Valutare la tolleranza ai rischiEvaluate risk tolerance

Ogni decisione aziendale business comporta nuovi rischi.Every business decision creates new risks. Qualsiasi investimento comporta il rischio di perdite.Making an investment in anything creates risk of losses. I nuovi prodotti o servizi comportano rischi di fallimento sul mercato.New products or services create risks of market failure. Le modifiche apportate a prodotti o servizi correnti potrebbero ridurre la quota di mercato.Changes to current products or services could reduce market share. La trasformazione cloud non offre una soluzione magica per i rischi aziendali quotidiani.Cloud transformation does not provide a magical solution to everyday business risk. Al contrario, le soluzioni connesse (cloud o locali) creano nuovi rischi.To the contrary, connected solutions (cloud or on-premises) introduce new risks. La distribuzione di asset in qualsiasi struttura connessa in rete espande anche il potenziale profilo di rischio esponendo le vulnerabilità della sicurezza a una più ampia community globale.Deploying assets to any network connected facility also expands the potential threat profile by exposing security weaknesses to a much broader, global community. Fortunatamente, i provider di servizi cloud sono a conoscenza delle modifiche, degli aumenti e dell'aggiunta dei rischi.Fortunately, cloud providers are aware of the changes, increases, and addition of risks. Investono molto per ridurre e gestire questi rischi per conto dei clienti.They invest heavily to reduce and manage those risks on the behalf of their customers.

L'argomento di questo articolo non sono i rischi del cloud,This article is not focused on cloud risks. Viene invece illustrato il rischio aziendale associato a diverse forme di trasformazione cloud.Instead it discusses the business risks associated with various forms of cloud transformation. Più avanti in questo articolo, la discussione sposta lo stato attivo per discutere i modi per comprendere la tolleranza dell'azienda per il rischio.Later in the article, the discussion shifts focus to discuss ways of understanding the business's tolerance for risk.

Quali rischi aziendali sono associati a una trasformazione cloud?What business risks are associated with a cloud transformation?

I veri rischi aziendali sono basati sui dettagli delle trasformazioni specifiche.True business risks are based on the details of specific transformations. Molti rischi comuni forniscono un avviatore di conversazione per comprendere i rischi specifici dell'azienda.Several common risks provide a conversation starter to understand business-specific risks.

Importante

Prima di leggere quanto segue, tenere presente che ognuno di questi rischi può essere gestito.Before reading the following, be aware that each of these risks can be managed. L'obiettivo di questo articolo è informare e preparare i lettori per le discussioni più produttive sulla gestione dei rischi.The goal of this article is to inform and prepare readers for more productive risk management discussions.

  • Violazione dei dati: Il primo rischio associato a una trasformazione è la violazione dei dati.Data breach: The top risk associated with any transformation is a data breach. Le perdite di dati possono causare danni significativi all'azienda, causando la perdita di clienti, la riduzione delle attività aziendali o anche la responsabilità legale.Data leaks can cause significant damage to your company, leading to loss of customers, decrease in business, or even legal liability. Qualsiasi modifica al modo in cui i dati vengono archiviati, elaborati o usati comporta un rischio.Any changes to the way data is stored, processed, or used creates risk. Le trasformazioni cloud creano un elevato livello di modifica rispetto alla gestione dei dati, quindi il rischio non dovrebbe essere preso in considerazione.Cloud transformations create a high degree of change regarding data management, so the risk should not be taken lightly. La disciplina di base della sicurezza, la classificazione dei datie la razionalizzazione incrementale possono aiutare a gestire questo rischio.The Security Baseline discipline, data classification, and incremental rationalization can each help manage this risk.

