Integração de exceção à política com Resposta a vulnerabilidades

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • A partir da versão 10.1, você pode solicitar exceções de política usando a capacidade de gestão de exceções de política GRC inerente à aplicação Gestão de políticas e conformidade na versão 10.3 da aplicação Resposta a vulnerabilidades.

    Benefícios de usar a integração de exceção à política

    A solicitação de exceções usando a integração de exceção à política com Gestão de políticas e conformidade oferece os seguintes benefícios:
    • Execute avaliações para coletar informações adicionais sobre as solicitações.
    • Solicite exceções com base em uma política específica ou objetivo de controle. Esta ação mostra os efeitos na conformidade quando uma exceção é aprovada.
    • Configure as aprovações a serem acionadas automaticamente com base na classificação de risco, na política ou no objetivo de controle associado à exceção à política.

    Como a integração de exceção à política funciona

    O cenário descrito aqui pressupõe que uma vulnerabilidade foi identificada em seu sistema e que seu proprietário de correção determinou que um patch de software é necessário. O patch não foi totalmente testado e o proprietário está solicitando uma exceção à política para adiar a implantação do patch até que o teste seja concluído.
    O diagrama a seguir ilustra as etapas executadas pelo gerente de conformidade e pelo responsável pela correção em cada uma das aplicações.
    Figura 1. Integração de exceção à política
    Fluxo de trabalho de integração de exceção à política
    Nota:
    O GRC Business User (sn_grc.business_user) ou Business User – Lite (sn_grc.business_user_lite) é a função mínima necessária para gerar uma exceção à política de uma aplicação ascendente.
    1. Quando a aplicação Resposta a vulnerabilidades é instalada, dois registros de integração de exceção à política são criados automaticamente e adicionados ao Registro de integração, um para um grupo de vulnerabilidades e um para um item vulnerável.
      Figura 2. Registro de integração de exceção à política
      Registro de integração de exceção à política.
      Para configurar o registro de item vulnerável, o gerente de conformidade executa as etapas a seguir.
      1. Identifica o mapeamento de tabelas usadas para integrar as duas aplicações.
      2. Define motivos para solicitar exceções.
      3. (opcionalmente) Define categorias de política para políticas de filtragem
      4. (opcionalmente) Cria um ou mais questionários a serem enviados ao solicitante para coletar informações adicionais sobre a solicitação de exceção à política.
    2. O gerenciador de conformidade também define regras de verificação opcionais e regras de aprovação para automatizar o processo de obtenção de aprovações para a exceção à política.
    3. Em Resposta a vulnerabilidades, o responsável pela correção Solicitar uma exceção usando Gestão de políticas e conformidade para GRC .
    4. Se uma regra de verificação tiver sido definida para a aplicação, os aprovadores designados serão notificados de que sua aprovação é necessária. Se algum campo na solicitação de exceção à política não tiver sido preenchido pelo solicitante (por exemplo, a Política ou o Objetivo de Controle), esses campos se tornarão obrigatórios para os aprovadores. Quando os aprovadores revisam, concluem e aprovam a solicitação, ela passa para o estado Analisar e é atribuída ao gerente de conformidade para análise e aprovação adicionais.
    5. Em Gestão de políticas e conformidade, o gerente de conformidade recebe a solicitação aprovada e atribui uma classificação de risco à solicitação de exceção à política na guia Avaliação de risco.
      Figura 3. Solicitação de exceção à política na guia Avaliação de risco
      Avaliação de riscos

      Quando o registro de exceção à política é salvo, as informações na guia Origem, incluindo a aplicação de origem e o registro de origem, bem como as informações na lista relacionada Itens vulneráveis são preenchidas automaticamente. O gerente de conformidade agora tem acesso a todos os dados necessários para revisar e aprovar a exceção à política.

    6. Em Gestão de políticas e conformidade, o gerente de conformidade executa a avaliação de exceção, se as avaliações foram configuradas. Quando a avaliação é concluída, o gerente de conformidade retorna à guia Avaliação de risco e atualiza a classificação de risco com base nas descobertas da avaliação, se necessário. O gerente de conformidade também preenche os seguintes campos com informações coletadas durante a avaliação.
      Tabela 1. Guia Avaliação de risco
      Campo Descrição
      Descrição do risco Forneça detalhes sobre o risco associado a esta exceção à política.
      Análise de risco e impacto Forneça detalhes sobre sua análise do risco e do impacto na exceção à política.
      Plano de mitigação de risco Forneça detalhes sobre o plano de mitigação associado a esta exceção à política.
    7. Se a exceção à política não tiver informações, o gerente de conformidade poderá clicar em Solicitar mais informações e adicionar comentários para identificar o tipo de dados necessário. O solicitante é notificado e fornece as informações solicitadas.
    8. Opcionalmente, o gerente de conformidade pode enviar a exceção à política para uma revisão interna adicional antes de aprová-la clicando em Solicitar revisão.
      Nota:
      Antes de solicitar uma revisão, certifique-se de que a lista relacionada de Controles afetados contenha os controles afetados pela exceção à política. Basta abrir a lista relacionada, clicar em Adicionare selecionar os controles.
    9. Se a exceção à política for de um risco particularmente alto e o gerente de conformidade achar que a aprovação deve vir de alguém superior na organização (por exemplo, o diretor de tecnologia da informação), o gerente de conformidade poderá clicar em Solicitar aprovação.
      Caso contrário, a aprovação será realizada nos seguintes cenários.
      Regra de aprovação definida Efeito na aprovação
      Se uma regra de aprovação não foi definida para Resposta a vulnerabilidades Selecionar Aprovado faz com que a exceção à política seja aprovada.
      Se uma regra de aprovação foi definida, mas a caixa de seleção de gatilho automático não foi marcada Você pode clicar em Solicitar aprovação para enviar a exceção à política para os usuários ou grupos definidos na regra. Por exemplo, uma regra de aprovação pode indicar que, quando a exceção à política se baseia em uma política específica, um determinado conjunto de usuários ou grupos é notificado de que precisa fornecer aprovação para a exceção à política. Ou, uma regra de aprovação pode ser definida para que qualquer exceção à política com uma classificação de risco Crítico seja enviada automaticamente para um determinado conjunto de aprovadores.

      O número de aprovadores necessários para aprovar a exceção à política depende da configuração no campo Aprovação necessária na regra.

      Você também pode clicar em Aprovar para aprovar a exceção à política por conta própria.
      Se uma regra de aprovação foi definida e a caixa de seleção Acionamento automático foi marcada Clicar no botão Aprovar faz com que a regra de aprovação seja executada e a exceção à política seja enviada automaticamente aos usuários ou grupos definidos pela regra para aprovação. O gatilho automático torna esta etapa obrigatória. Quando as aprovações são recebidas, a exceção à política entra em vigor.
    10. Em Resposta a vulnerabilidades, depois que as aprovações foram recebidas, a exceção à política se torna ativa e a atividade de patch no item vulnerável é adiada até que a exceção à política expire. Quando a data Válido até é atingida, a exceção à política expira e o estado do item vulnerável muda de Adiado para Aberto.