Posouzení cloudových rizik
Tento článek popisuje, jak vyhodnotit rizika spojená s cloudem. Všechny technologie představují pro organizaci určitá rizika. Rizika jsou nežádoucí výsledky, které by mohly ovlivnit vaši firmu, například nedodržování předpisů s oborovými standardy. Při přechodu na cloud musíte identifikovat rizika, která cloud představuje pro vaši organizaci. Tým zásad správného řízení v cloudu vytváří zásady správného řízení v cloudu, které zabrání těmto rizikům a jejich zmírnění. Pokud chcete vyhodnotit rizika cloudu, dokončete tyto úlohy.
Identifikace cloudových rizik
Katalog komplexního seznamu cloudových rizik. Znalost rizik vám umožní vytvářet zásady zásad správného řízení v cloudu, které můžou těmto rizikům zabránit a zmírnit je. Pokud chcete identifikovat rizika cloudu, postupujte podle těchto doporučení:
Zobrazí seznam všech cloudových prostředků. Uveďte seznam všech cloudových prostředků, abyste mohli komplexně identifikovat rizika spojená s nimi. K zobrazení všech prostředků v předplatném můžete například použít Azure Portal, Azure Resource Graph, PowerShell a Azure CLI.
Objevte rizika cloudu. Vytvořte stabilní katalog rizik, který vám pomůže řídit zásady správného řízení v cloudu. Abyste zabránili častým úpravám, zaměřte se na obecná cloudová rizika, ne na rizika jedinečná pro konkrétní úlohu. Začněte s riziky s vysokou prioritou a vytvořte komplexnější seznam v průběhu času. Mezi běžné kategorie rizik patří dodržování právních předpisů, zabezpečení, provoz, náklady, data, prostředky a AI. Zahrnout rizika, která jsou jedinečná pro vaši organizaci, jako je software jiné společnosti než Microsoft, podpora partnera nebo dodavatele a interní kompetence cloudu.
Zapojte klíčové zúčastněné strany. Shromážděte vstupy z různých organizačních rolí (IT, zabezpečení, právní, finanční a obchodní jednotky), abyste mohli zvážit všechna potenciální rizika. Tento přístup pro spolupráci zajišťuje holistický pohled na rizika související s cloudem.
Ověřte rizika. Zapojte externí odborníky, kteří mají hluboké znalosti identifikace cloudových rizik, abyste mohli zkontrolovat a ověřit seznam rizik. Tito odborníci můžou být týmy účtů Microsoft nebo specializované partnery Microsoftu. Jejich odborné znalosti pomáhají potvrdit identifikaci všech potenciálních rizik a zvýšit přesnost vašeho posouzení rizik.
Usnadnění Azure: Identifikace cloudových rizik
Následující doprovodné materiály vám pomůžou identifikovat cloudová rizika v Azure. Poskytuje ukázkový výchozí bod pro hlavní kategorie zásad správného řízení v cloudu. Azure může pomoct automatizovat část procesu hledání rizik. Použijte nástroje Azure, jako je Azure Advisor, Microsoft Defender for Cloud, Azure Policy, Azure Service Health a Microsoft Purview.
Identifikace rizik dodržování právních předpisů Identifikujte rizika nedodržení právních a regulačních architektur ovlivňujících cloudová data a provoz. Znát zákonné požadavky vašeho odvětví. Začněte pomocí dokumentace k dodržování předpisů Azure.
Identifikace bezpečnostních rizik Identifikujte hrozby a ohrožení zabezpečení, které ohrožuje důvěrnost, integritu a dostupnost cloudového prostředí. Pomocí Azure můžete vyhodnotit stav zabezpečení cloudu a zjistit rizika identit.
