Bulut risklerini değerlendirme
Bu makalede, bulutla ilişkili riskleri değerlendirme adımları açıklanmaktadır. Tüm teknolojiler kuruluşa belirli riskler getirir. Riskler, sektör standartlarına uyumsuzluk gibi işletmenizi etkileyebilecek istenmeyen sonuçlardır. Bulutu benimserken, bulutunun kuruluşunuz için oluşturduğu riskleri belirlemeniz gerekir. Bulut idaresi ekibi, bu riskleri önlemek ve azaltmak için bulut idare ilkeleri oluşturur. Bulut risklerini değerlendirmek için bu görevleri tamamlayın.
Bulut risklerini belirleme
Bulut risklerinin kapsamlı bir listesini katalogla. Risklerinizi bilmek, bu riskleri önleyebilecek ve azaltabilecek bulut idare ilkeleri oluşturmanıza olanak tanır. Bulut risklerini belirlemek için şu önerileri izleyin:
Tüm bulut varlıklarını listeleyin. Tüm bulut varlıklarınızı listeleyerek bunlarla ilişkili riskleri kapsamlı bir şekilde tanımlamanızı sağlayın. Örneğin, bir abonelikteki tüm kaynakları görüntülemek için Azure portalı, Azure Kaynak Grafı, PowerShell ve Azure CLI'yı kullanabilirsiniz.
Bulut risklerini keşfedin. Bulut idare ilkelerine yol göstermek için kararlı bir risk kataloğu geliştirin. Sık yapılan ayarlamaları önlemek için, belirli bir iş yüküne özgü risklere değil genel bulut risklerine odaklanın. Yüksek öncelikli risklerle başlayın ve zaman içinde daha kapsamlı bir liste geliştirin. Yaygın risk kategorileri mevzuat uyumluluğu, güvenlik, operasyonlar, maliyet, veriler, kaynaklar ve yapay zekadır. Microsoft dışı yazılımlar, iş ortağı veya satıcı desteği ve iç bulut yetkinlikleri gibi kuruluşunuza özgü riskleri dahil edin.
Önemli paydaşları dahil edin. Tüm olası riskleri göz önünde bulundurmak için çeşitli kuruluş rollerinden (BT, güvenlik, hukuk, finans ve iş birimleri) girdiler toplayın. Bu işbirliğine dayalı yaklaşım, bulutla ilgili risklerin bütünsel bir görünümünü sağlar.
Riskleri doğrulayın. Risk listenizi gözden geçirmek ve doğrulamak için bulut riski belirleme hakkında ayrıntılı bilgilere sahip dış uzmanlarla etkileşime geçin. Bu uzmanlar Microsoft hesap ekipleri veya özel Microsoft iş ortakları olabilir. Uzmanlıkları tüm olası risklerin belirlenmesini doğrulamaya yardımcı olur ve risk değerlendirmenizin doğruluğunu artırır.
Azure kolaylaştırma: Bulut risklerini tanımlama
Aşağıdaki kılavuz, Azure'daki bulut risklerini belirlemenize yardımcı olmak içindir. Temel bulut idaresi kategorileri için örnek bir başlangıç noktası sağlar. Azure, risk bulma sürecinin bir bölümünü otomatikleştirmeye yardımcı olabilir. Azure Danışmanı, Bulut için Microsoft Defender, Azure İlkesi, Azure Hizmet Durumu ve Microsoft Purview gibi Azure araçlarını kullanın.
Mevzuat uyumluluğu risklerini belirleme. Bulut verilerini ve operasyonlarını etkileyen yasal ve mevzuat çerçeveleriyle uyumsuzluk risklerini belirleyin. Sektörünüzün mevzuat gereksinimlerini bilin. Başlamak için Azure uyumluluk belgelerini kullanın.
Güvenlik risklerini belirleyin. Bulut ortamının gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atacak tehditleri ve güvenlik açıklarını belirleyin. Bulut güvenliği duruşunuzu değerlendirmek ve kimlik risklerini algılamak için Azure'ı kullanın.
