# OPS 1. Como você determina quais são suas prioridades?
<a name="ops-01"></a>

 Todos devem entender seu papel no sucesso dos negócios. Tenha objetivos compartilhados para definir as prioridades dos recursos. Isso maximizará os benefícios de seus esforços. 

**Topics**
+ [OPS01-BP01 Avaliar as necessidades dos clientes externos](ops_priorities_ext_cust_needs.md)
+ [OPS01-BP02 Avaliar as necessidades dos clientes internos](ops_priorities_int_cust_needs.md)
+ [OPS01-BP03 Avaliar os requisitos de governança](ops_priorities_governance_reqs.md)
+ [OPS01-BP04 Avaliar os requisitos de conformidade](ops_priorities_compliance_reqs.md)
+ [OPS01-BP05 Avaliar o cenário de ameaças](ops_priorities_eval_threat_landscape.md)
+ [OPS01-BP06 Avaliar as compensações ao gerenciar benefícios e riscos](ops_priorities_eval_tradeoffs.md)

# OPS01-BP01 Avaliar as necessidades dos clientes externos
<a name="ops_priorities_ext_cust_needs"></a>

 Envolva as principais partes interessadas, incluindo equipes de negócios, de desenvolvimento e operacionais, a fim de determinar onde concentrar os esforços nas necessidades de clientes externos. Isso garantirá que você tenha um entendimento completo do suporte às operações, o que é necessário para obter os resultados desejados nos negócios. 

 **Resultado desejado:** 
+  Você trabalha de trás para frente partindo dos resultados do cliente. 
+  Você entende como as práticas operacionais apoiam os resultados e os objetivos comerciais. 
+  Você envolve todas as partes relevantes. 
+  Você tem mecanismos para registrar as necessidades de clientes externos. 

 **Práticas comuns que devem ser evitadas:** 
+  Você decidiu não oferecer suporte ao cliente fora do horário comercial principal, mas não analisou dados históricos de solicitação de suporte. Você não sabe se isso afetará seus clientes. 
+  Você está desenvolvendo um novo recurso, mas não envolveu seus clientes para descobrir se ele é desejado, em qual formato é desejado e sem experimentação para validar a necessidade e o método de entrega. 

 **Benefícios de implementar esta prática recomendada:** os clientes cujas necessidades são atendidas apresentam uma probabilidade muito maior de permanecerem como clientes. Avaliar e compreender as necessidades de clientes externos informará como você priorizará seus esforços para entregar valor empresarial. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

 **Compreenda as necessidades empresariais**: o sucesso nos negócios é possibilitado pelos objetivos e pelo entendimento compartilhados entre as partes interessadas, incluindo equipes de negócios, de desenvolvimento e operacionais. 

 **Revise os objetivos, as necessidades e as prioridades de negócios dos clientes externos:** envolva as principais partes interessadas, incluindo as equipes corporativas, de desenvolvimento e operacionais, para discutir as metas, as necessidades e as prioridades dos clientes externos. Isso garantirá que você tenha um entendimento completo do suporte às operações que é necessário para obter resultados nos negócios. 

 **Estabeleça uma compreensão compartilhada:** estabeleça um entendimento compartilhado das funções corporativas da workload, das funções de cada uma das equipes na operação da workload e de como esses fatores apoiam seus objetivos empresariais compartilhados entre os clientes internos e externos. 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+  [OPS11-BP03 Implementar loops de feedback](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_evolve_ops_feedback_loops.html) 

# OPS01-BP02 Avaliar as necessidades dos clientes internos
<a name="ops_priorities_int_cust_needs"></a>

 Envolva as principais partes interessadas, incluindo equipes de negócios, de desenvolvimento e operacionais, ao determinar onde concentrar os esforços nas necessidades de clientes internos. Isso garantirá que você tenha um entendimento completo do suporte às operações necessário para obter resultados nos negócios. 

