Ocena ryzyka związanego z chmurą

  • Artykuł

W tym artykule opisano sposób oceniania ryzyka związanego z chmurą. Wszystkie technologie wprowadzają pewne zagrożenia dla organizacji. Czynniki ryzyka są niepożądane, które mogą mieć wpływ na Twoją firmę, takie jak niezgodność ze standardami branżowymi. Podczas wdrażania chmury należy zidentyfikować zagrożenia, jakie stwarza chmura w organizacji. Zespół ds. ładu w chmurze tworzy zasady ładu w chmurze, aby zapobiec tym zagrożeniom i ograniczyć je. Aby ocenić ryzyko związane z chmurą, wykonaj te zadania.

Diagram przedstawiający proces konfigurowania i utrzymania ładu w chmurze. Na diagramie przedstawiono pięć kroków sekwencyjnych: tworzenie zespołu ds. ładu w chmurze, dokumentowanie zasad ładu w chmurze, wymuszanie zasad ładu w chmurze i monitorowanie ładu w chmurze. Pierwszy krok, który należy wykonać raz. Ostatnie cztery kroki wykonywane raz w celu skonfigurowania ładu w chmurze i ciągłego utrzymania ładu w chmurze.

Identyfikowanie ryzyka związanego z chmurą

Wykaz kompleksowej listy zagrożeń związanych z chmurą. Znajomość ryzyka umożliwia tworzenie zasad ładu w chmurze, które mogą zapobiegać tym zagrożeniom i ograniczać je. Aby zidentyfikować ryzyko związane z chmurą, wykonaj następujące zalecenia:

  • Wyświetl listę wszystkich zasobów w chmurze. Wyświetl listę wszystkich zasobów w chmurze, aby móc kompleksowo identyfikować związane z nimi zagrożenia. Na przykład możesz użyć witryny Azure Portal, usługi Azure Resource Graph, programu PowerShell i interfejsu wiersza polecenia platformy Azure, aby wyświetlić wszystkie zasoby w subskrypcji.

  • Odnajdywanie zagrożeń związanych z chmurą. Opracuj stabilny wykaz ryzyka, aby kierować zasadami ładu w chmurze. Aby zapobiec częstym korektom, skup się na ogólnym ryzyku związanym z chmurą, a nie na ryzyku unikatowym dla określonego obciążenia. Zacznij od wysokiego priorytetu ryzyka i opracuj bardziej kompleksową listę w czasie. Typowe kategorie ryzyka to zgodność z przepisami, zabezpieczenia, operacje, koszty, dane, zasoby i sztuczna inteligencja. Uwzględnij zagrożenia, które są unikatowe dla Organizacji, takie jak oprogramowanie firmy innej niż Microsoft, pomoc techniczna dla partnerów lub dostawcy oraz wewnętrzne kompetencje w chmurze.

  • Angażuj kluczowych uczestników projektu. Zbierz dane wejściowe z różnych ról organizacyjnych (IT, zabezpieczeń, prawnych, finansowych i biznesowych), aby wziąć pod uwagę wszystkie potencjalne zagrożenia. Takie podejście do współpracy zapewnia całościowy widok zagrożeń związanych z chmurą.

  • Weryfikowanie ryzyka. Skontaktuj się z ekspertami zewnętrznymi, którzy mają głębokie zrozumienie identyfikacji ryzyka w chmurze, aby przejrzeć i zweryfikować listę ryzyka. Ci eksperci mogą być zespołami kont Microsoft lub wyspecjalizowanymi partnerami firmy Microsoft. Ich wiedza pomaga potwierdzić identyfikację wszystkich potencjalnych zagrożeń i zwiększa dokładność oceny ryzyka.

Ułatwienia na platformie Azure: identyfikowanie zagrożeń związanych z chmurą

Poniższe wskazówki ułatwiają identyfikowanie zagrożeń związanych z chmurą na platformie Azure. Zawiera przykładowy punkt wyjścia dla głównych kategorii ładu w chmurze. Platforma Azure może pomóc zautomatyzować część procesu znajdowania zagrożeń. Użyj narzędzi platformy Azure, takich jak Azure Advisor, Microsoft Defender dla Chmury, Azure Policy, Azure Service Health i Microsoft Purview.

  • Identyfikowanie czynników ryzyka zgodności z przepisami. Identyfikowanie ryzyka niezgodności z ramami prawnymi i prawnymi wpływającymi na dane i operacje w chmurze. Poznaj wymagania prawne twojej branży. Aby rozpocząć, użyj dokumentacji dotyczącej zgodności platformy Azure.

