Valutare i rischi per il cloud
Questo articolo illustra come valutare i rischi associati al cloud. Tutte le tecnologie introducono determinati rischi per un'organizzazione. I rischi sono risultati indesiderati che potrebbero influire sull'azienda, ad esempio la mancata conformità agli standard del settore. Quando si adotta il cloud, è necessario identificare i rischi che il cloud pone all'organizzazione. Il team di governance del cloud crea criteri di governance del cloud per prevenire e mitigare tali rischi. Per valutare i rischi del cloud, completare queste attività.
Identificare i rischi per il cloud
Catalogare un elenco completo dei rischi del cloud. Conoscere i rischi consente di creare criteri di governance del cloud che possono prevenire e attenuare tali rischi. Per identificare i rischi cloud, seguire queste raccomandazioni:
Elencare tutti gli asset cloud. Elencare tutti gli asset cloud in modo da poter identificare in modo completo i rischi associati. Ad esempio, è possibile usare il portale di Azure, Azure Resource Graph, PowerShell e l'interfaccia della riga di comando di Azure per visualizzare tutte le risorse in una sottoscrizione.
Individuare i rischi per il cloud. Sviluppare un catalogo di rischi stabile per guidare i criteri di governance del cloud. Per evitare modifiche frequenti, concentrarsi sui rischi generali del cloud, non sui rischi specifici di un carico di lavoro specifico. Iniziare con i rischi ad alta priorità e sviluppare un elenco più completo nel tempo. Le categorie comuni di rischio sono la conformità alle normative, la sicurezza, le operazioni, i costi, i dati, le risorse e l'intelligenza artificiale. Includere rischi specifici per l'organizzazione, ad esempio software non Microsoft, supporto partner o fornitore e competenze cloud interne.
Coinvolgere gli stakeholder chiave. Raccogliere input da ruoli aziendali diversi (IT, sicurezza, legale, finanza e business unit) per considerare tutti i potenziali rischi. Questo approccio collaborativo garantisce una visione olistica dei rischi correlati al cloud.
Verificare i rischi. Coinvolgere esperti esterni che possiedono una conoscenza approfondita dell'identificazione dei rischi cloud per esaminare e convalidare l'elenco dei rischi. Questi esperti possono essere team di account Microsoft o partner Microsoft specializzati. La loro esperienza aiuta a confermare l'identificazione di tutti i potenziali rischi e migliora l'accuratezza della valutazione dei rischi.
Facilitazione di Azure: identificazione dei rischi per il cloud
Le indicazioni seguenti consentono di identificare i rischi cloud in Azure. Fornisce un punto di partenza di esempio per le principali categorie di governance del cloud. Azure consente di automatizzare parte del processo di individuazione dei rischi. Usare strumenti di Azure come Azure Advisor, Microsoft Defender per il cloud, Criteri di Azure, Integrità dei servizi di Azure e Microsoft Purview.
Identificare i rischi di conformità alle normative. Identificare i rischi di non conformità con i framework legali e normativi che interessano i dati e le operazioni cloud. Conoscere i requisiti normativi del settore. Usare la documentazione di conformità di Azure per iniziare.
Identificare i rischi per la sicurezza. Identificare minacce e vulnerabilità che compromettono la riservatezza, l'integrità e la disponibilità dell'ambiente cloud. Usare Azure per valutare il comportamento di sicurezza del cloud e rilevare i rischi per le identità.
Identificare i rischi per i costi. Identificare i rischi correlati ai costi delle risorse cloud. I rischi correlati ai costi includono il provisioning eccessivo, il sottoprovisioning, la sottoutilizzazione e i costi imprevisti derivanti dai costi di trasferimento dei dati o dal ridimensionamento dei servizi. Usare una valutazione dei costi per identificare il rischio dei costi. Usare Azure per stimare i costi con il calcolatore prezzi di Azure. Analizzare e prevedere i costi sulle risorse correnti. Identificare le modifiche impreviste nei costi del cloud.
Identificare i rischi operativi. Identificare i rischi che minacciano la continuità delle operazioni cloud, ad esempio tempi di inattività e perdita di dati. Usare gli strumenti di Azure per identificare i rischi per l'affidabilità e le prestazioni.
Identificare i rischi per i dati. Identificare i rischi correlati alla gestione dei dati all'interno del cloud. Prendere in considerazione la gestione non corretta dei dati e dei difetti nella gestione del ciclo di vita dei dati. Usare gli strumenti di Azure per identificare i rischi dei dati ed esplorare i rischi per i dati sensibili.
Identificare i rischi per la gestione delle risorse. Identificare i rischi derivanti dal provisioning, dalla distribuzione, dalla configurazione e dalla gestione delle risorse cloud. Identificare i rischi per l'eccellenza operativa.
