Utvärdera molnrisker
Den här artikeln beskriver hur du utvärderar risker som är kopplade till molnet. Alla tekniker medför vissa risker för en organisation. Risker är oönskade resultat som kan påverka din verksamhet, till exempel inkompatibilitet med branschstandarder. När du använder molnet måste du identifiera de risker som molnet utgör för din organisation. Molnstyrningsteamet skapar molnstyrningsprinciper för att förhindra och minimera dessa risker. Utför dessa uppgifter för att utvärdera molnrisker.
Identifiera molnrisker
Katalogisera en omfattande lista över molnrisker. Om du känner till dina risker kan du skapa molnstyrningsprinciper som kan förhindra och minska dessa risker. Följ dessa rekommendationer för att identifiera molnrisker:
Visa en lista över alla molntillgångar. Visa en lista över alla dina molntillgångar så att du kan identifiera de risker som är kopplade till dem. Du kan till exempel använda Azure-portalen, Azure Resource Graph, PowerShell och Azure CLI för att visa alla resurser i en prenumeration.
Identifiera molnrisker. Utveckla en stabil riskkatalog som vägleder molnstyrningsprinciper. För att förhindra frekventa justeringar fokuserar du på allmänna molnrisker, inte risker som är unika för en viss arbetsbelastning. Börja med högprioriterad risk och utveckla en mer omfattande lista över tid. Vanliga riskkategorier är regelefterlevnad, säkerhet, åtgärder, kostnader, data, resurser och AI. Inkludera risker som är unika för din organisation, till exempel programvara från andra tillverkare än Microsoft, partner- eller leverantörssupport och interna molnkompetenser.
Involvera viktiga intressenter. Samla in indata från olika organisationsroller (IT, säkerhet, juridik, ekonomi och affärsenheter) för att ta hänsyn till alla potentiella risker. Den här samarbetsmetoden säkerställer en holistisk vy över risker som är relaterade till molnet.
Verifiera risker. Kontakta externa experter som har en djup förståelse för molnriskidentifiering för att granska och validera din risklista. Dessa experter kan vara Microsoft-kontoteam eller specialiserade Microsoft-partner. Deras expertis hjälper till att bekräfta identifieringen av alla potentiella risker och förbättrar noggrannheten i riskbedömningen.
Azure-underlättande: Identifiera molnrisker
Följande vägledning är avsedd att hjälpa dig att identifiera molnrisker i Azure. Det är en exempelstartpunkt för viktiga kategorier av molnstyrning. Azure kan hjälpa till att automatisera en del av processen för att hitta risker. Använd Azure-verktyg som Azure Advisor, Microsoft Defender för molnet, Azure Policy, Azure Service Health och Microsoft Purview.
Identifiera risker för regelefterlevnad. Identifiera risker för inkompatibilitet med juridiska och regelmässiga ramverk som påverkar molndata och åtgärder. Känna till branschens regelkrav. Använd Dokumentationen om Azure-efterlevnad för att starta.
Identifiera säkerhetsrisker. Identifiera hot och sårbarheter som äventyrar molnmiljöns konfidentialitet, integritet och tillgänglighet. Använd Azure för att utvärdera din molnsäkerhetsstatus och identifiera identitetsrisker.
Identifiera kostnadsrisker. Identifiera risker relaterade till kostnaderna för molnresurser. Kostnadsrelaterade risker omfattar överetablering, underetablering, underutnyttjande och oväntade kostnader från dataöverföringsavgifter eller tjänstskalning. Använd en kostnadsbedömning för att identifiera kostnadsrisker. Använd Azure för att beräkna kostnader med priskalkylatorn för Azure. Analysera och prognostisera kostnader för aktuella resurser. Identifiera oväntade ändringar i molnkostnader.
Identifiera driftrisker. Identifiera risker som hotar kontinuiteten i molnåtgärder, till exempel stilleståndstid och dataförlust. Använd Azure-verktyg för att identifiera risker för tillförlitlighet och prestanda.
Identifiera datarisker. Identifiera risker som rör datahantering i molnet. Överväg felaktig hantering av data och brister i datalivscykelhantering. Använd Azure-verktyg för att identifiera datarisker och utforska risker för känsliga data.
Identifiera resurshanteringsrisker. Identifiera risker som härrör från etablering, distribution, konfiguration och hantering av molnresurser. Identifiera risker för driftseffektivitet.
