Avalie os riscos da nuvem

  • Artigo

Este artigo descreve como avaliar os riscos associados à nuvem. Todas as tecnologias introduzem certos riscos para uma organização. Os riscos são resultados indesejados que podem afetar o seu negócio, como a não conformidade com os padrões do setor. Ao adotar a nuvem, você precisa identificar os riscos que a nuvem representa para sua organização. A equipe de governança de nuvem cria políticas de governança de nuvem para prevenir e mitigar esses riscos. Para avaliar os riscos da nuvem, conclua estas tarefas.

Diagrama mostrando o processo para configurar e manter a governança da nuvem. O diagrama mostra cinco etapas sequenciais: criar uma equipe de governança de nuvem, documentar políticas de governança de nuvem, aplicar políticas de governança de nuvem e monitorar a governança de nuvem. O primeiro passo que você executa uma vez. As últimas quatro etapas executadas uma vez para configurar a governança da nuvem e manter continuamente a governança da nuvem.

Identificar riscos na nuvem

Cataloge uma lista abrangente de riscos na nuvem. Conhecer seus riscos permite criar políticas de governança de nuvem que podem prevenir e mitigar esses riscos. Para identificar os riscos da nuvem, siga estas recomendações:

  • Liste todos os ativos de nuvem. Liste todos os seus ativos de nuvem para que você possa identificar de forma abrangente os riscos associados a eles. Por exemplo, você pode usar o portal do Azure, o Azure Resource Graph, o PowerShell e a CLI do Azure para exibir todos os recursos em uma assinatura.

  • Descubra os riscos da nuvem. Desenvolva um catálogo de riscos estável para orientar as políticas de governança de nuvem. Para evitar ajustes frequentes, concentre-se nos riscos gerais da nuvem e não nos riscos exclusivos de uma carga de trabalho específica. Comece com riscos de alta prioridade e desenvolva uma lista mais abrangente ao longo do tempo. As categorias comuns de risco são conformidade regulamentar, segurança, operações, custo, dados, recursos e IA. Inclua riscos exclusivos da sua organização, como software que não seja da Microsoft, suporte a parceiros ou fornecedores e competências internas na nuvem.

  • Envolver as principais partes interessadas. Reúna informações de diversas funções organizacionais (TI, segurança, jurídico, finanças e unidades de negócios) para considerar todos os riscos potenciais. Essa abordagem colaborativa garante uma visão holística dos riscos relacionados à nuvem.

  • Verificar os riscos. Contrate especialistas externos que possuam um profundo conhecimento da identificação de riscos na nuvem para revisar e validar sua lista de riscos. Esses especialistas podem ser equipes de contas da Microsoft ou parceiros especializados da Microsoft. A sua experiência ajuda a confirmar a identificação de todos os riscos potenciais e aumenta a precisão da sua avaliação de riscos.

Facilitação do Azure: Identificando riscos na nuvem

As orientações a seguir destinam-se a ajudá-lo a identificar riscos de nuvem no Azure. Ele fornece um exemplo de ponto de partida para as principais categorias de governança de nuvem. O Azure pode ajudar a automatizar parte do processo de localização de riscos. Use ferramentas do Azure, como Azure Advisor, Microsoft Defender for Cloud, Azure Policy, Azure Service Health e Microsoft Purview.

  • Identificar riscos de conformidade regulamentar. Identificar riscos de não conformidade com estruturas legais e regulatórias que afetam dados e operações na nuvem. Conheça os requisitos regulamentares do seu setor. Use a documentação de conformidade do Azure para começar.

  • Identificar riscos de segurança. Identifique ameaças e vulnerabilidades que comprometam a confidencialidade, integridade e disponibilidade do ambiente de nuvem. Use o Azure para avaliar sua postura de segurança na nuvem e detetar riscos de identidade.

  • Identificar riscos de custo. Identificar riscos relacionados aos custos dos recursos de nuvem. Os riscos relacionados a custos incluem provisionamento excessivo, subprovisionamento, subutilização e custos inesperados de taxas de transferência de dados ou dimensionamento de serviços. Use uma avaliação de custos para identificar o risco de custo. Use o Azure para estimar custos com a calculadora de preços do Azure. Analisar e prever custos sobre os recursos atuais. Identifique alterações inesperadas nos custos da nuvem.

  • Identificar riscos operacionais. Identifique riscos que ameaçam a continuidade das operações na nuvem, como tempo de inatividade e perda de dados. Use as ferramentas do Azure para identificar riscos à confiabilidade e ao desempenho.

