Compartir a través de


Evaluar los riesgos de la nube

En este artículo se describe cómo evaluar los riesgos asociados a la nube. Todas las tecnologías presentan ciertos riesgos para una organización. Los riesgos son resultados no deseados que podrían afectar a su negocio, como el incumplimiento de los estándares del sector. Al adoptar la nube, debe identificar los riesgos que supone la nube para su organización. El equipo de gobernanza de la nube crea directivas de gobernanza en la nube para evitar y mitigar esos riesgos. Para evaluar los riesgos de la nube, complete estas tareas.

Diagrama que muestra el proceso para configurar y mantener la gobernanza en la nube. En el diagrama se muestran cinco pasos secuenciales: crear un equipo de gobernanza de la nube, documentar directivas de gobernanza en la nube, aplicar directivas de gobernanza en la nube y supervisar la gobernanza de la nube. El primer paso se realiza una vez. Los cuatro últimos pasos se realizan una vez para configurar la gobernanza en la nube y de forma continua para mantener la gobernanza en la nube.

Identificar los riesgos de la nube

Catalogue una lista completa de riesgos de la nube. Conocer los riesgos le permite crear directivas de gobernanza en la nube que puedan evitar y mitigar esos riesgos. Para identificar los riesgos en la nube, siga estas recomendaciones:

  • Enumere todos los recursos en la nube. Enumere todos los recursos en la nube para que pueda identificar exhaustivamente los riesgos asociados a ellos. Por ejemplo, puede usar Azure Portal, Azure Resource Graph, PowerShell y la CLI de Azure para ver todos los recursos de una suscripción.

  • Descubra los riesgos de la nube. Desarrolle un catálogo de riesgos estable para guiar las directivas de gobernanza de la nube. Para evitar ajustes frecuentes, céntrese en los riesgos generales de la nube, no en los riesgos exclusivos de una carga de trabajo específica. Comience con riesgos de alta prioridad y desarrolle una lista más completa a lo largo del tiempo. Las categorías comunes de riesgo son el cumplimiento normativo, la seguridad, las operaciones, el costo, los datos, los recursos y la inteligencia artificial. Incluya riesgos únicos para su organización, como software que no sea de Microsoft, soporte técnico para asociados o proveedores, y competencias internas en la nube.

  • Implicación de las principales partes interesadas. Recopile información de diversos roles organizativos (TI, seguridad, legal, finanzas y unidades de negocio) para tener en cuenta todos los riesgos potenciales. Este enfoque colaborativo garantiza una visión integral de los riesgos relacionados con la nube.

  • Compruebe los riesgos. Póngase en contacto con expertos externos que posean un conocimiento profundo de la identificación de riesgos en la nube para revisar y validar su lista de riesgos. Estos expertos podrían ser equipos de cuentas de Microsoft o asociados especializados de Microsoft. Su experiencia ayuda a confirmar la identificación de todos los posibles riesgos y mejora la precisión de su evaluación de riesgos.

Facilitación de Azure: Identificación de riesgos en la nube

Las instrucciones siguientes están diseñadas para ayudarle a identificar los riesgos en la nube en Azure. Proporciona un punto de partida de ejemplo para las principales categorías de gobernanza de la nube. Azure puede ayudar a automatizar parte del proceso de búsqueda de riesgos. Use herramientas de Azure como Azure Advisor, Microsoft Defender for Cloud, Azure Policy, Azure Service Health y Microsoft Purview.

Analizar los riesgos de la nube

Asigne una clasificación cualitativa o cuantitativa a cada riesgo para que pueda priorizarlos por gravedad. La priorización de riesgos combina la probabilidad de riesgo y el impacto en el riesgo. Es preferible el análisis de riesgos cuantitativo al cualitativo para una priorización más precisa de los riesgos. Para analizar los riesgos de la nube, siga estas estrategias:

Evalúe la probabilidad de riesgo

Calcule la probabilidad cuantitativa o cualitativa de cada riesgo que se produzca al año. Use un intervalo de porcentajes (0 %-100 %) para representar la probabilidad de riesgo cuantitativa anual. Las etiquetas bajas, medias y altas son etiquetas comunes para la probabilidad de riesgo cualitativo. Para evaluar la probabilidad de riesgo, siga estas recomendaciones:

  • Use pruebas comparativas públicas. Use datos de informes, estudios o acuerdos de nivel de servicio (SLA) que documenten riesgos comunes y sus tasas de aparición.

