# Priorità dell'organizzazione
<a name="organization-priorities"></a>

 È necessario che i team abbiano una comprensione condivisa dell'intero carico di lavoro, del ruolo che vi svolgono, nonché degli obiettivi aziendali condivisi. In questo modo potranno stabilire le priorità che creeranno il successo aziendale. Un'adeguata definizione delle priorità massimizzerà i risultati dei tuoi sforzi. Rivedi regolarmente le tue priorità in modo che possano essere aggiornate al mutare delle esigenze della tua organizzazione. 

**Topics**
+ [OPS01-BP01 Valutazione delle esigenze dei clienti esterni](ops_priorities_ext_cust_needs.md)
+ [OPS01-BP02 Valuta le esigenze interne dei clienti](ops_priorities_int_cust_needs.md)
+ [OPS01-BP03 Valuta i requisiti di governance](ops_priorities_governance_reqs.md)
+ [OPS01-BP04 Valutazione dei requisiti di conformità](ops_priorities_compliance_reqs.md)
+ [OPS01-BP05 Valuta il panorama delle minacce](ops_priorities_eval_threat_landscape.md)
+ [OPS01-BP06 Valutazione dei compromessi gestendo vantaggi e rischi](ops_priorities_eval_tradeoffs.md)

# OPS01-BP01 Valutazione delle esigenze dei clienti esterni
<a name="ops_priorities_ext_cust_needs"></a>

 Coinvolgi le principali parti interessate, compresi i team aziendali, di sviluppo e operativi, per determinare dove concentrare gli sforzi in base alle esigenze dei clienti esterni. Avrai così una conoscenza approfondita del supporto operativo necessario per raggiungere i risultati aziendali desiderati. 

 **Risultato desiderato:** 
+  Lavori a ritroso partendo dalle esigenze dei clienti. 
+  Comprendi in che modo le procedure operative supportano i risultati e gli obiettivi aziendali. 
+  Coinvolgi tutte le parti interessate. 
+  Disponi di meccanismi per soddisfare le esigenze dei clienti esterni. 

 **Anti-pattern comuni:** 
+  Hai deciso di non fornire il servizio clienti al di fuori dell'orario lavorativo di base, ma non hai esaminato i dati cronologici riguardanti le richieste di supporto. Non sai se questo determinerà un impatto sui tuoi clienti. 
+  Stai sviluppando una nuova funzionalità, ma non hai coinvolto i clienti per capire se è desiderata ed eventualmente in quale forma; inoltre non hai condotto attività di sperimentazione per convalidarne la necessità e il metodo di distribuzione. 

 **Vantaggi dell'adozione di questa best practice:** i clienti le cui esigenze sono soddisfatte hanno maggiori probabilità di rimanere clienti. Valutando e comprendendo le esigenze dei clienti esterni sarà possibile organizzare le attività in base alle priorità e offrire valore aggiunto. 

 **Livello di rischio associato se questa best practice non fosse adottata:** elevato 

## Guida all'implementazione
<a name="implementation-guidance"></a>

 **Comprendi le esigenze aziendali:** il successo di un'azienda nasce dalla condivisione di obiettivi e conoscenze tra le parti interessate, compresi i team aziendali, di sviluppo e operativi. 

 **Esamina gli obiettivi aziendali, le esigenze e le priorità dei clienti esterni:** coinvolgi le principali parti interessate, compresi i team aziendali, di sviluppo e operativi, per discutere obiettivi, esigenze e priorità dei clienti esterni. In tal modo otterrai una conoscenza approfondita del supporto operativo necessario per raggiungere i risultati aziendali e del cliente. 

 **Stabilisci una comprensione condivisa:** stabilisci una comprensione condivisa delle funzioni aziendali del carico di lavoro, dei ruoli di ciascuno dei team nel gestire il carico di lavoro e di come questi supportino i tuoi obiettivi aziendali condivisi tra clienti interni ed esterni. 

