Terceira fase: Gerencie com o GAT Core e tenha controle e visibilidade #
Há uma imensa variedade de casos de uso com o GAT Core. Nesta fase, Gerenciar, vamos cobrir um caso bem comum, que é a definição de três propriedades bem importantes dos apontamentos: quem será o responsável por eles, a data limite que o responsável terá para realizar o tratamento, e qual será seu plano de ação para o tratamento acontecer.
Tendo feita a integração das duas plataformas, seu GAT Core terá sido populado com os apontamentos levantados pelo GAT Security Score, e pode ser visto na tela apropriada:
Vamos ver como podemos gerenciar apontamentos desta maneira. Primeiro, vamos definir um responsável e uma data limite. Clique no checkbox da primeira coluna para selecionar um ou mais apontamentos desejados, pois é possível definir essas propriedades em lote. Com um ou mais apontamentos selecionados, uma nova barra de ferramentas vai surgir. Nela, clique em Responsável/ Data Limite:
No formulário que aparecer, preencha esses dois campos, Responsável e Data Limite. Você pode também alterar o status do apontamento para Em Tratamento se quiser, e abrir um ticket caso a integração com o Jira estiver configurada.
Feito isso, você poderá ver as novas definições na tabela de Apontamentos:
Falta, finalmente, declarar o Plano de Ação a ser executado. Para fazer isso, selecione um apontamento e clique no botão Editar na barra de ferramentas. Isso abrirá a aba lateral no modo edição. Com ela aberta, clique na aba Plano de Ação, para exibir o seguinte formulário:
Aqui será possível configurar como serão feitas as quatro etapas de um Plano de Ação a respeito de um apontamento: Teste, Recomendação, Mitigação e Referências. Teste se refere à maneira de conferir a existência de um apontamento, em Recomendação é dito como corrigir um apontamento e caso isso não seja possível ou viável, em Mitigação é possível dizer como reduzir ao máximo os danos que podem ser causados devido àquele apontamento. Por fim, em Referências é possível indicar locais de consulta a respeito daquele apontamento.
As três primeiras etapas são preenchidas com itens que já devem existir na Base de Conhecimento do GAT Core. Para saber mais sobre elas e como incluir novos itens na base, consulte esse artigo.
Tendo seguido esses passos, a tríade basilar do gerenciamento de vulnerabilidades foi feita: quem vai se responsabilizar por elas, até quando os responsáveis terão para tratá-las e como irão cumprir com o estipulado. E agora cabe aos responsáveis pelos apontamentos cuidar da parte final da SAGA, que é Adequar os apontamentos, evidencia-los e verificar as regras de conformidade.
Para adequar e evidênciar é necessário aplicar o quarto passo da metodologia SAGA – Adequar.