Este tópico explica como as métricas de risco utilizadas no sistema podem ser consolidadas, do nível mais granular ao nível mais elevado. Inicialmente, a estrutura hierárquica que governa os objetos deve ser explicada para que se possa entender como essas consolidações se movimentam dos mais baixos para os mais altos níveis.
No módulo Organização, existem duas maneiras principais de visualizar a estrutura organizacional: através de perímetros ou através de componentes de negócio. Um componente de negócio pode ser tanto do nível tático quanto do estratégico. Componentes de negócio táticos suportam componentes de negócio estratégicos, atuando como intermediários entre os componentes de negócio estratégicos e os ativos. Um componente de negócio estratégico pode ser associado a vários componentes de negócio táticos e vice-versa.
Analogamente, um perímetro pode agrupar vários ativos (física ou logicamente), mas um ativo só pode ficar dentro de um perímetro. Componentes de negócio táticos podem ser associados a vários ativos e um único ativo pode suportar vários componentes de negócio táticos.
Os ativos podem ser classificados em tipos. No sistema, existem quatro tipos fornecidos por padrão (pessoas, processo, tecnologia e ambiente). No entanto, se esses tipos não forem suficientes para categorizar os ativos segundo as necessidades da organização, novos tipos de ativo podem ser criados no módulo Administração. Para saber mais sobre como criar tipos de ativo, veja Capítulo 17: Administração -> Customizações -> Tipos de objeto.
Além disso, cada ativo pode conter diversos componentes de ativos, mas um componente de ativo só pode pertencer a um único ativo. Componentes de ativo também são classificados em quatro tipos conforme os ativos a que pertencem.
A hierarquia entre esses elementos é ilustrada no esquema abaixo (veja abaixo):
Embora esses objetos sejam estruturados no módulo Organização, eles também são relacionados a outros objetos nos demais módulos do sistema.
Um knowledge base é o objeto que está no nível mais alto da hierarquia do módulo de Conhecimento. Ele é essencialmente uma lista de controles que detalha boas práticas que serão verificadas durante um projeto de riscos em ativos. Enquanto um knowledge base contém vários controles, um controle só pertence a um único knowledge base. Dentro de um knowledge base, controles podem ser organizados em agrupamentos. Um controle também pode ser associado a uma ou mais ameaças.
Informações obtidas nos módulos Organização e de Conhecimento são utilizadas para criar um projeto no módulo de Riscos. O componente de ativo a ser analisado é proveniente do módulo Organização e um knowledge base proveniente do módulo de Conhecimento é utilizado para criar questionários (veja abaixo).
Dada esta informação, as tabelas abaixo podem ser utilizadas como referência para que se entendam os resultados exibidos no projeto de riscos em ativos, relatórios e consultas. Elas explicam como cada tipo de métrica de risco é calculada para cada tipo de objeto.
|
Objeto |
PSR controlado |
PSR identificado |
PSR não aplicável |
|
Controle x |
PSR dos controles implementados. |
PSR dos controles não implementados. |
PSR dos controles não aplicáveis. |
|
Ameaça x
|
Soma dos PSR dos controles implementados relacionados à ameaça. |
Soma do PSR dos controles não implementados relacionados à ameaça. |
Soma do PSR dos controles não aplicáveis relacionados à ameaça. |
|
Knowledge base x
|
Soma do PSR dos controles implementados do questionário gerado com base no knowledge base. |
Soma do PSR dos controles não implementados do questionário gerados com base no knowledge base. |
Soma do PSR dos controles não aplicáveis do questionário gerado com base no knowledge base. |
|
Questionário x
|
Soma do PSR dos controles implementados do questionário. |
Soma do PSR dos controles não implementados do questionário. |
Soma do PSR dos controles não aplicáveis do questionário. |
|
Agrupamento x
|
Soma do PSR dos controles implementados do agrupamento. |
Soma do PSR dos controles não implementados do agrupamento. |
Soma do PSR dos controles não aplicáveis do agrupamento. |
|
Componente de ativo x
|
Soma do PSR dos controles implementados do questionário do componente de ativo. |
