Felhőkockázatok felmérése

  • Cikk

Ez a cikk bemutatja, hogyan értékelheti a felhővel kapcsolatos kockázatokat. Minden technológia bizonyos kockázatokat jelent egy szervezet számára. A kockázatok olyan nem kívánt eredmények, amelyek hatással lehetnek az üzletmenetre, például az iparági szabványoknak való megfelelés elmaradása. A felhő bevezetésekor azonosítania kell, hogy a felhő milyen kockázatokat jelent a szervezet számára. A felhőszabályozási csapat felhőszabályozási szabályzatokat hoz létre a kockázatok megelőzése és csökkentése érdekében. A felhőkockázatok felméréséhez végezze el ezeket a feladatokat.

A felhőszabályozás beállításának és karbantartásának folyamatát bemutató ábra. Az ábrán öt egymást követő lépés látható: felhőszabályozási csapat létrehozása, felhőszabályozási szabályzatok dokumentálása, felhőszabályozási szabályzatok kikényszerítése és felhőszabályozás monitorozása. Az első lépés, amit egyszer hajt végre. Az utolsó négy lépés, amit egyszer végre kell hajtania a felhőszabályozás beállításához és a felhőszabályozás folyamatos fenntartásához.

Felhőkockázatok azonosítása

A felhőkockázatok átfogó listájának katalógusa. A kockázatok ismerete lehetővé teszi olyan felhőszabályozási szabályzatok létrehozását, amelyek megelőzhetik és mérsékelhetik ezeket a kockázatokat. A felhőkockázatok azonosításához kövesse az alábbi javaslatokat:

  • Az összes felhőegység listázása. Sorolja fel az összes felhőeszközt, hogy átfogóan azonosíthassa a hozzájuk kapcsolódó kockázatokat. Az Azure Portal, az Azure Resource Graph, a PowerShell és az Azure CLI használatával például megtekintheti az előfizetés összes erőforrását.

  • Felhőkockázatok felderítése. Stabil kockázati katalógus létrehozása a felhőszabályozási szabályzatok irányításához. A gyakori módosítások elkerülése érdekében az általános felhőkockázatokra összpontosítson, ne egy adott számítási feladatra jellemző kockázatokra. Kezdje a magas prioritású kockázatokkal, és dolgozzon ki egy átfogóbb listát az idő függvényében. A kockázatok gyakori kategóriái a szabályozási megfelelőség, a biztonság, a műveletek, a költségek, az adatok, az erőforrások és az AI. A szervezet számára egyedi kockázatokat, például nem Microsoft-szoftvereket, partner- vagy szállítói támogatást, valamint belső felhőkompetenciákat tartalmazhat.

  • Vonja be a főbb érdekelt feleket. Különböző szervezeti szerepkörökből (informatikai, biztonsági, jogi, pénzügyi és üzleti egységek) származó adatok összegyűjtése az összes lehetséges kockázat figyelembe viteléhez. Ez az együttműködési megközelítés holisztikus képet biztosít a felhővel kapcsolatos kockázatokról.

  • Ellenőrizze a kockázatokat. Vegye fel a kapcsolatot külső szakértőkkel, akik alapos ismeretekkel rendelkeznek a felhőkockázat-azonosításról a kockázati lista áttekintéséhez és érvényesítéséhez. Ezek a szakértők lehetnek Microsoft-fiókcsapatok vagy speciális Microsoft-partnerek. Szakértelmük segít megerősíteni az összes lehetséges kockázat azonosítását, és javítja a kockázatértékelés pontosságát.

Az Azure megkönnyítése: A felhőkockázatok azonosítása

Az alábbi útmutató segít azonosítani a felhőkockázatokat az Azure-ban. Mintául szolgál a felhőszabályozás fő kategóriáihoz. Az Azure segíthet automatizálni a kockázatkeresési folyamat egy részét. Olyan Azure-eszközöket használhat, mint az Azure Advisor, a Felhőhöz készült Microsoft Defender, az Azure Policy, az Azure Service Health és a Microsoft Purview.

  • A jogszabályi megfelelőség kockázatainak azonosítása. A felhőadatokra és -műveletekre vonatkozó jogi és szabályozási keretrendszerekkel való meg nem felelés kockázatainak azonosítása. Ismerje meg az iparág szabályozási követelményeit. A kezdéshez használja az Azure megfelelőségi dokumentációját .

