Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Depois que a equipe de governança estiver em vigor, a próxima etapa é identificar e avaliar todos os riscos significativos associados ao uso da nuvem pela sua organização. Um "risco" nesse contexto é qualquer resultado indesejado potencial, como uma violação de segurança, violação de conformidade, interrupção de serviço ou sobrecarga de custos, que pode resultar de como a nuvem é usada. Ao avaliar os riscos, a equipe de governança obtém as informações necessárias para criar políticas relevantes na próxima etapa. Essa avaliação de risco deve ser realizada inicialmente durante a configuração de governança e, em seguida, revisitada regularmente e sempre que ocorrerem grandes alterações, como novos projetos, novas ameaças, auditorias e incidentes.
1. Identificar riscos de nuvem
Comece compilando uma lista abrangente de riscos que a organização enfrenta na nuvem. Concentre-se nos riscos de aplicabilidade geral em vez de cenários extremamente de nicho. Você pode começar com riscos óbvios de alta prioridade e expandir a lista ao longo do tempo.
Listar todos os ativos de nuvem. Liste todos os seus ativos de nuvem para que você possa identificar de forma abrangente os riscos associados a eles. Por exemplo, você pode usar o portal do Azure, o Azure Resource Graph, o PowerShell e a CLI do Azure para exibir todos os recursos em uma assinatura.
Descubra os riscos de nuvem. Desenvolva um catálogo de riscos estável para orientar políticas de governança de nuvem. Para evitar ajustes frequentes, concentre-se em riscos gerais na nuvem, não em riscos exclusivos de uma carga de trabalho específica. Comece com riscos de alta prioridade e desenvolva uma lista mais abrangente ao longo do tempo. Categorias comuns de risco são conformidade regulatória, segurança, operações, custo, dados, recursos e IA. Inclua riscos exclusivos para sua organização, como software não Microsoft, suporte de parceiros ou fornecedores, e competências de nuvem internas.
Envolva os principais stakeholders. Reúna informações de diversas funções organizacionais (TI, segurança, jurídico, finanças e unidades de negócios) para considerar todos os riscos potenciais. Essa abordagem colaborativa garante uma visão holística dos riscos relacionados à nuvem.
Verifique os riscos. Envolva especialistas externos que possuem uma compreensão profunda da identificação de risco de nuvem para revisar e validar sua lista de riscos. Esses especialistas podem ser equipes de conta da Microsoft ou parceiros especializados da Microsoft. Sua experiência ajuda a confirmar a identificação de todos os riscos potenciais e aprimora a precisão de sua avaliação de risco.
Facilitação do Azure: identificando riscos de nuvem
As diretrizes a seguir servem para ajudá-lo a identificar os riscos de nuvem no Azure. Ele fornece um ponto de partida de exemplo para as principais categorias de governança de nuvem. O Azure pode ajudar a automatizar parte do processo de localização de riscos. Use ferramentas do Azure, como o Assistente do Azure, o Microsoft Defender para Nuvem, o Azure Policy, o Azure Service Health e o Microsoft Purview.
Identifique os riscos de conformidade regulatória. Identifique os riscos de não conformidade com estruturas legais e regulatórias que afetam os dados e as operações de nuvem. Conheça os requisitos regulatórios do seu setor. Use a documentação de conformidade do Azure para iniciar.
Identifique os riscos de segurança. Identificar ameaças e vulnerabilidades que colocam em risco a confidencialidade, a integridade e a disponibilidade do ambiente de nuvem. Use o Azure para avaliar sua postura de segurança na nuvem e detectar riscos de identidade.
Identifique os riscos de custo. Identifique os riscos relacionados aos custos dos recursos de nuvem. Os riscos relacionados a custos incluem sobreprovisionamento, subprovisionamento, subutilização e custos inesperados de taxas de transferência de dados ou dimensionamento de serviços. Use uma avaliação de custo para identificar o risco de custo. Use o Azure para estimar os custos com a calculadora de preços do Azure. Analisar e prever custos em recursos atuais. Identificar alterações inesperadas nos custos de nuvem.
Identificar riscos de operações. Identifique os riscos que ameaçam a continuidade das operações de nuvem, como tempo de inatividade e perda de dados. Use as ferramentas do Azure para identificar riscos à confiabilidade e ao desempenho.
Identifique os riscos de dados. Identifique os riscos relacionados ao gerenciamento de dados na nuvem. Considere o tratamento inadequado de dados e falhas no gerenciamento do ciclo de vida de dados. Use as ferramentas do Azure para ajudar a identificar riscos de dados e explorar riscos para dados confidenciais.
Identifique os riscos de gerenciamento de recursos. Identifique os riscos decorrentes do provisionamento, implantação, configuração e gerenciamento de recursos de nuvem. Identificar riscos à excelência operacional.