Identifikace nákladových rizik Identifikujte rizika související s náklady na cloudové prostředky. Mezi rizika související s náklady patří nadměrné zřízení, podřizovací využití, nedostatečné využití a neočekávané náklady z poplatků za přenos dat nebo škálování služeb. K identifikaci nákladového rizika použijte posouzení nákladů. Pomocí Azure můžete odhadnout náklady pomocí cenové kalkulačky Azure. Analýza a prognózování nákladů na aktuální prostředky Identifikace neočekávaných změn v nákladech na cloud
Identifikace provozních rizik Identifikujte rizika, která ohrožuje kontinuitu cloudových operací, jako jsou výpadky a ztráta dat. Pomocí nástrojů Azure identifikujte rizika pro spolehlivost a výkon.
Identifikujte rizika dat. Identifikujte rizika související se správou dat v cloudu. Zvažte nesprávné zpracování dat a vad při správě životního cyklu dat. Pomocí nástrojů Azure můžete identifikovat rizika dat a prozkoumat rizika pro citlivá data.
Identifikujte rizika správy prostředků. Identifikujte rizika vyplývající ze zřizování, nasazení, konfigurace a správy cloudových prostředků. Identifikace rizik pro efektivitu provozu
Identifikace rizik umělé inteligence Pravidelně červené jazykové modely týmu. Ruční testování systémů AI a doplnění ručních testů pomocí automatizovaných nástrojů pro identifikaci rizik pro AI. Hledejte běžné selhání interakce s lidskou AI. Zvažte rizika spojená s používáním, přístupem a výstupem systémů AI. Projděte si principy zodpovědné umělé inteligence a zodpovědného modelu vyspělosti AI.
Analýza cloudových rizik
Každému riziku přiřaďte kvalitativní nebo kvantitativní řazení, abyste je mohli určit prioritu podle závažnosti. Stanovení priority rizika kombinuje pravděpodobnost rizika a dopad rizika. Upřednostněte kvantitativní analýzu rizik oproti kvalitativnímu, aby bylo stanovení priorit rizika přesnější. Pokud chcete analyzovat rizika cloudu, postupujte podle těchto strategií:
Vyhodnocení pravděpodobnosti rizika
Odhad kvantitativní nebo kvalitativní pravděpodobnosti každého rizika, ke kterému dochází za rok. Pomocí procentuálního rozsahu (0–100 %) představuje roční kvantitativní pravděpodobnost rizika. Nízké, střední a vysoké jsou běžnými popisky kvalitativní pravděpodobnosti rizika. Pokud chcete vyhodnotit pravděpodobnost rizika, postupujte podle těchto doporučení:
Používejte veřejné srovnávací testy. Používejte data ze sestav, studií nebo smluv o úrovni služeb (SLA), které dokumentují běžná rizika a jejich četnost výskytů.
Analýza historických dat Podívejte se na interní sestavy incidentů, protokoly auditu a další záznamy a zjistěte, jak často se v minulosti vyskytla podobná rizika.
Účinnost kontroly testování. Pokud chcete minimalizovat rizika, vyhodnoťte účinnost stávajících kontrol pro zmírnění rizik. Zvažte kontrolu výsledků testování, zjištění auditu a metrik výkonu.
Určení dopadu rizika
Odhad kvantitativního nebo kvalitativního dopadu rizika, ke kterému dochází v organizaci. Peněžní částka představuje běžný způsob, jak reprezentovat kvantitativní dopad rizika. Nízké, střední a vysoké jsou běžnými popisky kvalitativního dopadu rizika. Pokud chcete určit dopad rizika, postupujte podle těchto doporučení:
Proveďte finanční analýzu. Odhadnout potenciální finanční ztrátu rizika tím, že se podíváte na faktory, jako jsou náklady na výpadky, právní poplatky, pokuty a náklady na nápravu.
Proveďte posouzení dopadu na reputaci. Pomocí průzkumů, průzkumů trhu nebo historických dat o podobných incidentech můžete odhadnout potenciální dopad na reputaci organizace.
Proveďte analýzu přerušení provozu. Vyhodnoťte rozsah přerušení provozu odhadem výpadků, ztráty produktivity a nákladů na alternativní uspořádání.