  • Biztonsági kockázatok azonosítása. Azonosíthatja azokat a fenyegetéseket és biztonsági réseket, amelyek veszélyeztetik a felhőkörnyezet bizalmasságát, integritását és rendelkezésre állását. Az Azure használatával felmérheti a felhőbeli biztonsági helyzetet, és észlelheti az identitáskockázatokat.

  • Költségkockázatok azonosítása. A felhőerőforrások költségeivel kapcsolatos kockázatok azonosítása. A költségekkel kapcsolatos kockázatok közé tartozik a túlterjedés, az alulépítés, az alulhasználat, valamint az adatátviteli díjak vagy a szolgáltatás skálázásából eredő váratlan költségek. Költségelemzéssel azonosíthatja a költségkockázatot. Az Azure díjszabási kalkulátorával megbecsülhet költségeket az Azure-ban. Az aktuális erőforrások költségeinek elemzése és előrejelzése . Azonosíthatja a felhőköltségek váratlan változásait .

  • A műveleti kockázatok azonosítása. Azonosíthatja a felhőműveletek folytonosságát veszélyeztető kockázatokat, például az állásidőt és az adatvesztést. Az Azure-eszközökkel azonosíthatja a megbízhatóságot és a teljesítményt érintő kockázatokat.

  • Adatkockázatok azonosítása. A felhőbeli adatkezeléssel kapcsolatos kockázatok azonosítása. Fontolja meg az adatok helytelen kezelését és az adatéletciklus-kezelés hibáit. Az Azure-eszközökkel azonosíthatja az adatkockázatokat , és feltárhatja a bizalmas adatokkal kapcsolatos kockázatokat.

  • Erőforrás-kezelési kockázatok azonosítása. A felhőerőforrások kiépítéséből, üzembe helyezéséből, konfigurálásából és felügyeletéből eredő kockázatok azonosítása. A működési kiválóság kockázatainak azonosítása.

  • AI-kockázatok azonosítása. Rendszeresen piros csapatnyelv-modellek. Az AI-rendszerek manuális tesztelése és a manuális tesztek kiegészítése automatizált kockázatazonosító eszközökkel a mi-hez. Keressen gyakori emberi-AI-interakciós hibákat. Fontolja meg az AI-rendszerek használatával, hozzáférésével és kimenetével kapcsolatos kockázatokat. Tekintse át a felelős AI és a felelős AI-érettségi modell elveit.

Felhőkockázatok elemzése

Rendeljen hozzá minőségi vagy mennyiségi rangsort az egyes kockázatokhoz, hogy súlyosságuk alapján rangsorolhassa őket. A kockázat priorizálása egyesíti a kockázat valószínűségét és a kockázat hatását. A mennyiségi kockázatelemzést részesítse előnyben a minőségi helyett a pontosabb kockázat-rangsorolás érdekében. A felhőkockázatok elemzéséhez kövesse az alábbi stratégiákat:

Kockázat valószínűségének kiértékelése

Becsülje meg az évente előforduló egyes kockázatok mennyiségi vagy minőségi valószínűségét. Használjon százalékos tartományt (0-100%) az éves, mennyiségi kockázat valószínűségének ábrázolásához. Az alacsony, közepes és magas a minőségi kockázat valószínűségének gyakori címkéi. A kockázat valószínűségének kiértékeléséhez kövesse az alábbi ajánlásokat:

  • Nyilvános teljesítménytesztek használata. Olyan jelentésekből, tanulmányokból vagy szolgáltatásiszint-szerződésekből (SLA-kból) származó adatokat használjon, amelyek dokumentálják a gyakori kockázatokat és azok előfordulási gyakoriságát.

  • Előzményadatok elemzése. Tekintse meg a belső incidensjelentéseket, naplókat és egyéb rekordokat, hogy megállapíthassa, milyen gyakran történtek hasonló kockázatok a múltban.

  • A vezérlés hatékonyságának tesztelése. A kockázatok minimalizálása érdekében értékelje a jelenlegi kockázatcsökkentési ellenőrzések hatékonyságát. Fontolja meg a vezérlőtesztelési eredmények, a naplózási eredmények és a teljesítménymetrikák áttekintését.

