Gerenciamento de risco
O gerenciamento de riscos em nossos datacenters é um processo contínuo, com avaliações formais ocorrendo durante todo o ciclo de vida de uma instalação. Para identificar e atenuar o impacto de ameaças físicas e ambientais aos datacenters da Microsoft, uma TRV (Avaliação de Risco, Vulnerabilidade e Ameaça) é realizada anualmente para todos os datacenters que hospedam dados do cliente. Além de seguir o Microsoft Enterprise Risk Management's Framework, a Microsoft aproveita os requisitos definidos nas Diretrizes de Gerenciamento de Risco De Tecnologia inicialmente publicadas em junho de 2013 pela Autoridade Monetária de Singapura. AS TVRAs refletem o melhor julgamento profissional da Microsoft com base nos métodos de avaliação de risco aceitos e nas informações disponíveis atualmente para a empresa.
A Microsoft facilita o processo de TRV seguindo estas etapas:
Identificação de risco: TVRAs considera uma ampla variedade de cenários de ameaças decorrentes de riscos naturais e criados por humanos (incluindo acidentais). Os resultados variam de acordo com a localização do datacenter, o design, o escopo dos serviços e outros fatores. A TVRA seleciona os cenários de ameaça a destacar no documento TVRA com base nos requisitos do cliente, um país/região independente, cidade e avaliação ao nível do site do ambiente de risco fornecido por terceiros e informações de risco de terceiros. Para regiões que têm vários datacenters, as classificações de TVRA são agregadas para garantir uma visão holística das ameaças físicas e ambientais, vulnerabilidades e riscos para os locais que estão sendo avaliados.
Os tipos de cenários de ameaças avaliados em TVRAs do datacenter incluem:
- Ameaças externas – incidentes resultantes de atividades humanas intencionais ou acidentais externas. Por exemplo, desordem civil, terrorismo, atividade criminosa, roubo externo, dispositivos explosivos improvisados, ataques armados, incêndios, entrada não autorizada e colisões de aeronaves.
- Ameaças internas – incidentes resultantes de atividades humanas intencionais ou acidentais internas. Por exemplo, roubo interno e antirroubo.
- Riscos naturais – um processo natural ou fenômeno que pode afetar negativamente os datacenters. Por exemplo, tempestades lunares, inundações, inundações, inundações, acidentes, terremotos, terremotos, atividade de terremotos e tempestades graves com raios, picos, fortes ou chuva intensa.
- Ameaças ambientais – condições ambientais que podem afetar negativamente os datacenters. Por exemplo, estresse por água, estresse por calor e pandemias.
Análise de Risco: As ameaças são avaliadas com base em uma avaliação do risco inerente; o risco inerente é calculado em função do impacto inerente de uma ameaça e da probabilidade inerente da ocorrência da ameaça na ausência de ações e controles de gerenciamento. Essas avaliações são informadas pelos comentários internos do SME (especialista no assunto) e pelo uso de índices de risco externo.
Risco residual: risco residual é determinado como uma medida dos níveis de risco restantes após a consideração da eficácia do controle. A eficácia do controle é avaliada como uma medida das ações e controles de gerenciamento atuais projetados para evitar ou detectar ameaças enquanto avalia a probabilidade de que os controles tenham o efeito desejado conforme projetado e implementado. Essas avaliações são informadas por uma agregação de comentários de especialistas internos sobre a eficácia do controle para os locais do datacenter abordados na TVRA.
Relatório: após a conclusão da avaliação, um relatório T URL é gerado para aprovação de gerenciamento e para dar suporte aos nossos esforços gerais relacionados ao gerenciamento de riscos.
A Microsoft está empenhada em atualizar continuamente as suas avaliações e metodologias de risco para incorporar melhoramentos e ter em conta as alterações de condições. Como resultado, a nossa análise e conclusões estão sujeitas a alterações.