Posoudit právní důsledky. Odhad potenciálních právních nákladů, pokut a sankcí spojených s nedodržením předpisů nebo porušením předpisů
Výpočet priority rizika
Každému riziku přiřaďte prioritu rizika. Priorita rizika je důležitost, kterou přiřadíte k riziku, abyste věděli, jestli chcete s rizikem zacházet s vysokou, střední nebo nízkou naléhavostí. Dopad rizika je důležitější než pravděpodobnost rizika, protože riziko s vysokým dopadem může mít trvalé důsledky. Tým zásad správného řízení musí používat konzistentní metodologii v celé organizaci, aby bylo možné určit prioritu rizika. Pokud chcete vypočítat prioritu rizika, postupujte podle těchto doporučení:
Pro kvalitativní posouzení použijte matici rizik. Vytvořte matici, která každému riziku přiřadí kvalitativní prioritu rizika. Jedna osa matice představuje pravděpodobnost rizika (vysoká, střední, nízká) a druhá představuje rizikový dopad (vysoký, střední, nízký). Následující tabulka obsahuje ukázkovou matici rizik:
Malý vliv Střední vliv Velký vliv Nízká pravděpodobnost Velmi nízká Středně nízká Středně vysoká Střední pravděpodobnost Nízká Střední Vysoká Vysoká pravděpodobnost Střední Vysoká Velmi vysoká Používejte vzorce pro kvantitativní posouzení. Jako směrný plán použijte následující výpočet: priorita rizika = pravděpodobnost rizika x rizikový dopad. Podle potřeby upravte váhu proměnných tak, aby se přizpůsobily výsledkům priority rizika. Můžete například zdůraznit dopad rizika pomocí tohoto vzorce: priorita rizika = pravděpodobnost rizika x (dopad rizika x 1,5).
Přiřazení úrovně rizika
Kategorizovat každé riziko do jedné ze tří úrovní: velká rizika (úroveň 1), podrisky (úroveň 2) a rizikové faktory (úroveň 3). Úrovně rizik umožňují naplánovat odpovídající strategii řízení rizik a předvídat budoucí výzvy. Rizika úrovně 1 ohrožuje organizaci nebo technologii. Rizika úrovně 2 spadají pod riziko úrovně 1. Rizika úrovně 3 jsou trendy, které by mohly potenciálně vést k jednomu nebo více rizikům úrovně 1 nebo 2. Zvažte například nedodržení zákonů o ochraně dat (úroveň 1), nesprávné konfigurace cloudového úložiště (úroveň 2) a zvýšení složitosti zákonných požadavků (úroveň 3).
Určení strategie řízení rizik
U každého rizika identifikujte vhodné možnosti léčby rizik, jako je například zabránění, zmírnění, převod nebo přijetí rizika. Zadejte vysvětlení výběru. Pokud se například rozhodnete přijmout riziko, protože náklady na zmírnění rizika jsou příliš drahé, měli byste si tento důvod zdokumentovat pro budoucí referenci.
Přiřazení vlastníků rizik
Určete hlavního vlastníka rizika pro každé riziko. Vlastník rizika má odpovědnost za řízení každého rizika. Tato osoba koordinuje strategii řízení rizik napříč každým týmem, který se účastní, a je počátečním kontaktním bodem pro eskalaci rizika.
Zdokumentujte rizika cloudu
Zdokumentujte jednotlivá rizika a podrobnosti analýzy rizik. Vytvořte seznam rizik (registr rizik), který obsahuje všechny informace, které potřebujete k identifikaci, kategorizaci, stanovení priority a správě rizik. Vyvíjejte standardizovaný jazyk pro dokumentaci k rizikům, aby všichni mohli snadno pochopit rizika cloudu. Zvažte zahrnutí těchto prvků:
- ID rizika: Jedinečný identifikátor každého rizika. Postupně navyšujte identifikátor při přidávání nových rizik. Pokud odeberete rizika, můžete nechat mezery v posloupnosti nebo vyplnit mezery v sekvenci.
