Avaliar os riscos de nuvem
Este artigo descreve como avaliar os riscos associados à nuvem. Todas as tecnologias introduzem certos riscos para uma organização. Os riscos são resultados indesejados que podem afetar seus negócios, como a não conformidade com os padrões do setor. Ao adotar a nuvem, você precisa identificar os riscos que a nuvem representa para sua organização. A equipe de governança de nuvem cria políticas de governança de nuvem para prevenir e mitigar esses riscos. Para avaliar os riscos da nuvem, conclua estas tarefas.
Identificar riscos de nuvem
Catalogue uma lista abrangente dos riscos de nuvem. Conhecer seus riscos permite que você crie políticas de governança de nuvem que podem prevenir e mitigar esses riscos. Para identificar riscos de nuvem, siga estas recomendações:
Liste todos os ativos de nuvem. Liste todos os seus ativos de nuvem para que você possa identificar de forma abrangente os riscos associados a eles. Por exemplo, você pode usar o portal do Azure, o Gráfico de Recursos do Azure, o PowerShell e a CLI do Azure para exibir todos os recursos em uma assinatura.
Descubra os riscos da nuvem. Desenvolva um catálogo de riscos estável para orientar as políticas de governança de nuvem. Para evitar ajustes frequentes, concentre-se nos riscos gerais da nuvem, não nos riscos exclusivos de uma carga de trabalho específica. Comece com riscos de alta prioridade e desenvolva uma lista mais abrangente ao longo do tempo. Categorias comuns de risco são conformidade regulatória, segurança, operações, custo, dados, recursos e IA. Inclua riscos exclusivos da sua organização, como software que não seja da Microsoft, suporte a parceiros ou fornecedores e competências internas de nuvem.
Envolva as principais partes interessadas. Reúna informações de diversas funções organizacionais (TI, segurança, jurídico, finanças e unidades de negócios) para considerar todos os riscos potenciais. Essa abordagem colaborativa garante uma visão holística dos riscos relacionados à nuvem.
Verifique os riscos. Contrate especialistas externos que possuam um profundo conhecimento da identificação de riscos na nuvem para revisar e validar sua lista de riscos. Esses especialistas podem ser equipes de contas da Microsoft ou parceiros especializados da Microsoft. Sua experiência ajuda a confirmar a identificação de todos os riscos potenciais e aumenta a precisão de sua avaliação de risco.
Facilitação do Azure: identificando riscos de nuvem
As orientações a seguir destinam-se a ajudá-lo a identificar riscos de nuvem no Azure. Ele fornece um exemplo de ponto de partida para as principais categorias de governança de nuvem. O Azure pode ajudar a automatizar parte do processo de localização de riscos. Use ferramentas do Azure, como o Azure Advisor, o Microsoft Defender for Cloud, a Política do Azure, o Azure Service Health e o Microsoft Purview.
Identificar riscos de conformidade regulatória. Identificar riscos de não conformidade com estruturas legais e regulatórias que afetam dados e operações em nuvem. Conheça os requisitos regulatórios do seu setor. Use a documentação de conformidade do Azure para iniciar.
Identificar riscos de segurança. Identifique ameaças e vulnerabilidades que coloquem em risco a confidencialidade, a integridade e a disponibilidade do ambiente de nuvem. Use o Azure para avaliar sua postura de segurança na nuvem e detectar riscos de identidade.
Identificar riscos de custo. Identificar riscos relacionados aos custos dos recursos de nuvem. Os riscos relacionados aos custos incluem provisionamento excessivo, subprovisionamento, subutilização e custos inesperados de taxas de transferência de dados ou dimensionamento de serviços. Use uma avaliação de custo para identificar o risco de custo. Use o Azure para estimar custos com a calculadora de preços do Azure. Analisar e prever custos sobre os recursos atuais. Identifique mudanças inesperadas nos custos de nuvem.
Identificar riscos operacionais. Identifique riscos que ameaçam a continuidade das operações em nuvem, como tempo de inatividade e perda de dados. Use as ferramentas do Azure para identificar riscos à confiabilidade e ao desempenho.
Identificar riscos de dados. Identificar riscos relacionados ao gerenciamento de dados dentro da nuvem. Considere o tratamento inadequado de dados e falhas no gerenciamento do ciclo de vida dos dados. Use as ferramentas do Azure para ajudar a identificar riscos de dados e explorar riscos para dados confidenciais.