 **Resultado desejado:** 
+  Use as prioridades estabelecidas para concentrar os esforços de melhoria onde eles terão maior impacto (por exemplo, desenvolvendo habilidades de equipe, melhorando a performance da workload, reduzindo custos, automatizando runbooks ou aprimorando o monitoramento). 
+  Atualize suas prioridades conforme as necessidades mudam. 

 **Práticas comuns que devem ser evitadas:** 
+  Você decidiu alterar as alocações de endereços IP para as equipes de produtos, sem consultá-las, para facilitar o gerenciamento da rede. Você não sabe o impacto que isso terá em suas equipes de produtos. 
+  Você está implementando uma nova ferramenta de desenvolvimento, mas não envolveu seus clientes internos para descobrir se ela é necessária ou se é compatível com suas práticas existentes. 
+  Você está implementando um novo sistema de monitoramento, mas não entrou em contato com os clientes internos para descobrir se eles têm necessidades de monitoramento ou relatórios que devam ser consideradas. 

 **Benefícios de implementar esta prática recomendada:** avaliar e compreender as necessidades de clientes internos informará como você priorizará seus esforços para entregar valor comercial. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação para implementação
<a name="implementation-guidance"></a>
+  Compreenda as necessidades empresariais: o sucesso nos negócios é possibilitado pelos objetivos e pelo entendimento compartilhados entre as partes interessadas, incluindo equipes de negócios, de desenvolvimento e operacionais. 
+  Revise os objetivos, as necessidades e as prioridades de negócios dos clientes internos: envolva as principais partes interessadas, incluindo as equipes corporativas, de desenvolvimento e operacionais, para discutir as metas, as necessidades e as prioridades dos clientes internos. Isso garantirá que você tenha um entendimento completo do suporte às operações que é necessário para obter resultados nos negócios. 
+  Estabeleça uma compreensão compartilhada: estabeleça um entendimento compartilhado das funções corporativas da workload, das funções de cada uma das equipes na operação da workload e de como esses fatores apoiam seus objetivos empresariais compartilhados entre os clientes internos e externos. 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:**
+  [OPS11-BP03 Implementar loops de feedback](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_evolve_ops_feedback_loops.html) 

# OPS01-BP03 Avaliar os requisitos de governança
<a name="ops_priorities_governance_reqs"></a>

 Governança refere-se a um conjunto de políticas, regras ou frameworks usados por uma empresa para atingir metas comerciais. Os requisitos de governança são gerados dentro da organização. Eles podem afetar os tipos de tecnologia que você escolhe ou influenciar a maneira como opera sua workload. Incorpore requisitos de governança organizacional em sua workload. Conformidade é a capacidade de demonstrar que você implementou os requisitos de governança. 

 **Resultado desejado:** 
+  Os requisitos de governança são incorporados ao design arquitetural e à operação da workload. 
+  Você pode fornecer prova de que seguiu os requisitos de governança. 
+  Os requisitos de governança são revistos e atualizados regularmente. 

 **Práticas comuns que devem ser evitadas:** 
+ Sua organização exige que a conta-raiz tenha autenticação multifator. Você não implementa esse requisito e a conta-raiz é comprometida.
+ Durante o design da workload, você escolhe um tipo de instância que não é aprovado pelo departamento de TI. Você não consegue iniciar a workload e precisa começar a reprojetá-la.
+ É obrigatório ter um plano de recuperação de desastres. Você não cria um, e a workload sofre uma interrupção prolongada.
+  Sua equipe quer usar novas instâncias, mas seus requisitos de governança não foram atualizados para permiti-las. 

 **Benefícios de implementar esta prática recomendada:** 
+  A aderência aos requisitos de governança alinha sua workload às políticas da organização como um todo. 
+  Os requisitos de governança refletem os padrões e as práticas recomendas do setor para sua organização. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

Identifique o requisito de governança trabalhando com as partes interessadas e as organizações de governança. Inclua os requisitos de governança em sua workload. Prepare-se para demonstrar prova de que você seguiu os requisitos de governança.