## Risorse
<a name="resources"></a>

 **Best practice correlate:** 
+  [OPS11-BP03 Implementazione di cicli di feedback](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_evolve_ops_feedback_loops.html) 

# OPS01-BP02 Valuta le esigenze interne dei clienti
<a name="ops_priorities_int_cust_needs"></a>

 Coinvolgi le principali parti interessate, compresi i team aziendali, di sviluppo e operativi, nel determinare dove concentrare le attività in base alle esigenze dei clienti interni. Questo ti garantirà una conoscenza approfondita del supporto operativo necessario per raggiungere i risultati aziendali. 

 **Risultato desiderato:** 
+  Utilizzi le priorità definite per concentrare le iniziative di miglioramento delle operazioni laddove avranno il maggiore impatto (ad esempio, sviluppare le competenze dei team, migliorare le prestazioni del carico di lavoro, ridurre i costi, automatizzare i runbook o potenziare il monitoraggio). 
+  Aggiorni le priorità al mutare delle esigenze. 

 **Anti-pattern comuni:** 
+  Per semplificare la gestione della rete hai deciso di modificare l'assegnazione degli indirizzi IP per i team di prodotto senza consultarli. Non conosci l'impatto che questo avrà sui tuoi team di prodotto. 
+  Stai implementando un nuovo strumento di sviluppo, ma non hai coinvolto i clienti interni per scoprire se è necessario o se è compatibile con le loro pratiche esistenti. 
+  Stai implementando un nuovo sistema di monitoraggio, ma non hai contattato i clienti interni per scoprire se hanno esigenze di monitoraggio o reporting da tenere in considerazione. 

 **Vantaggi dell'adozione di questa best practice:** valutando e comprendendo le esigenze dei clienti interni consente di organizzare le attività in base a priorità e offrire valore aggiunto. 

 **Livello di rischio associato se questa best practice non fosse adottata:** elevato 

## Guida all'implementazione
<a name="implementation-guidance"></a>
+  Comprendi le esigenze aziendali: il successo dell'azienda nasce dalla condivisione di obiettivi e conoscenze tra le parti interessate, compresi i team aziendali, di sviluppo e operativi. 
+  Esamina gli obiettivi aziendali, le esigenze e le priorità dei clienti interni: coinvolgi le principali parti interessate, compresi i team aziendali, di sviluppo e operativi, per discutere obiettivi, esigenze e priorità dei clienti interni. In tal modo otterrai una conoscenza approfondita del supporto operativo necessario per raggiungere i risultati aziendali e del cliente. 
+  Stabilisci una comprensione condivisa: stabilisci una comprensione condivisa delle funzioni aziendali del carico di lavoro, dei ruoli di ciascuno dei team nel gestire il carico di lavoro e di come questi supportino gli obiettivi aziendali condivisi tra clienti interni ed esterni. 

## Risorse
<a name="resources"></a>

 **Best practice correlate:**
+  [OPS11-BP03 Implementa cicli di feedback](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_evolve_ops_feedback_loops.html) 

# OPS01-BP03 Valuta i requisiti di governance
<a name="ops_priorities_governance_reqs"></a>

 Con governance si intende l'insieme di policy, regole o framework che un'azienda usa per raggiungere i propri obiettivi. I requisiti di governance vengono generati all'intero dell'organizzazione. Possono influire sui tipi di tecnologia che scegli o sul modo in cui esegui il tuo carico di lavoro. Integra i requisiti di governance della tua organizzazione nel tuo carico di lavoro. La conformità è la capacità di dimostrare che hai implementato i requisiti di governance. 

 **Risultato desiderato:** 
+  I requisiti di governance sono integrati nel progetto architetturale e nell'operatività del tuo carico di lavoro. 
+  Puoi dimostrare di aver seguito i requisiti di governance. 
+  I requisiti di governance vengono rivisti e aggiornati con regolarità. 

 **Anti-pattern comuni:** 
+ La tua azienda richiede che l'account root abbia l'autenticazione multi-fattore. Non sei riuscito a implementare questo requisito e l'account root è compromesso.
+ Durante la progettazione del carico di lavoro hai scelto un tipo di istanza non approvata dal dipartimento IT. Non riesci ad avviare il tuo carico di lavoro e devi procedere a una nuova progettazione.
+ Devi avere un piano di ripristino di emergenza. Non ne hai uno e il tuo carico di lavoro è vittima di un'interruzione prolungata.
+  Il tuo team vuole usare nuove istanze, ma i requisiti di governance non sono stati aggiornati e pertanto non sono consentite. 

