KPIs de segurança cibernética: as métricas que CISOs precisam reportar ao board

O board não quer ouvir sobre CVEs. Quer saber se a empresa está protegida.

Você reserva trinta minutos na agenda do conselho de administração. Prepara slides com gráficos de vulnerabilidades, menciona siglas como CVSS, EPSS e MITRE ATT&CK. Quinze minutos depois, o CFO interrompe: "Mas afinal, estamos seguros ou não? Quanto isso custa?" A reunião termina sem decisão, sem orçamento adicional e com a sensação de que segurança cibernética é um centro de custo que ninguém entende.

Esse cenário se repete em empresas brasileiras de todos os portes. O problema não é falta de dados, e falta de KPIs de segurança cibernética que traduzam complexidade técnica em linguagem de negócio. O board toma decisões baseadas em números: receita, margem, churn, inadimplência. Se segurança não falar essa lingua, fica de fora da conversa estratégica.

Este artigo apresenta os 15 KPIs que todo CISO precisa dominar, organizados em quatro categorias, exposição, remediação, cobertura e risco financeiro, com formulas, benchmarks e cadência de reporte. Mais do que uma lista, você vai entender como montar um dashboard executivo que transforme dados técnicos em argumentos de negócio.

---

Por que KPIs de segurança cibernética importam para o board

Leia também: Indicadores de gestão de vulnerabilidades: métricas que r...

O gap de comunicação entre segurança é negócio

O Gartner projeta que, até 2026, 70% dos boards terão pelo menos um membro com expertise em cibersegurança. Isso muda a dinâmica: conselheiros estão aprendendo a fazer perguntas melhores. Se o CISO não tiver respostas quantitativas, perde credibilidade.

KPIs de segurança cibernética existem para cumprir três funções simultaneas:

1. Demonstrar progresso, provar que o investimento em segurança gera resultado mensurável ao longo do tempo.
2. Fundamentar decisões de orçamento, justificar a contratação de uma ferramenta, a ampliação de equipe ou a priorização de um projeto com base em dados, não em medo.
3. Evidênciar conformidade, mostrar a auditores, reguladores e parceiros que a organização monitora e gerência risco de forma sistemática.

O erro da métrica de vaidade

Nem todo número é um KPI. Reportar "bloqueamos 1,2 milhão de e-mails maliciosos este mes" pode parecer impressionante, mas não diz nada sobre postura de segurança. Métricas de vaidade inflam apresentações e esvaziam credibilidade. KPIs reais respondem a perguntas específicas: qual é nosso tempo de correção? Qual percentual do ambiente está coberto? Quanto perdemos se formos atacados?

A diferença entre um CISO que é ouvido é um que é tolerado está na capacidade de selecionar e comunicar as métricas certas.

---

Os 15 KPIs de segurança cibernética que todo CISO deve reportar

Leia também: Por que unificar vulnerabilidades, riscos e ameaças em um...

A seguir, os KPIs organizados por categoria. Cada um inclui definição, formula, meta sugerida e cadência de reporte.

---

Categoria 1: Exposição

KPIs de exposição respondem a pergunta: qual é o tamanho da nossa superfície de ataque e quao graves são as falhas abertas?

1. Total de vulnerabilidades abertas por severidade

Definição: Contagem de vulnerabilidades não remediadas no ambiente, segmentadas por severidade (crítica, alta, média, baixa).

Formula: Contagem de findings com status aberto, agrupados por classificação de severidade.

Meta sugerida: Zero vulnerabilidades críticas abertas por mais de 15 dias. Redução de 10% ao mes no total de vulnerabilidades altas.

Cadência: Semanal para o time técnico; mensal para o board (tendência).

Por que importa: E o indicador mais básico de exposição. Sozinho, não basta, mas sem ele, nenhum outro KPI faz sentido. O módulo de Gestão de Vulnerabilidades (GVul) da EcoTrust consolida findings de múltiplos scanners em uma visão única, eliminando duplicatas e normalizando severidades.

2. Exposição ponderada por EPSS

Definição: Em vez de tratar todas as vulnerabilidades como iguais, este KPI pondera cada uma pela probabilidade real de exploração nos próximos 30 dias, usando o EPSS (Exploit Prediction Scoring System).

