Como enviar uma vulnerabilidade para tratamento

1.    Acesse o módulo de Riscos.

2.    Na seção Projetos, clique na opção Listar Projetos.

3.    Na seção Lista de Projetos, clique em Editar próximo ao projeto de riscos em ativos que contém as vulnerabilidades que você deseja tratar.

4.    Clique na aba Avaliar.

5.    Clique na aba Lista de Vulnerabilidades.

6.    Marque os checkboxes ao lado das vulnerabilidades que você deseja enviar para tratamento, clique em Tratar e selecione a opção Associar a Evento de Tratamento Existente para usar um evento de tratamento existente ou selecione um tipo de evento da lista suspensa e em seguida clique em Tratar para criar um novo evento (veja abaixo). Observe que só será possível visualizar tipos de eventos que foram previamente habilitados para associação com controles e vulnerabilidades na seção Tipos de Objetos do módulo Administração.

Nota: a coluna Situação no Projeto Anterior permite que você cheque se a vulnerabilidade que deseja tratar está incluída em outro projeto. Essa opção de coluna exibe as informações mais recentes da vulnerabilidade em outro projeto, incluindo a situação e o código do projeto. Caso um evento de tratamento tenha sido criado, o código do evento também será exibido, o que pode ajudá-lo a decidir se um novo evento deve ser criado ou se o risco deve ser associado a um evento existente.

Ao optar por utilizar um evento de tratamento existente, o sistema exibe uma mensagem de sucesso indicando que as vulnerabilidades selecionadas foram associadas. Observe que as vulnerabilidades não serão associadas caso um evento de tratamento aberto não seja encontrado, nesse caso você deverá aceitar a vulnerabilidade ou criar um novo evento de tratamento.

Ao selecionar a opção Tratar, o sistema exibe os campos necessários para criar eventos (veja abaixo).

7.    Para criar um evento de tratamento para cada vulnerabilidade, selecione Criar um evento para cada vulnerabilidade. Essa opção só será habilitada caso mais de uma vulnerabilidade seja selecionada.

8.    Para fazer o tratamento conjunto de diversas vulnerabilidades, selecione Criar um evento para todas as vulnerabilidades. Essa opção só será habilitada caso mais de uma vulnerabilidade seja selecionada.

9.    Para criar um evento pai para o ativo e eventos subordinados para cada vulnerabilidade relacionada ao ativo, selecione Criar um evento pai para cada ativo e eventos subordinados para as vulnerabilidades associadas. Essa opção só será habilitada caso mais de uma vulnerabilidade seja selecionada.

10.  No campo Prazo, selecione um prazo para o evento. Esse campo é opcional e pode ser editado posteriormente, se necessário.

11.  No campo Relevância, especifique a relevância do evento, que será utilizada para calcular o USR.

12.  No campo Urgência, especifique a urgência do evento, que será utilizada para calcular o USR.

13.  No campo Severidade, especifique a severidade do evento, que será utilizada para calcular o USR.

14.  No campo Título, digite um nome para o evento utilizando no máximo 2.500 caracteres. Assim, é mais fácil identificá-lo na lista de eventos do módulo Workflow.

•    Se somente uma vulnerabilidade for selecionada, o título padrão será o nome dessa vulnerabilidade. Esse campo poderá ser editado.

•    Se mais de uma vulnerabilidade for selecionada e a opção de criar eventos individuais para cada uma das vulnerabilidades for escolhida, o título de cada um dos eventos será o nome de cada uma das vulnerabilidades e esse campo estará desabilitado.

•    Se mais de uma vulnerabilidade for selecionada e a opção de criar um evento consolidado for escolhida, esse campo precisará ser preenchido.

•    Se a opção de criar um evento pai para cada ativo e eventos subordinados para cada uma das vulnerabilidades relacionadas for selecionada, esse campo estará desabilitado. O nome do evento pai será o código do projeto junto com o nome do ativo, enquanto o nome de cada evento subordinado será o nome de cada uma das vulnerabilidades.

