Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Una vez implementado el equipo de gobernanza, el siguiente paso es identificar y evaluar todos los riesgos significativos asociados al uso de la nube de la organización. Un "riesgo" en este contexto es cualquier resultado potencialmente no deseado, como una infracción de seguridad, una infracción de cumplimiento, una interrupción del servicio o una saturación de costos, lo que podría resultar de cómo se usa la nube. Al evaluar los riesgos, el equipo de gobernanza obtiene la información necesaria para elaborar directivas pertinentes en el siguiente paso. Esta evaluación de riesgos se debe llevar a cabo inicialmente durante la configuración de la gobernanza y, a continuación, se volverá a revisar periódicamente y siempre que se produzcan cambios importantes, como nuevos proyectos, nuevas amenazas, auditorías e incidentes.
1. Identificación de riesgos en la nube
Empiece por compilar una lista completa de los riesgos a los que se enfrenta la organización en la nube. Céntrese en los riesgos de aplicabilidad general en lugar de escenarios extremadamente nichos. Puede empezar con riesgos obvios de alta prioridad y expandir la lista a lo largo del tiempo.
Enumerar todos los recursos en la nube. Enumere todos los recursos en la nube para que pueda identificar exhaustivamente los riesgos asociados a ellos. Por ejemplo, puede usar Azure Portal, Azure Resource Graph, PowerShell y la CLI de Azure para ver todos los recursos de una suscripción.
Descubra los riesgos de la nube. Desarrolle un catálogo de riesgos estable para guiar las directivas de gobernanza de la nube. Para evitar ajustes frecuentes, céntrese en los riesgos generales de la nube, no en los riesgos exclusivos de una carga de trabajo específica. Comience con riesgos de alta prioridad y desarrolle una lista más completa a lo largo del tiempo. Las categorías comunes de riesgo son el cumplimiento normativo, la seguridad, las operaciones, el costo, los datos, los recursos y la inteligencia artificial. Incluya riesgos únicos para su organización, como software que no sea de Microsoft, soporte técnico para asociados o proveedores, y competencias internas en la nube.
Implique a las partes interesadas clave. Recopile información de diversos roles organizativos (TI, seguridad, legal, finanzas y unidades de negocio) para tener en cuenta todos los riesgos potenciales. Este enfoque colaborativo garantiza una vista holística de los riesgos relacionados con la nube.
Compruebe los riesgos. Póngase en contacto con expertos externos que posean un conocimiento profundo de la identificación de riesgos en la nube para revisar y validar su lista de riesgos. Estos expertos podrían ser equipos de cuentas de Microsoft o asociados especializados de Microsoft. Su experiencia ayuda a confirmar la identificación de todos los posibles riesgos y mejora la precisión de su evaluación de riesgos.
Facilitación de Azure: Identificación de riesgos en la nube
Las instrucciones siguientes están diseñadas para ayudarle a identificar los riesgos en la nube en Azure. Proporciona un punto de partida de ejemplo para las principales categorías de gobernanza de la nube. Azure puede ayudar a automatizar parte del proceso de búsqueda de riesgos. Use herramientas de Azure como Azure Advisor, Microsoft Defender for Cloud, Azure Policy, Azure Service Health y Microsoft Purview.
Identificar los riesgos de cumplimiento normativo. Identifique los riesgos de incumplimiento con marcos legales y normativos que afectan a los datos y las operaciones en la nube. Conozca los requisitos normativos de su sector. Use la documentación de cumplimiento de Azure para iniciarse.
Identificar los riesgos de seguridad. Identifique amenazas y vulnerabilidades que ponen en peligro la confidencialidad, la integridad y la disponibilidad del entorno en la nube. Use Azure para evaluar la posición de seguridad en la nube y detectar riesgos de identidad.
Identificar los riesgos de costos. Identifique los riesgos relacionados con los costos de los recursos en la nube. Entre los riesgos relacionados con los costos se incluyen el sobreaprovisionamiento, el desaprovisionamiento, la infrautilización y los costos inesperados de las tarifas de transferencia de datos o el escalado de servicios. Use una evaluación de costos para identificar el riesgo de costo. Use Azure para calcular los costos con la calculadora de precios de Azure. Analice y previsión de los costos de los recursos actuales. Identificar cambios inesperados en los costos de la nube.
