Menilai risiko cloud
Artikel ini menguraikan cara menilai risiko yang terkait dengan cloud. Semua teknologi memperkenalkan risiko tertentu pada organisasi. Risiko adalah hasil yang tidak diinginkan yang dapat memengaruhi bisnis Anda, seperti ketidakpatuhan dengan standar industri. Saat mengadopsi cloud, Anda perlu mengidentifikasi risiko yang ditimbulkan cloud kepada organisasi Anda. Tim tata kelola cloud membuat kebijakan tata kelola cloud untuk mencegah dan mengurangi risiko tersebut. Untuk menilai risiko cloud, selesaikan tugas-tugas ini.
Mengidentifikasi risiko cloud
Katalog daftar risiko cloud yang komprehensif. Mengetahui risiko Anda memungkinkan Anda membuat kebijakan tata kelola cloud yang dapat mencegah dan mengurangi risiko tersebut. Untuk mengidentifikasi risiko cloud, ikuti rekomendasi berikut:
Mencantumkan semua aset cloud. Cantumkan semua aset cloud Anda sehingga Anda dapat mengidentifikasi risiko yang terkait dengannya secara komprehensif. Misalnya, Anda dapat menggunakan portal Azure, Azure Resource Graph, PowerShell, dan Azure CLI untuk melihat semua sumber daya dalam langganan.
Temukan risiko cloud. Kembangkan katalog risiko yang stabil untuk memandu kebijakan tata kelola cloud. Untuk mencegah penyesuaian yang sering, fokus pada risiko cloud umum, bukan risiko unik untuk beban kerja tertentu. Mulailah dengan risiko prioritas tinggi dan kembangkan daftar yang lebih komprehensif dari waktu ke waktu. Kategori risiko umum adalah kepatuhan terhadap peraturan, keamanan, operasi, biaya, data, sumber daya, dan AI. Sertakan risiko yang unik untuk organisasi Anda, perangkat lunak non-Microsoft, dukungan mitra atau vendor, dan kompetensi cloud internal.
Melibatkan pemangku kepentingan utama. Kumpulkan masukan dari beragam peran organisasi (IT, keamanan, hukum, keuangan, dan unit bisnis) untuk mempertimbangkan semua potensi risiko. Pendekatan kolaboratif ini memastikan pandangan holistik tentang risiko yang terkait dengan cloud.
Verifikasi risiko. Libatkan pakar eksternal yang memiliki pemahaman mendalam tentang identifikasi risiko cloud untuk meninjau dan memvalidasi daftar risiko Anda. Para ahli ini bisa menjadi tim akun Microsoft atau mitra Microsoft khusus. Keahlian mereka membantu mengonfirmasi identifikasi semua potensi risiko dan meningkatkan akurasi penilaian risiko Anda.
Fasilitasi Azure: Mengidentifikasi risiko cloud
Panduan berikut dimaksudkan untuk membantu Anda mengidentifikasi risiko cloud di Azure. Ini menyediakan titik awal sampel untuk kategori utama tata kelola cloud. Azure dapat membantu mengotomatiskan bagian dari proses menemukan risiko. Gunakan alat Azure seperti Azure Advisor, Microsoft Defender untuk Cloud, Azure Policy, Azure Service Health, dan Microsoft Purview.
Identifikasi risiko kepatuhan terhadap peraturan. Identifikasi risiko ketidakpatuhan dengan kerangka kerja hukum dan peraturan yang memengaruhi data dan operasi cloud. Ketahui persyaratan peraturan industri Anda. Gunakan dokumentasi kepatuhan Azure untuk memulai.
Identifikasi risiko keamanan. Identifikasi ancaman dan kerentanan yang membahgi kerahasiaan, integritas, dan ketersediaan lingkungan cloud. Gunakan Azure untuk menilai postur keamanan cloud Anda dan mendeteksi risiko identitas.
