Esta seção fornece informações sobre como utilizar os relatórios genéricos e os relatórios de riscos da organização, como modificá-los para adequá-los às suas necessidades e como configurar o agendamento para que eles sejam gerados e enviados por e-mail.
Relatórios genéricos
Na seção Gerenciar Modelos, você pode criar modelos de relatórios genéricos do zero, utilizando os seguintes tipos de consulta como fontes de dados: consultas dos módulos Organização, Riscos e Workflow; e consultas SQL, criadas nesta mesma seção (passo 1 do diagrama abaixo). Uma vez registrados, esses modelos em branco podem então ser exportados para edição no Report Designer, um editor de relatórios fornecido pela Módulo (passo 2). Ao editar um modelo de relatório, você pode inserir logos customizados, capas, seções, gráficos e tabelas para elaborar o relatório. Por exemplo, você pode criar o seu próprio relatório com um layout que inclui as cores da sua organização, uma introdução customizada para cada seção do relatório e tabelas que exibem informações dos módulos Workflow e Organização. Cada modelo pode ser importado de volta para o sistema e habilitado para uso (passo 3), posteriormente servindo de base para um relatório (passo 4). Durante este processo, filtros podem ser configurados para fontes de dados e para o relatório em si, limitando seu escopo.
Observe que você só poderá editar modelos de relatórios genéricos dos quais for autor ou nos quais for alocado como editor. Do mesmo modo, você só pode gerar relatórios genéricos baseados nos modelos dos quais for autor, editor ou parte da audiência.
Se o autor de um modelo de relatório genérico for excluído do sistema, o modelo de relatório também será excluído caso não existam membros da audiência ou editores alocados. Caso contrário, o modelo não será excluído e a palavra "(excluído)" será exibida ao lado do nome do autor.
Relatórios de riscos da organização
Os relatórios de riscos da organização possuem modelos padrão fornecidos pela Módulo e permitem que os gestores visualizem resultados dos riscos consolidados para a organização através de gráficos, tabelas e texto. Estes não são restritos e podem ser gerados por qualquer pessoa com acesso à página Gerar Relatórios. No entanto, o escopo desses relatórios estará restrito aos objetos aos quais você tem acesso. Para mais detalhes, veja o Capítulo 5: Riscos -> Relatórios de Riscos -> Como gerenciar os modelos de relatórios de riscos.
Os resultados exibidos nesses relatórios se baseiam nos controles não implementados identificados a partir de questionários fechados da fase Analisar dos projetos de riscos. O processo de tomada de decisão sobre investimentos e priorizações a respeito de quais controles devem ser implementados podem então ser otimizados. Diferente dos relatórios de riscos gerados no módulo de Riscos, os relatórios gerados aqui permitirão que você visualize os resultados consolidados para objetos específicos ou para a organização como um todo, e não somente para projetos específicos. Assim, esses relatórios sempre irão exibir as informações mais recentes sobre a organização, fazendo delas uma parte fundamental de um processo sólido de gerenciamento de riscos.
Você pode configurar filtros para reduzir o escopo de um relatório de riscos da organização antes que ele seja gerado. Além disso, no módulo de Riscos, você pode customizar os modelos de cada tipo de relatório de riscos de acordo com as necessidades da sua organização. Observe que é possível desabilitar todos os modelos de relatório, tanto os customizados quanto aqueles fornecidos pela Módulo, e nesse caso nenhum relatório estará disponível nesta seção. Para obter mais detalhes sobre como gerenciar os modelos de relatório de riscos e editá-los, veja o Capítulo 5: Riscos -> Relatórios de riscos -> Como gerenciar os modelos de relatórios de riscos.
Os quatro tipos de relatórios de riscos da organização e as informações que eles fornecem sobre os últimos resultados da fase Analisar dos projetos de riscos em ativos estão descritos abaixo:
•Relatório de Análise de Riscos (RAR): exibe resultados consolidados dos riscos identificados nos últimos questionários fechados na fase Analisar dos projetos de riscos para todos os ativos no escopo do relatório. Ele deve ser utilizado para nortear o processo de tomada de decisão de quais ações devem ser tomadas para reduzir os riscos da organização (veja abaixo).
Esse relatório tem seis seções: Resumo da Análise, Introdução, Limitações Existentes, Contexto, Análise Consolidada e Recomendações.
A seção Resumo da Análise apresenta, por meio de gráficos e tabelas, os resultados consolidados das análises de riscos de todos os questionários fechados dos projetos de riscos em ativos. As informações contidas nesta seção são: quantidade de controles por situação, PSR por situação dos riscos analisados, distribuição dos riscos por níveis de risco, níveis de risco dos controles não implementados e riscos encontrados nos ativos.
A seção Introdução explica o que são os índices de risco (PSR, Risk Index, Security Index, Control Index e Gap Index) e como são calculados.
A seção Limitações Existentes explica a abrangência dos resultados contidos no relatório que, por sua vez, baseiam-se essencialmente nos knowledge bases utilizados nos projetos de riscos em ativos.
A seção Contexto mostra os tipos de ativo investigados e o escopo da análise de riscos (perímetros, ativos e fontes de ameaça consideradas e os knowledge bases utilizados) (ver figuras abaixo, que são exemplos de tabelas encontradas nesta seção).
