Descripción de la identificación y evaluación de riesgos
Identificación de riesgos
Microsoft 365 administración de riesgos comienza con la identificación de riesgos. La identificación de riesgos enfatiza las actividades de detección para identificar orígenes de riesgos conocidos para todas las áreas de control clave, amenazas internas y externas y vulnerabilidades en el entorno de Microsoft 365. El equipo de Microsoft 365 Trust realiza entrevistas con los equipos de servicio de Microsoft 365 para identificar nuevos riesgos relacionados con los servicios y dependencias de Microsoft 365. La experiencia de los expertos en la materia (SME) del equipo de servicio proporciona información sobre los riesgos que se pueden introducir de forma incremental a medida que los servicios crecen, agregan nuevas características o aprovechan nuevas dependencias.
Además de las entrevistas a SME, el proceso de identificación de riesgos incorpora datos de la supervisión continua, incluidos el examen de vulnerabilidades, la simulación de ataques de equipo rojo o equipo azul, resultados de auditoría independientes y actividades de administración de incidentes. Por ejemplo, si las simulaciones de ataques del equipo rojo han indicado una vulnerabilidad con una implementación de control existente, esa información se incluiría en el proceso de identificación de riesgos. Las revisiones de los resultados de auditoría del año anterior y las tendencias en los resultados que exponen brechas en los controles son otros ejemplos de orígenes incluidos en la identificación de riesgos. El proceso de identificación también incluye una revisión de los registros de decisión, las excepciones activas de seguridad y cumplimiento, el trabajo de mitigación y los riesgos identificados durante las evaluaciones de riesgos anteriores.
El equipo de Microsoft 365 Trust usa entrevistas de SME y datos de supervisión continua para identificar riesgos para el entorno de Microsoft 365. A lo largo de este proceso, el equipo de Microsoft 365 Trust trabaja con los equipos de servicio y los propietarios de riesgos para validar la precisión e integridad de los riesgos identificados. Una vez identificados todos los riesgos pertinentes, el equipo de Microsoft 365 Trust continúa con la evaluación de riesgos.
Evaluación de riesgos
El equipo de Microsoft 365 Trust evalúa cada riesgo identificado mediante la metodología de evaluación de riesgos de ERM de impacto, probabilidad y deficiencia de control. El impacto aborda las consecuencias negativas de la realización de un riesgo, como la pérdida de confidencialidad de los datos, la confianza del cliente o las certificaciones de cumplimiento. La probabilidad identifica la probabilidad de que se realice un riesgo potencial. La probabilidad se calcula examinando la frecuencia de las repeticiones pasadas junto con la probabilidad de repeticiones futuras. Por último, la deficiencia de control se calcula mediante el análisis de la eficacia de los controles de seguridad implementados para mitigar el riesgo identificado. Estas métricas se usan para calcular una puntuación de riesgo residual que representa la gravedad de cada riesgo después de tener en cuenta los controles de mitigación.
Una vez calculadas las puntuaciones de riesgo, el equipo de Microsoft 365 Trust clasifica los riesgos por gravedad. Estas categorías se alinean con la metodología de evaluación de riesgos de ERM y proporcionan una vista agregada de los riesgos de alto nivel a los que se enfrentan Microsoft 365. Los riesgos pueden pertenecer a una de las cuatro categorías de gravedad:
- Graves: áreas de exposición de riesgo muy alto que no tienen controles adecuados implementados o controles que no funcionan según lo previsto y requieren una corrección para mitigar el riesgo existente.
- Alta: áreas de exposición de alto riesgo que no tienen controles adecuados implementados o controles que no funcionan según lo previsto y requieren una corrección para mitigar el riesgo existente.
- Medio: áreas de exposición de riesgo medio donde hay deficiencias de control moderadas, controles inadecuados o controles que no funcionan según lo previsto.
- Baja: áreas de exposición de bajo riesgo en las que hay deficiencias menores en los controles o directivas implementados.
Una vez que el equipo de Microsoft 365 Trust ha evaluado y clasificado todos los riesgos identificados, se reúne con las partes interesadas de cada equipo de servicio para asegurarse de que su evaluación representa con precisión la posición de riesgo de Microsoft 365. La administración de Microsoft 365 revisa los resultados de la evaluación.