. **Tingkat upaya untuk rencana implementasi:** Sedang. Mengimplementasikan persyaratan tata kelola yang tidak ada dapat mengakibatkan beban kerja Anda harus dikerjakan ulang. ## Sumber daya Sumber daya **Praktik-praktik terbaik terkait:** + [OPS01-BP04 Evaluasi persyaratan kepatuhan](ops_priorities_compliance_reqs.md) - Kepatuhan itu seperti tata kelola tetapi kepatuhan berasal dari luar organisasi. **Dokumen terkait:** + [AWS Panduan Lingkungan Cloud Manajemen dan Tata Kelola](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/management-and-governance-cloud-environment-guide.html) + [Praktik Terbaik untuk Kebijakan Kontrol AWS Organizations Layanan di Lingkungan Multi-Akun](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) + [Tata Kelola dalam AWS Cloud: Keseimbangan yang Tepat Antara Kelincahan dan Keamanan](https://aws.amazon.com/blogs/apn/governance-in-the-aws-cloud-the-right-balance-between-agility-and-safety/) + [Apa itu Tata Kelola, Risiko, dan Kepatuhan (GRC)?](https://aws.amazon.com/what-is/grc/) **Video terkait:** + [AWS Manajemen dan Tata Kelola: Konfigurasi, Kepatuhan, dan Audit - AWS Pembicaraan Teknologi Online](https://www.youtube.com/watch?v=79ud1ZAaoj0) + [AWS re: Inforce 2019: Tata Kelola untuk Zaman Awan (-R1) DEM12](https://www.youtube.com/watch?v=y3WmHnavuN8) + [AWS re:invent 2020: Mencapai kepatuhan sebagai menggunakan kode AWS Config](https://www.youtube.com/watch?v=m8vTwvbzOfw) + [AWS Re:invent 2020: Tata kelola tangkas di AWS GovCloud (US)](https://www.youtube.com/watch?v=hv6B17eriHQ) **Contoh terkait:** + [AWS Config Sampel Paket Kesesuaian](https://docs.aws.amazon.com/config/latest/developerguide/conformancepack-sample-templates.html) **Layanan terkait:** + [AWS Config](https://aws.amazon.com/config/) + [AWS Organizations - Kebijakan Pengendalian Layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) # OPS01-BP04 Evaluasi persyaratan kepatuhan OPS01-BP04 Evaluasi persyaratan kepatuhan Persyaratan kepatuhan peraturan, industri, dan internal merupakan pendorong penting dalam menentukan prioritas organisasi Anda. Kerangka kerja kepatuhan Anda dapat menghalangi Anda untuk menggunakan teknologi atau lokasi geografi tertentu. Terapkan uji tuntas jika tidak ada kerangka kerja kepatuhan eksternal yang diidentifikasi. Buatlah audit atau laporan yang memvalidasi kepatuhan. Jika Anda mengiklankan bahwa produk Anda memenuhi standar kepatuhan tertentu, maka Anda harus memiliki proses internal untuk memastikan kepatuhan yang berkelanjutan. Contoh standar kepatuhan antara lain PCI DSS, FedRAMP, dan HIPAA. Standar kepatuhan yang berlaku akan ditentukan oleh berbagai faktor, seperti jenis data yang disimpan atau dikirim oleh solusi, serta wilayah geografis mana yang didukung oleh solusi. **Hasil yang diinginkan:** + Persyaratan kepatuhan berdasarkan regulasi, industri, dan internal disertakan ke dalam pemilihan arsitektur. + Anda dapat memvalidasi kepatuhan dan membuat laporan audit. **Anti-pola umum:** + Bagian dari beban kerja Anda termasuk dalam kerangka kerja Standar Keamanan Data Industri Kartu Pembayaran (Payment Card Industry Data Security Standard, PCI-DSS) tetapi beban kerja Anda menyimpan data kartu kredit yang tidak dienkripsi. + Arsitek dan pengembang perangkat lunak Anda tidak mengetahui kerangka kerja kepatuhan yang harus ditaati oleh organisasi Anda. + Audit tahunan terhadap Kontrol Sistem dan Organisasi (SOC2) Tipe II akan segera diadakan dan Anda tidak dapat memverifikasi bahwa kontrol tersebut sudah ada atau tidak. **Manfaat menjalankan praktik terbaik ini:** + Mengevaluasi dan memahami persyaratan kepatuhan yang berlaku untuk beban kerja Anda akan menginformasikan bagaimana Anda memprioritaskan upaya-upaya Anda untuk memberikan nilai bisnis. + Anda memilih teknologi dan lokasi yang tepat yang selaras dengan kerangka kerja kepatuhan Anda. + Mendesain beban kerja Anda agar dapat diaudit akan membantu Anda