위험 평가
1) 목표와 원칙
목표: SLO, 수익, 규제 준수 및 평판에 영향을 미치는 위협의 조기 탐지 및 우선 순위 지정.
원칙: 일관성, 측정 성, 반복성, 비즈니스 가치에 대한 구속력, SLO 우선.
결과: 이해할 수있는 소유자, 측정 및 마감일이있는 투명한 위험 포트폴리오.
2) 용어
위험: 부작용의 확률 × 충격.
위험 식욕: 조직이 수용 할 수있는 잔여 위험 수준.
취약성/충격/제어: 약점, 트리거 및 기존 측정.
KRI (주요 위험 지표): 주요 지표 (예: p99 대기 시간의 성장, 소비자 지연, 지불 전환 거부).
3) iGaming의 위험 분류
운영: 과부하, 릴리스 오류, 대기열, 데이터베이스/캐시 저하, 데이터 센터/AZ/지역의 사고.
기술/보안: DDoS, 취약점, 누출, 구성 오류, 주요 라이브러리에 대한 의존성.
지불/재무: 승인 감소, 요금 인상, 공급자 불가, FX 불안, 사기.
의존성/생태계: 게임 제공 업체의 실패, CNC/WAF, KYC/AML, SMS/전자 메일 게이트웨이.
규정 준수/규제: 라이센스 요구 사항 위반, KYC/AML, 책임있는 플레이, 데이터 저장.
제품/마케팅: 예측할 수없는 트래픽 피크 (토너먼트, 경기, 프로모션), 보너스 세분화 누락.
평가: 사고 또는 비준수로 인한 미디어/소셜 미디어의 부정적인 영향.
4) 위험 평가 프로세스 (상자)
1. 컨텍스트 구축: 목표, SLO, 규제 요구 사항, 건축 경계, 가치 사슬.
2. 식별: 후보 사건 수집: 사건 회고전, 의존성 감사, 브레인 스토밍 세션, 점검표.
3. 분석: 정 성적 (시나리오, Bow-Tie) 및 정량적 (주파수/분포).
4. 평가: 위험 식욕, 순위, 우선 순위 승인과의 비교.
5. 처리: 예방, 축소, 이전 (보험/계약), 수락 (의식).
6. 모니터링 및 개정: KRI, 컨트롤의 효과 점검, 레지스트리 업데이트, 준비 테스트.
5) 품질 기술
확률/충격 매트릭스: 1-5 스케일 (매우 낮음... 매우 높음). 영향은 SLA/수익/규제/평판과 같은 축을 따라 별도로 고려됩니다.
Bow-Tie Analysis: → 이벤트 → 결과를 유발합니다. 각 당사자마다-예방 및 완화 통제.
FTA (Fault Tree Analysis): 중요한 서비스를위한 논리적 결함 트리 (예금, 요율, 출력).
HAZOP/What-If: 인터페이스 및 절차에 대한 What-If 체계적인 조사.
6) 양적 기술
ALE (연간 손실 기대): ALE = SLE × ARO (연간 피해 예상).
VaR/CVaR: 주어진 신뢰 수준 (현금 격차/지불 제공 업체) 의 위험 자본.
Monte-Carlo: 신뢰 간격이있는 트래픽 피크/제공자 실패/지불 변환 시뮬레이션.
FMEA: 심각도 (S), 주파수 (O), 감지 (D) → RPN = S × O × D, 패치 우선 순위
신뢰성 수학: 헤드 룸, MTTF/MTTR, 연소율 오류 예산, 관절 고장 확률 (AZ + 제공자).
7) 식욕 및 임계 값 위험
SLA 손실, 처벌, 시간/일당 수익 손실에 대한 범주 (높음/중간/낮음) 를 정의하십시오.
에스컬레이션 임계 값 설정: 사고/위험이 레벨 사이에서 이동할 때 var 룸을 수집해야하는 사람.
수정 날짜 및 마감 계획이 포함 된 예외 (임시 위험 감수) 를 작성하십시오.
8) KRI 및 조기 경고
KRI의 예:- 성능: p95/p99 TP, 타임 아웃 성장, 대기열 깊이, 캐시 적중 감소, 복제 지연.
- 지불: 특정 GEO/은행에서의 인증, 소프트 감소 성장, AOV 이상.
- 안전: 임계 엔드 포인트에서 4xx/5xx 급등, WAF 트리거의 증가, 종속성의 새로운 CVE.
- 준수: 스토리지 제한, KYC 지연, 처리없이 자체 제외 비율.
- 각 KRI - 소유자, 메트릭, 임계 값, 소스, 자동 경고.
9) 영향 평가 (다축)
SLA/SLO: 목표물 최소/시간 할인, 파트너에 대한 SLA 보너스에 대한 영향.
재무: 직접 손실 (미결제 거래, 요금 환급), 간접 (이탈, 벌금).
규제: 제재/라이센스/필수 알림의 정지 위험.
평판: NPS/CSAT, 부정적인 언급, 파트너 및 깃발에 미치는 영향
10) 위험 처리 (측정 카탈로그)
예방: 위험한 기능/패턴 거부, 폭발 반경 제한 (테넌트 격리, 속도 제한).