  • Identificar riscos de dados. Identifique riscos relacionados ao gerenciamento de dados na nuvem. Considere o tratamento inadequado de dados e falhas no gerenciamento do ciclo de vida dos dados. Use as ferramentas do Azure para ajudar a identificar riscos de dados e explorar riscos para dados confidenciais.

  • Identificar riscos de gerenciamento de recursos. Identifique os riscos decorrentes do provisionamento, implantação, configuração e gerenciamento de recursos de nuvem. Identificar riscos à excelência operacional.

  • Identificar riscos de IA. Modelos de linguagem de equipe regularmente vermelhos. Teste manualmente sistemas de IA e complemente testes manuais com ferramentas automatizadas de identificação de risco para IA. Procure falhas comuns de interação humano-IA. Considere os riscos associados ao uso, acesso e saída de sistemas de IA. Analise os princípios da IA responsável e o modelo de maturidade da IA responsável.

Analise os riscos da nuvem

Atribua uma classificação qualitativa ou quantitativa a cada risco para que possa priorizá-los por gravidade. A priorização de risco combina probabilidade de risco e impacto de risco. Prefira a análise quantitativa de risco em detrimento da qualitativa para uma priorização de risco mais precisa. Para analisar os riscos da nuvem, siga estas estratégias:

Avaliar a probabilidade de risco

Estimar a probabilidade quantitativa ou qualitativa de cada risco ocorrer por ano. Use um intervalo percentual (0%-100%) para representar a probabilidade de risco quantitativa anual. Baixo, médio e alto são rótulos comuns para probabilidade qualitativa de risco. Para avaliar a probabilidade de risco, siga estas recomendações:

  • Utilize parâmetros de referência públicos. Use dados de relatórios, estudos ou contratos de nível de serviço (SLAs) que documentam riscos comuns e suas taxas de ocorrência.

  • Analise dados históricos. Analise relatórios de incidentes internos, logs de auditoria e outros registros para identificar com que frequência riscos semelhantes ocorreram no passado.

  • Eficácia do controlo dos testes. Para minimizar os riscos, avalie a eficácia dos atuais controles de mitigação de riscos. Considere a revisão dos resultados dos testes de controle, das descobertas de auditoria e das métricas de desempenho.

Determinar o impacto do risco

Estimar o impacto quantitativo ou qualitativo do risco que ocorre na organização. Um montante monetário é uma forma comum de representar o impacto quantitativo do risco. Baixo, médio e alto são rótulos comuns para o impacto qualitativo do risco. Para determinar o impacto do risco, siga estas recomendações:

  • Realizar análises financeiras. Estime a perda financeira potencial de um risco observando fatores como o custo do tempo de inatividade, honorários advocatícios, multas e o custo dos esforços de remediação.

  • Realizar avaliação de impacto reputacional. Use pesquisas, pesquisas de mercado ou dados históricos sobre incidentes semelhantes para estimar o impacto potencial na reputação da organização.

  • Realizar análises de interrupção operacional. Avalie a extensão da interrupção operacional estimando o tempo de inatividade, a perda de produtividade e o custo de arranjos alternativos.

  • Avaliar as implicações jurídicas. Estimar possíveis custos legais, multas e penalidades associadas a não conformidade ou violações.

Calcular a prioridade do risco

Atribua uma prioridade de risco a cada risco. Prioridade de risco é a importância que você atribui a um risco para que você saiba se deve tratar o risco com alta, média ou baixa urgência. O impacto do risco é mais importante do que a probabilidade do risco, uma vez que um risco de alto impacto pode ter consequências duradouras. A equipe de governança deve usar uma metodologia consistente em toda a organização para priorizar o risco. Para calcular a prioridade de risco, siga estas recomendações:

  • Utilizar uma matriz de risco para avaliações qualitativas. Crie uma matriz para atribuir uma prioridade de risco qualitativa a cada risco. Um eixo da matriz representa a probabilidade de risco (alta, média, baixa) e o outro representa o impacto do risco (alto, médio, baixo). A tabela a seguir fornece uma matriz de risco de exemplo:

    Impacto reduzido Impacto intermédio Impacto elevado
    Baixa probabilidade Muito baixa Moderadamente baixo Moderadamente elevado
    Probabilidade média Baixo Médio Alto
    Alta probabilidade Médio Alto Muito alta

  • Utilize fórmulas para avaliações quantitativas. Use o seguinte cálculo como linha de base: prioridade de risco = probabilidade de risco x impacto de risco. Ajustar o peso das variáveis conforme necessário para adaptar os resultados da prioridade de risco. Por exemplo, você pode colocar mais ênfase no impacto do risco com esta fórmula: prioridade de risco = probabilidade de risco x (impacto de risco x 1,5).

