Integração de exceção de política com Vulnerability Response

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 5 min. de leitura

    • A partir da versão 10.1, é possível solicitar exceções de política usando o recurso de gestão de exceções de política GRC inerente à aplicação Policy and Compliance Management na versão 10.3 da aplicação Vulnerability Response.

    Benefícios de usar a integração de exceção de política

    Solicitar exceções usando a integração de exceção de política com Policy and Compliance Management fornece os seguintes benefícios:
    • Realize avaliações para coletar informações adicionais sobre as solicitações.
    • Solicite exceções com base em uma política específica ou objetivo de controle. Esta ação mostra os efeitos na conformidade quando uma exceção é aprovada.
    • Configure as aprovações para serem acionadas automaticamente com base na classificação de risco, na política ou no objetivo de controle associado à exceção de política.

    Como funciona a integração de exceção de política

    O cenário descrito aqui pressupõe que uma vulnerabilidade foi identificada em seu sistema e que o responsável pela correção determinou que um patch de software é necessário. O patch não foi totalmente testado e o proprietário está solicitando uma exceção de política para adiar a implantação do patch até que o teste seja concluído.
    O diagrama a seguir ilustra as etapas realizadas pelo gerenciador de conformidade e pelo proprietário da correção em cada uma das aplicações.
    Figura 1. Integração de exceção de política
    Fluxo de trabalho de integração de exceção de política
    Nota:
    O GRC Business User (sn_grc.business_user) ou Business User – Lite (sn_grc.business_user_lite) é a função mínima necessária para gerar uma exceção de política de uma aplicação ascendente.
    1. Quando a aplicação Vulnerability Response foi instalada, dois registros de integração de exceção de política são criados automaticamente e adicionados ao Registro de integração, um para um grupo de vulnerabilidades e um para um item vulnerável.
      Figura 2. Registro de integração de exceção de política
      Registro de integração de exceção de política.
      Para configurar o registro de item vulnerável, o gerenciador de conformidade executa as etapas a seguir.
      1. Identifica o mapeamento de tabelas usadas para integrar as duas aplicações.
      2. Define os motivos para solicitar exceções.
      3. (opcionalmente) Define categorias de política para filtrar políticas
      4. (opcionalmente) Cria um ou mais questionários a serem enviados ao solicitante para coletar informações adicionais sobre a solicitação de exceção de política.
    2. O gerenciador de conformidade também define regras de verificação opcionais e regras de aprovação para automatizar o processo de obtenção de aprovações para a exceção de política.
    3. Em Vulnerability Response, o responsável pela correção Solicitar uma exceção usando GRC: Policy and Compliance Management .
    4. Se uma regra de verificação tiver sido definida para a aplicação, os aprovadores designados serão notificados de que sua aprovação é necessária. Se algum campo na solicitação de exceção de política não tiver sido preenchido pelo solicitante (por exemplo, a Política ou o Objetivo de controle), esses campos se tornarão obrigatórios para os aprovadores. Quando os aprovadores tiverem revisado, concluído e aprovado a solicitação, ela fará a transição para o estado Analisar e será atribuída ao gerente de conformidade para análise e aprovação adicionais.
    5. Em Policy and Compliance Management, o gerente de conformidade recebe a solicitação aprovada e atribui uma classificação de risco à solicitação de exceção de política na guia Avaliação de risco.
      Figura 3. Solicitação de exceção de política na guia Avaliação de risco
      Avaliação de riscos

      Quando o registro de exceção de política é salvo, as informações na guia Origem, incluindo a aplicação de origem e o registro de origem, bem como as informações na lista relacionada de Itens vulneráveis são preenchidas automaticamente. O gerente de conformidade agora tem acesso a todos os dados necessários para revisar e aprovar a exceção de política.

    6. Em Policy and Compliance Management, o gerenciador de conformidade executa a avaliação de exceção, se as avaliações foram configuradas. Quando a avaliação é concluída, o gerente de conformidade retorna à guia Avaliação de risco e atualiza a classificação de risco com base nas descobertas da avaliação, se necessário. O gerenciador de conformidade também preenche os campos a seguir com informações coletadas durante a avaliação.
      Tabela 1. Guia Avaliação de risco
      Campo Descrição
      Descrição do risco Forneça detalhes sobre o risco associado a esta exceção de política.
      Análise de risco e impacto Forneça detalhes sobre sua análise do risco e do impacto na exceção de política.
      Plano de mitigação de risco Forneça detalhes sobre o plano de mitigação associado a esta exceção de política.
    7. Se a exceção de política não tiver informações, o gerente de conformidade poderá clicar em Solicitar mais informações e adicionar comentários para identificar o tipo de dados necessários. O solicitante é notificado e fornece as informações solicitadas.
    8. Opcionalmente, o gerente de conformidade pode enviar a exceção de política para uma revisão interna adicional antes de aprová-la, clicando em Solicitar revisão.
      Nota:
      Antes de solicitar uma revisão, certifique-se de que a lista relacionada Controles afetados contenha os controles afetados pela exceção de política. Basta abrir a lista relacionada, clicar em Adicionare selecionar os controles.
    9. Se a exceção de política for de um risco particularmente alto e o gerente de conformidade acredita que a aprovação deve vir de alguém superior na organização (por exemplo, o diretor de tecnologia da informação), o gerente de conformidade pode clicar em Solicitar aprovação.
      Caso contrário, a aprovação será realizada nos cenários a seguir.
      Regra de aprovação definida Efeito na aprovação
      Se uma regra de aprovação não tiver sido definida para Vulnerability Response Clicar no botão Aprovado faz com que a exceção de política seja aprovada.
      Se uma regra de aprovação foi definida, mas a caixa de seleção Acionamento automático não foi marcada Você pode clicar em Solicitar aprovação para enviar a exceção de política aos usuários ou grupos definidos na regra. Por exemplo, uma regra de aprovação pode indicar que, quando a exceção de política é baseada em uma política específica, um determinado conjunto de usuários ou grupos é notificado de que precisa fornecer aprovação para a exceção de política. Ou uma regra de aprovação pode ser definida para que qualquer exceção de política com uma classificação de risco Crítica seja enviada automaticamente para um determinado conjunto de aprovadores.

      O número de aprovadores necessários para aprovar a exceção de política depende da configuração no campo Aprovação necessária na regra.

      Você também pode clicar em Aprovar para aprovar a exceção de política.
      Se uma regra de aprovação foi definida e a caixa de seleção Acionamento automático foi marcada Clicar no botão Aprovar faz com que a regra de aprovação seja executada e a exceção de política seja enviada automaticamente aos usuários ou grupos definidos pela regra para aprovação. O gatilho automático torna esta etapa obrigatória. Quando as aprovações são recebidas, a exceção de política entra em vigor.
    10. Em Vulnerability Response, depois que as aprovações foram recebidas, a exceção de política se torna ativa e a atividade de patch no item vulnerável é adiada até que a exceção de política expire. Quando a data Válido até for atingida, a exceção de política expirará e o estado do item vulnerável mudará de Adiado para Aberto.