Identifique os riscos de IA. Modelos de linguagem de equipe regularmente vermelhos. Teste manualmente sistemas de IA e complemente testes manuais com ferramentas automatizadas de identificação de risco para IA. Procure falhas comuns de interação entre IA e humanos. Considere os riscos associados ao uso, ao acesso e à saída de sistemas de IA. Examine os princípios da IA responsável e do modelo de maturidade de IA responsável.
2. Analisar riscos de nuvem
Atribua uma classificação qualitativa ou quantitativa a cada risco para que você possa priorizá-los por severidade. A priorização de risco combina probabilidade de risco e impacto de risco. Prefira a análise de risco quantitativo em vez de qualitativa para priorização de risco mais precisa. Para analisar os riscos de nuvem, siga estas estratégias:
Avaliar a probabilidade de risco
Estimar a probabilidade quantitativa ou qualitativa de cada risco que ocorre por ano. Use um intervalo percentual (0%-100%) para representar a probabilidade de risco quantitativo anual. Baixo, médio e alto são rótulos comuns para probabilidade de risco qualitativo. Para avaliar a probabilidade de risco, siga estas recomendações:
Use parâmetros de comparação públicos. Use dados de relatórios, estudos ou SLAs (contratos de nível de serviço) que documentam riscos comuns e suas taxas de ocorrência.
Analisar dados históricos. Examine os relatórios de incidentes internos, os logs de auditoria e outros registros para identificar com que frequência ocorreram riscos semelhantes no passado.
Testar a eficácia do controle. Para minimizar os riscos, avalie a eficácia dos controles atuais de mitigação de risco. Considere revisar os resultados do teste de controle, as descobertas de auditoria e as métricas de desempenho.
Determinar o impacto do risco
Estimar o impacto quantitativo ou qualitativo do risco que ocorre na organização. Um valor monetário é uma maneira comum de representar o impacto do risco quantitativo. Baixo, médio e alto são rótulos comuns para impacto de risco qualitativo. Para determinar o impacto do risco, siga estas recomendações:
Realizar análise financeira. Estimar a potencial perda financeira de um risco examinando fatores como o custo do tempo de inatividade, taxas legais, multas e o custo dos esforços de correção.
Conduzir avaliação de impacto de reputação. Use pesquisas, pesquisas de mercado ou dados históricos sobre incidentes semelhantes para estimar o impacto potencial na reputação da organização.
Realize a análise de interrupção operacional. Avalie a extensão da interrupção operacional estimando o tempo de inatividade, a perda de produtividade e o custo de arranjos alternativos.
Avalie as implicações legais. Estimar possíveis custos legais, multas e penalidades associadas à não conformidade ou violações.
Calcular prioridade de risco
Atribua uma prioridade de risco a cada risco. A prioridade de risco é a importância que você atribui a um risco para que você saiba se deve tratar o risco com alta, média ou baixa urgência. O impacto no risco é mais importante do que a probabilidade de risco, pois um risco de alto impacto pode ter consequências duradouras. A equipe de governança deve usar uma metodologia consistente em toda a organização para priorizar o risco. Para calcular a prioridade de risco, siga estas recomendações:
Use uma matriz de risco para avaliações qualitativas. Crie uma matriz para atribuir uma prioridade de risco qualitativa a cada risco. Um eixo da matriz representa a probabilidade de risco (alta, média, baixa) e o outro representa o impacto de risco (alto, médio, baixo). A tabela a seguir fornece uma matriz de risco de exemplo:
Baixo impacto Impacto médio Alto impacto Baixa probabilidade Muito baixo Moderadamente baixo Moderadamente alto Probabilidade média Low Medium High Alta probabilidade Medium High Muito alto Use fórmulas para avaliações quantitativas. Use o seguinte cálculo como linha de base: prioridade de risco = probabilidade de risco x impacto de risco. Ajuste o peso das variáveis conforme necessário para adaptar os resultados da prioridade de risco. Por exemplo, você poderia dar mais ênfase ao impacto do risco com essa fórmula: prioridade de risco = probabilidade de risco x (impacto de risco x 1,5).
Atribuir um nível de risco
Categorize cada risco em um dos três níveis: riscos principais (nível 1), subrisco (nível 2) e drivers de risco (nível 3). Os níveis de risco permitem planejar uma estratégia de gerenciamento de risco apropriada e prever desafios futuros. Os riscos de nível 1 ameaçam a organização ou a tecnologia. Os riscos de nível 2 estão abaixo do risco de nível 1. Os riscos de nível 3 são tendências que podem potencialmente culminar em um ou mais riscos de nível 1 ou nível 2. Por exemplo, considere a não conformidade com as leis de proteção de dados (nível 1), configurações inadequadas de armazenamento em nuvem (nível 2) e a complexidade crescente dos requisitos regulatórios (nível 3).