Identifikasi risiko biaya. Identifikasi risiko yang terkait dengan biaya sumber daya cloud. Risiko terkait biaya termasuk provisi berlebih, kurang provisi, kurang digunakan, dan biaya tak terduga dari biaya transfer data atau penskalaan layanan. Gunakan penilaian biaya untuk mengidentifikasi risiko biaya. Gunakan Azure untuk memperkirakan biaya dengan kalkulator harga Azure. Menganalisis dan memperkirakan biaya pada sumber daya saat ini. Identifikasi perubahan tak terduga dalam biaya cloud.
Identifikasi risiko operasi. Identifikasi risiko yang mengancam kelangsungan operasi cloud, seperti waktu henti dan kehilangan data. Gunakan alat Azure untuk mengidentifikasi risiko keandalan dan performa.
Mengidentifikasi risiko data. Identifikasi risiko yang terkait dengan manajemen data dalam cloud. Pertimbangkan penanganan data dan kelemahan yang tidak tepat dalam manajemen siklus hidup data. Gunakan alat Azure untuk membantu mengidentifikasi risiko data dan menjelajahi risiko terhadap data sensitif.
Identifikasi risiko manajemen sumber daya. Identifikasi risiko yang berasal dari penyediaan, penyebaran, konfigurasi, dan manajemen sumber daya cloud. Identifikasi risiko terhadap keunggulan operasional.
Identifikasi risiko AI. Model bahasa tim merah secara teratur. Uji sistem AI secara manual dan melengkapi pengujian manual dengan alat identifikasi risiko otomatis untuk AI. Cari kegagalan interaksi manusia-AI umum. Pertimbangkan risiko yang terkait dengan penggunaan, akses, dan output sistem AI. Tinjau tenet AI yang bertanggung jawab dan model kematangan AI yang bertanggung jawab.
Menganalisis risiko cloud
Tetapkan peringkat kualitatif atau kuantitatif untuk setiap risiko sehingga Anda dapat memprioritaskannya berdasarkan tingkat keparahan. Prioritas risiko menggabungkan probabilitas risiko dan dampak risiko. Lebih suka analisis risiko kuantitatif daripada kualitatif untuk prioritas risiko yang lebih tepat. Untuk menganalisis risiko cloud, ikuti strategi berikut:
Mengevaluasi probabilitas risiko
Perkirakan probabilitas kuantitatif atau kualitatif dari setiap risiko yang terjadi per tahun. Gunakan rentang persentase (0%-100%) untuk mewakili probabilitas risiko kuantitatif tahunan. Rendah, sedang, dan tinggi adalah label umum untuk probabilitas risiko kualitatif. Untuk mengevaluasi probabilitas risiko, ikuti rekomendasi berikut:
Gunakan tolok ukur publik. Gunakan data dari laporan, studi, atau perjanjian tingkat layanan (SLA) yang mendokumentasikan risiko umum dan tingkat kemunculannya.
Menganalisis data historis. Lihat laporan insiden internal, log audit, dan catatan lainnya untuk mengidentifikasi seberapa sering risiko serupa terjadi di masa lalu.
Menguji efektivitas kontrol. Untuk meminimalkan risiko, nilai efektivitas kontrol mitigasi risiko saat ini. Pertimbangkan untuk meninjau hasil pengujian kontrol, temuan audit, dan metrik performa.
Menentukan dampak risiko
Perkirakan dampak kuantitatif atau kualitatif dari risiko yang terjadi pada organisasi. Jumlah moneter adalah cara umum untuk mewakili dampak risiko kuantitatif. Rendah, sedang, dan tinggi adalah label umum untuk dampak risiko kualitatif. Untuk menentukan dampak risiko, ikuti rekomendasi berikut:
Melakukan analisis keuangan. Perkirakan potensi kerugian finansial risiko dengan melihat faktor-faktor seperti biaya waktu henti, biaya hukum, denda, dan biaya upaya remediasi.
Melakukan penilaian dampak reputasi. Gunakan survei, riset pasar, atau data historis tentang insiden serupa untuk memperkirakan dampak potensial pada reputasi organisasi.
Lakukan analisis gangguan operasional. Menilai tingkat gangguan operasional dengan memperkirakan waktu henti, hilangnya produktivitas, dan biaya pengaturan alternatif.