Identificar los riesgos de las operaciones. Identifique los riesgos que amenazan la continuidad de las operaciones en la nube, como el tiempo de inactividad y la pérdida de datos. Use herramientas de Azure para identificar los riesgos de confiabilidad y rendimiento.
Identificar los riesgos de los datos. Identifique los riesgos relacionados con la administración de datos dentro de la nube. Considerar el manejo indebido de datos y los fallos en la gestión del ciclo de vida de los datos. Use herramientas de Azure para ayudar a identificar los riesgos de los datos y a explorar los riesgos de los datos confidenciales.
Identifique los riesgos de administración de recursos. Identifique los riesgos derivados del aprovisionamiento, la implementación, la configuración y la administración de recursos en la nube. Identificar los riesgos para la excelencia operativa.
Identificar los riesgos de la inteligencia artificial. Modelos de lenguaje de equipo rojo periódicamente. Pruebe manualmente los sistemas de inteligencia artificial y complemente las pruebas manuales con herramientas automatizadas de identificación de riesgos para la inteligencia artificial. Busque errores comunes de interacción de la inteligencia artificial humana. Considere los riesgos asociados con el uso, el acceso y la salida de los sistemas de inteligencia artificial. Revise los principios de la IA responsable y el modelo de madurez de IA responsable.
2. Análisis de riesgos en la nube
Asigne una clasificación cualitativa o cuantitativa a cada riesgo para que pueda priorizarlos por gravedad. La priorización de riesgos combina la probabilidad de riesgo y el impacto en el riesgo. Se prefiere el análisis cuantitativo de riesgos sobre cualitativo para la priorización de riesgos más precisa. Para analizar los riesgos de la nube, siga estas estrategias:
Evaluación de la probabilidad de riesgo
Calcule la probabilidad cuantitativa o cualitativa de cada riesgo que se produzca al año. Use un intervalo porcentual (0%-100%) para representar la probabilidad de riesgo cuantitativa anual. Las etiquetas bajas, medias y altas son etiquetas comunes para la probabilidad de riesgo cualitativo. Para evaluar la probabilidad de riesgo, siga estas recomendaciones:
Use pruebas comparativas públicas. Use datos de informes, estudios o acuerdos de nivel de servicio (SLA) que documenten riesgos comunes y sus tasas de aparición.
Analice los datos históricos. Examine los informes de incidentes internos, los registros de auditoría y otros registros para identificar la frecuencia con la que se produjeron riesgos similares en el pasado.
Eficacia del control de pruebas. Para minimizar los riesgos, evalúe la eficacia de los controles actuales de mitigación de riesgos. Considere la posibilidad de revisar los resultados de las pruebas de control, los resultados de auditoría y las métricas de rendimiento.
Determinar el impacto en el riesgo
Calcule el impacto cuantitativo o cualitativo del riesgo que se produce en la organización. Una cantidad monetaria es una manera común de representar el impacto cuantitativo en el riesgo. Bajo, medio y alto son etiquetas comunes para describir el impacto cualitativo del riesgo. Para determinar el impacto en el riesgo, siga estas recomendaciones:
Realizar análisis financieros. Calcule la posible pérdida financiera de un riesgo examinando factores como el costo del tiempo de inactividad, los honorarios legales, las multas y el costo de los esfuerzos de corrección.
Llevar a cabo una evaluación de impacto de reputación. Use encuestas, investigaciones de mercado o datos históricos sobre incidentes similares para calcular el posible impacto en la reputación de la organización.
Realizar análisis de interrupciones operativas. Evalúe la extensión de la interrupción operativa mediante la estimación del tiempo de inactividad, la pérdida de productividad y el costo de las disposiciones alternativas.
Evaluar las implicaciones legales. Calcule posibles costos legales, multas y sanciones asociados a incumplimientos o infracciones.
