Оценка облачных рисков

  • Статья

В этой статье описывается, как оценить риски, связанные с облаком. Все технологии представляют определенные риски для организации. Риски являются нежелательными результатами, которые могут повлиять на ваш бизнес, например несоответствие отраслевым стандартам. При внедрении облака необходимо определить риски, связанные с облаком в вашей организации. Команда управления облаком создает политики управления облаком для предотвращения и устранения этих рисков. Чтобы оценить риски облака, выполните эти задачи.

Схема, показывающая процесс настройки и поддержания управления облаком. На схеме показаны пять последовательных шагов: создание группы управления облаком, политики управления облаком, применение политик управления облаком и мониторинг управления облаком. Первый шаг, который вы выполняете один раз. Последние четыре шага, которые необходимо выполнить один раз, чтобы настроить управление облаком и непрерывно поддерживать управление облаком.

Определение облачных рисков

Каталог полного списка облачных рисков. Знание рисков позволяет создавать политики управления облаком, которые могут предотвратить и снизить эти риски. Чтобы определить облачные риски, выполните следующие рекомендации.

  • Список всех облачных ресурсов. Перечислите все облачные ресурсы, чтобы можно было комплексно определить риски, связанные с ними. Например, можно использовать портал Azure, Azure Resource Graph, PowerShell и Azure CLI для просмотра всех ресурсов в подписке.

  • Обнаружение облачных рисков. Разработка стабильного каталога рисков для руководства по политикам управления облаком. Чтобы предотвратить частые корректировки, сосредоточьтесь на общих облачных рисках, а не на рисках, уникальных для конкретной рабочей нагрузки. Начните с высокоприоритетных рисков и разработайте более полный список с течением времени. Общие категории рисков — это соответствие нормативным требованиям, безопасность, операции, затраты, данные, ресурсы и ИИ. Включите риски, уникальные для вашей организации, такие как программное обеспечение, поддержка партнеров или поставщиков, а также внутренние облачные компетенции.

  • Задействование ключевых заинтересованных лиц. Сбор данных из различных ролей организации (ИТ, безопасности, юридических, финансовых и бизнес-подразделений) для рассмотрения всех потенциальных рисков. Этот подход обеспечивает целостное представление о рисках, связанных с облаком.

  • Проверьте риски. Обратитесь к внешним экспертам, которые обладают глубоким пониманием идентификации облачных рисков для проверки и проверки списка рисков. Эти эксперты могут быть группами учетных записей Майкрософт или специализированными партнерами Майкрософт. Их опыт помогает подтвердить идентификацию всех потенциальных рисков и повысить точность оценки рисков.

Упрощение функций Azure. Определение облачных рисков

Ниже приведены рекомендации, которые помогут вам определить облачные риски в Azure. Он предоставляет пример отправной точки для основных категорий управления облаком. Azure может помочь автоматизировать процесс поиска рисков. Используйте такие средства Azure, как Помощник по Azure, Microsoft Defender для облака, Политика Azure, Работоспособности служб Azure и Microsoft Purview.

  • Определите риски соответствия нормативным требованиям. Определите риски несоответствия юридическим и нормативным основам, влияющим на облачные данные и операции. Знают нормативные требования вашей отрасли. Используйте документацию по соответствию Azure, чтобы начать работу.

  • Определите риски безопасности. Выявление угроз и уязвимостей, которые ставят под угрозу конфиденциальность, целостность и доступность облачной среды. Используйте Azure для оценки состояния облачной безопасности и обнаружения рисков идентификации.

  • Определите риски затрат. Определите риски, связанные с затратами на облачные ресурсы. К рискам, связанным с затратами, относятся превышение подготовки, недорасходование и непредвиденные затраты от сборов за передачу данных или масштабирование служб. Используйте оценку затрат для выявления риска затрат. Используйте Azure для оценки затрат с помощью калькулятора цен Azure. Анализ и прогнозирование затрат на текущие ресурсы. Определите непредвиденные изменения в затратах в облаке.

  • Определение рисков операций. Определите риски, которые угрожают непрерывности облачных операций, таких как простой и потеря данных. Используйте средства Azure для выявления рисков для надежности и производительности.

