Introducción a la administración de riesgos de Microsoft 365
La administración de riesgos es el proceso de identificación, evaluación y respuesta a amenazas o eventos que pueden afectar a los objetivos de la empresa o del cliente. En Microsoft, priorizamos la administración de riesgos eficaz porque una parte creciente de nuestro negocio implica servicios basados en la nube disponibles en todo el espectro de dispositivos informáticos. La administración de riesgos de Microsoft está diseñada para prever nuevas amenazas y proporcionar seguridad continua para nuestros sistemas en la nube y los clientes que los usan.
El proceso de administración de riesgos de Microsoft se alinea con el marco de administración de riesgos empresariales (ERM). ERM permite el proceso general de administración de riesgos empresariales y trabaja con la administración en toda la empresa para identificar y garantizar la responsabilidad de los riesgos más importantes de Microsoft. Nuestro programa de ERM se ajusta a la norma ISO 31000:2009 de administración de riesgos y al marco de control interno del Comité de Organizaciones Patrocinadoras (COSO) para garantizar que seguimos las mejores prácticas del sector en materia de administración de riesgos.
Microsoft ERM permite actividades comunes de administración de riesgos en toda la empresa para que las unidades de negocio puedan facilitar evaluaciones de riesgos coherentes y comparativas de forma independiente. ERM proporciona unidades de negocio en Microsoft con metodologías, herramientas y objetivos comunes para el proceso de administración de riesgos. Microsoft 365 y otros grupos de ingeniería y unidades de negocio aprovechan estas herramientas para realizar evaluaciones de riesgos individuales como parte de sus propios programas de administración de riesgos bajo la guía de ERM.
Los equipos de administración de riesgos de Microsoft 365 siguen las directrices de ERM para administrar los riesgos en todos los servicios de Microsoft 365. El programa de administración de riesgos de Microsoft 365 realiza entrevistas con los equipos de servicio que diseñan, crean y operan servicios Microsoft 365 para identificar los riesgos actuales y las áreas de interés como parte de las actividades de evaluación de riesgos en curso. Estas actividades, junto con el análisis adicional de los datos de supervisión continua, las auditorías y otras fuentes, se utilizan para elaborar informes de evaluación de riesgos que identifican los riesgos actuales y los posibles riesgos futuros para los objetivos empresariales a largo plazo. Los informes de evaluación de riesgos proporcionan una visión general de alto nivel de la postura de riesgo de Microsoft 365 basada en nuestras conclusiones y en los comentarios de Microsoft Teams 365. Junto con informes similares de otras unidades de negocio, los informes de evaluación de riesgos de Microsoft 365 contribuyen a las evaluaciones de riesgos de los programas de ERM y las fundamentan.
La administración de riesgos es un ejercicio crítico que permite a Microsoft proteger nuestra organización, unidades de negocio individuales como Microsoft 365 y nuestros clientes. En este módulo se describe cómo Microsoft administra los riesgos en el nivel empresarial y se detallan las actividades específicas que Microsoft 365 usa para identificar, evaluar, notificar y supervisar los riesgos.