15.  No campo Descrição, insira informações que descrevem o evento utilizando no máximo 5.500 caracteres.

•    Se somente uma vulnerabilidade for selecionada, por padrão, a descrição do evento será a descrição da vulnerabilidade. Esse campo poderá ser editado.

•    Se mais de uma vulnerabilidade for selecionada, mas a opção de criar eventos individuais para cada uma das vulnerabilidades for escolhida, a descrição de cada um dos eventos será a descrição de cada uma das vulnerabilidades e esse campo estará desabilitado.

•    Se mais de uma vulnerabilidade for selecionada e a opção de criar um evento consolidado for escolhida, esse campo precisará ser preenchido.

•    Se a opção de criar um evento pai para cada ativo e eventos subordinados para cada uma das vulnerabilidades relacionadas for selecionada, esse campo estará desabilitado. A descrição do evento pai será composta pelo código do projeto, pelo nome do ativo, e pela indicação de quantos eventos subordinados foram criados. Já a descrição dos eventos subordinados será a descrição das respectivas vulnerabilidades.

16.  No campo Coordenador, selecione a pessoa ou grupo de pessoas que será alocado para realizar o evento e atualizar as informações sobre seu progresso. Por padrão, se todos os ativos relacionados às vulnerabilidades que estão sendo enviadas para tratamento tiverem a mesma pessoa como responsável, essa pessoa será também o coordenador do evento. Caso os ativos tenham responsáveis diferentes, por padrão, a pessoa que envia as vulnerabilidades para tratamento é alocada como coordenador dos eventos.

17.  No campo Responsável, selecione a pessoa ou grupo de pessoas alocado para realizar as atividades e atualizar as informações sobre o progresso do evento. Por padrão, se todos os ativos relacionados às vulnerabilidades que estão sendo enviadas para tratamento tiverem a mesma pessoa como responsável, essa pessoa será também a responsável pelo evento. Caso os ativos tenham responsáveis diferentes, por padrão, a pessoa que envia a vulnerabilidade para tratamento é alocada como responsável pelo evento.

18.  No campo Envolvidos, selecione a pessoa ou grupo de pessoas que serão formalmente envolvidos no evento. Os envolvidos escolhidos estarão envolvidos em todos os eventos que estiverem sendo criados.

Nota: Autor de Evento, Coordenador de Evento, Responsável por Evento e Envolvidos em Evento são papéis do controle de acesso. As pessoas alocadas nesses papéis herdarão automaticamente permissões sobre os eventos aos quais estão relacionadas. Tenha em mente que é possível restringir a lista dos integrantes que podem ser incluídos nesses papéis através da seção Restrições por Papel no módulo Administração. Caso as restrições para esses papeis estejam habilitadas para o tipo de evento selecionado, apenas as pessoas ou grupos incluídos na lista de integrantes poderão ser alocados nos papéis. Para saber mais sobre o controle de acesso e a lista de restrições para papeis, veja o Capítulo 17: Administração -> Controle de acesso -> Conceitos do controle de acesso e o Capítulo 17: Administração -> Controle de acesso -> Restrições por papel.

19.  Quando terminar, clique em Tratar para enviar as vulnerabilidades para tratamento. Se desejar sair da operação, clique em Cancelar.

O sistema exibe uma mensagem de sucesso e retorna para a lista de vulnerabilidades. O autor do evento receberá uma notificação no módulo Meu Espaço quando os eventos forem criados no módulo Workflow. Depois disso, o código de evento para cada vulnerabilidade em tratamento será listado na aba Tratar. Observe que os eventos só podem ser gerenciados no módulo Workflow e, no entanto, sua situação e seu progresso podem ser monitorados através da aba Tratar.

Nota 1: quando vulnerabilidades são enviadas para tratamento, os ativos relacionados a elas são incluídos nos eventos e podem ser visualizados através da aba Associações desses eventos. Isso também acontece com quaisquer componentes de negócio que tenham sido relacionados a esses ativos.

Nota 2: existe uma correlação importante entre a situação dos eventos de tratamento e os níveis de riscos avaliados em um projeto. Essa relação está indicada na tabela abaixo: