Este tópico explica como definir o escopo do projeto, isto é, como criar o plano de análise. É aqui que os componentes de ativo, previamente cadastrados no módulo Organização, serão selecionados para serem analisados. Esta fase é a base do projeto. É nela em que são definidos quais ativos da organização podem ser verificados e considerados no cálculo dos resultados apresentados no decorrer e ao final da análise, nos quais irão se basear todas as medidas subsequentes do processo de gestão de riscos.
O escopo de um projeto de riscos pode ser baseado em controles, vulnerabilidades ou em ambos. A primeira opção analisa os componentes de ativo através da verificação dos controles contidos nos knowledge bases (boas práticas) que são associados a eles. Os questionários são baseados nesses knowledge bases, que são previamente cadastrados no módulo de Conhecimento. Se esses controles contidos nos knowledge bases estiverem implementados o risco é baixo, e vice versa. Além dos questionários, entrevistas podem ser geradas com base em pesquisas de riscos, que também são criadas previamente no módulo de Conhecimento. As entrevistas de riscos consistem em uma série de perguntas, algumas delas podem ser usadas para responder controles de um determinado knowledge base automaticamente. Por último, as coletas automáticas podem ser usadas para responder controles automaticamente. Dessa forma, os questionários permitem que o nível de risco existente nos ativos da organização seja avaliado. Os componentes de ativo de um ativo específico, de um conjunto de ativos do mesmo perímetro, de um perímetro inteiro, de diversos perímetros ou todos os componentes de ativo da organização podem ser incluídos do escopo.
O escopo de vulnerabilidades é diferente porque os ativos aos quais as vulnerabilidades foram previamente associadas são incluídos no escopo. Essas vulnerabilidades são identificadas pelos scanners externos dos dispositivos de TI e associados automaticamente ou mapeadas manualmente aos seus ativos correspondentes na estrutura organizacional. Quando esses ativos são incluídos no escopo, suas vulnerabilidades associadas são levadas com eles. Os líderes de projetos podem decidir aceitar ou tratar essas vulnerabilidades e o ciclo de gestão de riscos continua normalmente a partir daí. Para obter mais detalhes sobre as tarefas de integração para importar automaticamente e mapear vulnerabilidades de scanners suportados pelo sistema para ativos, veja o Capítulo 17: Administração -> Integrações -> Tarefas de integração. Para obter mais detalhes sobre como importar vulnerabilidades para o catálogo, veja o Capítulo 8: Conhecimento -> Conhecimento de riscos -> Catálogo de vulnerabilidades. Por fim, para obter mais detalhes sobre como mapear as vulnerabilidades manualmente de scanners não suportados pelo sistema para ativos, veja o Capítulo 5: Riscos -> Vulnerabilidades.
Informações adicionais sobre os projetos de riscos podem ser fornecidas por meio de atributos específicos dos projetos, que devem ser previamente publicados no módulo Administração. Além disso, é possível incluir uma seção adicional para exibir dados de uma página externa. Essa configuração é realizada através de um arquivo JSON no módulo Administração. Para mais detalhes sobre a criação de atributos, consulte o Capítulo 17: Administração -> Customizações -> Objetos e Atributos -> Como criar um atributo de objeto (exceto eventos). Para informações adicionais sobre a configuração de abas customizadas utilizando o arquivo JSON, veja o Capítulo 17: Administração -> Customizações -> Arquivos JSON -> Como criar um arquivo JSON para configurar abas customizadas.