Metodologia FAIR + Monte Carlo: como calcular o Valor em Risco cibernético

Por que o board precisa de números, não de semaforos

Imagine que você, como CISO, entra na reunião trimestral do conselho e apresenta uma matriz de calor com riscos classificados em "Alto", "Médio" e "Baixo". O CFO pergunta: "Quanto dinheiro está em jogo?" Você não tem um número. A reunião segue, o orçamento de segurança é cortado, e o risco permanece invisivel em linguagem financeira.

Agora imagine o cenário oposto. Você apresenta: "Com 95% de confiança, a perda anual esperada por incidentes de ransomware no nosso ambiente e de R$ 3,8 milhões, e o Valor em Risco no percentil 95 e de R$ 11,2 milhões." Esse número muda a conversa. Esse número e calculado por meio da combinação de duas disciplinas: a metodologia FAIR (Factor Analysis of Information Risk) e a simulação Monte Carlo. Juntas, elas formam o motor analítico por tras da Quantificação de Risco Cibernético, ou FAIR Monte Carlo cyber risk.

Neste artigo, vamos desmembrar cada componente, explicar a taxonomia FAIR fator por fator, mostrar como a simulação Monte Carlo transforma estimativas em distribuições de probabilidade e, por fim, demonstrar como a EcoTrust automatiza esse processo no módulo CRQ com 10.000 variáveis, entregando resultados em Reais.

---

O que é FAIR: Factor Analysis of Information Risk

Leia também: Quantificação de Risco Cibernético (CRQ): Como Traduzir V...

FAIR (Factor Analysis of Information Risk) é um framework quantitativo padronizado para analisar e medir risco de informação em termos financeiros. Criado por Jack Jones em 2005 e hoje mantido pelo FAIR Institute e pelo Open Group, o FAIR se diferencia de frameworks qualitativos como ISO 27005 e NIST RMF por exigir que cada fator de risco seja expresso como uma faixa numérica, e não como uma categoria subjetiva.

A definição formal do Open Group estabelece: FAIR é uma taxonomia de fatores que contribuem para o risco é um conjunto de métodos para quantificar esses fatores de forma que o risco possa ser expresso como uma distribuição de probabilidade de perda monetaria em um determinado período.

Em termos práticos, FAIR responde a duas perguntas fundamentais:

1. Com que frequência um evento de perda pode ocorrer?
2. Quanto será perdido quando esse evento ocorrer?

A resposta a essas perguntas emerge da decomposição hierarquica do risco em fatores mensuráveis. Essa decomposição é a taxonomia FAIR.

---

Taxonomia FAIR: os fatores que compõem o risco

Leia também: Seguro cibernético: o que é, como funciona e como reduzir...

A taxonomia FAIR organiza o risco em uma arvore de fatores interdependentes. Cada fator e estimado como uma distribuição de probabilidade (mínimo, mais provavel, máximo), e não como um único ponto fixo. Abaixo, detalhamos cada componente.

LEF: Loss Event Frequency (Frequência de Eventos de Perda)

Loss Event Frequency (LEF) e a frequência provavel com que um evento de perda ocorrera dentro de um período definido, tipicamente um ano. LEF é o fator de nível mais alto no lado da frequência e resulta da interação entre dois subfatores:

• TEF (Threat Event Frequency): a frequência com que um agente de ameaça age contra um ativo. Por exemplo, quantas tentativas de phishing direcionado sua organização recebe por ano.
• Vulnerability (Vulnerabilidade): a probabilidade de que uma tentativa de ameaça resulte em sucesso, considerando os controles existentes. Se você tem MFA, treinamento de usuários e filtro de e-mail, a vulnerabilidade a phishing diminui.

A relação e intuitiva: se agentes de ameaça atacam com frequência (TEF alto) e seus controles são fracos (Vulnerabilidade alta), a frequência de eventos de perda (LEF) será alta. A formula conceitual e:

LEF = TEF x Vulnerabilidade

Pense em uma analogia meteorológica. TEF e quantas vezes por ano uma tempestade atinge sua região. Vulnerabilidade é a probabilidade de que seu telhado não aguente a tempestade. LEF e quantas vezes por ano você terá goteiras.

TEF: Threat Event Frequency (Frequência de Eventos de Ameaça)

Threat Event Frequency (TEF) mede quantas vezes um agente de ameaça específico tenta explorar um cenário de risco dentro do período analisado. TEF depende de dois subfatores:

• Contact Frequency: com que frequência o agente de ameaça entra em contato com o ativo (por exemplo, quantas vezes por ano um atacante externo faz varredura nos seus IPs públicos).
• Probability of Action: dada a oportunidade de contato, qual a probabilidade de que o agente tente efetivamente explorar a vulnerabilidade.

No contexto brasileiro, dados do CERT.br e da própria telemetria de ferramentas de Gestão de Vulnerabilidades (GVul) alimentam estimativas de TEF com dados reais de varredura, tentativas de intrusão e incidentes observados.

LM: Loss Magnitude (Magnitude de Perda)

Loss Magnitude (LM) e o valor financeiro total perdido quando um evento de perda ocorre. LM se divide em dois componentes:

• PLM (Primary Loss Magnitude): perdas diretas e imediatas decorrentes do evento. Incluem custos de resposta a incidentes, forense digital, notificação de titulares de dados (exigida pela LGPD), restauração de sistemas e horas improdutivas de colaboradores.
• SLM (Secondary Loss Magnitude): perdas indiretas e de longo prazo. Incluem multas regulatórias (LGPD preve até R$ 50 milhões por infração), processos judiciais, perda de clientes, dano reputacional e aumento do custo de capital.

A separação entre PLM e SLM é essencial porque as perdas secundarias frequentemente superam as primárias em ordens de magnitude. Um incidente de ransomware pode custar R$ 500 mil em resposta técnica (PLM), mas R$ 5 milhões em perda de contratos e dano reputacional (SLM).

PLM: Primary Loss Magnitude

Primary Loss Magnitude (PLM) abrange seis formas de perda direta definidas pelo FAIR:

1. Produtividade: horas de trabalho perdidas por colaboradores afetados.
2. Resposta: custo de equipes internas e externas de resposta a incidentes.
3. Substituição: custo de reposição ou reparo de ativos comprometidos.
4. Multas e julgamentos (primários): penalidades contratuais imediatas, como SLAs violados.
5. Vantagem competitiva: perda de propriedade intelectual ou segredos comerciais.
6. Reputação (primária): impacto imediato na percepcao de stakeholders diretos.

SLM: Secondary Loss Magnitude

Secondary Loss Magnitude (SLM) captura o efeito cascata do incidente sobre terceiros é o mercado. E modulada pela Secondary Loss Event Frequency (SLEF), que estima a probabilidade de que perdas secundarias se materializem. Nem todo incidente gera processo judicial ou multa regulatória; SLEF captura essa probabilidade.

As categorias de SLM espelham as de PLM, mas aplicadas a stakeholders externos: clientes que migram para concorrentes, reguladores que aplicam sanções, midia que amplifica o dano reputacional.

---

O que é a simulação Monte Carlo

A simulação Monte Carlo é uma técnica computacional que utiliza amostragem aleatoria repetida para modelar a probabilidade de diferentes resultados em processos que envolvem incerteza. O nome vem do famoso cassino de Monte Carlo, em referência ao elemento de aleatoriedade.

Em termos simples, funciona assim:

1. Você define as variáveis de entrada como distribuições de probabilidade (por exemplo, TEF entre 2 e 15 vezes por ano, com valor mais provavel de 6).
2. O algoritmo sorteia aleatoriamente um valor de cada distribuição.
3. Calcula o resultado (perda financeira) para aquele cenário.
4. Repete o processo milhares de vezes (tipicamente 10.000 iterações).
5. Agrega todos os resultados em uma distribuição de probabilidade de perda.

A analogia mais didatica é a de um jogo de dados. Se você quer saber a probabilidade de tirar uma soma maior que 10 com três dados, pode calcular matemáticamente ou pode jogar os três dados 10.000 vezes e contar. A simulação Monte Carlo faz o segundo, mas com velocidade computacional.

O resultado não é um número único. É uma curva de distribuição de probabilidade, tipicamente representada como um histograma em que o eixo horizontal mostra faixas de perda financeira (em Reais) é o eixo vertical mostra a frequência com que cada faixa apareceu nas simulações. A curva geralmente apresenta uma cauda longa a direita, indicando que perdas extremas são improvaveis, mas possíveis. Dessa curva, extraimos métricas como a perda média esperada (ALE) é o Valor em Risco (VaR) no percentil desejado.

---

Como FAIR e Monte Carlo se combinam para calcular o VaR cibernético

A combinação de FAIR e Monte Carlo segue um fluxo lógico em etapas. O FAIR fornece a estrutura dos fatores que serão quantificados. O Monte Carlo fornece o motor de cálculo que lida com a incerteza inerente a cada fator.

Passo a passo da quantificação FAIR Monte Carlo cyber risk

Passo 1: Definir o cenário de risco. Identifique o ativo em escopo, o agente de ameaça é o tipo de evento. Exemplo: "Servidor de banco de dados de clientes (ativo) comprometido por atacante externo (agente) via exploração de vulnerabilidade crítica não corrigida (evento)."

Passo 2: Estimar TEF (Threat Event Frequency). Com base em dados de inteligência de ameaças, telemetria de ferramentas de segurança é histórico de incidentes, defina uma distribuição para a frequência de tentativas. Exemplo: mínimo 1, mais provavel 4, máximo 12 tentativas por ano.

Passo 3: Estimar Vulnerabilidade. Avalie a probabilidade de sucesso de cada tentativa considerando os controles existentes. Dados de Gestão de Vulnerabilidades (GVul), como scores CVSS, EPSS e status de patches, alimentam essa estimativa. Exemplo: mínimo 10%, mais provavel 30%, máximo 60%.

Passo 4: Calcular LEF (Loss Event Frequency). LEF resulta da combinação de TEF e Vulnerabilidade. Na simulação, cada iteração sorteia um valor de TEF é um de Vulnerabilidade e multiplica-os.

Passo 5: Estimar PLM (Primary Loss Magnitude). Levante custos de resposta a incidentes, horas improdutivas, substituição de ativos e outros impactos diretos. Exemplo: mínimo R$ 200 mil, mais provavel R$ 800 mil, máximo R$ 2 milhões.

Passo 6: Estimar SLM (Secondary Loss Magnitude). Considere multas regulatórias (LGPD), perda de clientes, processos judiciais e dano reputacional. Exemplo: mínimo R$ 500 mil, mais provavel R$ 3 milhões, máximo R$ 15 milhões. Multiplique pela SLEF (probabilidade de que perdas secundarias se concretizem).

Passo 7: Executar a simulação Monte Carlo. O algoritmo sorteia valores de cada distribuição (TEF, Vulnerabilidade, PLM, SLM, SLEF), calcula a perda para aquele cenário e repete 10.000 vezes. Cada iteração gera um valor de perda anual.

Passo 8: Analisar a distribuição resultante. Os 10.000 resultados formam uma curva de distribuição. A partir dela, extraia:

• ALE (Annualized Loss Expectancy): média de todas as iterações. Representa a perda anual esperada.
• VaR 95% (Value at Risk): o valor abaixo do qual ficam 95% dos cenários simulados. Em outras palavras, há apenas 5% de chance de que a perda anual exceda esse valor.
• VaR 99%: cenário de perda mais extremo, com apenas 1% de chance de ser excedido.

Exemplo numérico simplificado

Considere um cenário de ransomware em uma empresa brasileira de médio porte:

Após 10.000 iterações de Monte Carlo, os resultados hipotéticos seriam:

• ALE: R$ 2,1 milhões
• VaR 95%: R$ 8,7 milhões
• VaR 99%: R$ 14,3 milhões

A distribuição resultante mostraria a maioria dos cenários concentrados entre R$ 500 mil e R$ 4 milhões, com uma cauda direita estendendo-se até R$ 18 milhões nos cenários mais adversos. Essa visualização permite ao CISO comunicar não apenas a perda esperada, mas o risco de cauda, o cenário catastrófico contra o qual a organização precisa se proteger.

---

VaR cibernético: o conceito que o CFO já conhece

O Value at Risk (Valor em Risco) é um conceito originario do mercado financeiro. Bancos e instituições financeiras utilizam o VaR há décadas para responder a pergunta: "Qual é a perda máxima que podemos sofrer em um dado período, com um dado nível de confiança?"

Quando aplicado a cibersegurança, o VaR cibernético responde a mesma pergunta, mas para riscos de informação: "Qual é a perda financeira máxima que nossa organização pode sofrer por incidentes cibernéticos no próximo ano, com 95% de confiança?"

A vantagem estratégica e clara. O CFO e o conselho de administração já compreendem o conceito de VaR. Não é necessário educar o board sobre uma nova métrica. Você está falando a lingua que eles já dominam, apenas aplicando-a a um novo domínio de risco.

Além disso, o VaR cibernético permite comparações diretas com outros riscos do negócio. Se o VaR de risco de mercado e R$ 5 milhões é o VaR cibernético e R$ 8 milhões, o board visualiza imediatamente que o risco cibernético merece pelo menos a mesma atenção e investimento.

---

Abordagem manual vs. automatizada: por que planilhas não escalam

A quantificação FAIR com Monte Carlo pode ser feita em planilhas. De fato, muitas organizações começam assim, usando templates em Excel com macros de simulação. O problema é que essa abordagem manual apresenta limitações serias:

Coleta de dados manual: um analista precisa entrevistar especialistas, pesquisar benchmarks e estimar cada fator manualmente. Para uma organização com dezenas de cenários de risco, esse processo leva semanas.

Dados estáticos: uma vez preenchida, a planilha congela no tempo. Quando uma nova vulnerabilidade crítica surge ou um controle e implementado, toda a estimativa precisa ser refeita manualmente.

Sem integração com dados reais: planilhas não se conectam automaticamente a scanners de vulnerabilidade, feeds de inteligência de ameaças ou inventários de ativos. As estimativas de TEF e Vulnerabilidade dependem de opinião de especialistas, não de evidências.

Escala limitada: executar 10.000 iterações de Monte Carlo para um único cenário em Excel e viável. Executar para 200 cenários simultaneamente, atualizando em tempo real, não é.

Auditabilidade: quando o board questiona a origem de um número, rastrear a cadeia de dados em uma planilha compartilhada é um exercício de arqueologia digital.

Ferramentas dedicadas de CRQ resolvem essas limitações. Plataformas como SAFE One, Axio360 e KPMG CRI oferecem diferentes abordagens para a quantificação. Porém, a maioria dessas soluções opera em dolar americano, não se integra nativamente com dados de vulnerabilidades reais do ambiente e exige parametrização manual extensiva.

---

Como a EcoTrust implementa FAIR + Monte Carlo no módulo CRQ

A EcoTrust, como Plataforma de IA Agêntica para CTEM (Continuous Threat Exposure Management), integra a quantificação de risco cibernético diretamente ao ciclo de gestão de exposição a ameaças. O módulo CRQ implementa a metodologia FAIR com simulação Monte Carlo de forma automatizada e conectada ao contexto real da organização.

Diferencial 1: dados reais alimentam o modelo

Enquanto abordagens tradicionais dependem de estimativas manuais para TEF e Vulnerabilidade, o CRQ da EcoTrust puxa dados diretamente do módulo de Gestão de Vulnerabilidades (GVul). Vulnerabilidades reais identificadas no ambiente, com scores CVSS, probabilidades EPSS e status de remediação, alimentam automaticamente as distribuições de entrada do modelo FAIR. Isso significa que a estimativa de Vulnerabilidade não é um palpite: é um cálculo baseado em evidências do seu próprio ambiente.

Diferencial 2: 10.000 variáveis em simulação Monte Carlo

O motor de simulação do CRQ executa 10.000 iterações de Monte Carlo para cada cenário de risco, gerando distribuições de probabilidade robustas e estatisticamente significativas. Múltiplos cenários são processados simultaneamente, permitindo uma visão consolidada do risco organizacional.

Diferencial 3: resultados em Reais (BRL)

Diferentemente de plataformas internacionais que operam em dolar, o CRQ da EcoTrust entrega resultados nativamente em Reais. Isso elimina distorcoes de conversão cambial, alinha os números ao contexto regulatório brasileiro (multas da LGPD são em Reais) e fácilita a comunicação com boards e comites de risco de empresas brasileiras. O lema e direto: risco técnico traduzido em Reais.