Identificar riscos de gerenciamento de recursos. Identifique os riscos decorrentes do provisionamento, implantação, configuração e gerenciamento de recursos de nuvem. Identificar riscos à excelência operacional.
Identifique os riscos de IA. Modelos de linguagem de equipe regularmente vermelhos. Teste manualmente os sistemas de IA e complemente os testes manuais com ferramentas automatizadas de identificação de risco para IA. Procure falhas comuns de interação humano-IA. Considere os riscos associados ao uso, acesso e saída de sistemas de IA. Revise os princípios da IA responsável e o modelo de maturidade de IA responsável.
Analise os riscos da nuvem
Atribua uma classificação qualitativa ou quantitativa a cada risco para que possa priorizá-los por severidade. A priorização de riscos combina probabilidade de risco e impacto de risco. Prefira a análise de risco quantitativo em vez de qualitativa para ter uma priorização de risco mais precisa. Para analisar os riscos da nuvem, siga estas estratégias:
Avaliar a probabilidade de risco
Estimar a probabilidade quantitativa ou qualitativa de cada risco ocorrer por ano. Use um intervalo percentual (0%-100%) para representar a probabilidade de risco quantitativa anual. Baixo, médio e alto são rótulos comuns para probabilidade qualitativa de risco. Para avaliar a probabilidade de risco, siga estas recomendações:
Use benchmarks públicos. Use dados de relatórios, estudos ou contratos de nível de serviço (SLAs) que documentam riscos comuns e suas taxas de ocorrência.
Analise dados históricos. Analise relatórios de incidentes internos, logs de auditoria e outros registros para identificar com que frequência riscos semelhantes ocorriam no passado.
Teste de efetividade do controle. Para minimizar os riscos, avalie a eficácia dos controles atuais de mitigação de riscos. Considere revisar os resultados dos testes de controle, as descobertas de auditoria e as métricas de desempenho.
Determinar o impacto do risco
Estimar o impacto quantitativo ou qualitativo do risco que ocorre na organização. Um montante monetário é uma maneira comum de representar o impacto quantitativo do risco. Baixo, médio e alto são rótulos comuns para impacto qualitativo de risco. Para determinar o impacto do risco, siga estas recomendações:
Realizar análises financeiras. Estime a perda financeira potencial de um risco observando fatores como o custo do tempo de inatividade, honorários advocatícios, multas e o custo dos esforços de correção.
Realizar avaliação de impacto reputacional. Use pesquisas, pesquisas de mercado ou dados históricos sobre incidentes semelhantes para estimar o impacto potencial na reputação da organização.
Realizar análise de interrupções operacionais. Avalie a extensão da interrupção operacional estimando o tempo de inatividade, a perda de produtividade e o custo de arranjos alternativos.
Avaliar implicações legais. Estimar possíveis custos legais, multas e penalidades associadas a não conformidade ou violações.
Calcular a prioridade de risco
Atribua uma prioridade de risco a cada risco. A prioridade de risco é a importância que você atribui a um risco para que você saiba se deve tratar o risco com alta, média ou baixa urgência. O impacto do risco é mais importante do que a probabilidade do risco, uma vez que um risco de alto impacto pode ter consequências duradouras. A equipe de governança deve usar uma metodologia consistente em toda a organização para priorizar o risco. Para calcular a prioridade de risco, siga estas recomendações:
Use uma matriz de risco para avaliações qualitativas. Crie uma matriz para atribuir uma prioridade de risco qualitativo a cada risco. Um eixo da matriz representa a probabilidade de risco (alto, médio, baixo) e o outro representa o impacto do risco (alto, médio, baixo). A tabela a seguir fornece uma matriz de risco de exemplo:
Baixo impacto Médio impacto Alto impacto Baixa probabilidade Muito baixa Moderadamente baixo Moderadamente alto Probabilidade média Baixo Médio Alto Alta probabilidade Médio Alto Muito alto Use fórmulas para avaliações quantitativas. Use o seguinte cálculo como linha de base: prioridade de risco = probabilidade de risco x impacto de risco. Ajuste o peso das variáveis conforme necessário para adequar os resultados de prioridade de risco. Por exemplo, você poderia colocar mais ênfase no impacto do risco com esta fórmula: prioridade do risco = probabilidade do risco x (impacto do risco x 1,5).