  • Определение рисков данных. Определите риски, связанные с управлением данными в облаке. Рассмотрите возможность неправильной обработки данных и недостатков в управлении жизненным циклом данных. Используйте средства Azure для выявления рисков данных и изучения рисков для конфиденциальных данных.

  • Определение рисков управления ресурсами. Определение рисков, связанных с подготовкой, развертыванием, настройкой и управлением облачными ресурсами. Определите риски для повышения эффективности работы.

  • Определение рисков ИИ. Регулярно красные языковые модели команды. Вручную протестируйте системы ИИ и дополняйте ручные тесты с помощью автоматизированных средств идентификации рисков для ИИ. Ищите распространенные сбои взаимодействия с искусственным интеллектом. Рассмотрите риски, связанные с использованием, доступом и выходными данными систем ИИ. Просмотрите тени ответственного ИИ и ответственной модели зрелости ИИ.

Анализ облачных рисков

Назначьте качественный или количественный рейтинг каждому риску, чтобы можно было определить приоритеты по серьезности. Приоритет риска объединяет вероятность риска и влияние риска. Предпочитайте количественный анализ рисков качественным для более точной приоритетности рисков. Чтобы проанализировать облачные риски, выполните следующие стратегии.

Оценка вероятности риска

Оценка количественной или качественной вероятности каждого риска, возникающего в год. Используйте процентный диапазон (0%-100%) для представления ежегодной, количественной вероятности риска. Низкие, средние и высокие — это распространенные метки для качественной вероятности риска. Чтобы оценить вероятность риска, следуйте приведенным ниже рекомендациям.

  • Используйте общедоступные тесты тестирования. Используйте данные из отчетов, исследований или соглашений об уровне обслуживания , которые документирует распространенные риски и их частоту возникновения.

  • Анализ исторических данных. Ознакомьтесь с отчетами о внутренних инцидентах, журналами аудита и другими записями, чтобы определить частоту подобных рисков в прошлом.

  • Эффективность контроля тестирования. Чтобы свести к минимуму риски, оцените эффективность текущих средств управления устранением рисков. Рассмотрите возможность проверки результатов тестирования элементов управления, результатов аудита и метрик производительности.

Определение влияния на риск

Оцените количественное или качественное влияние риска, возникающего в организации. Денежный объем является общим способом представления количественного влияния на риск. Низкие, средние и высокие — это распространенные метки для качественного влияния на риск. Чтобы определить влияние риска, следуйте приведенным ниже рекомендациям.

  • Проведение финансового анализа. Оцените потенциальную финансовую потерю риска, глядя на такие факторы, как стоимость простоя, юридические сборы, штрафы и стоимость усилий по исправлению.

  • Проводите оценку влияния репутации. Используйте опросы, исследования рынка или исторические данные о подобных инцидентах, чтобы оценить потенциальное влияние на репутацию организации.

  • Проведение анализа рабочих нарушений. Оцените степень нарушения работы, оценивая время простоя, потерю производительности и стоимость альтернативных договоренностей.

  • Оценка юридических последствий. Оцените потенциальные юридические расходы, штрафы и штрафы, связанные с несоответствием или нарушением.

Вычисление приоритета риска

Назначьте приоритет риска каждому риску. Приоритет риска — это важность, назначаемая риску, поэтому вы знаете, следует ли обрабатывать риск с высокой, средней или низкой срочностью. Влияние риска является более важным, чем вероятность риска, так как высокий риск может иметь долгосрочные последствия. Команда управления должна использовать согласованную методологию в организации, чтобы определить приоритеты рисков. Чтобы вычислить приоритет риска, следуйте приведенным ниже рекомендациям.

  • Используйте матрицу рисков для качественных оценок. Создайте матрицу для назначения качественного приоритета риска каждому риску. Одна ось матрицы представляет вероятность риска (высокий, средний, низкий), а другая — влияние риска (высокий, средний, низкий). В следующей таблице представлен пример матрицы рисков:

    Незначительное воздействие Среднее воздействие Значительное воздействие
    Низкая вероятность Очень низкий Умеренно низкий Умеренно высокий
    Средняя вероятность Низкая Средняя Высокая
    Высокая вероятность Средняя Высокая Крайне высоко

  • Используйте формулы для количественных оценок. Используйте следующее вычисление в качестве базового плана: приоритет риска = влияние на вероятность риска x. Настройте вес переменных по мере необходимости, чтобы настроить результаты приоритета риска. Например, вы можете уделять больше внимания влиянию на риск с помощью этой формулы: приоритет риска = вероятность риска x (влияние риска x 1.5).