  • Interrompi servizio: Le operazioni aziendali e le esperienze dei clienti si basano principalmente sulle operazioni tecniche.Service disruption: Business operations and customer experiences rely heavily on technical operations. Le trasformazioni cloud creeranno modifiche nelle operazioni IT.Cloud transformations will create change in IT operations. In alcune organizzazioni, la modifica è ridotta e facilmente adattabile.In some organizations, that change is small and easily adjusted. In altre organizzazioni, queste modifiche potrebbero richiedere la ricreazione degli strumenti, la ripetizione del training o nuovi approcci per supportare le operazioni cloud.In other organizations, these changes could require retooling, retraining, or new approaches to support cloud operations. Maggiore è il cambiamento, più grande è il potenziale impatto sulle operazioni aziendali e sull'esperienza dei clienti.The bigger the change, the bigger the potential impact on business operations and customer experience. La gestione di questo rischio richiederà il coinvolgimento dell'azienda nella pianificazione della trasformazione.Managing this risk will require the involvement of the business in transformation planning. Pianificazione della versione e prima selezione del carico di lavoro nell'articolo sulla razionalizzazione incrementale discutere i modi per scegliere i carichi di lavoro per i progetti di trasformazione.Release planning and first workload selection in the incremental rationalization article discuss ways to choose workloads for transformation projects. Il ruolo dell'azienda in questa attività consiste nel comunicare il rischio per le operazioni aziendali di modificare i carichi di lavoro con priorità.The business's role in that activity is to communicate the business operations risk of changing prioritized workloads. La scelta dei carichi di lavoro con un minore effetto sulle operazioni ridurrà il rischio complessivo.Helping IT choose workloads that have a lower impact on operations will reduce the overall risk.

  • Controllo budget: I modelli di costo cambiano nel cloud.Budget control: Cost models change in the cloud. Questa modifica può creare rischi associati a sovraccarichi dei costi o a un aumento del costo dei beni venduti (PIGNONi), in particolare le spese operative con attributi diretti.This change can create risks associated with cost overruns or increases in the cost of goods sold (COGS), especially directly attributed operating expenses. Quando l'azienda lavora a stretto contatto con esso, è possibile creare una trasparenza relativa ai costi e ai servizi utilizzati da diverse business unit, programmi o progetti.When business works closely with IT, it is feasible to create transparency regarding costs and services consumed by various business units, programs, or projects. La disciplina di gestione dei costi fornisce esempi di come le aziende possono collaborare in questo argomento.The Cost Management discipline provides examples of ways business and IT can partner on this topic.

Quelli precedenti sono alcuni dei rischi più comuni indicati dai clienti.The above are a few of the most common risks mentioned by customers. Il team di governance del cloud e i team di adozione del cloud possono iniziare a sviluppare un profilo di rischio, perché i carichi di lavoro vengono migrati e sono pronti per la versione di produzione.The cloud governance team and the cloud adoption teams can begin to develop a risk profile, as workloads are migrated and readied for production release. Prepararsi a conversazioni per definire, perfezionare e gestire i rischi in base ai risultati aziendali desiderati e al lavoro di trasformazione.Be prepared for conversations to define, refine, and manage risks based on the desired business outcomes and transformation effort.

Comprendere la tolleranza al rischioUnderstand risk tolerance

L'identificazione dei rischi è un processo abbastanza diretto.Identifying risk is a fairly direct process. I rischi correlati all'IT sono generalmente standard in tutti i settori.IT-related risks are generally standard across industries. La tolleranza per questi rischi è specifica di ogni organizzazione.Tolerance for these risks is specific to each organization. È qui che le discussioni tra azienda e IT tendono a interrompersi.This is the point where business and IT conversations tend to get hung up. Ogni parte coinvolta sta essenzialmente parlando una lingua diversa.Each side of the conversation is essentially speaking a different language. I confronti e le domande seguenti sono pensati per dare inizio a discussioni che consentono a ogni parte di comprendere e calcolare meglio la tolleranza ai rischi.The following comparisons and questions are designed to start conversations that help each party better understand and calculate risk tolerance.

