Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Setelah tim tata kelola dibentuk, langkah selanjutnya adalah mengidentifikasi dan mengevaluasi semua risiko signifikan terkait penggunaan cloud oleh organisasi Anda. "Risiko" dalam konteks ini adalah setiap hasil potensial yang tidak diinginkan, seperti pelanggaran keamanan, pelanggaran kepatuhan, pemadaman layanan, atau pembengkakan biaya, yang dapat terjadi akibat cara penggunaan cloud. Dengan menilai risiko, tim tata kelola mendapatkan informasi yang diperlukan untuk membuat kebijakan yang relevan pada langkah berikutnya. Penilaian risiko ini harus dilakukan pada awalnya selama penyiapan tata kelola, dan kemudian ditinjau kembali secara teratur dan setiap kali perubahan besar terjadi, seperti proyek baru, ancaman baru, audit, dan insiden.
Diagram memperlihatkan proses untuk menyiapkan dan memelihara tata kelola cloud. Diagram menunjukkan lima langkah berurutan: membangun tim tata kelola cloud, menilai risiko cloud, mendokumen kebijakan cloud, menerapkan kebijakan cloud, dan memantau kepatuhan cloud. Langkah pertama yang Anda lakukan sekali. Empat langkah terakhir yang Anda lakukan sekali untuk menyiapkan tata kelola cloud dan terus mempertahankan tata kelola cloud.
1. Identifikasi risiko awan
Mulailah dengan mengkompilasi daftar risiko komprehensif yang dihadapi organisasi di cloud. Fokus pada risiko yang berlaku secara umum daripada skenario yang sangat spesifik. Anda dapat memulai dengan risiko prioritas tinggi yang jelas dan memperluas daftar dari waktu ke waktu.
Mencantumkan semua aset cloud. Cantumkan semua aset cloud Anda sehingga Anda dapat mengidentifikasi risiko yang terkait dengannya secara komprehensif. Misalnya, Anda dapat menggunakan portal Azure, Azure Resource Graph, PowerShell, dan Azure CLI untuk melihat semua sumber daya dalam langganan.
Temukan risiko komputasi awan. Kembangkan katalog risiko yang stabil untuk memandu kebijakan tata kelola cloud. Untuk mencegah penyesuaian yang sering, fokus pada risiko cloud umum, bukan risiko unik untuk beban kerja tertentu. Mulailah dengan risiko prioritas tinggi dan kembangkan daftar yang lebih komprehensif dari waktu ke waktu. Kategori risiko umum adalah kepatuhan terhadap peraturan, keamanan, operasi, biaya, data, sumber daya, dan AI. Sertakan risiko yang unik untuk organisasi Anda, seperti perangkat lunak non-Microsoft, dukungan mitra atau vendor, dan kompetensi cloud internal.
Melibatkan pemangku kepentingan utama. Kumpulkan masukan dari beragam peran organisasi (IT, keamanan, hukum, keuangan, dan unit bisnis) untuk mempertimbangkan semua potensi risiko. Pendekatan kolaboratif ini memastikan pandangan holistik tentang risiko yang terkait dengan cloud.
Verifikasi risiko. Libatkan pakar eksternal yang memiliki pemahaman mendalam tentang identifikasi risiko cloud untuk meninjau dan memvalidasi daftar risiko Anda. Para ahli ini bisa menjadi tim akun Microsoft atau mitra Microsoft khusus. Keahlian mereka membantu mengonfirmasi identifikasi semua potensi risiko dan meningkatkan akurasi penilaian risiko Anda.
fasilitasi Azure: Mengidentifikasi risiko cloud
Panduan berikut dimaksudkan untuk membantu Anda mengidentifikasi risiko cloud dalam Azure. Ini menyediakan titik awal sampel untuk kategori utama tata kelola cloud. Azure dapat membantu mengotomatiskan bagian dari proses menemukan risiko. Gunakan alat Azure, seperti Azure Advisor, Microsoft Defender untuk Cloud, Azure Policy, Azure Service Health, dan Microsoft Purview.
Identifikasi risiko kepatuhan terhadap peraturan. Identifikasi risiko ketidakpatuhan dengan kerangka kerja hukum dan peraturan yang memengaruhi data dan operasi cloud. Ketahui persyaratan peraturan industri Anda. Gunakan dokumentasi kepatuhan Azure untuk memulai.
Identifikasi risiko keamanan. Identifikasi ancaman dan kerentanan yang membahgi kerahasiaan, integritas, dan ketersediaan lingkungan cloud. Gunakan Azure untuk menilai postur keamanan cloud Anda dan mendeteksi risiko identitas.
