Visão geral dos relatórios de riscos

Este tópico tem o objetivo de explicar como gerar os relatórios de riscos na fase Analisar de um projeto de riscos em ativos.

Os relatórios gerados pelo sistema apresentam uma forma de visualização consolidada das informações sobre os riscos identificados durante a análise. Eles são essenciais para o acompanhamento da evolução do índice de riscos da organização, o que os torna parte fundamental de um processo sólido de gestão de riscos.

Esses relatórios podem ser customizados de acordo com as necessidades da sua organização e habilitados para uso. Observe que é possível desabilitar todos os modelos de relatório, tanto aqueles customizados quanto os fornecidos pela Módulo, e neste caso nenhum relatório estará disponível nesta seção. Para obter mais detalhes sobre como gerenciar os modelos de relatório e como editá-los, veja o Capítulo 5: Riscos -> Relatórios de riscos -> Como gerenciar os modelos de relatórios de riscos.

Você ainda pode agendar o envio de relatórios definindo os destinatários, a data em que eles começarão a ser enviados, a frequência desse envio e a quantidade de vezes que serão enviados. Por exemplo, se você quiser receber um relatório semanal sobre os riscos da rede de computadores, você pode agendar o envio de um relatório filtrado para incluir apenas as informações das análises relacionadas à sua rede. Um horário diário deve ser configurado no módulo Administração para que esses relatórios sejam enviados. Para mais detalhes sobre como configurar esse horário, veja o Capítulo 17: Administração -> Relatórios agendados.

Existem quatro tipos de relatórios de riscos fornecidos pelo sistema: Relatório de Análise de Riscos (RAR), Relatório Operacional de Riscos (ROR), Relatório Operacional de Riscos por Ameaça (RORThreat) e Relatório Executivo da Análise (REX). Você pode configurar filtros para definir o que será exibido nos relatórios. Esta seção apresenta uma visão geral sobre esses relatórios para ajudá-lo a escolher o modelo mais apropriado.

 

    Relatório de Análise de Riscos (RAR): apresenta resultados consolidados dos riscos encontrados durante a fase Analisar baseando-se apenas nos questionários fechados. Ele deve ser utilizado para nortear o processo de tomada de decisão de quais ações devem ser tomadas para reduzir os riscos da organização (veja abaixo).

 

 

Este relatório contém seis seções: Resumo da Análise, Introdução, Limitações Existentes, Contexto, Análise Consolidada e Recomendações.

A seção Resumo da Análise apresenta por meio de gráficos e tabelas os resultados da análise de riscos. As informações contidas nesta seção são: quantidade de controles por situação, PSR por situação dos riscos analisados, distribuição dos riscos por níveis de riscos, níveis de riscos dos controles não implementados e riscos encontrados nos ativos.

A seção Introdução explica o que são os índices de riscos (PSR, Risk Index, Security Index, Control Index e Gap Index) e como são calculados.

A seção Limitações Existentes explica a abrangência dos resultados contidos no relatório que, por sua vez, se baseiam essencialmente nos knowledge bases utilizados nos projetos.

A seção Contexto apresenta os tipos de ativo investigados e o escopo da análise de riscos (perímetros, ativos e fontes de ameaça consideradas, knowledge bases utilizados e equipe envolvida na análise) (ver figuras abaixo como exemplos de informações provenientes desta seção).

 

Description: C:\Users\lrosa\Desktop\Capítulo 4\148.png

 Description: C:\Users\lrosa\Desktop\Capítulo 4\149.png

 

A seção Análise Consolidada apresenta por meio de tabelas os riscos consolidados para os principais componentes de negócio. Em seguida, são apresentados os riscos por cada um dos componentes. Finalmente, são apresentados os riscos por fontes de ameaça, por ameaças, por tipo de ativo, por ativos e os níveis de riscos por ativos. Desta forma, os riscos são expostos sob perspectivas diferentes, ajudando na tomada de decisões relevantes nas fases Avaliar e Tratar do projeto.

A seção Recomendações apresenta as ações a serem executadas para dar continuidade ao projeto de riscos em ativos.

 

    Relatório Executivo da Análise (REX): apresenta uma versão resumida dos resultados da análise de riscos executada no projeto (veja abaixo).

 

 

 

Este relatório contém três seções: Introdução, Resumo e Próximos Passos.

