Evaluar los riesgos de la nube
En este artículo se describe cómo evaluar los riesgos asociados a la nube. Todas las tecnologías presentan ciertos riesgos para una organización. Los riesgos son resultados no deseados que podrían afectar a su negocio, como el incumplimiento de los estándares del sector. Al adoptar la nube, debe identificar los riesgos que supone la nube para su organización. El equipo de gobernanza de la nube crea directivas de gobernanza en la nube para evitar y mitigar esos riesgos. Para evaluar los riesgos de la nube, complete estas tareas.
Identificar los riesgos de la nube
Catalogue una lista completa de riesgos de la nube. Conocer los riesgos le permite crear directivas de gobernanza en la nube que puedan evitar y mitigar esos riesgos. Para identificar los riesgos en la nube, siga estas recomendaciones:
Enumere todos los recursos en la nube. Enumere todos los recursos en la nube para que pueda identificar exhaustivamente los riesgos asociados a ellos. Por ejemplo, puede usar Azure Portal, Azure Resource Graph, PowerShell y la CLI de Azure para ver todos los recursos de una suscripción.
Descubra los riesgos de la nube. Desarrolle un catálogo de riesgos estable para guiar las directivas de gobernanza de la nube. Para evitar ajustes frecuentes, céntrese en los riesgos generales de la nube, no en los riesgos exclusivos de una carga de trabajo específica. Comience con riesgos de alta prioridad y desarrolle una lista más completa a lo largo del tiempo. Las categorías comunes de riesgo son el cumplimiento normativo, la seguridad, las operaciones, el costo, los datos, los recursos y la inteligencia artificial. Incluya riesgos únicos para su organización, como software que no sea de Microsoft, soporte técnico para asociados o proveedores, y competencias internas en la nube.
Implicación de las principales partes interesadas. Recopile información de diversos roles organizativos (TI, seguridad, legal, finanzas y unidades de negocio) para tener en cuenta todos los riesgos potenciales. Este enfoque colaborativo garantiza una visión integral de los riesgos relacionados con la nube.
Compruebe los riesgos. Póngase en contacto con expertos externos que posean un conocimiento profundo de la identificación de riesgos en la nube para revisar y validar su lista de riesgos. Estos expertos podrían ser equipos de cuentas de Microsoft o asociados especializados de Microsoft. Su experiencia ayuda a confirmar la identificación de todos los posibles riesgos y mejora la precisión de su evaluación de riesgos.
Facilitación de Azure: Identificación de riesgos en la nube
Las instrucciones siguientes están diseñadas para ayudarle a identificar los riesgos en la nube en Azure. Proporciona un punto de partida de ejemplo para las principales categorías de gobernanza de la nube. Azure puede ayudar a automatizar parte del proceso de búsqueda de riesgos. Use herramientas de Azure como Azure Advisor, Microsoft Defender for Cloud, Azure Policy, Azure Service Health y Microsoft Purview.
Identificar los riesgos de cumplimiento normativo. Identifique los riesgos de incumplimiento con marcos legales y normativos que afectan a los datos y las operaciones en la nube. Conozca los requisitos reglamentarios del sector. Use la documentación de cumplimiento de Azure para empezar.
Identificar los riesgos de seguridad. Identifique amenazas y vulnerabilidades que ponen en peligro la confidencialidad, la integridad y la disponibilidad del entorno en la nube. Use Azure para evaluar la posición de seguridad en la nube y detectar riesgos de identidad.
Identificar los riesgos de costos. Identifique los riesgos relacionados con los costos de los recursos en la nube. Entre los riesgos relacionados con los costos se incluyen el sobreaprovisionamiento, el desaprovisionamiento, la infrautilización y los costos inesperados de las tarifas de transferencia de datos o el escalado de servicios. Use una evaluación de costos para identificar el riesgo de costo. Use Azure para estimar los costos con la calculadora de precios de Azure. Análisis y previsión de costos en los recursos actuales. Identifique cambios inesperados en los costos de la nube.
Identificar los riesgos de las operaciones. Identifique los riesgos que amenazan la continuidad de las operaciones en la nube, como el tiempo de inactividad y la pérdida de datos. Use herramientas de Azure para identificar riesgos de rendimiento y confiabilidad.
Identificar los riesgos de datos. Identifique los riesgos relacionados con la administración de datos dentro de la nube. Considere la manipulación inadecuada de los datos y errores en la administración del ciclo de vida de los datos. Use herramientas de Azure para ayudar a identificar los riesgos de los datos y explorar los riesgos de los datos confidenciales.
Identificar los riesgos de administración de recursos. Identifique los riesgos derivados del aprovisionamiento, la implementación, la configuración y la administración de recursos en la nube. Identificar los riesgos para la excelencia operativa.
