Cloudrisico's beoordelen
In dit artikel wordt beschreven hoe u risico's evalueert die zijn gekoppeld aan de cloud. Alle technologieën introduceren bepaalde risico's voor een organisatie. Risico's zijn ongewenste resultaten die van invloed kunnen zijn op uw bedrijf, zoals niet-naleving van industriestandaarden. Wanneer u de cloud gaat gebruiken, moet u de risico's identificeren die de cloud voor uw organisatie vormt. Het cloudgovernanceteam maakt beleidsregels voor cloudgovernance om deze risico's te voorkomen en te beperken. Voltooi deze taken om cloudrisico's te beoordelen.
Cloudrisico's identificeren
Catalogiseer een uitgebreide lijst met cloudrisico's. Als u uw risico's kent, kunt u beleidsregels voor cloudgovernance maken die deze risico's kunnen voorkomen en beperken. Volg deze aanbevelingen om cloudrisico's te identificeren:
Alle cloudassets weergeven. Vermeld al uw cloudassets, zodat u de risico's die eraan zijn gekoppeld uitgebreid kunt identificeren. U kunt bijvoorbeeld Azure Portal, Azure Resource Graph, PowerShell en Azure CLI gebruiken om alle resources in een abonnement weer te geven.
Ontdek cloudrisico's. Ontwikkel een stabiele risicocatalogus om cloudgovernancebeleid te begeleiden. Als u frequente aanpassingen wilt voorkomen, richt u zich op algemene cloudrisico's, niet op risico's die uniek zijn voor een specifieke workload. Begin met risico's met hoge prioriteit en ontwikkel een uitgebreidere lijst in de loop van de tijd. Veelvoorkomende risicocategorieën zijn naleving van regelgeving, beveiliging, bewerkingen, kosten, gegevens, resources en AI. Neem risico's op die uniek zijn voor uw organisatie, zoals niet-Microsoft-software, partner- of leveranciersondersteuning en interne cloudcompetenties.
Betrek belangrijke belanghebbenden. Verzamel input van diverse organisatierollen (IT, beveiliging, juridische, financiën en bedrijfseenheden) om rekening te houden met alle mogelijke risico's. Deze samenwerkingsbenadering zorgt voor een holistische weergave van risico's met betrekking tot de cloud.
Controleer de risico's. Neem contact op met externe experts die beschikken over een grondige kennis van de identificatie van cloudrisico's om uw risicolijst te controleren en te valideren. Deze experts kunnen Microsoft-accountteams of gespecialiseerde Microsoft-partners zijn. Hun expertise helpt bij het bevestigen van de identificatie van alle potentiële risico's en verbetert de nauwkeurigheid van uw risicoanalyse.
Azure-facilitering: cloudrisico's identificeren
De volgende richtlijnen zijn bedoeld om u te helpen bij het identificeren van cloudrisico's in Azure. Het biedt een voorbeeldstartpunt voor belangrijke categorieën cloudgovernance. Azure kan helpen bij het automatiseren van een deel van het proces voor het vinden van risico's. Gebruik Azure-hulpprogramma's zoals Azure Advisor, Microsoft Defender voor Cloud, Azure Policy, Azure Service Health en Microsoft Purview.
Identificeer risico's voor naleving van regelgeving. Identificeer risico's van niet-naleving van juridische en regelgevingskaders die van invloed zijn op cloudgegevens en -bewerkingen. De wettelijke vereisten van uw branche kennen. Gebruik de Documentatie voor Azure-naleving om te beginnen.
Beveiligingsrisico's identificeren. Identificeer bedreigingen en beveiligingsproblemen die de vertrouwelijkheid, integriteit en beschikbaarheid van de cloudomgeving in gevaar brengen. Gebruik Azure om uw cloudbeveiligingspostuur te beoordelen en identiteitsrisico's te detecteren.