  • Identyfikowanie zagrożeń bezpieczeństwa. Zidentyfikuj zagrożenia i luki w zabezpieczeniach, które zagrażają poufności, integralności i dostępności środowiska chmury. Użyj platformy Azure, aby ocenić stan zabezpieczeń chmury i wykryć zagrożenia związane z tożsamością.

  • Identyfikowanie ryzyka związanego z kosztami. Identyfikowanie czynników ryzyka związanych z kosztami zasobów w chmurze. Czynniki ryzyka związane z kosztami obejmują nadmierną aprowizację, niedostateczną aprowizację, niedostateczne wykorzystanie i nieoczekiwane koszty związane z opłatami za transfer danych lub skalowaniem usług. Użyj oceny kosztów, aby zidentyfikować ryzyko kosztów. Użyj platformy Azure, aby oszacować koszty za pomocą kalkulatora cen platformy Azure. Analizowanie i prognozowanie kosztów bieżących zasobów. Zidentyfikuj nieoczekiwane zmiany kosztów chmury.

  • Identyfikowanie ryzyka związanego z operacjami. Identyfikowanie zagrożeń, które zagrażają ciągłości operacji w chmurze, takich jak przestoje i utrata danych. Użyj narzędzi platformy Azure, aby zidentyfikować zagrożenia związane z niezawodnością i wydajnością.

  • Identyfikowanie ryzyka związanego z danymi. Identyfikowanie czynników ryzyka związanych z zarządzaniem danymi w chmurze. Rozważ niewłaściwą obsługę danych i wad zarządzania cyklem życia danych. Użyj narzędzi platformy Azure, aby ułatwić identyfikowanie zagrożeń związanych z danymi i eksplorowanie zagrożeń dla poufnych danych.

  • Identyfikowanie zagrożeń związanych z zarządzaniem zasobami. Identyfikowanie zagrożeń wynikających z aprowizacji, wdrażania, konfiguracji i zarządzania zasobami w chmurze. Identyfikowanie zagrożeń dla doskonałości operacyjnej.

  • Identyfikowanie zagrożeń związanych ze sztuczną inteligencją. Regularnie czerwone modele językowe zespołu. Ręcznie przetestuj systemy sztucznej inteligencji i uzupełnij testy ręczne za pomocą zautomatyzowanych narzędzi do identyfikacji ryzyka dla sztucznej inteligencji. Poszukaj typowych niepowodzeń interakcji między ludźmi a sztuczną inteligencją. Rozważ ryzyko związane z użyciem, dostępem i danymi wyjściowymi systemów sztucznej inteligencji. Przejrzyj zestawy odpowiedzialnej sztucznej inteligencji i odpowiedzialnego modelu dojrzałości do sztucznej inteligencji.

Analizowanie ryzyka związanego z chmurą

Przypisz klasyfikację jakościową lub ilościową do każdego ryzyka, aby można było określić ich priorytety według ważności. Priorytetyzacja ryzyka łączy prawdopodobieństwo ryzyka i wpływ na ryzyko. Preferuj analizę ryzyka ilościowego nad jakościową w celu bardziej precyzyjnej priorytetyzacji ryzyka. Aby przeanalizować ryzyko związane z chmurą, wykonaj następujące strategie:

Ocena prawdopodobieństwa ryzyka

Oszacowanie ilościowego lub jakościowego prawdopodobieństwa wystąpienia każdego ryzyka na rok. Użyj zakresu procentowego (0%-100%), aby reprezentować roczne, ilościowe prawdopodobieństwo ryzyka. Niskie, średnie i wysokie są typowymi etykietami dla prawdopodobieństwa ryzyka jakościowego. Aby ocenić prawdopodobieństwo ryzyka, wykonaj następujące zalecenia:

  • Użyj publicznych testów porównawczych. Użyj danych z raportów, badań lub umów dotyczących poziomu usług (SLA), które dokumentują typowe zagrożenia i ich wskaźniki występowania.

  • Analizowanie danych historycznych. Zapoznaj się z wewnętrznymi raportami zdarzeń, dziennikami inspekcji i innymi rekordami, aby określić, jak często wystąpiły podobne zagrożenia w przeszłości.

  • Skuteczność kontroli testów. Aby zminimalizować ryzyko, oceń skuteczność bieżących mechanizmów kontroli ograniczania ryzyka. Rozważ przejrzenie wyników testów kontrolnych, wyników inspekcji i metryk wydajności.