Kockázati hatás meghatározása

Becsülje meg a szervezetre gyakorolt kockázat mennyiségi vagy minőségi hatását. A pénzügyi összeg a mennyiségi kockázat hatásának gyakori módja. Az alacsony, a közepes és a magas a minőségi kockázatra gyakorolt hatás gyakori címkéi. A kockázat hatásának meghatározásához kövesse az alábbi javaslatokat:

  • Pénzügyi elemzést végezhet. Becsülje meg a kockázat esetleges pénzügyi veszteségét olyan tényezők figyelembe adásával, mint az állásidő költsége, a jogi díjak, a bírságok és a szervizelési erőfeszítések költsége.

  • Jó hírnévre vonatkozó hatástanulmány készítése. Hasonló incidensekre vonatkozó felmérések, piackutatások vagy előzményadatok használatával megbecsülheti a szervezet hírnevére gyakorolt lehetséges hatásokat.

  • Működési zavarok elemzése. Az üzemzavar mértékének felmérése az állásidő, a termelékenység csökkenésének és az alternatív megoldások költségeinek becslésével.

  • Jogi következmények felmérése. Becsülje meg a meg nem felelőséggel vagy megszegéssel kapcsolatos esetleges jogi költségeket, bírságokat és szankciókat.

Kockázati prioritás kiszámítása

Rendeljen hozzá egy kockázati prioritást az egyes kockázatokhoz. A kockázati prioritás a kockázathoz rendelt fontosság, így ön tudja, hogy a kockázatot magas, közepes vagy alacsony sürgősséggel kell-e kezelnie. A kockázati hatás fontosabb, mint a kockázat valószínűsége, mivel a nagy hatású kockázatnak tartós következményei lehetnek. A vállalatirányítási csapatnak egységes módszertant kell használnia a vállalaton belül a kockázatok rangsorolásához. A kockázati prioritás kiszámításához kövesse az alábbi javaslatokat:

  • A minőségi értékelésekhez használjon kockázati mátrixot. Hozzon létre egy mátrixot, amely minőségi kockázati prioritást rendel az egyes kockázatokhoz. A mátrix egyik tengelye a kockázat valószínűségét (magas, közepes, alacsony) jelöli, a másik pedig a kockázati hatásokat (magas, közepes, alacsony). Az alábbi táblázat egy kockázati mintamátrixot tartalmaz:

    Csekély hatás Közepes hatás Súlyos hatás
    Kis valószínűség Nagyon alacsony Közepesen alacsony Közepesen magas
    Közepes valószínűség Alacsony Közepes Magas
    Nagy valószínűség Közepes Magas Nagyon magas

  • Képletek használata kvantitatív értékelésekhez. Alapértékként használja a következő számítást: kockázati prioritás = kockázat valószínűsége x kockázati hatás. Szükség szerint módosítsa a változók súlyát a kockázati prioritás eredményeinek testreszabásához. Ezzel a képlettel például nagyobb hangsúlyt fektethet a kockázati hatásra: kockázati prioritás = kockázat valószínűsége x (kockázati hatás x 1,5).

Kockázati szint hozzárendelése

Az egyes kockázatokat három szint egyikére kategorizálja: fő kockázatok (1. szint), részriskék (2. szint) és kockázati tényezők (3. szint). A kockázati szintek lehetővé teszik a megfelelő kockázatkezelési stratégia megtervezését és a jövőbeli kihívások előrejelzését. Az 1. szintű kockázatok veszélyeztetik a szervezetet vagy a technológiát. A 2. szintű kockázatok az 1. szintű kockázat alá esnek. A 3. szintű kockázatok olyan trendek, amelyek egy vagy több 1. vagy 2. szintű kockázattal járhatnak. Fontolja meg például az adatvédelmi törvények (1. szint), a nem megfelelő felhőbeli tárolókonfigurációk (2. szint) és a szabályozási követelmények összetettségének növelését (3. szint).

Kockázatkezelési stratégia meghatározása

Minden kockázat esetében azonosítsa a megfelelő kockázatkezelési lehetőségeket, például a kockázat elkerülését, mérséklését, átvitelét vagy elfogadását. Adja meg a választás magyarázatát. Ha például úgy dönt, hogy elfogad egy kockázatot, mert a költség csökkentésének költsége túl költséges, akkor ezt az érvelést dokumentálnia kell a jövőbeni hivatkozáshoz.

Kockázattulajdonosok hozzárendelése

Minden kockázathoz jelöljön ki egy elsődleges kockázati tulajdonost. A kockázat tulajdonosa felelős az egyes kockázatok kezeléséért. Ez a személy koordinálja a kockázatkezelési stratégiát minden érintett csapatnál, és a kockázat eszkalálásának kiindulási pontja.

