Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Po utworzeniu zespołu ds. ładu następnym krokiem jest zidentyfikowanie i ocenę wszystkich znaczących zagrożeń związanych z użyciem chmury w organizacji. "Ryzyko" w tym kontekście to potencjalny niepożądany wynik, taki jak naruszenie zabezpieczeń, naruszenie zgodności, awaria usługi lub przekroczenie kosztów, co może wynikać z sposobu użycia chmury. Oceniając czynniki ryzyka, zespół ds. ładu uzyskuje informacje potrzebne do tworzenia odpowiednich zasad w następnym kroku. Ta ocena ryzyka powinna być przeprowadzana początkowo podczas ustanawiania ładu korporacyjnego, a następnie regularnie przeglądana i za każdym razem, gdy wystąpią poważne zmiany, takie jak nowe projekty, nowe zagrożenia, audity i incydenty.
1. Identyfikowanie ryzyka związanego z chmurą
Zacznij od utworzenia kompleksowej listy zagrożeń, z którymi boryka się organizacja w chmurze. Skoncentruj się na ryzyku ogólnego zastosowania, a nie na skrajnie niszowych scenariuszach. Możesz zacząć od oczywistych zagrożeń o wysokim priorytcie i rozwinąć listę w czasie.
Wyświetl listę wszystkich zasobów w chmurze. Wyświetl listę wszystkich zasobów w chmurze, aby móc kompleksowo identyfikować związane z nimi zagrożenia. Na przykład możesz użyć witryny Azure Portal, usługi Azure Resource Graph, programu PowerShell i interfejsu wiersza polecenia platformy Azure, aby wyświetlić wszystkie zasoby w subskrypcji.
Odnajdywanie zagrożeń związanych z chmurą. Opracuj stabilny wykaz ryzyka, aby kierować zasadami ładu w chmurze. Aby zapobiec częstym korektom, skup się na ogólnym ryzyku związanym z chmurą, a nie na ryzyku unikatowym dla określonego obciążenia. Zacznij od wysokiego priorytetu ryzyka i opracuj bardziej kompleksową listę w czasie. Typowe kategorie ryzyka to zgodność z przepisami, zabezpieczenia, operacje, koszty, dane, zasoby i sztuczna inteligencja. Uwzględnij zagrożenia, które są unikatowe dla Organizacji, takie jak oprogramowanie firmy innej niż Microsoft, pomoc techniczna dla partnerów lub dostawcy oraz wewnętrzne kompetencje w chmurze.
Angażuj kluczowych uczestników projektu. Zbierz dane wejściowe z różnych ról organizacyjnych (IT, zabezpieczeń, prawnych, finansowych i biznesowych), aby wziąć pod uwagę wszystkie potencjalne zagrożenia. Takie podejście do współpracy zapewnia całościowy widok zagrożeń związanych z chmurą.
Weryfikowanie ryzyka. Skontaktuj się z ekspertami zewnętrznymi, którzy mają głębokie zrozumienie identyfikacji ryzyka w chmurze, aby przejrzeć i zweryfikować listę ryzyka. Ci eksperci mogą być zespołami kont Microsoft lub wyspecjalizowanymi partnerami firmy Microsoft. Ich wiedza pomaga potwierdzić identyfikację wszystkich potencjalnych zagrożeń i zwiększa dokładność oceny ryzyka.
Ułatwienia na platformie Azure: identyfikowanie zagrożeń związanych z chmurą
Poniższe wskazówki ułatwiają identyfikowanie zagrożeń związanych z chmurą na platformie Azure. Zawiera przykładowy punkt wyjścia dla głównych kategorii ładu w chmurze. Platforma Azure może pomóc zautomatyzować część procesu znajdowania zagrożeń. Użyj narzędzi platformy Azure, takich jak Azure Advisor, Microsoft Defender for Cloud, Azure Policy, Azure Service Health i Microsoft Purview.
Identyfikowanie czynników ryzyka zgodności z przepisami. Identyfikowanie ryzyka niezgodności z ramami prawnymi i regulacyjnymi wpływającymi na dane oraz operacje w chmurze. Poznaj wymagania prawne twojej branży. Aby rozpocząć, użyj dokumentacji dotyczącej zgodności platformy Azure .