Identifiera AI-risker. Regelbundet röda teamspråkmodeller. Testa AI-system manuellt och komplettera manuella tester med automatiserade verktyg för riskidentifiering för AI. Leta efter vanliga interaktionsfel mellan människa och AI. Överväg risker som är kopplade till användning, åtkomst och utdata från AI-system. Granska grundsatserna för ansvarsfull AI och den ansvarsfulla AI-mognadsmodellen.
Analysera molnrisker
Tilldela en kvalitativ eller kvantitativ rangordning till varje risk så att du kan prioritera dem efter allvarlighetsgrad. Riskprioritering kombinerar riskannolikhet och riskpåverkan. Föredrar kvantitativ riskanalys framför kvalitativ för mer exakt riskprioritering. Följ dessa strategier för att analysera molnrisker:
Utvärdera riskannolikheten
Beräkna den kvantitativa eller kvalitativa sannolikheten för varje risk som inträffar per år. Använd ett procentintervall (0%-100 %) för att representera den årliga, kvantitativa riskannolikheten. Låg, medel och hög är vanliga etiketter för kvalitativ riskannolikheten. Följ dessa rekommendationer för att utvärdera riskannolikheten:
Använd offentliga riktmärken. Använd data från rapporter, studier eller serviceavtal (SLA) som dokumenterar vanliga risker och deras förekomstfrekvens.
Analysera historiska data. Titta på interna incidentrapporter, granskningsloggar och andra poster för att identifiera hur ofta liknande risker inträffade tidigare.
Testkontrollseffektivitet. För att minimera riskerna bör du utvärdera effektiviteten i de aktuella riskreduceringskontrollerna. Överväg att granska kontrolltestresultat, granskningsresultat och prestandamått.
Fastställa riskpåverkan
Beräkna den kvantitativa eller kvalitativa effekten av risken som uppstår på organisationen. Ett penningbelopp är ett vanligt sätt att representera kvantitativ riskpåverkan. Låg, medel och hög är vanliga etiketter för kvalitativ riskpåverkan. Följ dessa rekommendationer för att fastställa riskpåverkan:
Genomför finansiell analys. Beräkna den potentiella ekonomiska förlusten av en risk genom att titta på faktorer som kostnaden för stilleståndstid, juridiska avgifter, böter och kostnaden för reparationsinsatser.
Genomför bedömning av ryktespåverkan. Använd undersökningar, marknadsundersökningar eller historiska data om liknande incidenter för att uppskatta den potentiella effekten på organisationens rykte.
Utför analys av driftstörningar. Utvärdera omfattningen av driftstörningar genom att uppskatta driftstopp, produktivitetsförlust och kostnader för alternativa arrangemang.
Utvärdera rättsliga konsekvenser. Beräkna potentiella juridiska kostnader, böter och påföljder i samband med inkompatibilitet eller överträdelser.
Beräkna riskprioritet
Tilldela en riskprioritet till varje risk. Riskprioritet är den vikt du tilldelar en risk så att du vet om du ska behandla risken med hög, medelhög eller låg angelägenhetsgrad. Riskpåverkan är viktigare än riskannolikheten eftersom en risk med hög påverkan kan få bestående konsekvenser. Styrningsteamet måste använda en konsekvent metod i hela organisationen för att prioritera risker. Följ dessa rekommendationer för att beräkna riskprioritet:
Använd en riskmatris för kvalitativa utvärderingar. Skapa en matris för att tilldela en kvalitativ riskprioritet till varje risk. En axel i matrisen representerar riskannolikhet (hög, medel, låg) och den andra representerar riskpåverkan (hög, medel, låg). Följande tabell innehåller en exempelriskmatris:
Liten påverkan Medelstor påverkan Stor påverkan Låg sannolikhet Mycket låg Måttligt låg Måttligt hög Medelhög sannolikhet Låg Medium Högt Hög sannolikhet Medium Högt Mycket högt Använd formler för kvantitativa utvärderingar. Använd följande beräkning som baslinje: riskprioritet = riskannolikheten x riskpåverkan. Justera vikten på variablerna efter behov för att skräddarsy riskprioritetsresultatet. Du kan till exempel lägga större vikt vid riskpåverkan med den här formeln: riskprioritet = riskannolikheten x (riskpåverkan x 1,5).
