Este tópico explica como editar a pesquisa, o entrevistado, o analista e o revisor de componentes de ativo já adicionados ao escopo de um projeto de riscos. O escopo de um projeto de riscos em ativos pode ser editado apenas enquanto a fase Analisar estiver aberta.
1. Acesse o módulo de Riscos.
2. Na seção Projetos, clique na opção Listar Projetos.
3. Na seção Lista de Projetos, clique em Editar ao lado do projeto cujo escopo você deseja editar.
4. Clique em Escopo.
5. Marque os checkboxes ao lado dos componentes de ativo cujos parâmetros da análise você deseja editar e clique em Editar Selecionados (veja abaixo).
O sistema exibe uma tela onde os parâmetros da análise dos componentes de ativo selecionados podem ser editados (veja abaixo).
Nota: os campos indicados com um asterisco são opções que devem ser definidas para um projeto de riscos em ativos. Caso você não selecione nenhuma opção para eles, o sistema o fará automaticamente.
6. Marque o checkbox do campo Analista e selecione através do combo box a nova pessoa que deseja alocar nesta função. Por padrão, o líder do projeto é alocado como o analista responsável por responder questionários. Vale lembrar que a pessoa alocada como analista deve estar incluída na lista de restrições para esse papel, na seção Restrições por Papel do módulo Administração e também no perfil Usuários do Módulo de Riscos em Ativos para que tenha acesso a esse módulo.
7. Marque o checkbox ao lado do campo Entrevistado e selecione através do combo box a nova pessoa que deseja alocar para responder entrevistas do componente de ativo selecionado. Por padrão, o entrevistado é o responsável pelo ativo onde o componente de ativo está localizado. Caso a lista de restrições de integrantes esteja habilitada, o entrevistado deverá estar incluído na lista de restrições para entrevistados na seção Restrições por Papel no módulo Administração e também no perfil Usuários do Módulo de Riscos em Ativos para que tenha acesso a esse módulo.
8. Marque o checkbox ao lado do campo Revisor e selecione através do combo box a pessoa que deseja alocar nesta função. O preenchimento deste campo não é obrigatório e ao selecionar um revisor, você está solicitando que a revisão da entrevista seja feita. Caso a lista de restrições de integrantes esteja habilitada, o revisor deverá estar incluído na lista de restrições para revisores na seção Restrições por Papel no módulo Administração e também no perfil Usuários do Módulo de Riscos em Ativos para que tenha acesso a esse módulo.
9. Marque o checkbox ao lado do campo Pesquisa e selecione através do combo box a pesquisa que deseja associar aos componentes de ativo selecionados. Este campo irá mostrar as opções somente se houver versões de pesquisas de riscos publicadas associadas à versão do knowledge base que está sendo utilizado. Para obter mais detalhes, veja a Nota 1 no final deste tópico.
10. Marque o checkbox do campo Versão do knowledge base e selecione através do combo box a versão do knowledge base que deseja utilizar. Todas as versões publicadas do knowledge base associado com o componente de ativo serão exibidos. Para obter mais detalhes, veja a Nota 2 no final deste tópico.
11. Faça as alterações necessárias e clique em Salvar. Se desejar sair da operação, clique em Cancelar.
O sistema exibe uma mensagem de sucesso.
Nota 1: quando uma pesquisa de riscos é criada, ela é associada a uma determinada versão de um knowledge base já publicado. A pesquisa também precisa ser publicada antes de ser utilizada nos projetos de riscos em ativos (veja abaixo).
Após a publicação da pesquisa, pode ser necessário editá-la para fazer melhorias e correções. Neste caso, a situação da pesquisa passa a ser "Em Edição" e depois que as alterações são feitas, uma nova versão da pesquisa precisa ser publicada para que possa ser utilizada nos projetos de riscos em ativos. Quando a nova versão da pesquisa é publicada, a associação que existia entre a versão anterior da pesquisa e o knowledge base é preservado automaticamente. (veja abaixo).
Observe que a associação é entre cada versão publicada de uma pesquisa de riscos com uma versão específica de um knowledge base. No exemplo da figura acima, as versões 1.0 e 1.1 da pesquisa de riscos estão associadas com a versão 1.0 do knowledge base X. Há um cenário um pouco mais complexo a considerar, no qual há diversas pesquisas de riscos, cada uma com várias versões publicadas, associadas simultaneamente a uma mesma versão de um knowledge base.