Identyfikowanie zagrożeń bezpieczeństwa. Zidentyfikuj zagrożenia i luki w zabezpieczeniach, które zagrażają poufności, integralności i dostępności środowiska chmury. Użyj platformy Azure, aby ocenić stan zabezpieczeń chmury i wykryć zagrożenia związane z tożsamością.
Identyfikowanie ryzyka związanego z kosztami. Identyfikowanie czynników ryzyka związanych z kosztami zasobów w chmurze. Czynniki ryzyka związane z kosztami obejmują nadmierną aprowizację, niedostateczną aprowizację, niedostateczne wykorzystanie i nieoczekiwane koszty związane z opłatami za transfer danych lub skalowaniem usług. Użyj oceny kosztów , aby zidentyfikować ryzyko kosztów. Użyj platformy Azure, aby oszacować koszty za pomocą kalkulatora cen platformy Azure. Analizowanie i prognozowanie kosztów bieżących zasobów. Zidentyfikuj nieoczekiwane zmiany kosztów chmury.
Identyfikowanie ryzyka związanego z operacjami. Identyfikowanie zagrożeń, które zagrażają ciągłości operacji w chmurze, takich jak przestoje i utrata danych. Użyj narzędzi platformy Azure, aby zidentyfikować zagrożenia związane z niezawodnością i wydajnością.
Identyfikowanie ryzyka związanego z danymi. Identyfikowanie czynników ryzyka związanych z zarządzaniem danymi w chmurze. Rozważ niewłaściwą obsługę danych i wad zarządzania cyklem życia danych. Użyj narzędzi platformy Azure, aby ułatwić identyfikowanie zagrożeń związanych z danymi i eksplorowanie zagrożeń dla poufnych danych.
Identyfikowanie zagrożeń związanych z zarządzaniem zasobami. Identyfikowanie zagrożeń wynikających z aprowizacji, wdrażania, konfiguracji i zarządzania zasobami w chmurze. Identyfikowanie zagrożeń dla doskonałości operacyjnej.
Identyfikowanie zagrożeń związanych ze sztuczną inteligencją. Regularnie czerwone modele językowe zespołu. Ręcznie przetestuj systemy sztucznej inteligencji i uzupełnij testy ręczne za pomocą zautomatyzowanych narzędzi do identyfikacji ryzyka dla sztucznej inteligencji. Poszukaj typowych niepowodzeń interakcji między ludźmi a sztuczną inteligencją. Rozważ ryzyko związane z użyciem, dostępem i danymi wyjściowymi systemów sztucznej inteligencji. Przejrzyj zasady odpowiedzialnej sztucznej inteligencji i modelu dojrzałości odpowiedzialnego AI.
2. Analizowanie ryzyka związanego z chmurą
Przypisz klasyfikację jakościową lub ilościową do każdego ryzyka, aby można było określić ich priorytety według ważności. Priorytetyzacja ryzyka łączy prawdopodobieństwo ryzyka i wpływ na ryzyko. Preferuj analizę ryzyka ilościowego nad jakościową w celu bardziej precyzyjnej priorytetyzacji ryzyka. Aby przeanalizować ryzyko związane z chmurą, wykonaj następujące strategie:
Ocena prawdopodobieństwa ryzyka
Oszacowanie ilościowego lub jakościowego prawdopodobieństwa wystąpienia każdego ryzyka na rok. Użyj zakresu procentowego (0%-100%), aby reprezentować roczne, ilościowe prawdopodobieństwo ryzyka. Niskie, średnie i wysokie są typowymi etykietami dla prawdopodobieństwa ryzyka jakościowego. Aby ocenić prawdopodobieństwo ryzyka, wykonaj następujące zalecenia:
Użyj publicznych testów porównawczych. Użyj danych z raportów, badań lub umów dotyczących poziomu usług (SLA), które dokumentują typowe zagrożenia i ich wskaźniki występowania.
Analizowanie danych historycznych. Zapoznaj się z wewnętrznymi raportami zdarzeń, dziennikami inspekcji i innymi rekordami, aby określić, jak często wystąpiły podobne zagrożenia w przeszłości.
