O que é um relatório RMF?
Um relatório RMF é um documento que consolida dados de várias fontes (por exemplo, avaliações de risco, auditorias de conformidade, relatórios de incidentes) para rastrear e exibir indicadores-chave de desempenho (KPIs) (por exemplo, níveis de risco, status de conformidade, tempos de resposta a incidentes), permitindo que as equipes monitorem o gerenciamento de riscos e o desempenho de conformidade e criem apresentações para stakeholders e executivos.
Relatórios RMF são geralmente criados usando ferramentas flexíveis como Google Looker Studio, Power BI, Google Sheets ou soluções específicas de plataforma para permitir alta personalização e integração de várias fontes de dados.
O que incluir em um relatório RMF?
Um relatório RMF acionável equilibra contexto e especificidade com base no público (executivos, gerentes e analistas) e seus casos de uso.
Relatórios RMF executivos
Relatórios executivos para CISOs, CEOs e stakeholders mostram o status de gerenciamento de riscos e conformidade da organização. Revisados semanalmente, mensalmente ou trimestralmente, eles incluem:
- Análise de avaliação de riscos: por categoria, usando pontuação de risco e priorização para avaliações em grande escala.
- Status de conformidade: rastreamento da adesão a regulamentos e padrões (por exemplo, NIST, ISO).
- Análise de resposta a incidentes: tempos de resposta, taxas de resolução e avaliações de impacto.
- Adicionar texto para contexto adicional para traduzir métricas para públicos não técnicos. Apresentar em apresentações de slides e relatórios simplificados do Looker Studio.
Relatórios RMF para gerentes
Relatórios para gerentes têm visões multifuncionais com detalhamentos para ver o desempenho por departamento, região, membro da equipe e área de conformidade. Eles ajudam a alinhar equipes, definir táticas e incluem:
- Relatório multifuncional: relatório geral de risco e conformidade entre departamentos.
- Rastreamento de metas: comparar o desempenho atual com os objetivos.
- Auditorias para priorização e identificação de problemas
- Benchmarking para práticas de gerenciamento de riscos e conformidade.
- Revisões de políticas, procedimentos e controles
Relatórios RMF operacionais
Relatórios operacionais para analistas e gerentes de risco têm KPIs granulares e personalizáveis para resolver problemas técnicos. Monitorados por hora, diariamente ou semanalmente, eles cobrem:
- Monitoramento de riscos: níveis de risco, status de mitigação, eficácia dos controles.
- Rastreamento de conformidade: achados de auditoria, ações corretivas, prazos de conformidade.
- Gestão de incidentes: registros de incidentes, tempos de resposta, status de resolução.
- Aplicação de políticas: violações de políticas, taxas de adesão, conclusão de treinamentos.
Relatórios RMF operacionais são altamente personalizados, construídos em ferramentas flexíveis como Google Sheets ou Looker Studio para permitir limpeza de dados, mistura, anotações e integração de várias fontes.
Como construir um relatório RMF?
Para construir um relatório RMF, conecte suas fontes de dados, escolha um template no Looker Studio ou Sheets, construa suas consultas selecionando métricas e dimensões, escolha gráficos para visualizar seus dados, personalize o relatório, projete e compartilhe via link, PDF ou e-mail.
Aqui está o detalhamento:
Conectar fontes de dados
Defina e conecte as fontes de dados para trazer ao seu relatório. Fontes comuns são sistemas de gerenciamento de riscos, bancos de dados de conformidade, ferramentas de gestão de incidentes e relatórios de auditoria.
Para conectar suas fontes de dados, vá para portermetrics.com, escolha as fontes de dados para trazer ao seu relatório.
Você pode seguir estes tutoriais sobre como conectar seus dados:
Escolher um template
Escolha entre dezenas de templates de relatórios RMF no Google Sheets ou Looker Studio, projetados para casos de uso como monitoramento de riscos, rastreamento de conformidade, gestão de incidentes e aplicação de políticas.
Aprenda a copiar templates do Looker Studio.
Embora os templates sejam o ponto de partida. Torne-os específicos para sua organização. Mapeie suas métricas específicas, especialmente pontuações de risco personalizadas, dados de conformidade, registros de incidentes e todos os campos e métricas que você define como "riscos" e "status de conformidade".
Dependendo da sua ferramenta de relatório—Google Sheets ou Google Looker Studio, escolha qualquer um dos dezenas de templates criados por nossa equipe e clientes para resolver seus casos de uso de relatórios RMF, como monitoramento de riscos, rastreamento de conformidade, gestão de incidentes e aplicação de políticas.
Selecionar métricas, dimensões e gráficos
Uma vez que seu template de relatório esteja baixado, você pode 1) modificá-lo ou 2) criar uma página em branco para construí-lo do zero. Seja qual for o caso, configurar uma consulta sempre segue estes passos:
- Selecione a fonte de dados e a conta conectada a ela
- Escolha métricas (por exemplo, pontuação de risco, taxa de conformidade, contagem de incidentes, etc.).
- Escolha detalhamentos para segmentar seus dados (por exemplo, por data, departamento, categoria de risco, etc.)
Você pode seguir estes tutoriais sobre como adicionar dados aos seus relatórios
Design
Para tornar seus relatórios RMF verdadeiramente de marca branca, você pode adicionar logos, cores, fontes e estilos para espelhar sua marca.
Siga estes tutoriais para projetar seus relatórios RMF:
Compartilhar
Compartilhe seus relatórios RMF via links, PDF, agende e-mails e controle permissões.
KPIs para incluir em um relatório RMF?
Relatórios RMF devem incluir uma mistura de métricas de risco, conformidade, incidentes e políticas e KPIs para entender completamente o desempenho dos esforços de gerenciamento de riscos e conformidade em relação aos objetivos organizacionais. Eles incluem:
KPIs de gerenciamento de riscos medem o panorama de riscos e os esforços de mitigação:
- Métricas de risco: pontuação de risco, nível de risco, status de mitigação
- Métricas de conformidade: taxa de conformidade, achados de auditoria, ações corretivas
- Métricas de incidentes: contagem de incidentes, tempo de resposta, taxa de resolução
KPIs de eficiência comparam seus resultados de gerenciamento de riscos com o custo, incluindo:
- Risco: custo de mitigação
- Conformidade: custo de conformidade
- Incidente: custo de incidentes
KPIs de eficácia comparam a entrada com a saída de uma etapa de gerenciamento de riscos para outra
- Risco: taxa de redução de risco
- Conformidade: taxa de melhoria de conformidade
- Incidente: taxa de resolução de incidentes
KPIs de custo mostram o impacto final do seu gerenciamento de riscos e desempenho de conformidade:
- Custo: gasto em gerenciamento de riscos, gasto em conformidade, gasto em gestão de incidentes
- Eficiência: ROI, relação custo-benefício
- Eficácia: redução de risco por dólar gasto
Para analisar esses KPIs RMF, segmente-os por:
- Departamento: TI, RH, Finanças
- Tempo: Por hora, diário, semanal, mensal
- Categoria de risco: operacional, estratégico, conformidade
- Região: local, nacional, internacional
- Política: segurança, privacidade, operacional
- Tipo de incidente: cibersegurança, operacional, conformidade
