Modulo Risk Manager: Sistema de Avalia��o do Risco, Conformidade e Gest�o de Conhecimento

O Modulo Risk Manager automatiza o processo de avalia��o do risco e produz m�ltiplos relat�rios de conformidade a partir de evid�ncias recolhidas, reduzindo eficientemente a execu��o dos ciclos de auditoria. Al�m disso, � uma solu��o de f�cil aprendizagem e pode correr num computador port�til ou de secret�ria, bem como num servidor departamental ou da organiza��o, n�o requerendo a instala��o de agentes em m�quinas remotas a analisar.
�
Esta solu��o da M�dulo Security, representada em Portugal pela Sinfic, efectua de forma c�lere a recolha de informa��o sobre os activos de TI (tecnologias de informa��o), localmente, remotamente, em on-line ou em off-line, calculando os n�veis de risco de forma r�pida e eficaz atrav�s da compara��o da informa��o recolhida com as boas pr�ticas de variados standards, recomenda��es de fabricantes e/ou boas pr�ticas de mercado, cada uma das quais � considerada como um controlo no RiskManager e cujo conjunto se denomina 'base de conhecimento'.

Adicionalmente, como a solu��o cont�m pr�-configurados valores de n�vel de risco associados a cada controlo, estimados pela larga experi�ncia do Modulo Security Lab (o laborat�rio de desenvolvimento interno da M�dulo), por omiss�o de conformidade com um ou v�rios controlos, podemos facilmente identificar o risco de um activo de TI face a um ou mais referenciais.

Outras bases de conhecimento espec�ficas simplificam tamb�m o processo de entrevistas a activos humanos, com question�rios pr�-preparados ou criados pela pr�pria organiza��o. Nesta actividade consegue-se igualmente uma extrema poupan�a de tempo, atrav�s da possibilidade de envio de um pacote electr�nico por email para as pessoas a inquirir responderem via question�rios off-line, ou em modo on-line atrav�s do envio de convite de entrevistas, tamb�m por email, para recolha de respostas via uma aplica��o Web (WebInterview).

Ap�s a conclus�o das respostas de cada question�rio, estas s�o incorporadas na solu��o RiskManager e de imediato mapeadas com os controlos que constam na base de conhecimento pretendida (boas pr�ticas de variados standards, recomenda��es de fabricantes e/ou boas pr�ticas de mercado, entre outras). Estas respostas s�o guardadas automaticamente num reposit�rio seguro, servindo de evid�ncias de auditoria, em forma de 'auto-avalia��o'.

Desta forma, consegue-se reduzir drasticamente o tempo e as capacidades necess�rias para a recolha de dados/evid�ncias. No caso dos activos tecnol�gicos, est�o inclu�dos no Risk Manager cerca de 3745 colectores de evid�ncias. A combina��o destas ferramentas reduz o tempo global de recolha de dados entre 25 e 75 por cento.

Os valores de risco s�o calculados com base na sua probabilidade, impacto, e relev�ncia para com o neg�cio e seus processos. Para os primeiros dois (probabilidade e impacto) j� existem valores pr�-determinados armazenados na base de conhecimento, pelo que a equipa de gest�o de uma organiza��o s� necessita de estimar a relev�ncia para com o neg�cio, trabalhando em coordena��o com os auditores e os profissionais de TI. O m�todo utilizado est� definido na ISO Guide 73.

O Risk Manager encoraja uma abordagem estruturada descendente (top-down) para a avalia��o, come�ando por facilitar a captura dos nomes das unidades ou objectivos de neg�cio abrangidas (primeiro n�vel) por uma auditoria, e depois os nomes dos componentes que suportam essas unidades ou objectivos de neg�cio (segundo n�vel). S� seguidamente � que vem a descri��o dos activos (terceiro n�vel), associando estes �ltimos ao segundo e ao primeiro n�vel.

O Risk Manager pode gerar um conjunto completo de relat�rios em apenas alguns minutos e em qualquer altura durante qualquer fase da avalia��o. Desta forma, faz com que os relat�rios de estado situacional sejam simples de produzir. De igual modo, a tarefa de escrever relat�rios � praticamente eliminada.

Estes relat�rios incluem gr�ficos organizacionais gerados automaticamente no Microsoft Visio, com valores de risco por activos e seus n�veis superiores, bem como in�meros quadros, tabelas e estat�sticas, apresentados com base numa matriz crom�tica ajust�vel pela organiza��o. Estes elementos podem ser editados e costumizados pela equipa de gest�o ou de auditores, e s�o consistentes para todas as divis�es, unidades de neg�cio, locais e aplica��es, facilitando assim a utiliza��o desses valores de risco por parte da gest�o e a compreens�o da conformidade organizacional face a um determinado standard.

Os valores num�ricos de risco permitem que a gest�o da seguran�a priorize as suas ac��es para mitiga��o de risco. As tarefas de mitiga��o s�o apresentadas discriminadamente por ordem descendente quanto ao potencial de risco identificado, contendo explica��es do valor apresentado e recomenda��es para sua mitiga��o.

Por sua vez, o Risk Manager possui uma metaframework, uma consolida��o cruzada dos v�rios controlos das v�rias bases de conhecimento, que permite que a organiza��o produza um conjunto de relat�rios que possibilitem obter uma vis�o de conformidade com qualquer um dos standards contidos na solu��o.