- Stav řízení rizik: Stav rizika (otevřený, uzavřený).
- Kategorie rizika: Popisek, jako je dodržování právních předpisů, zabezpečení, náklady, provoz, AI nebo správa prostředků.
- Popis rizika: Stručný popis rizika.
- Pravděpodobnost rizika: Pravděpodobnost rizika, ke které dochází za rok. Použijte procentuální nebo kvalitativní popisek.
- Dopad rizika: Dopad na organizaci, pokud k riziku dojde. Použijte peněžní částku nebo kvalitativní popisek.
- Priorita rizika: Závažnost rizika (pravděpodobnost x dopad). Použijte dolarovou částku nebo kvalitativní popisek.
- Úroveň rizika: Typ rizika. Použijte hlavní hrozbu (úroveň 1), podrisk (úroveň 2) nebo obchodní faktor rizika (úroveň 3).
- Strategie řízení rizik: Přístup ke správě rizik, jako je zmírnění, přijetí nebo zabránění.
- Vynucování řízení rizik: Techniky vynucení strategie řízení rizik.
- Vlastník rizika: Jednotlivec, který řídí riziko.
- Datum uzavření rizika: Datum, kdy by se měla použít strategie řízení rizik.
Další informace naleznete v tématu Příklad seznamu rizik.
Komunikace s cloudovými riziky
Jasně vystihovat identifikovaná cloudová rizika vedoucímu sponzora a řízení na úrovni vedení. Cílem je zajistit, aby organizace upřednostňovala rizika cloudu. Poskytněte pravidelné aktualizace správy rizik v cloudu a komunikujte, když potřebujete další prostředky ke správě rizik. Propagace kultury, kde správa cloudových rizik a zásad správného řízení je součástí každodenního provozu.
Kontrola cloudových rizik
Zkontrolujte aktuální seznam rizik cloudu a ujistěte se, že je platný a přesný. Kontroly by měly být pravidelné a také v reakci na konkrétní události. Podle potřeby udržujte, aktualizujte nebo odstraňte rizika. Pokud chcete zkontrolovat rizika cloudu, postupujte podle těchto doporučení:
Naplánujte pravidelné hodnocení. Nastavte opakovaný plán pro kontrolu a vyhodnocení cloudových rizik, jako jsou čtvrtletní, biannually nebo ročně. Vyhledejte frekvenci kontroly, která nejlépe vyhovuje dostupnosti pracovníků, četnosti změn cloudového prostředí a odolnosti vůči rizikům organizace.
Proveďte kontroly na základě událostí. Zkontrolujte rizika v reakci na konkrétní události, jako je například neúspěšná prevence rizika. Při zavádění nových technologií, změn obchodních procesů a zjišťování nových událostí bezpečnostních hrozeb zvažte kontrolu rizik. Zvažte také kontrolu, kdy se mění technologie, dodržování právních předpisů a tolerance rizik organizace.
Zkontrolujte zásady správného řízení v cloudu. Udržujte, aktualizujte nebo odeberte zásady zásad správného řízení v cloudu, které řeší nová rizika, stávající rizika nebo zastaralá rizika. Podle potřeby zkontrolujte prohlášení o zásadách správného řízení cloudu a strategii vynucování zásad správného řízení v cloudu. Když odeberete riziko, vyhodnoťte, jestli jsou k němu přidružené zásady správného řízení v cloudu stále relevantní. Spojte se se zúčastněnými stranami a odstraňte zásady správného řízení v cloudu nebo aktualizujte zásady, aby je přidružily k novému riziku.
Příklad seznamu rizik
Následující tabulka je ukázkový seznam rizik, který se označuje také jako registr rizik. Přizpůsobte si příklad tak, aby vyhovoval konkrétním potřebám a kontextu cloudového prostředí Azure vaší organizace.