Cálculo de la prioridad de riesgo
Asigne una prioridad de riesgo a cada riesgo. La prioridad de riesgo es la importancia que asigna a un riesgo para saber si se debe tratar el riesgo con urgencia alta, media o baja. El impacto en el riesgo es más importante que la probabilidad de riesgo, ya que un riesgo de alto impacto puede tener consecuencias duraderas. El equipo de gobernanza debe usar una metodología coherente en toda la organización para priorizar el riesgo. Para calcular la prioridad de riesgo, siga estas recomendaciones:
Use una matriz de riesgo para las evaluaciones cualitativas. Cree una matriz para asignar una prioridad de riesgo cualitativo a cada riesgo. Un eje de la matriz representa la probabilidad de riesgo (alta, media, baja) y la otra representa el impacto en el riesgo (alto, medio, bajo). En la tabla siguiente se proporciona una matriz de riesgo de ejemplo:
Bajo impacto Impacto medio Alto impacto Probabilidad baja Muy bajo Moderadamente bajo Moderadamente alto Probabilidad media Low Mediana High Probabilidad alta Mediana High Muy alto Use fórmulas para evaluaciones cuantitativas. Use el siguiente cálculo como línea base: prioridad de riesgo = probabilidad de riesgo x impacto en el riesgo. Ajuste el peso de las variables según sea necesario para adaptar los resultados de prioridad de riesgo. Por ejemplo, podría poner más énfasis en el impacto en el riesgo con esta fórmula: prioridad de riesgo = probabilidad de riesgo x (impacto en el riesgo x 1,5).
Asignación de un nivel de riesgo
Clasifique cada riesgo en uno de los tres niveles: principales riesgos (nivel 1), subrisks (nivel 2) y controladores de riesgo (nivel 3). Los niveles de riesgo permiten planear una estrategia de administración de riesgos adecuada y prever desafíos futuros. Los riesgos de nivel 1 amenazan a la organización o la tecnología. Los riesgos de nivel 2 se encuentran bajo el riesgo de nivel 1. Los riesgos de nivel 3 son tendencias que podrían culminar en uno o varios riesgos de nivel 1 o nivel 2. Por ejemplo, considere la no conformidad con las leyes de protección de datos (nivel 1), las configuraciones de almacenamiento en la nube incorrectas (nivel 2) y la complejidad creciente de los requisitos normativos (nivel 3).
Determinación de la estrategia de administración de riesgos
Para cada riesgo, identifique las opciones adecuadas de tratamiento de riesgos, como evitar, mitigar, transferir o aceptar el riesgo. Proporcione una explicación de la elección. Por ejemplo, si decide aceptar un riesgo porque el costo de mitigarlo es demasiado caro, debe documentar ese razonamiento para una referencia futura.
Asignar propietarios de riesgos
Designe un propietario de riesgo principal para cada riesgo. El propietario del riesgo tiene la responsabilidad de administrar cada riesgo. Esta persona coordina la estrategia de administración de riesgos en todos los equipos implicados y es el punto de contacto inicial para la escalación de riesgos.