Se um componente de ativo relacionado a determinado knowledge base que possui associação "um para um" com uma pesquisa de riscos for incluído no escopo de um projeto de riscos em ativos, o sistema exibirá por padrão a última versão desta pesquisa como um dos parâmetros da análise, facilitando sua utilização (opcional) no projeto. Porém, podem existir mais de uma versão da mesma pesquisa, ou até mesmo várias versões de pesquisas diferentes, associadas a uma mesma versão de um knowledge base. O sistema oferece, portanto, flexibilidade permitindo que o líder do projeto selecione qual versão de qual pesquisa de riscos deseja utilizar, durante a seleção da pesquisa de riscos no projeto (veja abaixo).
Nota 2: por padrão, quando um novo componente é adicionado ao escopo de um projeto, o sistema sugere que seja utilizada a versão mais atual do knowledge base associado ao componente de ativo. Isso assegura que o questionário que será gerado com base no knowledge base para ser preenchido pelo analista durante a análise de riscos será o mais atualizado possível.
É bem simples confirmar que este é o comportamento padrão do sistema. A figura abaixo mostra que a última versão publicada do knowledge base "Processo - "Gestão" - Requisitos para o Sistema de Gestão da Segurança da Informação (NBR ISO/IEC 27001:2013). FIEG" é a versão 2.00.
Suponha que esse knowledge base esteja associado a um componente de um ativo do tipo pessoa localizado em um perímetro qualquer da estrutura organizacional, e que este componente está incluído no escopo de um projeto de riscos em ativos. Nesse caso, como a última versão publicada do knowledge base associado ao componente do ativo é a versão 2.00, o sistema sugere automaticamente que esta seja a versão utilizada no projeto (veja abaixo), como mencionado acima.
Da mesma forma, você pode escolher qual versão de pesquisa de riscos deseja utilizar em um projeto. Também pode ser desejável (ou necessário) utilizar versões anteriores do knowledge base que se tornará o questionário utilizado na análise, em vez de usar a sua última versão publicada.
Por exemplo, talvez o usuário alocado para analisar os riscos de um componente de ativo já esteja familiarizado com uma versão anterior à última versão publicada de um knowledge base associado a este componente. Nesse caso, o líder do projeto pode optar por utilizar uma versão anterior do knowledge base, até que o usuário possa se familiarizar com a última versão publicada.
Outro cenário onde você pode querer utilizar uma versão anterior de um knowledge base tem a ver com a situação de uma coleta automática, no caso de componentes de ativos do tipo tecnologia. Pode ser que alguma versão anterior de um knowledge base ofereça uma coleta automática completa (isto é, todos os seus controles têm associações a scripts OVAL e podem ser respondidos automaticamente), enquanto na última versão publicada do knowledge base podem ter sido adicionados novos controles que ainda não estão associados a scripts OVAL, de modo que os controles terão que ser respondidos manualmente. Assim, o líder do projeto pode optar por não utilizar a última versão até que o knowledge base correspondente também possa ser totalmente respondido de forma automática.
Além dessas, há outras situações (técnicas, metodológicas, de gestão, etc.) que podem justificar a decisão de não utilizar a última versão publicada de um knowledge base em um projeto, mesmo que esta seja a versão mais atualizada. Para atender a estes casos de uso, o sistema permite a seleção da versão de knowledge base que se deseja utilizar no projeto. É importante observar, entretanto, que há algumas restrições. Para que você possa selecionar versões de knowledge bases anteriores à última versão publicada, as seguintes condições precisam ser satisfeitas:
•É necessário que exista mais de uma versão já publicada do knowledge base em questão.
•A análise do componente de ativo associado ao knowledge base para o qual se deseja escolher a versão do knowledge base não pode já ter sido iniciada.
Além disso, vários componentes de ativo podem ser selecionados de uma só vez quando você deseja editar os parâmetros da análise no escopo do projeto, onde você pode selecionar, por exemplo, um mesmo analista ou entrevistado para todos eles de uma vez. Em função disso, podem ocorrer outros dois casos que tornarão indisponível a opção de troca de versão do knowledge base:
•Os componentes de ativo selecionados estão associados a knowledge bases diferentes. Neste caso, haveria ambiguidade na seleção de uma versão de um knowledge base.
•Os componentes de ativo selecionados estão em diferentes etapas da análise no projeto. Para um componente a análise pode não ter sido iniciada, para o outro componente a análise já pode ter sido concluída.