Delen via


Cloudrisico's beoordelen

In dit artikel wordt beschreven hoe u risico's evalueert die zijn gekoppeld aan de cloud. Alle technologieën introduceren bepaalde risico's voor een organisatie. Risico's zijn ongewenste resultaten die van invloed kunnen zijn op uw bedrijf, zoals niet-naleving van industriestandaarden. Wanneer u de cloud gaat gebruiken, moet u de risico's identificeren die de cloud voor uw organisatie vormt. Het cloudgovernanceteam maakt beleidsregels voor cloudgovernance om deze risico's te voorkomen en te beperken. Voltooi deze taken om cloudrisico's te beoordelen.

Diagram met het proces voor het instellen en onderhouden van cloudgovernance. In het diagram ziet u vijf opeenvolgende stappen: een cloudgovernanceteam bouwen, cloudgovernancebeleid documenteer, beleid voor cloudgovernance afdwingen en cloudgovernance bewaken. De eerste stap die u eenmaal uitvoert. De laatste vier stappen die u eenmaal uitvoert om cloudgovernance in te stellen en continu cloudgovernance te onderhouden.

Cloudrisico's identificeren

Catalogiseer een uitgebreide lijst met cloudrisico's. Als u uw risico's kent, kunt u beleidsregels voor cloudgovernance maken die deze risico's kunnen voorkomen en beperken. Volg deze aanbevelingen om cloudrisico's te identificeren:

  • Alle cloudassets weergeven. Vermeld al uw cloudassets, zodat u de risico's die eraan zijn gekoppeld uitgebreid kunt identificeren. U kunt bijvoorbeeld Azure Portal, Azure Resource Graph, PowerShell en Azure CLI gebruiken om alle resources in een abonnement weer te geven.

  • Ontdek cloudrisico's. Ontwikkel een stabiele risicocatalogus om cloudgovernancebeleid te begeleiden. Als u frequente aanpassingen wilt voorkomen, richt u zich op algemene cloudrisico's, niet op risico's die uniek zijn voor een specifieke workload. Begin met risico's met hoge prioriteit en ontwikkel een uitgebreidere lijst in de loop van de tijd. Veelvoorkomende risicocategorieën zijn naleving van regelgeving, beveiliging, bewerkingen, kosten, gegevens, resources en AI. Neem risico's op die uniek zijn voor uw organisatie, zoals niet-Microsoft-software, partner- of leveranciersondersteuning en interne cloudcompetenties.

  • Betrek belangrijke belanghebbenden. Verzamel input van diverse organisatierollen (IT, beveiliging, juridische, financiën en bedrijfseenheden) om rekening te houden met alle mogelijke risico's. Deze samenwerkingsbenadering zorgt voor een holistische weergave van risico's met betrekking tot de cloud.

  • Controleer de risico's. Neem contact op met externe experts die beschikken over een grondige kennis van de identificatie van cloudrisico's om uw risicolijst te controleren en te valideren. Deze experts kunnen Microsoft-accountteams of gespecialiseerde Microsoft-partners zijn. Hun expertise helpt bij het bevestigen van de identificatie van alle potentiële risico's en verbetert de nauwkeurigheid van uw risicoanalyse.

Azure-facilitering: cloudrisico's identificeren

De volgende richtlijnen zijn bedoeld om u te helpen bij het identificeren van cloudrisico's in Azure. Het biedt een voorbeeldstartpunt voor belangrijke categorieën cloudgovernance. Azure kan helpen bij het automatiseren van een deel van het proces voor het vinden van risico's. Gebruik Azure-hulpprogramma's zoals Azure Advisor, Microsoft Defender voor Cloud, Azure Policy, Azure Service Health en Microsoft Purview.

  • Identificeer risico's voor naleving van regelgeving. Identificeer risico's van niet-naleving van juridische en regelgevingskaders die van invloed zijn op cloudgegevens en -bewerkingen. De wettelijke vereisten van uw branche kennen. Gebruik de Documentatie voor Azure-naleving om te beginnen.