Determinar a estratégia de gerenciamento de riscos
Para cada risco, identifique as opções de tratamento de risco apropriadas, como evitar, atenuar, transferir ou aceitar o risco. Forneça uma explicação da escolha. Por exemplo, se você decidir aceitar um risco porque o custo de mitigação dele é muito caro, você deve documentar esse raciocínio para referência futura.
Atribuir gestores de risco
Designe um proprietário de risco primário para todos os riscos. O proprietário do risco tem a responsabilidade de gerenciar cada risco. Essa pessoa coordena a estratégia de gerenciamento de riscos em todas as equipes envolvidas e é o ponto inicial de contato para o escalonamento de risco.
3. Documentar riscos de nuvem
Documente cada risco e os detalhes da análise de risco. Crie uma lista de riscos (registro de risco) que contenha todas as informações necessárias para identificar, categorizar, priorizar e gerenciar riscos. Desenvolva uma linguagem padronizada para documentação de risco para que todos possam entender facilmente os riscos de nuvem. Considere incluir estes elementos:
| Campo | Description |
|---|---|
| ID | Um identificador exclusivo para cada risco. Ele garante a rastreabilidade e a referência simples. Usar um rótulo sequencial (por exemplo, R01, R02); incremente a sequência quando você adiciona um risco e deixe lacunas ao remover riscos e renumere somente quando necessário. |
| Status de gerenciamento | O status atual do risco. Ele esclarece se o risco requer ação. Use "Abrir" ou "Fechado" e atualize o status imediatamente quando ele for alterado. |
| Categoria | Um rótulo que classifica o risco. Ele agrupa riscos para uma governança e relatórios mais focados. Use categorias como conformidade regulatória, segurança, custo, operações, IA ou gerenciamento de recursos. |
| Description | Uma breve descrição específica do risco. Ele explica a ameaça, os ativos afetados e o escopo. Declare o risco em uma frase e inclua a causa ou o ponto de entrada. |
| Probabilidade | A probabilidade anual de que o risco ocorra. Ele dá suporte à priorização quantitativa e à comparação. Use uma porcentagem (0%–100%) ou um rótulo qualitativo (Baixo, Médio, Alto). |
| Impacto | A consequência para a organização se o risco ocorrer. Ele informa o esforço de correção e a estimativa de custos. Use uma estimativa monetária ou um rótulo qualitativo (Baixo, Médio, Alto) e documente a base para a estimativa. |
| Priority | A gravidade calculada que combina probabilidade e impacto. Ele direciona a ordem de tratamento e alocação de recursos. Use um valor de dólar ou um rótulo qualitativo e registre o método de cálculo (por exemplo, probabilidade × impacto). |
| Level | A camada de risco dentro da hierarquia de risco. Ele define caminhos de escalonamento e escopo de governança. Use ameaça principal (nível 1), subrisco (nível 2) ou impulsionador de risco (nível 3). |
| Estratégia de gerenciamento | A abordagem escolhida para lidar com o risco. Ele define a ação primária e o resultado esperado. Use ações como Atenuar, Aceitar, Evitar ou Transferir e explicar a lógica para a escolha. |
| Imposição de gerenciamento | Os controles e processos que implementam a estratégia. Ele garante que a estratégia seja executada e permaneça eficaz. Listar controles técnicos específicos, políticas, monitoramento e cadência de revisão. |
| Proprietário | O indivíduo ou a função responsável pelo gerenciamento do risco. Ele atribui responsabilidade e um único ponto de contato. Registre a função ou o nome do proprietário, os detalhes do contato e as instruções de escalonamento. |
| Data de encerramento | A data-alvo para aplicar a estratégia de gerenciamento ou mitigar o risco. Ele cria um prazo para prestação de contas e acompanhamento. Defina uma data e atualize-a quando o risco for encerrado ou o plano for alterado. |
Para obter mais informações, consulte o exemplo da lista de riscos.
4. Comunicar riscos de nuvem
Transmita claramente os riscos de nuvem identificados para o patrocinador executivo e o gerenciamento de nível executivo. O objetivo é garantir que a organização priorize os riscos de nuvem. Forneça atualizações regulares sobre o gerenciamento de riscos de nuvem e comunique-se quando precisar de recursos extras para gerenciar riscos. Promova uma cultura em que o gerenciamento de gerenciamento e governança de riscos de nuvem faz parte das operações diárias.
5. Examinar os riscos de nuvem
Examine a lista de riscos de nuvem atual para garantir que ela seja válida e precisa. As revisões devem ser regulares e também em resposta a eventos específicos. Manter, atualizar ou remover riscos conforme necessário. Para examinar os riscos de nuvem, siga estas recomendações:
Agende avaliações regulares. Defina um agendamento recorrente para examinar e avaliar os riscos de nuvem, como trimestral, semestral ou anual. Encontre uma frequência de revisão que melhor acomode a disponibilidade de pessoal, a taxa de alterações no ambiente de nuvem e a tolerância a riscos organizacionais.