Maliyet risklerini belirleyin. Bulut kaynaklarının maliyetleriyle ilgili riskleri belirleyin. Maliyetle ilgili riskler arasında fazla sağlama, yetersiz sağlama, az kullanım ve veri aktarım ücretlerinden veya hizmet ölçeklendirmesinden kaynaklanan beklenmeyen maliyetler yer alır. Maliyet riskini belirlemek için maliyet değerlendirmesi kullanın. Azure fiyatlandırma hesaplayıcısıyla maliyetleri tahmin etmek için Azure'ı kullanın. Geçerli kaynaklardaki maliyetleri analiz etme ve tahmin etme. Bulut maliyetlerindeki beklenmeyen değişiklikleri belirleme.
İşlem risklerini belirleyin. Kapalı kalma süresi ve veri kaybı gibi bulut işlemlerinin sürekliliğini tehdit eden riskleri belirleyin. Güvenilirlik ve performans risklerini belirlemek için Azure araçlarını kullanın.
Veri risklerini tanımlama. Buluttaki veri yönetimiyle ilgili riskleri belirleyin. Veri yaşam döngüsü yönetiminde verilerin ve kusurların yanlış işlenmesini göz önünde bulundurun. Veri risklerini tanımlamaya ve hassas veri risklerini keşfetmeye yardımcı olmak için Azure araçlarını kullanın.
Kaynak yönetimi risklerini belirleyin. Bulut kaynaklarının sağlanmasından, dağıtımından, yapılandırmasından ve yönetiminden kaynaklanan riskleri belirleyin. Operasyonel mükemmellik risklerini belirleme.
Yapay zeka risklerini belirleme. Düzenli olarak kırmızı takım dili modelleri. Yapay zeka sistemlerini el ile test edin ve yapay zeka için otomatik risk belirleme araçlarıyla el ile testleri destekleyin. Yaygın insan-yapay zeka etkileşim hatalarını arayın. Yapay zeka sistemlerinin kullanımı, erişimi ve çıkışıyla ilgili riskleri göz önünde bulundurun. Sorumlu yapay zekanın ve sorumlu yapay zekaolgunluk modelinin kümelerini gözden geçirin.
Bulut risklerini analiz etme
Önem derecesine göre önceliklerini belirlemek için her riske nitel veya nicel bir derecelendirme atayın. Risk öncelik belirlemesi, risk olasılığını ve risk etkisini birleştirir. Daha hassas risk önceliklendirmesi için nitel yerine nicel risk analizini tercih edin. Bulut risklerini analiz etmek için şu stratejileri izleyin:
Risk olasılığını değerlendirme
Yılda gerçekleşen her riskin nicel veya nitel olasılığını tahmin edin. Yıllık, nicel risk olasılığını göstermek için yüzde aralığı (%0-%100) kullanın. Düşük, orta ve yüksek, nitel risk olasılığına yönelik yaygın etiketlerdir. Risk olasılığını değerlendirmek için şu önerileri izleyin:
Genel karşılaştırmaları kullanın. Yaygın riskleri ve bunların oluşum oranlarını belgeleyen raporlar, çalışmalar veya hizmet düzeyi sözleşmelerinden (SLA) alınan verileri kullanın.
Geçmiş verileri analiz etme. Geçmişte benzer risklerin oluşma sıklıklarını belirlemek için iç olay raporlarına, denetim günlüklerine ve diğer kayıtlara bakın.
Test denetimi etkinliği. Riskleri en aza indirmek için geçerli risk azaltma denetimlerinin etkinliğini değerlendirin. Denetim testi sonuçlarını, denetim bulgularını ve performans ölçümlerini gözden geçirmeyi göz önünde bulundurun.
Risk etkisini belirleme
Kuruluş üzerindeki riskin nicel veya nitel etkisini tahmin edin. Parasal tutar, nicel risk etkisini temsil etmenin yaygın bir yoludur. Düşük, orta ve yüksek, nitel risk etkisine yönelik yaygın etiketlerdir. Risk etkisini belirlemek için şu önerileri izleyin:
Finansal analiz gerçekleştirin. Kapalı kalma süresi maliyeti, yasal ücretler, cezalar ve düzeltme çalışmalarının maliyeti gibi faktörlere bakarak riskin olası mali kaybını tahmin edin.
Saygınlık etkisi değerlendirmesi gerçekleştirin. Kuruluşun itibarı üzerindeki olası etkiyi tahmin etmek için benzer olaylarla ilgili anketleri, pazar araştırmalarını veya geçmiş verileri kullanın.