Identifikasi risiko biaya. Identifikasi risiko yang terkait dengan biaya sumber daya cloud. Risiko terkait biaya termasuk provisi berlebih, kurang provisi, kurang digunakan, dan biaya tak terduga dari biaya transfer data atau penskalaan layanan. Gunakan penilaian biaya untuk mengidentifikasi risiko biaya. Gunakan Azure untuk memperkirakan biaya dengan kalkulator harga Azure. Menganalisis dan memperkirakan biaya pada sumber daya saat ini. Identifikasi perubahan tak terduga dalam biaya cloud.
Identifikasi risiko operasi. Identifikasi risiko yang mengancam kelangsungan operasi cloud, seperti waktu henti dan kehilangan data. Gunakan alat Azure untuk mengidentifikasi risiko keandalan dan performa.
Mengidentifikasi risiko data. Identifikasi risiko yang terkait dengan manajemen data dalam cloud. Pertimbangkan penanganan data dan kelemahan yang tidak tepat dalam manajemen siklus hidup data. Gunakan alat Azure untuk membantu identifikasi risiko data dan eksplorasi risiko terhadap data sensitif.
Identifikasi risiko manajemen sumber daya. Identifikasi risiko yang berasal dari penyediaan, penyebaran, konfigurasi, dan manajemen sumber daya cloud. Identifikasi risiko terhadap keunggulan operasional.
Identifikasi risiko AI. Model bahasa tim merah secara teratur. Uji sistem AI secara manual dan melengkapi pengujian manual dengan alat identifikasi risiko automasi untuk AI. Cari kegagalan interaksi manusia-AI umum. Pertimbangkan risiko yang terkait dengan penggunaan, akses, dan output sistem AI. Tinjau prinsip AI yang bertanggung jawab dan model kematangannya.
2. Menganalisis risiko cloud
Tetapkan peringkat kualitatif atau kuantitatif untuk setiap risiko sehingga Anda dapat memprioritaskannya berdasarkan tingkat keparahan. Prioritas risiko menggabungkan probabilitas risiko dan dampak risiko. Lebih suka analisis risiko kuantitatif daripada kualitatif untuk prioritas risiko yang lebih tepat. Untuk menganalisis risiko cloud, ikuti strategi berikut:
Menilai probabilitas risiko
Perkirakan probabilitas kuantitatif atau kualitatif dari setiap risiko yang terjadi per tahun. Gunakan rentang persentase (0%-100%) untuk mewakili probabilitas risiko kuantitatif tahunan. Rendah, sedang, dan tinggi adalah label umum untuk probabilitas risiko kualitatif. Untuk mengevaluasi probabilitas risiko, ikuti rekomendasi berikut:
Gunakan tolok ukur publik. Gunakan data dari laporan, studi, atau perjanjian tingkat layanan (SLA) yang mendokumentasikan risiko umum dan tingkat kemunculannya.
Menganalisis data historis. Lihat laporan insiden internal, log audit, dan catatan lainnya untuk mengidentifikasi seberapa sering risiko serupa terjadi di masa lalu.
Menguji efektivitas kontrol. Untuk meminimalkan risiko, nilai efektivitas langkah-langkah kontrol mitigasi risiko saat ini. Pertimbangkan untuk meninjau hasil pengujian kontrol, temuan audit, dan metrik performa.
Menentukan dampak risiko
Perkirakan dampak kuantitatif atau kualitatif dari risiko yang terjadi pada organisasi. Jumlah moneter adalah cara umum untuk mewakili dampak risiko kuantitatif. Rendah, sedang, dan tinggi adalah label umum untuk dampak risiko kualitatif. Untuk menentukan dampak risiko, ikuti rekomendasi berikut:
Melakukan analisis keuangan. Perkirakan potensi kerugian finansial risiko dengan melihat faktor-faktor, seperti biaya waktu henti, biaya hukum, denda, dan biaya upaya remediasi.
Melakukan penilaian dampak reputasi. Gunakan survei, riset pasar, atau data historis tentang insiden serupa untuk memperkirakan dampak potensial pada reputasi organisasi.
Lakukan analisis gangguan operasional. Menilai tingkat gangguan operasional dengan memperkirakan waktu henti, hilangnya produktivitas, dan biaya pengaturan alternatif.
Menilai implikasi hukum. Memperkirakan potensi biaya hukum, denda, dan hukuman yang terkait dengan ketidakpatuhan atau pelanggaran.
