Freigeben über

Microsoft 365 Risikomanagement-Programm

  • Artikel

Der Zweck des Microsoft 365-Risikomanagementprogramms besteht darin, Risiken für Microsoft 365 zu identifizieren, zu bewerten und zu verwalten. Die oberste Priorität von Microsoft besteht darin, Risiken, die sich auf unsere Dienstinfrastruktur sowie unsere Kunden, ihre Daten und ihr Vertrauen auswirken könnten, proaktiv zu identifizieren und zu beheben. Darüber hinaus ist ein robustes Risikomanagementprogramm erforderlich, um vertragliche Verpflichtungen zu erfüllen und öffentliche Akkreditierungen zu erhalten, auf die unsere Kunden angewiesen sind, um ihre eigenen Compliance-Anforderungen zu erfüllen. Während das Microsoft 365-Risikomanagementprogramm unabhängig voneinander funktioniert, richtet es sich nach den Richtlinien, Prioritäten und Methoden des übergreifenden Enterprise Risk Management (ERM)-Programms. Die Arbeit mit dem ERM-Programm ermöglicht einen konsistenten Vergleich zwischen Geschäftsbereichen und Engineering-Gruppen und trägt zu einem kohärenteren Ansatz für das Risikomanagement im gesamten Unternehmen bei.

Das Microsoft 365 Trust-Team ist für die Verwaltung des Microsoft 365-Risikomanagementprogramms und die Durchführung der durch das ERM-Programm definierten Aktivitäten verantwortlich. Das Trust-Team konzentriert sich auf die Integration des Risikomanagement-Frameworks in den vorhandenen Microsoft 365-Engineering-, Service- und Complianceprozess, um das Risikomanagementprogramm effektiver und effizienter zu gestalten.

Das Trust-Team verwaltet auch das Microsoft 365 Controls Framework, eine Reihe rationalisierter Steuerelemente, die es Engineering-Teams bei ordnungsgemäßer Implementierung mit unterstützenden Complianceaktivitäten ermöglichen, wichtige Vorschriften und Zertifizierungen einzuhalten. Dieses Framework wird basierend auf Feedback und Ergebnissen im Rahmen des Risikomanagementprozesses kontinuierlich aktualisiert.

Risikomanagementaktivitäten werden in vier Phasen unterteilt: Identifizierung, Bewertung, Reaktion sowie Überwachung und Berichterstellung.

Risikomanagement-Prozessaktivitäten.

Identifizierung

Der Risikomanagementprozess beginnt damit, alle möglichen Risiken für alle wichtigen Kontrollbereiche, interne und externe Bedrohungen und Sicherheitsrisiken in der Microsoft 365-Umgebung zu identifizieren. Die Informationen, die diesen Prozess leiten, stammen aus mehreren Quellen, einschließlich Interviews, Überprüfungen von Sicherheitsrisiken, Angriffssimulationsübungen, Überwachungsergebnissen und Vorfallverwaltungsaktivitäten.

Das Trust-Team interviewt Fachexperten (SMEs) aus mehreren Serviceteams zu zuvor identifizierten Risiken und potenziellen zukünftigen Risiken, die mit dem Wachstum der Dienste eingeführt werden können. Darüber hinaus tragen KMU dazu bei, die Genauigkeit und Vollständigkeit von Risiken zu überprüfen, die aus den anderen kontinuierlichen Überwachungsquellen identifiziert wurden.

In der Identifizierungsphase werden auch Entscheidungsprotokolle, aktive Sicherheits- und Compliance-Ausnahmen und Entschärfungsarbeiten aus früheren Risikobewertungen überprüft.

Bewertung

Jedes identifizierte Risiko wird anhand von drei Metriken bewertet: Auswirkung, Wahrscheinlichkeit und Kontrollmangel.

  • "Auswirkung" bezieht sich auf den Schaden, der für den Dienst, das Unternehmen oder Microsoft eintreten würde, wenn dieses Risiko realisiert würde. Die Auswirkungen auf Microsoft können Schäden am Ruf, Verlust von Kunden oder Rechtliche/Compliance-Auswirkungen umfassen.
  • Wahrscheinlichkeit definiert die Wahrscheinlichkeit, dass das potenzielle Risiko realisiert wird, und wird berechnet, indem die Wahrscheinlichkeit und Häufigkeit, mit der es auftritt, analysiert wird.
  • Kontrollmängel misst die Wirksamkeit der implementierten Entschärfungskontrollen.

Diese Metriken werden verwendet, um eine Risikobewertung zu berechnen, die den Schweregrad jedes Risikos darstellt und vorhandene Risikominderungsstrategien berücksichtigen. Risiken werden aggregiert und den wichtigsten Beteiligten aus jedem Dienst präsentiert, um die Genauigkeit und Vollständigkeit des Risikostatus von Microsoft 365 zu überprüfen.

Antwort

Mithilfe der überprüften Liste der Risiken für Microsoft 365 weist das Trust-Team dem betroffenen Dienst Risiken zur Risikoreaktion zu. Definierte Richtlinien helfen bei der Ermittlung der geeigneten Strategie zur Reaktion auf Risiken basierend auf der Risikobewertung und der Effektivität der Kontrolle. Strategien zur Risikoreaktion sind in vier Kategorien unterteilt:

  • Tolerieren: Bereiche mit geringer Risikoexposition mit einem geringen Maß an Kontrolle.
  • Betreiben: Bereiche mit geringer Risikoexposition, in denen Kontrollen als angemessen angesehen werden.
  • Überwachen: Bereiche mit hoher Risikoexposition, in denen Kontrollen als ausreichend angesehen werden, die aber auf Effizienz überwacht werden sollten.
  • Verbesserung: Bereiche mit hoher Risikoexposition mit geringem Kontrollniveau, die bei der Bewältigung oberster Prioritäten sind.

Das Trust-Team koordiniert sich mit Serviceteams, um Pläne für die Bewältigung jedes Risikos zu entwickeln. Der Schweregrad bestimmt die entsprechende Überprüfungs- und Genehmigungsebene für jeden Plan. Für Risiken, die Maßnahmen erfordern, werden vorhandene technische Fehlerprozesse zum Nachverfolgen, Verwalten und Treffen von Ausnahmeentscheidungen verwendet. Die Verwendung eines Prozesses, der den Entwicklungs- und Betriebsteams vertraut ist, macht die Risikoreaktion effizienter und effektiver.

Überwachung und Berichterstellung

Im Rahmen der Risikobewertung identifizierte Risiken werden überwacht und den relevanten Interessengruppen gemeldet. Zu den Überwachungsstrategien gehören Sicherheitsüberwachung, regelmäßige Risikoüberprüfungen, Penetrationstests und Sicherheitsrisiko-Scans. Diese Überwachungsbemühungen dienen als Datenquellen für die Berichterstattung über Wichtige Leistungsindikatoren, die Erstellung von Dashboards und die Entwicklung formaler Berichte, die alle zukünftige Risikoentscheidungen informieren.

Mehrmals im Jahr trifft sich das Trust-Team mit Risikobesitzern aus jedem Dienst, um Risikobewertungen zu überprüfen, die Effektivität ihrer Aktionspläne zu bewerten und bei Bedarf Aktualisierungen vorzunehmen. Darüber hinaus tragen die Risikobewertungsaktivitäten von Microsoft 365 zu den Enterprise Risk Assessments des ERM-Programms bei, die einen allgemeinen Überblick über die Risikolage von Microsoft für die Geschäftsleitung von Microsoft und das ERM-Programm bieten.