 **Vantaggi dell'adozione di questa best practice:** 
+  Rispettare i requisiti di governance permette di allineare il carico di lavoro a policy organizzative di più ampio respiro. 
+  I requisiti di governance si basano su standard e best practice di settore per la tua organizzazione. 

 **Livello di rischio associato se questa best practice non fosse adottata:** elevato 

## Guida all'implementazione
<a name="implementation-guidance"></a>

Identifica il requisito di governance collaborando con le parti interessate e le organizzazioni preposte. Includi i requisiti di governance nel tuo carico di lavoro. Dimostra di aver seguito i requisiti di governance.

 **Esempio del cliente** 

 In AnyCompany Retail, il team operativo del cloud collabora con le parti interessate di tutta l'organizzazione per sviluppare requisiti di governance. Ad esempio, vietano l'SSHaccesso alle EC2 istanze Amazon. Se i team hanno necessità di accedere ai sistemi, devono usare AWS Systems Manager Session Manager. Il team operativo nell'ambiente cloud aggiorna con regolarità i requisiti di governance nel momento in cui vengono rilasciati nuovi servizi. 

 **Passaggi dell'implementazione** 

1.  Identifica le parti interessate per il tuo carico di lavoro, inclusi eventuali team centralizzati. 

1.  Collabora con le parti interessate per identificare i requisiti di governance. 

1.  Dopo aver generato un elenco, dai la priorità alle voci relative a migliorie e inizia a implementarle nel tuo carico di lavoro. 

   1.  Utilizza servizi come [AWS Config](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)creare governance-as-code e convalidare il rispetto dei requisiti di governance. 

   1.  Utilizzando [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html), puoi avvalerti di policy di controllo dei servizi per l'implementazione dei requisiti di governance. 

1.  Fornisci la documentazione che convalida l'implementazione. 

 **Livello di impegno per il piano di implementazione:** medio L'implementazione di requisiti di governance mancanti può causare la rielaborazione del tuo carico di lavoro. 

## Risorse
<a name="resources"></a>

 **Best practice correlate:** 
+  [OPS01-BP04 Valutazione dei requisiti di conformità](ops_priorities_compliance_reqs.md): la conformità è come la governance, ma è esterna rispetto all'organizzazione. 

 **Documenti correlati:** 
+ [AWS Guida all'ambiente cloud di gestione e governance](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/management-and-governance-cloud-environment-guide.html)
+ [Le migliori pratiche per le politiche di controllo dei AWS Organizations servizi in un ambiente con più account](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [Governance in Cloud AWS: Il giusto equilibrio tra agilità e sicurezza](https://aws.amazon.com/blogs/apn/governance-in-the-aws-cloud-the-right-balance-between-agility-and-safety/)
+ [Cosa sono la governance, il rischio e la conformità (GRC)?](https://aws.amazon.com/what-is/grc/)

 **Video correlati:** 
+ [AWS Gestione e governance: configurazione, conformità e audit - AWS Online Tech Talks](https://www.youtube.com/watch?v=79ud1ZAaoj0)
+ [AWS RE:InForce 2019: governance per l'era del cloud (-R1) DEM12](https://www.youtube.com/watch?v=y3WmHnavuN8)
+ [AWS re:Invent 2020: raggiungi la conformità come codice utilizzando il codice AWS Config](https://www.youtube.com/watch?v=m8vTwvbzOfw)
+ [AWS re:Invent 2020: governance agile su AWS GovCloud (US)](https://www.youtube.com/watch?v=hv6B17eriHQ)

 **Esempi correlati:** 
+ [AWS Config Esempi di Conformance Pack](https://docs.aws.amazon.com/config/latest/developerguide/conformancepack-sample-templates.html)

 **Servizi correlati:** 
+ [AWS Config](https://aws.amazon.com/config/)
+ [AWS Organizations - Politiche di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)

# OPS01-BP04 Valutazione dei requisiti di conformità
<a name="ops_priorities_compliance_reqs"></a>

I requisiti di conformità interna, di settore e normativa sono un fattore importante per la definizione delle priorità della tua organizzazione. L'assetto di conformità della tua azienda potrebbe impedirti di usare tecnologie specifiche o posizioni geografiche. Applica la due diligence in assenza di contesti di conformità esterni. Genera audit o report per convalidare la conformità.

