Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
İdare ekibi devreye girdikten sonra, bir sonraki adım kuruluşunuzun bulut kullanımıyla ilgili tüm önemli riskleri belirlemek ve değerlendirmektir. Bu bağlamdaki "risk" güvenlik ihlali, uyumluluk ihlali, hizmet kesintisi veya maliyet taşması gibi, bulutun nasıl kullanıldığına bağlı olarak ortaya çıkabilecek herhangi bir istenmeyen sonuçtur. İdare ekibi riskleri değerlendirerek bir sonraki adımda ilgili ilkeleri oluşturmak için gereken bilgileri elde eder. Bu risk değerlendirmesi başlangıçta idare kurulumu sırasında yapılmalıdır ve ardından düzenli olarak ve yeni projeler, yeni tehditler, denetimler ve olaylar gibi önemli değişiklikler gerçekleştiğinde yeniden ziyaret edilmelidir.
1. Bulut risklerini belirleme
Kuruluşun bulutta karşılaştığı risklerin kapsamlı bir listesini derleyerek başlayın. Son derece niş senaryolar yerine genel uygulanabilirlik risklerine odaklanın. Belirgin yüksek öncelikli risklerle başlayabilir ve listeyi zaman içinde genişletebilirsiniz.
Tüm bulut varlıklarını listeleyin. Tüm bulut varlıklarınızı listeleyerek bunlarla ilişkili riskleri kapsamlı bir şekilde tanımlamanızı sağlayın. Örneğin, bir abonelikteki tüm kaynakları görüntülemek için Azure portalı, Azure Kaynak Grafı, PowerShell ve Azure CLI'yı kullanabilirsiniz.
Bulut risklerini keşfedin. Bulut idare ilkelerine yol göstermek için kararlı bir risk kataloğu geliştirin. Sık yapılan ayarlamaları önlemek için, belirli bir iş yüküne özgü risklere değil genel bulut risklerine odaklanın. Yüksek öncelikli risklerle başlayın ve zaman içinde daha kapsamlı bir liste geliştirin. Yaygın risk kategorileri mevzuat uyumluluğu, güvenlik, operasyonlar, maliyet, veriler, kaynaklar ve yapay zekadır. Microsoft dışı yazılımlar, iş ortağı veya satıcı desteği ve iç bulut yetkinlikleri gibi kuruluşunuza özgü riskleri dahil edin.
Önemli paydaşları dahil edin. Tüm olası riskleri göz önünde bulundurmak için çeşitli kuruluş rollerinden (BT, güvenlik, hukuk, finans ve iş birimleri) girdiler toplayın. Bu işbirliğine dayalı yaklaşım, bulutla ilgili risklerin bütünsel bir görünümünü sağlar.
Riskleri doğrulayın. Risk listenizi gözden geçirmek ve doğrulamak için bulut riski belirleme hakkında ayrıntılı bilgilere sahip dış uzmanlarla etkileşime geçin. Bu uzmanlar Microsoft hesap ekipleri veya özel Microsoft iş ortakları olabilir. Uzmanlıkları tüm olası risklerin belirlenmesini doğrulamaya yardımcı olur ve risk değerlendirmenizin doğruluğunu artırır.
Azure kolaylaştırma: Bulut risklerini tanımlama
Aşağıdaki kılavuz, Azure'daki bulut risklerini belirlemenize yardımcı olmak içindir. Temel bulut idaresi kategorileri için örnek bir başlangıç noktası sağlar. Azure, risk bulma sürecinin bir bölümünü otomatikleştirmeye yardımcı olabilir. Azure Danışmanı, Bulut için Microsoft Defender, Azure İlkesi, Azure Hizmet Durumu ve Microsoft Purview gibi Azure araçlarını kullanın.
Mevzuat uyumluluğu risklerini belirleme. Bulut verilerini ve operasyonlarını etkileyen yasal ve mevzuat çerçeveleriyle uyumsuzluk risklerini belirleyin. Sektörünüzün mevzuat gereksinimlerini bilin. Başlamak için Azure uyumluluk belgelerini kullanın.