감소: 데이터베이스 샤딩, 캐싱, 풀/쿼터, 다중 지불 제공 업체, 카나리아 릴리스.
이전: 사이버 위험 보험, 계약의 SLA 보상, 에스크로.
수락: KRI 및 종료 계획에 따라 통제 된 잔여 위험에 대한 문서화 된 결정.
11) 역할 및 RACI
책임: Risk/Ops/SRE/Payments/SecOps 도메인 소유자.
책임: Ops/CTO/CRO 책임자.
상담: 제품, 데이터/DS, 법률/준수, 금융.
정보: 지원, 마케팅, 파트너 관리.
12) 유물과 패턴
위험 등록: ID, 설명, 범주, 이유, 확률, 축 영향, 기존 제어, KRI, 처리 계획, 소유자, 용어.
위험 히트맵: 부서/서비스 별 집계 맵입니다.
의존성 맵: 중요한 외부 및 내부 종속성, 백업 수준, 연락처 정보.
런북/플레이 북: KRI/사고, 킬 스위치, 열화에 의해 트리거 될 때 특정 단계.
분기 별 위험 검토: 일련의 변경, 폐쇄/새로운 위험, KRI 추세, 제어 효과.
13) SLO/Incident Management와의 통합
위험은 SLO 대상 (대기 시간, 오류율, 가용성) 및 오류 예산으로 변환됩니다.
KRI → 경고 정책 (빠른/느린 연소율).
사후 부검에서는 위험 평가 업데이트 및 통제 조정을 기록해야합니다.
14) 도구 및 데이터
모니터링/관찰 가능성: 메트릭, 로그, 추적; "위험보기" 패널.
디렉토리 및 CMDB: 서비스, 소유자, 종속 구성 요소.
GRC/작업 추적기: 위험, 상태, 감사 조치 등록 저장.
데이터/ML: 이상 모델, 로드/오류 예측, Monte-Carlo 시뮬레이션.
15) 구현 로드맵 (8-10 주)
네드. 1-2: 컨텍스트와 프레임; 중요한 서비스 및 종속성 목록; 위험 식욕의 결정.
네드. 3-4: 초기 위험 식별 (워크샵, 복고풍), 레지스트리 충전, 초안 히트 맵.
네드. 5-6: SLO에 연결된 KRI 및 경고 설정; 상위 5 개 위험에 대한 Bow-Tie/FTA 출시.
네드. 7-8: 재정적으로 중요한 시나리오에 대한 정량 (ALE/VaR/Monte-Carlo); 처리 계획의 승인
네드. 9-10: 준비 테스트 (게임 일, 장애 조치), 임계 값 수정, 분기 별 리뷰 시작.
16) 평가 된 위험의 예 (iGaming)
1. 프라임 타임에서 PSP-1 승인 실패
확률: 매체; 영향: 높음 (수익, SLA).
KRI: 은행/GEO 승인 전환, 소프트 감소 성장.
측정: 다중 제공 업체, 건강 및 수수료 라우팅, 지터 퇴각, 일시 정지 제한.
2. 챔피언스 리그 경기의 하루 베팅 데이터베이스 과부하
확률: 매체; 영향: 높음 (SLO).
KRI: 복제 지연, p99 요청, 잠금 대기 성장.
측정: 캐시/CQRS, 샤딩, 라인 프리로드, 기능 일부의 읽기 전용 모드.
3. 공개 API에 DDoS
확률: 저 중형; 영향: 높음 (가용성, 평판).
KRI: SYN/TH 스파이크, WAF 트리거.
측정: CNC/WAF, 요율 제한, 토큰, 캡처, 봇 트래픽 격리.
4. KYC 스토리지에 대한 규제 부적합
확률: 낮음; 영향: 매우 높음 (페널티/라이센스).
KRI: 지연 점검> SLA, 보존 초과.
측정: 코드 정책, 자동 TTL, 감사 및 생산 데이터 테스트.
17) 안티 패턴
레지스트리 및 KRI없이 눈으로 평가하십시오.
돈이없는 행렬과 SLO → 잘못된 우선 순위.
희귀 리뷰 (사고 후 업데이트되지 않은 레지스트리).
구현 된 제어/테스트없이 문서화하여 만 "처리" 합니다.
외부 종속성 및 계약 SLA를 무시하십시오.
18) 보고 및 커뮤니케이션
Exec 요약: 상위 10 개 위험, KRI 동향, 잔여 위험 대 식욕, 폐쇄 계획.
기술 보고서: 컨트롤의 효과, 게임 당일 결과, 임계 값 변경.
규칙: 월별 리뷰 + 분기 별 심층 재평가.
합계
위험 평가는 정적 문서가 아니라 생활주기입니다. → 계산 된 위험 식욕 → 선택 및 구현 된 조치 → 데이터 및 연습 → 레지스터를 업데이트했습니다. 이 프레임 워크는 운영 결정을 비즈니스 가치와 연결하고 SLO 및 규제 요구 사항을 준수하면서 사고의 빈도/규모를 줄입니다.