 **Exemplo de cliente** 

 Na AnyCompany Retail, a equipe de operações em nuvem trabalha com as partes interessadas dentro da organização para desenvolver requisitos de governança. Por exemplo, eles proíbem acesso SSH a instâncias do Amazon EC2. Caso as equipes precisem de acesso ao sistema, elas deverão usar o AWS Systems Manager Session Manager. A equipe de operações em nuvem atualiza regularmente os requisitos de governança à medida que novos serviços são disponibilizados. 

 **Etapas de implementação** 

1.  Identifique as partes interessadas referentes à sua workload, incluindo quaisquer equipes centralizadas. 

1.  Trabalhe com as partes interessadas para identificar requisitos de governança. 

1.  Assim que gerar uma lista, priorize os itens de melhoria e comece a implementá-los na workload. 

   1.  Use serviços como o [AWS Config](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) para criar governança como código e validar se os requisitos de governança são seguidos. 

   1.  Se você usa i [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html), pode fazer uso das políticas de controle de serviços para implementar os requisitos de governança. 

1.  Forneça documentação que valide a implementação. 

 **Nível de esforço do plano de implementação:** Médio. A implementação de requisitos de governança pode exigir a reformulação da sua workload. 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+  [OPS01-BP04 Avaliar os requisitos de conformidade](ops_priorities_compliance_reqs.md): A conformidade é como governança, mas acontece fora da organização. 

 **Documentos relacionados:** 
+ [Gerenciamento e governança da AWS: guia do ambiente de nuvem](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/management-and-governance-cloud-environment-guide.html)
+ [Práticas recomendadas para Políticas de controle de serviços do AWS Organizations em um ambiente com várias contas](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/)
+ [Governança na Nuvem AWS: o equilíbrio certo entre agilidade e segurança](https://aws.amazon.com/blogs/apn/governance-in-the-aws-cloud-the-right-balance-between-agility-and-safety/)
+ [O que é governança, risco e conformidade (GRC)?](https://aws.amazon.com/what-is/grc/)

 **Vídeos relacionados:** 
+ [Gestão e governança da AWS: configuração, conformidade e auditoria – AWS Online Tech Talks](https://www.youtube.com/watch?v=79ud1ZAaoj0)
+ [AWS re:Inforce 2019: Governança para a era da nuvem (DEM12-R1)](https://www.youtube.com/watch?v=y3WmHnavuN8)
+ [AWS re:Invent 2020: Alcançar a conformidade como código usando o AWS Config](https://www.youtube.com/watch?v=m8vTwvbzOfw)
+ [AWS re:Invent 2020: Governança ágil na AWS GovCloud (US)](https://www.youtube.com/watch?v=hv6B17eriHQ)

 **Exemplos relacionados:** 
+ [Exemplos de pacotes de conformidade da AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/conformancepack-sample-templates.html)

 **Serviços relacionados:** 
+ [AWS Config](https://aws.amazon.com/config/)
+ [Políticas de controle de serviço do AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)

# OPS01-BP04 Avaliar os requisitos de conformidade
<a name="ops_priorities_compliance_reqs"></a>

Os requisitos de conformidade normativos, setoriais e internos são um importante motivador para definir as prioridades de sua organização. Seu framework de conformidade pode impedir que você use tecnologias ou localizações geográficas específicas. Realize a devida diligência se não for identificado nenhum framework de conformidade externo. Gere auditorias ou relatórios que validem a conformidade.

 Se você anunciar que seu produto atende a padrões de conformidade específicos, deverá ter um processo interno para garantir a conformidade contínua. Os exemplos de padrões de conformidade incluem PCI DSS, FedRAMP e HIPAA. Os padrões de conformidade aplicáveis são determinados por vários fatores, por exemplo, quais tipos de dados a solução armazena ou transmite e a quais regiões a solução oferece suporte. 

