Como criar um knowledge base através de um modelo

Este tópico explica como criar um knowledge base a partir do zero através da importação de uma planilha modelo. A Módulo fornece uma planilha Excel especialmente elaborada, que permite a criação off-line de knowledge bases. O conteúdo cadastrado nessa planilha pode ser importado para o sistema, dando origem a um novo knowledge base.

Além de criar um knowledge base a partir do zero através de uma planilha, você também pode exportar um knowledge base já existente para uma planilha, editá-lo e importá-lo de volta para o sistema. O documento importado pode ser publicado para então ser utilizado em projetos de riscos. Esse processo de edição off-line permite fazer alterações em um knowledge base existente sem que seja necessário conectar-se ao sistema. Para obter mais detalhes sobre como exportar um knowledge base existente para editá-lo, veja o Capítulo 8: Conhecimento -> Conhecimento de riscos -> Knowledge bases -> Exportação de knowledge bases.

1. Acesse o módulo de Conhecimento.

2. Na seção Conhecimento de Riscos, selecione a opção Knowledge Bases.

3. Na seção Knowledge Bases, clique em Planilha e escolha a opção Exportar Modelo na lista suspensa exibida (veja abaixo).

O sistema solicita a confirmação da operação (veja abaixo).

4. Clique em Exportar Modelo para confirmar. Se desejar sair da operação, clique em Cancelar.

5. Abra a planilha modelo no Microsoft Excel (veja abaixo).

$Description: C:\MODULO\Documentação\Manuais\manual PT\figuras\Capítulo 6\330.png$

Nota 1: o arquivo modelo contém quatro planilhas:

• Instructions: contém instruções para o preenchimento correto das planilhas. Esta planilha é informativa, isto é, não possui campos para preenchimento.

• Knowledge Base: onde devem ser cadastradas as informações gerais sobre o knowledge base que está sendo criado.

• Controls: onde devem ser cadastrados os controles do knowledge base e seus atributos.

• Workbook Control: contém informações que serão utilizadas na validação da planilha, ou seja, na verificação de erros de preenchimento que possam impedir a importação correta dos dados para a criação do knowledge base. Caso sejam reportados problemas, estes devem ser corrigidos antes que o conteúdo da planilha seja importado.

Nota 2: os campos da planilha são sensíveis a letras maiúsculas de minúsculas.

6. Preencha a planilha Knowledge Base, cadastrando as propriedades do knowledge base que deseja criar (veja abaixo).

$Description: C:\MODULO\Documentação\Manuais\manual PT\figuras\Capítulo 6\331.png$

A tabela abaixo explica como preencher cada campo da planilha Knowledge Base do arquivo de importação. Observe que alguns campos são de preenchimento obrigatório, ao passo que outros são opcionais.

Campo	Instruções
*Nome do Knowledge Base	O nome do knowledge base deve ser composto pelas categorias a que ele pertence, de acordo com a seguinte estrutura: Nome do knowledge base = categoria de nível 1 + categoria de nível 2 + … + categoria de nível "X". Por exemplo: Sistema Operacional - "Unix" - Linux Slackware 9.
*Nome Resumido	Nome do knowledge base como será referenciado nas várias funções do sistema.
*Descrição	Breve descrição que fornece os objetivos e características do knowledge base.
*Tipo	Um knowledge base deve ser classificado de acordo com uma das seguintes opções: pessoa, processo, tecnologia e ambiente.
*Responsável	Login da pessoa ou nome do grupo responsável pela importação do knowledge base e por outras atividades relacionadas a ele no sistema. Os nomes dos grupos devem ser precedidos por um asterisco e um espaço (por exemplo, * finanças). Esse papel é responsável por manter atualizadas as informações sobre os knowledge bases e seus controles e, por padrão, recebe permissão para visualizar e editar os knowledge bases para os quais foi alocado. Vale ressaltar que a pessoa ou o grupo deve estar incluído na lista de restrição para este papel, na seção Restrições por Papel, no módulo Administração, e também no perfil Usuários do Módulo de Conhecimento, para que tenham acesso ao módulo.
Data de Criação	Data em que o knowledge base foi criado, no formato <MM/DD/AAAA>.
Nome CPE	Usado apenas para knowledge bases tecnológicos. Consiste em um padrão estruturado para nomes de sistemas de TI. Para mais detalhes sobre nomes CPE, veja o Capítulo 8: Conhecimento -> Conhecimento de riscos -> CPEs.
Nome CCE	Usado apenas para knowledge bases tecnológicos, Consiste em um padrão estruturado que define identificadores únicos para configurações de sistemas de TI. Para mais detalhes sobre o CCE, veja o Capítulo 8: Conhecimento -> Conhecimento de riscos -> CCEs.
ID do Knowledge Base	Este campo é utilizado para identificar os knowledge bases no sistema. Ele não deve ser preenchido.
Versão do Modelo	Indica a versão da planilha modelo que está sendo usada.

