¿Cómo realizar una revisión de Well-Architected Framework? – Parte 3

Por Lechu Matias Siri y Edwin Romero

En entradas anteriores del blog, hablamos de las dos primeras fases para llevar a cabo un Well-Architected Framework Review (WA Review). La primera fase consiste en preparar y la segunda en revisar. En esta entrada del blog, profundizamos en la tercera fase: Mejorar.

Figura 1 – Fases del Well-Architected Framework Review

¿Qué es la fase Mejorar?

En este punto de la revisión de la arquitectura de su carga de trabajo con respecto a las prácticas recomendadas de AWS, debería haber realizado la preparación necesaria para su revisión, tal y como hemos comentado anteriormente, y haber completado la revisión real siguiendo estas recomendaciones. Como resultado, debería haber identificado los riesgos de la arquitectura basándose en las respuestas que recopiló durante la revisión. Llamamos a estos riesgos Problemas de Alto Riesgo (HRI) y Problemas de Riesgo Medio (MRI) – más sobre esto más adelante. Durante la fase de Mejora, se empieza a trabajar en la creación de un Plan de Mejora (a veces llamado Plan de Tratamiento), lo que significa crear una lista de estos riesgos, comprender su impacto en su negocio, encontrar soluciones y, por último, implementar estas soluciones de acuerdo con la prioridad de su organización.

El siguiente ciclo muestra los principales pasos incluidos en la fase de Mejora del WA Review. Nos adentraremos en los detalles de cada paso.

1- Identificar los riesgos (aka: oportunidades de mejora)

[Tiempo estimado: 1 día]

En el contexto del WA Review se utilizan dos categorías de riesgos. Los problemas de alto riesgo (HRI) y los problemas de riesgo medio (MRI). Los HRI son decisiones arquitectónicas y operativas que pueden tener un impacto negativo significativo en una empresa. Pueden afectar a las operaciones de la organización, a los activos y a las personas. Un ejemplo de HRI en el pilar de seguridad es no proteger su cuenta de AWS. Los MRI también pueden tener un impacto negativo en su empresa, pero en menor medida que las HRI. Un ejemplo de MRI en el Pilar de Seguridad es no auditar y rotar las credenciales periódicamente.

Generación de informes HRI/MRI

El primer paso para identificar visualmente los HRI/MRI es generar un informe que muestre los riesgos de cada carga de trabajo que haya revisado. El panel de AWS Well-Architected Tool (AWS WA Tool) le permite acceder a sus cargas de trabajo y a sus HRI y MRI asociados. También puede incluir cargas de trabajo que se hayan compartido con usted. Mediante el panel, puede filtrar los problemas por carga de trabajo, pilar o por gravedad (alta o media).

Este diagrama muestra un ejemplo de cuadro de mando con varias cargas de trabajo de muestra.

Si se desplaza hacia abajo, verá una lista de HRI/MRI. Puede filtrar por pilar o gravedad. Por ejemplo, esta es una lista de HRI/MRI que se encuentran en el pilar Fiabilidad. Una vez que selecciona un elemento de mejora, este lleva directamente a las mejores prácticas asociadas a él en el Marco de trabajo bien diseñado. A partir de ahí, puede leer sobre la acción recomendada que necesita tomar para remediar el problema junto con los recursos necesarios.

Para combinar todos estos resultados en un informe, puede seleccionar Generar informe en el panel de WA Tool.

Le recomendamos que comparta este informe con el equipo de revisión de su organización. Nosotros solemos enviar un correo electrónico de recapitulación a nuestros clientes en el que resumimos lo que hicimos, las principales conclusiones y el plan de mejora sugerido para prepararlos para el siguiente paso.

2- Comprender los riesgos

[Tiempo estimado: 2-3 semanas]

Antes de abordar un riesgo, es importante comprender su gravedad potencial y su impacto en la empresa, el valor que aporta a la organización y los esfuerzos realizados por el equipo para aplicar la mejora.

Al evaluar cuál es el nivel de riesgo para su empresa basándose en las definiciones del HRI y el MRI, considere la posibilidad de plantearse las siguientes preguntas:

• ¿Cuál es la probabilidad de que el riesgo provoque un impacto?
• ¿Cuál sería el impacto en el cliente?
• ¿Cuál sería el impacto empresarial como resultado?
• ¿El riesgo puede eliminarse por completo o sólo mitigarse?
• ¿A quién pertenece el riesgo?
• ¿A quién corresponde el trabajo de mejora para eliminarlo o mitigarlo?

Si las partes interesadas clave o los propietarios de la empresa responden a estas preguntas, se creará una lista de los riesgos más importantes en los que centrarse, junto con el tiempo previsto para abordarlos.

Permítannos utilizar nuestra carga de trabajo ficticia para mostrarles un ejemplo.

Después de mantener una conversación con nuestro equipo acerca de los HRI/MRI y los riesgos que conllevan para la empresa, identificamos los siguientes HRIs que deben abordarse.