Kostenrisico's identificeren. Identificeer risico's met betrekking tot de kosten van cloudresources. Kostengerelateerde risico's omvatten overprovisioning, underprovisioning, underutilization en onverwachte kosten van kosten voor gegevensoverdracht of het schalen van services. Gebruik een kostenevaluatie om kostenrisico's te identificeren. Gebruik Azure om kosten te schatten met de Azure-prijscalculator. Kosten voor huidige resources analyseren en voorspellen . Identificeer onverwachte wijzigingen in cloudkosten.
Risico's voor bewerkingen identificeren. Identificeer risico's die de continuïteit van cloudbewerkingen bedreigen, zoals downtime en gegevensverlies. Gebruik Azure-hulpprogramma's om risico's voor betrouwbaarheid en prestaties te identificeren.
Gegevensrisico's identificeren. Identificeer risico's met betrekking tot gegevensbeheer in de cloud. Overweeg onjuiste verwerking van gegevens en fouten in het beheer van de levenscyclus van gegevens. Gebruik Azure-hulpprogramma's om gegevensrisico's te identificeren en risico's voor gevoelige gegevens te verkennen.
Risico's voor resourcebeheer identificeren. Identificeer risico's die voortvloeien uit het inrichten, implementeren, configureren en beheren van cloudresources. Risico's identificeren voor operationele uitmuntendheid.
AI-risico's identificeren. Regelmatig rode teamtaalmodellen. Ai-systemen handmatig testen en handmatige tests aanvullen met geautomatiseerde hulpprogramma's voor risicoidentificatie voor AI. Zoek naar veelvoorkomende menselijke AI-interactiefouten. Overweeg risico's met betrekking tot gebruik, toegang en uitvoer van AI-systemen. Bekijk de tenets van verantwoorde AI en het verantwoorde AI-volwassenheidsmodel.
Cloudrisico's analyseren
Wijs een kwalitatieve of kwantitatieve rangschikking toe aan elk risico, zodat u ze op ernst kunt prioriteren. Risico prioritering combineert risicokans en risico-impact. Geef de voorkeur aan kwantitatieve risicoanalyse ten opzichte van kwalitatief voor nauwkeurigere risico prioritering. Volg deze strategieën om cloudrisico's te analyseren:
Risicokans evalueren
Schat de kwantitatieve of kwalitatieve waarschijnlijkheid van elk risico dat per jaar optreedt. Gebruik een percentagebereik (0%-100%) om de jaarlijkse, kwantitatieve risicokans te vertegenwoordigen. Laag, gemiddeld en hoog zijn algemene labels voor kwalitatieve risicokans. Volg deze aanbevelingen om de kans op risico's te evalueren:
Gebruik openbare benchmarks. Gebruik gegevens uit rapporten, studies of sla's (Service Level Agreements) die veelvoorkomende risico's en de frequentie van het optreden documenteren.
Historische gegevens analyseren. Bekijk interne incidentrapporten, auditlogboeken en andere records om te bepalen hoe vaak vergelijkbare risico's zich in het verleden hebben voorgedaan.
Test de effectiviteit van de controle. Om risico's te minimaliseren, beoordeelt u de effectiviteit van de huidige risicobeperkingsmaatregelen. Overweeg controleresultaten te controleren, resultaten te controleren en metrische prestatiegegevens te controleren.
Risico-impact bepalen
Schat de kwantitatieve of kwalitatieve impact van het risico dat op de organisatie voorkomt. Een financieel bedrag is een gebruikelijke manier om kwantitatieve risico-impact te vertegenwoordigen. Laag, gemiddeld en hoog zijn algemene labels voor kwalitatieve risico-impact. Volg deze aanbevelingen om de impact van risico's te bepalen:
Voer financiële analyses uit. Schat het potentiële financiële verlies van een risico door te kijken naar factoren zoals de kosten van downtime, juridische kosten, boetes en de kosten van herstel.
Voer een reputatiebeoordeling uit. Gebruik enquêtes, marktonderzoek of historische gegevens over vergelijkbare incidenten om de mogelijke impact op de reputatie van de organisatie te schatten.