Güvenlik risklerini belirleyin. Bulut ortamının gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atacak tehditleri ve güvenlik açıklarını belirleyin. Bulut güvenliği duruşunuzu değerlendirmek ve kimlik risklerini algılamak için Azure'ı kullanın.
Maliyet risklerini belirleyin. Bulut kaynaklarının maliyetleriyle ilgili riskleri belirleyin. Maliyetle ilgili riskler arasında fazla sağlama, yetersiz sağlama, az kullanım ve veri aktarım ücretlerinden veya hizmet ölçeklendirmesinden kaynaklanan beklenmeyen maliyetler yer alır. Maliyet riskini belirlemek için maliyet değerlendirmesi kullanın. Azure fiyatlandırma hesaplayıcısıyla maliyetleri tahmin etmek için Azure'ı kullanın. Geçerli kaynaklardaki maliyetleri analiz etme ve tahmin etme. Bulut maliyetlerindeki beklenmeyen değişiklikleri belirleme.
İşlem risklerini belirleyin. Kapalı kalma süresi ve veri kaybı gibi bulut işlemlerinin sürekliliğini tehdit eden riskleri belirleyin. Güvenilirlik ve performans risklerini belirlemek için Azure araçlarını kullanın.
Veri risklerini tanımlama. Buluttaki veri yönetimiyle ilgili riskleri belirleyin. Veri yaşam döngüsü yönetiminde verilerin ve kusurların yanlış işlenmesini göz önünde bulundurun. Veri risklerini tanımlamaya ve hassas veri risklerini keşfetmeye yardımcı olmak için Azure araçlarını kullanın.
Kaynak yönetimi risklerini belirleyin. Bulut kaynaklarının sağlanmasından, dağıtımından, yapılandırmasından ve yönetiminden kaynaklanan riskleri belirleyin. Operasyonel mükemmellik risklerini belirleme.
Yapay zeka risklerini belirleme. Düzenli olarak kırmızı takım dili modelleri. Yapay zeka sistemlerini el ile test edin ve yapay zeka için otomatik risk belirleme araçlarıyla el ile testleri destekleyin. Yaygın insan-yapay zeka etkileşim hatalarını arayın. Yapay zeka sistemlerinin kullanımı, erişimi ve çıkışıyla ilgili riskleri göz önünde bulundurun. Sorumlu yapay zekanın ve sorumlu yapay zekaolgunluk modelinin kümelerini gözden geçirin.
2. Bulut risklerini analiz etme
Önem derecesine göre önceliklerini belirlemek için her riske nitel veya nicel bir derecelendirme atayın. Risk öncelik belirlemesi, risk olasılığını ve risk etkisini birleştirir. Daha hassas risk önceliklendirmesi için nitel yerine nicel risk analizini tercih edin. Bulut risklerini analiz etmek için şu stratejileri izleyin:
Risk olasılığını değerlendirme
Yılda gerçekleşen her riskin nicel veya nitel olasılığını tahmin edin. Yıllık, nicel risk olasılığını göstermek için yüzde aralığı (0%-100%) kullanın. Düşük, orta ve yüksek, nitel risk olasılığına yönelik yaygın etiketlerdir. Risk olasılığını değerlendirmek için şu önerileri izleyin:
Genel karşılaştırmaları kullanın. Yaygın riskleri ve bunların oluşum oranlarını belgeleyen raporlar, çalışmalar veya hizmet düzeyi sözleşmelerinden (SLA) alınan verileri kullanın.
Geçmiş verileri analiz etme. Geçmişte benzer risklerin oluşma sıklıklarını belirlemek için iç olay raporlarına, denetim günlüklerine ve diğer kayıtlara bakın.