 **Resultado desejado:** 
+  Os requisitos de conformidade normativos, setoriais e internos são incorporados na seleção arquitetural. 
+  É possível validar a conformidade e gerar relatórios de auditoria. 

 **Práticas comuns que devem ser evitadas:** 
+ Partes da workload podem ser enquadradas no framework Payment Card Industry Data Security Standard (PCI-DSS), mas a workload armazena dados de cartões de crédito não criptografados.
+ Seus desenvolvedores e arquitetos de software não estão cientes do framework de conformidade que sua organização deve adotar.
+  A auditoria anual Systems and Organizations Control (SOC2) Tipo II será feita em breve e você não consegue verificar se esses controles estão em vigor. 

 **Benefícios de implementar esta prática recomendada:** 
+  Avaliar e compreender os requisitos de conformidade que se aplicam à sua workload informará como você prioriza seus esforços para entregar valor empresarial. 
+  Você escolhe as localizações e tecnologias corretas, que são congruentes com seu framework de conformidade. 
+  Quando a workload é projetada para ser auditável, é possível provar que você está seguindo seu framework de conformidade. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Alto 

## Orientação para implementação
<a name="implementation-guidance"></a>

 Implementar essa prática recomendada significa incorporar os requisitos de conformidade no processo de design da arquitetura. Os membros de sua equipe estão cientes do framework de conformidade necessário. Você valida a conformidade de acordo com o framework. 

 **Exemplo de cliente** 

 A AnyCompany Retail armazena informações de cartão de crédito dos clientes. Os desenvolvedores da equipe de armazenamento de cartões sabem que eles precisam respeitar o framework PCI-DSS. Eles adotaram medidas para verificar que as informações de cartão de crédito são armazenadas e acessadas com segurança de acordo com o framework PCI-DSS. Todo ano, eles trabalham com a equipe de segurança para validar a conformidade. 

 **Etapas de implementação** 

1.  Trabalhe com as equipes de segurança e governança para determinar quais frameworks de conformidade normativos, setoriais ou internos a workload deve seguir. Incorpore os frameworks de conformidade em sua workload. 

   1.  Valide a conformidade contínua dos recursos da AWS com serviços como [AWS Compute Optimizer](https://docs.aws.amazon.com/compute-optimizer/latest/ug/what-is-compute-optimizer.html) e [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html). 

1.  Instrua os membros da equipe sobre os requisitos de conformidade para que possam operar e expandir a workload de acordo com eles. Os requisitos de conformidade devem ser incluídos nas escolhas de arquitetura e tecnologia. 

1.  Dependendo do framework de conformidade, talvez seja necessário gerar um relatório de auditoria ou conformidade. Trabalhe com sua organização para automatizar esse processo o máximo possível. 

   1.  Use determinados serviços, como o [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html), para gerar, validar a conformidade e gerar relatórios de auditoria. 

   1.  Você pode baixar documentos de segurança e conformidade da AWS com o [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html). 

 **Nível de esforço do plano de implementação:** Médio. A implementação de frameworks de conformidade pode ser um desafio. A geração de relatórios de auditoria e de documentos de conformidade aumenta ainda mais a complexidade. 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+  [SEC01-BP03 Identificar e validar objetivos do controle](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_control_objectives.html): os objetivos do controle de segurança são uma parte importante da conformidade geral. 
+  [SEC01-BP06 Automatizar os testes e a validação de controles de segurança em pipelines](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_test_validate_pipeline.html): como parte de seus pipelines, valide os controles de segurança. Você também pode gerar documentação de conformidade para novas alterações. 
+  [SEC07-BP02 Definir controles de proteção de dados](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_define_protection.html): muitos frameworks de conformidade têm como base políticas de tratamento e armazenamento de dados. 
+  [SEC10-BP03 Preparar recursos forenses](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_prepare_forensic.html): às vezes, os recursos forenses podem ser usados em auditorias de conformidade. 