Voer een operationele onderbrekingsanalyse uit. Beoordeel de mate van operationele onderbreking door downtime, verlies van productiviteit en de kosten van alternatieve regelingen te schatten.
Juridische implicaties beoordelen. Maak een schatting van mogelijke juridische kosten, boetes en sancties die verband houden met niet-naleving of schendingen.
Risicoprioriteit berekenen
Wijs een risicoprioriteit toe aan elk risico. Risicoprioriteit is het belang dat u toewijst aan een risico, zodat u weet of u het risico met een hoge, gemiddelde of lage urgentie wilt behandelen. Risico-impact is belangrijker dan kans op risico's, omdat een risico met een hoog effect blijvende gevolgen kan hebben. Het governanceteam moet een consistente methodologie binnen de organisatie gebruiken om prioriteit te geven aan risico's. Volg deze aanbevelingen om de risicoprioriteit te berekenen:
Gebruik een risicomatrix voor kwalitatieve evaluaties. Maak een matrix om een kwalitatieve risicoprioriteit toe te wijzen aan elk risico. De ene as van de matrix vertegenwoordigt risicokans (hoog, gemiddeld, laag) en de andere as vertegenwoordigt risico-impact (hoog, gemiddeld, laag). De volgende tabel bevat een voorbeeldrisicomatrix:
Lage impact Gemiddelde impact hoge impact Lage waarschijnlijkheid Zeer laag Gemiddeld laag Gemiddeld hoog Gemiddelde waarschijnlijkheid Beperkt Gemiddeld Hoog Hoge waarschijnlijkheid Gemiddeld Hoog Zeer hoog Formules gebruiken voor kwantitatieve evaluaties. Gebruik de volgende berekening als basislijn: risicoprioriteit = risicokans x risicoimpact. Pas zo nodig het gewicht van de variabelen aan om de resultaten van de risicoprioriteit aan te passen. U kunt bijvoorbeeld meer nadruk leggen op de risico-impact met deze formule: risicoprioriteit = risicokans x (risicoimpact x 1,5).
Een risiconiveau toewijzen
Categoriseer elk risico in een van de drie niveaus: belangrijke risico's (niveau 1), subrisks (niveau 2) en risicofactoren (niveau 3). Met risiconiveaus kunt u een geschikte strategie voor risicobeheer plannen en toekomstige uitdagingen anticiperen. Risico's op niveau 1 bedreigen de organisatie of technologie. Risico's op niveau 2 vallen onder het risico op niveau 1. Risico's op niveau 3 zijn trends die kunnen leiden tot een of meer risico's op niveau 1 of niveau 2. Denk bijvoorbeeld aan niet-naleving van wetten voor gegevensbescherming (niveau 1), onjuiste cloudopslagconfiguraties (niveau 2) en toenemende complexiteit van wettelijke vereisten (niveau 3).
Strategie voor risicobeheer bepalen
Identificeer voor elk risico de juiste opties voor risicobehandeling, zoals vermijden, beperken, overdragen of accepteren van het risico. Geef een uitleg van de keuze. Als u bijvoorbeeld besluit een risico te accepteren omdat de kosten voor het beperken ervan te duur zijn, moet u deze redenering documenteren voor toekomstige naslaginformatie.
Risico-eigenaren toewijzen
Wijs een primaire risico-eigenaar aan voor elk risico. De eigenaar van het risico heeft de verantwoordelijkheid om elk risico te beheren. Deze persoon coördineert de strategie voor risicobeheer voor elk betrokken team en is het eerste contactpunt voor risico-escalatie.
Cloudrisico's documenteert
Documenteer elk risico en de details van de risicoanalyse. Maak een lijst met risico's (risicoregister) die alle informatie bevat die u nodig hebt om risico's te identificeren, te categoriseren, te prioriteren en te beheren. Ontwikkel gestandaardiseerde taal voor risicodocumentatie, zodat iedereen de cloudrisico's gemakkelijk kan begrijpen. Overweeg deze elementen op te nemen:
- Risico-id: een unieke id voor elk risico. De id opeenvolgend verhogen wanneer u nieuwe risico's toevoegt. Als u risico's verwijdert, kunt u hiaten in de reeks achterlaten of de hiaten in de reeks vullen.