Skuteczność kontroli testów. Aby zminimalizować ryzyko, oceń skuteczność bieżących mechanizmów kontroli ograniczania ryzyka. Rozważ przejrzenie wyników testów kontrolnych, wyników inspekcji i metryk wydajności.
Określanie wpływu na ryzyko
Oszacowanie ilościowego lub jakościowego wpływu ryzyka występującego w organizacji. Kwota pieniężna jest typowym sposobem reprezentowania wpływu na ryzyko ilościowe. Niskie, średnie i wysokie są typowymi etykietami dla wpływu ryzyka jakościowego. Aby określić wpływ na ryzyko, wykonaj następujące zalecenia:
Przeprowadzanie analizy finansowej. Oszacowanie potencjalnej utraty finansowej ryzyka przez przyjrzenie się czynnikom, takim jak koszt przestoju, opłaty prawne, grzywny i koszty działań korygacyjnych.
Przeprowadzanie oceny wpływu reputacji. Użyj ankiet, badań rynkowych lub danych historycznych dotyczących podobnych zdarzeń, aby oszacować potencjalny wpływ na reputację organizacji.
Przeprowadzanie analizy zakłóceń operacyjnych. Oceń zakres zakłóceń operacyjnych, szacując przestój, utratę wydajności i koszt alternatywnych ustaleń.
Ocena skutków prawnych. Oszacować potencjalne koszty prawne, grzywny i sankcje związane z niezgodnością lub naruszeniami.
Obliczanie priorytetu ryzyka
Przypisz priorytet ryzyka do każdego ryzyka. Priorytet ryzyka to znaczenie przypisywane ryzyku, dzięki czemu wiesz, czy traktować je z wysoką, średnią, lub niską pilnością. Wpływ na ryzyko jest ważniejszy niż prawdopodobieństwo ryzyka, ponieważ ryzyko wysokiego wpływu może mieć trwałe konsekwencje. Zespół ds. ładu musi używać spójnej metodologii w całej organizacji, aby ustalić priorytety ryzyka. Aby obliczyć priorytet ryzyka, wykonaj następujące zalecenia:
Użyj macierzy ryzyka na potrzeby ocen jakościowych. Utwórz macierz, aby przypisać priorytet ryzyka jakościowego do każdego ryzyka. Jedna oś macierzy reprezentuje prawdopodobieństwo ryzyka (wysokie, średnie, niskie), a druga reprezentuje wpływ na ryzyko (wysoki, średni, niski). Poniższa tabela zawiera przykładową macierz ryzyka:
Niski wpływ Średni wpływ Duży wpływ Niskie prawdopodobieństwo Bardzo niskie Umiarkowanie niski Umiarkowanie wysoki Średnie prawdopodobieństwo Low Średni High Wysokie prawdopodobieństwo Średni High Bardzo wysoki Użyj formuł do oceny ilościowej. Użyj następującego obliczenia jako punktu odniesienia: priorytet ryzyka = prawdopodobieństwo ryzyka x wpływ ryzyka. Dostosuj wagę zmiennych zgodnie z potrzebami, aby dostosować wyniki priorytetu ryzyka. Można na przykład położyć większy nacisk na wpływ na ryzyko przy użyciu tej formuły: priorytet ryzyka = prawdopodobieństwo ryzyka x (wpływ ryzyka x 1,5).
Przypisywanie poziomu ryzyka
Kategoryzuj każde ryzyko na jeden z trzech poziomów: główne zagrożenia (poziom 1), podrysy (poziom 2) i czynniki ryzyka (poziom 3). Poziomy ryzyka umożliwiają zaplanowanie odpowiedniej strategii zarządzania ryzykiem i przewidywanie przyszłych wyzwań. Poziom 1 zagraża organizacji lub technologii. Poziom 2 ryzyka spada poniżej poziomu 1 ryzyka. Poziom 3 ryzyka to trendy, które mogą potencjalnie zakończyć się co najmniej jednym ryzykiem na poziomie 1 lub 2. Rozważmy na przykład niezgodność z przepisami dotyczącymi ochrony danych (poziom 1), niewłaściwymi konfiguracjami magazynu w chmurze (poziom 2) i zwiększeniem złożoności wymagań prawnych (poziom 3).