  • Beveiligingsrisico's identificeren. Identificeer bedreigingen en beveiligingsproblemen die de vertrouwelijkheid, integriteit en beschikbaarheid van de cloudomgeving in gevaar brengen. Gebruik Azure om uw cloudbeveiligingspostuur te beoordelen en identiteitsrisico's te detecteren.

  • Kostenrisico's identificeren. Identificeer risico's met betrekking tot de kosten van cloudresources. Kostengerelateerde risico's omvatten overprovisioning, underprovisioning, underutilization en onverwachte kosten van kosten voor gegevensoverdracht of het schalen van services. Gebruik een kostenevaluatie om kostenrisico's te identificeren. Gebruik Azure om kosten te schatten met de Azure-prijscalculator. Kosten voor huidige resources analyseren en voorspellen . Identificeer onverwachte wijzigingen in cloudkosten.

  • Risico's voor bewerkingen identificeren. Identificeer risico's die de continuïteit van cloudbewerkingen bedreigen, zoals downtime en gegevensverlies. Gebruik Azure-hulpprogramma's om risico's voor betrouwbaarheid en prestaties te identificeren.

  • Gegevensrisico's identificeren. Identificeer risico's met betrekking tot gegevensbeheer in de cloud. Overweeg onjuiste verwerking van gegevens en fouten in het beheer van de levenscyclus van gegevens. Gebruik Azure-hulpprogramma's om gegevensrisico's te identificeren en risico's voor gevoelige gegevens te verkennen.

  • Risico's voor resourcebeheer identificeren. Identificeer risico's die voortvloeien uit het inrichten, implementeren, configureren en beheren van cloudresources. Risico's identificeren voor operationele uitmuntendheid.

  • AI-risico's identificeren. Regelmatig rode teamtaalmodellen. Ai-systemen handmatig testen en handmatige tests aanvullen met geautomatiseerde hulpprogramma's voor risicoidentificatie voor AI. Zoek naar veelvoorkomende menselijke AI-interactiefouten. Overweeg risico's met betrekking tot gebruik, toegang en uitvoer van AI-systemen. Bekijk de tenets van verantwoorde AI en het verantwoorde AI-volwassenheidsmodel.

Cloudrisico's analyseren

Wijs een kwalitatieve of kwantitatieve rangschikking toe aan elk risico, zodat u ze op ernst kunt prioriteren. Risico prioritering combineert risicokans en risico-impact. Geef de voorkeur aan kwantitatieve risicoanalyse ten opzichte van kwalitatief voor nauwkeurigere risico prioritering. Volg deze strategieën om cloudrisico's te analyseren:

Risicokans evalueren

Schat de kwantitatieve of kwalitatieve waarschijnlijkheid van elk risico dat per jaar optreedt. Gebruik een percentagebereik (0%-100%) om de jaarlijkse, kwantitatieve risicokans te vertegenwoordigen. Laag, gemiddeld en hoog zijn algemene labels voor kwalitatieve risicokans. Volg deze aanbevelingen om de kans op risico's te evalueren:

  • Gebruik openbare benchmarks. Gebruik gegevens uit rapporten, studies of sla's (Service Level Agreements) die veelvoorkomende risico's en de frequentie van het optreden documenteren.

  • Historische gegevens analyseren. Bekijk interne incidentrapporten, auditlogboeken en andere records om te bepalen hoe vaak vergelijkbare risico's zich in het verleden hebben voorgedaan.

  • Test de effectiviteit van de controle. Om risico's te minimaliseren, beoordeelt u de effectiviteit van de huidige risicobeperkingsmaatregelen. Overweeg controleresultaten te controleren, resultaten te controleren en metrische prestatiegegevens te controleren.

Risico-impact bepalen

Schat de kwantitatieve of kwalitatieve impact van het risico dat op de organisatie voorkomt. Een financieel bedrag is een gebruikelijke manier om kwantitatieve risico-impact te vertegenwoordigen. Laag, gemiddeld en hoog zijn algemene labels voor kwalitatieve risico-impact. Volg deze aanbevelingen om de impact van risico's te bepalen:

  • Voer financiële analyses uit. Schat het potentiële financiële verlies van een risico door te kijken naar factoren zoals de kosten van downtime, juridische kosten, boetes en de kosten van herstel.

