Nesta fase, é possível monitorar a situação e o progresso dos eventos de tratamento de riscos gerados na fase Avaliar. Observe que estes eventos só podem ser gerenciados no módulo Workflow pelos usuários autorizados.
Esta aba somente será habilitada depois que pelo menos um risco relacionado a um controle não implementado ou a uma vulnerabilidade tiver sido enviado para tratamento na fase Avaliar.
Aqui você também pode ver uma tabela e um gráfico da fase Avaliar comparando as fases do projeto onde estão indicadas as métricas e as estatísticas de riscos (veja abaixo).
Nesta tabela você pode verificar os indicadores dos riscos não avaliados, aceitos, em tratamento, tratados e controlados. Você ainda pode visualizar o Risco Residual do projeto, que é o percentual que representa os riscos ainda existentes, o qual leva em consideração os riscos não avaliados, aceitos e em tratamento. Quanto mais riscos forem tratados, menor será o Risco Residual e mais ele se aproximará da Meta Residual, o objetivo a ser alcançado quando todos os riscos forem eliminados, caso isso seja possível.
Por exemplo, na tabela da figura acima, existem 21 riscos não avaliados,1 foram aceitos e 5 estão em tratamento. A soma do Risk Index destes é de 30,6%, enquanto o Gap Index é de 30,5%.
Na fase Tratar, esse mesmo gráfico também mostra informações sobre os riscos tratados. No exemplo abaixo, os riscos em tratamento caíram para 3,5% e os riscos tratados passaram para 6. Com isso, o Risk Index Residual diminuiu para 31,6% e o Gap Index Residual permaneceu em 30,5% (veja abaixo). Se todos os riscos em tratamento forem tratados, o Risco Residual e a Meta Residual serão os mesmos.
Abaixo desse gráfico existem duas abas. A primeira lista todos os eventos de tratamento de risco gerados através do projeto para controles não implementados e vulnerabilidades. A segunda aba lista todas as vulnerabilidades que estão em tratamento e os eventos de tratamento associados.
Podem ser exibidas notificações caso vulnerabilidades importadas através de uma das quatro tarefas de integração disponíveis e para as quais foram gerados eventos de tratamento não tenham sido identificadas nos scans mais recentes. Essas notificações devem estar habilitadas quando as tarefas de integração forem criadas. Se as vulnerabilidades não tiverem sido indicadas nos scans mais recentes, será exibida uma notificação quando o projeto for aberto por qualquer usuário que tenha permissão para isso, e, até que seja descartada, ficará visível para todos os usuários que acessem o projeto (veja abaixo). A pessoa alocada como líder do projeto também irá receber uma notificação no módulo Meu Espaço, e notificações adicionais serão exibidas nas abas Progresso e Associações dos eventos criados para tratar as vulnerabilidades em questão.
Essas notificações também serão geradas caso um ativo que esteja no escopo do projeto de riscos seja removido do escopo de um scan ou de um arquivo XML que será importado. Isso ocorre porque as vulnerabilidades identificadas para aquele ativo não foram mais encontradas, não necessariamente porque não existem mais, mas porque o ativo já não está mais sendo analisado pelo scanner naquele relatório específico. Se os ativos ou vulnerabilidades tiverem sido removidos propositalmente, o relatório do scan ou o arquivo XML devem ser renomeados para evitar que sejam geradas notificações erroneamente. Além disso, o uso de credenciais diferentes ou de uma política diferente para acessar e fazer o scan dos ativos pode evitar que determinadas vulnerabilidades sejam identificadas novamente e gerem notificações erradas.