 **Documentos relacionados:** 
+ [Centro de Conformidade da AWS](https://aws.amazon.com/financial-services/security-compliance/compliance-center/)
+ [Recursos de conformidade do AWS](https://aws.amazon.com/compliance/resources/)
+ [Whitepaper Risco e conformidade da AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-risk-and-compliance/welcome.html)
+ [Modelo de responsabilidade compartilhada da AWS](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [Serviços da AWS em escopo por programas de conformidade](https://aws.amazon.com/compliance/services-in-scope/)

 **Vídeos relacionados:** 
+ [AWS re:Invent 2020: Alcançar a conformidade como código usando o AWS Compute Optimizer](https://www.youtube.com/watch?v=m8vTwvbzOfw)
+ [AWS re:Invent 2021: Conformidade, garantia e auditoria na nuvem](https://www.youtube.com/watch?v=pdrYGVgb08Y)
+ [AWS Summit ATL 2022: Implementar conformidade, garantia e auditoria na AWS (COP202)](https://www.youtube.com/watch?v=i7XrWimhqew)

 **Exemplos relacionados:** 
+ [PCI DSS e as Práticas Recomendadas de Segurança Básica da AWS na AWS](https://aws.amazon.com/solutions/partners/compliance-pci-fsbp-remediation/)

 **Serviços relacionados:** 
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)
+ [AWS Compute Optimizer](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)

# OPS01-BP05 Avaliar o cenário de ameaças
<a name="ops_priorities_eval_threat_landscape"></a>

 Avalie as ameaças à empresa (por exemplo, concorrência, risco e passivos empresariais, riscos operacionais e ameaças à segurança da informação) e mantenha as informações atuais em um registro de risco. Inclua o impacto dos riscos ao determinar onde concentrar os esforços. 

 O [Well-Architected Framework](https://aws.amazon.com/architecture/well-architected/) enfatiza o aprendizado, a medição e o aprimoramento. Ele oferece uma abordagem consistente para avaliar arquiteturas e implementar designs que escalem ao longo do tempo. A AWS fornece o [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/) para ajudar você a analisar sua abordagem antes do desenvolvimento e o estado de suas workloads antes e durante a produção. Você pode compará-las com as práticas recomendadas de arquitetura mais recentes da AWS, monitorar o status geral das workloads e receber insights sobre possíveis riscos. 

 Os clientes da AWS são elegíveis para uma [revisão orientada do Well-Architected](https://aws.amazon.com/premiumsupport/programs/) para suas workloads de missão crítica a fim de avaliar suas arquiteturas em relação às práticas recomendadas da AWS. Os clientes Enterprise Support são elegíveis para uma [revisão\$1de operações](https://aws.amazon.com/premiumsupport/programs/) que foi desenvolvida para ajudá-los a identificar lacunas em sua abordagem de operação na nuvem. 

 O envolvimento entre equipes dessas avaliações ajuda a estabelecer um entendimento comum de suas workloads e como as funções da equipe contribuem para o sucesso. As necessidades identificadas pela avaliação podem ajudar a moldar suas prioridades. 

 O [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/technology/trusted-advisor/) é uma ferramenta que fornece acesso a um conjunto principal de verificações que recomendam otimizações que podem ajudar a moldar suas prioridades. Os [clientes Business e Enterprise Support](https://aws.amazon.com/premiumsupport/plans/) recebem acesso a verificações adicionais com foco em segurança, confiabilidade, performance e otimização de custos que podem ajudar a moldar as prioridades. 

 **Resultado desejado:** 
+  Você revisa e age regularmente com base no Well-Architected e nos resultados do Trusted Advisor. 
+  Você está ciente do status do patch mais recente dos seus serviços. 
+  Você entende o risco e o impacto das ameaças conhecidas e toma medidas adequadas. 
+  Você implementa mitigações conforme necessário. 
+  Você fornece informações sobre as ações e o contexto. 

