Da Vulnerabilidade ao Impacto

Certa vez, depois de apresentar um relatório com 47 vulnerabilidades críticas abertas, o CFO levantou a cabeça e perguntou: "por que R$ 2,8 milhões para este plano?"

A resposta não estava no relatório. As 47 CVEs e os R$ 2,8 milhões viviam no mesmo documento, mas em dimensões que não se conversavam. Não havia ponte entre os dois.

O que ficou evidente naquele momento: a equipe técnica precisava de uma ponte verbalizável. Não um framework FAIR completo, não simulação Monte Carlo. Algo que o CFO confere em três minutos e a equipe produz em três horas.

Essa ponte tem três passos: Ativo, Cenário, Posição.

Por que o CVE sozinho não é decisão

CVSS é uma pontuação intrínseca de gravidade técnica, calculada sem o contexto do negócio. A mesma CVE com nota 9.8 pode ter, em uma empresa específica, impacto financeiro alto quando afeta o sistema de cobrança ou impacto financeiro irrelevante quando afeta um sistema isolado sem dado sensível.

Priorizar exclusivamente por CVSS leva a sobre-investimento em CVE alta no ativo errado e sub-investimento em CVE média no ativo crítico. O primeiro queima orçamento. O segundo abre incidente.

 Passo 1: Ativo

Cada CVE relevante precisa ser atrelada ao ativo de negócio onde mora. Não ao servidor, ao ativo de negócio. Quatro atributos compõem esse vínculo: receita diária associada ao ativo, volume de dados sensíveis processados, dependência contratual com penalidade por SLA e custo de contingência operacional em caso de indisponibilidade.

A granularidade correta é o nível do fluxo crítico de negócio: gateway de pagamento, ERP, base de cadastro, e-mail executivo, plataforma de cliente. Em geral, 10 a 25 ativos capturam mais de 90% do valor.

Com esse vínculo estabelecido, a CVE deixa de ser "vulnerabilidade crítica em gateway" e passa a ser "vulnerabilidade que pode comprometer R$ X por dia em receita direta, N registros em obrigação PCI e N contratos B2B com SLA penalizado". A segunda frase é decidível.

Passo 2: Cenário

Para cada CVE, um cenário-síntese com cinco campos: vetor de exploração, probabilidade no horizonte de 12 meses, impacto financeiro direto, impacto regulatório e contratual, e impacto reputacional com âncora em casos comparáveis.

A fórmula central é a Exposição Anualizada Estimada:

EAE = Probabilidade × Impacto financeiro total

Âncoras de probabilidade para uso prático: alta entre 0,5 e 0,8; média entre 0,2 e 0,4; baixa entre 0,05 e 0,15.

Um exemplo concreto: CVE no gateway de pagamento, probabilidade média de 0,3, impacto direto de R$ 1,65M mais R$ 1M regulatório mais R$ 1,25M reputacional, total R$ 3,9M. EAE = 0,3 × R$ 3,9M = R$ 1,17M.

A estimativa é imperfeita. Isso é esperado e explícito. Cada âncora está visível para o CFO contestar. Uma faixa razoável com premissas abertas é mais útil para decisão do que precisão técnica que ninguém no board consegue verificar. Apresentar EAE como R$ 1.247.328,42 destrói credibilidade antes de abrir discussão.

Passo 3: Posição

Com o ativo mapeado e o cenário monetizado, a decisão tem três opções: mitigar, transferir ou aceitar.

Mitigar faz sentido quando o custo do controle é menor que a EAE e a execução cabe no horizonte trimestral. Transferir é adequado quando a exposição é grande mas a mitigação é cara e existe seguro ou cláusula contratual disponível. Aceitar é válido quando o custo de mitigação supera a EAE, desde que registrado formalmente com dono e data de revisão.

O cálculo que justifica mitigar é a razão exposição/custo:

(EAE antes menos EAE depois) dividido pelo custo de mitigação

Continuando o exemplo: mitigação custa R$ 280 mil em 60 dias, EAE cai de R$ 1,17M para R$ 280 mil. Razão de 3,2× no ano 1. A regra base: razão igual ou acima de 2,0× é claramente justificável; entre 1,0× e 2,0× exige discussão e priorização; abaixo de 1,0× a posição correta é transferir ou aceitar.

A alçada de cada decisão segue uma política de delegação aprovada pelo board. A LeanBic recomenda atrelar os gatilhos a 0,5%, 2% e 5% do EBITDA como limites para CISO, comitê executivo e conselho, respectivamente.

As três armadilhas mais comuns

A primeira é querer o framework FAIR completo antes de começar. FAIR é caro e leva 12 a 18 meses. Faixas ancoradas publicadas hoje têm mais valor decisório do que precisão científica disponível daqui a 18 meses.

A segunda é confundir EAE com ROI. Não existe retorno positivo em cibersegurança. Existe perda evitada. A razão exposição/custo não é ROI.

A terceira é achar que o método dispensa julgamento técnico. Não dispensa. Ele encaminha a recomendação técnica para o formato em que o board decide.

O exercício de 90 minutos

Selecione cinco CVEs críticas em aberto. Para cada uma, complete os três passos: ativo, cenário com EAE, posição com dono e prazo. Ao final, compare com o backlog atual de cibersegurança.

Em praticamente todos os casos em que esse exercício foi conduzido, duas prioridades do backlog não estavam no top 5 por impacto financeiro e duas do top 5 não estavam no backlog. Esse é o tamanho do gap, expresso em CVEs.

LeanBic Cibersegurança

www.leanbic.com.br