 Se comunichi all'esterno che il tuo prodotto è in linea con standard specifici di conformità, devi disporre di un processo interno in grado di garantire in modo costante la conformità. Gli esempi di standard di conformità includono PCI DSS, FedRAMP e HIPAA. Gli standard di conformità applicabili vengono stabiliti in base a diversi fattori, come il tipo di dati che la soluzione archivia o trasmette e quali aree geografiche sono supportate dalla soluzione. 

 **Risultato desiderato:** 
+  Requisiti di conformità interni, di settore e normativi sono integrati nella selezione dell'architettura. 
+  Puoi verificare la conformità e generare report di audit. 

 **Anti-pattern comuni:** 
+ Parti del tuo carico di lavoro rientrano nel framework Payment Card Industry Data Security Standard (PCI-DSS), ma il tuo carico di lavoro archivia dati di carte di credito non crittografati.
+ Architetti e sviluppatori software non conoscono il contesto di conformità che la tua organizzazione è tenuta a rispettare.
+  L'audit annuale Systems and Organizations Control (SOC2) Type II avrà luogo a breve e tu non sei in grado di verificare la presenza dei controlli richiesti. 

 **Vantaggi dell'adozione di questa best practice:** 
+  Grazie alla valutazione e comprensione dei requisiti di conformità applicati al carico di lavoro, sarà possibile organizzare le attività in base a priorità e offrire valore aggiunto. 
+  Scegli le sedi e le tecnologie corrette, in linea con il tuo contesto di integrità. 
+  La progettazione del tuo carico di lavoro ai fini degli audit ti consente di dimostrare il rispetto del modello di conformità. 

 **Livello di rischio associato se questa best practice non fosse adottata:** elevato 

## Guida all'implementazione
<a name="implementation-guidance"></a>

 L'implementazione di questa best practice significa integrare requisiti di conformità nel processo di progettazione dell'architettura. I membri del tuo team sono a conoscenza del contesto di conformità richiesto. Convalidi la conformità in linea con il contesto. 

 **Esempio del cliente** 

 AnyCompany Retail archivia informazioni sulle carte di credito per i clienti. Gli sviluppatori del team di archiviazione delle carte sono al corrente della necessità di rispettare la conformità agli standard PCI-DSS. Hanno adottato misure per verificare che le informazioni sulle carte di credito siano archiviate e consultabili in totale sicurezza, in linea con quanto stabilito dagli standard PCI-DSS: Ogni anno collaborano con il team di sicurezza per confermare la conformità. 

 **Passaggi dell'implementazione** 

1.  Collabora con i team di sicurezza e governance per stabilire le conformità interne, normative o di settore deve rispettare il tuo carico di lavoro. Integra gli standard di conformità nel tuo carico di lavoro. 

   1.  Convalida la conformità continua delle risorse AWS con servizi come [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/what-is-compute-optimizer.html) e [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html). 

1.  Comunica ai membri del tuo team i requisiti di conformità, in modo che possano gestire e far evolvere il carico di lavoro in linea con essi. I requisiti di conformità devono essere inclusi nelle scelte tecnologiche e architetturali. 

1.  A seconda del contesto di conformità, potresti dover generare un report di audit o conformità. Collabora con la tua organizzazione per automatizzare il più possibile questo processo. 

   1.  Utilizza servizi come [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html) per convalidare la conformità e generare report di audit. 

   1.  Puoi scaricare documenti di sicurezza e conformità di AWS con [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html). 

 **Livello di impegno per il piano di implementazione:** medio Implementare i requisiti di conformità può essere complesso. Generare report di audit o documenti di conformità aggiunge altre complessità. 