 **Práticas comuns que devem ser evitadas:** 
+  Você está usando uma versão antiga de uma biblioteca de software no seu produto. Você não está ciente das atualizações de segurança na biblioteca para problemas que podem ter um impacto indesejado na workload. 
+  Seu concorrente acabou de lançar uma versão do produto que lida com muitas das reclamações de seus clientes sobre seu produto. Você não priorizou a abordagem de nenhum desses problemas conhecidos. 
+  Os reguladores buscam empresas como a sua que não estejam em conformidade com os requisitos de conformidade normativa legais. Você não priorizou a abordagem de nenhum dos requisitos de conformidade pendentes. 

 **Benefícios de implementar esta prática recomendada:** identificar e compreender as ameaças à sua organização e à workload permite determinar quais ameaças devem ser resolvidas, a prioridade delas e os recursos necessários para isso. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio 

## Orientação para implementação
<a name="implementation-guidance"></a>
+  **Avalie o cenário de ameaças:** avalie as ameaças aos negócios (como concorrência, riscos e responsabilidades comerciais, riscos operacionais e ameaças à segurança da informação), para que você possa incluir o impacto delas ao determinar onde concentrar os esforços. 
  +  [Boletins de segurança mais recentes da AWS](https://aws.amazon.com/security/security-bulletins/) 
  +  [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/) 
+  **Mantenha um modelo de ameaças:** estabeleça e mantenha um modelo de ameaças que identifique possíveis ameaças, mitigações planejadas e implementadas e a prioridade delas. Analise a probabilidade de as ameaças se manifestarem como incidentes, o custo de recuperação desses incidentes, o dano esperado causado e o custo para evitá-los. Revise as prioridades à medida que o conteúdo do modelo de ameaça muda. 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+  [SEC01-BP07 Identificar ameaças e priorizar mitigações usando um modelo de ameaça](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_threat_model.html) 

 **Documentos relacionados:** 
+  [Conformidade da Nuvem AWS](https://aws.amazon.com/compliance/) 
+  [Boletins de segurança mais recentes da AWS](https://aws.amazon.com/security/security-bulletins/) 
+  [AWS Trusted Advisor](https://aws.amazon.com/premiumsupport/trustedadvisor/) 

 **Vídeos relacionados:** 
+  [AWS re:INFORCE 2023: Uma ferramenta para ajudar a melhorar sua modelagem de ameaças](https://youtu.be/CaYCsmjuiHg?si=e_CXPGqRF4WeBr1u) 

# OPS01-BP06 Avaliar as compensações ao gerenciar benefícios e riscos
<a name="ops_priorities_eval_tradeoffs"></a>

 Interesses conflitantes de várias partes podem dificultar a priorização de esforços, a criação de capacidades e a entrega de resultados alinhados às estratégias de negócios. Por exemplo, talvez seja solicitado que você acelere a comercialização de novos recursos em vez de otimizar os custos da infraestrutura de TI. Isso pode colocar duas partes interessadas em conflito. Nessas situações, é necessário encaminhar as decisões a uma autoridade superior a fim de resolver conflitos. Dados são necessários para remover o apego emocional do processo de tomada de decisões. 

 O mesmo desafio pode ocorrer em nível tático. Por exemplo, a escolha entre usar tecnologias de bancos de dados relacionais ou não relacionais pode ter um impacto significativo na operação de uma aplicação. É fundamental entender os resultados previsíveis de várias opções. 

 A AWS pode ajudar a instruir suas equipes sobre a AWS e os serviços que ela fornece para que compreendam melhor como as escolhas que elas fazem podem ter um impacto na workload. Use os recursos fornecidos pelo [Suporte](https://aws.amazon.com/premiumsupport/programs/) ([Centro de Conhecimentos da AWS](https://aws.amazon.com/premiumsupport/knowledge-center/), [Fóruns de discussão da AWS](https://forums.aws.amazon.com/index.jspa) e o [Suporte Center](https://console.aws.amazon.com/support/home/)), bem como a [documentação da AWS](https://docs.aws.amazon.com/) para instruir suas equipes. Em caso de dúvidas, entre em contato com o Suporte. 