Назначение уровня риска

Классифицируйте каждый риск на один из трех уровней: основные риски (уровень 1), подриски (уровень 2) и драйверы риска (уровень 3). Уровни риска позволяют спланировать соответствующую стратегию управления рисками и предвидеть будущие проблемы. Риски уровня 1 угрожают организации или технологии. Риск уровня 2 подпадает под уровень 1. Риски уровня 3 — это тенденции, которые потенциально могут завершиться одним или несколькими рисками уровня 1 или уровня 2. Например, рассмотрите возможность несоответствия законам о защите данных (уровень 1), неправильной конфигурации облачного хранилища (уровень 2) и повышению сложности нормативных требований (уровень 3).

Определение стратегии управления рисками

Для каждого риска определите соответствующие варианты лечения рисков, такие как предотвращение, устранение, передача или принятие риска. Укажите объяснение выбора. Например, если вы решите принять риск, так как стоимость устранения слишком дорогой, следует задокументировать причину для будущих ссылок.

Назначение владельцев рисков

Назначьте основного владельца риска для каждого риска. Владелец риска несет ответственность за управление каждым риском. Этот человек координирует стратегию управления рисками во всех участвующих командах и является начальной точкой контакта для эскалации риска.

Документируйте облачные риски

Задокументируйте каждый риск и подробные сведения о анализе рисков. Создайте список рисков (регистр риска), содержащий все сведения, необходимые для выявления, классификации, приоритета и управления рисками. Разработка стандартизованного языка для документации по рискам, чтобы все могли легко понять облачные риски. Рассмотрите возможность включения этих элементов:

  • Идентификатор риска: уникальный идентификатор для каждого риска. Приращение идентификатора последовательно при добавлении новых рисков. При удалении рисков можно оставить пробелы в последовательности или заполнить пробелы в последовательности.
  • Состояние управления рисками: состояние риска (открыто, закрыто).
  • Категория риска: метка, например соответствие нормативным требованиям, безопасность, затраты, операции, ИИ или управление ресурсами.
  • Описание риска: краткое описание риска.
  • Вероятность риска: вероятность возникновения риска в год. Используйте процентную или качественную метку.
  • Влияние риска: влияние на организацию при возникновении риска. Используйте денежный объем или качественную метку.
  • Приоритет риска: серьезность риска (влияние вероятности x). Используйте сумму доллара или качественную метку.
  • Уровень риска: тип риска. Используйте основную угрозу (уровень 1), подрисок (уровень 2) или драйвер риска (уровень 3).
  • Стратегия управления рисками: подход к управлению риском, таким как устранение, принятие или предотвращение.
  • Принудительное применение управления рисками: методы применения стратегии управления рисками.
  • Владелец риска: лицо, управляющая риском.
  • Дата закрытия риска: дата применения стратегии управления рисками.

Дополнительные сведения см . в примере списка рисков.

Взаимодействие с облачными рисками

Четко передать выявленные облачные риски исполнительному спонсору и управлению на уровне исполнительного уровня. Цель заключается в том, чтобы организация определила приоритеты облачных рисков. Предоставьте регулярные обновления по управлению облачными рисками и сообщите, когда требуются дополнительные ресурсы для управления рисками. Повышение культуры, в которой управление облачными рисками и управлением является частью ежедневных операций.

Просмотр облачных рисков

Просмотрите текущий список рисков облака, чтобы убедиться, что он является допустимым и точным. Проверки должны быть регулярными, а также в ответ на конкретные события. При необходимости поддерживайте, обновляйте или удаляйте риски. Чтобы проверить риски облака, выполните следующие рекомендации.

  • Планирование регулярных оценок. Задайте повторяющееся расписание для проверки и оценки облачных рисков, таких как квартальный, biannuly или годовой. Найдите частоту проверки, которая лучше всего подходит для доступности персонала, скорости изменений в облачной среде и отказоустойчивости к рискам организации.

