O objetivo desta seção é orientá-lo sobre a gestão de riscos em ativos no módulo de Riscos.
A NBR ISO 31000 - Gestão de Riscos - Princípios e Diretrizes define risco como o efeito da incerteza nos objetivos, sendo o efeito um desvio em relação ao esperado, seja este positivo ou negativo. Segundo essa norma, os objetivos podem ter diferentes aspectos (tais como metas financeiras, de saúde, de segurança e ambientais) e podem ser aplicados em diferentes níveis (tais como estratégico, em toda a organização, de projeto, de produto e de processo) (veja abaixo).
O Módulo Risk Manager, em conformidade com as diretrizes estabelecidas pelas normas NBR ISO 31000 e NBR ISO Guia 73 - Gestão de Riscos - Vocabulário, adota um ciclo de gestão de riscos baseado nas seguintes fases:
•Inventariar: conjunto de ações necessárias para definir as propriedades e o escopo dos projetos de riscos, incluindo os ativos e componentes de ativo que serão analisados e as pessoas por quem eles serão analisados.
•Analisar: conjunto de ações necessárias para coletar dados que identifiquem os riscos nos ativos selecionados no escopo do projeto.
•Avaliar: decisão sobre a aceitação ou envio dos riscos considerados inaceitáveis para tratamento.
•Tratar: processo de monitoração dos eventos de tratamento de riscos gerados na fase Avaliar.
Os projetos de riscos em ativos são criados para determinar o nível de exposição dos ativos da organização às ameaças existentes e quantificar o impacto ao qual a organização estará sujeita se as vulnerabilidades dos ativos forem exploradas por essas ameaças. Os projetos podem ser visualizados, criados, editados, fechados, cancelados, excluídos e reabertos no módulo de Riscos.
Cada uma das fases da gestão de riscos pode ser monitorada, já que o sistema contém as funções necessárias para integrar as quatro fases (Inventariar, Analisar, Avaliar e Tratar) em um único projeto.
Através de relatórios, dashboards e consultas, é possível visualizar uma série de informações detalhadas com os resultados das análises. O uso dessas ferramentas proporciona um aumento de produtividade, controle e padronização das atividades e auxilia a organização a obter os resultados desejados.
Os projetos de riscos podem estar baseados em controles, vulnerabilidades ou em ambos. No primeiro caso, os componentes de ativo, previamente associados aos knowledge bases, são incluídos no escopo de um projeto para que os analistas possam verificar se os controles do knowledge base (boas práticas) relacionado a esse componente de ativo estão implementados ou não. Se não estiverem implementados, os riscos podem ser explorados pelas ameaças a eles associadas.
No caso de um projeto baseado em vulnerabilidades, cria-se um escopo contendo ativos tecnológicos aos quais vulnerabilidades tenham sido previamente mapeadas. Essas vulnerabilidades são identificadas por scanners e podem ter sido associadas a ativos correspondentes na estrutura organizacional automática ou manualmente. Esses ativos podem, então, ser incluídos no escopo de vulnerabilidades para que o líder do projeto possa aceitar ou tratar suas vulnerabilidades associadas, e o ciclo de gestão de risco continua normalmente a partir daí. Para obter mais detalhes sobre tarefas de integração para importar automaticamente e mapear as vulnerabilidades detectadas pelos scanners para ativos, veja o Capítulo 17: Administração -> Integrações -> Tarefas de integração. Para obter mais detalhes sobre como importar vulnerabilidades de scanners não suportados por padrão para o catálogo, veja o Capítulo 8: Conhecimento -> Conhecimento de riscos -> Catálogo de vulnerabilidades. Por fim, para obter mais detalhes sobre como mapear manualmente para os ativos as vulnerabilidades identificadas por scanners não suportados por padrão pelo sistema, veja o Capítulo 5: Riscos -> Vulnerabilidades.