  • Análisis de datos históricos. Examine los informes de incidentes internos, los registros de auditoría y otros registros para identificar la frecuencia con la que se produjeron riesgos similares en el pasado.

  • Eficacia del control de pruebas. Para minimizar los riesgos, evalúe la eficacia de los controles actuales de mitigación de riesgos. Considere la posibilidad de revisar los resultados de las pruebas de control, los resultados de auditoría y las métricas de rendimiento.

Determinar el impacto del riesgo

Calcule el impacto cuantitativo o cualitativo del riesgo que se produce en la organización. Un importe monetario es una manera común de representar el impacto cuantitativo del riesgo. Las etiquetas bajas, medias y altas son etiquetas comunes para el impacto cualitativo del riesgo. Siga estas recomendaciones para determinar el impacto del riesgo:

  • Realizar análisis financieros. Calcule la posible pérdida financiera de un riesgo examinando factores como el costo del tiempo de inactividad, los honorarios legales, las multas y el costo de los esfuerzos de corrección.

  • Llevar a cabo una evaluación de impacto de reputación. Use encuestas, investigaciones de mercado o datos históricos sobre incidentes similares para calcular el posible impacto en la reputación de la organización.

  • Realizar análisis de interrupciones operativas. Evalúe la extensión de la interrupción operativa mediante la estimación del tiempo de inactividad, la pérdida de productividad y el costo de las disposiciones alternativas.

  • Evaluar las implicaciones legales. Calcule posibles costos legales, multas y sanciones asociados a incumplimientos o infracciones.

Calcular la prioridad de riesgo

Asigne una prioridad de riesgo a cada riesgo. La prioridad de riesgo es la importancia que se asigna a un riesgo para saber si el riesgo se debe tratar con urgencia alta, media o baja. El impacto del riesgo es más importante que la probabilidad de riesgo, ya que un riesgo de alto impacto puede tener consecuencias duraderas. El equipo de gobernanza debe usar una metodología coherente en toda la organización para priorizar el riesgo. Para calcular la prioridad de riesgo, siga estas recomendaciones:

  • Use una matriz de riesgo para las evaluaciones cualitativas. Cree una matriz para asignar una prioridad de riesgo cualitativo a cada riesgo. Un eje de la matriz representa la probabilidad de riesgo (alta, media, baja) y la otra representa el impacto del riesgo (alto, medio, bajo). En la tabla siguiente se proporciona una matriz de riesgo de ejemplo:

    Impacto bajo Impacto medio Alto impacto
    Probabilidad baja Muy baja Moderadamente baja Moderadamente alta
    Probabilidad media Baja Medio Alto
    Probabilidad alta Media Alta Muy alta
  • Use fórmulas para evaluaciones cuantitativas. Use el siguiente cálculo como línea base: prioridad de riesgo = probabilidad de riesgo x impacto del riesgo. Ajuste el peso de las variables según sea necesario para adaptar los resultados de prioridad de riesgo. Por ejemplo, podría poner más énfasis en el impacto del riesgo con esta fórmula: prioridad de riesgo = probabilidad de riesgo x (impacto del riesgo x 1,5).

Asignar un nivel de riesgo

Clasifique cada riesgo en uno de los tres niveles: riesgos principales (nivel 1), subriesgos (nivel 2) y controladores de riesgo (nivel 3). Los niveles de riesgo permiten planificar una estrategia de administración de riesgos adecuada y prever desafíos futuros. Los riesgos de nivel 1 amenazan a la organización o la tecnología. Los riesgos de nivel 2 se encuentran bajo el riesgo de nivel 1. Los riesgos de nivel 3 son tendencias que podrían culminar en uno o varios riesgos de nivel 1 o nivel 2. Por ejemplo, considere la no conformidad con las leyes de protección de datos (nivel 1), las configuraciones de almacenamiento en la nube incorrectas (nivel 2) y la complejidad creciente de los requisitos normativos (nivel 3).

