Programa de administración de riesgos de Microsoft 365
El propósito del programa De administración de riesgos de Microsoft 365 es identificar, evaluar y administrar los riesgos para Microsoft 365. La prioridad principal de Microsoft es identificar y abordar de forma proactiva los riesgos que podrían afectar a nuestra infraestructura de servicio, así como a nuestros clientes, sus datos y su confianza. Además, es necesario un sólido programa de gestión de riesgos para cumplir las obligaciones contractuales y mantener las acreditaciones públicas en las que nuestros clientes confían para satisfacer sus propios requisitos de cumplimiento. Aunque el programa de administración de riesgos de Microsoft 365 funciona de forma independiente, se alinea con las directivas, prioridades y metodologías del programa de administración de riesgos empresariales (ERM) global. Trabajar con el programa ERM permite una comparación coherente entre unidades de negocio y grupos de ingeniería, lo que contribuye a un enfoque más coherente para la administración de riesgos en toda la empresa.
El equipo de Confianza de Microsoft 365 es responsable de administrar el programa De administración de riesgos de Microsoft 365 y de llevar a cabo las actividades definidas por el programa ERM. El equipo de Confianza se centra en integrar el marco de administración de riesgos con el proceso existente de ingeniería, operaciones de servicio y cumplimiento de Microsoft 365 para que el programa de administración de riesgos sea más eficaz y eficaz.
El equipo de confianza también mantiene el Marco de controles de Microsoft 365, un conjunto de controles racionalizados que, cuando se implementan correctamente con actividades de compatibilidad, permite a los equipos de ingeniería cumplir con las normas y certificaciones clave. Este marco se actualiza continuamente en función de los comentarios y los resultados como parte del proceso de administración de riesgos.
Las actividades de gestión de riesgos se dividen en cuatro fases: identificación, evaluación, respuesta y supervisión e informes.
Identificación
El proceso de administración de riesgos comienza con la identificación de todos los riesgos posibles para todas las áreas de control clave, amenazas internas y externas y vulnerabilidades en el entorno de Microsoft 365. La información que guía este proceso procede de varios orígenes, como entrevistas, exámenes de vulnerabilidades, ejercicios de simulación de ataques, resultados de auditoría y actividades de administración de incidentes.
El equipo de Confianza entrevista a expertos en la materia (PYME) de varios equipos de servicio sobre los riesgos identificados anteriormente y los posibles riesgos futuros que se pueden introducir a medida que los servicios aumentan. Además, las PYME ayudan a validar la precisión y la integridad de los riesgos identificados a partir de las otras fuentes de supervisión continua.
La fase de identificación también es cuando se revisan los registros de decisiones, las excepciones activas de seguridad y cumplimiento, y el trabajo de mitigación de evaluaciones de riesgos anteriores.
Evaluación
Cada riesgo identificado se evalúa mediante tres métricas: impacto, probabilidad y deficiencia de control.
- El impacto hace referencia al daño que se produciría al servicio, la empresa o Microsoft si ese riesgo se cumpliese. El impacto en Microsoft puede incluir daños a la reputación, pérdida de clientes o implicaciones legales o de cumplimiento.
- La probabilidad define la probabilidad del riesgo potencial que se realiza y se calcula mediante el análisis de la probabilidad y la frecuencia con la que se producirá.
- La deficiencia de control mide la eficacia de los controles de mitigación implementados.
Estas métricas se usan para calcular una puntuación de riesgo que representa la gravedad de cada riesgo, que tiene en cuenta las estrategias de mitigación existentes. Los riesgos se agregan y presentan a las partes interesadas clave de cada servicio para comprobar la precisión y la integridad de la posición de riesgo de Microsoft 365.
Respuesta
Con la lista verificada de riesgos a Microsoft 365, el equipo de confianza asigna riesgos al servicio afectado para la respuesta al riesgo. Las directrices definidas ayudan a determinar la estrategia de respuesta de riesgo adecuada en función de la puntuación de riesgo y la eficacia del control. Las estrategias de respuesta a los riesgos se dividen en cuatro categorías:
- Permitir: áreas de exposición de bajo riesgo con un nivel de control bajo.
- Operar: áreas de exposición de bajo riesgo en las que los controles se consideran adecuados.
- Supervisar: áreas de exposición de alto riesgo en las que los controles se consideran adecuados y deben supervisarse para comprobar su eficacia.
- Mejorar: áreas de exposición de alto riesgo con un bajo nivel de control que son prioridades principales en el abordamiento.
El equipo de confianza se coordina con los equipos de servicio para desarrollar planes para abordar cada riesgo. El nivel de gravedad determina el nivel adecuado de revisión y aprobación para cada plan. En el caso de los riesgos que requieren acción, los procesos de errores de ingeniería existentes se usan para realizar el seguimiento, la administración y la toma de decisiones de excepciones. El uso de un proceso familiar para los equipos de ingeniería y operación hace que la respuesta al riesgo sea más eficaz y eficaz.
Supervisión e informes
Los riesgos identificados como parte de la evaluación de riesgos se supervisan y se notifican a las partes interesadas pertinentes. Las estrategias de supervisión incluyen supervisión de seguridad, revisiones periódicas de riesgos, pruebas de penetración y examen de vulnerabilidades. Estos esfuerzos de supervisión actúan como orígenes de datos para informar sobre indicadores clave de rendimiento, crear paneles y desarrollar informes formales, todos los cuales informan de decisiones de riesgo futuras.
Varias veces al año, el equipo de confianza se reúne con los propietarios de riesgos de cada servicio para revisar las puntuaciones de riesgo, evaluar la eficacia de sus planes de acción y realizar actualizaciones cuando sea necesario. Además, las actividades de evaluación de riesgos de Microsoft 365 contribuyen a las evaluaciones de riesgos empresariales del programa ERM, que proporcionan una visión general de alto nivel de la posición de riesgo de Microsoft para la administración sénior de Microsoft y el programa ERM.