Identificar riesgos de IA. Modelos de lenguaje de equipo rojo periódicamente. Pruebe manualmente los sistemas de inteligencia artificial y complemente las pruebas manuales con herramientas automatizadas de identificación de riesgos para la inteligencia artificial. Busque errores comunes de interacción entre la IA y las personas. Considere los riesgos asociados con el uso, el acceso y la salida de los sistemas de inteligencia artificial. Revise los principios de la IA responsable y el modelo de madurez de IA responsable.
Analizar los riesgos de la nube
Asigne una clasificación cualitativa o cuantitativa a cada riesgo para que pueda priorizarlos por gravedad. La priorización de riesgos combina la probabilidad de riesgo y el impacto en el riesgo. Es preferible el análisis de riesgos cuantitativo al cualitativo para una priorización más precisa de los riesgos. Para analizar los riesgos de la nube, siga estas estrategias:
Evalúe la probabilidad de riesgo
Calcule la probabilidad cuantitativa o cualitativa de cada riesgo que se produzca al año. Use un intervalo de porcentajes (0 %-100 %) para representar la probabilidad de riesgo cuantitativa anual. Las etiquetas bajas, medias y altas son etiquetas comunes para la probabilidad de riesgo cualitativo. Para evaluar la probabilidad de riesgo, siga estas recomendaciones:
Use pruebas comparativas públicas. Use datos de informes, estudios o acuerdos de nivel de servicio (SLA) que documenten riesgos comunes y sus tasas de aparición.
Análisis de datos históricos. Examine los informes de incidentes internos, los registros de auditoría y otros registros para identificar la frecuencia con la que se produjeron riesgos similares en el pasado.
Eficacia del control de pruebas. Para minimizar los riesgos, evalúe la eficacia de los controles actuales de mitigación de riesgos. Considere la posibilidad de revisar los resultados de las pruebas de control, los resultados de auditoría y las métricas de rendimiento.
Determinar el impacto del riesgo
Calcule el impacto cuantitativo o cualitativo del riesgo que se produce en la organización. Un importe monetario es una manera común de representar el impacto cuantitativo del riesgo. Las etiquetas bajas, medias y altas son etiquetas comunes para el impacto cualitativo del riesgo. Siga estas recomendaciones para determinar el impacto del riesgo:
Realizar análisis financieros. Calcule la posible pérdida financiera de un riesgo examinando factores como el costo del tiempo de inactividad, los honorarios legales, las multas y el costo de los esfuerzos de corrección.
Llevar a cabo una evaluación de impacto de reputación. Use encuestas, investigaciones de mercado o datos históricos sobre incidentes similares para calcular el posible impacto en la reputación de la organización.
Realizar análisis de interrupciones operativas. Evalúe la extensión de la interrupción operativa mediante la estimación del tiempo de inactividad, la pérdida de productividad y el costo de las disposiciones alternativas.
Evaluar las implicaciones legales. Calcule posibles costos legales, multas y sanciones asociados a incumplimientos o infracciones.
Calcular la prioridad de riesgo
Asigne una prioridad de riesgo a cada riesgo. La prioridad de riesgo es la importancia que se asigna a un riesgo para saber si el riesgo se debe tratar con urgencia alta, media o baja. El impacto del riesgo es más importante que la probabilidad de riesgo, ya que un riesgo de alto impacto puede tener consecuencias duraderas. El equipo de gobernanza debe usar una metodología coherente en toda la organización para priorizar el riesgo. Para calcular la prioridad de riesgo, siga estas recomendaciones:
Use una matriz de riesgo para las evaluaciones cualitativas. Cree una matriz para asignar una prioridad de riesgo cualitativo a cada riesgo. Un eje de la matriz representa la probabilidad de riesgo (alta, media, baja) y la otra representa el impacto del riesgo (alto, medio, bajo). En la tabla siguiente se proporciona una matriz de riesgo de ejemplo:
Impacto bajo Impacto medio Alto impacto Probabilidad baja Muy baja Moderadamente baja Moderadamente alta Probabilidad media Baja Medio Alto Probabilidad alta Media Alta Muy alta Use fórmulas para evaluaciones cuantitativas. Use el siguiente cálculo como línea base: prioridad de riesgo = probabilidad de riesgo x impacto del riesgo. Ajuste el peso de las variables según sea necesario para adaptar los resultados de prioridad de riesgo. Por ejemplo, podría poner más énfasis en el impacto del riesgo con esta fórmula: prioridad de riesgo = probabilidad de riesgo x (impacto del riesgo x 1,5).