A seção Análise Consolidada mostra por meio de tabelas os riscos consolidados para os principais componentes de negócio. Em seguida, são mostrados os riscos por cada um dos componentes. Finalmente, são mostrados os riscos por fonte de ameaça, por ameaça, por tipo de ativo, por ativo e os níveis de riscos por ativo. Desta forma, os riscos são expostos sob perspectivas diferentes, ajudando na tomada de decisões nas atividades de avaliação e de tratamento dos riscos da organização.
A seção Recomendações apresenta as ações a serem executadas para dar continuidade à gestão de riscos.
•Relatório Executivo da Análise (REX): mostra uma versão resumida dos resultados das análises de riscos da organização (veja abaixo).
Este relatório tem três seções: Introdução, Resumo e Próximos Passos.
A seção Introdução apresenta o conteúdo do relatório e explica o que é o PSR, como ele é calculado e o que são os índices de risco (PSR, Risk Index, Security Index, Control Index e Gap Index).
A seção Resumo mostra por meio de gráficos e tabelas os resultados consolidados das análises de riscos de todos os últimos questionários fechados dos projetos de riscos relacionados aos ativos no escopo do relatório. As informações contidas nesta seção são: quantidade de controles por situação, PSR por situação dos riscos analisados, distribuição dos riscos por níveis, riscos por ameaça e por componente de negócio, riscos nos níveis estratégico e tático, riscos encontrados nos ativos e níveis de riscos dos controles não implementados. Veja nas figuras a seguir alguns exemplos de tabelas e gráficos contidos nesta seção.
A seção Próximos Passos mostra as ações a serem executadas para dar continuidade à gestão de riscos.
•Relatório Operacional de Riscos (ROR): tem como objetivo orientar os gestores na priorização das recomendações que devem ser aplicadas, de acordo com o nível de risco. Esse relatório deve ser usado também como um instrumento para implementar controles nos ativos analisados (veja abaixo).
O ROR apresenta duas tabelas para apoiar o processo de priorização do tratamento de riscos: Lista de controles não implementados e Lista detalhada de controles não implementados (ver figuras abaixo, que são exemplos das tabelas desta seção).
A primeira tabela contém informações sobre os controles que devem ser implementados, sua prioridade e o componente de ativo ao qual o controle não implementado se refere. A tabela é ordenada por agrupamento e, dentro dos agrupamentos, pelo PSR de cada controle em ordem decrescente.
A segunda tabela contém informações mais detalhadas sobre quais controles devem ser implementados, a soma do risco total referente aos componentes de ativo de acordo com os controles não implementados (PSR total), a justificativa de cada controle, a recomendação de como implementar cada controle e a quantidade de componentes de ativo que terão controles implementados (veja abaixo).
Além disso, para cada controle, são exibidas quaisquer imagens em formato BMP, JPEG, PNG e GIF que tenham sido anexadas como evidência para a resposta pelos analistas ou pelos entrevistados e revisores. Arquivos em outros formatos também são listados e podem ser acessados através dos seus respectivos links. Observe que o usuário deve estar autenticado no sistema e conectado à internet para que esse conteúdo possa ser acessado a partir da versão PDF dos relatórios. Também estão disponíveis para uso neste modelo de relatório as fontes de dados que fornecem informações sobre os controles implementados, incluindo evidências e comentários fornecidos pelos analistas e também durante as entrevistas.
•Relatório Operacional de Riscos por Ameaça (RORThreat): tem como objetivo orientar os gestores na priorização das recomendações que devem ser aplicadas, de acordo com o nível de risco. Esse relatório deve ser usado também para administrar as ameaças que podem afetar o bom andamento das atividades da sua organização (veja abaixo).
Este relatório contém duas tabelas para apoiar o processo de priorização do tratamento de riscos: Lista de controles não implementados e Lista detalhada de controles não implementados (ver figuras abaixo, que são exemplos das tabelas desta seção).
A primeira tabela exibe todos os controles analisados nos últimos questionários fechados relacionados aos ativos no escopo do relatório, agrupados por ameaça e ordenados por risco em ordem decrescente (PSR).
A segunda tabela, também agrupada por ameaça, contém informações mais detalhadas sobre quais controles devem ser implementados, a soma do risco total referente aos componentes de ativo de acordo com os controles não implementados (PSR total), a justificativa de cada controle, a recomendação de como implementar cada controle e a quantidade de componentes de ativo que terão controles implementados (veja abaixo).
Além disso, para cada controle são exibidas quaisquer imagens em formato BMP, JPEG, PNG e GIF que tenham sido anexadas como evidência para a resposta, seja pelos analistas ou pelos entrevistados e revisores. Arquivos em outros formatos serão listados e podem ser acessados clicando nos links. É necessário que o usuário esteja autenticado no sistema e conectado à internet para que esse conteúdo possa ser acessado na versão PDF dos relatórios. Também estão disponíveis para uso neste modelo de relatório as fontes de dados que fornecem informações sobre os controles implementados, incluindo evidências e comentários fornecidos pelos analistas e também durante as entrevistas.
Nota: os relatórios são visualizados melhor no formato PDF.
Você também pode agendar o envio de relatórios especificando os destinatários, a data em que eles começarão a ser enviados, a frequência de envio e o número de vezes que serão enviados. Por exemplo, se você desejar receber um relatório semanal sobre os riscos da sua organização, você pode agendar o envio de um relatório que contém todos os ativos cadastrados no módulo Organização que foram analisados em projetos de riscos. Para que os relatórios sejam enviados, é necessário que você configure no módulo Administração o horário em que os relatórios serão enviados diariamente. Para obter mais detalhes sobre como configurar esse horário, veja o Capítulo 17: Administração -> Relatórios agendados.