Menilai implikasi hukum. Memperkirakan potensi biaya hukum, denda, dan hukuman yang terkait dengan ketidakpatuhan atau pelanggaran.
Menghitung prioritas risiko
Tetapkan prioritas risiko untuk setiap risiko. Prioritas risiko adalah pentingnya Anda menetapkan risiko sehingga Anda tahu apakah akan mengobati risiko dengan urgensi tinggi, sedang, atau rendah. Dampak risiko lebih penting daripada probabilitas risiko karena risiko berdampak tinggi dapat memiliki konsekuensi yang berlangsung lama. Tim tata kelola harus menggunakan metodologi yang konsisten di seluruh organisasi untuk memprioritaskan risiko. Untuk menghitung prioritas risiko, ikuti rekomendasi berikut:
Gunakan matriks risiko untuk penilaian kualitatif. Buat matriks untuk menetapkan prioritas risiko kualitatif untuk setiap risiko. Satu sumbu matriks mewakili probabilitas risiko (tinggi, sedang, rendah) dan yang lainnya mewakili dampak risiko (tinggi, sedang, rendah). Tabel berikut ini menyediakan sampel matriks risiko:
Dampak rendah Dampak sedang Dampak tinggi Probabilitas rendah Sangat rendah Sedang rendah Cukup tinggi Probabilitas sedang Kurang Penting Medium Sangat Penting Probabilitas tinggi Medium Sangat Penting Sangat tinggi Gunakan rumus untuk penilaian kuantitatif. Gunakan perhitungan berikut sebagai garis besar: prioritas risiko = probabilitas risiko x dampak risiko. Sesuaikan berat variabel sesuai kebutuhan untuk menyesuaikan hasil prioritas risiko. Misalnya, Anda dapat lebih menekankan dampak risiko dengan rumus ini: prioritas risiko = probabilitas risiko x (dampak risiko x 1,5).
Menetapkan tingkat risiko
Kategorikan setiap risiko ke dalam salah satu dari tiga tingkat: risiko utama (tingkat 1), subrisk (tingkat 2), dan pendorong risiko (tingkat 3). Tingkat risiko memungkinkan Anda merencanakan strategi manajemen risiko yang sesuai dan mengantisipasi tantangan di masa depan. Risiko tingkat 1 mengancam organisasi atau teknologi. Risiko level 2 berada di bawah risiko level 1. Risiko level 3 adalah tren yang berpotensi memuncak dalam satu atau lebih risiko level 1 atau level 2. Misalnya, pertimbangkan ketidakpatuhan terhadap undang-undang perlindungan data (tingkat 1), konfigurasi penyimpanan cloud yang tidak tepat (tingkat 2), dan meningkatkan kompleksitas persyaratan peraturan (tingkat 3).
Menentukan strategi manajemen risiko
Untuk setiap risiko, identifikasi opsi perawatan risiko yang sesuai, seperti menghindari, mengurangi, mentransfer, atau menerima risiko. Berikan penjelasan tentang pilihan. Misalnya, jika Anda memutuskan untuk menerima risiko karena biaya mitigasinya terlalu mahal, Anda harus mendokumentasikan penalaran tersebut untuk referensi di masa mendatang.
Menetapkan pemilik risiko
Menunjuk pemilik risiko utama untuk setiap risiko. Pemilik risiko memiliki tanggung jawab untuk mengelola setiap risiko. Orang ini mengoordinasikan strategi manajemen risiko di setiap tim yang terlibat dan merupakan titik awal kontak untuk eskalasi risiko.
Risiko cloud dokumen
Dokumentasikan setiap risiko dan detail analisis risiko. Buat daftar risiko (risk register) yang berisi semua informasi yang Anda butuhkan untuk mengidentifikasi, mengategorikan, memprioritaskan, dan mengelola risiko. Kembangkan bahasa standar untuk dokumentasi risiko sehingga semua orang dapat dengan mudah memahami risiko cloud. Pertimbangkan untuk menyertakan elemen-elemen ini:
- ID Risiko: Pengidentifikasi unik untuk setiap risiko. Tingkatkan pengidentifikasi secara berurutan saat Anda menambahkan risiko baru. Jika Anda menghapus risiko, Anda dapat meninggalkan celah secara berurutan atau mengisi kesenjangan secara berurutan.