 A AWS também compartilha práticas recomendadas e padrões operacionais na [Amazon Builders' Library](https://aws.amazon.com/builders-library/). Inúmeras outras informações úteis podem ser obtidas por meio do [Blog da AWS](https://aws.amazon.com/blogs/) e no [podcast oficial da AWS](https://aws.amazon.com/podcasts/aws-podcast/). 

 **Resultado desejado:** você tem uma estrutura de governança de tomada de decisão claramente definida para facilitar decisões importantes em todos os níveis da sua organização de fornecimento de nuvem. Esse framework inclui recursos como um registro de riscos, funções definidas que estão autorizadas a tomar decisões e modelos definidos para cada nível de decisão que pode ser tomada. O framework define com antecedência como os conflitos são resolvidos, quais dados precisam ser apresentados e como as opções são priorizadas, para que, uma vez tomadas as decisões, você possa se comprometer sem demora. O framework de tomada de decisões inclui uma abordagem padronizada para analisar e avaliar os benefícios e os riscos de cada decisão e entender as vantagens e as desvantagens. Isso pode incluir fatores externos, como a adesão aos requisitos de conformidade regulatória. 

 **Práticas comuns que devem ser evitadas:** 
+  Seus investidores solicitam que você demonstre conformidade com os Payment Card Industry Data Security Standards (PCI DSS). Você não pensa nas concessões entre atender a essa solicitação e continuar com seus esforços de desenvolvimento atuais. Em vez disso, você prossegue com os esforços de desenvolvimento sem demonstrar conformidade. Seus investidores deixam de apoiar sua empresa devido a preocupações com a segurança da plataforma e de seus investimentos. 
+  Você decidiu incluir uma biblioteca que um de seus desenvolvedores encontrou na internet. Você não avaliou os riscos de adoção dessa biblioteca de origem desconhecida e não sabe se ela contém vulnerabilidades ou código mal-intencionado. 
+  A justificativa comercial original para sua migração foi baseada na modernização de 60% das workloads de aplicações. No entanto, devido a dificuldades técnicas, foi tomada a decisão de modernizar apenas 20%, ocasionando uma redução nos benefícios planejados de longo prazo, o aumento do trabalho do operador para que as equipes de infraestrutura apoiem manualmente os sistemas herdados e uma maior dependência do desenvolvimento de novos conjuntos de habilidades em suas equipes de infraestrutura que não estavam preparadas para essa mudança. 

 **Benefícios de implementar esta prática recomendada:** alinhar e apoiar totalmente as prioridades de negócios em nível de diretoria, compreender os riscos de alcançar o sucesso, tomar decisões informadas e agir adequadamente quando os riscos impedem as chances de sucesso. Compreender as implicações e as consequências de suas decisões ajuda você a priorizar suas opções e a possibilitar que os líderes cheguem a um acordo mais depressa, gerando melhores resultados comerciais. Identificar os benefícios gerados por suas escolhas e estar ciente dos riscos para a organização ajuda você a tomar decisões orientadas por dados, e não baseadas em histórias. 

 **Nível de risco exposto se esta prática recomendada não for estabelecida:** Médio 

## Orientação para implementação
<a name="implementation-guidance"></a>

 O gerenciamento de benefícios e riscos deve ser definido por um órgão regulador que oriente os requisitos para a tomada de decisões importantes. Convém que as decisões sejam tomadas e priorizadas com base em como elas beneficiam a organização, com uma compreensão dos riscos envolvidos. Informações precisas são essenciais para a tomada de decisões organizacionais. Isso deve se basear em medições sólidas e ser definido por práticas comuns de análise de custo-benefício do setor. Para tomar esse tipo de decisão, encontre um equilíbrio entre autoridade centralizada e descentralizada. Sempre há concessões, e é importante entender como cada escolha afeta as estratégias definidas e os resultados comerciais desejados. 

