Automatizando avaliações de risco operacional e de controle
No aplicativo Projetos, é possível criar drivers de avaliação baseados em uma métrica para automatizar as avaliações de risco operacional e avaliações de risco e notificar as principais partes interessadas quando houver mudanças.
Antes de começar
Antes de automatizar avaliações, você precisa configurar um projeto com objetivos, riscos e controles. Para ativar o botão Automatizar 
, você ou alguém em sua equipe precisa concluir as seguintes tarefas:
- Criar uma métrica no Resultados consulte Monitoramento de indicadores-chave com métricas
- Vincular a métrica à avaliação em um projeto consulte Vinculando evidência do Resultados
Como funciona?
Um driver de avaliação é uma ferramenta de automação que permite que você mantenha suas avaliações atualizadas, em tempo real. Você pode criar vários drivers de avaliação para automatizar diferentes avaliações de risco e de controle.
Você cria um driver de avaliação:
- selecionando a avaliação de risco ou controle que deseja automatizar
- definindo intervalos de métrica que serão usados para:
- preencher a pontuação de risco inerente para a avaliação OU
- determinar a avaliação de um design ou efetividade do controle
Depois de criar o driver de avaliação, a avaliação é automaticamente atualizada sempre que o valor da métrica ultrapassa um limite específico.
Por que eu crio um driver de avaliação em um projeto x uma estrutura?
Projetos ativos são avaliações pontuais, enquanto que estruturas são contínuas e demonstram atividades agregadas em vários projetos. É mais valioso criar drivers de avaliação dentro de um projeto e agregar as mudanças a uma estrutura única.
Como notifico as partes interessadas quando ocorrem mudanças nas avaliações?
Os seguintes usuários são automaticamente notificados sobre as mudanças de avaliação por meio de um e-mail de resumo diário do Projetos:
- Alterações na avaliação de risco o Usuário Designado do objetivo
- Controlar mudanças da avaliação o Proprietário do controle e o Usuário Designado do objetivo
O e-mail resume:
- quais avaliações foram atualizadas
- o número de vezes que cada avaliação foi atualizada nas últimas 24 horas
- qualquer driver de avaliação que foi desativado devido a um erro
Posso exibir dados históricos associados com drivers de avaliação?
Sim. Quando um driver de avaliação atualiza uma avaliação, o evento é registrado no Log de Atividades no painel do projeto e na seção Histórico do risco, procedimento da execução, orientação ou teste.
Automatizar uma avaliação de risco ou de controle
| Tarefa | Informações detalhadas |
|---|---|
| Automatizar uma avaliação de risco | Automatizando avaliações de risco operacional |
| Automatizar uma avaliação de controle | Automatizando avaliações de controle |
Exemplos
Cenário
Como parte da sua Revisão de Segurança Cibernética, você identificou um risco no processo Identificar:
Multas, ações judiciais e honorários advocatícios resultantes de não conformidade ou de perda de informações confidenciais
Com base nos resultados da sua análise de dados, você identificou o custo global de incidentes de segurança e criou uma métrica chamada "Custo Global de Incidentes de Segurança".
Processo
Primeiro, você configura a pontuação de risco qualificando o impacto do risco desta forma:
- < USD 10.000.000 = Baixo
- ≥ USD 10.000.000 < USD 65.000.000 = Médio
- ≥ USD 65.000.000 = Alto
Então, você vincula a métrica "Custo Global da Segurança" que criou no Resultados ao risco no Projetos.
Finalmente, você cria um driver de avaliação definindo uma série de intervalos de métricas que serão usados para preencher pontuações de risco inerente:
Resultado
A avaliação de risco é automatizada: 
Os usuários são automaticamente notificados quando limites específicos são ultrapassados, permitindo que eles realizem a ação apropriada.
Cenário
Como parte da sua Revisão de Controles Gerais de TI, você identificou um controle no processo de Segurança Física:
Todas as entradas dos data centers ou instalações de servidor são protegidas com sistema de acesso por cartão.
Baseado nos resultados da sua análise de dados, você identificou 100 entradas da instalação em diferentes data centers que deveriam estar todas protegidas com acesso por cartão. A métrica que você criou para avaliar e monitorar a efetividade do controle chama-se "% de Entradas da Instalação Seguras". Essa métrica monitora a porcentagem de entradas da instalação com acesso por cartão habilitado.
Processo
Primeiro, você vincula a métrica "% de Entradas da Instalação Seguras" que criou no Resultados ao teste no Projetos.
Depois, você cria um driver de avaliação definindo uma série de intervalos da métrica que serão usados para preencher o valor do campo Este controle operou efetivamente? :
- > 99 = Operando Efetivamente
- ≤ 99 = Exceções Observadas
Resultado
A avaliação do controle é automatizada: 
Os usuários são automaticamente notificados quando limites específicos são ultrapassados, permitindo que eles realizem a ação apropriada.
