Administración de riesgos

  • 4 minutos

La gestión de riesgos dentro de nuestros centros de datos es un proceso continuo, con evaluaciones formales que se realizan a lo largo del ciclo de vida de una instalación. Para identificar y mitigar el impacto de las amenazas físicas y ambientales en los centros de datos de Microsoft, se realiza anualmente una evaluación de riesgos, vulnerabilidades y amenazas (TVRA) para todos los centros de datos que hospedan datos de clientes. Además de seguir el marco de administración de riesgos empresariales de Microsoft, Microsoft aprovecha los requisitos definidos en las Directrices de administración de riesgos tecnológicos publicadas inicialmente en junio de 2013 por la Autoridad Monetario de Singapur. Los TVRA reflejan el mejor juicio profesional de Microsoft basado en los métodos de evaluación de riesgos aceptados y la información actualmente disponible para la empresa.

Microsoft facilita el proceso de TVRA siguiendo estos pasos:

Diagrama del proceso de evaluación de amenazas, vulnerabilidades y riesgos que comienza con la identificación del riesgo, el análisis del riesgo, la clasificación de riesgos y el informe.

  • Identificación de riesgos: TVRA consideran una amplia gama de escenarios de amenazas que surgen de riesgos naturales y creados por el usuario (incluidos los accidentales). Los resultados variarán en función de la ubicación del centro de datos, el diseño, el ámbito de los servicios y otros factores. TvRA selecciona los escenarios de amenaza que se resaltan en el documento de TVRA en función de los requisitos del cliente, un país o región independiente, una evaluación de nivel de ciudad y sitio del entorno de riesgo proporcionado por la información de riesgo de terceros y de terceros. Para las ubicaciones que tienen varios centros de datos, se agregan clasificaciones de las TVRA para garantizar una vista integral de las amenazas físicas y del entorno, vulnerabilidades y riesgos para las ubicaciones que se evaluarán.

    Los tipos de escenarios de amenazas evaluados por las TVRA de centros de datos incluyen:

    • Amenazas externas: incidentes derivados de actividades humanas intencionadas o accidentales externas. Por ejemplo, desorden civil, violencia, actividad delictiva, robo externo, dispositivos informáticos mejorados, ataques de armas, ataques involuntarios, entrada no autorizada y bloqueos de avión.
    • Amenazas internas: incidentes derivados de actividades humanas internas intencionadas o accidentales. Por ejemplo, robo interno y sabotaje.
    • Los riesgos naturales: un proceso natural o un fenómeno que podría afectar negativamente a los centros de datos. Por ejemplo, tormentas tropicales, tormentas, desbordamientos, desbordamientos, deslizamientos de tierra, incendios, incendios, terremotos, actividad de tormentas y tormentas graves con rayo, tormentas, vientos fuertes o lluvia intensa.
    • Amenazas ambientales: condiciones ambientales que podrían afectar negativamente a los centros de datos. Por ejemplo, el estrés del agua, el estrés térmico y las pandemias.

  • Análisis de riesgos: las amenazas se evalúan según una evaluación de su riesgo inherente; el riesgo inherente se calcula en función del impacto inherente de una amenaza y la probabilidad inherente de la aparición de amenazas en ausencia de una acción de administración y controles. Estas evaluaciones están informadas tanto de los comentarios internos de expertos en la materia (SME) como del uso de índices de riesgo externos.

  • Riesgo residual: el riesgo residual se determina como una medida de los niveles de riesgo restantes después de tener en cuenta la eficacia del control. La eficacia del control se evalúa como una medida de las acciones de administración actuales y los controles diseñados para evitar o detectar amenazas, a la vez que se evalúa la probabilidad de que los controles tengan el efecto deseado según lo diseñado e implementado. Estas evaluaciones se informan a través de una agregación de los comentarios de SME internos sobre la eficacia del control para las ubicaciones de los centros de datos indicados en las TVRA.

  • Informe: Una vez completada la evaluación, se genera un informe de TVRA para la aprobación de la administración y para respaldar nuestros esfuerzos generales relacionados con la administración de riesgos.

Microsoft se compromete a actualizar continuamente sus evaluaciones de riesgos y metodologías para incorporar mejoras y tener en cuenta las condiciones cambiantes. Como resultado, el análisis y las conclusiones están sujetos a cambios.

Más información