Atribuir um nível de risco
Categorize cada risco em um dos três níveis: riscos principais (nível 1), subriscos (nível 2) e direcionadores de risco (nível 3). Os níveis de risco permitem planejar uma estratégia adequada de gerenciamento de riscos e antecipar desafios futuros. Os riscos de nível 1 ameaçam a organização ou a tecnologia. Os riscos de nível 2 se enquadram no risco de nível 1. Os riscos de nível 3 são tendências que podem potencialmente culminar em um ou mais riscos de nível 1 ou nível 2. Por exemplo, considere a não conformidade com as leis de proteção de dados (nível 1), configurações inadequadas de armazenamento em nuvem (nível 2) e aumento da complexidade dos requisitos normativos (nível 3).
Determinar a estratégia de gerenciamento de riscos
Para cada risco, identifique as opções de tratamento de risco apropriadas, como evitar, mitigar, transferir ou aceitar o risco. Forneça uma explicação da escolha. Por exemplo, se você decidir aceitar um risco porque o custo de atenuá-lo é muito caro, você deve documentar esse raciocínio para referência futura.
Atribuir proprietários de risco
Designe um proprietário de risco principal para cada risco. O proprietário do risco tem a responsabilidade de gerenciar cada risco. Essa pessoa coordena a estratégia de gerenciamento de riscos em todas as equipes envolvidas e é o ponto de contato inicial para o escalonamento de riscos.
Riscos da nuvem de documentos
Documente cada risco e os detalhes da análise de risco. Crie uma lista de riscos (registro de riscos) que contenha todas as informações necessárias para identificar, categorizar, priorizar e gerenciar riscos. Desenvolva uma linguagem padronizada para documentação de riscos para que todos possam entender facilmente os riscos da nuvem. Considere incluir estes elementos:
- ID do risco: um identificador exclusivo para cada risco. Incremente o identificador sequencialmente à medida que adiciona novos riscos. Se você remover riscos, poderá deixar lacunas na sequência ou preencher as lacunas na sequência.
- Status de gerenciamento de risco: O status do risco (aberto, fechado).
- Categoria de risco: um rótulo como conformidade normativa, segurança, custo, operações, IA ou gerenciamento de recursos.
- Descrição do risco: Uma breve descrição do risco.
- Probabilidade de risco: A probabilidade de o risco ocorrer por ano. Use um rótulo percentual ou qualitativo.
- Impacto do risco: O impacto na organização se o risco ocorrer. Use um valor monetário ou um rótulo qualitativo.
- Prioridade de risco: A gravidade do risco (probabilidade x impacto). Use um valor em dólar ou um rótulo qualitativo.
- Nível de risco: O tipo de risco. Use ameaça principal (nível 1), subrisco (nível 2) ou driver de risco (nível 3).
- Estratégia de gerenciamento de riscos: A abordagem para gerenciar o risco, como mitigar, aceitar ou evitar.
- Aplicação da gestão de riscos: As técnicas para aplicar a estratégia de gestão de riscos.
- Dono do risco: O indivíduo que gerencia o risco.
- Data de encerramento do risco: uma data em que a estratégia de gestão de riscos deve ser aplicada.
Para obter mais informações, consulte Exemplo de lista de riscos.
Comunicar riscos de nuvem
Transmita claramente os riscos de nuvem identificados para o patrocinador executivo e a gerência de nível executivo. O objetivo é garantir que a organização priorize os riscos de nuvem. Forneça atualizações regulares sobre o gerenciamento de riscos na nuvem e comunique-se quando precisar de recursos extras para gerenciar riscos. Promover uma cultura em que o gerenciamento de riscos de nuvem e governança fazem parte das operações diárias.
Revise os riscos da nuvem
Revise a lista de riscos de nuvem atual para garantir que ela seja válida e precisa. As revisões devem ser regulares e também em resposta a eventos específicos. Mantenha, atualize ou remova riscos conforme necessário. Para analisar os riscos de nuvem, siga estas recomendações:
Agende avaliações regulares. Defina um cronograma recorrente para revisar e avaliar os riscos de nuvem, como trimestral, semestral ou anual. Encontre uma frequência de revisão que melhor acomoda a disponibilidade do pessoal, a taxa de alterações no ambiente de nuvem e a tolerância ao risco organizacional.
Realizar revisões baseadas em eventos. Revise os riscos em resposta a eventos específicos, como a prevenção falhada de um risco. Considere a revisão de riscos ao adotar novas tecnologias, alterar processos de negócios e descobrir novos eventos de ameaças à segurança. Considere também revisar quando a tecnologia, a conformidade normativa e a tolerância a riscos organizacionais mudarem.