Caso d'uso semplice per il confrontoSimple use case for comparison

Per conoscere la tolleranza ai rischi, verranno esaminati i dati dei clienti.To help understand risk tolerance, let's examine customer data. Se una società di qualsiasi settore pubblica i dati dei clienti in un server non protetto, il rischio tecnico di tali dati viene compromesso o rubato è approssimativamente lo stesso.If a company in any industry posts customer data on an unsecured server, the technical risk of that data being compromised or stolen is roughly the same. La tolleranza per questo rischio può variare in base alla natura e al potenziale valore dei dati.Tolerance for that risk will vary wildly based on the nature and potential value of the data.

  • Le società che operano nei settori sanitario e finanziario negli Stati Uniti sono regolate da rigidi requisiti di conformità di terze parti.Companies in healthcare and finance in the United States, are governed by rigid, third-party compliance requirements. Si presuppone che i dati personali o i dati correlati all'assistenza sanitaria siano estremamente riservati.It is assumed that personal data or healthcare-related data is extremely confidential. Esistono gravi conseguenze per questi tipi di società, se sono interessati allo scenario dei rischi sopra riportato.There are severe consequences for these types of companies, if they're involved in the risks scenario above. La loro tolleranza sarà estremamente bassa.Their tolerance will be extremely low. I dati dei clienti pubblicati all'interno o all'esterno della rete devono essere regolati da tali criteri di conformità di terze parti.Any customer data published inside or outside of the network must be governed by those third-party compliance policies.
  • Una società di giochi i cui dati del cliente sono limitati a un nome utente, a tempi di riproduzione e a punteggi elevati non ha la stessa probabilità di subire conseguenze significative oltre la perdita della reputazione, se coinvolgono il comportamento rischioso precedente.A gaming company whose customer data is limited to a user name, play times, and high scores is not as likely to suffer significant consequences beyond loss to reputation, if they engage in the risky behavior above. Sebbene i dati non protetti siano a rischio, l'effetto di tale rischio è ridotto.While any unsecured data is at risk, the impact of that risk is small. Pertanto, in questo caso la tolleranza per il rischio è elevata.Therefore, the tolerance for risk in this case is high.
  • Un'azienda di medie dimensioni che fornisce servizi per la pulizia di tappeti a migliaia di clienti entrerebbe tra questi due estremi di tolleranza.A medium-sized enterprise that provides carpet-cleaning services to thousands of customers would fall in between these two tolerance extremes. I dati dei clienti possono essere più affidabili, contenenti dettagli come indirizzi e numeri di telefono.Customer data may be more robust, containing details like addresses and phone numbers. Entrambi sono considerati dati personali e devono essere protetti, ma nessun requisito di governance specifico impone che i dati siano protetti.Both are considered personal data and should be protected, but no specific governance requirement mandates that the data be secured. Dal punto di vista dell'IT, la risposta è semplice: proteggere i dati.From an IT perspective, the answer is simple, secure the data. Dal punto di vista dell'azienda, potrebbe non essere così semplice.From a business perspective, it may not be as simple. L'azienda avrà bisogno di altre informazioni prima di poter determinare un livello di tolleranza a questo rischio.The business would need more details before they could determine a level of tolerance for this risk.

Nella sezione successiva vengono riportate alcune domande di esempio che possono aiutare le aziende a determinare un livello di tolleranza di rischio per il caso di utilizzo precedente o per altri.The next section shares a few sample questions that could help the business determine a level of risk tolerance for the use case above or others.

Domande sulla tolleranza di rischioRisk tolerance questions

Questa sezione elenca le conversazioni che provocano le domande in tre categorie: conseguenze della perdita, probabilità di perdita e costi di correzione.This section lists conversation provoking questions in three categories: loss impact, probability of loss, and remediation costs. Quando l'azienda e il partner IT devono affrontare ciascuna di queste aree, è possibile determinare facilmente la decisione di impegnarsi per la gestione dei rischi e la tolleranza complessiva a un particolare rischio.When business and IT partner to address each of these areas, the decision to expend effort on managing risks and the overall tolerance to a particular risk can easily be determined.