  • Voer een reputatiebeoordeling uit. Gebruik enquêtes, marktonderzoek of historische gegevens over vergelijkbare incidenten om de mogelijke impact op de reputatie van de organisatie te schatten.

  • Voer een operationele onderbrekingsanalyse uit. Beoordeel de mate van operationele onderbreking door downtime, verlies van productiviteit en de kosten van alternatieve regelingen te schatten.

  • Juridische implicaties beoordelen. Maak een schatting van mogelijke juridische kosten, boetes en sancties die verband houden met niet-naleving of schendingen.

Risicoprioriteit berekenen

Wijs een risicoprioriteit toe aan elk risico. Risicoprioriteit is het belang dat u toewijst aan een risico, zodat u weet of u het risico met een hoge, gemiddelde of lage urgentie wilt behandelen. Risico-impact is belangrijker dan kans op risico's, omdat een risico met een hoog effect blijvende gevolgen kan hebben. Het governanceteam moet een consistente methodologie binnen de organisatie gebruiken om prioriteit te geven aan risico's. Volg deze aanbevelingen om de risicoprioriteit te berekenen:

  • Gebruik een risicomatrix voor kwalitatieve evaluaties. Maak een matrix om een kwalitatieve risicoprioriteit toe te wijzen aan elk risico. De ene as van de matrix vertegenwoordigt risicokans (hoog, gemiddeld, laag) en de andere as vertegenwoordigt risico-impact (hoog, gemiddeld, laag). De volgende tabel bevat een voorbeeldrisicomatrix:

    Lage impact Gemiddelde impact hoge impact
    Lage waarschijnlijkheid Zeer laag Gemiddeld laag Gemiddeld hoog
    Gemiddelde waarschijnlijkheid Beperkt Gemiddeld Hoog
    Hoge waarschijnlijkheid Gemiddeld Hoog Zeer hoog
  • Formules gebruiken voor kwantitatieve evaluaties. Gebruik de volgende berekening als basislijn: risicoprioriteit = risicokans x risicoimpact. Pas zo nodig het gewicht van de variabelen aan om de resultaten van de risicoprioriteit aan te passen. U kunt bijvoorbeeld meer nadruk leggen op de risico-impact met deze formule: risicoprioriteit = risicokans x (risicoimpact x 1,5).

Een risiconiveau toewijzen

Categoriseer elk risico in een van de drie niveaus: belangrijke risico's (niveau 1), subrisks (niveau 2) en risicofactoren (niveau 3). Met risiconiveaus kunt u een geschikte strategie voor risicobeheer plannen en toekomstige uitdagingen anticiperen. Risico's op niveau 1 bedreigen de organisatie of technologie. Risico's op niveau 2 vallen onder het risico op niveau 1. Risico's op niveau 3 zijn trends die kunnen leiden tot een of meer risico's op niveau 1 of niveau 2. Denk bijvoorbeeld aan niet-naleving van wetten voor gegevensbescherming (niveau 1), onjuiste cloudopslagconfiguraties (niveau 2) en toenemende complexiteit van wettelijke vereisten (niveau 3).

Strategie voor risicobeheer bepalen

Identificeer voor elk risico de juiste opties voor risicobehandeling, zoals vermijden, beperken, overdragen of accepteren van het risico. Geef een uitleg van de keuze. Als u bijvoorbeeld besluit een risico te accepteren omdat de kosten voor het beperken ervan te duur zijn, moet u deze redenering documenteren voor toekomstige naslaginformatie.

Risico-eigenaren toewijzen

Wijs een primaire risico-eigenaar aan voor elk risico. De eigenaar van het risico heeft de verantwoordelijkheid om elk risico te beheren. Deze persoon coördineert de strategie voor risicobeheer voor elk betrokken team en is het eerste contactpunt voor risico-escalatie.