- Status manajemen risiko: Status risiko (terbuka, tertutup).
- Kategori risiko: Label seperti kepatuhan terhadap peraturan, keamanan, biaya, operasi, AI, atau manajemen sumber daya.
- Deskripsi risiko: Deskripsi singkat tentang risiko.
- Probabilitas risiko: Probabilitas risiko yang terjadi per tahun. Gunakan persentase atau label kualitatif.
- Dampak risiko: Dampak pada organisasi jika risiko terjadi. Gunakan jumlah moneter atau label kualitatif.
- Prioritas risiko: Tingkat keparahan risiko (probabilitas x dampak). Gunakan jumlah dolar atau label kualitatif.
- Tingkat risiko: Jenis risiko. Gunakan ancaman utama (level 1), subrisk (level 2), atau risk driver (level 3).
- Strategi manajemen risiko: Pendekatan untuk mengelola risiko seperti mengurangi, menerima, atau menghindari.
- Penegakan manajemen risiko: Teknik untuk menegakkan strategi manajemen risiko.
- Pemilik risiko: Individu yang mengelola risiko.
- Tanggal penutupan risiko: Tanggal ketika strategi manajemen risiko harus diterapkan.
Untuk informasi selengkapnya, lihat Contoh daftar risiko.
Mengkomunikasikan risiko cloud
Jelas menyampaikan risiko cloud yang diidentifikasi kepada sponsor eksekutif dan manajemen tingkat eksekutif. Tujuannya adalah untuk memastikan organisasi memprioritaskan risiko cloud. Berikan pembaruan rutin tentang manajemen risiko cloud dan berkomunikasi saat Anda memerlukan sumber daya tambahan untuk mengelola risiko. Mempromosikan budaya di mana mengelola manajemen dan tata kelola risiko cloud adalah bagian dari operasi harian.
Meninjau risiko cloud
Tinjau daftar risiko cloud saat ini untuk memastikannya valid dan akurat. Ulasan harus teratur dan juga sebagai respons terhadap peristiwa tertentu. Pertahankan, perbarui, atau hapus risiko sesuai kebutuhan. Untuk meninjau risiko cloud, ikuti rekomendasi berikut:
Jadwalkan penilaian reguler. Tetapkan jadwal berulang untuk meninjau dan menilai risiko cloud, seperti triwulanan, dua tahunan, atau tahunan. Temukan frekuensi ulasan yang paling baik mengakomodasi ketersediaan personel, tingkat perubahan lingkungan cloud, dan toleransi risiko organisasi.
Melakukan tinjauan berbasis peristiwa. Tinjau risiko sebagai respons terhadap peristiwa tertentu, seperti pencegahan risiko yang gagal. Pertimbangkan untuk meninjau risiko saat Anda mengadopsi teknologi baru, mengubah proses bisnis, dan menemukan peristiwa ancaman keamanan baru. Pertimbangkan juga untuk meninjau kapan teknologi, kepatuhan terhadap peraturan, dan toleransi risiko organisasi berubah.
Tinjau kebijakan tata kelola cloud. Simpan, perbarui, atau hapus kebijakan tata kelola cloud untuk mengatasi risiko baru, risiko yang ada, atau risiko yang sudah kedaluarsa. Tinjau pernyataan kebijakan tata kelola cloud dan strategi penegakan tata kelola cloud sesuai kebutuhan. Saat Anda menghapus risiko, evaluasi apakah kebijakan tata kelola cloud yang terkait dengannya masih relevan. Konsultasikan dengan pemangku kepentingan untuk menghapus kebijakan tata kelola cloud atau memperbarui kebijakan untuk mengaitkannya dengan risiko baru.
