O objetivo desta seção é orientá-lo sobre a gestão de consultas no módulo de Riscos.
Consultas são mecanismos de busca que permitem agregar informações detalhadas sobre os objetos no sistema. No módulo de Riscos, existem cinco tipos de consulta: as que consolidam os resultados das análises de riscos, as que exibem os resultados das análises de riscos para os requisitos mapeados aos controles, as que exibem estatísticas de entrevistas, as que exibem informações sobre a situação geral dos controles, que também utilizam os resultados das análises de riscos, e, finalmente, a consulta da situação das vulnerabilidades analisadas em projetos de riscos.
Nas consultas consolidadas, os indicadores de riscos são consolidados por agrupamento, ameaça, ativo, componente de ativo, componente de negócio, controle, knowledge base ou perímetro. Para essas consultas, as métricas de risco são sempre calculadas a partir dos controles, uma vez que eles são o elemento mais granular analisado em um projeto e é com base neles que os indicadores são consolidados para os outros elementos (por exemplo, controle -> knowledge base -> componente de ativo -> ativo -> componente de negócio tático -> componente de negócio estratégico).
Nas consultas dos mapeamentos entre controles e requisitos, você pode visualizar os indicadores de risco para os requisitos e documentos de referência relacionados aos controles analisados em projetos de riscos. Você pode consultar os indicadores de risco para os requisitos, documentos de referência, requisitos e controles relacionados, além de poder visualizar a situação dos controles e requisitos associados. Para saber mais detalhes sobre como criar mapeamentos, veja o Capítulo 8: Conhecimento -> Mapeamentos entre controles e requisitos.
Nas consultas de entrevistas, é possível selecionar uma ou mais entrevistas para obter informações mais gerais sobre elas, tais como suas repostas finais e o número de respostas fornecido. Já as consultas de Detalhes da Entrevista exibem informações mais detalhadas sobre as entrevistas selecionadas, tais como o nome do entrevistado e do revisor (caso algum tenha sido alocado), o objeto, a resposta do entrevistado e a resposta final do revisor, além de possíveis anexos e comentários.
Nas consultas de situação geral dos controles, você pode conferir informações sobre os controles obtidas nas análises de riscos, como sua situação, seu PSR, o ativo associado, o analista que respondeu o controle, sua relação com ameaças e fontes de ameaça, entre outras.
Nas consultas de vulnerabilidades analisadas, você pode conferir as informações mais recentes sobre a situação das vulnerabilidades consideradas nos projetos de riscos. Essas vulnerabilidades são identificadas por scanners integrados ao sistema e mapeadas automaticamente ou manualmente aos ativos da estrutura organizacional. Nessa consulta você pode visualizar a lista de vulnerabilidades e os ativos nos quais elas foram encontradas, verificar se elas foram enviadas para tratamento ou se foram aceitas, a sua Medida de Risco (que pode ser customizada no módulo Administração) e outros detalhes. Para obter mais detalhes sobre como analisar vulnerabilidades identificadas em ativos através de projetos de riscos, veja o Capítulo 5: Riscos -> Projetos de riscos em ativos.
É importante lembrar que os questionários ou análises de vulnerabilidades relacionados aos projetos selecionados no escopo das consultas de análises de riscos devem estar fechados para que existam dados a serem exibidos nos resultados. Para as consultas de entrevistas, as entrevistas e as revisões (quando aplicável) têm que estar completas para que existam dados nos resultados.
Você pode filtrar as informações que serão consultadas e definir quais colunas serão exibidas nos resultados da consulta. Pessoas e grupos de pessoas podem ser incluídos na audiência de cada consulta para que possam visualizá-las no módulo Meu Espaço e neste módulo, se tiverem permissão para acessá-lo. Também é possível alocar pessoas e grupos como editores da consulta para que possam tanto visualizá-la, como os membros da audiência, quanto editá-la, com as mesmas permissões do autor. No entanto, essas etapas são opcionais, e você pode gerar a consulta logo após escolher o escopo. Todas as consultas podem ser salvas e seus resultados podem ser atualizados de acordo com os últimos resultados dos projetos onde os ativos foram analisados.
Adicionalmente, você pode criar cópias de consultas das quais for autor, editor ou membro da audiência, que podem ser posteriormente editadas e executadas. Dessa forma, é possível criar uma nova consulta com as mesmas configurações de outra consulta já existente no sistema. Porém, nos resultados da consulta copiada, você somente poderá visualizar os dados aos quais tem permissão.
Os resultados das consultas podem ser exportados para tabelas SQL através de uma tarefa de integração. Isso permite que eles sejam utilizados para gerar gráficos e tabelas nos relatórios criados através do Report Designer e para criar gráficos no módulo Dashboard. Para obter mais detalhes, veja o Capítulo 17: Administração -> Integrações -> Tarefas de integração -> Criação de uma tarefa para exportar consultas para tabelas SQL.
Vale ressaltar que apenas o autor e os editores de uma consulta poderão editar e excluí-la. Se o autor de uma consulta for excluído do sistema, os membros da audiência continuarão a ter permissão para visualizar a consulta, os editores manterão suas permissões para copiar, visualizar, editar e excluí-la e o nome do autor será acrescido da tag "(excluído)" na coluna Autor. Porém, se não houver membros da audiência ou editores alocados quando o autor for excluído, a consulta não estará disponível no sistema, exceto para inclusão em tarefas de integração.