Cloudrisico's documenteert

Documenteer elk risico en de details van de risicoanalyse. Maak een lijst met risico's (risicoregister) die alle informatie bevat die u nodig hebt om risico's te identificeren, te categoriseren, te prioriteren en te beheren. Ontwikkel gestandaardiseerde taal voor risicodocumentatie, zodat iedereen de cloudrisico's gemakkelijk kan begrijpen. Overweeg deze elementen op te nemen:

  • Risico-id: een unieke id voor elk risico. De id opeenvolgend verhogen wanneer u nieuwe risico's toevoegt. Als u risico's verwijdert, kunt u hiaten in de reeks achterlaten of de hiaten in de reeks vullen.
  • Status van risicobeheer: de status van het risico (open, gesloten).
  • Risicocategorie: een label zoals naleving van regelgeving, beveiliging, kosten, bewerkingen, AI of resourcebeheer.
  • Beschrijving van risico: Een korte beschrijving van het risico.
  • Risicokans: De kans op het risico dat per jaar optreedt. Gebruik een percentage of kwalitatief label.
  • Risico-impact: de impact op de organisatie als het risico optreedt. Gebruik een bedrag of kwalitatief label.
  • Risicoprioriteit: de ernst van het risico (kans x impact). Gebruik een dollarbedrag of kwalitatief label.
  • Risiconiveau: het type risico. Gebruik belangrijke bedreiging (niveau 1), subrisk (niveau 2) of risicostuurprogramma (niveau 3).
  • Strategie voor risicobeheer: de aanpak voor het beheren van het risico, zoals beperken, accepteren of vermijden.
  • Afdwinging van risicobeheer: de technieken om de strategie voor risicobeheer af te dwingen.
  • Eigenaar van risico: de persoon die het risico beheert.
  • Sluitingsdatum van risico: een datum waarop de strategie voor risicobeheer moet worden toegepast.

Zie het voorbeeld van een lijst met risico's voor meer informatie.

Cloudrisico's communiceren

Breng duidelijk geïdentificeerde cloudrisico's over aan de executive sponsor en het management op leidinggevend niveau. Het doel is ervoor te zorgen dat de organisatie prioriteit geeft aan cloudrisico's. Geef regelmatig updates over cloudrisicobeheer en communiceer wanneer u extra resources nodig hebt om risico's te beheren. Promoot een cultuur waarbij het beheer van cloudrisico's en governance deel uitmaakt van dagelijkse activiteiten.

Cloudrisico's beoordelen

Bekijk de huidige lijst met cloudrisico's om ervoor te zorgen dat deze geldig en nauwkeurig is. Beoordelingen moeten regelmatig zijn en ook in reactie op specifieke gebeurtenissen. Risico's onderhouden, bijwerken of verwijderen indien nodig. Volg deze aanbevelingen om cloudrisico's te bekijken:

  • Plan regelmatige evaluaties. Stel een terugkerend schema in om cloudrisico's, zoals driemaandelijkse, biannually of jaarlijks, te beoordelen en te beoordelen. Zoek een beoordelingsfrequentie die het beste geschikt is voor de beschikbaarheid van medewerkers, de snelheid van wijzigingen in de cloudomgeving en tolerantie voor organisatierisico's.

  • Voer beoordelingen op basis van gebeurtenissen uit. Bekijk risico's als reactie op specifieke gebeurtenissen, zoals de mislukte preventie van een risico. Overweeg risico's te bekijken wanneer u nieuwe technologieën gebruikt, bedrijfsprocessen wijzigt en nieuwe beveiligingsrisico's ontdekt. Overweeg ook te controleren wanneer technologie, naleving van regelgeving en organisatorische risicotolerantie verandert.

  • Controleer het beleid voor cloudgovernance. Houd cloudgovernancebeleidsregels bij of verwijder dit om nieuwe risico's, bestaande risico's of verouderde risico's aan te pakken. Bekijk waar nodig de beleidsverklaring voor cloudgovernance en de strategie voor het afdwingen van cloudgovernance. Wanneer u een risico verwijdert, moet u evalueren of het bijbehorende cloudgovernancebeleid nog steeds relevant is. Neem contact op met belanghebbenden om het cloudgovernancebeleid te verwijderen of het beleid bij te werken om deze te koppelen aan een nieuw risico.