Identificare i rischi di intelligenza artificiale. Modelli linguistici red team regolarmente. Testare manualmente i sistemi di intelligenza artificiale e integrare test manuali con strumenti di identificazione automatizzati dei rischi per l'intelligenza artificiale. Cercare gli errori comuni di interazione con intelligenza artificiale umana. Prendere in considerazione i rischi associati all'uso, all'accesso e all'output dei sistemi di intelligenza artificiale. Esaminare i principi dell'IAresponsabile e del modello di maturità dell'IA responsabile.
Analizzare i rischi del cloud
Assegnare una classificazione qualitativa o quantitativa a ogni rischio in modo che sia possibile classificarlo in ordine di priorità in base alla gravità. La definizione delle priorità dei rischi combina probabilità di rischio e impatto sul rischio. Preferire l'analisi quantitativa dei rischi rispetto a quella qualitativa per una definizione più precisa delle priorità dei rischi. Per analizzare i rischi cloud, seguire queste strategie:
Valutare la probabilità di rischio
Stimare la probabilità quantitativo o qualitativa di ogni rischio che si verifica all'anno. Usare un intervallo percentuale (0%-100%) per rappresentare la probabilità di rischio quantitativo annuale. Basso, medio e alto sono etichette comuni per la probabilità di rischio qualitativo. Per valutare la probabilità di rischio, seguire queste raccomandazioni:
Usare benchmark pubblici. Usare i dati dei report, degli studi o dei contratti di servizio che documentano i rischi comuni e le relative percentuali di occorrenza.
Analizzare i dati cronologici. Esaminare i report interni sugli eventi imprevisti, i log di controllo e altri record per identificare la frequenza con cui si sono verificati rischi simili in passato.
Testare l'efficacia del controllo. Per ridurre al minimo i rischi, valutare l'efficacia dei controlli di mitigazione dei rischi correnti. Valutare la possibilità di esaminare i risultati dei test di controllo, i risultati dei controlli e le metriche delle prestazioni.
Determinare l'impatto sul rischio
Stimare l'impatto quantitativo o qualitativo del rischio che si verifica nell'organizzazione. Un importo monetario è un modo comune per rappresentare l'impatto quantitativo sul rischio. Basso, medio e alto sono etichette comuni per un impatto qualitativo sul rischio. Per determinare l'impatto sui rischi, seguire queste raccomandazioni:
Condurre un'analisi finanziaria. Stimare la potenziale perdita finanziaria di un rischio esaminando fattori quali il costo del tempo di inattività, le spese legali, le multe e il costo degli sforzi di correzione.
Eseguire una valutazione dell'impatto sulla reputazione. Usare sondaggi, ricerche di mercato o dati cronologici su eventi imprevisti simili per stimare il potenziale impatto sulla reputazione dell'organizzazione.
Eseguire l'analisi delle interruzioni operative. Valutare l'entità dell'interruzione operativa stimando tempi di inattività, perdita di produttività e costi di accordi alternativi.
Valutare le implicazioni legali. Stimare i potenziali costi legali, multe e sanzioni associati alla mancata conformità o alle violazioni.
Calcolare la priorità di rischio
Assegnare una priorità di rischio a ogni rischio. La priorità dei rischi è l'importanza assegnata a un rischio, in modo da sapere se trattare il rischio con urgenza alta, media o bassa. L'impatto sul rischio è più importante della probabilità di rischio perché un rischio ad alto impatto può avere conseguenze durature. Il team di governance deve usare una metodologia coerente nell'organizzazione per assegnare priorità ai rischi. Per calcolare la priorità dei rischi, seguire queste raccomandazioni:
Usare una matrice di rischio per le valutazioni qualitative. Creare una matrice per assegnare una priorità di rischio qualitativa a ogni rischio. Un asse della matrice rappresenta la probabilità di rischio (alta, media, bassa) e l'altra rappresenta l'impatto sul rischio (alto, medio, basso). La tabella seguente fornisce una matrice di rischio di esempio:
Impatto basso Impatto medio Impatto elevato Bassa probabilità Molto bassa Moderatamente bassa Moderatamente alta Probabilità media Basso Medium Alto Probabilità elevata Medio Alto Molto alto Usare le formule per le valutazioni quantitative. Usare il calcolo seguente come baseline: priorità del rischio = probabilità di rischio x impatto sul rischio. Modificare il peso delle variabili in base alle esigenze per adattare i risultati della priorità di rischio. Ad esempio, è possibile porre maggiore attenzione sull'impatto sul rischio con questa formula: priorità del rischio = probabilità di rischio x (impatto sul rischio x 1,5).