Asignar un nivel de riesgo
Clasifique cada riesgo en uno de los tres niveles: riesgos principales (nivel 1), subriesgos (nivel 2) y controladores de riesgo (nivel 3). Los niveles de riesgo permiten planificar una estrategia de administración de riesgos adecuada y prever desafíos futuros. Los riesgos de nivel 1 amenazan a la organización o la tecnología. Los riesgos de nivel 2 se encuentran bajo el riesgo de nivel 1. Los riesgos de nivel 3 son tendencias que podrían culminar en uno o varios riesgos de nivel 1 o nivel 2. Por ejemplo, considere la no conformidad con las leyes de protección de datos (nivel 1), las configuraciones de almacenamiento en la nube incorrectas (nivel 2) y la complejidad creciente de los requisitos normativos (nivel 3).
Determinar la estrategia de administración de riesgos
Para cada riesgo, identifique las opciones adecuadas de tratamiento de riesgos, como evitar, mitigar, transferir o aceptar el riesgo. Proporcionar una explicación de la elección. Por ejemplo, si decide aceptar un riesgo porque el costo de mitigarlo es demasiado caro, debe documentar ese razonamiento para futuras referencias.
Asignar propietarios de riesgos
Designe a un propietario de riesgo principal para cada riesgo. El propietario del riesgo tiene la responsabilidad de administrar cada riesgo. Esta persona coordina la estrategia de administración de riesgos en todos los equipos implicados y es el punto de contacto inicial para la escalación de riesgos.
Documentar los riesgos en la nube
Documente cada riesgo y los detalles del análisis de riesgos. Cree una lista de riesgos (registro de riesgos) que contenga toda la información que necesita para identificar, categorizar, clasificar por orden de prioridad y administrar riesgos. Desarrolle un lenguaje normalizado para la documentación de riesgos a fin de que todos puedan comprender fácilmente los riesgos de la nube. Considere la posibilidad de incluir estos elementos:
- Identificador de riesgo: un identificador único para cada riesgo. Incremente el identificador secuencialmente a medida que se agregan nuevos riesgos. Si elimina riesgos, puede dejar huecos en la secuencia o rellenar los huecos de la secuencia.
- Estado de administración de riesgos: el estado del riesgo (abierto, cerrado).
- Categoría de riesgo: etiqueta como el cumplimiento normativo, la seguridad, el costo, las operaciones, la IA o la administración de recursos.
- Descripción del riesgo: breve descripción del riesgo.
- Probabilidad de riesgo: probabilidad de que se produzca el riesgo al año. Use un porcentaje o una etiqueta cualitativa.
- Impacto del riesgo: impacto en la organización si se produce el riesgo. Use un importe monetario o una etiqueta cualitativa.
- Prioridad de riesgo: gravedad del riesgo (probabilidad x impacto). Use un importe en dólares o una etiqueta cualitativa.
- Nivel de riesgo: el tipo de riesgo. Use la amenaza principal (nivel 1), subriesgo (nivel 2) o controlador de riesgo (nivel 3).
- Estrategia de administración de riesgos: el enfoque para administrar el riesgo, como mitigar, aceptar o evitar.
- Cumplimiento de la administración de riesgos: técnicas para aplicar la estrategia de administración de riesgos.
- Propietario del riesgo: la persona que administra el riesgo.
- Fecha de cierre de riesgos: fecha en la que se debe aplicar la estrategia de administración de riesgos.
Para obtener más información, consulte Ejemplo de lista de riesgos.
Comunicar los riesgos de la nube
Transmita claramente los riesgos de la nube identificados al patrocinador ejecutivo y a la administración de nivel ejecutivo. El objetivo es asegurarse de que la organización prioriza los riesgos en la nube. Proporcione actualizaciones periódicas en la administración de riesgos en la nube y comuníquese cuando necesite recursos adicionales para administrar los riesgos. Promover una cultura en la que la administración de los riesgos en la nube y la gobernanza forman parte de las operaciones diarias.
Revisar los riesgos de la nube
Revise la lista de riesgos en la nube actual para asegurarse de que es válida y precisa. Las revisiones deben ser periódicas y también en respuesta a eventos específicos. Mantenga, actualice o quite los riesgos según sea necesario. Para revisar los riesgos de la nube, siga estas recomendaciones:
Programar evaluaciones periódicas. Establezca una programación periódica para revisar y evaluar los riesgos de la nube, como trimestral, semestral o anual. Busque la frecuencia de revisión que mejor se adapte a la disponibilidad del personal, la tasa de cambios en el entorno en la nube y la tolerancia al riesgo de la organización.