## Risorse
<a name="resources"></a>

 **Best practice correlate:** 
+  [SEC01-BP03 Identificazione e convalida degli obiettivi di controllo](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_control_objectives.html): gli obiettivi di controllo della sicurezza sono una parte importante della conformità generale. 
+  [SEC01-BP06 Automatizzazione dei test e della convalida dei controlli di sicurezza nelle pipeline](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_test_validate_pipeline.html): nell'ambito delle tue pipeline, convalida i controlli di sicurezza. Puoi anche generare la documentazione di conformità per le nuove modifiche. 
+  [SEC07-BP02 Applicazione di controlli di protezione dei dati in base alla loro sensibilità](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_define_protection.html): molti framework di conformità si basano su policy di gestione e archiviazione dei dati. 
+  [SEC10-BP03 Preparazione di funzionalità forensi:](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html) in alcuni casi, le funzionalità forensi consentono di verificare la conformità. 

 **Documenti correlati:** 
+ [Centro AWS per la conformità ](https://aws.amazon.com/financial-services/security-compliance/compliance-center/)
+ [Risorse per la conformità AWS](https://aws.amazon.com/compliance/resources/)
+ [Whitepaper su rischio e conformità AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-risk-and-compliance/welcome.html)
+ [ Modello di responsabilità condivisa AWS](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Servizi AWS coperti dal programma di conformità ](https://aws.amazon.com/compliance/services-in-scope/)

 **Video correlati:** 
+ [AWS re:Invent 2020: Achieve compliance as code using AWS Compute Optimizer](https://www.youtube.com/watch?v=m8vTwvbzOfw)
+ [AWS re:Invent 2021 - Cloud compliance, assurance, and auditing ](https://www.youtube.com/watch?v=pdrYGVgb08Y)
+ [AWS Summit ATL 2022 - Implementing compliance, assurance, and auditing on AWS (COP202) ](https://www.youtube.com/watch?v=i7XrWimhqew)

 **Esempi correlati:** 
+ [ PCI DSS and AWS Foundational Security Best Practices on AWS](https://aws.amazon.com/solutions/partners/compliance-pci-fsbp-remediation/)

 **Servizi correlati:** 
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)
+ [AWS Compute Optimizer](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)

# OPS01-BP05 Valuta il panorama delle minacce
<a name="ops_priorities_eval_threat_landscape"></a>

 Valuta le minacce per l'azienda (ad esempio, concorrenza, rischi e responsabilità aziendali, rischi operativi e minacce per la sicurezza delle informazioni) e conserva le informazioni aggiornate in un registro dei rischi. Quando stabilisci dove concentrare gli sforzi, tieni in considerazione l'impatto dei rischi. 

 Il [Framework Well-Architected](https://aws.amazon.com/architecture/well-architected/) enfatizza formazione, misurazione e miglioramento. Fornisce un approccio coerente per valutare le architetture e implementare progetti scalabili nel tempo. AWS fornisce l'assistenza necessaria [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/)per rivedere l'approccio prima dello sviluppo, lo stato dei carichi di lavoro prima della produzione e lo stato dei carichi di lavoro in produzione. Puoi confrontarli con le migliori pratiche AWS architettoniche più recenti, monitorare lo stato generale dei carichi di lavoro e ottenere informazioni sui potenziali rischi. 

 AWS i clienti hanno diritto a una revisione guidata Well-Architected dei loro carichi di lavoro mission-critical per misurare le loro architetture rispetto [alle](https://aws.amazon.com/premiumsupport/programs/) migliori pratiche. AWS I clienti del supporto Enterprise possono usufruire di una [revisione delle operazioni](https://aws.amazon.com/premiumsupport/programs/), ideata per agevolare l'identificazione di lacune nell'approccio da loro utilizzato nel cloud. 

 Il coinvolgimento trasversale dei team per tali controlli aiuta a comprendere a livello comune i carichi di lavoro e il contributo dei ruoli del team al successo. Le esigenze identificate nel corso dell'analisi possono aiutarti a definire le priorità. 

 [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/) è uno strumento che fornisce l'accesso a una serie di controlli di base che propongono ottimizzazioni utili per la definizione delle tue priorità. I [clienti del supporto Business ed Enterprise](https://aws.amazon.com/premiumsupport/plans/) hanno accesso a ulteriori controlli a livello di sicurezza, affidabilità, prestazioni e ottimizzazione dei costi, utili per definire le loro priorità. 