Menghitung prioritas risiko
Tetapkan prioritas risiko untuk setiap risiko. Prioritas risiko adalah pentingnya tingkat kepentingan yang Anda tetapkan pada risiko sehingga Anda tahu apakah akan menangani risiko dengan urgensi tinggi, sedang, atau rendah. Dampak risiko lebih penting daripada probabilitas risiko karena risiko berdampak tinggi dapat memiliki konsekuensi yang berlangsung lama. Tim tata kelola harus menggunakan metodologi yang konsisten di seluruh organisasi untuk memprioritaskan risiko. Untuk menghitung prioritas risiko, ikuti rekomendasi berikut:
Gunakan matriks risiko untuk penilaian kualitatif. Buat matriks untuk menetapkan prioritas risiko kualitatif untuk setiap risiko. Satu sumbu matriks mewakili probabilitas risiko (tinggi, sedang, rendah) dan yang lainnya mewakili dampak risiko (tinggi, sedang, rendah). Tabel berikut ini menyediakan sampel matriks risiko:
Dampak rendah Dampak sedang Dampak tinggi Probabilitas rendah Sangat rendah Sedang rendah Agak tinggi Probabilitas sedang Low Menengah High Probabilitas tinggi Menengah High Sangat tinggi Gunakan rumus untuk penilaian kuantitatif. Gunakan perhitungan berikut sebagai garis besar: prioritas risiko = probabilitas risiko x dampak risiko. Sesuaikan berat variabel sesuai kebutuhan untuk menyesuaikan hasil prioritas risiko. Misalnya, Anda dapat lebih menekankan dampak risiko dengan rumus ini: prioritas risiko = probabilitas risiko x (dampak risiko x 1,5).
Menetapkan tingkat risiko
Kategorikan setiap risiko ke dalam salah satu dari tiga tingkat: risiko utama (tingkat 1), subrisk (tingkat 2), dan pendorong risiko (tingkat 3). Tingkat risiko memungkinkan Anda merencanakan strategi manajemen risiko yang sesuai dan mengantisipasi tantangan di masa depan. Risiko tingkat 1 mengancam organisasi atau teknologi. Risiko level 2 berada di bawah risiko level 1. Risiko level 3 adalah tren yang berpotensi memuncak dalam satu atau lebih risiko level 1 atau level 2. Misalnya, pertimbangkan ketidakpatuhan dengan undang-undang perlindungan data (tingkat 1), konfigurasi penyimpanan cloud yang tidak tepat (tingkat 2), dan meningkatkan kompleksitas persyaratan peraturan (tingkat 3).
Menentukan strategi manajemen risiko
Untuk setiap risiko, identifikasi opsi perawatan risiko yang sesuai, seperti menghindari, mengurangi, mentransfer, atau menerima risiko. Berikan penjelasan tentang pilihan. Misalnya, jika Anda memutuskan untuk menerima risiko karena biaya mitigasinya terlalu mahal, Anda harus mendokumentasikan alasan tersebut untuk referensi di masa mendatang.
Menetapkan pemilik risiko
Menunjuk pemilik risiko utama untuk setiap risiko. Pemilik risiko memiliki tanggung jawab untuk mengelola setiap risiko. Orang ini mengoordinasikan strategi manajemen risiko di setiap tim yang terlibat dan merupakan titik awal kontak untuk eskalasi risiko.