Określanie strategii zarządzania ryzykiem
Dla każdego ryzyka należy zidentyfikować odpowiednie opcje leczenia ryzyka, takie jak unikanie, ograniczanie, przenoszenie lub akceptowanie ryzyka. Podaj wyjaśnienie wyboru. Jeśli na przykład zdecydujesz się zaakceptować ryzyko, ponieważ koszt jego łagodzenia jest zbyt kosztowny, należy udokumentować to uzasadnienie w przyszłości.
Przypiszcie właścicieli ryzyka
Wyznaczanie podstawowego właściciela ryzyka dla każdego ryzyka. Właściciel ryzyka ponosi odpowiedzialność za zarządzanie każdym ryzykiem. Ta osoba koordynuje strategię zarządzania ryzykiem w każdym zaangażowanym zespole i jest początkowym punktem kontaktu w celu eskalacji ryzyka.
3. Dokumentowanie ryzyka związanego z chmurą
Dokumentowanie każdego ryzyka i szczegółów analizy ryzyka. Utwórz listę czynników ryzyka (rejestr ryzyka), który zawiera wszystkie informacje potrzebne do identyfikowania, kategoryzowania, określania priorytetów i zarządzania ryzykiem. Opracuj ustandaryzowany język dokumentacji ryzyka, aby wszyscy mogli łatwo zrozumieć czynniki ryzyka chmury. Rozważ uwzględnienie następujących elementów:
| (No changes needed) | Description |
|---|---|
| identyfikator | Unikatowy identyfikator każdego ryzyka. Zapewnia możliwość śledzenia i proste odniesienie. Użyj etykiety sekwencyjnej (na przykład R01, R02); zwiększa sekwencję podczas dodawania ryzyka i pozostawiania luk w przypadku usunięcia ryzyka lub ponownego numerowania tylko wtedy, gdy jest to konieczne. |
| Stan zarządzania | Bieżący stan ryzyka. Wyjaśnia, czy ryzyko wymaga działania. Użyj polecenia "Otwórz" lub "Zamknięte" i zaktualizuj stan natychmiast po zmianie. |
| Kategoria | Etykieta, która klasyfikuje ryzyko. Grupuje ryzyko związane z ukierunkowanym ładem i raportowaniem. Użyj kategorii, takich jak zgodność z przepisami, zabezpieczenia, koszty, operacje, sztuczna inteligencja lub zarządzanie zasobami. |
| Description | Krótki, szczegółowy opis ryzyka. Wyjaśniono w nim zagrożenie, zasoby, których dotyczy problem i zakres. Podaj ryzyko w jednym zdaniu i uwzględnij przyczynę lub punkt wejścia. |
| Prawdopodobieństwo | Roczne prawdopodobieństwo wystąpienia ryzyka. Obsługiwane jest priorytetyzowanie ilościowe i porównywanie. Użyj wartości procentowej (0%–100%) lub etykiety jakościowej (Niska, Średnia, Wysoka). |
| Wpływ | Konsekwencje dla organizacji, jeśli wystąpi ryzyko. Informuje o wysiłkach naprawczych i szacowaniu kosztów. Użyj oszacowania pieniężnego lub etykiety jakościowej (Low, Medium, High) i udokumentowaj podstawę oszacowania. |
| Priority | Obliczona ważność, która łączy prawdopodobieństwo i wpływ. Kieruje kolejność leczenia i alokacji zasobów. Użyj wartości dolara lub etykiety jakościowej i zapisz metodę obliczania (na przykład prawdopodobieństwo × wpływ). |
| Level | Warstwa ryzyka w hierarchii ryzyka. Definiuje ścieżki eskalacji i zakres nadzoru. Użyj głównego zagrożenia (poziom 1), podryzyka (poziom 2) lub czynnika ryzyka (poziom 3). |
| Strategia zarządzania | Wybrane podejście do radzenia sobie z ryzykiem. Definiuje akcję podstawową i oczekiwany wynik. Użyj akcji, takich jak Ograniczenia, Akceptacja, Unikanie lub Przenoszenie, i wyjaśnij uzasadnienie wyboru. |
| Egzekwowanie zarządzania | Kontrolki i procesy implementujące strategię. Gwarantuje to, że strategia jest wykonywana i pozostaje skuteczna. Lista określonych mechanizmów kontroli technicznych, zasad, monitorowania i cykli przeglądu. |
| Właściciel | Osoba lub rola do odpowiedzialności za zarządzanie ryzykiem. Przypisuje odpowiedzialność i pojedynczy punkt kontaktu. Zarejestruj rolę lub nazwę właściciela, szczegóły kontaktowe i instrukcje eskalacji. |
| Data zamknięcia | Data docelowa stosowania strategii zarządzania lub zamykania ryzyka. Ustanawia termin dla rozliczeń i śledzenia. Ustaw datę i zaktualizuj ją, gdy ryzyko zostanie zakończone lub plan się zmieni. |
Aby uzyskać więcej informacji, zobacz Przykład listy ryzyka.