membuktikan bahwa Anda menaati kerangka kerja kepatuhan. **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Tinggi ## Panduan implementasi Panduan implementasi Mengimplementasikan praktik terbaik ini berarti Anda menyertakan persyaratan kepatuhan ke dalam proses desain arsitektur Anda. Anggota tim Anda mengetahui kerangka kerja kepatuhan yang diperlukan. Anda memvalidasi bahwa kepatuhan selaras dengan kerangka kerja. **Contoh pelanggan** AnyCompany Retail menyimpan informasi kartu kredit bagi para pelanggan. Para pengembang di tim penyimpanan kartu memahami bahwa mereka harus mematuhi kerangka kerja PCI-DSS. Mereka telah mengambil langkah-langkah yang diperlukan untuk memverifikasi bahwa informasi kartu kredit disimpan dan diakses dengan aman sesuai dengan kerangka kerja PCI-DSS. Setiap tahun mereka bekerja sama dengan tim keamanan mereka untuk melakukan validasi kepatuhan. **Langkah-langkah implementasi** 1. Bekerjasamalah dengan tim tata kelola dan kepatuhan Anda untuk menentukan kerangka kerja kepatuhan industri, peraturan, atau internal apa yang harus ditaati oleh beban kerja Anda. Sertakan kerangka kerja kepatuhan ke dalam beban kerja Anda. 1. Lakukan validasi kepatuhan berkelanjutan terhadap sumber daya AWS dengan mengunakan layanan seperti [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/what-is-compute-optimizer.html) dan [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html). 1. Didik anggota tim Anda mengenai persyaratan kepatuhan sehingga mereka dapat mengoperasikan dan mengubah beban kerja sesuai dengan persyaratan kepatuhan. Persyaratan kepatuhan harus disertakan dalam pilihan-pilihan berkaitan dengan arsitektur dan teknologi. 1. Tergantung pada kerangka kerja kepatuhan yang diterapkan, Anda mungkin diharuskan untuk membuat laporan kepatuhan atau audit. Bekerjasamalah dengan organisasi Anda untuk melakukan otomatisasi terhadap proses ini sebanyak mungkin. 1. Gunakan layanan-layanan seperti [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html) untuk memvalidasi kepatuhan dan menghasilkan laporan audit. 1. Anda dapat mengunduh dokumen-dokumen keamanan dan kepatuhan AWS dengan [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html). **Tingkat upaya untuk rencana implementasi:** Sedang. Mengimplementasikan kerangka kerja kepatuhan bisa jadi sulit dilakukan. Membuat laporan audit atau dokumen kepatuhan menambahkan kompleksitas tambahan. ## Sumber daya Sumber daya **Praktik-praktik terbaik terkait:** + [SEC01-BP03 Melakukan identifikasi dan validasi tujuan kontrol](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_control_objectives.html) - Tujuan pengendalian keamanan adalah bagian penting dari kepatuhan secara keseluruhan. + [SEC01-BP06 Melakukan otomatisasi terhadap pengujian dan validasi kontrol keamanan di pipeline](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_test_validate_pipeline.html) - Sebagai bagian dari pipeline Anda, validasi kontrol keamanan. Anda juga dapat membuat dokumentasi kepatuhan untuk perubahan-perubahan baru. + [SEC07-BP02 Tentukan kontrol perlindungan data](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_define_protection.html) - Banyak kerangka kerja kepatuhan memiliki penanganan data dan kebijakan yang berbasis penyimpanan. + [SEC10-BP03 Siapkan kemampuan forensik](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) - Kemampuan forensik terkadang dapat digunakan dalam kepatuhan audit. **Dokumen terkait:** + [Pusat Kepatuhan AWS](https://aws.amazon.com/financial-services/security-compliance/compliance-center/) + [Sumber Daya Kepatuhan AWS](https://aws.amazon.com/compliance/resources/) + [Laporan Resmi Risiko dan Kepatuhan AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-risk-and-compliance/welcome.html) + [Model Tanggung Jawab Bersama AWS](https://aws.amazon.com/compliance/shared-responsibility-model/) + [Layanan AWS dalam lingkup sesuai program kepatuhan ](https://aws.amazon.com/compliance/services-in-scope/) **Video terkait:** + [AWS re:Invent 2020: Capai kepatuhan sebagai kode dengan menggunakan AWS Compute Optimizer](https://www.youtube.com/watch?v=m8vTwvbzOfw) + [AWS re:Invent 2021 - Kepatuhan, jaminan, dan audit cloud](https://www.youtube.com/watch?v=pdrYGVgb08Y) + [AWS Summit ATL 2022 - Menerapkan kepatuhan, jaminan, dan audit pada AWS (COP202) ](https://www.youtube.com/watch?v=i7XrWimhqew) **Contoh terkait:** + [ PCI DSS dan Praktik Terbaik Keamanan Dasar AWS pada AWS](https://aws.amazon.com/solutions/partners/compliance-pci-fsbp-remediation/) **Layanan terkait:** + [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) + [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html) + [AWS Compute Optimizer](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) + [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) # OPS01-BP05 Mengevaluasi lanskap ancaman OPS01-BP05 Mengevaluasi lanskap ancaman Evaluasi ancaman pada bisnis (misalnya, persaingan, risiko dan kewajiban bisnis, risiko operasional, serta ancaman keamanan informasi) dan pelihara informasi yang ada di registri risiko. Sertakan dampak risiko ketika menentukan ke mana upaya harus difokuskan. [Kerangka Kerja Well-Architected](https://aws.amazon.com/architecture/well-architected/) menekankan pembelajaran, pengukuran, dan peningkatan. Ini memberikan pendekatan yang konsisten bagi Anda untuk mengevaluasi arsitektur, dan menerapkan desain yang akan skala dari waktu ke waktu. AWS menyediakan [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/)untuk membantu Anda meninjau pendekatan Anda sebelum pengembangan, keadaan beban kerja Anda sebelum produksi, dan keadaan beban kerja Anda dalam produksi. Anda dapat membandingkannya dengan praktik terbaik AWS arsitektur terbaru, memantau status keseluruhan beban kerja Anda, dan mendapatkan wawasan tentang potensi risiko. AWS pelanggan memenuhi syarat untuk Tinjauan Well-Architected yang dipandu dari beban kerja kritis misi mereka [untuk](https://aws.amazon.com/premiumsupport/programs/) mengukur arsitektur mereka terhadap praktik terbaik. AWS Pelanggan Dukungan Perusahaan memenuhi syarat untuk [Peninjauan Operasi](https://aws.amazon.com/premiumsupport/programs/), yang dirancang untuk membantu mereka mengidentifikasi kesenjangan yang ada dalam pendekatan mereka untuk beroperasi di cloud. Interaksi lintas tim pada tinjauan ini akan membantu Anda dalam membangun pemahaman bersama tentang beban kerja Anda serta bagaimana peran tim akan membantu meraih keberhasilan. Kebutuhan yang diidentifikasi melalui tinjauan tersebut dapat membantu membentuk prioritas Anda. [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/) adalah sebuah alat yang menyediakan akses ke set inti pemeriksaan yang menyarankan optimalisasi yang dapat membantu membentuk prioritas Anda. [Pelanggan Dukungan Bisnis dan Perusahaan](https://aws.amazon.com/premiumsupport/plans/) menerima akses ke pemeriksaan tambahan yang berfokus pada keamanan, keandalan, kinerja, dan optimisasi biaya yang dapat membantu membentuk prioritas mereka lebih lanjut. **Hasil yang diinginkan:** + Anda secara teratur meninjau dan bertindak berdasarkan Well-Architected dan output Trusted Advisor + Anda mengetahui status patch terbaru layanan Anda + Anda memahami risiko dan dampak ancaman yang diketahui dan bertindak sebagaimana mestinya + Anda mengimplementasikan mitigasi sesuai keperluan + Anda mengomunikasikan tindakan dan konteks **Anti-pola umum:** + Anda menggunakan pustaka perangkat lunak versi lama dalam produk Anda. Anda tidak mengetahui bahwa ada pembaruan keamanan pustaka untuk masalah-masalah yang mungkin memiliki dampak yang tidak diinginkan pada beban kerja Anda. + Kompetitor Anda baru saja merilis sebuah versi produk mereka yang dapat mengatasi keluhan pelanggan Anda tentang produk Anda. Anda belum memprioritaskan penanganan masalah-masalah yang sudah diketahui