Determinar la estrategia de administración de riesgos

Para cada riesgo, identifique las opciones adecuadas de tratamiento de riesgos, como evitar, mitigar, transferir o aceptar el riesgo. Proporcionar una explicación de la elección. Por ejemplo, si decide aceptar un riesgo porque el costo de mitigarlo es demasiado caro, debe documentar ese razonamiento para futuras referencias.

Asignar propietarios de riesgos

Designe a un propietario de riesgo principal para cada riesgo. El propietario del riesgo tiene la responsabilidad de administrar cada riesgo. Esta persona coordina la estrategia de administración de riesgos en todos los equipos implicados y es el punto de contacto inicial para la escalación de riesgos.

Documentar los riesgos en la nube

Documente cada riesgo y los detalles del análisis de riesgos. Cree una lista de riesgos (registro de riesgos) que contenga toda la información que necesita para identificar, categorizar, clasificar por orden de prioridad y administrar riesgos. Desarrolle un lenguaje normalizado para la documentación de riesgos a fin de que todos puedan comprender fácilmente los riesgos de la nube. Considere la posibilidad de incluir estos elementos:

  • Identificador de riesgo: un identificador único para cada riesgo. Incremente el identificador secuencialmente a medida que se agregan nuevos riesgos. Si elimina riesgos, puede dejar huecos en la secuencia o rellenar los huecos de la secuencia.
  • Estado de administración de riesgos: el estado del riesgo (abierto, cerrado).
  • Categoría de riesgo: etiqueta como el cumplimiento normativo, la seguridad, el costo, las operaciones, la IA o la administración de recursos.
  • Descripción del riesgo: breve descripción del riesgo.
  • Probabilidad de riesgo: probabilidad de que se produzca el riesgo al año. Use un porcentaje o una etiqueta cualitativa.
  • Impacto del riesgo: impacto en la organización si se produce el riesgo. Use un importe monetario o una etiqueta cualitativa.
  • Prioridad de riesgo: gravedad del riesgo (probabilidad x impacto). Use un importe en dólares o una etiqueta cualitativa.
  • Nivel de riesgo: el tipo de riesgo. Use la amenaza principal (nivel 1), subriesgo (nivel 2) o controlador de riesgo (nivel 3).
  • Estrategia de administración de riesgos: el enfoque para administrar el riesgo, como mitigar, aceptar o evitar.
  • Cumplimiento de la administración de riesgos: técnicas para aplicar la estrategia de administración de riesgos.
  • Propietario del riesgo: la persona que administra el riesgo.
  • Fecha de cierre de riesgos: fecha en la que se debe aplicar la estrategia de administración de riesgos.

Para obtener más información, consulte Ejemplo de lista de riesgos.

Comunicar los riesgos de la nube

Transmita claramente los riesgos de la nube identificados al patrocinador ejecutivo y a la administración de nivel ejecutivo. El objetivo es asegurarse de que la organización prioriza los riesgos en la nube. Proporcione actualizaciones periódicas en la administración de riesgos en la nube y comuníquese cuando necesite recursos adicionales para administrar los riesgos. Promover una cultura en la que la administración de los riesgos en la nube y la gobernanza forman parte de las operaciones diarias.

Revisar los riesgos de la nube

Revise la lista de riesgos en la nube actual para asegurarse de que es válida y precisa. Las revisiones deben ser periódicas y también en respuesta a eventos específicos. Mantenga, actualice o quite los riesgos según sea necesario. Para revisar los riesgos de la nube, siga estas recomendaciones:

  • Programar evaluaciones periódicas. Establezca una programación periódica para revisar y evaluar los riesgos de la nube, como trimestral, semestral o anual. Busque la frecuencia de revisión que mejor se adapte a la disponibilidad del personal, la tasa de cambios en el entorno en la nube y la tolerancia al riesgo de la organización.

  • Realizar revisiones basadas en eventos. Revise los riesgos en respuesta a eventos específicos, como la prevención errónea de un riesgo. Considere la posibilidad de revisar los riesgos al adoptar nuevas tecnologías, cambiar los procesos empresariales y detectar nuevos eventos de amenazas de seguridad. Considere también la posibilidad de revisar cuándo cambia la tecnología, el cumplimiento normativo y la tolerancia al riesgo de la organización.