Assegnare un livello di rischio
Classificare ogni rischio in uno dei tre livelli: rischi principali (livello 1), subrisks (livello 2) e driver di rischio (livello 3). I livelli di rischio consentono di pianificare una strategia di gestione dei rischi appropriata e prevedere le sfide future. I rischi di livello 1 minacciano l'organizzazione o la tecnologia. I rischi di livello 2 rientrano nel rischio di livello 1. I rischi di livello 3 sono tendenze che potrebbero potenzialmente culminare in uno o più rischi di livello 1 o livello 2. Si consideri ad esempio la mancata conformità con le leggi sulla protezione dei dati (livello 1), configurazioni di archiviazione cloud non corretta (livello 2) e complessità crescente dei requisiti normativi (livello 3).
Determinare la strategia di gestione dei rischi
Per ogni rischio, identificare le opzioni appropriate per il trattamento dei rischi, ad esempio evitare, attenuare, trasferire o accettare il rischio. Fornire una spiegazione della scelta. Ad esempio, se si decide di accettare un rischio perché il costo di attenuazione è troppo costoso, è consigliabile documentare tale motivo per riferimento futuro.
Assegnare proprietari dei rischi
Designare un proprietario del rischio primario per ogni rischio. Il proprietario del rischio ha la responsabilità di gestire ogni rischio. Questa persona coordina la strategia di gestione dei rischi in ogni team coinvolto ed è il punto di contatto iniziale per l'escalation dei rischi.
Documentare i rischi per il cloud
Documentare ogni rischio e i dettagli dell'analisi dei rischi. Creare un elenco di rischi (registro dei rischi) che contiene tutte le informazioni necessarie per identificare, classificare, classificare, classificare e gestire i rischi. Sviluppare un linguaggio standardizzato per la documentazione sui rischi per consentire a tutti di comprendere facilmente i rischi del cloud. Considerare l'inclusione di questi elementi:
- ID rischio: identificatore univoco per ogni rischio. Incrementare l'identificatore in sequenza man mano che si aggiungono nuovi rischi. Se si rimuovono i rischi, è possibile lasciare spazi vuoti nella sequenza o riempire le lacune nella sequenza.
- Stato di gestione dei rischi: stato del rischio (aperto, chiuso).
- Categoria di rischio: etichetta come conformità alle normative, sicurezza, costi, operazioni, intelligenza artificiale o gestione delle risorse.
- Descrizione del rischio: breve descrizione del rischio.
- Probabilità di rischio: probabilità del rischio che si verifica all'anno. Usare un'etichetta percentuale o qualitativa.
- Impatto sul rischio: impatto sull'organizzazione se si verifica il rischio. Usare un importo monetario o un'etichetta qualitativa.
- Priorità del rischio: gravità del rischio (probabilità x impatto). Usa un importo in dollari o un'etichetta qualitativa.
- Livello di rischio: tipo di rischio. Usare la minaccia principale (livello 1), il subrisk (livello 2) o il driver di rischio (livello 3).
- Strategia di gestione dei rischi: approccio per gestire il rischio, ad esempio attenuare, accettare o evitare.
- Applicazione della gestione dei rischi: le tecniche per applicare la strategia di gestione dei rischi.
- Proprietario del rischio: l'individuo che gestisce il rischio.
- Data di chiusura del rischio: data in cui deve essere applicata la strategia di gestione dei rischi.
Per altre informazioni, vedere Esempio di elenco dei rischi.
Comunicare i rischi per il cloud
Comunicare chiaramente i rischi del cloud identificati allo sponsor esecutivo e alla gestione a livello esecutivo. L'obiettivo è garantire che l'organizzazione definisa le priorità dei rischi cloud. Fornire aggiornamenti regolari sulla gestione dei rischi cloud e comunicare quando sono necessarie risorse aggiuntive per gestire i rischi. Promuovere una cultura in cui la gestione dei rischi cloud e la governance fanno parte delle operazioni quotidiane.
Esaminare i rischi del cloud
Esaminare l'elenco dei rischi cloud corrente per assicurarsi che sia valido e accurato. Le revisioni devono essere regolari e anche in risposta a eventi specifici. Gestire, aggiornare o rimuovere i rischi in base alle esigenze. Per esaminare i rischi del cloud, seguire queste raccomandazioni:
Pianificare valutazioni regolari. Impostare una pianificazione ricorrente per esaminare e valutare i rischi cloud, ad esempio trimestrali, biannually o annualmente. Trovare una frequenza di revisione che soddisfi al meglio la disponibilità del personale, il tasso di modifiche all'ambiente cloud e la tolleranza ai rischi dell'organizzazione.
