Gestione dei rischi
La gestione dei rischi all'interno dei data center è un processo continuo, con valutazioni formali che si verificano durante il ciclo di vita di una struttura. Per identificare e mitigare l'impatto delle minacce fisiche e ambientali sui data center di Microsoft, le valutazioni delle minacce, della vulnerabilità e dei rischi (Threat, Vulnerability, and Risk Assessment o TVRA) vengono eseguite annualmente per tutti i data center che ospitano i dati dei clienti. Oltre al framework per la gestione dei rischi aziendali, Microsoft sfrutta i requisiti definiti nelle Linee guida per la gestione del rischio tecnologico pubblicate inizialmente nel giugno 2013 dall'Autorità monetaria di Singapore. Le TVRA riflettono il miglior parere professionale di Microsoft basato sui metodi accettati per la valutazione dei rischi e sulle informazioni attualmente disponibili per l'azienda.
Microsoft semplifica il processo di TVRA seguendo questi passaggi:
Identificazione dei rischi: le TVRA prendono in considerazione un'ampia gamma di scenari di minacce derivanti da rischi naturali e umani (inclusi quelli accidentali). I risultati variano a seconda della posizione del data center, della progettazione, dell'ambito dei servizi e di altri fattori. La TVRA seleziona gli scenari di minaccia da evidenziare nel documento TVRA in base alle esigenze dei clienti, a un paese/area geografica indipendente, alla città e alla valutazione a livello di sito dell'ambiente di rischio fornito da informazioni sui rischi di terze parti e di prima parte. Per le regioni che contengono più data center, le valutazioni TVRA sono aggregate per garantire una visione olistica delle minacce fisiche e ambientali, delle vulnerabilità e dei rischi per le posizioni oggetto di valutazione.
I tipi di scenari di minacce valutati per i TVRA dei centri dati comprendono:
- Minacce esterne: incidenti derivanti da attività umane esterne, intenzionali o accidentali. Ad esempio, disordini civili, atti illeciti, attività criminali, furti esterni, ordigni esplosivi improvvisati, attacchi armati, incendi dolosi, ingresso non autorizzato e disastri aerei.
- Minacce interne: incidenti derivanti da attività umane interne, intenzionali o accidentali. Ad esempio, furto interno e sabotaggio.
- Rischi naturali: un processo o fenomeno naturale che potrebbe avere un impatto negativo sui data center. Ad esempio tempeste tropicali, cicloni, alluvioni, frane, siccità, incendi, terremoti, attività vulcaniche, forti temporali, grandine, vento forte o forti piogge.
- Minacce ambientali : condizioni ambientali che potrebbero influire negativamente sui data center. Ad esempio, stress idrico, stress termico e pandemie.
Analisi del rischio: le minacce vengono valutate in base a una valutazione del loro rischio inerente. Il rischio inerente viene calcolato come una funzione dell’impatto inerente di una minaccia e della probabilità inerente del verificarsi della minaccia in assenza di operazioni e controlli di gestione. Queste valutazioni si basano sia sul feedback interno di un esperto in materia che sull'uso di indici di rischio esterni.
Rischio residuo: misura dei livelli di rischio rimanenti dopo aver considerato l'efficacia del controllo. L'efficacia del controllo viene valutata come misura delle azioni di gestione correnti e dei controlli progettati per prevenire o rilevare le minacce, valutando al tempo stesso la probabilità che tali controlli abbiano l'effetto desiderato in base a quanto previsto in fase di progettazione e implementazione. Queste valutazioni si basano sulla raccolta di commenti e suggerimenti interni delle PMI sull'efficacia del controllo per la posizione dei centri dati considerati nel TVRA.
Report: al termine della valutazione, viene generato un report TVRA per l'approvazione della gestione e per supportare le attività complessive correlate alla gestione dei rischi.
Microsoft si impegna ad aggiornare continuamente le valutazioni dei rischi e le metodologie per incorporare miglioramenti e tenere conto delle condizioni mutevoli. Di conseguenza, l'analisi e le conclusioni sono soggette a modifiche.