Felhőkockázatok dokumentálása

Dokumentálja az egyes kockázatokat és a kockázatelemzés részleteit. Hozzon létre egy kockázatlistát (kockázati nyilvántartást), amely tartalmazza a kockázatok azonosításához, kategorizálásához, rangsorolásához és kezeléséhez szükséges összes információt. A kockázatdokumentáció szabványosított nyelvének fejlesztése, hogy mindenki könnyen megérthesse a felhőkockázatokat. Vegye figyelembe az alábbi elemeket:

  • Kockázati azonosító: Minden kockázat egyedi azonosítója. Az azonosítót az új kockázatok hozzáadásakor egymás után növekményesen kell növelni. Ha eltávolítja a kockázatokat, hagyhat réseket a sorozatban, vagy kitöltheti a sorozatban lévő réseket.
  • Kockázatkezelési állapot: A kockázat állapota (nyitott, lezárt).
  • Kockázati kategória: Olyan címke, mint a jogszabályi megfelelőség, a biztonság, a költség, a műveletek, az AI vagy az erőforrás-kezelés.
  • Kockázat leírása: A kockázat rövid leírása.
  • Kockázat valószínűsége: Az évente előforduló kockázat valószínűsége. Használjon százalékos vagy minőségi címkét.
  • Kockázati hatás: A szervezetre gyakorolt hatás, ha a kockázat jelentkezik. Pénzösszeget vagy minőségi címkét használjon.
  • Kockázati prioritás: A kockázat súlyossága (valószínűség x hatás). Használjon dollárösszeget vagy minőségi címkét.
  • Kockázati szint: A kockázat típusa. Használjon súlyos fenyegetést (1. szint), subrisk (2. szint) vagy kockázati illesztőprogramot (3. szint).
  • Kockázatkezelési stratégia: A kockázat kezelésének megközelítése, például a kockázat csökkentése, elfogadása vagy elkerülése.
  • Kockázatkezelési kényszerítés: A kockázatkezelési stratégia kikényszerítésének módszerei.
  • Kockázat tulajdonosa: A kockázatot kezelő személy.
  • Kockázatlezárás dátuma: A kockázatkezelési stratégia alkalmazásának dátuma.

További információkért lásd a kockázati lista példáját.

Felhőkockázatok közlése

Egyértelműen közvetítse az azonosított felhőkockázatokat a vezető szponzornak és a vezetői szintű felügyeletnek. A cél annak biztosítása, hogy a szervezet rangsorolja a felhőkockázatokat. Rendszeres frissítéseket biztosít a felhőkockázat-kezelésről, és kommunikálhat, ha további erőforrásokra van szüksége a kockázatok kezeléséhez. Olyan kultúra előmozdítása, amelyben a felhőkockázat-kezelés és -irányítás a napi műveletek része.

Felhőkockázatok áttekintése

Tekintse át az aktuális felhőkockázati listát, és győződjön meg arról, hogy az érvényes és pontos. A felülvizsgálatoknak rendszeresnek kell lenniük, és adott eseményekre is reagálva kell lenniük. Szükség szerint fenntarthatja, frissítheti vagy eltávolíthatja a kockázatokat. A felhőkockázatok áttekintéséhez kövesse az alábbi javaslatokat:

  • Rendszeres értékelések ütemezése. Állítson be ismétlődő ütemezést a felhőkockázatok ( például negyedéves, féléves vagy éves) áttekintéséhez és értékeléséhez. Olyan felülvizsgálati gyakoriságot talál, amely a legjobban megfelel a személyzet rendelkezésre állásának, a felhőkörnyezet változásainak gyakoriságának és a szervezeti kockázattűrésnek.

  • Eseményalapú felülvizsgálatok végzése. Tekintse át a kockázatokat adott eseményekre adott válaszként, például egy kockázat sikertelen megelőzésére. Fontolja meg a kockázatok áttekintését új technológiák bevezetésekor, az üzleti folyamatok módosításakor és az új biztonsági fenyegetések felderítésében. Fontolja meg azt is, hogy mikor változik a technológia, a jogszabályi megfelelőség és a szervezeti kockázattűrés.