Tilldela en risknivå
Kategorisera varje risk i en av tre nivåer: större risker (nivå 1), underrisk (nivå 2) och riskdrivande faktorer (nivå 3). Med risknivåer kan du planera en lämplig riskhanteringsstrategi och förutse framtida utmaningar. Nivå 1-risker hotar organisationen eller tekniken. Nivå 2-risker faller under risknivån 1. Nivå 3-risker är trender som potentiellt kan kulminera i en eller flera nivå 1- eller nivå 2-risker. Överväg till exempel inkompatibilitet med dataskyddslagar (nivå 1), felaktiga molnlagringskonfigurationer (nivå 2) och ökad komplexitet i regelkrav (nivå 3).
Fastställa riskhanteringsstrategi
För varje risk ska du identifiera lämpliga riskbehandlingsalternativ, till exempel att undvika, minimera, överföra eller acceptera risken. Ange en förklaring av valet. Om du till exempel bestämmer dig för att acceptera en risk eftersom kostnaden för att minska den är för dyr bör du dokumentera det resonemanget för framtida referens.
Tilldela riskägare
Utse en primär riskägare för varje risk. Riskägaren ansvarar för att hantera varje risk. Den här personen samordnar riskhanteringsstrategin för alla inblandade team och är den första kontaktpunkten för riskeskalering.
Dokumentera molnrisker
Dokumentera varje risk och information om riskanalysen. Skapa en lista över risker (riskregister) som innehåller all information som du behöver för att identifiera, kategorisera, prioritera och hantera risker. Utveckla standardiserat språk för riskdokumentation så att alla enkelt kan förstå molnriskerna. Överväg att inkludera följande element:
- Risk-ID: En unik identifierare för varje risk. Öka identifieraren sekventiellt när du lägger till nya risker. Om du tar bort risker kan du lämna luckor i sekvensen eller fylla luckorna i sekvensen.
- Riskhanteringsstatus: Status för risken (öppen, stängd).
- Riskkategori: En etikett som regelefterlevnad, säkerhet, kostnad, åtgärder, AI eller resurshantering.
- Riskbeskrivning: En kort beskrivning av risken.
- Riskannolikhet: Sannolikheten för att risken inträffar per år. Använd en procentsats eller kvalitativ etikett.
- Riskpåverkan: Påverkan på organisationen om risken uppstår. Använd ett ekonomiskt belopp eller en kvalitativ etikett.
- Riskprioritet: Riskens allvarlighetsgrad (sannolikhet x påverkan). Använd ett dollarbelopp eller en kvalitativ etikett.
- Risknivå: Typen av risk. Använd större hot (nivå 1), subrisk (nivå 2) eller riskdrivrutiner (nivå 3).
- Riskhanteringsstrategi: Metoden för att hantera risker som att minimera, acceptera eller undvika.
- Tillämpning av riskhantering: Metoder för att tillämpa riskhanteringsstrategin.
- Riskägare: Den person som hanterar risken.
- Datum för riskstängning: Ett datum då riskhanteringsstrategin ska tillämpas.
Mer information finns i Exempel på risklista.
Kommunicera molnrisker
Förmedla tydligt identifierade molnrisker till den verkställande sponsorn och ledningen. Målet är att säkerställa att organisationen prioriterar molnrisker. Tillhandahålla regelbundna uppdateringar om hantering av molnrisk och kommunicera när du behöver extra resurser för att hantera risker. Främja en kultur där hantering och styrning av molnrisker är en del av den dagliga driften.
Granska molnrisker
Granska den aktuella molnrisklistan för att säkerställa att den är giltig och korrekt. Granskningar bör vara regelbundna och även som svar på specifika händelser. Underhålla, uppdatera eller ta bort risker efter behov. Följ dessa rekommendationer för att granska molnrisker:
Schemalägg regelbundna utvärderingar. Ange ett återkommande schema för att granska och utvärdera molnrisker, till exempel kvartalsvis, halvårsvis eller årligen. Hitta en granskningsfrekvens som bäst passar personalens tillgänglighet, graden av ändringar i molnmiljön och organisationens risktolerans.
Genomför händelsebaserade granskningar. Granska risker som svar på specifika händelser, till exempel misslyckad riskskydd. Överväg att granska risker när du använder nya tekniker, ändrar affärsprocesser och upptäcker nya säkerhetshothändelser. Överväg även att granska när teknik, regelefterlevnad och organisationens risktolerans ändras.