- Status van risicobeheer: de status van het risico (open, gesloten).
- Risicocategorie: een label zoals naleving van regelgeving, beveiliging, kosten, bewerkingen, AI of resourcebeheer.
- Beschrijving van risico: Een korte beschrijving van het risico.
- Risicokans: De kans op het risico dat per jaar optreedt. Gebruik een percentage of kwalitatief label.
- Risico-impact: de impact op de organisatie als het risico optreedt. Gebruik een bedrag of kwalitatief label.
- Risicoprioriteit: de ernst van het risico (kans x impact). Gebruik een dollarbedrag of kwalitatief label.
- Risiconiveau: het type risico. Gebruik belangrijke bedreiging (niveau 1), subrisk (niveau 2) of risicostuurprogramma (niveau 3).
- Strategie voor risicobeheer: de aanpak voor het beheren van het risico, zoals beperken, accepteren of vermijden.
- Afdwinging van risicobeheer: de technieken om de strategie voor risicobeheer af te dwingen.
- Eigenaar van risico: de persoon die het risico beheert.
- Sluitingsdatum van risico: een datum waarop de strategie voor risicobeheer moet worden toegepast.
Zie het voorbeeld van een lijst met risico's voor meer informatie.
Cloudrisico's communiceren
Breng duidelijk geïdentificeerde cloudrisico's over aan de executive sponsor en het management op leidinggevend niveau. Het doel is ervoor te zorgen dat de organisatie prioriteit geeft aan cloudrisico's. Geef regelmatig updates over cloudrisicobeheer en communiceer wanneer u extra resources nodig hebt om risico's te beheren. Promoot een cultuur waarbij het beheer van cloudrisico's en governance deel uitmaakt van dagelijkse activiteiten.
Cloudrisico's beoordelen
Bekijk de huidige lijst met cloudrisico's om ervoor te zorgen dat deze geldig en nauwkeurig is. Beoordelingen moeten regelmatig zijn en ook in reactie op specifieke gebeurtenissen. Risico's onderhouden, bijwerken of verwijderen indien nodig. Volg deze aanbevelingen om cloudrisico's te bekijken:
Plan regelmatige evaluaties. Stel een terugkerend schema in om cloudrisico's, zoals driemaandelijkse, biannually of jaarlijks, te beoordelen en te beoordelen. Zoek een beoordelingsfrequentie die het beste geschikt is voor de beschikbaarheid van medewerkers, de snelheid van wijzigingen in de cloudomgeving en tolerantie voor organisatierisico's.
Voer beoordelingen op basis van gebeurtenissen uit. Bekijk risico's als reactie op specifieke gebeurtenissen, zoals de mislukte preventie van een risico. Overweeg risico's te bekijken wanneer u nieuwe technologieën gebruikt, bedrijfsprocessen wijzigt en nieuwe beveiligingsrisico's ontdekt. Overweeg ook te controleren wanneer technologie, naleving van regelgeving en organisatorische risicotolerantie verandert.
Controleer het beleid voor cloudgovernance. Houd cloudgovernancebeleidsregels bij of verwijder dit om nieuwe risico's, bestaande risico's of verouderde risico's aan te pakken. Bekijk waar nodig de beleidsverklaring voor cloudgovernance en de strategie voor het afdwingen van cloudgovernance. Wanneer u een risico verwijdert, moet u evalueren of het bijbehorende cloudgovernancebeleid nog steeds relevant is. Neem contact op met belanghebbenden om het cloudgovernancebeleid te verwijderen of het beleid bij te werken om deze te koppelen aan een nieuw risico.