Operasyonel kesinti analizi gerçekleştirin. Kapalı kalma süresini, üretkenlik kaybını ve alternatif düzenlemelerin maliyetini tahmin ederek operasyonel kesintinin kapsamını değerlendirin.
Yasal etkileri değerlendirin. Uyumsuzluk veya ihlallerle ilişkili olası yasal maliyetleri, cezaları ve cezaları tahmin edin.
Risk önceliğini hesaplama
Her riske bir risk önceliği atayın. Risk önceliği, riski yüksek, orta veya düşük aciliyetle ele alıp veremeyeceğinizi bilmeniz için bir riske atadığınız önemdir. Yüksek etkiye sahip bir riskin kalıcı sonuçları olabileceğinden risk etkisi risk olasılığından daha önemlidir. İdare ekibinin, riski önceliklendirmek için kuruluş genelinde tutarlı bir metodoloji kullanması gerekir. Risk önceliğini hesaplamak için şu önerileri izleyin:
Nitel değerlendirmeler için risk matrisi kullanın. Her riske nitel risk önceliği atamak için bir matris oluşturun. Matrisin bir ekseni risk olasılığını (yüksek, orta, düşük) ve diğeri risk etkisini (yüksek, orta, düşük) temsil eder. Aşağıdaki tabloda örnek bir risk matrisi verilmiştir:
Düşük etki Orta düzey etki Yüksek etki Düşük olasılık Çok düşük Orta düzeyde düşük Orta derecede yüksek Orta olasılık Düşük Orta Yüksek Yüksek olasılık Orta Yüksek Çok yüksek Nicel değerlendirmeler için formülleri kullanın. Temel olarak aşağıdaki hesaplamayı kullanın: risk önceliği = risk olasılığı x risk etkisi. Risk önceliği sonuçlarını uyarlamak için değişkenlerin ağırlığını gerektiği gibi ayarlayın. Örneğin, şu formülle risk etkisine daha fazla vurgu yapabilirsiniz: risk önceliği = risk olasılığı x (risk etkisi x 1.5).
Risk düzeyi atama
Her riski üç düzeyden birinde kategorilere ayırın: büyük riskler (düzey 1), alt bölümler (düzey 2) ve risk sürücüleri (düzey 3). Risk düzeyleri, uygun bir risk yönetimi stratejisi planlamanızı ve gelecekteki zorlukları tahmin etmenizi sağlar. Düzey 1 riskleri kuruluşu veya teknolojiyi tehdit eder. Düzey 2 riskleri 1. düzey riskin altına girer. Düzey 3 riskleri, bir veya daha fazla düzey 1 veya düzey 2 riskinde doruk noktası olabilecek eğilimlerdir. Örneğin, veri koruma yasalarına (düzey 1), hatalı bulut depolama yapılandırmalarına (düzey 2) ve mevzuat gereksinimlerinin karmaşıklığını artırmaya (düzey 3) uymamayı göz önünde bulundurun.
Risk yönetimi stratejisini belirleme
Her risk için riski önleme, azaltma, aktarma veya kabul etme gibi uygun risk işleme seçeneklerini belirleyin. Seçimin açıklamasını sağlayın. Örneğin, risk azaltma maliyeti çok pahalı olduğundan riski kabul etmeye karar verirseniz, gelecekte başvurmak için bu mantığı belgelemeniz gerekir.
Risk sahiplerini atama
Her risk için birincil risk sahibini belirleyin. Risk sahibinin her riski yönetme sorumluluğu vardır. Bu kişi, risk yönetimi stratejisini ilgili her ekipte koordine eder ve risk yükseltme için ilk iletişim noktasıdır.
Bulut risklerini belgele
Her riski ve risk analizinin ayrıntılarını belgele. Riskleri tanımlamak, kategorilere ayırmak, önceliklendirmek ve yönetmek için ihtiyacınız olan tüm bilgileri içeren bir risk listesi (risk kaydı) oluşturun. Herkesin bulut risklerini kolayca anlayabilmesi için risk belgeleri için standartlaştırılmış dil geliştirin. Şu öğeleri eklemeyi göz önünde bulundurun:
- Risk Kimliği: Her risk için benzersiz bir tanımlayıcı. Yeni riskler eklerken tanımlayıcıyı sıralı olarak artırma. Riskleri kaldırırsanız, dizide boşluk bırakabilir veya dizideki boşlukları doldurabilirsiniz.