 **Risultato desiderato:** 
+  Esamini e agisci regolarmente in base a Well-Architected Trusted Advisor e ai risultati 
+  Sei a conoscenza dello stato delle patch più recenti dei servizi. 
+  Comprendi il rischio e l'impatto delle minacce note e intervieni di conseguenza. 
+  Implementi le mitigazioni necessarie. 
+  Comunichi azioni e contesto. 

 **Anti-pattern comuni:** 
+  Utilizzo della versione precedente di una libreria software nel tuo prodotto. Mancata conoscenza di aggiornamenti di sicurezza alla libreria per problemi che potrebbero avere un impatto imprevisto sul carico di lavoro. 
+  Rilascio da parte di un tuo concorrente di una versione del proprio prodotto che risolve i reclami di molti dei tuoi clienti relativi al tuo prodotto. Non hai dato priorità alla risoluzione di questi problemi noti. 
+  Perseguimento da parte delle autorità di regolamentazione di aziende come la tua, non conformi ai requisiti di conformità alla normativa legale. Mancata assegnazione della priorità ai requisiti di conformità in sospeso. 

 **Vantaggi dell'adozione di questa best practice: **identifichi e comprendi le minacce per la tua organizzazione e il tuo carico di lavoro ti consentono di determinare quali minacce affrontare, la loro priorità e le risorse necessarie per farlo. 

 **Livello di rischio associato se questa best practice non fosse adottata:** medio 

## Guida all'implementazione
<a name="implementation-guidance"></a>
+  **Valuta il panorama delle minacce:** valute le minacce per l'azienda (ad esempio, concorrenza, rischi e responsabilità aziendali, rischi operativi e minacce alla sicurezza delle informazioni), in modo da poterne includere l'impatto nel determinare dove concentrare le attività. 
  +  [Bollettini sulla sicurezza AWS aggiornati](https://aws.amazon.com/security/security-bulletins/) 
  +  [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/) 
+  **Mantieni un modello delle minacce:** definisci e mantieni un modello delle minacce che identifichi potenziali minacce, mitigazioni pianificate e predisposte e la relativa priorità. Esamina la probabilità che le minacce si manifestino come incidenti, il costo del ripristino dagli incidenti, il danno previsto causato e il costo per prevenire tali incidenti. Modifica le priorità man mano che i contenuti del modello di minaccia cambiano. 

## Risorse
<a name="resources"></a>

 **Best practice correlate:** 
+  [SEC01-BP07 Identifica le minacce e dai priorità alle mitigazioni utilizzando un modello di minaccia](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_threat_model.html) 

 **Documenti correlati:** 
+  [Conformità di Cloud AWS](https://aws.amazon.com/compliance/) 
+  [Bollettini sulla sicurezza AWS aggiornati](https://aws.amazon.com/security/security-bulletins/) 
+  [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/) 

 **Video correlati:** 
+  [AWS re:Inforce 2023 - A tool to help improve your threat modeling](https://youtu.be/CaYCsmjuiHg?si=e_CXPGqRF4WeBr1u) 

# OPS01-BP06 Valutazione dei compromessi gestendo vantaggi e rischi
<a name="ops_priorities_eval_tradeoffs"></a>

 Gli interessi contrastanti di più parti possono complicare l'assegnazione delle priorità a impegni, sviluppo delle capacità e conseguimento di risultati in linea con le strategie aziendali. Ad esempio, è possibile che ti venga chiesto di accelerare la commercializzazione di nuove funzionalità anziché ottimizzare i costi dell'infrastruttura IT. Questa richiesta può mettere due parti interessate in conflitto reciproco. In queste situazioni, le decisioni devono essere prese da un'autorità superiore che risolve il conflitto. I dati sono necessari per rimuovere l'aspetto emotivo dal processo decisionale. 

 La stessa sfida può verificarsi a livello strategico. Ad esempio, la scelta tra l'utilizzo di tecnologie di database relazionali o non relazionali può avere un impatto significativo sul funzionamento di un'applicazione. È fondamentale comprendere i risultati prevedibili delle varie scelte. 

