As pesquisas de riscos são utilizadas para gerar entrevistas para os projetos de riscos em ativos. As entrevistas de riscos, por sua vez, ajudam no preenchimento dos questionários de riscos utilizados nos projetos. Elas podem gerar evidências, modificar a situação ou alterar outras propriedades dos controles nos questionários. É através da avaliação desses controles nos questionários que o risco é medido em um projeto.
Ao configurar um projeto de riscos em ativos, cada componente de ativo incluído no escopo é associado a um analista e, opcionalmente, a um entrevistado, a um revisor e a uma pesquisa. O analista é a pessoa responsável por responder um questionário gerado a partir do knowledge base que foi associado ao componente de ativo. Se forem utilizadas entrevistas para ajudar a responder os controles, o entrevistado é o responsável por respondê-las, enquanto o revisor pode, opcionalmente, aprovar ou modificar as respostas fornecidas. A pesquisa torna-se a entrevista utilizada em um projeto.
Quando uma pesquisa de riscos é criada, ela deve ser associada a um único knowledge base. Os knowledge bases são usados para gerar questionários em projetos, que basicamente são knowledge bases que podem ser respondidos, e esses também são associados a componentes de ativo. Esse relacionamento permite que as entrevistas de riscos (geradas a partir de pesquisas) possam ser usadas para ajudar a responder os questionários correspondentes (veja abaixo).
Cada pesquisa pode conter uma ou mais páginas, e cada página pode conter textos, imagens e diversos tipos de perguntas (veja abaixo).
Ao processar as respostas fornecidas em uma entrevista de riscos, determinadas ações são executadas diretamente nos controles dos questionários associados. Isso inclui anexar evidências, modificar a probabilidade e a severidade (P, S) ou modificar a situação dos controles (Implementado, Não Implementado, etc.). Tudo isso ocorre de forma automática à medida que as respostas das entrevistas são processadas, aumentando a produtividade e assegurando maior escalabilidade ao processo. Essas ações automáticas nos controles são possíveis por meio da criação de regras para o processamento de respostas nas entrevistas. Cada pergunta criada tem um número utilizado como referência quando suas regras são criadas. Essas regras são especificadas na criação da pesquisa que dá origem à entrevista.
Além de modificar as propriedades (probabilidade, severidade e situação), existem outros dois tipos de ações que podem ser executadas automaticamente nos controles através das regras de controles criadas para as perguntas em uma pesquisa de riscos: o texto inserido no campo de comentários ou os arquivos anexados a uma pergunta podem ser anexados a um controle. Se um campo para comentários estiver habilitado em qualquer tipo de pergunta, uma caixa de texto é exibida abaixo da pergunta. Se um campo para anexar evidências estiver habilitado em qualquer tipo de pergunta, um campo para anexar arquivos às perguntas estará habilitado. Então, as regras para esses dois tipos de evidência podem então ser criadas para as perguntas para que elas possam ser anexadas ao controle. Essas evidências serão exibidas nas seções Evidências e Anexos do controle no questionário.
As regras também podem ser criadas para controlar quais perguntas estarão visíveis para o entrevistado de acordo com as respostas fornecidas para as perguntas anteriores. Isso evita que os entrevistados sejam obrigados a responder perguntas que não aplicáveis em relação às respostas anteriores. Também é possível criar regras para que comentários e anexos sejam obrigatórios dependendo das respostas fornecidas a outras perguntas, desde que esses campos estejam habilitados para as perguntas.
Vale ressaltar que o uso das entrevistas nos projetos de riscos em ativos é opcional. Os controles dos questionários de riscos também podem ser respondidos manualmente pelo analista ou, no caso de ativos tecnológicos, com o apoio de coletas automáticas. Para obter mais detalhes sobre coletas automáticas, veja o Capítulo 17: Administração -> Configurações -> Servidores de coleta.
Abaixo há um resumo dos passos envolvidos na criação de uma pesquisa de riscos:
1. Um knowledge base é criado no sistema na seção Conhecimentos de Riscos do módulo de Conhecimento (veja abaixo).
2. Um knowledge base contém uma lista de controles que são utilizados para medir os riscos dos ativos (veja abaixo).
3. Uma pesquisa de riscos é cadastrada na seção Pesquisas do módulo de Conhecimento e é associada a um knowledge base (veja abaixo).
4. Uma pesquisa de riscos contém uma série de perguntas que podem ter regras associadas a elas (veja abaixo).
5. Essas regras permitem que certas ações sejam executadas nos controles do knowledge base ao qual a pesquisa foi associada (veja abaixo).
6. Um componente de ativo é incluído no escopo de um projeto de riscos em ativos. O componente de ativo e a pesquisa são associados previamente ao mesmo knowledge base. Um entrevistado (e opcionalmente um revisor) também é definido (veja abaixo).
7. O knowledge base dá origem a um questionário em um projeto de riscos em ativos e é respondido por um analista (veja abaixo).
8. A pesquisa dá origem a uma entrevista em um projeto, e é respondida por entrevistados e revisores. Quando uma pergunta é respondida, as ações das regras criadas para as perguntas são executadas nos controles do questionário (veja abaixo).