Test denetimi etkinliği. Riskleri en aza indirmek için geçerli risk azaltma denetimlerinin etkinliğini değerlendirin. Denetim testi sonuçlarını, denetim bulgularını ve performans ölçümlerini gözden geçirmeyi göz önünde bulundurun.
Risk etkisini belirleme
Kuruluş üzerindeki riskin nicel veya nitel etkisini tahmin edin. Parasal tutar, nicel risk etkisini temsil etmenin yaygın bir yoludur. Düşük, orta ve yüksek, nitel risk etkisine yönelik yaygın etiketlerdir. Risk etkisini belirlemek için şu önerileri izleyin:
Finansal analiz gerçekleştirin. Kapalı kalma süresi maliyeti, yasal ücretler, cezalar ve düzeltme çalışmalarının maliyeti gibi faktörlere bakarak riskin olası mali kaybını tahmin edin.
Saygınlık etkisi değerlendirmesi gerçekleştirin. Kuruluşun itibarı üzerindeki olası etkiyi tahmin etmek için benzer olaylarla ilgili anketleri, pazar araştırmalarını veya geçmiş verileri kullanın.
Operasyonel kesinti analizi gerçekleştirin. Kapalı kalma süresini, üretkenlik kaybını ve alternatif düzenlemelerin maliyetini tahmin ederek operasyonel kesintinin kapsamını değerlendirin.
Yasal etkileri değerlendirin. Uyumsuzluk veya ihlallerle ilişkili olası yasal maliyetleri, para cezalarını ve yaptırımları tahmin edin.
Risk önceliğini hesaplama
Her riske bir risk önceliği atayın. Risk önceliği, riski yüksek, orta veya düşük aciliyetle ele alıp veremeyeceğinizi bilmeniz için bir riske atadığınız önemdir. Yüksek etkiye sahip bir riskin kalıcı sonuçları olabileceğinden risk etkisi risk olasılığından daha önemlidir. İdare ekibinin, riski önceliklendirmek için kuruluş genelinde tutarlı bir metodoloji kullanması gerekir. Risk önceliğini hesaplamak için şu önerileri izleyin:
Nitel değerlendirmeler için risk matrisi kullanın. Her riske nitel risk önceliği atamak için bir matris oluşturun. Matrisin bir ekseni risk olasılığını (yüksek, orta, düşük) ve diğeri risk etkisini (yüksek, orta, düşük) temsil eder. Aşağıdaki tabloda örnek bir risk matrisi verilmiştir:
Düşük etki Orta düzeyde etki Yüksek etki Düşük olasılık Çok düşük Orta düzeyde düşük Orta derecede yüksek Orta olasılık Low Orta High Yüksek olasılık Orta High Çok yüksek Nicel değerlendirmeler için formülleri kullanın. Temel olarak aşağıdaki hesaplamayı kullanın: risk önceliği = risk olasılığı x risk etkisi. Risk önceliği sonuçlarını uyarlamak için değişkenlerin ağırlığını gerektiği gibi ayarlayın. Örneğin, şu formülle risk etkisine daha fazla vurgu yapabilirsiniz: risk önceliği = risk olasılığı x (risk etkisi x 1.5).
Risk düzeyi belirleme
Her riski üç düzeyden birinde kategorilere ayırın: büyük riskler (düzey 1), alt bölümler (düzey 2) ve risk sürücüleri (düzey 3). Risk düzeyleri, uygun bir risk yönetimi stratejisi planlamanızı ve gelecekteki zorlukları tahmin etmenizi sağlar. Düzey 1 riskleri kuruluşu veya teknolojiyi tehdit eder. Düzey 2 riskleri 1. düzey riskin altına girer. Düzey 3 riskleri, bir veya daha fazla düzey 1 veya düzey 2 riskinde doruk noktası olabilecek eğilimlerdir. Örneğin, veri koruma yasalarına (düzey 1), hatalı bulut depolama yapılandırmalarına (düzey 2) ve mevzuat gereksinimlerinin karmaşıklığını artırmaya (düzey 3) uymamayı göz önünde bulundurun.