3. Documentar los riesgos de la nube
Documente cada riesgo y los detalles del análisis de riesgos. Cree una lista de riesgos (registro de riesgos) que contenga toda la información que necesita para identificar, clasificar, clasificar, priorizar y administrar riesgos. Desarrolle un lenguaje estandarizado para la documentación de riesgos para que todos puedan comprender fácilmente los riesgos de la nube. Considere la posibilidad de incluir estos elementos:
| Campo | Description |
|---|---|
| identificación | Identificador único para cada riesgo. Garantiza la rastreabilidad y la referencia simple. Use una etiqueta secuencial (por ejemplo, R01, R02); incremente la secuencia cuando agregue un riesgo y deje huecos cuando quite riesgos o vuelva a numerar solo cuando sea necesario. |
| Estado de administración | Estado actual del riesgo. Aclara si el riesgo requiere una acción. Use "Abrir" o "Cerrado" y actualice el estado inmediatamente cuando cambie. |
| Categoría | Etiqueta que clasifica el riesgo. Agrupa los riesgos para la gobernanza y los informes específicos. Use categorías como cumplimiento normativo, seguridad, costo, operaciones, inteligencia artificial o administración de recursos. |
| Description | Una breve descripción específica del riesgo. Explica la amenaza, los recursos afectados y el ámbito. Indique el riesgo en una oración e incluya la causa o el punto de entrada. |
| Probabilidad | Probabilidad anual de que se produzca el riesgo. Admite la priorización cuantitativa y la comparación. Use un porcentaje (0%–100%) o una etiqueta cualitativa (Baja, Media, Alta). |
| Impacto | Consecuencia de la organización si se produce el riesgo. Informa sobre el esfuerzo de corrección y la estimación de costos. Utilice una estimación monetaria o una etiqueta cualitativa (Baja, Media, Alta) y documente la base de la estimación. |
| Priority | Gravedad calculada que combina probabilidad e impacto. Dirige el orden de tratamiento y asignación de recursos. Use una cantidad de dólar o una etiqueta cualitativa y registre el método de cálculo (por ejemplo, probabilidad × impacto). |
| Level | Nivel de riesgo dentro de la jerarquía de riesgos. Define rutas de escalación y ámbito de gobernanza. Use Amenaza principal (nivel 1), Subrisk (nivel 2) o Controlador de riesgo (nivel 3). |
| Estrategia de administración | El enfoque elegido para controlar el riesgo. Define la acción principal y el resultado esperado. Use acciones como Mitigar, Aceptar, Evitar o Transferir y explicar la justificación de la elección. |
| Aplicación de la gestión | Controles y procesos que implementan la estrategia. Garantiza que la estrategia se ejecute y siga siendo eficaz. Enumere controles técnicos específicos, directivas, supervisión y cadencia de revisión. |
| Propietario | El individuo o rol responsable de administrar el riesgo. Asigna la responsabilidad y un único punto de contacto. Registre el rol o nombre del propietario, los detalles de contacto y las instrucciones de escalación. |
| Fecha de cierre | Fecha objetivo para aplicar la estrategia de gestión o cerrar el riesgo. Crea una fecha límite para la responsabilidad y el seguimiento. Establezca una fecha y actualícela cuando se cierre el riesgo o cambie el plan. |
Para obtener más información, vea Ejemplo de lista de riesgos.
4. Comunicación de los riesgos de la nube
Transmita claramente los riesgos de nube identificados al patrocinador ejecutivo y a la administración de nivel ejecutivo. El objetivo es asegurarse de que la organización prioriza los riesgos en la nube. Proporcione actualizaciones periódicas en la administración de riesgos en la nube y se comunique cuando necesite recursos adicionales para administrar los riesgos. Promover una cultura en la que administrar la administración de riesgos en la nube y la gobernanza forma parte de las operaciones diarias.
5. Revisión de los riesgos de la nube
Revise la lista de riesgos en la nube actual para asegurarse de que es válida y precisa. Las revisiones deben ser normales y también en respuesta a eventos específicos. Mantenga, actualice o quite riesgos según sea necesario. Para revisar los riesgos de la nube, siga estas recomendaciones:
Programar evaluaciones periódicas. Establezca una programación periódica para revisar y evaluar los riesgos de la nube, como trimestral, semestral o anual. Busque una frecuencia de revisión que mejor se adapte a la disponibilidad del personal, la tasa de cambios en el entorno en la nube y la tolerancia al riesgo de la organización.
Realizar revisiones basadas en eventos. Revise los riesgos en respuesta a eventos específicos, como la prevención errónea de un riesgo. Considere la posibilidad de revisar los riesgos al adoptar nuevas tecnologías, cambiar los procesos empresariales y detectar nuevos eventos de amenazas de seguridad. Considere también la posibilidad de revisar cuándo cambia la tecnología, el cumplimiento normativo y la tolerancia al riesgo de la organización.
Revise las directivas de gobernanza de la nube. Mantenga, actualice o quite las directivas de gobernanza de la nube para abordar nuevos riesgos, riesgos existentes o riesgos obsoletos. Revise la declaración de la directiva de gobernanza en la nube y la estrategia de cumplimiento de la gobernanza en la nube según sea necesario. Al quitar un riesgo, evalúe si las directivas de gobernanza de la nube asociadas a ella siguen siendo pertinentes. Consulte con las partes interesadas para quitar las directivas de gobernanza de la nube o actualizarlas para asociarlas a un nuevo riesgo.
