Entender a identificação de risco e a avaliação de risco
Identificação de risco
O gerenciamento de riscos do Microsoft 365 começa com a identificação de risco. A identificação de risco enfatiza as atividades de descoberta para identificar fontes de riscos conhecidos para todas as principais áreas de controle, ameaças internas e externas e vulnerabilidades no ambiente do Microsoft 365. A equipe de Confiança do Microsoft 365 realiza entrevistas com as equipes de serviço do Microsoft 365 para identificar novos riscos relacionados aos serviços e dependências do Microsoft 365. A experiência dos SMEs (especialistas no assunto da equipe de serviço) fornece insights sobre os riscos que podem ser introduzidos incrementalmente à medida que os serviços aumentam, adicionam novos recursos ou aproveitam novas dependências.
Além das entrevistas do SME, o processo de identificação de risco incorpora dados do monitoramento contínuo, incluindo verificação de vulnerabilidades, simulação de ataque da Equipe Vermelha/Equipe Azul, descobertas de auditoria independentes e atividades de gerenciamento de incidentes. Por exemplo, se as simulações de ataque da Equipe Vermelha indicarem uma vulnerabilidade com uma implementação de controle existente, essas informações serão incluídas no processo de identificação de risco. Revisões de descobertas e tendências de auditoria do ano anterior em descobertas que expõem lacunas em controles são outros exemplos de fontes incluídas na identificação de risco. O processo de identificação também inclui uma revisão dos logs de decisão, exceções de segurança e conformidade ativas, trabalho de mitigação e riscos identificados durante avaliações de risco anteriores.
A Equipe de confiança do Microsoft 365 usa entrevistas SME e dados de monitoramento contínuo para identificar riscos para o ambiente do Microsoft 365. Durante esse processo, Equipe de confiança do Microsoft 365 trabalha com equipes de serviço e proprietários de risco para validar a precisão e a integridade dos riscos identificados. Depois que todos os riscos relevantes forem identificados, a Equipe de confiança do Microsoft 365 continuará para a avaliação de risco.
Avaliação de riscos
A Equipe de confiança do Microsoft 365 avalia cada risco identificado usando a metodologia avaliação ERM de impacto, probabilidade e deficiência de controle. O impacto resolve as ramificações negativas de um risco que está sendo realizado, como perda de confidencialidade de dados, confiança do cliente ou certificações de conformidade. A probabilidade identifica a probabilidade de um risco potencial ser realizado. A probabilidade é calculada examinando a frequência de quaisquer ocorrências passadas juntamente com a probabilidade de ocorrências futuras. Por fim, a deficiência de controlo é calculada ao analisar a eficácia dos controlos de segurança implementados na mitigação do risco identificado. Essas métricas são usadas para calcular uma pontuação de risco residual que representa a gravidade de cada risco após a contabilização de controles atenuados.
Depois que as pontuações de risco forem calculadas, a Equipe de confiança do Microsoft 365 categoriza os riscos por severidade. Essas categorias se alinham com a metodologia de avaliação de risco DOTC e fornecem uma exibição agregada dos riscos de alto nível enfrentados pelo Microsoft 365. Os riscos podem se enquadrar em uma das quatro categorias de severidade:
- Problemas: áreas de exposição de risco muito alto que não têm controles adequados em vigor ou controles que não estão operando conforme o esperado e exigem correção para atenuar o risco existente.
- Alto: áreas de exposição de alto risco que não têm controles adequados em vigor ou controles que não estão operando conforme o esperado e exigem correção para atenuar o risco existente.
- Média: áreas de exposição de risco médio em que há deficiências de controle moderado, controles inadequados em vigor ou controles que não estão operando conforme o esperado.
- Baixa: áreas de exposição de baixo risco em que há pequenas deficiências em políticas ou controles implementados.
Depois que a Equipe de confiança do Microsoft 365 tiver avaliado e categorizado todos os riscos identificados, eles se reunirão com os stakeholders de cada equipe de serviço para garantir que sua avaliação represente com precisão a postura de risco do Microsoft 365. Os resultados da avaliação são revisados pelo gerenciamento do Microsoft 365.