- Risk yönetimi durumu: Riskin durumu (açık, kapalı).
- Risk kategorisi: Mevzuat uyumluluğu, güvenlik, maliyet, operasyonlar, yapay zeka veya kaynak yönetimi gibi bir etiket.
- Risk açıklaması: Riskin kısa bir açıklaması.
- Risk olasılığı: Riskin yıl başına oluşma olasılığı. Yüzde veya nitel etiket kullanın.
- Risk etkisi: Risk oluşursa kuruluş üzerindeki etkisi. Parasal tutar veya nitel etiket kullanın.
- Risk önceliği: Riskin önem derecesi (olasılık x etkisi). Dolar tutarı veya nitel etiket kullanın.
- Risk düzeyi: Risk türü. Büyük tehdit (düzey 1), alt bölüm (düzey 2) veya risk sürücüsü (düzey 3) kullanın.
- Risk yönetimi stratejisi: Risk azaltma, kabul etme veya önleme gibi riskleri yönetme yaklaşımı.
- Risk yönetimi uygulama: Risk yönetimi stratejisini uygulamaya yönelik teknikler.
- Risk sahibi: Riski yöneten kişi.
- Risk kapanış tarihi: Risk yönetimi stratejisinin uygulanması gereken tarih.
Daha fazla bilgi için bkz . Risk listesi örneği.
Bulut risklerini iletme
Tanımlanan bulut risklerini yönetici sponsoru ve yönetici düzeyinde yönetime açıkça iletin. Amaç, kuruluşun bulut risklerine öncelik vermesini sağlamaktır. Bulut riski yönetimiyle ilgili düzenli güncelleştirmeler sağlayın ve riskleri yönetmek için ek kaynaklara ihtiyacınız olduğunda iletişim kurun. Bulut risklerinin yönetiminin ve idaresinin günlük işlemlerin bir parçası olduğu bir kültürü teşvik edin.
Bulut risklerini gözden geçirme
Geçerli ve doğru olduğundan emin olmak için geçerli bulut riski listesini gözden geçirin. İncelemeler düzenli ve belirli olaylara yanıt olarak olmalıdır. Riskleri gerektiği gibi koruyun, güncelleştirin veya kaldırın. Bulut risklerini gözden geçirmek için şu önerileri izleyin:
Düzenli değerlendirmeler zamanlayın. Üç aylık, iki yıllık veya yıllık gibi bulut risklerini gözden geçirmek ve değerlendirmek için yinelenen bir zamanlama ayarlayın. Personelin kullanılabilirliğini, bulut ortamı değişikliklerinin oranını ve kurumsal risk toleransını en iyi şekilde karşılayan bir gözden geçirme sıklığı bulun.
Olay tabanlı incelemeler yapın. Riskin başarısız önlenmesi gibi belirli olaylara yanıt olarak riskleri gözden geçirin. Yeni teknolojileri benimserken, iş süreçlerini değiştirirken ve yeni güvenlik tehditleri olaylarını keşfederken riskleri gözden geçirmeyi göz önünde bulundurun. Teknoloji, mevzuat uyumluluğu ve kurumsal risk toleransı değişikliklerinin ne zaman değiştiğini de gözden geçirmeyi göz önünde bulundurun.
Bulut idare ilkelerini gözden geçirin. Yeni riskleri, mevcut riskleri veya güncel olmayan riskleri ele almak için bulut idare ilkelerini koruyun, güncelleştirin veya kaldırın. Gerektiğinde bulut idare ilkesi bildirimini ve bulut idaresi uygulama stratejisini gözden geçirin. Bir riski kaldırdığınızda, bununla ilişkili bulut idare ilkelerinin hala uygun olup olmadığını değerlendirin. Bulut idare ilkelerini kaldırmak veya yeni bir riskle ilişkilendirmek için ilkeleri güncelleştirmek için paydaşlara danışın.