Granska principer för molnstyrning. Behåll, uppdatera eller ta bort principer för molnstyrning för att hantera nya risker, befintliga risker eller inaktuella risker. Granska policyutdraget för molnstyrning och strategin för molnstyrningsframtvingande efter behov. När du tar bort en risk utvärderar du om de molnstyrningsprinciper som är associerade med den fortfarande är relevanta. Kontakta intressenter för att ta bort molnstyrningsprinciperna eller uppdatera principerna för att associera dem med en ny risk.
Exempel på risklista
Följande tabell är ett exempel på en risklista, även kallad ett riskregister. Skräddarsy exemplet så att det passar de specifika behoven och kontexten i organisationens Azure-molnmiljö.
Risk-ID | Status för riskhantering | Riskkategori | Riskbeskrivning | Riskannolikheten | Riskpåverkan | Riskprioritet | Risknivå | Riskhanteringsstrategi | Tillämpning av riskhantering | Riskägare | Datum för riskstängning |
---|---|---|---|---|---|---|---|---|---|---|---|
R01 | Öppnats | Regelefterlevnad | Inkompatibilitet med känsliga datakrav | 20 % ELLER medel | $100,000 ELLER hög | $20,000 ELLER hög | Nivå 2 | Mildra | Använd Microsoft Purview för övervakning av känsliga data. Efterlevnadsrapportering i Microsoft Purview. |
Efterlevnadsledare | 2024-04-01 |
R02 | Öppnats | Säkerhet | Obehörig åtkomst till molntjänster | 30 % ELLER hög | $200,000 ELLER hög | $60,000 ELLER Mycket hög | Nivå 1 | Mildra | Microsoft Entra ID multifaktorautentisering (MFA). Microsoft Entra ID Governance månatliga åtkomstgranskningar. |
Säkerhetsledare | 2024-03-15 |
R03 | Öppnats | Säkerhet | Osäker kodhantering | 20 % ELLER medel | $150,000 ELLER hög | $30,000 ELLER hög | Nivå 2 | Mildra | Använd definierad kodlagringsplats. Använd karantänmönster för offentliga bibliotek. |
Utvecklarledare | 2024-03-30 |
R04 | Öppnats | Kostnad | Överförbrukning på molntjänster på grund av överetablering och brist på övervakning | 40 % ELLER hög | $50,000 ELLER Medel | $20,000 ELLER hög | Nivå 2 | Mildra | Ange budgetar och aviseringar för arbetsbelastningar. Granska och tillämpa Advisor-kostnadsrekommendationer. |
Kostnads-lead | 2024-03-01 |
R05 | Öppnats | Operations | Avbrott i tjänsten på grund av avbrott i Azure-regionen | 25 % ELLER medel | $150,000 ELLER hög | $37,500 ELLER Hög | Nivå 1 | Mildra | Verksamhetskritiska arbetsbelastningar har aktiv-aktiv arkitektur. Andra arbetsbelastningar har aktiv-passiv arkitektur. |
Driftsledare | 2024-03-20 |
R06 | Öppnats | Data | Förlust av känsliga data på grund av felaktig kryptering och datalivscykelhantering | 35 % ELLER hög | $250,000 ELLER Hög | $87,500 ELLER Mycket hög | Nivå 1 | Mildra | Tillämpa kryptering under överföring och i vila. Upprätta datalivscykelprinciper med hjälp av Azure-verktyg. |
Data lead | 2024-04-10 |
R07 | Öppnats | Resurshantering | Felkonfiguration av molnresurser som leder till obehörig åtkomst och dataexponering | 30 % ELLER hög | $100,000 ELLER hög | $30,000 ELLER Mycket hög | Nivå 2 | Mildra | Använd infrastruktur som kod (IaC). Framtvinga taggningskrav med hjälp av Azure Policy. |
Resurs-lead | 2024-03-25 |
R08 | Öppnats | AI | AI-modell som producerar partiska beslut på grund av icke-representativa träningsdata | 15 % ELLER låg | $200,000 ELLER hög | $30,000 ELLER måttligt hög | Nivå 3 | Mildra | Använd tekniker för att filtrera innehåll. Ai-modeller för röda team varje månad. |
AI-lead | 2024-05-01 |