Atribuir um nível de risco

Categorize cada risco em um de três níveis: riscos principais (nível 1), subriscos (nível 2) e fatores de risco (nível 3). Os níveis de risco permitem-lhe planear uma estratégia de gestão de riscos adequada e antecipar desafios futuros. Os riscos de nível 1 ameaçam a organização ou a tecnologia. Os riscos de nível 2 enquadram-se no risco de nível 1. Os riscos de nível 3 são tendências que podem potencialmente culminar em um ou mais riscos de nível 1 ou nível 2. Por exemplo, considere a não conformidade com as leis de proteção de dados (nível 1), configurações inadequadas de armazenamento em nuvem (nível 2) e o aumento da complexidade dos requisitos regulatórios (nível 3).

Determinar a estratégia de gerenciamento de riscos

Para cada risco, identifique opções apropriadas de tratamento do risco, como evitar, mitigar, transferir ou aceitar o risco. Forneça uma explicação da escolha. Por exemplo, se você decidir aceitar um risco porque o custo de mitigá-lo é muito caro, você deve documentar esse raciocínio para referência futura.

Atribuir proprietários de risco

Designe um proprietário de risco primário para cada risco. O proprietário do risco tem a responsabilidade de gerir cada risco. Essa pessoa coordena a estratégia de gerenciamento de riscos em todas as equipes envolvidas e é o ponto de contato inicial para o escalonamento de riscos.

Riscos da nuvem de documentos

Documente cada risco e os detalhes da análise de risco. Crie uma lista de riscos (registro de riscos) que contenha todas as informações necessárias para identificar, categorizar, priorizar e gerenciar riscos. Desenvolva uma linguagem padronizada para documentação de riscos para que todos possam entender facilmente os riscos da nuvem. Considere a inclusão destes elementos:

  • ID do risco: um identificador único para cada risco. Incremente o identificador sequencialmente à medida que adiciona novos riscos. Se você remover riscos, poderá deixar lacunas na sequência ou preencher as lacunas na sequência.
  • Estado da gestão do risco: O estado do risco (aberto, fechado).
  • Categoria de risco: um rótulo como conformidade regulamentar, segurança, custo, operações, IA ou gerenciamento de recursos.
  • Descrição do risco: Breve descrição do risco.
  • Probabilidade de risco: A probabilidade de o risco ocorrer por ano. Use um rótulo percentual ou qualitativo.
  • Impacto do risco: O impacto na organização se o risco ocorrer. Use um valor monetário ou rótulo qualitativo.
  • Prioridade do risco: A gravidade do risco (probabilidade x impacto). Use um valor em dólares ou rótulo qualitativo.
  • Nível de risco: O tipo de risco. Use ameaça maior (nível 1), subrisco (nível 2) ou driver de risco (nível 3).
  • Estratégia de gestão de riscos: A abordagem para gerenciar o risco, como mitigar, aceitar ou evitar.
  • Aplicação da gestão de riscos: As técnicas para aplicar a estratégia de gestão de riscos.
  • Proprietário do risco: o indivíduo que gere o risco.
  • Data de encerramento do risco: data em que a estratégia de gestão do risco deve ser aplicada.

Para obter mais informações, consulte Exemplo de lista de riscos.

Comunique os riscos da nuvem

Transmitir claramente os riscos de nuvem identificados para o patrocinador executivo e a gerência de nível executivo. O objetivo é garantir que a organização priorize os riscos da nuvem. Forneça atualizações regulares sobre o gerenciamento de riscos na nuvem e comunique quando precisar de recursos extras para gerenciar riscos. Promova uma cultura em que o gerenciamento de riscos na nuvem e a governança façam parte das operações diárias.

Analise os riscos da nuvem

Analise a lista atual de riscos na nuvem para garantir que ela seja válida e precisa. As avaliações devem ser regulares e também em resposta a eventos específicos. Mantenha, atualize ou remova riscos conforme necessário. Para analisar os riscos da nuvem, siga estas recomendações:

  • Agende avaliações regulares. Defina um cronograma recorrente para revisar e avaliar os riscos da nuvem, como trimestral, semestral ou anual. Encontre uma frequência de revisão que melhor se adapte à disponibilidade de pessoal, à taxa de alterações no ambiente de nuvem e à tolerância ao risco organizacional.

  • Realize revisões baseadas em eventos. Analise os riscos em resposta a eventos específicos, como a prevenção falhada de um risco. Considere a revisão de riscos ao adotar novas tecnologias, alterar processos de negócios e descobrir novos eventos de ameaças à segurança. Considere também analisar quando a tecnologia, a conformidade regulatória e a tolerância ao risco organizacional mudarem.

  • Analise as políticas de governança da nuvem. Mantenha, atualize ou remova políticas de governança de nuvem para lidar com novos riscos, riscos existentes ou riscos desatualizados. Revise a declaração de política de governança de nuvem e a estratégia de aplicação de governança de nuvem conforme necessário. Ao remover um risco, avalie se as políticas de governança de nuvem associadas a ele ainda são relevantes. Consulte as partes interessadas para remover as políticas de governança da nuvem ou atualize as políticas para associá-las a um novo risco.

Exemplo de lista de riscos

A tabela a seguir é um exemplo de lista de riscos, também conhecida como registro de risco. Adapte o exemplo para se adequar às necessidades específicas e ao contexto do ambiente de nuvem do Azure da sua organização.

ID do risco Estado da gestão dos riscos Categoria de risco Descrição do risco Probabilidade de risco Impacto no risco Prioridade do risco Nível de risco Estratégia de gestão de riscos Aplicação da gestão dos riscos Proprietário do risco Data de encerramento do risco
R01 Abertura Conformidade regulamentar Não conformidade com os requisitos de dados sensíveis 20% OU Médio $100.000 OU Alto $20.000 OU Alto Nível 2 Atenuar Use o Microsoft Purview para monitoramento de dados confidenciais.
Relatórios de conformidade no Microsoft Purview.		 Líder de conformidade 2024-04-01
R02 Abertura Segurança Acesso não autorizado a serviços na nuvem 30% OU Alto $200.000 OU Alto $60.000 OU Muito alto Nível 1 Atenuar Autenticação multifator (MFA) do Microsoft Entra ID.
Revisões mensais de acesso do Microsoft Entra ID Governance.		 Líder de segurança 2024-03-15
R03 Abertura Segurança Gerenciamento de código inseguro 20% OU Médio $150.000 OU Alto $30.000 OU Alto Nível 2 Atenuar Use o repositório de código definido.
Use o padrão de quarentena para bibliotecas públicas.		 Líder de desenvolvimento 2024-03-30
R04 Abertura Custo Gastos excessivos em serviços de nuvem devido ao provisionamento excessivo e à falta de monitoramento 40% OU Alto $50.000 OU Médio $20.000 OU Alto Nível 2 Atenuar Defina orçamentos e alertas para cargas de trabalho.
Analise e aplique as recomendações de custos do Advisor.		 Liderança de custos 2024-03-01
R05 Abertura Operações Interrupção do serviço devido à interrupção da região do Azure 25% OU Médio $150.000 OU Alto $37.500 OU Alto Nível 1 Atenuar As cargas de trabalho de missão crítica têm arquitetura ativa-ativa.
Outras cargas de trabalho têm arquitetura ativo-passivo.		 Líder de operações 2024-03-20
R06 Abertura Dados Perda de dados confidenciais devido à criptografia inadequada e ao gerenciamento do ciclo de vida dos dados 35% OU Alto $250.000 OU Alto $87.500 OU Muito alto Nível 1 Atenuar Aplique criptografia em trânsito e em repouso.
Estabeleça políticas de ciclo de vida de dados usando as ferramentas do Azure.		 Líder de dados 2024-04-10
R07 Abertura Gestão de recursos Configuração incorreta de recursos de nuvem levando a acesso não autorizado e exposição de dados 30% OU Alto $100.000 OU Alto $30.000 OU Muito alto Nível 2 Atenuar Use a infraestrutura como código (IaC).
Imponha requisitos de marcação usando a Política do Azure.		 Líder de recursos 2024-03-25
R08 Abertura IA Modelo de IA que produz decisões tendenciosas devido a dados de treinamento não representativos 15% OU BAIXO $200.000 OU Alto $30.000 OU Moderadamente alto Nível 3 Atenuar Use técnicas de mitigação de filtragem de conteúdo.
Modelos de IA da equipe vermelha mensalmente.		 Chumbo de IA 2024-05-01

Próximo passo

Políticas de governança da nuvem de documentos