Perdita di conseguenze: Domande per determinare l'effetto di un rischio.Loss impact: Questions to determine the impact of a risk. Queste domande possono risultare difficili da rispondere.These questions can be difficult to answer. Quantificare l'impatto è l'ideale, ma in alcuni casi la discussione da sola è sufficiente a comprendere la tolleranza.Quantifying the impact is best, but sometimes the conversation alone is enough to understand tolerance. Anche gli intervalli sono accettabili, soprattutto se includono i presupposti che li hanno determinati.Ranges are also acceptable, especially if they include assumptions that determined those ranges.

  • Questo rischio viola i requisiti di conformità di terze parti?Could this risk violate third-party compliance requirements?
  • Questo rischio viola i criteri aziendali interni?Could this risk violate internal corporate policies?
  • Questo rischio può causare la perdita di vita, membro o proprietà?Could this risk cause the loss of life, limb or property?
  • Questo rischio potrebbe comportare la perdita di clienti o della quota di mercato?Could this risk cost customers or market share? In tal caso, è possibile quantificare questo costo?If so, can this cost be quantified?
  • Questo rischio potrebbe comportare esperienze negative per i clienti?Could this risk create negative customer experiences? È probabile che queste esperienze influiscano sulle vendite o sui ricavi?Are those experiences likely to affect sales or revenue?
  • Questo rischio potrebbe comportare nuove responsabilità legali?Could this risk create new legal liability? In tal caso, esiste una precedenza per il risarcimento dei danni in questi tipi di casi?If so, is there a precedence for damage awards in these types of cases?
  • Questo rischio potrebbe arrestare le operazioni aziendali?Could this risk stop business operations? In questo caso, per quanto tempo le operazioni sarebbero ferme?If so, how long would operations be down?
  • Questo rischio potrebbe rallentare le operazioni aziendali?Could this risk slow business operations? In tal caso, quanto è lento e quanto tempo?If so, how slow and how long?
  • In questa fase della trasformazione si tratta di un rischio occasionale o si ripete?At this stage in the transformation is this a one-off risk or will it repeat?
  • La frequenza di questo rischio aumenta o diminuisce con l'avanzamento della trasformazione?Does the risk increase or decrease in frequency as the transformation progresses?
  • La probabilità di questo rischio aumenta o diminuisce nel corso del tempo?Does the risk increase or decrease in probability over time?
  • Il rischio è per natura soggetto a variazioni nel tempo?Is the risk time sensitive in nature? Il rischio passerà o peggiorerà, se non viene affrontato?Will the risk pass or get worse, if not addressed?

Queste domande di base ne susciteranno molte altre.These basic questions will lead to many more. Dopo aver avuto un dialogo costruttivo, è consigliabile registrare e, se possibile, quantificare i rischi pertinenti.After exploring a healthy dialogue, it is suggested that the relevant risks be recorded and when possible quantified.

Costi di correzione del rischio: Domande per determinare il costo della rimozione o ridurre al minimo il rischio.Risk remediation costs: Questions to determine the cost of removing or otherwise minimizing the risk. Queste domande possono essere piuttosto dirette, soprattutto se poste in successione.These questions can be fairly direct, especially when represented in a range.

  • Esiste una soluzione chiara e qual è il costo?Is there a clear solution and what does it cost?
  • Sono disponibili opzioni per prevenire o ridurre al minimo questo rischio?Are there options for preventing or minimizing this risk? Qual è la fascia di costo di tali soluzioni?What is the range of costs for those solutions?
  • Che cosa serve all'azienda per scegliere la migliore soluzione definiva?What is needed from the business to select the best, clear solution?
  • Che cosa serve all'azienda per convalidare i costi?What is needed from the business to validate costs?
  • Quali altri vantaggi possono derivare dalla soluzione che rimuoverebbe questo rischio?What other benefits can come from the solution that would remove this risk?