Lista de riesgos de ejemplo
La tabla siguiente es una lista de riesgos de ejemplo, también conocida como registro de riesgos. Adapte el ejemplo para adaptarse a las necesidades y el contexto específicos del entorno en la nube de Azure de su organización.
| Id. de riesgo | Estado de administración de riesgos | Categoría de riesgo | Descripción del riesgo | Probabilidad de riesgo | Impacto en el riesgo | Prioridad de riesgo | Nivel de riesgo | Estrategia de administración de riesgos | Aplicación de la gestión de riesgos | Propietario del riesgo | Fecha de cierre de riesgos |
|---|---|---|---|---|---|---|---|---|---|---|---|
| R01 | Abierto | Cumplimiento normativo | Incumplimiento de los requisitos de datos confidenciales | 20% o intermedio | $100,000 O Alto | $20,000 O Alto | Nivel 2 | Mitigate | Use Microsoft Purview para la supervisión de datos confidenciales. Informes de cumplimiento en Microsoft Purview. |
Líder de cumplimiento | 2024-04-01 |
| R02 | Abierto | Security | Acceso no autorizado a los servicios en la nube | 30% O Elevado | $200,000 O Alto | $60.000 O Muy Alto | Nivel 1 | Mitigate | Autenticación multifactor (MFA) de Microsoft Entra ID. Revisiones mensuales de acceso para la gobernanza de identidades de Microsoft Entra. |
Líder de seguridad | 2024-03-15 |
| R03 | Abierto | Security | Administración de código no segura | 20% o intermedio | $150,000 O bien Alto | $30,000 O Alto | Nivel 2 | Mitigate | Use el repositorio de código definido. Use el patrón de cuarentena para las bibliotecas públicas. |
Jefe de desarrollador | 2024-03-30 |
| R04 | Abierto | Cost | Gasto excesivo en servicios en la nube debido al exceso de aprovisionamiento y la falta de supervisión | 40% O Elevado | 50 000 USD O medio | $20,000 O Alto | Nivel 2 | Mitigate | Establezca presupuestos y alertas para cargas de trabajo. Revise y aplique las recomendaciones de costos de Advisor. |
Líder de costos | 2024-03-01 |
| R05 | Abierto | Operations | Interrupción del servicio debido a una interrupción de la región de Azure | 25% O medio | $150,000 O bien Alto | $37,500 O Alto | Nivel 1 | Mitigate | Las cargas de trabajo críticas tienen una arquitectura activa-activa. Otras cargas de trabajo tienen una arquitectura activa-pasiva. |
Responsable de operaciones | 2024-03-20 |
| R06 | Abierto | Data | Pérdida de datos confidenciales debido a un cifrado incorrecto y la administración del ciclo de vida de los datos | 35% o Alto | $250,000 o Alto | $87,500 O muy alto | Nivel 1 | Mitigate | Aplique el cifrado en tránsito y en reposo. Establezca directivas de ciclo de vida de datos mediante herramientas de Azure. |
Líder de datos | 2024-04-10 |
| R07 | Abierto | Administración de recursos | Configuración incorrecta de los recursos en la nube que conducen a la exposición de datos y acceso no autorizado | 30% O Elevado | $100,000 O Alto | $30,000, o muy alto | Nivel 2 | Mitigate | Use la infraestructura como código (IaC). Aplique los requisitos de etiquetado mediante Azure Policy. |
Líder de recursos | 2024-03-25 |
| R08 | Abierto | AI | Modelo de inteligencia artificial que genera decisiones sesgadas debido a datos de entrenamiento no representativos | 15% O Bajo | $200,000 O Alto | $30.000 O moderadamente alto | Nivel 3 | Mitigate | Use técnicas de mitigación de filtrado de contenido. Modelos de IA de equipos de red mensualmente. |
Líder de IA | 2024-05-01 |