Examine as políticas de governança de nuvem. Manter, atualizar ou remover políticas de governança de nuvem para lidar com novos riscos, riscos existentes ou riscos desatualizados. Revise a declaração de política de governança de nuvem e a estratégia de aplicação de governança de nuvem, conforme necessário. Ao remover um risco, avalie se as políticas de governança de nuvem associadas a ele ainda são relevantes. Consulte as partes interessadas para remover as políticas de governança de nuvem ou atualize as políticas para associá-las a um novo risco.
Exemplo de lista de riscos
A tabela a seguir é um exemplo de lista de risco, também conhecida como registro de risco. Personalize o exemplo para atender às necessidades específicas e ao contexto do ambiente de nuvem do Azure da sua organização.
| ID do risco | Status do gerenciamento de riscos | Categoria de risco | Descrição do risco | Probabilidade de risco | Impacto do risco | Prioridade de risco | Nível de risco | Estratégia de gestão de riscos | Aplicação da gestão de riscos | Dono do risco | Data de encerramento do risco |
|---|---|---|---|---|---|---|---|---|---|---|---|
| R01 | Aberto | Conformidade normativa | Não conformidade com requisitos de dados confidenciais | 20% OU Médio | $100.000 OU Alta | $20.000 OU Alta | Nível 2 | Mitigar | Use o Microsoft Purview para monitoramento de dados confidenciais. Relatórios de conformidade no Microsoft Purview. |
Líder de conformidade | 2024-04-01 |
| R 02 | Aberto | Segurança | Acesso não autorizado a serviços de nuvem | 30% OU Alta | $200.000 OU Alta | $60.000 OU Muito alto | Nível 1 | Mitigar | Microsoft Entra ID autenticação multifator (MFA). Revisões mensais de acesso do Microsoft Entra ID Governance. |
Líder de segurança | 2024-03-15 |
| R03 | Aberto | Segurança | Gerenciamento de código inseguro | 20% OU Médio | $150.000 OU Alta | $30.000 OU Alta | Nível 2 | Mitigar | Use repositório de código definido. Use o padrão de quarentena para bibliotecas públicas. |
Líder de desenvolvimento | 2024-03-30 |
| R 04 | Aberto | Custo | Gastos excessivos em serviços de nuvem devido ao provisionamento excessivo e falta de monitoramento | 40% OU Alta | $50.000 OU Médio | $20.000 OU Alta | Nível 2 | Mitigar | Defina orçamentos e alertas para cargas de trabalho. Revise e aplique as recomendações de custo do Advisor. |
Lead de custo | 2024-03-01 |
| R05 | Aberto | Operações | Interrupção do serviço devido à interrupção da região do Azure | 25% OU Médio | $150.000 OU Alta | $37.500 OU Alta | Nível 1 | Mitigar | As cargas de trabalho de missão crítica têm arquitetura ativa-ativa. Outras cargas de trabalho têm arquitetura ativo-passiva. |
Líder de operações | 2024-03-20 |
| R 06 | Aberto | Dados | Perda de dados confidenciais devido à criptografia inadequada e ao gerenciamento do ciclo de vida dos dados | 35% OU Alta | $250.000 OU Alta | $87.500 OU Muito alto | Nível 1 | Mitigar | Aplique criptografia em trânsito e em repouso. Estabeleça políticas de ciclo de vida de dados usando as ferramentas do Azure. |
Líder de dados | 2024-04-10 |
| R 07 | Aberto | Gerenciamento de recursos | Configuração incorreta de recursos de nuvem levando a acesso não autorizado e exposição de dados | 30% OU Alta | $100.000 OU Alta | $30.000 OU Muito alto | Nível 2 | Mitigar | Use a IaC (infraestrutura como código). Imponha requisitos de marcação usando a Política do Azure. |
Líder de recursos | 03/25/2024 |
| R 08 | Aberto | IA | Modelo de IA produzindo decisões tendenciosas devido a dados de treinamento não representativos | 15% OU Baixo | $200.000 OU Alta | $30.000 OU Moderadamente alto | Nível 3 | Mitigar | Use técnicas de mitigação de filtragem de conteúdo. Modelos de IA de equipe vermelha mensalmente. |
Líder de IA | 2024-05-01 |