Para clarificar este cen�rio de cruzamento de referenciais, temos como exemplo que a resposta de conformidade a um controlo espec�fico da ISO 27002/17799 (boas pr�ticas em seguran�a da informa��o) pode responder automaticamente a um ou mais controlos do modelo de refer�ncia VISA-PCI. Assim, e como outro exemplo, concluindo-se uma auditoria de conformidade face � base de conhecimento 'SOX', pode-se solicitar a emiss�o de um relat�rio de conformidade face ao HIPAA, ao PCI, ao COBIT ou NIST 800-53 entre outros, que � produzido tendo em conta as evid�ncias coleccionadas em sede da auditoria realizada, cruzando controlos entre os v�rios standards.

Isto permite que os profissionais, de seguran�a de TI, por exemplo, obtenham e guardem evid�ncias na prepara��o para a conformidade com as v�rias auditorias a que uma organiza��o est� sujeita durante o ano, utilizando uma abordagem e ferramenta una de gest�o de risco.

O Risk Manager est� no seu s�timo ano de desenvolvimento para o mercado, pelo que � um produto maduro e fi�vel. Quem o utiliza, n�o est� a utilizar apenas o software, mas a experi�ncia acumulada de mais de 300 consultores em seguran�a da M�dulo, que o utilizam diariamente para a avalia��o de riscos e conformidade. O Risk Manager � ideal para a parte de TI das auditorias Sarbanes-Oxley, que s�o derivadas normalmente do COBIT, ISO ou NIST, por exemplo.

Saliente-se que o RiskManager possui bases de conhecimento e ferramentas de an�lise que permitem efectuar auditorias, n�o s� a ambientes tecnol�gicos e activos humanos, mas tamb�m a ambientes (centro de processamento de dados e edif�cios, por exemplo) e a processos (internos da organiza��o ou, por exemplo, processo de gest�o da continuidade de neg�cio segundo a BS 25999)

A M�dulo Security segue as pr�ticas de desenvolvimento ISO 9001 e foi a primeira empresa do mundo a obter a certifica��o ISO 27001.

Problemas que o Modulo Risk Manager resolve

O Risk Manager resolve os problemas que apresentamos a seguir, entre outros:

Retorno em termos de capital humano. Sempre que um empregado abandona a empresa durante a condu��o de uma auditoria, tamb�m sai com ele conhecimento caro. O Risk Manager captura e armazena esse conhecimento.
A forma��o de novas pessoas, seja em termos de boas pr�ticas de seguran�a ou outras mat�rias, pode ser dispendioso em termos de tempo e de dinheiro. O Risk Manager equipa as pessoas com conhecimento e processos para reduzir consideravelmente esse tempo.
Custos de viagens. � frequente a necessidade de enviar mais do que um especialista/auditor para um determinado local a fim de realizar entrevistas ou recolher evid�ncias. Estas desloca��es, al�m de serem caras, costuma ser uma fonte de atrasos. Uma �nica pessoa, equipada com o Risk Manager, pode tratar da maior parte dos dom�nios envolvidos e frequentemente sem ter que viajar.
Inconsist�ncia. Os especialistas costuma criar os seus pr�prios controlos, m�todos e formatos de relat�rios, com base na sua pr�pria experi�ncia, que varia de especialista para especialista. O Risk Manager introduz e consolida metodologia no software, proporcionando assim consist�ncia na recolha de evid�ncias, sua an�lise e produ��o de relat�rios.
Medi��es d�spares. Os indiv�duos, fabricantes e terceiras partes utilizam as suas pr�prias ferramentas para a recolha de dados. O Risk Manager inclui todos os colectores necess�rios e todos eles utilizam a classifica��o de risco PSR (probabilidade, severidade, relev�ncia).
"Se n�o consegue medir, n�o consegue gerir". O Risk Manager aplica o m�todo de medi��o mais pr�tico, recomendado pela ISO Guide 73, de forma uniforme a todos os activos e controlos.
N�o existe um reposit�rio de evid�ncias seguro em todas as instala��es de auditoria para a cataloga��o dos resultados e das evid�ncias. As folhas de c�lculo ficam assim cheias de liga��es para evid�ncias e n�o podem ser partilhadas devido � sua dimens�o e ao risco de seguran�a inerente � sua partilha via correio electr�nico. Com o Risk Manager, pode-se seleccionar e distribuir a informa��o apropriada para qualquer departamento ou pessoa, com transmiss�o encriptada.
A informa��o � guardada de forma a evitar interfer�ncias.
O controlo de altera��es e a coordena��o da distribui��o de altera��es � dif�cil, sem qualquer garantia de que as altera��es eram recebidas e adoptadas. O Risk
Manager fornece actualiza��es ao vivo para manter os standards e o software actualizado.
� necess�rio muito tempo e � quase imposs�vel manter pequenas equipas actualizadas quanto a novas leis, regulamenta��es, controlos e vulnerabilidades. Com o Risk Manager, cada pessoa disp�e do conhecimento e da experi�ncia de centenas de especialistas.
A gest�o de projectos, a prepara��o e integra��o de relat�rios costuma consumir muito tempo, tornando os relat�rios de estado inexactos. O Risk Manager reduz o tempo de prepara��o a zero, gerando os relat�rios automaticamente.
Redund�ncia. Em vez de se exigir �s pessoas que recolham repetidamente a mesma informa��o e respostas �s mesmas quest�es, o Risk Manager pode obter as mesmas evid�ncias e respostas para m�ltiplas auditorias, optimizando os ciclos de auditoria.�

Produzido em 2008

Topo

Agenda

Destaques