7. Clique na planilha Controls para cadastrar os controles do novo knowledge base (veja abaixo).

$Description: C:\Users\lrosa\Desktop\Capítulo 6\95.png$

A tabela abaixo explica como preencher cada campo da planilha Controls:

Campo	Instruções
ID do Controle	Este campo é utilizado para identificar os controles de um knowledge base. Ele não deve ser preenchido.
*Nome	Este campo deve ser preenchido com uma breve definição da melhor prática ou regra que deve ser analisada no componente de ativo. Para manter um padrão otimizado de conhecimento, os nomes dos controles devem ter, no máximo, duas ou três linhas e devem utilizar a expressão "deve(m) + verbo". Exemplo: O circuito fechado de TV (CFTV) da sala da central PABX deve ser conectado a um sensor de movimento.
*Justificativa	Este campo deve ser preenchido com uma descrição dos benefícios que a implementação do controle pode proporcionar ou dos prejuízos que podem ocorrer devido a sua não implementação.
*Recomendação	Este campo deve conter uma descrição dos procedimentos para implementação do controle. Deve-se padronizar essa descrição adotando as seguintes regras: Utilize a seguinte frase de abertura "Este controle pode ser implementado por meio do seguinte procedimento:". Descreva os passos para a implementação, numerando-os em sequência. Acrescente notas, se necessário. Alternativamente, pontos importantes para implementar o controle podem ser informados quando este se referir a um conteúdo (norma, procedimento, etc.). No caso de controles com propósitos gerais (ou seja, não exclusivos), o seguinte aviso deve ser adicionado ao final deste campo: "Atenção! Controle elaborado para ambientes genéricos. Avaliar aplicabilidade e possíveis impactos antes da implementação em ambiente de produção". Exemplo: Este controle pode ser implementado através do seguinte procedimento: Interligar o sistema de circuito fechado de TV a um sistema de sensor de movimento. Atenção! Controle elaborado para ambientes genéricos. Avaliar aplicabilidade e possíveis impactos antes da implementação em ambientes de produção.
*Probabilidade	Neste campo, selecione o nível estimado do fator de exposição ou a probabilidade de que a falta do controle seja explorada pelas ameaças relacionadas a ele. A probabilidade é pontuada da seguinte forma: Muito Baixa: é muito improvável Baixa: é improvável Média: é provável Alta: é muito provável Muito Alta: é quase certa Nota: Os seguintes critérios devem ser usados ao selecionar o nível de probabilidade: A probabilidade deve ser proporcional à abrangência do controle. No caso de dúvida, utilize sempre o valor mais baixo. Evite utilizar os extremos "Muito Alto" e "Muito Baixo" indiscriminadamente. Mantenha a coerência entre pontuações para os controles.
*Severidade	Neste campo, selecione o grau de severidade estimado caso a ausência do controle seja explorada por alguma das ameaças relacionadas a ele. A severidade é pontuada da seguinte forma: Muito Baixa: quase não afetará o ativo Baixa: afetará pouco o ativo Média: afetará gravemente o ativo Alta: afetará muito gravemente o ativo Muito Alta: afetará extremamente o ativo Os mesmos critérios utilizados para se escolher a probabilidade devem ser utilizados na escolha da severidade.
*Ameaças	Este campo deve conter as ameaças às quais o ativo relacionado ao controle ficará exposto caso o controle não esteja implementado. As ameaças devem ser separadas por ponto e vírgula ";". Convém associar apenas ameaças diretamente relacionadas à falta do controle, evitando-se ameaças indiretas. Para saber sobre ameaças, veja o Capítulo 8: Conhecimento -> Conhecimento de riscos -> Ameaças e Fontes de ameaça.
*Agrupamento	Neste campo, selecione o agrupamento no qual o controle será associado, o que permite que os controles sejam encontrados e analisados de acordo com um assunto em comum. Para saber mais sobre agrupamentos, veja o Capítulo 8: Conhecimento -> Conhecimento de riscos -> Agrupamentos e tipos de agrupamento.
CCE-ID	Este campo deve ser preenchido com a identificação do nome CCE relacionada ao controle. Este campo é utilizado apenas em knowledge bases tecnológicos.
Referências	Neste campo, deve ser especificado onde podem ser obtidas informações adicionais sobre o controle e a sua implementação. Essas informações podem ser, por exemplo, o nome do documento ou o link onde o documento está disponibilizado.
Fonte	Neste campo, devem ser especificadas as fontes de informação utilizadas na elaboração do controle. Essas informações podem ser, por exemplo, o nome do documento ou o link onde o documento está disponibilizado.
OVAL-ID	Insira o identificador OVAL correspondente para o controle em questão. Por exemplo: oval:com.modulo.SQL2005:def:77982. Este campo só é utilizado em knowledge bases tecnológicos.
Excluir?	Este campo só deve ser preenchido na edição de um knowledge base. Os controles existentes podem ser marcados para exclusão e excluídos do sistema quando a planilha for importada.

8. Concluída a edição da planilha, seus dados podem ser importados, dando origem a um knowledge base no sistema. Para que ele possa ser utilizado em projetos de riscos, é necessária à sua publicação.

Nota: para saber mais sobre como importar os dados da planilha modelo, veja o Capítulo 8: Conhecimento -> Conhecimento de riscos -> Knowledge bases -> Importação de knowledge bases e para informações sobre como publicar um knowledge base, veja o Capítulo 8: Conhecimento -> Conhecimento de riscos -> Knowledge bases -> Envio de notificações e publicação de knowledge bases.