Planeamento da gestão de riscos

Uma vez selecionada a Análise de Riscos a tratar na lista inicial, acede-se à opção ‘Planeamento da gestão de riscos’.

A opção está dividida em duas tabelas, que mostram a seguinte informação:

Lista de elementos, riscos e controlos

Mostra ‘por defeito’ a lista de elementos, riscos que superam o NRA definido e controlos associados. As tarefas que podem ser realizadas sobre a tabela são as seguintes:

• Associar/Desassociar: Permite associar/desassociar um ou vários controlos da tabela inferior aos riscos desejados. Para isso, deve-se selecionar a checkbox do risco, selecionar a checkbox do controlo da tabela inferior e pressionar ‘Associar’/‘Desassociar’.

• Mostrar: Permite ao utilizador realizar um filtro de visualização da lista de elementos, riscos e controlos. As opções possíveis são:

  • Mostrar Todos: Mostra a lista completa de elementos, riscos e controlos avaliados na secção ‘Análise de Riscos’.

  • Superam NRA: Mostra a lista de elementos, riscos e controlos associados que superam o NRA.

  • Percentagem Aceitável: Mostra a percentagem aceitável de riscos que são aceites na organização. Este parâmetro é configurado em "Definições".

  • Mostrar Todos (Sem Controlo): Permite visualizar a lista completa de elementos, riscos e controlos, independentemente do NRA.

  • Superam NRA (Sem Controlo): Permite visualizar a lista de elementos, riscos e controlos associados que superam o NRA.

  • Percentagem Aceitável (Sem Controlo): Mostra a percentagem aceitável de riscos que são aceites na organização. Este parâmetro é configurado em "Definições".

• Mostrar Dimensões: Permite selecionar as dimensões quantitativas/qualitativas que serão mostradas na tabela, tanto para os elementos, os riscos ou os controlos.

• Mostrar Atributos: Permite selecionar as dimensões textuais que serão mostradas na tabela, tanto para os elementos, os riscos ou os controlos.

• Descarregar: Possibilita descarregar a lista de elementos, riscos e controlos associados num formato editável (.docx)

• Ver: Esta opção permite visualizar os riscos de um elemento em vista de Árvore ou Dados BIA.

  • Árvore: Caso esteja ativado o uso de Dependências no Inventário, esta janela emergente foi otimizada para mostrar os elementos superiores e inferiores ao elemento atual dentro da estrutura hierárquica, filtrando a árvore e destacando em negrito a sua localização, para ter a informação sem necessidade de aceder a outra secção.

• Dados BIA:

• NRA: Informa sobre o Nível de Risco Aceitável definido na secção ‘Avaliação de Riscos’.

NOTA : Em função da metodologia definida na secção 'Definições/Metodologia de Análise', as avaliações de risco podem ser qualitativas ou quantitativas.

Plano de Tratamento

Na parte inferior é mostrada a lista de ações que foram definidas para mitigar as ameaças que superam o NRA listadas na tabela superior. As opções que podem ser realizadas sobre a tabela são:

• Associar: Permite associar um ou vários controlos à(s) ameaça(s) listadas na tabela superior. Para isso, deve-se selecionar a checkbox da ameaça na tabela superior, selecionar a checkbox do controlo e pressionar ‘Associar’.

• Eliminar: Ao pressionar o botão possibilita eliminar um controlo definido na tabela do plano de tratamento.

• Descarregar: Possibilita descarregar a lista de controlos e ações associadas num formato editável (.docx).

• Incluir controlos implementados: Oferece a possibilidade de inserir dentro do plano de tratamento controlos já implementados na organização.

• Novo: Ao pressionar o botão permite inserir um novo controlo na tabela. Para definir os parâmetros do novo controlo deve-se pressionar sobre o mesmo na tabela, mostrando-se o seguinte formulário.

Edição de um plano de tratamento

O formulário está dividido em várias secções, permitindo definir os seguintes campos:

Dados Gerais

• Nome: Identifica o nome do controlo que será mostrado na tabela inferior.

• Controlo: Permite identificar o controlo da Declaração de Aplicabilidade (SOA) ao qual está associado.