  • Tekintse át a felhőszabályozási szabályzatokat. A felhőszabályozási szabályzatok megtarthatók, frissíthetők vagy eltávolíthatók az új, meglévő vagy elavult kockázatok kezelése érdekében. Szükség szerint tekintse át a felhőszabályozási szabályzatot és a felhőszabályozási érvényesítési stratégiát. Ha eltávolít egy kockázatot, értékelje ki, hogy a hozzá társított felhőszabályozási szabályzatok továbbra is relevánsak-e. Kérje meg az érdekelt feleket, hogy távolítsa el a felhőszabályozási szabályzatokat, vagy frissítse a szabályzatokat, hogy új kockázattal társítsák őket.

Példa kockázati listára

Az alábbi táblázat egy kockázati lista, más néven kockázati nyilvántartás. A példát a szervezet Azure-felhőkörnyezetének adott igényeihez és környezetéhez igazíthatja.

Kockázati azonosító Kockázatkezelési állapot Kockázati kategória Kockázat leírása Kockázat valószínűsége Kockázati hatás Kockázati prioritás Kockázati szint Kockázatkezelési stratégia Kockázatkezelési kényszerítés Kockázat tulajdonosa Kockázatlezárás dátuma
R01 Nyit Előírásoknak való megfelelés Bizalmas adatkövetelményeknek való megfelelés elmulasztása 20% vagy közepes 100 000 USD vagy magas 20 000 USD vagy magas 2. szint Enyhíteni Bizalmas adatmonitorozáshoz használja a Microsoft Purview-t.
Megfelelőségi jelentéskészítés a Microsoft Purview-ban.		 Megfelelőségi érdeklődő 2024-04-01
R02 Nyit Biztonság Felhőszolgáltatásokhoz való jogosulatlan hozzáférés 30% vagy magas 200 000 USD vagy magas $60,000 VAGY Nagyon magas 1. szint Enyhíteni Microsoft Entra ID többtényezős hitelesítés (MFA).
Microsoft Entra ID-kezelés havi hozzáférési felülvizsgálatokat.		 Biztonsági érdeklődő 2024-03-15
R03 Nyit Biztonság Nem biztonságos kódkezelés 20% vagy közepes 150 000 USD vagy magas 30 000 USD vagy magas 2. szint Enyhíteni Definiált kódtárat használjon.
Használjon karanténmintát nyilvános kódtárakhoz.		 Fejlesztői érdeklődő 2024-03-30
R04 Nyit Költség Túlhasználat a felhőszolgáltatásokon a túlterjedés és a figyelés hiánya miatt 40% vagy magas 50 000 USD vagy közepes 20 000 USD vagy magas 2. szint Enyhíteni Költségvetések és riasztások beállítása számítási feladatokhoz.
Tekintse át és alkalmazza az Advisor költségjavaslatait.		 Költség érdeklődő 2024-03-01
R05 Nyit Üzemeltetés Szolgáltatáskimaradás az Azure-régió leállása miatt 25% VAGY közepes 150 000 USD vagy magas 37 500 USD vagy magas 1. szint Enyhíteni A kritikus fontosságú számítási feladatok aktív-aktív architektúrával rendelkeznek.
Más számítási feladatok aktív-passzív architektúrával rendelkeznek.		 Műveleti érdeklődő 2024-03-20
R06 Nyit Adatok Bizalmas adatok elvesztése a nem megfelelő titkosítás és az adatok életciklusának kezelése miatt 35% vagy magas 250 000 USD vagy magas $87.500 VAGY Nagyon magas 1. szint Enyhíteni Titkosítás alkalmazása átvitelkor és inaktív állapotban.
Adatéletciklus-szabályzatok létrehozása az Azure-eszközökkel.		 Adatátvezetés 2024-04-10
R07 Nyit Erőforrás-kezelés A felhőbeli erőforrások helytelen konfigurálása jogosulatlan hozzáféréshez és adatexpozícióhoz vezet 30% vagy magas 100 000 USD vagy magas $30.000 VAGY Nagyon magas 2. szint Enyhíteni Infrastruktúra használata kódként (IaC).
Címkézési követelmények kényszerítése az Azure Policy használatával.		 Erőforrás-érdeklődő 2024-03-25
R08 Nyit Mesterséges intelligencia A nemprezentatív betanítási adatok miatt elfogult döntéseket hozó AI-modell 15% vagy alacsony 200 000 USD vagy magas 30 000 USD vagy közepesen magas 3-as szint Enyhíteni Használjon tartalomszűrési módszereket.
A vörös csapat AI-modelljei havonta.		 AI-érdeklődő 2024-05-01

Következő lépés

Felhőszabályozási szabályzatok dokumentálása