Descripción de la respuesta, la supervisión y la generación de informes de riesgos
Después del proceso de evaluación de riesgos, el equipo de Microsoft 365 Trust identifica a los propietarios de riesgos y trabaja con los equipos de servicio para responder adecuadamente a cada riesgo. El proceso de mitigación de riesgos aprovecha los flujos de trabajo existentes de ingeniería, operaciones de servicio y cumplimiento de Microsoft 365 para permitir acciones oportunas e informes precisos. Las actividades de respuesta a los riesgos, supervisión y creación de informes son iterativas y se centran en evaluar continuamente el progreso para abordar los riesgos de alto nivel a los que se enfrenta Microsoft 365.
Respuesta a los riesgos
El equipo de Microsoft 365 Trust se coordina con los equipos de servicio para responder adecuadamente a los riesgos según su gravedad. Las estrategias de respuesta a los riesgos se dividen en cuatro categorías:
- Permitir: áreas de exposición de bajo riesgo con un nivel de control bajo.
- Operar: áreas de exposición de bajo riesgo en las que los controles se consideran adecuados.
- Supervisar: áreas de exposición de alto riesgo en las que los controles se consideran adecuados y deben supervisarse para comprobar su eficacia.
- Mejorar: áreas de exposición de alto riesgo con un nivel de control bajo que son de máxima prioridad en el direccionamiento.
Los equipos de servicio afectados trabajan con el equipo de Microsoft 365 Trust para desarrollar planes de acción detallados que respondan a los riesgos identificados para sus servicios. La gravedad del riesgo asignada como parte de la evaluación de riesgos determina el nivel apropiado de revisión y aprobación de estos planes. El equipo de Microsoft 365 Trust realiza un seguimiento de los riesgos de alto nivel y se coordina con los equipos de servicio para asegurarse de que los planes de acción se implementan de forma eficaz. Los propietarios de los riesgos se reúnen periódicamente con el equipo de Microsoft 365 Trust para actualizar las puntuaciones de los riesgos y evaluar los progresos realizados para abordar los riesgos identificados.
Supervisión e informes de riesgos
Los riesgos identificados como parte de la evaluación de riesgos se supervisan y se notifican a las partes interesadas pertinentes. Las reuniones periódicas entre los propietarios de los riesgos y el equipo de Microsoft 365 Trust incluyen una revisión de los resultados de supervisión para evaluar el progreso del plan de acción para abordar los riesgos identificados. Si la supervisión indica que el plan no está abordando eficazmente los riesgos identificados, el plan de acción se actualiza como parte de la administración continua de riesgos.
Los datos de supervisión y creación de informes de la administración de riesgos de Microsoft 365 se incorporan a los informes de evaluación de riesgos de Microsoft 365. La administración de Microsoft 365 revisa estos informes y se responsabiliza de los riesgos dentro de Microsoft 365. Los informes de evaluación de riesgos de Microsoft 365 también informan sobre las evaluaciones de riesgos del programa ERM junto con informes similares de otras unidades empresariales de Microsoft.