Soma do PSR dos controles não implementados do questionário do componente de ativo. |
Soma do PSR dos controles não aplicáveis do questionário do componente de ativo. |
|
Ativo x
|
Soma do PSR dos controles implementados do componente de ativo do ativo. |
Soma do PSR dos controles não implementados do componente de ativo do ativo. |
Soma do PSR dos controles não aplicáveis do componente de ativo do ativo. |
|
Tipo de ativo x
|
Soma do PSR dos controles implementados do tipo de ativo. |
Soma do PSR dos controles não implementados dos tipos de ativo. |
Soma do PSR dos controles não aplicáveis dos tipos de ativo. |
|
Perímetro x
|
Soma do PSR dos controles implementados dos ativos do perímetro. |
Soma dos PSR dos controles não implementados dos ativos do perímetro. |
Soma dos PSR dos controles não aplicáveis dos ativos do perímetro. |
|
Componente de negócio tático x
|
Soma do PSR dos controles implementados dos ativos relacionados ao componente de negócio tático. |
Soma do PSR dos controles não implementados dos ativos relacionados ao componente de negócio tático. |
Soma do PSR dos controles não aplicáveis dos ativos relacionados ao componente de negócio tático. |
|
Componente de negócio estratégico x
|
Soma do PSR dos controles implementados dos ativos relacionados ao componente de negócio estratégico. |
Soma do PSR dos controles não implementados dos ativos relacionados ao componente de negócio estratégico. |
Soma do PSR dos controles não aplicáveis dos ativos relacionados ao componente de negócio estratégico. |
|
Objeto |
PSR aplicável |
|
Controle x |
N/A |
|
Ameaça x |
Soma do PSR identificado com o PSR controlado dos controles relacionados à ameaça. |
|
Knowledge base x |
Soma do PSR identificado com o PSR controlado do questionário relacionado ao knowledge base. |
|
Questionário x |
Soma do PSR identificado com o PSR controlado do questionário. |
|
Agrupamento x |
Soma do PSR identificado com o PSR controlado do agrupamento. |
|
Componente de ativo x |
Soma do PSR identificado com o PSR controlado do questionário relacionado ao componente de ativo. |
|
Ativo x |
Soma do PSR identificado com o PSR controlado do componente de ativo relacionado ao ativo. |
|
Tipo de ativo x |
Soma do PSR identificado com o PSR controlado do tipo de ativo. |
|
Perímetro x |
Soma do PSR identificado com o PSR controlado dos ativos do perímetro. |
|
Componente de negócio táticos x |
Soma do PSR identificado com o PSR controlado dos ativos relacionados aos componentes de negócio táticos. |
|
Componentes de negócio estratégicos x |
Soma do PSR identificado com o PSR controlado dos ativos relacionados aos componentes de negócio estratégicos. |
|
Objeto |
Risk Index (x 100%) |
Security Index (x 100%) |
|
Controle x |
N/A |
N/A |
|
Ameaça x |
PSR identificado dos controles associados à ameaça / PSR dos controles aplicáveis associados à ameaça |
PSR controlado dos controles associados à ameaça / PSR dos controles aplicáveis associados à ameaça |
|
Knowledge base x |
PSR identificado do knowledge base / PSR dos controles aplicáveis do knowledge base |
PSR controlado do knowledge base / PSR dos controles aplicáveis do knowledge base |
|
Questionário x |
PSR identificado do questionário / PSR dos controles aplicáveis do questionário |
PSR controlado do questionário / PSR dos controles aplicáveis do questionário |
|
Agrupamento x |
PSR identificado do agrupamento / PSR dos controles aplicáveis do agrupamento |
PSR controlado do agrupamento / PSR dos controles aplicáveis do agrupamento |
|
Componente de ativo x |
PSR identificado do questionário associado ao componente de ativo / PSR dos controles aplicáveis do agrupamento |
PSR controlado do questionário associado ao componente de ativo / PSR dos controles aplicáveis do agrupamento |
|
Ativo x |
PSR identificado do questionário associado ao componente de ativo / PSR dos controles aplicáveis do agrupamento |
PSR controlado do questionário associado ao componente de ativo / PSR dos controles aplicáveis do agrupamento |
|
Tipo de ativo x |
PSR identificado dos componentes de ativo associados ao tipo de ativo / PSR dos controles aplicáveis dos componentes de ativo associados ao tipo de ativo |
PSR controlado dos componentes de ativo associado ao tipo de ativo / PSR dos controles aplicáveis dos componentes de ativo associados ao tipo de ativo |
