•Ciclo GRC Metaframework dos projetos: projetos de riscos e de compliance podem ser criados a partir do zero ou de cópias de projetos existentes para analisar qualquer tipo de objeto da organização em uma interface totalmente compatível com a metodologia GRC Metaframework, que inclui o ciclo inventariar -> analisar -> avaliar -> tratar.
O produto suporta avaliações de riscos em diferentes tipos de ativo baseadas em questionários e vulnerabilidades e utiliza diferentes métricas de acordo com o tipo de informação que será analisada. Essas métricas ajudam no processo de tomada de decisão sobre quais riscos estão em um nível aceitável e quais devem ser tratados. O escopo da avaliação de riscos pode ser configurado livremente e conter componentes de todos os tipos de ativo.
As avaliações de compliance são baseadas em pesquisas e oferecem suporte para a implementação de requisitos de certificação da SOX, PCI-DSS, ISO/IEC 27001, ISO/IEC 27002, BS 25999, COBIT, Basiléia II e FISAP. Isso reduz significativamente o custo e o tempo de implementação das boas práticas de compliance, reduzindo os gastos com múltiplas auditorias e eliminando os controles redundantes. O escopo das avaliações pode incluir pessoas, componentes de negócio e ativos, e as métricas geradas ajudam na priorização dos requisitos que devem ser implementados.
•Estatísticas de projetos: os gráficos exibem estatísticas dos projetos e de cada uma de suas fases.
•Responder questionários on-line ou off-line: uma interface amigável é disponibilizada para responder questionários on-line. Esses questionários também podem ser respondidos off-line através de uma planilha ou através de dispositivos móveis.
•Coletas automáticas em ativos de TI através do OVAL: evidências de falhas em configurações de segurança de ativos tecnológicos podem ser coletadas e armazenadas automaticamente. Essas informações são utilizadas para responder automaticamente a determinados controles em questionários de riscos. O serviço de coleta da Módulo, modSIC, deve ser instalado em um servidor para executar e gerenciar coletas. Uma vez que os servidores de coleta e as credencias de acesso das máquinas alvo são cadastrados no módulo Administração, é possível solicitar uma coleta. O sistema oferece coletores automáticos baseados em OVAL para diversas tecnologias, tais como MS Internet Explorer 11, MS Office 2016, MS SQL Server 2016, MS Windows 8.1, MS Windows 10, MS Windows Server 2016, Oracle Database 12c, Red Hat Enterprise Linux 7, Ubuntu Linux 16, CentOS Linux 7, Oracle Linux 7, Debian Linux 8, Apache Web Server 2.4, entre outros.
A solicitação de uma coleta pode ser agendada para execução fora dos horários de maior movimento, quando as máquinas alvo não estiverem sobrecarregadas. O servidor de coleta recebe as solicitações, organiza as coletas de cada projeto, as executa e, ao terminar, envia os resultados de volta para o sistema. A comunicação entre o sistema e o servidor de coleta envolve a troca de arquivos que usam o padrão OVAL (Open Vulnerability and Assessment Language), desenvolvido pela MITRE (https://oval.mitre.org/).
Não é necessária a instalação de qualquer agente ou componente nos ativos da rede, e as coletas são passivas, isto é, nenhuma informação é alterada nas máquinas alvo. O processo ocorre de forma transparente e automática, desde que as credenciais fornecidas sejam válidas e o servidor de coleta consiga conectar-se à máquina alvo.
•Analisar vulnerabilidades em projetos de riscos: as vulnerabilidades identificadas por scanners externos ou importadas manualmente podem ser mapeadas para ativos, e esses ativos podem ser incluídos em projetos de riscos. As vulnerabilidades identificadas em cada ativo podem, então, entrar no ciclo de gestão de riscos, onde você pode decidir aceitá-las ou gerenciar a sua remediação através de eventos no módulo Workflow.
•Responder e revisar entrevistas: entrevistados e revisores são alocados em projetos de riscos e de compliance para responder entrevistas sobre objetos específicos que foram adicionados ao escopo de um projeto. O fluxo de envio de entrevistas é totalmente gerenciável através dos próprios projetos, e o sistema oferece diversas notificações para garantir um processo eficaz. Cada entrevista pode ser enviada de imediato ou agendada para ser enviada em determinada data e hora. As respostas são processadas automaticamente pelo sistema e podem ser consultadas detalhadamente. Comentários ou anexos fornecidos como evidências na entrevista podem ser automaticamente anexados aos controles dos questionários e visualizados pelos analistas. As entrevistas/revisões também podem ser reenviadas a entrevistados/revisores depois de finalizadas, caso necessário. Também é possível exportar entrevistas para planilhas, respondê-las off-line e depois importá-las novamente para o sistema. Além disso, depois de responder ou revisar uma entrevista, entrevistados e revisores podem escolher se desejam baixar ou receber por e-mail o recibo da entrevista respondida e o resumo das respostas da entrevista.
•Simulador What-if: um simulador What-if pode ser utilizado para ajudar na decisão de tratar ou aceitar riscos. A simulação exibe os indicadores de risco que seriam verdadeiros se os controles não implementados fossem tratados.
•Avaliação de riscos e de não conformidades: o produto oferece os meios adequados para avaliar riscos e de não conformidades através de um processo que considera os resultados consolidados de avaliações e os indicadores obtidos. Os gestores podem escolher aceitar ou tratar cada risco ou não conformidade, mas uma justificativa tem que ser dada antes que eles sejam aceitos.
•Tratamento de riscos e não conformidades: no módulo Workflow, podem ser criados eventos (individuais ou consolidados) para a gestão de não conformidades e de riscos identificados nos projetos. Diversas notificações customizáveis são fornecidas para garantir um processo ágil.
•Consultar resultados de análises: é possível fazer consultas detalhadas sobre os resultados dos projetos de riscos e de compliance. O sistema oferece um assistente para ajudar na criação dessas consultas, cujos resultados podem ser filtrados e visualizados através de tabelas, mapas ou através da visão integrada, no caso das consultas de riscos consolidadas por ativo. Cada consulta também pode ser copiada para que suas configurações sejam reaproveitadas em novas consultas. Além disso, é possível alocar pessoas e grupos de pessoas como membros da audiência ou editores de cada consulta para que possam visualizar ou editá-la.
•Relatórios customizados: o sistema permite que relatórios sejam criados, customizados e gerados para diversas audiências. Esses relatórios exibem os últimos resultados das análises de um ou mais projetos. Eles podem ser filtrados e, uma vez gerados, exportados em diversos formatos ou enviados por e-mail. Também é possível criar agendamentos também para que os relatórios sejam gerados e enviados com uma determinada frequência para determinados destinatários. Além disso, é possível escrever consultas SQL para a base de dados do sistema e para bases de dados externas e inseri-las nesses relatórios para que novas tabelas e gráficos possam ser inseridos em cada um.