Realizar revisiones basadas en eventos. Revise los riesgos en respuesta a eventos específicos, como la prevención errónea de un riesgo. Considere la posibilidad de revisar los riesgos al adoptar nuevas tecnologías, cambiar los procesos empresariales y detectar nuevos eventos de amenazas de seguridad. Considere también la posibilidad de revisar cuándo cambia la tecnología, el cumplimiento normativo y la tolerancia al riesgo de la organización.
Revisar las directivas de gobernanza de la nube. Mantenga, actualice o quite las directivas de gobernanza de la nube para abordar nuevos riesgos, riesgos existentes o riesgos obsoletos. Revise la declaración de la directiva de gobernanza en la nube y la estrategia de cumplimiento de la gobernanza en la nube según sea necesario. Al quitar un riesgo, evalúe si las directivas de gobernanza de la nube asociadas a ellas siguen siendo pertinentes. Consulte con las partes interesadas para quitar las directivas de gobernanza de la nube o actualizarlas para asociarlas a un nuevo riesgo.
Ejemplo de lista de riesgos
La tabla siguiente es una lista de riesgos de ejemplo, también conocida como registro de riesgos. Modifique el ejemplo para adaptarse a las necesidades y el contexto específicos del entorno en la nube de Azure de su organización.
Id. de riesgo | Estado de administración de riesgos | Categoría de riesgo | Descripción del riesgo | Probabilidad de riesgo | Impacto del riesgo | Prioridad de riesgo | Nivel de riesgo | Estrategia de administración de riesgos | Cumplimiento de la administración de riesgos | Propietario del riesgo | Fecha de cierre de riesgos |
---|---|---|---|---|---|---|---|---|---|---|---|
R01 | Abierto | Cumplimiento de normativas | Incumplimiento de los requisitos de datos confidenciales | 20 % O medio | 100.000 $ O alto | 20.000 $ O alto | Nivel 2 | Mitigación | Use Microsoft Purview para la supervisión de datos confidenciales. Informes de cumplimiento en Microsoft Purview. |
Liderazgo de cumplimiento | 01-04-2024 |
R02 | Abierto | Seguridad | Acceso no autorizado a los servicios en la nube | 30 % O alto | 200.000 $ O alto | 60.000 $ O muy alto | Nivel 1 | Mitigación | Autenticación multifactor (MFA) en Microsoft Entra ID. Revisiones de acceso mensuales del Gobierno de id. de Microsoft Entra. |
Liderazgo de seguridad | 15-03-2024 |
R03 | Abierto | Seguridad | Administración de código no segura | 20 % O medio | 150.000 $ O alto | $30.000 O alto | Nivel 2 | Mitigación | Use el repositorio de código definido. Use el patrón de cuarentena para las bibliotecas públicas. |
Liderazgo de desarrollo | 30-03-2024 |
R04 | Abierto | Costo | Exceso de aprovisionamiento en los servicios en la nube por falta de aprovisionamiento y supervisión | 40 % O alto | $50.000 O medio | $20.000 O alto | Nivel 2 | Mitigación | Establezca presupuestos y alertas para cargas de trabajo. Revise y aplique las recomendaciones sobre los costos de asesoramiento. |
Liderazgo de costos | 01-03-2024 |
R05 | Abierto | Operations | Interrupción del servicio debido a una interrupción de la región de Azure | 25 % O medio | $150.000 O alto | $37.500 O alto | Nivel 1 | Mitigación | Las cargas de trabajo críticas tienen una arquitectura activa-activa. Otras cargas de trabajo tienen una arquitectura activa-pasiva. |
Liderazgo de operaciones | 20-03-2024 |
R06 | Abierto | Datos | Pérdida de datos confidenciales debido a un cifrado incorrecto y la administración del ciclo de vida de los datos | 35 % O alto | $250.000 O alto | $87.500 O muy alto | Nivel 1 | Mitigación | Aplique cifrado en tránsito y en reposo. Establezca directivas de ciclo de vida de datos mediante herramientas de Azure. |
Liderazgo de datos | 10-04-2024 |
R07 | Abierto | Administración de recursos | Configuración incorrecta de los recursos en la nube que conducen a la exposición de datos y acceso no autorizado | 30 % O alto | $100.000 O alto | $30.000 O muy alto | Nivel 2 | Mitigación | Uso de la infraestructura como código (IaC). Aplicar los requisitos de etiquetas mediante Azure Policy. |
Liderazgo de recursos | 25-03-2024 |
R08 | Abierto | IA | Modelo de IA que genera decisiones sesgadas debido a datos de entrenamiento no representativos | 15 % O bajo | $200.000 O alto | $30.000 O moderadamente alto | Nivel 3 | Mitigación | Usar técnicas de mitigación de filtrado de contenido. Modelos de IA de equipo rojo mensualmente. |
Liderazgo de IA | 01-05-2024 |