3. Risiko dokumen di cloud
Dokumentasikan setiap risiko dan detail analisis risiko. Buat daftar risiko (risk register) yang berisi semua informasi yang Anda butuhkan untuk mengidentifikasi, mengategorikan, memprioritaskan, dan mengelola risiko. Kembangkan bahasa standar untuk dokumentasi risiko sehingga semua orang dapat dengan mudah memahami risiko cloud. Pertimbangkan untuk menyertakan elemen-elemen ini:
| Bidang | Description |
|---|---|
| ID | Pengidentifikasi unik untuk setiap risiko. Ini memastikan keterlacakan dan referensi sederhana. Gunakan label berurutan (misalnya, R01, R02); menaikkan urutan saat Anda menambahkan risiko dan meninggalkan celah ketika Anda menghapus risiko atau mengganti nomor hanya jika perlu. |
| Status manajemen | Status risiko saat ini. Ini mengklarifikasi apakah risiko memerlukan tindakan. Gunakan "Buka" atau "Tertutup" dan perbarui status segera saat berubah. |
| Kategori | Label yang mengklasifikasikan risikonya. Ini mengelompokkan risiko untuk tata kelola dan pelaporan yang ditargetkan. Gunakan kategori, seperti Kepatuhan terhadap peraturan, Keamanan, Biaya, Operasi, AI, atau Manajemen sumber daya. |
| Description | Deskripsi singkat dan spesifik tentang risiko. Ini menjelaskan ancaman, aset yang terpengaruh, dan cakupan. Sebarkan risiko dalam satu kalimat dan sertakan penyebab atau titik masuk. |
| Probabilitas | Probabilitas tahunan bahwa risiko terjadi. Ini mendukung prioritas dan perbandingan kuantitatif. Gunakan persentase (0%–100%) atau label kualitatif (Rendah, Sedang, Tinggi). |
| Dampak | Konsekuensinya bagi organisasi jika risiko terjadi. Ini menginformasikan upaya remediasi dan estimasi biaya. Gunakan perkiraan moneter atau label kualitatif (Rendah, Sedang, Tinggi) dan dokumentasikan dasar perkiraan tersebut. |
| Priority | Tingkat keparahan terhitung yang menggabungkan probabilitas dan dampak. Ini mengarahkan urutan perawatan dan alokasi sumber daya. Gunakan jumlah dolar atau label kualitatif dan rekam metode perhitungan (misalnya, probabilitas × dampak). |
| Tingkat | Tingkat risiko dalam hierarki risiko. Ini mendefinisikan jalur eskalasi dan cakupan tata kelola. Gunakan Ancaman utama (level 1), Subrisk (level 2), atau Risk driver (level 3). |
| Strategi manajemen | Pendekatan yang dipilih untuk menangani risiko. Ini mendefinisikan tindakan utama dan hasil yang diharapkan. Gunakan tindakan, seperti Mitigasi, Terima, Hindari, atau Transfer dan jelaskan alasan untuk pilihan tersebut. |
| Penegakan manajemen | Kontrol dan proses yang mengimplementasikan strategi. Ini memastikan strategi dijalankan dan tetap efektif. Mencantumkan kontrol teknis, kebijakan, pemantauan, dan irama tinjauan tertentu. |
| Pemilik | Individu atau peran bertanggung jawab untuk mengelola risiko. Ini menetapkan tanggung jawab dan satu titik kontak. Catat peran atau nama pemilik, detail kontak, dan instruksi eskalasi. |
| Tanggal penutupan | Tanggal target untuk menerapkan strategi manajemen atau menutup risiko. Ini menciptakan tenggat waktu untuk akuntabilitas dan pelacakan. Atur tanggal dan perbarui saat risiko ditutup atau rencana berubah. |
Untuk informasi selengkapnya, lihat Contoh daftar risiko.
4. Mengkomunikasikan risiko cloud
Jelas menyampaikan risiko cloud yang diidentifikasi kepada sponsor eksekutif dan manajemen tingkat eksekutif. Tujuannya adalah untuk memastikan organisasi memprioritaskan risiko cloud. Berikan pembaruan rutin tentang manajemen risiko cloud dan berkomunikasi saat Anda memerlukan sumber daya tambahan untuk mengelola risiko. Mempromosikan budaya di mana mengelola risiko dan tata kelola cloud adalah bagian dari operasi harian.
5. Tinjau risiko komputasi awan
Tinjau daftar risiko cloud saat ini untuk memastikannya valid dan akurat. Ulasan harus teratur dan juga sebagai respons terhadap peristiwa tertentu. Pertahankan, perbarui, atau hapus risiko sesuai kebutuhan. Untuk meninjau risiko cloud, ikuti rekomendasi berikut:
Jadwalkan penilaian reguler. Tetapkan jadwal berulang untuk meninjau dan menilai risiko cloud, seperti triwulanan, dua tahunan, atau tahunan. Temukan frekuensi ulasan yang paling baik mengakomodasi ketersediaan personel, tingkat perubahan lingkungan cloud, dan toleransi risiko organisasi.
Melakukan tinjauan berbasis peristiwa. Tinjau risiko sebagai respons terhadap peristiwa tertentu, seperti pencegahan risiko yang gagal. Pertimbangkan untuk meninjau risiko saat Anda mengadopsi teknologi baru, mengubah proses bisnis, dan menemukan peristiwa ancaman keamanan baru. Pertimbangkan juga untuk meninjau kapan teknologi, kepatuhan terhadap peraturan, dan toleransi risiko organisasi berubah.
Tinjau kebijakan tata kelola cloud. Simpan, perbarui, atau hapus kebijakan tata kelola cloud untuk mengatasi risiko baru, risiko yang ada, atau risiko yang sudah kedaluarsa. Tinjau pernyataan kebijakan tata kelola cloud dan strategi penegakan tata kelola cloud sesuai kebutuhan. Saat Anda menghapus risiko, evaluasi apakah kebijakan tata kelola cloud yang terkait dengannya masih relevan. Konsultasikan dengan pemangku kepentingan untuk menghapus kebijakan tata kelola cloud atau memperbarui kebijakan untuk mengaitkannya dengan risiko baru.