4. Komunikowanie ryzyka związanego z chmurą
Wyraźnie przekaż zidentyfikowane zagrożenia w chmurze sponsorowi wykonawczemu i zarządzaniu na poziomie kierownictwa. Celem jest zapewnienie, że organizacja priorytetowo określa ryzyko związane z chmurą. Zapewnianie regularnych aktualizacji zarządzania ryzykiem w chmurze i komunikowanie się, gdy potrzebne są dodatkowe zasoby do zarządzania ryzykiem. Promowanie kultury, w której zarządzanie ryzykiem w chmurze i zarządzanie nim jest częścią codziennych operacji.
5. Przegląd zagrożeń związanych z chmurą
Przejrzyj bieżącą listę ryzyka chmury, aby upewnić się, że jest ona prawidłowa i dokładna. Przeglądy powinny być regularne, a także w odpowiedzi na określone zdarzenia. Zachowaj, zaktualizuj lub usuń zagrożenia zgodnie z potrzebami. Aby przejrzeć ryzyko związane z chmurą, postępuj zgodnie z następującymi zaleceniami:
Zaplanuj regularne oceny. Ustaw cykliczny harmonogram, aby przeglądać i oceniać ryzyka chmurowe, takie jak kwartalne, półroczne lub roczne. Znajdź częstotliwość przeglądu, która najlepiej uwzględnia dostępność personelu, szybkość zmian w środowisku chmury i tolerancję ryzyka organizacyjnego.
Przeprowadzanie przeglądów opartych na zdarzeniach. Przejrzyj ryzyka w odpowiedzi na określone zdarzenia, takie jak nieudane zapobieganie ryzyku. Podczas wdrażania nowych technologii, zmieniania procesów biznesowych i odnajdywania nowych zdarzeń zagrożeń bezpieczeństwa należy rozważyć przegląd zagrożeń. Należy również rozważyć przegląd zmian dotyczących technologii, zgodności z przepisami i tolerancji ryzyka organizacyjnego.
Przejrzyj zasady ładu w chmurze. Zachowaj, zaktualizuj lub usuń zasady ładu w chmurze, aby sprostać nowym zagrożeniom, istniejącym zagrożeniom lub nieaktualnym zagrożeniom. Zapoznaj się z instrukcjami zasad ładu w chmurze i strategią wymuszania ładu w chmurze zgodnie z potrzebami. Po usunięciu ryzyka należy ocenić, czy skojarzone z nim zasady ładu w chmurze są nadal istotne. Skontaktuj się z uczestnikami projektu, aby usunąć zasady ładu w chmurze lub zaktualizować zasady, aby skojarzyć je z nowym ryzykiem.