Risk yönetimi stratejisini belirleme
Her risk için riski önleme, azaltma, aktarma veya kabul etme gibi uygun risk işleme seçeneklerini belirleyin. Seçimin açıklamasını sağlayın. Örneğin, risk azaltma maliyeti çok pahalı olduğundan riski kabul etmeye karar verirseniz, gelecekte başvurmak için bu mantığı belgelemeniz gerekir.
Risk sahiplerini ata
Her risk için birincil risk sahibini belirleyin. Risk sahibinin her riski yönetme sorumluluğu vardır. Bu kişi, risk yönetimi stratejisini ilgili her ekipte koordine eder ve risk yükseltme için ilk iletişim noktasıdır.
3. Bulut risklerini belgele
Her riski ve risk analizinin ayrıntılarını belgele. Riskleri tanımlamak, kategorilere ayırmak, önceliklendirmek ve yönetmek için ihtiyacınız olan tüm bilgileri içeren bir risk listesi (risk kaydı) oluşturun. Herkesin bulut risklerini kolayca anlayabilmesi için risk belgeleri için standartlaştırılmış dil geliştirin. Şu öğeleri eklemeyi göz önünde bulundurun:
| Veri Alanı | Description |
|---|---|
| Kimlik | Her risk için benzersiz bir tanımlayıcı. İzlenebilirlik ve basit başvuru sağlar. Sıralı etiket kullanma (örneğin, R01, R02); risk eklediğinizde sırayı artırma ve riskleri kaldırdığınızda boşluk bırakma veya yalnızca gerektiğinde yeniden numaralandırma. |
| Yönetim durumu | Riskin geçerli durumu. Riskin eylem gerekip gerektirmediğini açıklar. "Aç" veya "Kapalı" kullanın ve değiştiğinde durumu hemen güncelleştirin. |
| Kategori | Riski sınıflandırır. Hedeflenen idare ve raporlama için riskleri gruplandırıyor. Mevzuat uyumluluğu, Güvenlik, Maliyet, operasyonlar, yapay zeka veya Kaynak yönetimi gibi kategorileri kullanın. |
| Description | Riskin kısa, belirli bir açıklaması. Tehdit, etkilenen varlıklar ve kapsam açıklanmaktadır. Riski tek bir tümcede belirtip nedeni veya giriş noktasını ekleyin. |
| Olasılık | Riskin oluşmasının yıllık olasılığı. Nicel öncelik belirlemeyi ve karşılaştırmayı destekler. Yüzde (0%–100%) veya nitel etiket (Düşük, Orta, Yüksek) kullanın. |
| Etki | Risk gerçekleşirse kuruluş üzerindeki etkisi. Düzeltme çabasını ve maliyet tahminini bildirir. Parasal tahmin veya nitel etiket (Düşük, Orta, Yüksek) kullanın ve tahminin temelini belgele. |
| Priority | Olasılık ve etkiyi birleştiren hesaplanan önem derecesi. İşlem sırasını ve kaynak ayırmayı yönlendirir. Dolar tutarı veya nitel etiket kullanın ve hesaplama yöntemini kaydedin (örneğin, olasılık × etkisi). |
| Seviye | Risk hiyerarşisi içindeki risk katmanı. Yükseltme yollarını ve idare kapsamını tanımlar. Büyük tehdit (düzey 1), Subrisk (düzey 2) veya Risk sürücüsü (düzey 3) kullanın. |
| Yönetim stratejisi | Riski işlemek için seçilen yaklaşım. Birincil eylemi ve beklenen sonucu tanımlar. Azaltma, Kabul Etme, Kaçınma veya Aktarma gibi eylemleri kullanın ve seçimin gerekçelerini açıklayın. |
| Yönetim zorlaması | Stratejiyi uygulayan denetimler ve işlemler. Stratejinin yürütülmesini ve etkili kalmasını sağlar. Belirli teknik denetimleri, ilkeleri, izlemeyi ve gözden geçirme tempolarını listeleyin. |
| Sahibi | Riski yönetmek için sorumlu kişi veya rol. Sorumluluk ve tek bir iletişim noktası atar. Sahibin rolünü veya adını, kişi ayrıntılarını ve yükseltme yönergelerini kaydedin. |
| Kapatma tarihi | Yönetim stratejisini uygulamak veya riski kapatmak için hedef tarih. Sorumluluk ve izleme için bir son tarih oluşturur. Bir tarih ayarlayın ve risk kapandığında veya plan değiştiğinde güncelleştirin. |
Daha fazla bilgi için bkz. Risk listesi örneği.