Formula: Soma de (EPSS score x severidade normalizada) para todas as vulnerabilidades abertas.

Meta sugerida: Redução contínua do índice ponderado. Benchmarks variam por setor, mas uma queda de 15-20% trimestral indica evolução consistente.

Cadência: Quinzenal para o time técnico; mensal para o board.

Por que importa: O CVSS é estático e genérico. O EPSS reflete a realidade do cenário de ameaças em tempo quase real. Uma vulnerabilidade com CVSS 7.5 e EPSS 0.97 e infinitamente mais urgente do que uma com CVSS 9.8 e EPSS 0.01. Priorizar por EPSS e priorizar pelo que os atacantes realmente estão explorando.

3. Densidade de vulnerabilidades por ativo

Definição: Média de vulnerabilidades abertas por ativo no inventário.

Formula: Total de vulnerabilidades abertas / Total de ativos gerenciados.

Meta sugerida: Abaixo de 5 vulnerabilidades por ativo (média geral). Abaixo de 0,5 para ativos críticos.

Cadência: Mensal.

Por que importa: Permite identificar ativos que concentram risco desproporcionalmente. Se 10% dos servidores carregam 80% das vulnerabilidades, o esforço de remediação ganha foco.

4. Idade média das vulnerabilidades abertas

Definição: Tempo médio, em dias, que as vulnerabilidades permanecem abertas desde a primeira detecção.

Formula: Soma de (data atual - data de detecção) para cada vulnerabilidade aberta / Total de vulnerabilidades abertas.

Meta sugerida: Abaixo de 30 dias para vulnerabilidades críticas. Abaixo de 60 dias para altas.

Cadência: Mensal.

Por que importa: Vulnerabilidades envelhecidas são um sinal de processo quebrado. Se a idade média cresce, o time está detectando mais do que remediando, o backlog está vencendo.

---

Categoria 2: Remediação

KPIs de remediação respondem a pergunta: com que velocidade e consistência estamos eliminando as falhas detectadas?

5. MTTR, Mean Time to Remediate

Definição: Tempo médio entre a detecção de uma vulnerabilidade e sua correção confirmada.

Formula: Soma de (data de correção - data de detecção) para vulnerabilidades corrigidas no período / Total de vulnerabilidades corrigidas no período.

Meta sugerida:

• Críticas: menos de 7 dias
• Altas: menos de 15 dias
• Médias: menos de 30 dias
• Baixas: menos de 90 dias

Cadência: Semanal para o time; mensal para o board.

Por que importa: MTTR é o KPI de remediação mais citado em frameworks como NIST e CIS Controls. O módulo GVul da EcoTrust calcula o MTTR automaticamente por severidade, por equipe responsável e por tipo de ativo, eliminando a necessidade de planilhas manuais e reconciliações intermináveis.

6. Taxa de conformidade com SLA de remediação

Definição: Percentual de vulnerabilidades corrigidas dentro do prazo definido pelo SLA interno.

Formula: (Vulnerabilidades corrigidas dentro do SLA / Total de vulnerabilidades corrigidas) x 100.

Meta sugerida: Acima de 85% para vulnerabilidades críticas. Acima de 75% geral.

Cadência: Mensal.

Por que importa: O MTTR mostra velocidade média, mas a conformidade com SLA revela consistência. Um MTTR baixo pode esconder outliers graves, 50 falhas corrigidas em 2 dias e 5 abertas há 120 dias ainda geram um MTTR aceitável. O SLA compliance expoe a cauda longa. O GVul rastreia SLA por política configurável e alerta antes do estouro, não depois.

7. Patch rate

Definição: Percentual de patches aplicados em relação ao total de patches disponíveis para o ambiente.

Formula: (Patches aplicados / Patches disponíveis) x 100.

Meta sugerida: Acima de 90% para patches críticos em até 14 dias. Acima de 80% geral em até 30 dias.

Cadência: Quinzenal.