Przykładowa lista ryzyka
Poniższa tabela zawiera przykładową listę ryzyka, znaną również jako rejestr ryzyka. Dostosuj przykład, aby odpowiadał konkretnym potrzebom i kontekstowi środowiska chmury platformy Azure w organizacji.
| Identyfikator ryzyka | Stan zarządzania ryzykiem | Kategoria ryzyka | Opis czynnika ryzyka | Prawdopodobieństwo ryzyka | Wpływ na ryzyko | Priorytet ryzyka | Poziom ryzyka | Strategia zarządzania ryzykiem | Wymuszanie zarządzania ryzykiem | Właściciel ryzyka | Data zamknięcia ryzyka |
|---|---|---|---|---|---|---|---|---|---|---|---|
| R01 | Otwórz | Zgodność z przepisami | Niezgodność z wymaganiami dotyczącymi danych poufnych | 20% LUB średni | $100,000 LUB Wpływ | $20,000 lub wysoko | Poziom 2 | Mitigate | Użyj usługi Microsoft Purview do monitorowania danych poufnych. Raportowanie zgodności w usłudze Microsoft Purview. |
Główny lider zgodności | 2024-04-01 |
| R02 | Otwórz | Zabezpieczenia | Nieautoryzowany dostęp do usług w chmurze | 30% LUB wysoki | $200,000 OR Wysoki | $60,000 OR Bardzo wysoki | Poziom 1 | Mitigate | Microsoft Entra ID uwierzytelnianie wieloskładnikowe (MFA). Miesięczne przeglądy dostępu Microsoft Entra ID Governance. |
Główny lider zabezpieczeń | 2024-03-15 |
| R03 | Otwórz | Zabezpieczenia | Niezabezpieczone zarządzanie kodem | 20% LUB średni | $150,000 LUB Wysoki | $30,000 LUB Wysoki | Poziom 2 | Mitigate | Użyj zdefiniowanego repozytorium kodu. Użyj wzorca kwarantanny dla bibliotek publicznych. |
Lider zespołu deweloperskiego | 2024-03-30 |
| R04 | Otwórz | Koszt | Nadmierne wydatki na usługi w chmurze z powodu nadmiernej aprowizacji i braku monitorowania | 40% LUB wysoki | $50,000 OR Średni | $20,000 LUB Wysoki | Poziom 2 | Mitigate | Ustaw budżety i alerty dla zadań. Przejrzyj i zastosuj zalecenia dotyczące kosztów usługi Advisor. |
Przewaga kosztowa | 2024-03-01 |
| R05 | Otwórz | Operations | Przerwy w działaniu usługi z powodu awarii w regionie świadczenia usługi Azure | 25% LUB średni | $150,000 LUB Wysoki | $37,500 LUB Wysoki | Poziom 1 | Mitigate | Obciążenia o znaczeniu krytycznym mają architekturę aktywne-aktywne. Inne obciążenia mają architekturę aktywne-pasywne. |
Lider operacji | 2024-03-20 |
| R06 | Otwórz | Dane | Utrata poufnych danych z powodu nieprawidłowego szyfrowania i zarządzania cyklem życia danych | 35% LUB wysoki | $250,000 LUB Wysoki | $87,500 OR Bardzo wysoki | Poziom 1 | Mitigate | Stosuj szyfrowanie podczas przesyłania i w spoczynku. Ustanów zasady cyklu życia danych przy użyciu narzędzi platformy Azure. |
Lider danych | 2024-04-10 |
| R07 | Otwórz | Zarządzanie zasobami | Błędna konfiguracja zasobów w chmurze prowadząca do nieautoryzowanego dostępu i ujawnienia danych | 30% LUB wysoki | $100,000 LUB Wpływ | $30,000 OR Bardzo wysoki | Poziom 2 | Mitigate | Użyj infrastruktury jako kodu (IaC). Wymuszanie wymagań dotyczących tagowania przy użyciu usługi Azure Policy. |
Lider zasobów | 2024-03-25 |
| R08 | Otwórz | AI | Model sztucznej inteligencji tworzącego stronnicze decyzje z powodu niereprezentatywnych danych treningowych | 15% LUB niski poziom | $200,000 OR Wysoki | $30,000 OR Umiarkowanie wysoki | Poziom 3 | Mitigate | Użyj technik ograniczania ryzyka filtrowania zawartości. Modele sztucznej inteligencji zespołu czerwonego co miesiąc. |
lider AI | 2024-05-01 |