4. Bulut risklerini iletme
Tanımlanan bulut risklerini yönetici sponsoru ve yönetici düzeyinde yönetime açıkça iletin. Amaç, kuruluşun bulut risklerine öncelik vermesini sağlamaktır. Bulut riski yönetimiyle ilgili düzenli güncelleştirmeler sağlayın ve riskleri yönetmek için ek kaynaklara ihtiyacınız olduğunda iletişim kurun. Bulut risklerinin yönetiminin ve idaresinin günlük işlemlerin bir parçası olduğu bir kültürü teşvik edin.
5. Bulut risklerini gözden geçirme
Geçerli ve doğru olduğundan emin olmak için geçerli bulut riski listesini gözden geçirin. İncelemeler düzenli ve belirli olaylara yanıt olarak olmalıdır. Riskleri gerektiği gibi koruyun, güncelleştirin veya kaldırın. Bulut risklerini gözden geçirmek için şu önerileri izleyin:
Düzenli değerlendirmeler zamanlayın. Üç aylık, iki yıllık veya yıllık gibi bulut risklerini gözden geçirmek ve değerlendirmek için yinelenen bir zamanlama ayarlayın. Personelin kullanılabilirliğini, bulut ortamı değişikliklerinin oranını ve kurumsal risk toleransını en iyi şekilde karşılayan bir gözden geçirme sıklığı bulun.
Olay tabanlı incelemeler yapın. Riskin başarısız önlenmesi gibi belirli olaylara yanıt olarak riskleri gözden geçirin. Yeni teknolojileri benimserken, iş süreçlerini değiştirirken ve yeni güvenlik tehditleri olaylarını keşfederken riskleri gözden geçirmeyi göz önünde bulundurun. Teknoloji, mevzuat uyumluluğu ve kurumsal risk toleransı değişikliklerinin ne zaman değiştiğini de gözden geçirmeyi göz önünde bulundurun.
Bulut idare ilkelerini gözden geçirin. Yeni riskleri, mevcut riskleri veya güncel olmayan riskleri ele almak için bulut idare ilkelerini koruyun, güncelleştirin veya kaldırın. Gerektiğinde bulut idare ilkesi bildirimini ve bulut idaresi uygulama stratejisini gözden geçirin. Bir riski kaldırdığınızda, bununla ilişkili bulut idare ilkelerinin hala uygun olup olmadığını değerlendirin. Bulut idare ilkelerini kaldırmak veya yeni bir riskle ilişkilendirmek için ilkeleri güncelleştirmek için paydaşlara danışın.
Örnek risk listesi
Aşağıdaki tablo, risk kaydı olarak da bilinen örnek bir risk listesidir. Örneği, kuruluşunuzun Azure bulut ortamına özgü gereksinimlere ve bağlama uyacak şekilde uyarlayın.