Contoh daftar risiko
Tabel berikut adalah contoh daftar risiko, juga dikenal sebagai register risiko. Sesuaikan contoh agar sesuai dengan kebutuhan dan konteks spesifik lingkungan cloud Azure organisasi Anda.
| ID Risiko | Status manajemen risiko | Kategori risiko | Deskripsi risiko | Probabilitas risiko | Dampak risiko | Prioritas risiko | Tingkat risiko | Strategi manajemen risiko | Penegakan manajemen risiko | Pemilik risiko | Tanggal penutupan risiko |
|---|---|---|---|---|---|---|---|---|---|---|---|
| R01 | Buka | Kepatuhan terhadap peraturan | Ketidakpatuhan terhadap persyaratan data sensitif | 20% ATAU Menengah | $100.000 ATAU Tinggi | $20.000 ATAU Tinggi | Tingkat 2 | Mitigate | Gunakan Microsoft Purview untuk pemantauan data sensitif. Pelaporan kepatuhan dalam Microsoft Purview. |
Pimpinan Kepatuhan | 2024-04-01 |
| R02 | Buka | Keamanan | Akses tidak sah ke layanan cloud | 30% ATAU Tinggi | $200.000,00 atau Tinggi | $ 60.000 ATAU Sangat tinggi | Tingkat 1 | Mitigate | Microsoft Entra ID multifaktor autentikasi (MFA). Tata Kelola Microsoft Entra ID tinjauan akses bulanan. |
Pemimpin keamanan | 2024-03-15 |
| R03 | Buka | Keamanan | Manajemen kode yang tidak aman | 20% ATAU Menengah | $150.000 ATAU Tinggi | $30,000 atau Tinggi | Tingkat 2 | Mitigate | Gunakan repositori kode yang ditentukan. Gunakan pola karantina untuk pustaka publik. |
Pemimpin pengembang | 2024-03-30 |
| R04 | Buka | Biaya | Pengeluaran berlebih pada layanan cloud karena provisi berlebih dan kurangnya pemantauan | 40% ATAU Tinggi | $50.000 ATAU Menengah | $20.000 ATAU Tinggi | Tingkat 2 | Mitigate | Atur anggaran dan pemberitahuan untuk beban kerja. Tinjau dan terapkan rekomendasi biaya Advisor. |
Pemimpin Biaya | 2024-03-01 |
| R05 | Buka | Operations | Gangguan layanan karena pemadaman wilayah Azure | 25% ATAU Sedang | $150.000 ATAU Tinggi | $37,500 ATAU Tingkat Tinggi | Tingkat 1 | Mitigate | Beban kerja kritis misi memiliki arsitektur aktif-aktif. Beban kerja lain memiliki arsitektur pasif aktif. |
Prospek operasi | 2024-03-20 |
| R06 | Buka | Data Informasi | Hilangnya data sensitif karena enkripsi dan manajemen siklus hidup data yang tidak tepat | 35% ATAU Tinggi | $250.000 ATAU Tinggi | $ 87.500 ATAU Sangat tinggi | Tingkat 1 | Mitigate | Terapkan enkripsi saat transit dan saat tidak aktif. Buat kebijakan siklus hidup data menggunakan alat Azure. |
Petunjuk data | 2024-04-10 |
| R07 | Buka | Manajemen sumber daya | Kesalahan konfigurasi sumber daya cloud yang mengarah ke akses dan paparan data yang tidak sah | 30% ATAU Tinggi | $100.000 ATAU Tinggi | $ 30.000 ATAU Sangat tinggi | Tingkat 2 | Mitigate | Gunakan infrastruktur sebagai kode (IaC). Menerapkan persyaratan pemberian tag menggunakan Azure Policy. |
Pemimpin sumber daya | 2024-03-25 |
| R08 | Buka | AI | Model AI menghasilkan keputusan bias karena data pelatihan yang tidak terwakili | 15% atau Rendah | $200.000,00 atau Tinggi | $30.000 ATAU Cukup tinggi | Tingkat 3 | Mitigate | Gunakan teknik mitigasi pemfilteran konten. Model AI tim merah setiap bulan. |
Pemimpin AI | 2024-05-01 |
Langkah selanjutnya
Kebijakan tata kelola cloud dokumen