Por que importa: Patch rate complementa o MTTR ao medir cobertura, não apenas velocidade. O módulo de Patch Management da EcoTrust automatiza o ciclo completo de correção, priorização por impacto financeiro, execução em grupo piloto, implantação controlada e validação pós-patch, garantindo que o patch rate cresça sem comprometer estabilidade.

8. Taxa de reincidência de vulnerabilidades

Definição: Percentual de vulnerabilidades que reaparecem após terem sido marcadas como corrigidas.

Formula: (Vulnerabilidades reabertas no período / Total de vulnerabilidades corrigidas no período) x 100.

Meta sugerida: Abaixo de 5%.

Cadência: Mensal.

Por que importa: Reincidência alta indica que a correção não foi efetiva (rollback de patch, configuração revertida, imagem desatualizada reimplantada). É um sinal de problema sistemico, não pontual.

---

Categoria 3: Cobertura

KPIs de cobertura respondem a pergunta: qual percentual do nosso ambiente está sendo monitorado e protegido?

9. Cobertura de EDR/XDR

Definição: Percentual de endpoints com agente de detecção e resposta (EDR/XDR) ativo e reportando.

Formula: (Endpoints com EDR ativo / Total de endpoints no inventário) x 100.

Meta sugerida: Acima de 98%.

Cadência: Semanal.

Por que importa: Um endpoint sem EDR é um ponto cego. Se o inventário registra 5.000 endpoints é o EDR cobre 4.200, há 800 máquinas invisíveis para detecção. O módulo CRS-CAASM da EcoTrust cruza o inventário de ativos com os agentes registrados no EDR e identifica automaticamente os gaps de cobertura, sem que o analista precise exportar CSV de três ferramentas diferentes.

10. Cobertura de scan de vulnerabilidades

Definição: Percentual de ativos do inventário que foram escaneados no último ciclo (tipicamente 30 dias).

Formula: (Ativos escaneados nos últimos 30 dias / Total de ativos no inventário) x 100.

Meta sugerida: Acima de 95%.

Cadência: Mensal.

Por que importa: Vulnerabilidades não detectadas não aparecem em nenhuma métrica. Se 20% dos ativos nunca foram escaneados, seu total de vulnerabilidades abertas e artificialmente baixo. Cobertura de scan e pré-requisito para que todos os outros KPIs de exposição sejam confiaveis.

11. Gaps de inventário (CAASM)

Definição: Número de ativos descobertos por fontes externas (EASM, cloud, rede) que não estão presentes no inventário oficial (CMDB).

Formula: Ativos descobertos - Ativos no CMDB = Ativos não catalogados.

Meta sugerida: Abaixo de 3% do total de ativos.

Cadência: Mensal.

Por que importa: Você não protege o que não sabe que existe. Shadow IT, instancias cloud efemeras, dispositivos IoT não catalogados, tudo isso cria superfície de ataque invisivel. O CRS-CAASM correlaciona mais de 15 fontes de dados para construir o inventário real, não o inventário desejado.

12. Cobertura de MFA

Definição: Percentual de contas de usuário com autenticação multifator habilitada.

Formula: (Contas com MFA ativo / Total de contas) x 100.

Meta sugerida: 100% para contas privilegiadas. Acima de 95% para todas as contas.

Cadência: Mensal.

Por que importa: Credenciais comprometidas continuam sendo o vetor de ataque mais comum. MFA não elimina o risco, mas eleva drasticamente o custo para o atacante. É um KPI que o board entende intuitivamente.

---

Categoria 4: Risco financeiro

KPIs financeiros respondem a pergunta: quanto custa o risco cibernético para a organização em Reais?

13. Valor em Risco cibernético (VaR)

Definição: Estimativa monetaria da perda máxima esperada por incidentes cibernéticos em um horizonte de tempo (tipicamente 12 meses) com um intervalo de confiança definido (tipicamente 95%).

Formula: Calculado via simulação de Monte Carlo sobre cenários de ameaça ponderados por probabilidade e impacto financeiro.

Meta sugerida: Redução trimestral alinhada ao apetite de risco definido pelo board.

Cadência: Trimestral para o board; mensal para acompanhamento interno.

Por que importa: E o KPI definitivo para a conversa com o CFO. Em vez de "temos 347 vulnerabilidades críticas", você diz: "nosso VaR cibernético atual e de R$ 8,3 milhões anuais. Com o investimento proposto, estimamos reduzi-lo para R$ 5,1 milhões." O módulo de Quantificação de Risco Cibernético (CRQ) da EcoTrust calcula o VaR automaticamente usando metodologia FAIR e simulação de Monte Carlo, com valores em Reais.

14. ROSI, Return on Security Investment

Definição: Retorno financeiro gerado por um investimento em segurança, medido pela redução de risco obtida em relação ao custo do investimento.

Formula: ROSI = (Redução no VaR - Custo do investimento) / Custo do investimento x 100.

Meta sugerida: ROSI positivo para todo investimento aprovado. Acima de 200% para projetos prioritários.

Cadência: Trimestral ou por projeto.

Por que importa: ROSI transforma segurança de centro de custo em investimento com retorno mensurável. Quando o CISO apresenta um projeto com ROSI de 350%, a conversa muda de "quanto custa?" para "por que ainda não fizemos?".

15. Custo médio de remediação por vulnerabilidade

Definição: Custo médio para corrigir uma vulnerabilidade, incluindo horas de trabalho, ferramentas e downtime.

Formula: Custo total de remediação no período / Total de vulnerabilidades corrigidas no período.

Meta sugerida: Redução contínua. Benchmarks variam por setor, mas a automação tipicamente reduz o custo em 40-60%.

Cadência: Trimestral.

Por que importa: Permite calcular o custo de manter vulnerabilidades abertas versus corrigi-las. Se corrigir uma vulnerabilidade crítica custa R$ 2.500 é a perda esperada por exploração e R$ 800.000, a decisão e óbvia. Combinado com o CRQ, esse KPI alimenta a análise de custo-benefício de cada campanha de remediação.

---

Tabela de referência: KPIs, formulas, metas e cadência

---

Como montar um dashboard de segurança para o board

Princípio 1: menos slides, mais contexto

O board não precisa de 15 KPIs em uma única tela. Precisa de 4 a 6 métricas-chave com tendência temporal e contexto de negócio. Reserve os 15 KPIs para o comite de segurança; para o conselho, selecione os que respondem a três perguntas:

• Estamos melhorando? (MTTR, patch rate, tendência trimestral)
• Estamos cobertos? (cobertura EDR, gaps de inventário)
• Quanto custa o risco? (VaR, ROSI)

Princípio 2: tendência importa mais que snapshot

Um MTTR de 12 dias não diz nada isoladamente. Um MTTR que caiu de 28 dias para 12 dias em dois trimestres diz tudo. Todo KPI apresentado ao board deve vir com histórico de pelo menos três períodos.

Princípio 3: conecte métricas a decisões

Cada KPI deve estar vinculado a uma ação. Se o VaR está acima do apetite de risco, qual investimento o reduziria e em quanto? Se a cobertura de EDR caiu, qual é o plano e prazo para recuperação? O board não quer contémplar números, quer tomar decisões.

Princípio 4: automatize a coleta

O maior inimigo do dashboard executivo não é a falta de dados, é a falta de confiança nos dados. Quando o CISO monta relatórios manualmente a partir de exportações de quatro ferramentas diferentes, reconciliações consomem 70% do esforço e inconsistências corroem a credibilidade. Dashboards automatizados, alimentados diretamente pelas ferramentas de segurança, eliminam esse problema.

A EcoTrust, como plataforma de IA Agêntica para CTEM, consolida KPIs de exposição, remediação, cobertura e risco financeiro em dashboards automatizados e prontos para apresentação ao board. Os módulos GVul, CRQ, CRS-CAASM e Patch Management alimentam cada categoria de KPI com dados em tempo real, sem planilhas intermediarias, sem reconciliações manuais.