|
Perímetro x |
PSR identificado dos ativos associados ao perímetro / PSR dos controles aplicáveis dos ativos associados ao perímetro |
PSR controlado dos ativos associados ao perímetro / PSR dos controles aplicáveis dos ativos associados ao perímetro |
|
Componente de negócio tático x |
PSR identificado dos ativos associados ao componente de negócio tático / PSR dos controles aplicáveis dos ativos associados ao componente de negócio tático |
PSR controlado dos ativos associados ao componente de negócio tático / PSR dos controles aplicáveis dos ativos associados ao componente de negócio tático |
|
Componente de negócio estratégico x |
PSR identificado dos ativos associados ao componente de negócio estratégico / PSR dos controles aplicáveis dos ativos associados ao componente de negócio estratégico |
PSR controlado dos ativos associados ao componente de negócio estratégico / PSR dos controles aplicáveis dos ativos associados ao componente de negócio estratégico |
|
Objeto |
Gap Index (x 100%) |
Control Index (x 100%) |
|
Controle x |
N/A |
N/A |
|
Ameaça x |
Total de controles não implementados associados à ameaça / Total de controles aplicáveis associados à ameaça |
Total de controles implementados associados à ameaça / Total de controles aplicáveis associados à ameaça |
|
Knowledge base x |
Total de controles não implementados para o questionário do knowledge base / Total de controles aplicáveis do questionário do knowledge base |
Total de controles implementados para o questionário do knowledge base / Total de controles aplicáveis para o questionário do knowledge base |
|
Questionário x |
Total de controles não implementados para o questionário / Total de controles para o questionário |
Total de controles implementados para o questionário / Total de controles aplicáveis para o questionário |
|
Agrupamento x |
Total de controles não implementados para o agrupamento / Total de controles aplicáveis para o agrupamento |
Total de controles implementados para o agrupamento / Total de controles aplicáveis para o agrupamento |
|
Componente de ativo x |
Total de controles não implementados para o questionário associado ao componente de ativo / Total de controles aplicáveis para o questionário associado ao componente de ativo |
Total de controles implementados para o questionário associado ao componente de ativo / Total de controles aplicáveis para o questionário associado ao componente de ativo |
|
Ativo x |
Total de controles não implementados para os componentes de ativo associados ao ativo / Total de controles aplicáveis para os componentes de ativo associados ao ativo |
Total de controles implementados para os componentes de ativo associados ao ativo / Total de controles aplicáveis para os componentes de ativo associados ao ativo |
|
Tipo de ativo x |
Total de controles não implementados para os componentes de ativo associados ao tipo de ativo / Total de controles aplicáveis para os componentes de ativo associados ao tipo de ativo |
Total de controles implementados para os componentes de ativo associados ao tipo de ativo / Total de controles aplicáveis para os componentes de ativo associados ao tipo de ativo |
|
Perímetro x |
Total de controles não implementados para os ativos do perímetro / Total de controles aplicáveis para os ativos do perímetro |
Total de controles implementados para os ativos do perímetro / Total de controles aplicáveis para os ativos do perímetro |
|
Componente de negócio tático x |
Total de controles não implementados para os ativos associados ao componente de negócio tático / Total de controles aplicáveis para os ativos associados ao componente de negócio tático |
Total de controles implementados para os ativos associados ao componente de negócio táticos / Total dos controles aplicáveis para os ativos associados ao componente de negócio tático |
|
Componente de negócio estratégico x |
Total de controles não implementados para os ativos associados aos componentes de negócio estratégicos / Total de controles aplicáveis para os ativos associados aos componentes de negócio estratégicos |
Total de controles implementados para os ativos associados aos componentes de negócio estratégicos / Total dos controles aplicáveis para os ativos associados aos componentes de negócio estratégicos |