  • Проведение проверок на основе событий. Просмотрите риски в ответ на определенные события, такие как сбой предотвращения риска. Рассмотрите возможность проверки рисков при внедрении новых технологий, изменении бизнес-процессов и обнаружении новых событий угроз безопасности. Кроме того, рассмотрите возможность проверки при изменении технологии, соответствия нормативным требованиям и устойчивости к рискам организации.

  • Просмотрите политики управления облаком. Сохраняйте, обновляйте или удаляйте политики управления облаком для решения новых рисков, существующих рисков или устаревших рисков. Просмотрите заявление о политике управления облаком и стратегию применения управления облаком по мере необходимости. При удалении риска оцените, являются ли политики управления облаком, связанные с ним, по-прежнему актуальными. Обратитесь к заинтересованным лицам, чтобы удалить политики управления облаком или обновить политики, чтобы связать их с новым риском.

Пример списка рисков

В следующей таблице приведен пример списка рисков, который также называется регистром рисков. Настройте пример в соответствии с конкретными потребностями и контекстом облачной среды Azure вашей организации.

Идентификатор риска Состояние управления рисками Категория риска Описание риска Вероятность риска Влияние на риск Приоритет риска Уровень риска Стратегия управления рисками Принудительное применение управления рисками Владелец риска Дата закрытия риска
R01 При открытии Соблюдение нормативных требований Несоответствие требованиям к конфиденциальным данным 20 % ИЛИ средний $100,000 OR High $20,000 OR High Уровень 2 Устранение Используйте Microsoft Purview для мониторинга конфиденциальных данных.
Отчеты о соответствии в Microsoft Purview.		 Ведущий по соответствию требованиям 2024-04-01
R02 При открытии Безопасность Несанкционированный доступ к облачным службам 30 % ИЛИ высокий $200,000 OR High $ 60000 OR Очень высокий Уровень 1 Устранение Многофакторная проверка подлинности Microsoft Entra ID (MFA).
Управление идентификацией Microsoft Entra ежемесячные проверки доступа.		 Руководитель по безопасности 2024-03-15
R03 При открытии Безопасность Небезопасное управление кодом 20 % ИЛИ средний $150 000 OR High $30,000 OR High Уровень 2 Устранение Используйте определенный репозиторий кода.
Используйте шаблон карантина для общедоступных библиотек.		 Ведущий разработчик 2024-03-30
R04 При открытии Себестоимость Чрезмерное распределение облачных служб из-за чрезмерной подготовки и отсутствия мониторинга 40 % ИЛИ высокий $50,000 OR Medium $20,000 OR High Уровень 2 Устранение Задайте бюджеты и оповещения для рабочих нагрузок.
Просмотрите и примените рекомендации по затратам помощника.		 Свинца по затратам 2024-03-01
R05 При открытии Операции Нарушение работы службы из-за сбоя региона Azure 25 % ИЛИ средний $150 000 OR High $37,500 OR High Уровень 1 Устранение Критически важные рабочие нагрузки имеют активную архитектуру.
Другие рабочие нагрузки имеют архитектуру "активный- пассивный".		 Свинца операций 2024-03-20
R06 При открытии Data Потеря конфиденциальных данных из-за неправильного шифрования и управления жизненным циклом данных 35 % ИЛИ высокий $250,000 OR High $ 87,500 OR Очень высокий Уровень 1 Устранение Применение шифрования при передаче и хранении.
Установите политики жизненного цикла данных с помощью средств Azure.		 Потенциальный источник данных 2024-04-10
R07 При открытии Управление ресурсами Неправильное настройку облачных ресурсов, что приводит к несанкционированным доступу и воздействию данных 30 % ИЛИ высокий $100,000 OR High $ 30000 OR Очень высокий Уровень 2 Устранение Используйте инфраструктуру в качестве кода (IaC).
Применение требований к тегам с помощью Политика Azure.		 Потенциальный ресурс 2024-03-25
R08 При открытии ИИ Модель искусственного интеллекта, создавающая предвзятые решения из-за непредставленных обучающих данных 15 % ИЛИ низкий $200,000 OR High $30,000 ИЛИ умеренно высокий Уровень 3 Устранение Используйте методы устранения рисков фильтрации содержимого.
Красные модели искусственного интеллекта в команде ежемесячно.		 Потенциальный руководитель по искусственному интеллекту 2024-05-01

Следующий шаг

Документирование политик управления облаком