ini. + Pembuat peraturan telah menyasar perusahaan-perusahaan yang tidak mematuhi persyaratan kepatuhan hukum seperti Anda. Anda belum memprioritaskan penanganan persyaratan kepatuhan Anda yang belum terpenuhi. **Manfaat menerapkan praktik terbaik ini:** Anda dapat mengidentifikasi dan memahami ancaman terhadap organisasi dan beban kerja Anda, hal ini akan membantu Anda menentukan ancaman mana yang harus ditangani, tingkat prioritasnya, serta sumber daya yang diperlukan untuk melakukannya. **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang ## Panduan implementasi Panduan implementasi + **Evaluasi lanskap ancaman:** Evaluasi ancaman terhadap bisnis (misalnya kompetisi, risiko dan kewajiban bisnis, risiko operasional, dan ancaman keamanan informasi), sehingga Anda dapat menyertakan dampaknya ketika menentukan ke mana upaya perlu difokuskan. + [Buletin Keamanan Terkini AWS](https://aws.amazon.com/security/security-bulletins/) + [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/) + **Pelihara model ancaman:** Buat dan pelihara model ancaman yang mengidentifikasi potensi ancaman, mitigasi terencana dan sedang diterapkan, serta prioritasnya. Tinjau kemungkinan ancaman yang berwujud insiden, biaya untuk melakukan pemulihan dari insiden tersebut serta perkiraan bahaya yang ditimbulkan, dan biaya untuk mencegah terjadinya insiden tersebut. Revisi proritas seiring perubahan konten model ancaman. ## Sumber daya Sumber daya **Praktik terbaik terkait:** + [SEC01-BP07 Mengidentifikasi ancaman dan memprioritaskan mitigasi menggunakan model ancaman](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_threat_model.html) **Dokumen terkait:** + [Kepatuhan AWS Cloud](https://aws.amazon.com/compliance/) + [Buletin Keamanan Terkini AWS](https://aws.amazon.com/security/security-bulletins/) + [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/) **Video terkait:** + [AWS re: Inforce 2023 - Alat untuk membantu Anda meningkatkan pemodelan ancaman Anda](https://youtu.be/CaYCsmjuiHg?si=e_CXPGqRF4WeBr1u) # OPS01-BP06 Mengevaluasi kompromi sambil mengelola manfaat dan risiko OPS01-BP06 Mengevaluasi kompromi sambil mengelola manfaat dan risiko Kepentingan yang saling berbenturan dari berbagai pihak dapat menyulitkan Anda dalam membuat prioritas upaya, pembangunan kemampuan, dan pemberian hasil yang selaras dengan strategi bisnis. Misalnya, Anda mungkin diminta untuk memprioritaskan peningkatan kecepatan masuk pasar untuk fitur-fitur baru daripada optimalisasi biaya infrastruktur IT. Hal ini dapat menjadikan dua pihak yang berkepentingan mengalami konflik satu sama lain. Dalam situasi seperti ini, keputusan perlu dibawa ke otoritas yang lebih tinggi untuk menyelesaikan konflik. Data diperlukan agar tidak ada keterikatan emosional dalam proses pengambilan keputusan. Tantangan yang sama dapat terjadi pada tingkatan taktis. Misalnya, ketika ada pilihan antara menggunakan teknologi basis data relasional atau non-relasional, hal itu dapat berdampak signifikan pada pengoperasian aplikasi. Sangat penting bagi Anda untuk memahami hasil yang dapat diprediksi dari berbagai pilihan. AWS dapat membantu mengedukasi tim Anda tentang AWS beserta layanannya untuk meningkatkan pemahaman mereka tentang bagaimana pilihan mereka dapat menimbulkan dampak pada beban kerja. Gunakan sumber daya yang disediakan oleh [Dukungan](https://aws.amazon.com/premiumsupport/programs/) ([Pusat Pengetahuan AWS](https://aws.amazon.com/premiumsupport/knowledge-center/), [Forum Diskusi AWS](https://forums.aws.amazon.com/index.jspa), dan [ Pusat Dukungan](https://console.aws.amazon.com/support/home/)) serta [Dokumentasi AWS](https://docs.aws.amazon.com/) untuk memberikan edukasi bagi tim Anda. Untuk pertanyaan lebih lanjut, hubungi Dukungan. AWS juga membagikan pola dan praktik terbaik di [Amazon Builders’ Library](https://aws.amazon.com/builders-library/). Beragam informasi berguna lainnya dapat diakses