Programa de gerenciamento de riscos do Microsoft 365

  • Artigo

A finalidade do programa de Gerenciamento de Riscos do Microsoft 365 é identificar, avaliar e gerenciar riscos para o Microsoft 365. A principal prioridade da Microsoft é identificar e resolver proativamente os riscos que podem afetar nossa infraestrutura de serviço, bem como nossos clientes, seus dados e sua confiança. Além disso, um programa robusto de gerenciamento de riscos é necessário para atender às obrigações contratuais e manter as credenciais públicas das qual nossos clientes dependem para atender aos seus próprios requisitos de conformidade. Embora o programa de Gerenciamento de Riscos do Microsoft 365 funcione de forma independente, ele se alinha com as políticas, as prioridades e as metodologias do programa ERM (Gerenciamento de Riscos Empresariais). Trabalhar com o programa ERM permite uma comparação consistente entre unidades de negócios e grupos de engenharia, contribuindo para uma abordagem mais coesa para o gerenciamento de riscos em toda a empresa.

A equipe de Confiança do Microsoft 365 é responsável por gerenciar o programa de Gerenciamento de Riscos do Microsoft 365 e conduzir as atividades definidas pelo programa ERM. A equipe de Confiança se concentra na integração da estrutura de gerenciamento de riscos com a engenharia, as operações de serviço e o processo de conformidade existentes do Microsoft 365 para tornar o programa de Gerenciamento de Riscos mais eficaz e eficiente.

A equipe de Confiança também mantém a Estrutura de Controles do Microsoft 365, um conjunto de controles racionalizados que, quando implementado corretamente com atividades de conformidade de suporte, permite que as equipes de engenharia cumpram as principais regulamentações e certificações. Essa estrutura é atualizada continuamente com base em comentários e descobertas como parte do processo de gerenciamento de riscos.

As atividades de gerenciamento de riscos se enquadram em quatro fases: identificação, avaliação, resposta e monitoramento e relatórios.

Atividades de processo de gerenciamento de riscos.

Identificação

O processo de gerenciamento de riscos começa com a identificação de todos os possíveis riscos para todas as principais áreas de controle, ameaças internas e externas e vulnerabilidades no ambiente do Microsoft 365. As informações que orientam esse processo vêm de várias fontes, incluindo entrevistas, verificações de vulnerabilidade, exercícios de simulação de ataque, descobertas de auditoria e atividades de gerenciamento de incidentes.

A equipe de confiança entrevista especialistas no assunto (SMEs) de várias equipes de serviço sobre riscos identificados anteriormente e possíveis riscos futuros que podem ser introduzidos à medida que os serviços crescem. Além disso, os SMEs ajudam a validar a precisão e a integridade dos riscos identificados de outras fontes de monitoramento contínuo.

A fase de identificação também ocorre quando os logs de decisão, as exceções de segurança e conformidade ativas e o trabalho de mitigação de avaliações de risco anteriores são revisados.

Avaliação

Cada risco identificado é avaliado usando três métricas: impacto, probabilidade e deficiência de controle.

  • O impacto refere-se aos danos que ocorreriam ao serviço, aos negócios ou à Microsoft se esse risco fosse realizado. O impacto na Microsoft pode incluir danos à reputação, perda de clientes ou implicações legais/de conformidade.
  • A probabilidade define a probabilidade do risco potencial que está sendo realizado e é calculada analisando a probabilidade e a frequência com que ele ocorrerá.
  • A deficiência de controle mede a eficácia dos controles de mitigação implementados.

Essas métricas são usadas para calcular uma pontuação de risco que representa a gravidade de cada risco, considerando as estratégias de mitigação existentes. Os riscos são agregados e apresentados aos principais stakeholders de cada serviço para verificar a precisão e a integridade da postura de risco do Microsoft 365.

Resposta

Usando a lista verificada de riscos para o Microsoft 365, a equipe de Confiança atribui riscos ao serviço afetado para resposta de risco. As diretrizes definidas ajudam a determinar a estratégia de resposta de risco apropriada com base na pontuação de risco e na eficácia do controle. As estratégias de resposta de risco se enquadram em quatro categorias:

  • Tolere: áreas de exposição de baixo risco com um baixo nível de controle.
  • Opere: áreas de exposição de baixo risco em que os controles são considerados adequados.
  • Monitore: áreas de exposição de alto risco em que os controles são considerados adequados e devem ser monitorados em caso de eficácia.
  • Melhoria: áreas de exposição de alto risco com um baixo nível de controle que são as principais prioridades no endereçamento.

A equipe de Confiança coordena com as equipes de serviço para desenvolver planos para lidar com cada risco. O nível de severidade determina o nível apropriado de revisão e aprovação para cada plano. Para riscos que exigem ação, os processos de bug de engenharia existentes são usados para controlar, gerenciar e tomar decisões de exceção. Usar um processo familiar para as equipes de engenharia e operação torna a resposta de risco mais eficiente e eficaz.

Monitoramento e relatório

Os riscos identificados como parte da avaliação de risco são monitorados e relatados aos stakeholders relevantes. As estratégias de monitoramento incluem monitoramento de segurança, revisões periódicas de risco, testes de penetração e verificação de vulnerabilidade. Esses esforços de monitoramento atuam como fontes de dados para relatórios sobre indicadores chave de desempenho, criação de painéis e desenvolvimento de relatórios formais, todos eles informam decisões futuras de risco.

Várias vezes por ano, a equipe de Confiança se reúne com os proprietários de risco de cada serviço para examinar as pontuações de risco, avaliar a eficácia de seus planos de ação e fazer atualizações quando necessário. Além disso, as atividades de avaliação de risco do Microsoft 365 contribuem para as Avaliações de Risco Empresarial do programa ERM, que fornecem uma visão geral de alto nível da postura de risco da Microsoft para o gerenciamento sênior da Microsoft e o programa ERM.