A seção Introdução apresenta o conteúdo do relatório e explica o que é o PSR, como ele é calculado e o que são os índices de riscos (PSR, Risk Index, Security Index, Control Index e Gap Index).

A seção Resumo apresenta por meio de gráficos e tabelas os resultados da análise de riscos. As informações contidas nesta seção são: quantidade de controles por situação, PSR por situação dos riscos analisados, distribuição dos riscos por níveis, riscos por ameaça e por componente de negócio, riscos nos níveis estratégico e tático, riscos encontrados nos ativos e níveis de riscos dos controles não implementados. Veja nas figuras a seguir alguns exemplos de tabelas e gráficos contidos nesta seção.

 

 Description: C:\Users\lrosa\Desktop\Capítulo 4\151.png

 

Description: C:\Users\lrosa\Desktop\Capítulo 4\152.png

 

A seção Próximos Passos apresenta os passos a serem seguidos para dar continuidade ao projeto de análise de riscos, que suporta os processos de tomada de decisão sobre quais riscos tratar de acordo com os objetivos da sua organização.

 

    Relatório Operacional de Riscos (ROR): tem como objetivo orientar os gestores na priorização das recomendações que devem ser aplicadas, de acordo com o nível de risco. Esse relatório deve ser usado também como um instrumento para implementar controles nos ativos analisados (veja abaixo).

 

 

Este relatório apresenta duas tabelas para apoiar o processo de priorização do tratamento de riscos: Lista de controles não implementados e Lista detalhada de controles não implementados (ver figuras abaixo, que são exemplos das tabelas desta seção).

A primeira tabela contém informações sobre os controles que devem ser implementados, sua prioridade e o componente de ativo ao qual o controle não implementado se refere. A tabela é ordenada por agrupamento, e, dentro dos agrupamentos, pelo PSR de cada controle em ordem decrescente.

 

Description: C:\Users\lrosa\Desktop\Capítulo 4\154.png

 

A segunda tabela contém informações sobre quais controles devem ser implementados, a soma do risco total referente aos componentes de ativo de acordo com os controles não implementados (PSR total), a justificativa de cada controle, a recomendação de como implementar cada controle e a quantidade de componentes de ativo que terão controles implementados (veja abaixo).

 

 

Além disso, para cada controle são exibidas quaisquer imagens em formato BMP, JPEG, PNG e GIF que tenham sido anexadas como evidência para a resposta, seja pelos analistas ou pelos entrevistados e revisores. Arquivos em outros formatos serão listados e podem ser acessados clicando nos links. É necessário que o usuário esteja autenticado no sistema e conectado à internet para que esse conteúdo possa ser acessado na versão PDF dos relatórios

 

    Relatório Operacional de Riscos por Ameaça (RORThreat): tem como objetivo orientar os gestores na priorização das recomendações que devem ser aplicadas, de acordo com o nível de risco. Esse relatório deve ser usado também para administrar as ameaças que podem afetar o bom andamento das atividades da sua organização (veja abaixo).

 

 

Este relatório contém duas tabelas para apoiar o processo de priorização do tratamento de riscos: Lista de controles não implementados por ameaça e Lista detalhada de controles não implementados por ameaça (ver figuras abaixo, que são exemplos das tabelas desta seção).

A primeira tabela exibe todos os controles analisados nos últimos questionários fechados relacionados aos ativos no escopo do diretório, agrupados por ameaça e ordenados por risco em ordem decrescente (PSR).

 

 

A segunda tabela, também agrupada por ameaça, contém informações mais detalhadas sobre quais controles devem ser implementados, a soma do risco total referente aos componentes de ativo de acordo com os controles não implementados (PSR total), a justificativa de cada controle, a recomendação de como implementar cada controle e a quantidade de componentes de ativo que terão controles implementados (veja abaixo).

 

 

Além disso, para cada controle são exibidas quaisquer imagens em formato BMP, JPEG, PNG e GIF que tenham sido anexadas como evidência para a resposta, seja pelos analistas ou pelos entrevistados e revisores. Arquivos em outros formatos serão listados e podem ser acessados clicando nos links. É necessário que o usuário esteja autenticado no sistema e conectado à internet para que esse conteúdo possa ser acessado na versão PDF dos relatórios. Fontes de dados que fornecem informações sobre os controles implementados, incluindo evidências e comentários fornecidos por analistas durante entrevistas também estão disponíveis para uso nos modelos de relatórios de riscos.

 

Nota: os relatórios são melhor visualizados no formato PDF.