Voorbeeld van risicolijst

De volgende tabel is een voorbeeld van een risicolijst, ook wel een risicoregister genoemd. Pas het voorbeeld aan op de specifieke behoeften en context van de Azure-cloudomgeving van uw organisatie.

Risico-id Status van risicobeheer Risicocategorie Beschrijving van risico Risicokans Impact op risico's Risicoprioriteit Risiconiveau Strategie voor risicobeheer Afdwinging van risicobeheer Eigenaar van risico Sluitingsdatum van risico
R01 Startkoers Naleving van regelgeving Niet-naleving van gevoelige gegevensvereisten 20% OF gemiddeld $ 100.000 OF Hoog $ 20.000 OF Hoog Niveau 2 Verzachten Microsoft Purview gebruiken voor bewaking van gevoelige gegevens.
Nalevingsrapportage in Microsoft Purview.
Nalevingsleider 2024-04-01
R02 Startkoers Beveiliging Onbevoegde toegang tot cloudservices 30% OF hoog $ 200.000 OF Hoog $ 60.000 OF Zeer hoog Niveau 1 Verzachten Meervoudige verificatie (MFA) voor Microsoft Entra ID.
Microsoft Entra ID-governance maandelijkse toegangsbeoordelingen.
Beveiligingsleider 2024-03-15
R03 Startkoers Beveiliging Onveilig codebeheer 20% OF gemiddeld $ 150.000 OF Hoog $ 30.000 OF Hoog Niveau 2 Verzachten Gebruik gedefinieerde codeopslagplaats.
Gebruik quarantainepatroon voor openbare bibliotheken.
Lead voor ontwikkelaars 2024-03-30
R04 Startkoers Kosten Overbesteding van cloudservices vanwege overprovisioning en gebrek aan bewaking 40% OF hoog $ 50.000 OF gemiddeld $ 20.000 OF Hoog Niveau 2 Verzachten Budgetten en waarschuwingen instellen voor workloads.
Aanbevelingen voor advisor-kosten bekijken en toepassen.
Kosten lead 2024-03-01
R05 Startkoers Operations Serviceonderbreking vanwege een storing in de Azure-regio 25% OF gemiddeld $ 150.000 OF Hoog $ 37.500 OF hoog Niveau 1 Verzachten Bedrijfskritieke workloads hebben een actief-actief architectuur.
Andere workloads hebben een actief-passieve architectuur.
Potentiële klant voor bewerkingen 2024-03-20
R06 Startkoers Gegevens Verlies van gevoelige gegevens vanwege onjuist versleutelings- en levenscyclusbeheer van gegevens 35% OF hoog $ 250.000 OF Hoog $ 87.500 OF Zeer hoog Niveau 1 Verzachten Versleuteling in transit en at rest toepassen.
Stel beleidsregels voor de levenscyclus van gegevens vast met behulp van Azure-hulpprogramma's.
Gegevensleider 2024-04-10
R07 Startkoers Resourcebeheer Onjuiste configuratie van cloudresources die leiden tot onbevoegde toegang en blootstelling van gegevens 30% OF hoog $ 100.000 OF Hoog $ 30.000 OF Zeer hoog Niveau 2 Verzachten Infrastructuur gebruiken als code (IaC).
Vereisten voor taggen afdwingen met behulp van Azure Policy.
Resourceleider 2024-03-25
R08 Startkoers AI AI-model dat bevooroordeeerde beslissingen produceert vanwege niet-vertegenwoordigde trainingsgegevens 15% OF Laag $ 200.000 OF Hoog $ 30.000 OF gemiddeld hoog Niveau 3 Verzachten Gebruik beperkingstechnieken voor inhoudsfilters.
Ai-modellen van het rode team maandelijks.
AI-lead 2024-05-01

Volgende stap