Eseguire revisioni basate su eventi. Esaminare i rischi in risposta a eventi specifici, ad esempio la prevenzione non riuscita di un rischio. Valutare la possibilità di esaminare i rischi quando si adottano nuove tecnologie, modificare i processi aziendali e individuare nuovi eventi di minacce alla sicurezza. Valutare anche la possibilità di esaminare quando cambia la tecnologia, la conformità alle normative e la tolleranza ai rischi dell'organizzazione.
Esaminare i criteri di governance del cloud. Mantenere, aggiornare o rimuovere i criteri di governance del cloud per affrontare nuovi rischi, rischi esistenti o rischi obsoleti. Esaminare l'istruzione dei criteri di governance del cloud e la strategia di imposizione della governance del cloud in base alle esigenze. Quando si rimuove un rischio, valutare se i criteri di governance del cloud associati sono ancora rilevanti. Rivolgersi agli stakeholder per rimuovere i criteri di governance del cloud o aggiornare i criteri per associarli a un nuovo rischio.
Elenco di rischi di esempio
La tabella seguente è un elenco di rischi di esempio, noto anche come registro dei rischi. Adattare l'esempio in base alle esigenze specifiche e al contesto dell'ambiente cloud di Azure dell'organizzazione.
ID rischio | Stato di gestione dei rischi | Categoria di rischio | Descrizione del rischio | Probabilità di rischio | Impatto sul rischio | Priorità del rischio | Livello di rischio | Strategia di gestione dei rischi | Applicazione della gestione dei rischi | Proprietario del rischio | Data di chiusura del rischio |
---|---|---|---|---|---|---|---|---|---|---|---|
R01 | Si apra | Conformità alle normative | Non conformità ai requisiti dei dati sensibili | 20% O medio | $ 100.000 O alto | $ 20.000 O alto | Livello 2 | Mitigare | Usare Microsoft Purview per il monitoraggio dei dati sensibili. Report di conformità in Microsoft Purview. |
Responsabile della conformità | 2024-04-01 |
R02 | Si apra | Sicurezza | Accesso non autorizzato ai servizi cloud | 30% O alto | $ 200.000 O alto | $ 60.000 O Molto alto | Livello 1 | Mitigare | Autenticazione a più fattori (MFA) di Microsoft Entra ID. Verifiche di accesso mensili di Microsoft Entra ID Governance. |
Responsabile della sicurezza | 2024-03-15 |
R03 | Si apra | Sicurezza | Gestione del codice non sicura | 20% O medio | $ 150.000 O alto | $ 30.000 O alto | Livello 2 | Mitigare | Usare il repository di codice definito. Usare il modello di quarantena per le librerie pubbliche. |
Responsabile sviluppatore | 2024-03-30 |
R04 | Si apra | Costo | Overspending on cloud services due to overprovisioning and lack of monitoring | 40% O alto | $ 50.000 O Medio | $ 20.000 O alto | Livello 2 | Mitigare | Impostare budget e avvisi per i carichi di lavoro. Esaminare e applicare consigli sui costi di Advisor. |
Lead di costo | 2024-03-01 |
R05 | Si apra | Operazioni | Interruzione del servizio a causa di un'interruzione dell'area di Azure | 25% O medio | $ 150.000 O alto | $ 37.500 O alto | Livello 1 | Mitigare | I carichi di lavoro cruciali hanno un'architettura attiva-attiva. Altri carichi di lavoro hanno un'architettura attiva-passiva. |
Lead operazioni | 2024-03-20 |
R06 | Si apra | Dati | Perdita di dati sensibili a causa della crittografia non corretta e della gestione del ciclo di vita dei dati | 35% O alto | $ 250.000 O alto | $ 87.500 O molto alto | Livello 1 | Mitigare | Applicare la crittografia in transito e inattivi. Stabilire i criteri relativi al ciclo di vita dei dati usando gli strumenti di Azure. |
Lead dati | 2024-04-10 |
R07 | Si apra | Gestione delle risorse | Configurazione errata delle risorse cloud che comportano l'accesso non autorizzato e l'esposizione dei dati | 30% O alto | $ 100.000 O alto | $ 30.000 O molto alto | Livello 2 | Mitigare | Usare l'infrastruttura come codice (IaC). Applicare i requisiti di assegnazione di tag usando Criteri di Azure. |
Lead risorsa | 2024-03-25 |
R08 | Si apra | AI | Modello di intelligenza artificiale che produce decisioni distorte a causa di dati di training non rappresentativi | 15% O Bassa | $ 200.000 O alto | $ 30.000 O moderatamente alto | Livello 3 | Mitigare | Usare tecniche di mitigazione del filtro del contenuto. Modelli di intelligenza artificiale red team mensili. |
Lead di intelligenza artificiale | 2024-05-01 |