Identificación y comprensión de riesgos - AWS Well-Architected Tool
Generación de informesAdministración de riesgosMagnitud del riesgo

Identificación y comprensión de riesgos

Consulte los riesgos identificados como oportunidades de mejora.

Hay dos categorías de riesgos en el contexto de una WAFR: problemas de alto riesgo (HRI) y de riesgo medio (MRI).

  • Problemas de alto riesgo (HRI): son opciones arquitectónicas y operativas que pueden tener un impacto negativo significativo en una empresa. Una práctica recomendada de alto riesgo se considera una práctica fundamental e imprescindible dentro de un pilar. Pueden afectar a las operaciones, los activos y las personas de la organización. Un ejemplo de un HRI desde el pilar de la seguridad es no proteger su Cuenta de AWS.

  • Problemas de riesgo medio (MRI): opciones que también pueden afectar negativamente a la empresa, pero en menor medida que los problemas de alto riesgo. Una práctica recomendada de riesgo medio representa una práctica propicia que puede mejorar sustancialmente una carga de trabajo. Un ejemplo de MRI en el pilar de la seguridad es no auditar ni rotar las credenciales periódicamente.

Generación de informes

El primer paso para identificar visualmente los HRI y los MRI es generar un informe que muestre los riesgos de cada carga de trabajo que haya revisado.

El panel de AWS Well-Architected Tool (Herramienta de AWS WA) proporciona acceso a las cargas de trabajo y a los HRI y MRI asociados. También puede incluir las cargas de trabajo que se han compartido con usted. Con el panel, puede filtrar los problemas por carga de trabajo, pilar o por gravedad (alta o media).

En la página del panel, puede ver la lista de HRI y MRI filtrados por pilar o gravedad. Una vez que se selecciona un elemento de mejora, se accede directamente a las prácticas recomendadas asociadas a él desde el Marco de Well-Architected. A partir de ahí, podrá obtener información sobre las medidas recomendadas que debe tomar para solucionar el problema, junto con los recursos necesarios.

Puede combinar todos estos resultados en un informe eligiendo Generar informe en el panel de la Herramienta de WA.

Recomendamos enviar un correo electrónico con un resumen a los asistentes a WAFR junto con el informe y resumir los resultados principales y el plan de mejora sugerido para prepararlos para el siguiente paso.

Administración de riesgos

Para administrar un riesgo de forma eficaz, es fundamental definir el riesgo y su nivel aceptable. Con el análisis de riesgos, explore cuáles son los posibles problemas y cómo saber si lo son.

Existen dos métodos principales para realizar una evaluación de riesgos:

  • Cuantitativo: utiliza datos objetivos ponderados para evaluar el impacto de un riesgo en términos de sobrecostos, consumo de recursos y retrasos en los plazos.

  • Cualitativo: utiliza datos subjetivos que no están vinculados a los valores reales del costo o los beneficios para medir la probabilidad y el impacto general.

En algunos casos, es posible que acabe utilizando un enfoque híbrido que combine lo mejor de ambos enfoques para evaluar el impacto de un riesgo.

Al evaluar el nivel de riesgo en función de las definiciones de HRI y MRI, considere la posibilidad de hacerse las siguientes preguntas:

  • ¿Cuál es la probabilidad de que el riesgo se traduzca en un impacto?

  • ¿Cuál sería el impacto en el cliente?

  • ¿Cuál sería el impacto en el negocio como resultado?

  • ¿Se puede eliminar el riesgo por completo o solo mitigarlo?

  • ¿A quién pertenece el riesgo?

  • ¿Quién es el propietario del trabajo de mejora para eliminar o mitigar?

  • ¿Cuál es la probabilidad de que este resultado se vuelva a producir? ¿Es probable que cause el mismo impacto?

  • ¿Puede identificar una relación entre la probabilidad de un resultado y un patrón de recurrencia?

Hacer que las partes interesadas clave o los propietarios de empresas respondan a estas preguntas lo ayudará a crear una lista de los riesgos más importantes en los que centrarse, junto con el tiempo previsto para abordarlos.

Magnitud del riesgo

Puede utilizar la siguiente tabla como ayuda para determinar la magnitud del riesgo:

Probabilidad x impacto Insignificante (1) Menor (2) Moderado (3) Mayor (4) Crítico (5)
Casi seguro (5) 5 10 15 20 25
Probable (4) 4 8 12 26 20
Posible (3) 3 6 9 12 15
Improbable (2) 2 4 6 8 10
Poco frecuente (1) 1 2 3 4 5

Trabaje en grupo sobre los HRI y MRI y los riesgos que conllevan para las empresas. Cree una lista de los HRI que se deben abordar. Clasifique los riesgos en función de la importancia empresarial para establecer la prioridad.