### Etapas de implementação
<a name="implementation-steps"></a>

1.  Formalize as práticas de mensuração de benefícios dentro de um framework completo de governança de nuvem. 

   1.  Contrabalance o controle central da tomada de decisões e a autoridade descentralizada para algumas decisões. 

   1.  Entenda que processos fatigantes de tomada de decisões impostos a cada decisão podem diminuir seu ritmo. 

   1.  Incorpore fatores externos em seu processo de tomada de decisões (como requisitos de conformidade). 

1.  Estabeleça um framework de tomada de decisões acordado para vários níveis de decisão, incluindo quem deve desobstruir decisões sujeitas a interesses conflitantes. 

   1.  Centralize decisões unidirecionais que podem ser irreversíveis. 

   1.  Permita que as decisões bidirecionais sejam tomadas por líderes organizacionais de nível inferior. 

1.  Entenda e gerencie benefícios e riscos. Contrabalance os benefícios das decisões com os riscos envolvidos. 

   1.  **Identifique os benefícios:** identifique os benefícios com base nas metas, necessidades e prioridades da empresa. Os exemplos são os seguintes: impacto no caso de negócios, tempo até a comercialização, segurança, confiabilidade, performance e custo. 

   1.  **Identifique os riscos:** identifique os riscos com base nas metas, necessidades e prioridades da empresa. Os exemplos são os seguintes: tempo para comercialização, segurança, confiabilidade, performance e custo. 

   1.  **Avalie os benefícios em comparação com os riscos e tome decisões informadas:** determine o impacto dos benefícios e riscos com base nas metas, necessidades e prioridades de suas principais partes interessadas, incluindo negócios, desenvolvimento e operações. Avalie o valor do benefício em relação à probabilidade de realização do risco e o custo do seu impacto. Por exemplo, enfatizar a velocidade de entrada no mercado em vez da confiabilidade pode oferecer vantagem competitiva. No entanto, isso poderá causar tempo de atividade reduzido se houver problemas de confiabilidade. 

1.  Imponha de modo programático as principais decisões que automatizam sua adesão aos requisitos de conformidade. 

1.  Utilize frameworks e recursos conhecidos do setor, como análise do fluxo de valor e lean, para estabelecer uma referência comparativa para a performance do estado atual, bem como métricas de negócios, e defina iterações de progresso em direção a melhorias nessas métricas. 

 **Nível de esforço do plano de implementação:** Médio-Alto 

## Recursos
<a name="resources"></a>

 **Práticas recomendadas relacionadas:** 
+  [OPS01-BP05 Avaliar o cenário de ameaças](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/ops_priorities_eval_threat_landscape.html) 

 **Documentos relacionados:** 
+  [Elementos da cultura de Dia 1 da Amazon \$1 Tomar decisões de alta qualidade em alta velocidade](https://aws.amazon.com/executive-insights/content/how-amazon-defines-and-operationalizes-a-day-1-culture/) 
+  [Governança na nuvem](https://aws.amazon.com/cloudops/cloud-governance/) 
+  [Gerenciamento e governança: ambiente de nuvem](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/management-and-governance-cloud-environment-guide.html?did=wp_card&trk=wp_card) 
+  [Governança na nuvem e na era digital: partes um e dois](https://aws.amazon.com/blogs/enterprise-strategy/governance-in-the-cloud-and-in-the-digital-age-part-one/) 

 **Vídeos relacionados:** 
+  [Podcast \$1 Jeff Bezos \$1 Sobre como tomar decisões](https://www.youtube.com/watch?v=VFwCGECvq4I) 

 **Exemplos relacionados:** 
+  [Tomar decisões informadas usando dados (The DevOps Sagas)](https://docs.aws.amazon.com/wellarchitected/latest/devops-guidance/oa.bcl.10-make-informed-decisions-using-data.html) 
+  [Usar o mapeamento do fluxo de valor do desenvolvimento para identificar restrições aos resultados de DevOps](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-devops-value-stream-mapping/introduction.html)