Örnek risk listesi
Aşağıdaki tablo, risk kaydı olarak da bilinen örnek bir risk listesidir. Örneği, kuruluşunuzun Azure bulut ortamına özgü gereksinimlere ve bağlama uyacak şekilde uyarlayın.
| Risk Kimliği | Risk yönetimi durumu | Risk kategorisi | Risk açıklaması | Risk olasılığı | Risk etkisi | Risk önceliği | Risk düzeyi | Risk yönetimi stratejisi | Risk yönetimi uygulama | Risk sahibi | Risk kapanış tarihi |
|---|---|---|---|---|---|---|---|---|---|---|---|
| R01 | Açılış | Mevzuata uyumluluk | Hassas veri gereksinimleriyle uyumsuzluk | %20 VEYA Orta | 100.000 ABD Doları VEYA Yüksek | 20.000 ABD Doları VEYA Yüksek | Düzey 2 | Azaltmak | Hassas veri izleme için Microsoft Purview'u kullanın. Microsoft Purview'da uyumluluk raporlaması. |
Uyumluluk müşteri adayı | 2024-04-01 |
| R02 | Açılış | Güvenlik | Bulut hizmetlerine yetkisiz erişim | %30 VEYA Yüksek | 200.000 ABD Doları VEYA Yüksek | $60,000 VEYA Çok yüksek | Düzey 1 | Azaltmak | Microsoft Entra ID çok faktörlü kimlik doğrulaması (MFA). Aylık erişim gözden geçirmelerini Microsoft Entra Kimlik Yönetimi. |
Güvenlik sorumlusu | 2024-03-15 |
| R03 | Açılış | Güvenlik | Güvenli olmayan kod yönetimi | %20 VEYA Orta | 150.000 ABD Doları VEYA Yüksek | 30.000 ABD Doları VEYA Yüksek | Düzey 2 | Azaltmak | Tanımlı kod deposunu kullanın. Ortak kitaplıklar için karantina deseni kullanın. |
Geliştirici müşteri adayı | 2024-03-30 |
| R04 | Açılış | Maliyet | Fazla sağlama ve izleme eksikliği nedeniyle bulut hizmetlerinde fazla harcama | %40 VEYA Yüksek | 50.000 ABD Doları VEYA Orta | 20.000 ABD Doları VEYA Yüksek | Düzey 2 | Azaltmak | İş yükleri için bütçeler ve uyarılar ayarlayın. Danışman maliyet önerilerini gözden geçirin ve uygulayın. |
Maliyet müşteri adayı | 2024-03-01 |
| R05 | Açılış | Operations | Azure bölgesi kesintisi nedeniyle hizmet kesintisi | %25 VEYA Orta | 150.000 ABD Doları VEYA Yüksek | $37,500 VEYA Yüksek | Düzey 1 | Azaltmak | Görev açısından kritik iş yüklerinin etkin-etkin mimarisi vardır. Diğer iş yüklerinin etkin-pasif mimarisi vardır. |
İşlem lideri | 2024-03-20 |
| R06 | Açılış | Veri | Hatalı şifreleme ve veri yaşam döngüsü yönetimi nedeniyle hassas veri kaybı | %35 VEYA Yüksek | 250.000 ABD Doları VEYA Yüksek | $87,500 VEYA Çok yüksek | Düzey 1 | Azaltmak | Aktarım sırasında ve bekleme durumunda şifreleme uygulayın. Azure araçlarını kullanarak veri yaşam döngüsü ilkeleri oluşturun. |
Veri müşteri adayı | 2024-04-10 |
| R07 | Açılış | Kaynak yönetimi | Yetkisiz erişime ve verilerin açığa çıkarmasına neden olan bulut kaynaklarının yanlış yapılandırılması | %30 VEYA Yüksek | 100.000 ABD Doları VEYA Yüksek | $30,000 VEYA Çok yüksek | Düzey 2 | Azaltmak | Kod olarak altyapı (IaC) kullanın. Azure İlkesi kullanarak etiketleme gereksinimlerini zorunlu kılma. |
Kaynak müşteri adayı | 2024-03-25 |
| R08 | Açılış | AI | Tanıtıcı olmayan eğitim verileri nedeniyle taraflı kararlar üreten yapay zeka modeli | %15 VEYA Düşük | 200.000 ABD Doları VEYA Yüksek | $30,000 VEYA Orta derecede yüksek | Düzey 3 | Azaltmak | İçerik filtreleme azaltma tekniklerini kullanın. Kırmızı takım yapay zeka modelleri aylık. |
Yapay zeka lideri | 2024-05-01 |
Sonraki adım
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin