Neste artigo

O que é CRQ

CRQ (Cyber Risk Quantification) é a prática de expressar riscos cibernéticos em termos financeiros - reais, dólares, euros - em vez de escalas qualitativas como "alto/médio/baixo". O objetivo é responder perguntas como "Quanto podemos perder com um ataque de ransomware?" em valores monetários com níveis de confiança.

R$ 8.2M
Exemplo: "90% de probabilidade de perda ser menor que R$ 8.2M em caso de ransomware"

A mudança de paradigma

Qualitativo: "Risco alto de ransomware. Recomendo investir em backup."

Quantitativo: "Estimamos 15% de probabilidade de ransomware em 12 meses, com perda esperada de R$ 2.3M. Investimento de R$ 400k em backup reduziria perda esperada para R$ 800k - ROI de 275%."

Por que Quantificar Risco

Comunicação executiva

CFOs e boards entendem dinheiro. "Risco alto" não significa nada para quem gerencia portfolios de investimento - "R$ 5M de exposição" sim.

Decisões de investimento

Quantificação permite calcular ROI de controles de segurança. Se um firewall de R$ 200k reduz perda esperada de R$ 1M para R$ 300k, o ROI é claro.

Priorização baseada em dados

Em vez de priorizar por "gut feeling" ou CVSS score, priorize pelo impacto financeiro esperado.

Seguro cibernético

Seguradoras usam modelos quantitativos. Entender sua própria exposição ajuda a negociar prêmios e coberturas adequadas.

Metodologia FAIR

FAIR (Factor Analysis of Information Risk) é o padrão mais usado para CRQ. É um modelo de decomposição que quebra risco em fatores mensuráveis.

Fórmula fundamental

Risco = Frequência de Eventos de Perda x Magnitude da Perda

Decomposição FAIR

  • LEF (Loss Event Frequency): Quantas vezes o evento de perda ocorre por ano
    • TEF (Threat Event Frequency): Frequência de tentativas de ataque
    • Vulnerability: Probabilidade de ataque ser bem-sucedido
  • LM (Loss Magnitude): Quanto custa cada evento
    • Primary Loss: Custo direto (resposta, recuperação, resgate)
    • Secondary Loss: Custo indireto (reputação, multas, processos)

Exemplo prático: Ransomware

Estimando risco de ransomware para empresa média:

  • TEF: 10 tentativas de phishing por dia que poderiam levar a ransomware
  • Vulnerability: 2% de chance de sucesso (controles existentes)
  • LEF resultante: ~0.2 eventos por ano (10 x 365 x 0.02 / 365)
  • Primary Loss: R$ 500k - R$ 2M (downtime, recovery, ransom)
  • Secondary Loss: R$ 200k - R$ 1M (reputação, notificação LGPD)
  • Risco anual: 0.2 x (R$ 700k a R$ 3M) = R$ 140k a R$ 600k/ano

Simulação Monte Carlo

Em vez de usar valores pontuais, usamos distribuições de probabilidade e simulamos milhares de cenários para obter uma distribuição de resultados possíveis.

Por que Monte Carlo?

  • Captura a incerteza nos inputs (não sabemos exatamente a frequência)
  • Gera distribuição de resultados (percentis, VaR)
  • Permite afirmações como "90% de confiança que perda será < R$ X"

Processo básico

  1. Definir distribuições para cada variável (min, mais provável, max)
  2. Gerar milhares de amostras aleatórias de cada distribuição
  3. Calcular resultado para cada combinação
  4. Analisar distribuição de resultados

Outputs típicos

  • Perda esperada (ALE): Média das simulações
  • VaR 95%: Perda máxima com 95% de confiança
  • Worst case: Percentil 99 ou máximo observado
  • Distribuição visual: Histograma mostrando probabilidades

Implementação Prática

Fase 1: Identificar cenários

  • Selecionar 5-10 cenários de risco mais relevantes
  • Exemplos: ransomware, breach de dados, fraude, indisponibilidade
  • Definir escopo: qual ativo/processo é afetado?

Fase 2: Coletar dados

  • Frequência: Dados de incidentes internos, benchmarks de indústria, threat intel
  • Magnitude: Custos de incidentes passados, estimativas de downtime, valores de dados
  • Expert judgment: Quando dados não existem, use estimativas calibradas de especialistas

Fase 3: Modelar

  • Definir distribuições para cada variável
  • Rodar simulação Monte Carlo (10.000+ iterações)
  • Validar resultados com sanity checks

Fase 4: Comunicar

  • Apresentar em linguagem de negócio
  • Usar visualizações (curvas de perda, comparativos)
  • Mostrar impacto de controles propostos

Comece simples

Não precisa modelar tudo perfeitamente no início. Comece com estimativas "suficientemente boas" para os cenários mais críticos. Um modelo imperfeito baseado em dados é melhor que decisões baseadas em "gut feeling" sem dados.

Ferramentas para CRQ

Planilhas e código

  • Excel com @RISK ou Crystal Ball: Add-ins para Monte Carlo
  • Python com numpy/scipy: Simulações customizadas
  • R: Pacotes estatísticos para análise de risco

Plataformas especializadas

  • RiskLens: Plataforma FAIR mais conhecida
  • SAFE One: CRQ integrado com gestão de risco
  • Bitsight: Rating com componente quantitativo
  • CyberSaint: GRC com CRQ

Open source

  • FAIR-U (FAIR Institute): Ferramenta gratuita para aprender FAIR
  • OpenFAIR: Implementações em Python/R

Conclusão

CRQ transforma cibersegurança de "centro de custo" para "gestão de risco de negócio". Ao expressar riscos em valores financeiros, habilitamos decisões baseadas em dados, comunicação eficaz com executivos, e justificativa clara de investimentos.

A metodologia FAIR fornece um framework estruturado e padronizado. Combinada com simulação Monte Carlo, permite capturar a incerteza inerente e comunicar resultados em termos de probabilidades e níveis de confiança.

Comece com poucos cenários críticos e itere. A precisão vem com o tempo conforme você coleta mais dados e refina o modelo. Mesmo estimativas iniciais imperfeitas são mais úteis que avaliação puramente qualitativa.

Quantifique seus Riscos Cibernéticos

Precisa de ajuda para implementar CRQ na sua organização ou traduzir riscos em valores financeiros para o board? Entre em contato.

Falar com Especialista