Como descrito antes, no decorrer da pesquisa dessas ferramentas, foi feito um levanta- mento nos sítios de todos os fabricantes, na procura por informações complementares, buscando contatos, manuais e representações no Brasil. Os resultados serão apresentados a seguir.
Para essa etapa foram elencados requisitos específicos para as ferramentas, com foco na gestão de riscos. Assim, requisitos considerados necessários foram aqui listados para ob- servação e utilização futura:
• estabelecimento do contexto; • cadastro de ativos;
• cadastro de atributos de ativos;
• atribuição de responsabilização por ativo (para stakeholders); • cadastro de critério para análise de risco;
• customização de matriz de risco;
• exportar relatórios em planilhas eletrônicas; • importar relatórios de planilhas eletrônicas;
• confecção de matriz de comparação de critérios (Método AHP);
• criação de matriz de comparação de ativos por critério (Método AHP); • criação de relatórios por grupo de ativos;
• criação de relatórios de análise de risco; • instalação em plataforma Windows; • instalação em plataforma Linux;
• possuir rotinas de backup e restauração; • integração com o Active Directory; • integração com o LDAP.
Nos próximos tópicos serão detalhados esses requisitos elicitados das ferramentas estuda- das.
1. Estabelecimento do contexto: Mapeamento de riscos e dos ambientes que podem influenciá-los, definindo os critérios e o escopo da gestão.
2. Cadastro de ativos: O cadastro de ativos tem como finalidade permitir que a associação entre um componente de ativo e uma base de conhecimento possam ser utilizadas para a medição de risco. De fato, esse cadastro funciona como um registro de todos os detalhes técnicos relevantes que podem ser utilizados em etapas posteriores da análise em si.
3. Cadastro de atributos de ativos: Esse requisito complementa o requisito ante- rior. O esperado nas ferramentas é que no “cadastro de ativos” haja um conjunto de atributos a ser preenchido para uso posterior. A ideia é de que a ferramenta possibilite a criação de novos atributos, de acordo com a especificidade dos ativos e da análise de risco.
4. Atribuição de responsabilização por ativo (para stakeholders): Esse requi- sito destina-se à seleção de uma pessoa, que deve estar previamente cadastrada no sistema, que deve responder pelo ativo. Essa pessoa será a responsável por fornecer as informações relacionadas aos atributos dos ativos, principalmente no tocante ao cálculo do risco.
5. Cadastro de critério para análise de risco: O cadastro de critérios tem como finalidade permitir que sejam adicionados critérios específicos à análise de risco. Entende-se que essa análise pode ser feita com foco específico para cada fim. O ob- jetivo desse critério é, portanto, a inserção de critérios além daqueles pré-existentes na ferramenta.
6. Customização de matriz de risco: A matriz de riscos é um instrumento que visa ao mapeamento de todos os riscos catalogados de acordo com seus respectivos níveis de probabilidade, impacto e severidade propostos, permitindo, assim, que os riscos mais críticos sejam rapidamente identificados através de uma forma visual. Customizar essa matriz de riscos significa ajustar a forma como os riscos serão identificados. Significa que o usuário poderá criar matrizes de riscos específicas a cada cenário, se for o caso.
7. Exportar relatórios em planilhas eletrônicas: Exportar relatórios em plani- lhas eletrônicas é um requisito que facilita a seleção, ordenação e/ou consultas em relatórios extensos. Desenvolver diversos tipos de consulta em um relatório exige um esforço computacional da ferramenta. Ao transportar o conteúdo de um relatório para uma planilha eletrônica, abre-se um conjunto de possibilidades de ordenação e consultas que tornam desnecessárias sua implementação no código da ferramenta. 8. Importar relatórios de planilhas eletrônicas: Importar relatórios de planilhas
ou conjunto de informação que foram identificadas quando da confecção de matriz de comparação de critérios (Método AHP) Esse item faz parte de um conjunto de requisitos relacionados à utilização do método AHP no processo decisório, que permitiria, à ferramenta, a criação de uma matriz de comparação de critérios de forma gráfica, possibilitando ao usuário do sistema a comparação dos critérios par a par.
9. Confecção de matriz de comparação de critérios (Método AHP): Criação de matriz quadrada com os critérios selecionados à análise de risco do contexto estudado. Destina-se ao estabelecimento do Vetor de Eigen, que determina o peso que cada critério terá na análise, como um todo.
10. Criação de matriz de comparação de ativos por critério (Método AHP): Esse item também faz parte do conjunto de requisitos necessários à utilização do método AHP. Na verdade, ele é um desdobramento do método e o seu objetivo é o de que a ferramenta também possa criar uma matriz de comparação, utilizando todos os ativos a serem analisados, critério por critério, de forma que, se houvessem dez critérios, haveriam, nesse caso, dez matrizes.
11. Criação de relatórios por grupo de ativos: Esse item visa permitir o agrupa- mento de um determinado tipo de ativo de TI, de forma que a ferramenta possa tratar esse grupo individualmente, transportando para o grupo, o maior índice de determinado atributo, ou a sua média, de acordo com o que for mais pertinente à análise de risco.
12. Criação de relatórios de análise de risco: Relatórios servem para exibir infor- mações consolidadas das últimas avaliações de riscos. Esses relatórios podem ser customizados e, antes que sejam gerados, podem ser filtrados para mostrar apenas informações específicas. Uma vez gerados, devem poder ser enviados por e-mail ou exportados em diversos formatos, desde editáveis, como txt, doc, docx, até aqueles somente para leitura, como xml ou pdf. A geração no formato de planilhas eletrôni- cas foi tratada como um requisito à parte, por conter especificidades que o distingue de um relatório comum.
13. Instalação em plataforma Windows: Esse item não se trata de um requisito funcional, mas possui extrema relevância se considerarmos que os ambientes de TI dos diversos órgãos da APF são heterogêneos com relação à plataforma existente. Determinar a usabilidade de uma ferramenta nessa plataforma pode significar a sua utilização ou não.
14. Instalação em plataforma Linux: Esse item apresenta a mesma relevância do requisito anterior, guardadas as especificidades de cada plataforma. As distribuições Debian, Suse, Red Hat, Slackware, por exemplo, apesar de serem todas Linux, possuem particularidades quanto a bibliotecas, dll’s e applets, que tornam fácil a instalação das ferramentas, ou não.
15. Possuir rotinas de backup e restauração: Esse item não é um requisito funci- onal, mas apresenta relevância extrema, se considerarmos que qualquer ferramenta que manipule uma quantidade significativa de informação necessita ter implemen- tada uma rotina de backup automática e, ainda, uma rotina de recuperação dessas informações.
16. Integração com o Active Directory (AD): Esse item visa possibilitar a inte- gração com um serviço de diretório no protocolo LDAP que armazena informações sobre objetos em rede de computadores e disponibiliza essas informações a usuá- rios e administradores dessa rede. O AD é, na verdade, um software da Microsoft utilizado em ambientes Windows.
17. Integração com o LDAP: O LDAP ou Lightweight Directory Access Protocol é um protocolo de aplicação aberto, livre de fornecedor e padrão de indústria para acessar e manter serviços de informação de diretório distribuído sobre uma rede. Esse item visa possibilitar a integração com um serviço de diretório nas distribuições Linux que recebem o mesmo nome do protocolo LDAP.