Definizioni di valutazioni dei rischi e di percorsi di mitigazione
Molte organizzazioni usano le valutazioni dei rischi per assicurarsi che il proprio livello di cybersecurity sia eccellente. Se l'organizzazione ne ha già una, è una buona idea dare un'occhiata prima di creare qualcosa di nuovo per Microsoft Power Platform.
Si vuole evitare di creare qualcosa per Power Platform non in linea con il piano di cybersecurity generale. È pertanto consigliabile controllare bene e creare qualcosa di conforme.
In alternativa, le sezioni seguenti evidenziano alcune considerazioni da tenere presenti per definire un processo di valutazione dei rischi che, senza un eccessivo dispendio di risorse, consenta di tracciare, misurare e monitorare i rischi all'interno dell'organizzazione.
Definizione di una base di riferimento tramite standard
Nelle organizzazioni è importante stabilire regole e linee guida chiare. Se si vuole che i creatori seguano le aspettative dell'organizzazione, è necessario specificare ciò che è conforme e cosa no.
Ma questo è il punto: se le persone non sanno che esistono queste regole, non possono seguirle. È quindi una buona idea rendere visibili queste regole. È possibile inserirle in un sito Intranet o in una pagina wiki. È anche possibile trasmetterle automaticamente alle persone quando creano il primo flusso o la prima app. Questo aspetto verrà approfondito meglio in un'altra parte di questo modulo.
Implementazione di controlli di governance per impedire azioni indesiderate
La governance è utile solo se viene applicata. Un'organizzazione deve stabilire regole e vincoli di base per evitare che i dati finiscano dove non dovrebbero.
Definizione di un processo di gestione delle eccezioni
In alcune situazioni, può essere necessario consentire un'azione o un'attività specifica richiesta da un'esigenza aziendale legittima. È tuttavia importante che la decisione a procedere sia documentata con il giusto livello di visibilità dalle persone che hanno l'autorità di prendere quella decisione.
Traccia delle eccezioni
L'accumulo di rischi senza la capacità di misurare l'esposizione complessiva dell'organizzazione è un'attività inutile. Per gestire in modo efficace i rischi e proseguire nel percorso di miglioramento continuo, le organizzazioni devono tenere traccia delle eccezioni, valutarne l'impatto, assegnare la responsabilità dei rischi ed esaminarli regolarmente.
Alcune organizzazioni usano Microsoft Power Platform per agevolare questo processo. Come discusso nel modulo Introduzione alla sicurezza e alla governance di Microsoft Power Platform, lo Starter Kit Center of Excellence include il Centro conformità per sviluppatori. Questo strumento aiuta le organizzazioni a controllare la distribuzione delle nuove applicazioni e incoraggia i creatori a giustificare la necessità delle loro app. È un approccio sistematico per mantenere il controllo e garantire l'esistenza mirata di ciascuna app.
Revisione e segnalazione regolari delle eccezioni
Per favorire le azioni giuste, è fondamentale rendere i rischi chiari e comprensibili. Se le persone non colgono le implicazioni o le conseguenze concrete dei rischi, potrebbero non vedere la necessità di cambiare il loro modo di lavorare.
Una corretta valutazione dei potenziali rischi per l'organizzazione consente ai responsabili di capire qual è il livello di rischio accettabile o se devono apportare modifiche. È paragonabile alla buona visuale che è necessario avere attraverso il parabrezza per guidare in sicurezza.