 AWS può aiutarti a sensibilizzare i team su AWS e i suoi servizi, affinché comprendano meglio l'impatto delle loro scelte sul carico di lavoro. Per istruire i tuoi team, utilizza le risorse fornite da [Supporto](https://aws.amazon.com/premiumsupport/programs/) ([Centro conoscenze AWS](https://aws.amazon.com/premiumsupport/knowledge-center/), [AWS Discussion Forums](https://forums.aws.amazon.com/index.jspa) e [Supporto Center](https://console.aws.amazon.com/support/home/)) e la [documentazione AWS](https://docs.aws.amazon.com/). Per ulteriori domande, contatta Supporto. 

 AWS condivide inoltre le best practice e i modelli appresi attraverso la gestione nella [Amazon Builders' Library](https://aws.amazon.com/builders-library/). Un'ampia gamma di ulteriori informazioni utili è disponibile tramite il [blog AWS](https://aws.amazon.com/blogs/) e il [podcast ufficiale di AWS](https://aws.amazon.com/podcasts/aws-podcast/). 

 **Risultato desiderato:** presenza di un framework di governance decisionale definito in modo chiaro per semplificare le decisioni importanti a tutti i livelli all'interno dell'organizzazione di distribuzione del cloud. Questo framework include funzionalità come registro dei rischi, ruoli definiti autorizzati a prendere decisioni e modelli prestabiliti per ogni livello di decisione adottabile. Il framework definisce in anticipo le modalità di risoluzione dei conflitti, quali dati vanno presentati e come viene stabilita la priorità delle opzioni, in modo che una volta prese le decisioni sia subito possibile lavorare per applicarle. Il framework del processo decisionale include un approccio standardizzato alla revisione e alla valutazione di vantaggi e rischi di ogni decisione per comprenderne i compromessi. Ciò può comprendere fattori esterni, come l'aderenza ai requisiti di conformità normativa. 

 **Anti-pattern comuni:** 
+  Richiesta degli investitori di dimostrare la conformità agli standard PCI DSS (Payment Card Industry Data Security Standard). Non prendi in considerazione i compromessi tra soddisfare la loro richiesta e continuare con le attività di sviluppo già in corso. Al contrario, prosegui con il lavoro di sviluppo senza dimostrare la conformità. Gli investitori interrompono il supporto all'azienda a causa dei dubbi relativi alla sicurezza della piattaforma e dei loro investimenti. 
+  Si è deciso di includere una libreria che uno sviluppatore ha trovato su Internet. Non hai valutato i rischi derivanti dall'adozione di questa libreria da un'origine sconosciuta e non sai se contiene vulnerabilità o codice dannoso. 
+  Giustificazione aziendale originale per la migrazione basata sulla modernizzazione del 60% dei carichi di lavoro delle applicazioni. Tuttavia, a causa di difficoltà tecniche, è stata presa la decisione di modernizzare solo il 20%, con una riduzione dei vantaggi pianificati a lungo termine, un maggiore impegno operativo dei team dell'infrastruttura per supportare manualmente i sistemi legacy e un accresciuto affidamento sullo sviluppo di nuove competenze nei team dell'infrastruttura che non avevano pianificato questo cambiamento. 

 **Vantaggi dell'adozione di questa best practice:** allineamento e supporto completi delle priorità aziendali a livello gestionale, comprensione dei rischi legati al raggiungimento del successo, decisioni informate e azioni opportune quando i rischi costituiscono un ostacolo per le possibilità di successo. Comprendere implicazioni e conseguenze delle tue decisioni ti aiuta a stabilire le priorità delle opzioni, oltre a ottenere l'accordo dei leader più rapidamente, fornendo risultati aziendali migliori. L'identificazione dei benefici disponibili delle tue scelte e la consapevolezza dei rischi per la tua organizzazione ti aiutano a prendere decisioni basate sui dati, piuttosto che affidarti agli aneddoti. 

 **Livello di rischio associato se questa best practice non fosse adottata:** medio 

## Guida all'implementazione
<a name="implementation-guidance"></a>

 La gestione di vantaggi e rischi va definita da un organo direttivo che stabilisca i requisiti del processo decisionale chiave. Le decisioni devono essere prese e la priorità va assegnata in base ai vantaggi derivanti per l'organizzazione, con una comprensione dei rischi connessi. L'accuratezza delle informazioni è fondamentale quando si prendono le decisioni organizzative, che devono basarsi su misurazioni affidabili ed essere definite secondo le procedure comuni del settore per l'analisi costi-benefici. Per prendere questo tipo di decisioni, occorre trovare un equilibrio tra l'autorità centralizzata e quella decentralizzata. Esiste sempre un compromesso ed è importante capire l'impatto di ogni scelta sulle strategie definite e sui risultati aziendali desiderati. 

