Risikomanagement
Das Verwalten von Risiken in unseren Rechenzentren ist ein fortlaufender Prozess. Formale Bewertungen finden während des gesamten Lebenszyklus einer Einrichtung statt. Um die Auswirkungen von physischen und ökologischen Bedrohungen für Microsoft-Rechenzentren zu erkennen und zu verringern, wird jährlich eine Beurteilung von Bedrohungen, Sicherheitsrisiken und Risikoabschätzungen (Threat, Vulnerability, and Risk Assessment, TVRA) für alle Rechenzentren durchgeführt, die Kundendaten hosten. Zusätzlich zum Microsoft Enterprise-Risikomanagement-Framework verwendet Microsoft die in den Richtlinien für das Technologie-Risikomanagement definierten Anforderungen, die im Juni 2013 von der Währungsbehörde Singapurs veröffentlicht wurden. TVRAs spiegeln Microsofts beste professionelle Einschätzung wider. Diese basiert auf akzeptierten Methoden zur Risikobewertung und den Informationen, die dem Unternehmen gegenwärtig zur Verfügung stehen.
Microsoft erleichtert den TVRA-Prozess durch die folgenden Schritte:
Risikoermittlung: TVRAs berücksichtigen ein breites Spektrum von Bedrohungsszenarien, die durch natürliche und vom Menschen geschaffene (einschließlich unfallbedingter) Gefahren entstehen. Die Ergebnisse variieren je nach Standort des Rechenzentrums, Design, Leistungsumfang und anderen Faktoren. Der TVRA wählt die Bedrohungsszenarien aus, die im TVRA-Dokument hervorgehoben werden sollen, basierend auf den Kundenanforderungen, einer unabhängigen Bewertung von Land/Region, Stadt und Standortebene der Risikoumgebung, die von Drittanbietern bereitgestellt wird, und Risikoinformationen eines Drittanbieters. Für Regionen mit mehreren Rechenzentren werden die TVRA-Bewertungen aggregiert, um eine ganzheitliche Sicht auf die physischen und umweltbedingten Bedrohungen, Schwachstellen und Risiken für die zu bewertenden Standorte zu gewährleisten.
Zu den Arten von Bedrohungsszenarien, die für TVRAs in Rechenzentren bewertet werden, gehören:
- Externe Bedrohungen – Vorfälle, die auf externe, absichtliche oder zufällige menschliche Aktivitäten zurückzuführen sind. Zum Beispiel zivile Unruhen, Terrorismus, kriminelle Aktivitäten, Diebstahl von außen, improvisierte Sprengsätze, bewaffnete Angriffe, Brandstiftung, unbefugtes Eindringen und Flugzeugabstürze.
- Interne Bedrohungen – Vorfälle, die auf interne absichtliche oder zufällige menschliche Aktivitäten zurückzuführen sind. Zum Beispiel interner Diebstahl und Sabotage.
- Natürliche Gefahren – ein natürlicher Prozess oder ein Phänomen, das sich negativ auf Rechenzentren auswirken könnte. Zum Beispiel tropische Stürme, Wirbelstürme, Überschwemmungen, Erdrutsche, Dürre, Waldbrände, Erdbeben, vulkanische Aktivität und schwere Stürme mit Blitzen, Hagel, starken Winden oder Starkregen.
- Umweltbedrohungen : Umgebungsbedingungen, die sich negativ auf Rechenzentren auswirken könnten. Zum Beispiel Wasserstress, Hitzestress und Pandemien.
Risikoanalyse: Bedrohungen werden basierend auf einer Beurteilung ihres inhärenten Risikos bewertet; das inhärente Risiko wird als eine Funktion der inhärenten Auswirkungen einer Bedrohung und der inhärenten Wahrscheinlichkeit des Eintretens der Bedrohung bei fehlenden Verwaltungsmaßnahmen und -kontrollen berechnet. Diese Bewertungen basieren sowohl auf dem Feedback interner Fachexperten (SME) als auch auf externen Risikoindizes.
Restrisiko: Das Restrisiko wird als Maß für das verbleibende Risikoniveau nach Berücksichtigung der Wirksamkeit der Kontrollen ermittelt. Die Effektivität von Kontrollen wird als ein Maß der aktuellen Verwaltungsmaßnahmen und -kontrollen bewertet, die Bedrohungen verhindern oder aufdecken sollen, und schätzt die Wahrscheinlichkeit ein, dass die geplanten und implementierten Kontrollen die gewünschte Wirkung erzielen. Für diese Bewertungen wird eine Aggregation von Feedback von internen Fachexperten zur Effektivität von Kontrollen für jene Standorte von Rechenzentren herangezogen, auf die sich die TVRA bezieht.
Bericht: Sobald die Bewertung abgeschlossen ist, wird ein TVRA-Bericht zur Genehmigung durch das Management und zur Unterstützung unserer allgemeinen Bemühungen im Zusammenhang mit dem Risikomanagement erstellt.
Microsoft hat sich zur kontinuierlichen Aktualisierung der Risikobewertungen und Methoden verpflichtet, um Verbesserungen zu integrieren und sich verändernde Bedingungen zu berücksichtigen. Dies hat zur Folge, dass sich unsere Analysen und Schlussfolgerungen ändern können.