Określanie wpływu na ryzyko

Oszacowanie ilościowego lub jakościowego wpływu ryzyka występującego w organizacji. Kwota pieniężna jest typowym sposobem reprezentowania wpływu na ryzyko ilościowe. Niskie, średnie i wysokie są typowymi etykietami dla wpływu ryzyka jakościowego. Aby określić wpływ na ryzyko, wykonaj następujące zalecenia:

  • Przeprowadzanie analizy finansowej. Oszacowanie potencjalnej utraty finansowej ryzyka przez przyjrzenie się czynnikom, takim jak koszt przestoju, opłaty prawne, grzywny i koszty działań korygacyjnych.

  • Przeprowadzanie oceny wpływu reputacji. Użyj ankiet, badań rynkowych lub danych historycznych dotyczących podobnych zdarzeń, aby oszacować potencjalny wpływ na reputację organizacji.

  • Przeprowadzanie analizy zakłóceń operacyjnych. Oceń zakres zakłóceń operacyjnych, szacując przestój, utratę wydajności i koszt alternatywnych ustaleń.

  • Ocena skutków prawnych. Szacowanie potencjalnych kosztów prawnych, kar i kar związanych z niezgodnością lub naruszeniami.

Obliczanie priorytetu ryzyka

Przypisz priorytet ryzyka do każdego ryzyka. Priorytet ryzyka to znaczenie przypisywane do ryzyka, więc wiesz, czy traktować ryzyko z wysokim, średnim lub niskim pilnym. Wpływ na ryzyko jest ważniejszy niż prawdopodobieństwo ryzyka, ponieważ ryzyko wysokiego wpływu może mieć trwałe konsekwencje. Zespół ds. ładu musi używać spójnej metodologii w całej organizacji, aby ustalić priorytety ryzyka. Aby obliczyć priorytet ryzyka, wykonaj następujące zalecenia:

  • Użyj macierzy ryzyka na potrzeby ocen jakościowych. Utwórz macierz, aby przypisać priorytet ryzyka jakościowego do każdego ryzyka. Jedna oś macierzy reprezentuje prawdopodobieństwo ryzyka (wysokie, średnie, niskie), a druga reprezentuje wpływ na ryzyko (wysoki, średni, niski). Poniższa tabela zawiera przykładową macierz ryzyka:

    Mały wpływ Średni wpływ Duży wpływ
    Niskie prawdopodobieństwo Bardzo małe Umiarkowanie niski Umiarkowanie wysoki
    Średnie prawdopodobieństwo Niski Śred. Wys.
    Wysokie prawdopodobieństwo Śred. Wys. Bardzo wysoko

  • Użyj formuł do oceny ilościowej. Użyj następującego obliczenia jako punktu odniesienia: priorytet ryzyka = prawdopodobieństwo ryzyka x wpływ ryzyka. Dostosuj wagę zmiennych zgodnie z potrzebami, aby dostosować wyniki priorytetu ryzyka. Można na przykład położyć większy nacisk na wpływ na ryzyko przy użyciu tej formuły: priorytet ryzyka = prawdopodobieństwo ryzyka x (wpływ ryzyka x 1,5).

Przypisywanie poziomu ryzyka

Kategoryzuj każde ryzyko na jeden z trzech poziomów: główne zagrożenia (poziom 1), podrysy (poziom 2) i czynniki ryzyka (poziom 3). Poziomy ryzyka umożliwiają zaplanowanie odpowiedniej strategii zarządzania ryzykiem i przewidywanie przyszłych wyzwań. Poziom 1 zagraża organizacji lub technologii. Poziom 2 ryzyka spada poniżej poziomu 1 ryzyka. Poziom 3 ryzyka to trendy, które mogą potencjalnie zakończyć się co najmniej jednym ryzykiem na poziomie 1 lub 2. Rozważmy na przykład niezgodność z przepisami dotyczącymi ochrony danych (poziom 1), niewłaściwymi konfiguracjami magazynu w chmurze (poziom 2) i zwiększeniem złożoności wymagań prawnych (poziom 3).

Określanie strategii zarządzania ryzykiem

Dla każdego ryzyka należy zidentyfikować odpowiednie opcje leczenia ryzyka, takie jak unikanie, ograniczanie, przenoszenie lub akceptowanie ryzyka. Podaj wyjaśnienie wyboru. Jeśli na przykład zdecydujesz się zaakceptować ryzyko, ponieważ koszt jego łagodzenia jest zbyt kosztowny, należy udokumentować to uzasadnienie w przyszłości.

Przypisywanie właścicieli ryzyka

Wyznaczanie podstawowego właściciela ryzyka dla każdego ryzyka. Właściciel ryzyka ponosi odpowiedzialność za zarządzanie każdym ryzykiem. Ta osoba koordynuje strategię zarządzania ryzykiem w każdym zaangażowanym zespole i jest początkowym punktem kontaktu w celu eskalacji ryzyka.