---

Benchmarks de mercado: onde sua organização se posiciona

Benchmarks devem ser usados como referência, não como meta absoluta, cada organização tem contexto, maturidade e apetite de risco distintos. Dito isso, os números abaixo ajudam a calibrar expectativas:

• MTTR para vulnerabilidades críticas: A média do mercado brasileiro situa-se entre 25 e 40 dias. Organizações maduras operam abaixo de 7 dias. O benchmark do CISA (Binding Operational Directive 22-01) exige correção de vulnerabilidades exploradas ativamente em até 14 dias para agencias federais americanas.
• Patch rate crítico em 14 dias: Organizações com processos manuais tipicamente alcançam 50-65%. Com automação, o benchmark sobe para 85-95%.
• Cobertura de EDR: A média reportada por empresas mid-market gira em torno de 88-92%. O objetivo é estar acima de 98%.
• Cobertura de scan: Organizações que operam exclusivamente com scanners pontuais cobrem 60-75% dos ativos. Com CAASM, a cobertura sobe para 90-98%.
• VaR cibernético: Varia enormemente por setor e porte. O importante não é o valor absoluto, mas a tendência de redução e o alinhamento com o apetite de risco aprovado pelo conselho.

---

Erros comuns na definição de KPIs de segurança

Medir demais, comunicar de menos

Equipes que rastreiam 40 métricas e não conseguem explicar nenhuma ao board. Comece com 5 KPIs sólidos e expanda conforme a maturidade.

Confundir indicadores operacionais com estratégicos

"Número de alertas processados pelo SOC" é um indicador operacional valioso para o gerente de operações. Não é um KPI de board. O conselho quer saber o resultado, redução de risco, tempo de resposta, cobertura, não o volume de trabalho.

Ignorar o contexto de negócio

Um MTTR de 5 dias e excelente para uma empresa de varejo e potencialmente inaceitável para uma fintech que processa pagamentos em tempo real. KPIs sem contexto de negócio são números sem significado.

Não definir ownership

Cada KPI precisa de um dono, alguém responsável por medir, reportar e, principalmente, agir quando o indicador sair da meta. Sem ownership, KPIs viram decoração de slide.

---

O papel da automação: de planilha para plataforma

O cálculo manual de KPIs de segurança cibernética é um exercício de frustração. Dados fragmentados em scanners de vulnerabilidade, consoles de EDR, CMDBs, ferramentas de patch e planilhas de risco criam um labirinto que consome semanas de trabalho analítico e produz resultados questionaveis.

A transição de planilha para plataforma não é luxo, e prerequisito para que KPIs sejam confiaveis, atualizados e acionáveis. A EcoTrust foi desenhada exatamente para isso:

• GVul consolida findings de múltiplos scanners, calcula MTTR por severidade e equipe, rastreia SLA compliance e gera o histórico necessário para tendências.
• CRQ transforma vulnerabilidades em valores financeiros via FAIR e Monte Carlo, entregando VaR em Reais e ROSI por projeto.
• CRS-CAASM cruza inventário de ativos com fontes de cobertura (EDR, scan, MFA) e identifica gaps automaticamente.
• Patch Management automatiza o ciclo de correção e alimenta o patch rate e a taxa de reincidência com dados de execução real, não estimativas.

Juntos, esses módulos alimentam um dashboard único onde cada KPI e calculado automaticamente, atualizado em tempo real e pronto para exportação ao board, sem que o CISO precise abrir uma única planilha.

---

Para aprofundamento, consulte a referência oficial: NIST Cybersecurity Framework.

Conclusão: KPIs são a linguagem de credibilidade do CISO

KPIs de segurança cibernética não são um exercício acadêmico. São a ferramenta que permite ao CISO participar da conversa estratégica com o mesmo rigor que o CFO, o COO é o CRO. Sem métricas claras, segurança é percebida como custo. Com os KPIs certos, exposição, remediação, cobertura, risco financeiro, segurança vira investimento com retorno mensurável.

Comece com poucos KPIs, automatize a coleta, apresente tendências e conecte cada métrica a uma decisão. O board vai ouvir.

---

Quer ver esses KPIs calculados automaticamente para o seu ambiente? Agende uma demonstração da EcoTrust e descubra como a plataforma de IA Agêntica para CTEM transforma dados fragmentados em um dashboard executivo pronto para o board.

Conheça também o módulo de Gestão de Vulnerabilidades (GVul) e veja como MTTR, SLA compliance e exposição ponderada por EPSS são rastreados em tempo real.