| Risk Kimliği | Risk yönetimi durumu | Risk kategorisi | Risk açıklaması | Risk olasılığı | Risk etkisi | Risk önceliği | Risk düzeyi | Risk yönetimi stratejisi | Risk yönetimi uygulama | Risk sahibi | Risk kapanış tarihi |
|---|---|---|---|---|---|---|---|---|---|---|---|
| R01 | Açık | Mevzuat uyumluluğu | Hassas veri gereksinimleriyle uyumsuzluk | 20% VEYA Orta | 100.000 ABD Doları VEYA Yüksek | 20.000 ABD Doları VEYA Yüksek | Düzey 2 | Mitigate | Hassas veri izleme için Microsoft Purview'u kullanın. Microsoft Purview'da uyumluluk raporlaması. |
Uyumluluk lideri | 2024-04-01 |
| R02 | Açık | Security | Bulut hizmetlerine yetkisiz erişim | 30% VEYA Yüksek | 200.000 ABD Doları VEYA Yüksek | $60,000 VEYA Çok yüksek | Düzey 1 | Mitigate | Microsoft Entra ID çok faktörlü kimlik doğrulaması (MFA). Microsoft Entra ID Yönetimi Aylık Erişim Değerlendirmeleri. |
Güvenlik sorumlusu | 2024-03-15 |
| R03 | Açık | Security | Güvenli olmayan kod yönetimi | 20% VEYA Orta | 150.000 ABD Doları VEYA Yüksek | 30.000 ABD Doları VEYA Yüksek | Düzey 2 | Mitigate | Tanımlı kod deposunu kullanın. Ortak kitaplıklar için karantina deseni kullanın. |
Geliştirici lideri | 2024-03-30 |
| R04 | Açık | Maliyet | Fazla sağlama ve izleme eksikliği nedeniyle bulut hizmetlerinde fazla harcama | 40% VEYA Yüksek | 50.000 ABD Doları VEYA Orta | 20.000 ABD Doları VEYA Yüksek | Düzey 2 | Mitigate | İş yükleri için bütçeler ve uyarılar ayarlayın. Danışman maliyet önerilerini gözden geçirin ve uygulayın. |
Maliyet liderliği | 2024-03-01 |
| R05 | Açık | Operations | Azure bölgesi kesintisi nedeniyle hizmet kesintisi | 25% VEYA Orta | 150.000 ABD Doları VEYA Yüksek | $37,500 VEYA Yüksek | Düzey 1 | Mitigate | Görev açısından kritik iş yüklerinin aktif-aktif mimarisi vardır. Diğer iş yüklerinin etkin-pasif mimarisi vardır. |
İşlem lideri | 20.03.2024 |
| R06 | Açık | Data | Hatalı şifreleme ve veri yaşam döngüsü yönetimi nedeniyle hassas veri kaybı | 35% VEYA Yüksek | 250.000 ABD Doları VEYA Yüksek | $87,500 VEYA Çok yüksek | Düzey 1 | Mitigate | Aktarım sırasında ve bekleme durumunda şifreleme uygulayın. Azure araçlarını kullanarak veri yaşam döngüsü ilkeleri oluşturun. |
Veri müşteri adayı | 2024-04-10 |
| R07 | Açık | Kaynak yönetimi | Yetkisiz erişime ve verilerin açığa çıkarmasına neden olan bulut kaynaklarının yanlış yapılandırılması | 30% VEYA Yüksek | 100.000 ABD Doları VEYA Yüksek | $30,000 VEYA Çok yüksek | Düzey 2 | Mitigate | Altyapıyı kod olarak (IaC) kullanın. Azure İlkesi'ni kullanarak etiketleme gereksinimlerini zorunlu kılma. |
Kaynak lideri | 2024-03-25 |
| R08 | Açık | AI | Temsil edici olmayan eğitim verileri nedeniyle taraflı kararlar üreten yapay zeka modeli | 15% VEYA Düşük | 200.000 ABD Doları VEYA Yüksek | $30,000 VEYA Orta derecede yüksek | Düzey 3 | Mitigate | İçerik filtreleme azaltma tekniklerini kullanın. Red takım AI modellerini aylık olarak değerlendirir. |
Yapay zeka lideri | 2024-05-01 |