Voorbeeld van risicolijst
De volgende tabel is een voorbeeld van een risicolijst, ook wel een risicoregister genoemd. Pas het voorbeeld aan op de specifieke behoeften en context van de Azure-cloudomgeving van uw organisatie.
| Risico-id | Status van risicobeheer | Risicocategorie | Beschrijving van risico | Risicokans | Impact op risico's | Risicoprioriteit | Risiconiveau | Strategie voor risicobeheer | Afdwinging van risicobeheer | Eigenaar van risico | Sluitingsdatum van risico |
|---|---|---|---|---|---|---|---|---|---|---|---|
| R01 | Startkoers | Naleving van regelgeving | Niet-naleving van gevoelige gegevensvereisten | 20% OF gemiddeld | $ 100.000 OF Hoog | $ 20.000 OF Hoog | Niveau 2 | Verzachten | Microsoft Purview gebruiken voor bewaking van gevoelige gegevens. Nalevingsrapportage in Microsoft Purview. |
Nalevingsleider | 2024-04-01 |
| R02 | Startkoers | Beveiliging | Onbevoegde toegang tot cloudservices | 30% OF hoog | $ 200.000 OF Hoog | $ 60.000 OF Zeer hoog | Niveau 1 | Verzachten | Meervoudige verificatie (MFA) voor Microsoft Entra ID. Microsoft Entra ID-governance maandelijkse toegangsbeoordelingen. |
Beveiligingsleider | 2024-03-15 |
| R03 | Startkoers | Beveiliging | Onveilig codebeheer | 20% OF gemiddeld | $ 150.000 OF Hoog | $ 30.000 OF Hoog | Niveau 2 | Verzachten | Gebruik gedefinieerde codeopslagplaats. Gebruik quarantainepatroon voor openbare bibliotheken. |
Lead voor ontwikkelaars | 2024-03-30 |
| R04 | Startkoers | Kosten | Overbesteding van cloudservices vanwege overprovisioning en gebrek aan bewaking | 40% OF hoog | $ 50.000 OF gemiddeld | $ 20.000 OF Hoog | Niveau 2 | Verzachten | Budgetten en waarschuwingen instellen voor workloads. Aanbevelingen voor advisor-kosten bekijken en toepassen. |
Kosten lead | 2024-03-01 |
| R05 | Startkoers | Operations | Serviceonderbreking vanwege een storing in de Azure-regio | 25% OF gemiddeld | $ 150.000 OF Hoog | $ 37.500 OF hoog | Niveau 1 | Verzachten | Bedrijfskritieke workloads hebben een actief-actief architectuur. Andere workloads hebben een actief-passieve architectuur. |
Potentiële klant voor bewerkingen | 2024-03-20 |
| R06 | Startkoers | Gegevens | Verlies van gevoelige gegevens vanwege onjuist versleutelings- en levenscyclusbeheer van gegevens | 35% OF hoog | $ 250.000 OF Hoog | $ 87.500 OF Zeer hoog | Niveau 1 | Verzachten | Versleuteling in transit en at rest toepassen. Stel beleidsregels voor de levenscyclus van gegevens vast met behulp van Azure-hulpprogramma's. |
Gegevensleider | 2024-04-10 |
| R07 | Startkoers | Resourcebeheer | Onjuiste configuratie van cloudresources die leiden tot onbevoegde toegang en blootstelling van gegevens | 30% OF hoog | $ 100.000 OF Hoog | $ 30.000 OF Zeer hoog | Niveau 2 | Verzachten | Infrastructuur gebruiken als code (IaC). Vereisten voor taggen afdwingen met behulp van Azure Policy. |
Resourceleider | 2024-03-25 |
| R08 | Startkoers | AI | AI-model dat bevooroordeeerde beslissingen produceert vanwege niet-vertegenwoordigde trainingsgegevens | 15% OF Laag | $ 200.000 OF Hoog | $ 30.000 OF gemiddeld hoog | Niveau 3 | Verzachten | Gebruik beperkingstechnieken voor inhoudsfilters. Ai-modellen van het rode team maandelijks. |
AI-lead | 2024-05-01 |