3- Determinar soluciones prescriptivas

[Tiempo estimado: 4-5 semanas]

Una vez comprendidos los riesgos y las oportunidades de mejora en el contexto de su organización, debe trabajar con los equipos para determinar cuál es la solución prescriptiva adecuada para el riesgo. En esta fase, cada equipo debe trabajar sobre los HRI detectados en sus áreas y determinar una solución prescriptiva para abordar el HRI. Este paso puede requerir más investigación, debates o pruebas de concepto. Es importante no entrar en detalles sobre la aplicación de una solución en esta fase. Lo hará más adelante si decide que el HRI en cuestión es una prioridad para su carga de trabajo, tal y como se explica en el siguiente paso. El propósito de este paso es comprender la complejidad de la solución y qué recursos requiere para que pueda tenerlos en cuenta a la hora de elaborar la lista de prioridades en el paso 4. En nuestro ejemplo, determinamos las siguientes soluciones para los tres HRI.

4- Implementación y seguimiento

[Tiempo estimado: 3-6 meses]

Priorizar primero. Ninguna organización dispone de tiempo y recursos ilimitados. Intentar abordar todos los HRIs/MRIs identificados como resultado del WA Review a la vez puede no ser la forma correcta de sacar el máximo partido del WA Review. Siempre recomendamos a nuestros clientes que empiecen con un número seleccionado de HRIs/MRIs que tengan un gran impacto en el negocio y que no sean tan difíciles de implementar. Implementar la solución. Hacer un seguimiento de la mejora y luego iterar sobre ese enfoque.

Pero, ¿cómo priorizar los elementos más importantes que hay que implementar?

Una herramienta que puede ayudarte a visualizar la prioridad de las soluciones es el diagrama al estilo Eisenhower. Hay distintas formas de utilizar esta herramienta. A la hora de evaluar, tenga en cuenta tanto la importancia de la mejora, es decir, el valor que aporta a la empresa, como el esfuerzo necesario para implementarla, es decir, las horas necesarias, la complejidad de la implementación o el número de empleados.

Después de hacer el análisis, tendrá un conjunto de riesgos que tienen el mayor impacto en su negocio, y al mismo tiempo, no son complejos de implementar. Estos serán buenos candidatos para empezar a aplicarlos en la primera iteración.

Apliquemos este modelo a nuestro ejemplo.

Revisando los HRI identificados en nuestro ejemplo, determinamos lo siguiente.

Este es el aspecto de nuestro análisis utilizando el gráfico. Después de decidir que nuestra prioridad sea REL1, COST1 y OPS4. Comenzamos la aplicación y repetimos el proceso para el siguiente conjunto de HRI/MRI.

Figura-9- Priorización de soluciones teniendo en cuenta su impacto/complejidad

Características de la solución

Al seleccionar una solución para un riesgo identificado, tenga en cuenta lo siguiente:

• S.M.A.R.T: Piense en las soluciones desde la perspectiva SMART. Una buena solución debe tener un resultado específico, medible, alcanzable, relevante para el problema y con un plazo determinado.
• Propietarios: Identifique un propietario para cada solución.
• Simples y no complejas: Las soluciones complejas pueden funcionar, pero dificultan y alargan la mejora. Elija siempre la sencillez frente a la complejidad.
• Caminos con retorno (Two-way door): Las soluciones deben ser extensibles y estar diseñadas para mejorar y evolucionar con el tiempo. En la medida de lo posible, evite soluciones estáticas que no puedan adaptarse a medida que evoluciona su arquitectura.
• Basada en patrones: Apueste por soluciones que puedan codificarse, reutilizarse y volver a compartirse. No reinvente la rueda. Consulte aquí algunos ejemplos.

Línea de tiempo

Tal vez se pregunte: ¿Cuál es el plazo habitual para seguir estos pasos? No hay una respuesta única. Cada organización es diferente y tiene sus propios retos. Sin embargo, por lo que hemos visto en WA Reviews que han tenido éxito con muchos clientes, recomendamos que esta fase dure entre 90 y 180 días. Si su lista de HRI/MRI le lleva más tiempo, le recomendamos que los priorice y elabore una lista más corta para poder empezar a practicar el proceso y obtener alguna mejora. Entonces, puede repetir el proceso con los elementos restantes.

Resumen

En esta entrada del blog, le hemos guiado a través de los pasos a seguir para desarrollar un plan de mejora que aborde los HRI/MRI identificados en su arquitectura como resultado de la realización del WA Review. Antes de desarrollar el plan de mejora, es necesario comprender y analizar los riesgos, priorizarlos, determinar sus soluciones y, a continuación, decidir un enfoque prioritario para centrarse en los más impactantes. Hemos compartido algunas herramientas y recursos para ayudarle a conseguirlo. También compartimos algunas características de las buenas soluciones. El siguiente paso es hablar con su equipo sobre la importancia de llevar a cabo un Well-Architected Framework Review (WA Review) para algunas cargas de trabajo en sus organizaciones.

Acerca de los autores

Edwin Arturo Romero González es un Solutions Architect quien ama ayudar a los clientes, compartir las mejores prácticas y capacitarlos en la arquitectura e implementación de soluciones. Fuera del trabajo, le encanta pasar tiempo con su novia y aprender sobre diferentes culturas.

Matias “Lechu” Siri es un Well-Architected Solutions Architect que colabora con socios y clientes de diversas industrias para diseñar e implementar cargas de trabajo seguras, resilientes y costo-eficientes basadas en las mejores prácticas del AWS Well-Architected Framework.