Queste domande su come semplificare le soluzioni tecniche necessarie per gestire o rimuovere i rischi, ma comunicano tali soluzioni in modo che l'azienda possa integrarsi rapidamente in un processo decisionale.These questions over simplify the technical solutions needed to manage or remove risks, but they communicate those solutions in ways the business can quickly integrate into a decision process.

Probabilità di perdita: Domande per determinare la probabilità con cui il rischio diventerà realtà.Probability of loss: Questions to determine how likely it is that the risk will become a reality. Questa è la parte più difficile quantificare.This is the most difficult area to quantify. È invece consigliabile che il team di governance del cloud crei categorie per la comunicazione della probabilità, in base ai dati di supporto.Instead it is suggested that the cloud governance team create categories for communicating probability, based on the supporting data. Le domande seguenti consentono di creare categorie significative per il team.The following questions can help create categories that are meaningful to the team.

  • Sono state eseguite ricerche riguardanti la probabilità che questo rischio diventi reale?Has any research been done regarding the likelihood of this risk being realized?
  • Il fornitore può fornire riferimenti o statistiche sulla probabilità di un effetto?Can the vendor provide references or statistics on the likelihood of an impact?
  • Esistono altre società del settore o del segmento verticale pertinente che hanno corso questo rischio?Are there other companies in the relevant sector or vertical that have been hit by this risk?
  • In generale, esistono altre società che hanno corso questo rischio?Look further, are there other companies in general that have been hit by this risk?
  • Questo rischio è dovuto esclusivamente a qualcosa che la società ha fatto in modo non adeguato?Is this risk unique to something this company has done poorly?

Dopo aver risposto a queste domande con domande come determinato dal team di governance del cloud, è probabile che i raggruppamenti della probabilità emergano.After answering these questions along with questions as determined by the cloud governance team, groupings of probability will likely emerge. Ecco alcuni esempi di raggruppamento da cui iniziare:The following are a few grouping samples to help get started:

  • Nessuna indicazione: Una ricerca insufficiente è stata completata per determinare la probabilità.No indication: Not enough research has been completed to determine probability.
  • Rischio basso: La ricerca corrente indica che il rischio è improbabile.Low risk: Current research indicates realizing the risk is unlikely.
  • Rischio futuro: La probabilità corrente è bassa.Future risk: The current probability is low. L'adozione continua richiederebbe una nuova analisi.Continued adoption would require a fresh analysis.
  • Rischio medio: È probabile che il rischio influirà sull'azienda.Medium risk: It's likely that the risk will affect the business.
  • Rischio elevato: Nel corso del tempo, è sempre più probabile che l'azienda realizzi questo rischio.High risk: Over time, it is increasingly likely that the business will realize this risk.
  • Rischio in calo: Il rischio è medio-alto.Declining risk: The risk is medium to high. Le azioni al suo interno o all'azienda stanno riducendo la probabilità di un effetto.Actions in IT or the business are reducing the likelihood of an impact.

Determinazione della tolleranza:Determining tolerance:

i tre gruppi di domande precedenti dovrebbero fornire dati sufficienti per determinare i livelli di tolleranza iniziali.The three question sets above should fuel enough data to determine initial tolerances. Quando il rischio e la probabilità sono bassi e i costi di correzione dei rischi sono elevati, è improbabile che l'azienda investa nella correzione.When risk and probability are low, and risk remediation costs are high, the business is unlikely to invest in remediation. Quando il rischio e la probabilità sono elevati, è probabile che l'azienda consideri un investimento, purché i costi non superino i rischi potenziali.When risk and probability are high, the business is likely to consider an investment, as long as the costs don't exceed the potential risks.

Passaggi successiviNext steps

Questo tipo di discussione può aiutare l'azienda e l'IT valutare più efficacemente la tolleranza.This type of conversation can help the business and IT evaluate tolerance more effectively. Queste discussioni possono essere usare durante la creazione di criteri MVP e durante l'analisi incrementale dei criteri.These conversations can be used during the creation of MVP policies and during incremental policy reviews.