melalui [Blog AWS](https://aws.amazon.com/blogs/) dan [Siniar Resmi AWS](https://aws.amazon.com/podcasts/aws-podcast/). **Hasil yang diharapkan:** Anda memiliki kerangka kerja pengambilan keputusan yang jelas untuk memudahkan Anda mengambil keputusan penting di setiap level dalam organisasi pengiriman cloud Anda. Kerangka kerja ini mencakup fitur-fitur seperti pencatatan risiko, peran yang ditentukan untuk wewenang pengambilan keputusan, dan model yang ditentukan untuk masing-masing tingkat keputusan yang dapat diambil. Kerangka kerja ini juga menetapkan di awal bagaimana konflik akan diselesaikan, data apa yang perlu disajikan, dan bagaimana opsi diprioritaskan, sehingga setelah keputusan diambil, Anda dapat menjalankannya tanpa jeda. Kerangka pengambilan keputusan ini mencakup pendekatan terstandardisasi dalam meninjau dan menimbang manfaat-manfaat serta risiko dari setiap keputusan yang diambil untuk memahami kompromi. Ini mungkin mencakup faktor-faktor eksternal, seperti misalnya, kepatuhan terhadap persyaratan kepatuhan berdasarkan regulasi. **Anti-pola umum:** + Investor Anda meminta Anda untuk mendemonstrasikan kepatuhan terhadap Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS). Anda tidak mempertimbangkan kompromi antara memenuhi permintaan mereka dan melanjutkan upaya-upaya pengembangan yang Anda lakukan saat ini. Alih-alih, Anda melanjutkan upaya-upaya pengembangan tanpa menunjukkan kepatuhan. Investor Anda menghentikan dukungan untuk perusahaan Anda karena mengkhawatirkan keamanan platform Anda serta investasi yang mereka tanamkan. + Anda telah memutuskan untuk menyertakan pustaka yang ditemukan oleh salah satu developer Anda di internet. Anda belum mengevaluasi risiko adopsi pustaka ini dari sumber tak dikenal dan Anda tidak tahu jika pustaka ini memiliki kerentanan atau kode berbahaya. + Pembenaran bisnis asli untuk migrasi Anda didasarkan pada modernisasi 60% beban kerja aplikasi Anda. Namun demikian, karena hambatan teknis, akhirnya diputuskan untuk melakukan modernisasi terhadap hanya 20% beban kerja tersebut, yang mengakibatkan berkurangnya manfaat yang direncanakan dalam jangka panjang, bertambahnya beban operasional bagi tim infrastruktur untuk mendukung sistem warisan secara manual, dan ketergantungan yang lebih besar pada pengembangan keterampilan baru di dalam tim infrastruktur yang tidak merencanakan perubahan ini. **Manfaat menerapkan praktik terbaik ini:** Sepenuhnya menyelaraskan dan mendukung prioritas bisnis tingkat dewan, memahami risiko untuk mencapai kesuksesan, membuat keputusan yang tepat berdasarkan informasi, dan bertindak dengan tepat ketika ada risiko yang menghambat peluang untuk mencapai kesuksesan. Memahami implikasi dan konsekuensi keputusan yang Anda ambil akan membantu Anda dalam menyusun prioritas opsi dan menghadirkan kesepakatan para pemimpin dengan lebih cepat, yang akan mengarahkan Anda pada hasil bisnis yang lebih baik. Mengidentifikasi manfaat-manfaat yang bisa dihadirkan oleh pilihan Anda dan menyadari risiko yang ditimbulkannya terhadap organisasi akan membantu Anda mengambil keputusan dengan berlandaskan data, bukan opini. **Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan:** Sedang ## Panduan implementasi Panduan implementasi Manajemen manfaat dan risiko harus ditentukan oleh badan pengatur yang mendorong persyaratan untuk pengambilan keputusan utama. Anda ingin keputusan diambil dan diprioritaskan berdasarkan bagaimana keputusan tersebut menguntungkan organisasi, dengan memahami risiko-risiko yang mungkin dihadapi. Informasi yang akurat sangat penting untuk mengambil keputusan organisasi. Hal ini harus didasarkan pada pengukuran yang solid dan ditentukan oleh praktik industri umum mengenai analisis manfaat biaya. Untuk mengambil keputusan semacam ini, bangun keseimbangan antara otoritas tersentralisasi dan terdesentralisasi. Kompromi akan selalu ada, dan penting untuk memahami bagaimana setiap pilihan akan memengaruhi strategi yang ditentukan dan hasil bisnis yang diinginkan. ### Langkah-langkah implementasi Langkah-langkah implementasi 1. Susun praktik pengukuran manfaat dalam sebuah kerangka kerja tata kelola cloud yang menyeluruh. 