Dokumentowanie ryzyka związanego z chmurą

Dokumentowanie każdego ryzyka i szczegółów analizy ryzyka. Utwórz listę czynników ryzyka (rejestr ryzyka), który zawiera wszystkie informacje potrzebne do identyfikowania, kategoryzowania, określania priorytetów i zarządzania ryzykiem. Opracuj ustandaryzowany język dokumentacji ryzyka, aby wszyscy mogli łatwo zrozumieć czynniki ryzyka chmury. Rozważ uwzględnienie następujących elementów:

  • Identyfikator ryzyka: unikatowy identyfikator każdego ryzyka. Zwiększaj identyfikator sekwencyjnie podczas dodawania nowych czynników ryzyka. Jeśli usuniesz ryzyko, możesz pozostawić luki w sekwencji lub wypełnić luki w sekwencji.
  • Stan zarządzania ryzykiem: stan ryzyka (otwarty, zamknięty).
  • Kategoria ryzyka: etykieta, taka jak zgodność z przepisami, zabezpieczenia, koszty, operacje, sztuczna inteligencja lub zarządzanie zasobami.
  • Opis ryzyka: krótki opis ryzyka.
  • Prawdopodobieństwo ryzyka: prawdopodobieństwo wystąpienia ryzyka na rok. Użyj etykiety procentowej lub jakościowej.
  • Wpływ na ryzyko: wpływ na organizację, jeśli wystąpi ryzyko. Użyj kwoty pieniężnej lub etykiety jakościowej.
  • Priorytet ryzyka: ważność ryzyka (prawdopodobieństwo x wpływ). Użyj wartości dolara lub etykiety jakościowej.
  • Poziom ryzyka: typ ryzyka. Użyj poważnego zagrożenia (poziom 1), podrysku (poziom 2) lub czynnika ryzyka (poziom 3).
  • Strategia zarządzania ryzykiem: podejście do zarządzania ryzykiem, takie jak ograniczanie ryzyka, akceptowanie lub unikanie.
  • Wymuszanie zarządzania ryzykiem: techniki wymuszania strategii zarządzania ryzykiem.
  • Właściciel ryzyka: osoba zarządzająca ryzykiem.
  • Data zamknięcia ryzyka: data zastosowania strategii zarządzania ryzykiem.

Aby uzyskać więcej informacji, zobacz Przykład listy ryzyka.

Informowanie o ryzyku chmury

Wyraźnie przekaż zidentyfikowane zagrożenia w chmurze do sponsora wykonawczego i zarządzania na poziomie kierownictwa. Celem jest zapewnienie, że organizacja priorytetowo określa ryzyko związane z chmurą. Zapewnianie regularnych aktualizacji zarządzania ryzykiem w chmurze i komunikowanie się, gdy potrzebne są dodatkowe zasoby do zarządzania ryzykiem. Promowanie kultury, w której zarządzanie ryzykiem w chmurze i zarządzanie nim jest częścią codziennych operacji.

Przegląd zagrożeń związanych z chmurą

Przejrzyj bieżącą listę ryzyka chmury, aby upewnić się, że jest ona prawidłowa i dokładna. Przeglądy powinny być regularne, a także w odpowiedzi na określone zdarzenia. Zachowaj, zaktualizuj lub usuń zagrożenia zgodnie z potrzebami. Aby przejrzeć ryzyko związane z chmurą, postępuj zgodnie z następującymi zaleceniami:

  • Zaplanuj regularne oceny. Ustaw harmonogram cykliczny, aby przeglądać i oceniać czynniki ryzyka w chmurze, takie jak kwartalne, półroczne lub roczne. Znajdź częstotliwość przeglądu, która najlepiej uwzględnia dostępność personelu, szybkość zmian w środowisku chmury i tolerancję ryzyka organizacyjnego.

  • Przeprowadzanie przeglądów opartych na zdarzeniach. Przejrzyj czynniki ryzyka w odpowiedzi na określone zdarzenia, takie jak zapobieganie awarii ryzyka. Podczas wdrażania nowych technologii, zmieniania procesów biznesowych i odnajdywania nowych zdarzeń zagrożeń bezpieczeństwa należy rozważyć przegląd zagrożeń. Należy również rozważyć przegląd zmian dotyczących technologii, zgodności z przepisami i tolerancji ryzyka organizacyjnego.

