Esta seção explica a fase Avaliar de um projeto de riscos. Na medida em que os questionários dos projetos de riscos são respondidos, a análise de cada componente incluído no escopo é concluída. A cada questionário fechado, verificam-se alguns riscos controlados (controles implementados) e outros identificados (controles não implementados). Uma vez que ativos tecnológicos tenham sido processados, a Medida de Risco é gerada para as vulnerabilidades mapeadas para esses ativos, o que ajudará a organização a determinar como lidar com essas vulnerabilidades. O objetivo da fase Avaliar é determinar quais riscos se deseja tratar ou aceitar.
A decisão de aceitar ou tratar os riscos deve levar em conta não apenas as métricas associadas aos riscos identificados, mas também a tolerância da organização a riscos. Como auxílio para esse processo de tomada de decisão, o sistema oferece um recurso de simulação de cenários de tratamento, o simulador What-if. Feita a avaliação e a tomada de decisão de se tratar aqueles riscos considerados inaceitáveis, o sistema permite a geração de eventos de tratamento que têm por objetivo a execução de ações de eliminação (quando possível), de mitigação e de transferência de riscos, além de outras estratégias. Eventos para tratar riscos com vulnerabilidades relacionadas também podem ser utilizados para tratar os mesmos riscos em outro projeto, evitando custos desnecessários ao previnir que riscos em tratamento sejam tratados novamente. Os eventos de tratamento criados para o projeto durante a fase Avaliar podem ser visualizados na aba Tratar, mas são gerenciados no módulo Workflow.
Deve-se ressaltar que a análise, a avaliação e o tratamento não são necessariamente totalmente sequenciais, mas sim processos que podem se sobrepor. A avaliação de riscos pode ser iniciada antes que a análise tenha terminado, assim como o tratamento pode ser iniciado antes que a avaliação de todos os riscos identificados tenha sido concluída. É importante lembrar que é necessário que exista ao menos um controle não implementado em um questionário fechado ou uma vulnerabilidade em uma análise de vulnerabilidades fechada para que a aba Avaliar seja habilitada, permitindo que os riscos sejam tratados ou aceitos.
A figura abaixo exibe as relações entre os tipos de riscos e os conceitos relacionados às fases Analisar, Avaliar e Tratar do ciclo GRC Metaframework.
Como se pode observar na figura acima, depois que um questionário é fechado na fase Analisar, verificam-se quais riscos são controlados e quais são identificados. Na fase Avaliar, os riscos identificados são progressivamente avaliados pelos gestores de riscos. Assim, em um instante qualquer do projeto é possível que alguns riscos identificados já tenham sido avaliados, mas outros não. No caso dos riscos avaliados, a decisão de aceitar ou de enviar os riscos para tratamento já foi tomada, através da criação de um novo evento ou da associação a um evento de tratamento existente. Desse modo, o total dos riscos avaliados divide-se entre os riscos em tratamento e os riscos aceitos nessa fase.
Depois que determinado risco é enviado para tratamento, sua situação passa a ser Enviado para Tratamento. Essa situação é temporária e dura o tempo necessário para que os riscos sejam avaliados e os eventos correspondentes sejam criados ou associados na aba Avaliar. O autor dos eventos é notificado no módulo Meu Espaço quando os eventos são de fato criados e esses riscos passam a ser considerados Em Tratamento. Como mencionado, o gerenciamento desses eventos é feito no módulo Workflow pelos usuários autorizados. Uma vez iniciado o tratamento dos riscos em um projeto, parte dos riscos enviados para tratamento já pode ter sido efetivamente tratada (isto é, os eventos correspondentes já podem ser fechados) ao passo que outra parte ainda permanece em tratamento (eventos ainda abertos). Vale ressaltar que os riscos que já estavam controlados e os que já foram tratados não representam mais preocupações para a organização, enquanto os riscos em tratamento, os riscos aceitos e os riscos não avaliados compõem conjuntamente o risco residual associado ao projeto em questão.
Nas seções seguintes, você aprenderá a utilizar o sistema para avaliar os riscos identificados em um projeto, inclusive com o apoio do simulador What-if, e também a interpretar os indicadores de risco que o sistema exibe (PSR, Risk Index e Gap Index) associados aos diferentes tipos de riscos (não avaliados, aceitos, em tratamento, tratados, etc.) que são exibidos nas fases Avaliar e Tratar dos projetos.