Información general sobre la administración de riesgos de Microsoft 365
El programa de Administración de riesgos de Microsoft 365 es un programa independiente que se alinea con el programa Administración de riesgos empresariales (ERM, por sus siglas en inglés) y sus directivas de administración de riesgos. Esto permite un enfoque coherente y comparativo para la administración de riesgos en las unidades de negocio y grupos de ingeniería. La alineación del programa ERM prioriza y dirige las actividades de Administración de riesgos de Microsoft 365, que finalmente se acumulan en el proceso de administración de riesgos del programa ERM.
Microsoft 365 Trust es responsable de apoyar las operaciones de control relacionadas con el cumplimiento de directivas y los requisitos de seguridad, así como la administración de riesgos. Microsoft 365 Trust trabaja para identificar nuevos riesgos a medida que surgen y supervisar los riesgos conocidos y las respuestas a los mismos. Se realiza un seguimiento del éxito y el fracaso de las respuestas de riesgo para desarrollar e informar del análisis de las probabilidades e impactos del riesgo. Como parte de la administración de riesgos, Microsoft 365 Trust analiza el diseño y la eficacia operativa de los controles implementados como parte del marco de controles de Microsoft 365. Los comentarios de los equipos de servicio de Microsoft 365 y los datos de supervisión continua de los entornos de Microsoft 365 informan al proceso de administración de riesgos.
Las actividades de administración de riesgos de Microsoft 365 se dividen en cuatro fases: identificación, evaluación, respuesta y supervisión e información. La administración de riesgos en Microsoft 365 es un proceso continuo e iterativo que incorpora comentarios de propietarios de riesgos, servicios críticos y áreas empresariales clave, así como análisis de resultados de auditoría e implementaciones de control. Las reuniones periódicas de revisión de riesgos con los propietarios de riesgos permiten a Microsoft 365 Trust actualizar y administrar los planes de acción según sea necesario. Los resultados de la evaluación de riesgos se revisan y validan con la administración de Microsoft 365 y se incorporan al informe de evaluación de riesgos del programa ERM para la Junta directiva de Microsoft.