O objetivo desta seção é orientá-lo sobre a administração de consultas no módulo Organização.
Consultas são mecanismos de busca que permitem agregar informações detalhadas sobre os objetos no sistema. No módulo Organização, existem os seguintes tipos de consulta: aquelas que exibem informações da estrutura organizacional, incluindo os perímetros, ativos, componentes de ativo, componentes de negócio cadastrados, suas propriedades e atributos; as que exibem estatísticas de entrevistas em projetos da organização; e as consultas que exibem os resultados das análises de riscos. As últimas se dividem em quatro tipos: a de consolidação de resultados das análises de riscos, a que exibe os resultados das análises para os requisitos mapeados aos controles, a consulta de situação geral dos controles, que também utiliza resultados das análises de riscos e finalmente, a consulta de situação das vulnerabilidades analisadas em projetos de riscos.
Nas consultas de consolidação, é possível criar consultas nas quais os indicadores de risco são consolidados por agrupamento, ameaça, ativo, componente de ativo, componente de negócio, controle, fonte de ameaça, knowledge base ou perímetro. Nesse tipo de consulta, as métricas de risco são sempre calculadas com base nos controles, já que eles são o elemento mais granular analisado em um projeto, e é a partir destes que os demais elementos terão seus indicadores consolidados (por exemplo, controle -> knowledge base -> componente de ativo -> ativo -> componente de negócio tático -> componente de negócio estratégico).
Nas consultas dos mapeamentos entre controles e requisitos, você pode visualizar os indicadores de risco para os requisitos e os documentos de referência relacionados aos controles analisados em projetos de riscos. Você pode consultar os indicadores de risco para os requisitos, documentos de referência, requisitos com os controles a que estão relacionados, além de poder visualizar a situação dos controles com os requisitos associados. Para saber mais detalhes sobre como criar mapeamentos, veja o Capítulo 8: Conhecimento -> Mapeamentos entre controles e requisitos.
Nas consultas de entrevistas de projetos da organização, é possível selecionar uma ou mais entrevistas para obter informações mais gerais sobre elas, tais como suas repostas finais e o número de respostas fornecido. Já as consultas de Detalhes da Entrevista exibem informações mais detalhadas sobre as entrevistas selecionadas, tais como o nome do entrevistado e do revisor (caso algum tenha sido alocado), o objeto, a resposta do entrevistado e a resposta final do revisor, além de possíveis anexos e comentários. As entrevistas e as revisões (quando aplicável) têm que estar completas para que existam dados nos resultados.
Nas consultas da situação geral dos controles, você pode conferir as últimas informações obtidas nas análises de riscos sobre os controles, como sua situação, PSR (probabilidade, severidade e relevância), o ativo associado, o analista que respondeu o controle, sua relação com ameaças e fontes de ameaça, entre outras.
Nas consultas de vulnerabilidades analisadas, você pode conferir as informações mais recentes sobre as vulnerabilidades analisadas nos projetos de riscos. Essas vulnerabilidades são identificadas por scanners e mapeadas automaticamente aos ativos da estrutura organizacional. Nessa consulta você pode visualizar a lista de vulnerabilidades e os ativos nos quais elas foram encontradas, verificar se elas foram enviadas para tratamento ou se foram aceitas, a Medida de Risco, entre outras informações. Para obter mais detalhes sobre como analisar vulnerabilidades identificadas em ativos tecnológicos através de projetos de riscos, veja o Capítulo 5: Riscos -> Projetos de riscos em ativos.
É importante lembrar que os questionários e as análises de vulnerabilidades relacionadas aos ativos e aos perímetros selecionados no escopo de consultas de análises de riscos devem estar fechados para que existam resultados a serem exibidos.
Você pode filtrar as informações que serão consultadas e definir quais colunas serão exibidas nos resultados das consultas. Pessoas e grupos de pessoas podem ser incluídos na audiência de cada consulta para que possam visualizá-la no módulo Meu Espaço e neste módulo, se tiverem permissão para acessá-lo. Também é possível alocar pessoas e grupos de pessoas como editores da consulta para que possam tanto visualizá-la, como os membros da audiência, quanto editá-la, com as mesmas permissões do autor. No entanto, essas etapas são opcionais, e você pode gerar a consulta logo após escolher o escopo.
Adicionalmente, você pode criar cópias de consultas das quais for autor, editor ou membro da audiência, que podem ser posteriormente editadas e executadas. Dessa forma, é possível criar uma nova consulta com as mesmas configurações de outra consulta já existente no sistema. Porém, nos resultados da consulta copiada, o usuário somente poderá visualizar os dados aos quais tem permissão.
Os resultados das consultas podem ser exportados para tabelas SQL através de uma tarefa de integração. Isso permite que eles sejam utilizados para gerar gráficos e tabelas nos relatórios criados através do Report Designer e para criar gráficos no módulo Dashboard. Para obter mais detalhes, veja o Capítulo 17: Administração -> Integrações -> Tarefas de integração -> Criação de uma tarefa para exportar consultas para tabelas SQL.
Todas as consultas podem ser salvas, e seus resultados podem ser atualizados para que você acompanhe as últimas alterações feitas nos objetos e projetos consultados.
Tenha em mente que apenas o autor e os editores de uma consulta poderão editá-la e excluí-la. Caso o autor de uma consulta seja excluído do sistema, os membros da audiência continuarão a ter permissão para visualizar a consulta, os editores manterão suas permissões para copiar, visualizar, editar e excluí-la e o nome do autor será acrescido da tag "(excluído)" na coluna Autor. No entanto, se não houver audiência ou editores alocados quando o autor for excluído, a consulta não estará mais disponível no sistema, exceto para inclusão em tarefas de integração.