ID rizika | Stav řízení rizik | Kategorie rizika | Popis rizika | Pravděpodobnost rizika | Dopad rizika | Priorita rizika | Úroveň rizika | Strategie řízení rizik | Vynucení řízení rizik | Vlastník rizika | Datum uzavření rizika |
---|---|---|---|---|---|---|---|---|---|---|---|
R01 | Otevření | Dodržování legislativní předpisů | Nedodržení požadavků na citlivá data | 20 % NEBO střední | $100,000 OR High | $20,000 OR High | Úroveň 2 | Zmírnění | K monitorování citlivých dat použijte Microsoft Purview. Vytváření sestav dodržování předpisů v Microsoft Purview |
Vedoucí dodržování předpisů | 2024-04-01 |
R02 | Otevření | Zabezpečení | Neoprávněný přístup ke cloudovým službám | 30 % NEBO vysoká | $200,000 OR High | 60 000 KČ NEBO Velmi vysoká | Úroveň 1 | Zmírnění | Vícefaktorové ověřování Microsoft Entra ID (MFA). Měsíční kontroly přístupu k zásadám správného řízení Microsoft Entra ID |
Zájemce o zabezpečení | 2024-03-15 |
R03 | Otevření | Zabezpečení | Nezabezpečená správa kódu | 20 % NEBO střední | 150 000 KČ NEBO Vysoká | $30,000 OR High | Úroveň 2 | Zmírnění | Použijte definované úložiště kódu. Použijte vzor karantény pro veřejné knihovny. |
Vedoucí vývojáři | 2024-03-30 |
R04 | Otevření | Náklady | Nadměrné přesměrování v cloudových službách kvůli nadměrnému zřízení a nedostatku monitorování | 40 % NEBO vysoká | 50 000 KČ NEBO Střední | $20,000 OR High | Úroveň 2 | Zmírnění | Nastavte rozpočty a výstrahy pro úlohy. Projděte si a použijte doporučení k nákladům Advisoru. |
Zájemce o náklady | 2024-03-01 |
R05 | Otevření | Operace | Přerušení služeb kvůli výpadku oblasti Azure | 25 % NEBO střední | 150 000 KČ NEBO Vysoká | $37,500 OR High | Úroveň 1 | Zmírnění | Klíčové úlohy mají aktivní-aktivní architekturu. Jiné úlohy mají architekturu typu aktivní-pasivní. |
Vedoucí provozu | 2024-03-20 |
R06 | Otevření | Data | Ztráta citlivých dat kvůli nesprávnému šifrování a správě životního cyklu dat | 35 % nebo vysoká | 250 000 KČ NEBO Vysoká | 87 500 KČ NEBO Velmi vysoká | Úroveň 1 | Zmírnění | Použijte šifrování při přenosu a v klidovém stavu. Vytvořte zásady životního cyklu dat pomocí nástrojů Azure. |
Zájemce o data | 2024-04-10 |
R07 | Otevření | Řízení zdrojů | Chybná konfigurace cloudových prostředků, což vede k neoprávněnému přístupu a vystavení dat | 30 % NEBO vysoká | $100,000 OR High | 30 000 KČ NEBO Velmi vysoká | Úroveň 2 | Zmírnění | Použití infrastruktury jako kódu (IaC). Vynucujte požadavky na označování pomocí služby Azure Policy. |
Vedoucí zdroje | 2024-03-25 |
R08 | Otevření | Umělá inteligence | Model AI vytváří zkreslená rozhodnutí kvůli nerepresentativním trénovacím datům | 15 % nebo nízká | $200,000 OR High | 30 000 KČ NEBO Středně vysoká | Úroveň 3 | Zmírnění | Použijte techniky zmírnění rizik filtrování obsahu. Červené modely umělé inteligence týmu měsíčně. |
Vedoucí AI | 2024-05-01 |