  • Revisar las directivas de gobernanza de la nube. Mantenga, actualice o quite las directivas de gobernanza de la nube para abordar nuevos riesgos, riesgos existentes o riesgos obsoletos. Revise la declaración de la directiva de gobernanza en la nube y la estrategia de cumplimiento de la gobernanza en la nube según sea necesario. Al quitar un riesgo, evalúe si las directivas de gobernanza de la nube asociadas a ellas siguen siendo pertinentes. Consulte con las partes interesadas para quitar las directivas de gobernanza de la nube o actualizarlas para asociarlas a un nuevo riesgo.

Ejemplo de lista de riesgos

La tabla siguiente es una lista de riesgos de ejemplo, también conocida como registro de riesgos. Modifique el ejemplo para adaptarse a las necesidades y el contexto específicos del entorno en la nube de Azure de su organización.

Id. de riesgo Estado de administración de riesgos Categoría de riesgo Descripción del riesgo Probabilidad de riesgo Impacto del riesgo Prioridad de riesgo Nivel de riesgo Estrategia de administración de riesgos Cumplimiento de la administración de riesgos Propietario del riesgo Fecha de cierre de riesgos
R01 Abierto Cumplimiento de normativas Incumplimiento de los requisitos de datos confidenciales 20 % O medio 100.000 $ O alto 20.000 $ O alto Nivel 2 Mitigación Use Microsoft Purview para la supervisión de datos confidenciales.
Informes de cumplimiento en Microsoft Purview.
Liderazgo de cumplimiento 01-04-2024
R02 Abierto Seguridad Acceso no autorizado a los servicios en la nube 30 % O alto 200.000 $ O alto 60.000 $ O muy alto Nivel 1 Mitigación Autenticación multifactor (MFA) en Microsoft Entra ID.
Revisiones de acceso mensuales del Gobierno de id. de Microsoft Entra.
Liderazgo de seguridad 15-03-2024
R03 Abierto Seguridad Administración de código no segura 20 % O medio 150.000 $ O alto $30.000 O alto Nivel 2 Mitigación Use el repositorio de código definido.
Use el patrón de cuarentena para las bibliotecas públicas.
Liderazgo de desarrollo 30-03-2024
R04 Abierto Costo Exceso de aprovisionamiento en los servicios en la nube por falta de aprovisionamiento y supervisión 40 % O alto $50.000 O medio $20.000 O alto Nivel 2 Mitigación Establezca presupuestos y alertas para cargas de trabajo.
Revise y aplique las recomendaciones sobre los costos de asesoramiento.
Liderazgo de costos 01-03-2024
R05 Abierto Operations Interrupción del servicio debido a una interrupción de la región de Azure 25 % O medio $150.000 O alto $37.500 O alto Nivel 1 Mitigación Las cargas de trabajo críticas tienen una arquitectura activa-activa.
Otras cargas de trabajo tienen una arquitectura activa-pasiva.
Liderazgo de operaciones 20-03-2024
R06 Abierto Datos Pérdida de datos confidenciales debido a un cifrado incorrecto y la administración del ciclo de vida de los datos 35 % O alto $250.000 O alto $87.500 O muy alto Nivel 1 Mitigación Aplique cifrado en tránsito y en reposo.
Establezca directivas de ciclo de vida de datos mediante herramientas de Azure.
Liderazgo de datos 10-04-2024
R07 Abierto Administración de recursos Configuración incorrecta de los recursos en la nube que conducen a la exposición de datos y acceso no autorizado 30 % O alto $100.000 O alto $30.000 O muy alto Nivel 2 Mitigación Uso de la infraestructura como código (IaC).
Aplicar los requisitos de etiquetas mediante Azure Policy.
Liderazgo de recursos 25-03-2024
R08 Abierto IA Modelo de IA que genera decisiones sesgadas debido a datos de entrenamiento no representativos 15 % O bajo $200.000 O alto $30.000 O moderadamente alto Nivel 3 Mitigación Usar técnicas de mitigación de filtrado de contenido.
Modelos de IA de equipo rojo mensualmente.
Liderazgo de IA 01-05-2024

Paso siguiente