  • Przejrzyj zasady ładu w chmurze. Zachowaj, zaktualizuj lub usuń zasady ładu w chmurze, aby sprostać nowym zagrożeniom, istniejącym zagrożeniom lub nieaktualnym zagrożeniom. Zapoznaj się z instrukcjami zasad ładu w chmurze i strategią wymuszania ładu w chmurze zgodnie z potrzebami. Po usunięciu ryzyka należy ocenić, czy skojarzone z nim zasady ładu w chmurze są nadal istotne. Skontaktuj się z uczestnikami projektu, aby usunąć zasady ładu w chmurze lub zaktualizować zasady, aby skojarzyć je z nowym ryzykiem.

Przykładowa lista ryzyka

Poniższa tabela zawiera przykładową listę ryzyka, znaną również jako rejestr ryzyka. Dostosuj przykład, aby odpowiadał konkretnym potrzebom i kontekstowi środowiska chmury platformy Azure w organizacji.

Identyfikator ryzyka Stan zarządzania ryzykiem Kategoria ryzyka Opis czynnika ryzyka Prawdopodobieństwo ryzyka Wpływ na ryzyko Priorytet ryzyka Poziom ryzyka Strategia zarządzania ryzykiem Wymuszanie zarządzania ryzykiem Właściciel ryzyka Data zamknięcia ryzyka
R01 Otwarcie Zgodność z przepisami Niezgodność z wymaganiami dotyczącymi danych poufnych 20% LUB średni $100,000 OR High $20,000 OR High Poziom 2 Złagodzenia Użyj usługi Microsoft Purview do monitorowania danych poufnych.
Raportowanie zgodności w usłudze Microsoft Purview.		 Główny lider zgodności 2024-04-01
R02 Otwarcie Zabezpieczenia Nieautoryzowany dostęp do usług w chmurze 30% LUB wysoki $200,000 OR High $60,000 OR Bardzo wysoki Poziom 1 Złagodzenia Uwierzytelnianie wieloskładnikowe (MFA) firmy Microsoft Entra ID.
Zarządzanie tożsamością Microsoft Entra miesięcznych przeglądów dostępu.		 Główny lider zabezpieczeń 2024-03-15
R03 Otwarcie Zabezpieczenia Niezabezpieczone zarządzanie kodem 20% LUB średni $150,000 OR High $30,000 OR High Poziom 2 Złagodzenia Użyj zdefiniowanego repozytorium kodu.
Użyj wzorca kwarantanny dla bibliotek publicznych.		 Lider dewelopera 2024-03-30
R04 Otwarcie Koszt Nadmierne wydatki na usługi w chmurze z powodu nadmiernej aprowizacji i braku monitorowania 40% LUB wysoka $50,000 OR Medium $20,000 OR High Poziom 2 Złagodzenia Ustaw budżety i alerty dla obciążeń.
Przejrzyj i zastosuj zalecenia dotyczące kosztów usługi Advisor.		 Potencjalne koszty 2024-03-01
R05 Otwarcie Operacje Przerwy w działaniu usługi z powodu awarii w regionie świadczenia usługi Azure 25% LUB średni $150,000 OR High $37,500 OR High Poziom 1 Złagodzenia Obciążenia o znaczeniu krytycznym mają architekturę aktywne-aktywne.
Inne obciążenia mają architekturę aktywne-pasywne.		 Potencjalnych klientów operacji 2024-03-20
R06 Otwarcie Data Utrata poufnych danych z powodu nieprawidłowego szyfrowania i zarządzania cyklem życia danych 35% LUB wysoki $250,000 OR High $87,500 OR Bardzo wysoki Poziom 1 Złagodzenia Stosowanie szyfrowania podczas przesyłania i przechowywania.
Ustanów zasady cyklu życia danych przy użyciu narzędzi platformy Azure.		 Potencjalne dane 2024-04-10
R07 Otwarcie Zarządzanie zasobami Błędna konfiguracja zasobów w chmurze prowadząca do nieautoryzowanego dostępu i ujawnienia danych 30% LUB wysoki $100,000 OR High $30,000 OR Bardzo wysoki Poziom 2 Złagodzenia Użyj infrastruktury jako kodu (IaC).
Wymuszanie wymagań dotyczących tagowania przy użyciu usługi Azure Policy.		 Główny zasób 2024-03-25
R08 Otwarcie Sztuczna inteligencja Model sztucznej inteligencji tworzący stronnicze decyzje z powodu nierepresywnych danych treningowych 15% LUB niski $200,000 OR High $30,000 OR Umiarkowanie wysoki Poziom 3 Złagodzenia Użyj technik ograniczania ryzyka filtrowania zawartości.
Modele sztucznej inteligencji zespołu czerwonego zespołu co miesiąc.		 AI lead 2024-05-01

Następny krok

Dokumentowanie zasad ładu w chmurze