### Passaggi dell'implementazione
<a name="implementation-steps"></a>

1.  Formalizza le procedure di misurazione dei vantaggi in un framework olistico di governance del cloud. 

   1.  Bilancia il controllo centrale del processo decisionale con l'autorità decentralizzata per alcune decisioni. 

   1.  Riconosci che i gravosi processi decisionali imposti per ogni decisione possono rallentare le operazioni. 

   1.  Incorpora nel processo decisionale fattori esterni, come i requisiti di conformità. 

1.  Stabilisci un framework del processo decisionale concordato per vari livelli di decisioni, che includa chi è tenuto a prendere le decisioni soggette a conflitti di interessi. 

   1.  Centralizza le decisioni definitive che potrebbero essere irreversibili. 

   1.  Consenti ai leader dell'organizzazione di livello inferiore di prendere decisioni reversibili. 

1.  Comprendi e gestisci i vantaggi e i rischi. Bilancia i vantaggi delle decisioni rispetto ai rischi connessi. 

   1.  **Identificazione dei vantaggi**: identifica i vantaggi in base a obiettivi aziendali, esigenze e priorità, ad esempio l'impatto del caso aziendale, il time-to-market, la sicurezza, l'affidabilità, le prestazioni e i costi. 

   1.  **Identificazione dei rischi**: identifica i rischi in base a obiettivi aziendali, esigenze e priorità, ad esempio il time-to-market, la sicurezza, l'affidabilità, le prestazioni e il costo. 

   1.  **Valutazione dei vantaggi rispetto ai rischi e decisioni informate**: determina l'impatto di vantaggi e rischi in base a obiettivi, esigenze e priorità delle principali parti interessate, inclusi business, sviluppo e operazioni. Valuta il valore del vantaggio rispetto alla probabilità di concretizzazione del rischio e al costo del suo impatto. Ad esempio, enfatizzare la velocità di accesso al mercato rispetto all'affidabilità potrebbe offrire un vantaggio competitivo. Tuttavia, ciò potrebbe causare tempi di attività ridotti in presenza di problemi di affidabilità. 

1.  Applica in modo programmatico le decisioni chiave che automatizzano l'aderenza ai requisiti di conformità. 

1.  Impiega funzionalità e framework noti del settore, come Value Stream Analysis e LEAN, per definire la linea di base per prestazioni dello stato attuale, metriche aziendali e iterazioni dei progressi verso il miglioramento di tali metriche. 

 **Livello di impegno per il piano di implementazione:** medio-alto 

## Risorse
<a name="resources"></a>

 **Best practice correlate:** 
+  [OPS01-BP05 Valutazione del panorama delle minacce](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_priorities_eval_threat_landscape.html) 

 **Documenti correlati:** 
+  [Elementi della cultura del Giorno 1 di Amazon \$1 Adotta decisioni di alta qualità e ad alta velocità](https://aws.amazon.com/executive-insights/content/how-amazon-defines-and-operationalizes-a-day-1-culture/) 
+  [Governance del cloud](https://aws.amazon.com/cloudops/cloud-governance/) 
+  [Management & Governance Cloud Environment](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/management-and-governance-cloud-environment-guide.html?did=wp_card&trk=wp_card) 
+  [Governance in the Cloud and in the Digital Age: Parts One & Two](https://aws.amazon.com/blogs/enterprise-strategy/governance-in-the-cloud-and-in-the-digital-age-part-one/) 

 **Video correlati:** 
+  [Podcast \$1 Jeff Bezos \$1 On how to make decisions](https://www.youtube.com/watch?v=VFwCGECvq4I) 

 **Esempi correlati:** 
+  [Make informed decisions using data (The DevOps Sagas)](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/oa.bcl.10-make-informed-decisions-using-data.html) 
+  [Using development value stream mapping to identify constraints to DevOps outcomes](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-devops-value-stream-mapping/introduction.html)