Diferencial 4: integração com o ciclo CTEM completo

A quantificação não existe isolada. O CRQ conecta-se ao ciclo completo de CTEM:

• GVul fornece os dados de vulnerabilidade que alimentam TEF e Vulnerabilidade.
• Patch Management recebe os resultados de CRQ para priorizar correções com base no ROSI (Return on Security Investment). Se corrigir a vulnerabilidade X reduz o VaR em R$ 2 milhões e custa R$ 50 mil, o ROSI e evidente.
• A priorização de remediações e orientada por impacto financeiro, não apenas por score CVSS.

Diferencial 5: automação contra obsolescência

O modelo se atualiza automaticamente conforme o ambiente muda. Nova vulnerabilidade descoberta? O TEF e a Vulnerabilidade são recalculados. Patch aplicado? O modelo reflete a redução de risco. Essa dinamicidade é impossível em abordagens baseadas em planilhas.

---

Perguntas frequentes sobre FAIR Monte Carlo cyber risk

FAIR substitui frameworks como ISO 27005 ou NIST RMF?

Não. FAIR é complementar. ISO 27005 e NIST RMF fornecem processos para gerenciar risco. FAIR fornece o método para quantificar risco financeiramente dentro desses processos. Você pode usar NIST CSF para estruturar seus controles e FAIR para medir o impacto financeiro das lacunas.

Quantas iterações de Monte Carlo são necessárias?

A literatura estatistica recomenda no mínimo 1.000 iterações para resultados estaveis, mas 10.000 iterações são o padrão de mercado para CRQ. Acima de 10.000, o ganho marginal de precisão e pequeno. O módulo CRQ da EcoTrust utiliza 10.000 iterações como padrão.

Preciso ser estatistico para usar FAIR?

Não. O framework foi projetado para ser utilizado por profissionais de segurança da informação, não por matemáticos. A chave e estimar faixas (mínimo, mais provavel, máximo) para cada fator, algo que qualquer CISO ou analista experiente consegue fazer. Ferramentas automatizadas como o CRQ da EcoTrust simplificam ainda mais o processo ao puxar dados reais do ambiente.

Como justifico o investimento em CRQ para a diretoria?

O argumento mais eficaz é o próprio output do CRQ. Apresente ao board: "Hoje, nosso VaR cibernético no percentil 95 e de R$ 11 milhões. Com um investimento de R$ 800 mil em controles prioritários, projetamos reduzir esse VaR para R$ 4 milhões." O ROSI fala por si.

O VaR cibernético e comparável ao VaR financeiro?

Conceitualmente, sim. Ambos expressam a perda máxima esperada com um dado nível de confiança. A diferença está na natureza dos dados de entrada: no VaR financeiro, as distribuições vem de series históricas de mercado; no VaR cibernético, vem de estimativas baseadas em inteligência de ameaças, dados de vulnerabilidade e histórico de incidentes.

---

Para aprofundamento, consulte a referência oficial: NIST Cybersecurity Framework.

Conclusão: de subjetividade a ciencia

A combinação de FAIR e Monte Carlo transforma a gestão de risco cibernético de um exercício de opinião em uma disciplina analítica. A taxonomia FAIR fornece a estrutura para decompor o risco em fatores mensuráveis, TEF, Vulnerabilidade, LEF, PLM, SLM. A simulação Monte Carlo lida com a incerteza inerente a cada fator, gerando distribuições de probabilidade que revelam não apenas a perda esperada, mas o risco de cauda.

Para CISOs brasileiros, a capacidade de apresentar um VaR cibernético em Reais ao conselho de administração é um divisor de aguas. É a diferença entre pedir orçamento com base em medo e justificar investimento com base em dados.

A EcoTrust torna essa transição viável ao automatizar o processo completo: dados reais de vulnerabilidade alimentando o modelo FAIR, 10.000 simulações Monte Carlo executadas automaticamente e resultados entregues em Reais, prontos para o board.

---

Quer ver o FAIR Monte Carlo cyber risk em ação no seu ambiente? Agende uma demonstração do módulo CRQ da EcoTrust e descubra o Valor em Risco cibernético da sua organização, calculado com dados reais e apresentado na lingua que o board entende: Reais.