• Responsável: Identifica o responsável dentro da organização por verificar a implementação do controlo nos prazos definidos. Este responsável pode ser selecionado do conjunto de Empregados (ver secção na aba Gestão).

• Outro Responsável: Identifica o responsável dentro da organização por verificar a implementação do controlo nos prazos definidos, podendo defini-lo de forma textual.

• Recursos: Permite identificar os recursos ou departamentos da organização que estarão envolvidos na implementação do controlo.

• Prazo: Identifica o prazo no qual o controlo deve estar implementado na organização.

• Custo Associado: Possibilita definir o custo que a implementação do controlo tem para a organização.

• Comentários: Permite incorporar esclarecimentos específicos sobre a implementação do controlo.

• Observações:Permite indicar qualquer anotação adicional associada ao controlo.

Avaliação Geral do Controlo

Permite avaliar as dimensões do controlo que foram configuradas para serem exibidas na Ficha de Controlo. Ver Metodologia de Controlos.

Indicadores do Controlo

Permite associar um ou vários indicadores definidos na secção ‘ScoreCard/Indicadores’.

Ações associadas ao controlo

Permite definir as ações necessárias para a implementação do controlo clicando no botão ‘Nova’. Isso gera uma nova entrada na tabela que permite definir os seguintes parâmetros:

• Nome: Permite identificar o nome das ações pressionando duas vezes sobre a célula.

• Responsável: Identifica o responsável ou departamento dentro da organização encarregado de verificar a finalização da ação no prazo definido.

• Recursos: Permite identificar o(s) recurso(s) ou departamentos envolvidos na realização da ação.

• Prazo: Identifica o prazo no qual a ação deve estar concluída. Este prazo não deve ser superior ao prazo de implementação definitivo do controlo.

Caso deseje eliminar uma ação, deve selecionar a linha ou linhas desejadas e clicar no botão ‘Eliminar’.

Ameaças com o controlo associado

Mostra a lista de ameaças da tabela superior às quais o controlo está associado, incluindo o nível de risco e o seu tipo. Para desassociar a ameaça ao controlo deve-se selecionar a linha ou linhas desejadas e pressionar o botão ‘Desassociar’.

Caso a metodologia de controlos utilizada seja do tipo "Por Ameaça", para cada ameaça poderá ser revista e modificada a avaliação de eficácia que o controlo tem, assim como modificá-la. O check "Por Ameaça" estará marcado como Sim quando a avaliação for específica para essa ameaça, ou, caso contrário, aparecerá como Não para as ameaças que não tenham avaliação específica e às quais será aplicada a avaliação geral do controlo.

Ativos impactados

Mostra a lista de ativos que serão afetados de forma indireta pelo controlo. Os ativos mostrados são aqueles dos quais dependem os ativos identificados na secção anterior ‘Ameaças com o controlo associado’. As dependências são definidas na secção ‘Análise/Inventário de Ativos’.

Evidências associadas ao controlo

Permite associar evidências ao plano de tratamento (ou controlo) que está a ser definido. Para isso, através do botão "Associar Evidências" acede-se a uma janela emergente que contém todas as evidências registadas na opção "Gestão de Evidências" do menu de Análise. É permitido associar uma ou várias evidências da lista.

Controlos propostos

GlobalSUITE oferece a possibilidade de contar com um catálogo de controlos para associar às ameaças da tabela superior, permitindo realizar as seguintes ações:

• Associar: Permite associar um ou vários controlos propostos à(s) ameaça(s) listadas na tabela superior. Para isso, deve-se selecionar a checkbox da ameaça na tabela superior, selecionar a checkbox do controlo e pressionar ‘Associar’.

Ao associar o controlo este será mostrado na tabela do plano de tratamento.

• Categoria: Permite mostrar a lista de controlos propostos por categorias. A lista de controlos pode ser definida em ‘Definições/Catálogos de Análise’.

• Ameaça: Permite mostrar a lista de controlos propostos por ameaças. A lista de controlos pode ser definida em ‘Definições/Catálogos de Análise’.