1. Seimbangkan kontrol pengambilan keputusan tersentralisasi dengan otoritas terdesentralisasi untuk beberapa keputusan. 1. Pahami bahwa proses pengambilan keputusan yang memberatkan yang diterapkan pada setiap keputusan akan memperlambat Anda. 1. Sertakan faktor-faktor eksternal ke dalam proses pengambilan keputusan Anda (seperti persyaratan kepatuhan). 1. Tetapkan kerangka kerja pengambilan keputusan yang telah disepakati untuk berbagai tingkat keputusan, yang menyertakan orang yang diminta untuk menengahi keputusan yang mengalami benturan kepentingan. 1. Pusatkan pengambilan keputusan satu arah yang tidak dapat dibatalkan. 1. Izinkan pengambilan keputusan dua arah oleh pemimpin organisasi tingkat bawah. 1. Pahami dan kelola manfaat serta risiko. Seimbangkan manfaat keputusan sesuai risiko yang terlibat. 1. **Identifikasi manfaat**: Identifikasi manfaat berdasarkan tujuan, kebutuhan, dan prioritas bisnis. Contohnya antara lain dampak kasus bisnis, waktu masuk pasar, keamanan, keandalan, performa, dan biaya. 1. **Identifikasi risiko:** Identifikasi risiko berdasarkan tujuan, kebutuhan, dan prioritas bisnis. Contohnya antara lain waktu masuk pasar, keamanan, keandalan, performa, dan biaya. 1. **Evaluasi manfaat dibandingkan risiko dan ambil keputusan yang bijaksana**: Tentukan dampak manfaat dan risiko berdasarkan tujuan, kebutuhan, dan prioritas pemangku kepentingan utama Anda, termasuk bagian bisnis, pengembangan, dan operasi. Lakukan evaluasi terhadap nilai dari manfaat yang didapatkan dibanding dengan probabilitas terjadinya risiko dan kerugian yang ditimbulkan oleh dampaknya. Sebagai contoh, menekankan pada kecepatan masuk pasar dan bukannya keandalan dapat memberikan keunggulan dalam persaingan. Tetapi, hal ini dapat mengakibatkan berkurangnya waktu aktif jika ada masalah keandalan yang terjadi. 1. Secara terprogram, berlakukan keputusan utama yang mengotomatiskan kesesuaian Anda terhadap persyaratan-persyaratan kepatuhan. 1. Manfaatkan kerangka kerja dan kemampuan industri yang sudah diketahui, seperti Value Stream Analysis dan LEAN, untuk membuat garis acuan performa saat ini, metrik bisnis, dan menentukan iterasi progres menuju peningkatan terhadap metrik-metrik ini. **Tingkat upaya untuk rencana implementasi:** Sedang cenderung Tinggi ## Sumber daya Sumber daya **Praktik-praktik terbaik terkait:** + [OPS01-BP05 Mengevaluasi lanskap ancaman](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_priorities_eval_threat_landscape.html) **Dokumen terkait:** + [Elemen-elemen Amazon, Hari 1 Budaya \$1 Buat keputusan berkualitas tinggi dan berkecepatan tinggi](https://aws.amazon.com/executive-insights/content/how-amazon-defines-and-operationalizes-a-day-1-culture/) + [Tata Kelola Cloud](https://aws.amazon.com/cloudops/cloud-governance/) + [Manajemen dan Tata Kelola Lingkungan Cloud](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/management-and-governance-cloud-environment-guide.html?did=wp_card&trk=wp_card) + [Tata Kelola di Cloud dan di Era Digital: Bagian Satu & Dua](https://aws.amazon.com/blogs/enterprise-strategy/governance-in-the-cloud-and-in-the-digital-age-part-one/) **Video terkait:** + [Siniar \$1 Jeff Bezos \$1 Tentang cara membuat keputusan](https://www.youtube.com/watch?v=VFwCGECvq4I) **Contoh terkait:** + [Buat keputusan berdasarkan informasi dengan menggunakan data (DevOps Sagas)](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/oa.bcl.10-make-informed-decisions-using-data.html) + [Menggunakan pemetaan aliran nilai pengembangan untuk mengidentifikasi kendala pada hasil DevOps](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-devops-value-stream-mapping/introduction.html)