Contoh daftar risiko
Tabel berikut adalah contoh daftar risiko, juga dikenal sebagai register risiko. Sesuaikan contoh agar sesuai dengan kebutuhan dan konteks spesifik lingkungan cloud Azure organisasi Anda.
| ID Risiko | Status manajemen risiko | Kategori risiko | Deskripsi risiko | Probabilitas risiko | Dampak risiko | Prioritas risiko | Tingkat risiko | Strategi manajemen risiko | Penegakan manajemen risiko | Pemilik risiko | Tanggal penutupan risiko |
|---|---|---|---|---|---|---|---|---|---|---|---|
| R01 | Buka | Kepatuhan peraturan | Ketidakpatuhuran dengan persyaratan data sensitif | 20% ATAU Sedang | $100.000 ATAU Tinggi | $20.000 ATAU Tinggi | Level 2 | Mitigasi | Gunakan Microsoft Purview untuk pemantauan data sensitif. Pelaporan kepatuhan di Microsoft Purview. |
Prospek kepatuhan | 2024-04-01 |
| R02 | Buka | Keamanan | Akses tidak sah ke layanan cloud | 30% ATAU Tinggi | $200.000 ATAU Tinggi | $ 60.000 ATAU Sangat tinggi | Level 1 | Mitigasi | Autentikasi multifaktor ID Microsoft Entra (MFA). Tata Kelola ID Microsoft Entra tinjauan akses bulanan. |
Prospek keamanan | 2024-03-15 |
| R03 | Buka | Keamanan | Manajemen kode yang tidak aman | 20% ATAU Sedang | $150.000 ATAU Tinggi | $30.000 ATAU Tinggi | Level 2 | Mitigasi | Gunakan repositori kode yang ditentukan. Gunakan pola karantina untuk pustaka publik. |
Pemimpin pengembang | 2024-03-30 |
| R04 | Buka | Biaya | Pengeluaran berlebih pada layanan cloud karena provisi berlebih dan kurangnya pemantauan | 40% ATAU Tinggi | $50.000 ATAU Sedang | $20.000 ATAU Tinggi | Level 2 | Mitigasi | Atur anggaran dan pemberitahuan untuk beban kerja. Tinjau dan terapkan rekomendasi biaya Advisor. |
Prospek biaya | 2024-03-01 |
| R05 | Buka | Operasional | Gangguan layanan karena pemadaman wilayah Azure | 25% ATAU Sedang | $150.000 ATAU Tinggi | $37.500 ATAU Tinggi | Level 1 | Mitigasi | Beban kerja misi-kritis memiliki arsitektur aktif-aktif. Beban kerja lain memiliki arsitektur pasif aktif. |
Prospek operasi | 2024-03-20 |
| R06 | Buka | Data | Hilangnya data sensitif karena enkripsi dan manajemen siklus hidup data yang tidak tepat | 35% ATAU Tinggi | $250.000 ATAU Tinggi | $ 87.500 ATAU Sangat tinggi | Level 1 | Mitigasi | Terapkan enkripsi saat transit dan saat tidak aktif. Menetapkan kebijakan siklus hidup data menggunakan alat Azure. |
Prospek data | 2024-04-10 |
| R07 | Buka | Manajemen sumber daya | Kesalahan konfigurasi sumber daya cloud yang mengarah ke akses dan paparan data yang tidak sah | 30% ATAU Tinggi | $100.000 ATAU Tinggi | $ 30.000 ATAU Sangat tinggi | Level 2 | Mitigasi | Gunakan infrastruktur sebagai kode (IaC). Menerapkan persyaratan pemberian tag menggunakan Azure Policy. |
Prospek sumber daya | 2024-03-25 |
| R08 | Buka | AI | Model AI menghasilkan keputusan bias karena data pelatihan yang tidak terwakili | 15% ATAU Rendah | $200.000 ATAU Tinggi | $30.000 ATAU Cukup tinggi | Level 3 | Mitigasi | Gunakan teknik mitigasi pemfilteran konten. Model AI tim merah setiap bulan. |
Prospek AI | 2024-05-01 |
Langkah selanjutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk