Esta seção tem como objetivo orientá-lo sobre como customizar a Medida de Risco padrão, utilizada para medir o risco associado a vulnerabilidades identificadas nos ativos tecnológicos, através de scanners externos.
Essas vulnerabilidades são identificadas pelos scanners Nexpose ou Qualys e automaticamente mapeadas para os ativos tecnológicos da estrutura organizacional utilizando os critérios de mapeamento especificados para cada ativo. Vulnerabilidades identificadas por scanners não suportados pelo sistema também podem ser importadas manualmente para o catálogo de vulnerabilidades e mapeadas para ativos através de planilhas.
Uma vez importadas, elas podem ser visualizadas em cada ativo, na aba Vulnerabilidades do módulo Organização, ou dados consolidados podem ser visualizados para perímetros que contém ativos tecnológicos.
Para obter mais detalhes sobre tarefas de integração para importação automática e mapeamento de vulnerabilidades através de scanners suportados pelo sistema para ativos, veja o Capítulo 17: Administração -> Integrações -> Tarefas de integração. Para saber mais sobre como importar vulnerabilidades para o catálogo, veja o Capítulo 8: Conhecimento -> Conhecimento de riscos -> Catálogo de vulnerabilidades. Por fim, para obter mais detalhes sobre como mapear vulnerabilidades manualmente através de scanners não suportados pelo sistema para ativos, veja o Capítulo 5: Riscos -> Ocorrências de vulnerabilidades.
Os ativos tecnológicos podem ser incluídos no escopo de projetos de riscos. Todas as vulnerabilidades associadas a eles serão exibidas, e você também pode buscar informações das últimas coletas antes de processá-las. Após o processamento, será calculada uma Medida de Risco para cada vulnerabilidade, e você pode decidir quais aceitar e quais tratar.
Por padrão, a fórmula utilizada para o cálculo da Medida de Risco é a seguinte:
Probabilidade X Nível de vulnerabilidade X Relevância do ativo
• A probabilidade é usada para medir a possibilidade de certa vulnerabilidade ser explorada e é pontuada em uma escala de 1 a 5. Para vulnerabilidades confirmadas o valor padrão é 5, para vulnerabilidades potenciais é 4 e para todas as outras informações coletadas o valor padrão é 1.
• O nível de vulnerabilidade varia em uma escala de 1 a 5 e é usado para indicar o nível de severidade da vulnerabilidade através de uma métrica que normaliza as três métricas diferentes utilizadas pelos scanners. A tabela abaixo explica como estas são calculadas no sistema de acordo com cada scanner:
|
Nível |
Nível |
Nível do Módulo Risk Manager |
|
1 |
1 – 2 |
1 |
|
2 |
3 – 4 |
2 |
|
3 |
5 – 6 |
3 |
|
4 |
7 – 8 |
4 |
|
5 |
9 - 10 |
5 |
• A relevância do ativo é utilizada para indicar a importância do ativo para a organização e varia em uma escala de Muito Baixa (1) a Muito Alta (5). Essa pontuação é especificada para cada ativo no módulo Organização.
Se a fórmula padrão for modificada, ela entra em vigor
automaticamente em todo o sistema. Porém, ela afetará apenas os ativos que ainda
não foram processados, enquanto a fase Analisar estiver aberta. Uma vez que a
fórmula é aplicada, os ativos incluídos no escopo dos projetos de riscos devem
ser processados novamente para que a Medida de Risco seja recalculada utilizando
a nova fórmula. A fórmula padrão pode ser restaurada a qualquer momento.
Nota: caso a relevância de um ativo seja alterada no módulo Organização, o cálculo da Medida de Risco só será refeito após um novo processamento do ativo.