Realize revisões baseadas em eventos. Examine os riscos em resposta a eventos específicos, como a prevenção com falha de um risco. Considere revisar os riscos ao adotar novas tecnologias, alterar processos de negócios e descobrir novos eventos de ameaças à segurança. Considere também a revisão quando a tecnologia, a conformidade regulatória e a tolerância a riscos organizacionais forem alteradas.
Examine as políticas de governança de nuvem. Mantenha, atualize ou remova políticas de governança de nuvem para resolver novos riscos, riscos existentes ou riscos desatualizados. Examine a declaração de política de governança de nuvem e a estratégia de imposição de governança de nuvem, conforme necessário. Quando você remover um risco, avalie se as políticas de governança de nuvem associadas a ele ainda são relevantes. Consulte os stakeholders para remover as políticas de governança de nuvem ou atualizar as políticas para associá-las a um novo risco.
Exemplo de lista de riscos
A tabela a seguir é uma lista de risco de exemplo, também conhecida como um registro de risco. Adapte o exemplo para atender às necessidades específicas e ao contexto do ambiente de nuvem do Azure da sua organização.
| ID do risco | Status de gerenciamento de risco | Categoria de risco | Descrição do risco | Probabilidade de risco | Impacto no risco | Prioridade de risco | Nível de risco | Estratégia de gerenciamento de riscos | Imposição de gerenciamento de riscos | Proprietário do risco | Data de fechamento do risco |
|---|---|---|---|---|---|---|---|---|---|---|---|
| R01 | Open | Conformidade normativa | Não conformidade com requisitos de dados confidenciais | 20% OU Médio | $100.000 OU Alta | $20.000 OU Alta | Nível 2 | Mitigate | Use o Microsoft Purview para monitoramento de dados confidenciais. Relatórios de conformidade no Microsoft Purview. |
Líder de conformidade | 2024-04-01 |
| R02 | Open | Segurança | Acesso não autorizado a serviços de nuvem | 30% OU Alto | $200.000 OU Alta | $60.000 OU muito alto | Nível 1 | Mitigate | MFA (autenticação multifator) do Microsoft Entra ID. Revisões mensais de acesso do Microsoft Entra ID Governance. |
Líder de segurança | 2024-03-15 |
| R03 | Open | Segurança | Gerenciamento de código inseguro | 20% OU Médio | $150.000 OU Alta | $30.000 OU Alta | Nível 2 | Mitigate | Use o repositório de código definido. Use o padrão de quarentena para bibliotecas públicas. |
Líder de Desenvolvimento | 2024-03-30 |
| R04 | Open | Custo | Gastos excessivos em serviços de nuvem devido ao excesso de provisionamento e à falta de monitoramento | 40% OU Alto | $50.000 OU Médio | $20.000 OU Alta | Nível 2 | Mitigate | Defina orçamentos e alertas para cargas de trabalho. Examine e aplique recomendações de custo do Assistente. |
Responsável por custos | 2024-03-01 |
| R05 | Open | Operations | Interrupção do serviço devido a uma falha na região do Azure | 25% OU Médio | $150.000 OU Alta | $37.500 OU Alta | Nível 1 | Mitigate | Cargas de trabalho críticas têm arquitetura ativa-ativa. Outras cargas de trabalho têm arquitetura ativa-passiva. |
Líder de Operações | 2024-03-20 |
| R06 | Open | Dados | Perda de dados confidenciais devido à criptografia inadequada e ao gerenciamento do ciclo de vida de dados | 35% OU Alto | $250.000 OU Alta | $87,500 / Muito Alto | Nível 1 | Mitigate | Aplicar criptografia em trânsito e em repouso. Estabeleça políticas de ciclo de vida de dados usando ferramentas do Azure. |
Líder de Dados | 2024-04-10 |
| R07 | Open | Gestão de recursos | Configuração incorreta de recursos de nuvem que levam ao acesso não autorizado e à exposição de dados | 30% OU Alto | $100.000 OU Alta | $30.000 OU muito alto | Nível 2 | Mitigate | Use a infraestrutura como código (IaC). Aplicar os requisitos de marcação usando o Azure Policy. |
Líder de recursos | 2024-03-25 |
| R08 | Open | IA | Modelo de IA que produz decisões tendenciosas devido a dados de treinamento não representativos | 15% OU Baixo | $200.000 OU Alta | $30.000 OU moderadamente alto | Nível 3 | Mitigate | Use técnicas de mitigação de filtragem de conteúdo. Modelos de IA da equipe vermelha mensalmente. |
Líder de IA | 2024-05-01 |