Risco técnico traduzido em Reais, com o loop fechado de remediação.

Quantificação financeira de risco baseada em FAIR que responde ao CFO: quanto custa cada ameaça, em Reais. E fecha o loop que nenhuma outra plataforma CRQ do mundo fecha: calcula, prioriza, executa via Patch Management e atualiza o score no mesmo dia.

FAIR

único padrão internacional aberto para CRQ

10k

simulações Monte Carlo por cenário

formas de perda financeira modeladas

output sempre em Reais, calibrado para o Brasil

"Alto, Médio e Baixo" não é resposta para um CFO que pergunta quanto dinheiro está em jogo. Scores de 0 a 10 medem severidade técnica, não impacto financeiro. Matrizes de calor colorem riscos sem orientar onde investir. O CRQ transforma essa conversa: cada ameaça tem um número em Reais, comparável, auditável e diretamente ligado ao custo de remediar ou não remediar.

O que é o CRQ

O EcoTrust CRQ consome os dados de ativos, CVEs, controles e exposição externa já coletados pela plataforma e aplica o framework FAIR com Monte Carlo de 10.000 iterações para calcular a distribuição de perda financeira de cada cenário de ameaça. O diferencial único: fecha o loop com o Patch Management, executa a remediação e atualiza o ALE no mesmo dia.

VulScan

CVEs e exposição

CRQ

Calcula em R$

Patch Mgmt

Remedia

CRQ

Atualiza ALE

Benefícios principais

O CFO e o board finalmente entendem o risco

ALE em Reais, pior cenário no 90º percentil, ROI de cada controle. A apresentação ao conselho passa de heatmap colorido para argumento financeiro defensável com distribuição de probabilidade.

Prioriza o investimento pelo maior retorno por real gasto

Cada controle recomendado vem com seu impacto na redução do ALE. A decisão de segurança vira decisão de negócio com evidência quantitativa.

Loop fechado, ALE atualizado no dia da remediação

Quando o Patch Management confirma o fechamento de uma CVE via re-scan, o CRQ recalcula automaticamente o ALE de todos os cenários afetados. O board vê a redução em Reais no mesmo dia.

Subsidia negociação de seguro cyber com dados reais

Relatório de exposição financeira com distribuição FAIR é o argumento mais forte com seguradoras. VaR cibernético documentado justifica prêmios menores e coberturas adequadas à exposição real.

Casos de uso

Apresentação ao board, risco em linguagem financeira

O CISO apresenta: "Nossa exposição anual esperada a ransomware é de R$ 1,3M, com pior cenário de R$ 4,2M. Remediando as 12 CVEs prioritárias, reduzimos para R$ 380K a um custo de R$ 95K." Essa é a conversa que o board consegue ter.

Auditoria BACEN 4.557 / ISO 27001, evidência quantitativa

Regulações exigem que a organização demonstre que avalia e trata riscos de forma estruturada. O CRQ gera relatórios com metodologia FAIR documentada, cenários modelados e histórico de redução de exposição.

Negociação de seguro cyber, VaR documentado

Seguradoras precificam com base em exposição declarada sem dados técnicos. O relatório CRQ com distribuição de perda FAIR e histórico de remediação é o único documento que permite discutir prêmio com base em risco real.

"Quanto dinheiro está em jogo?" Agora tem resposta. Em Reais, com distribuição de probabilidade.

EcoTrust CRQ

Framework FAIR nativo

Especificações

MetodologiaFAIR, padrão NIST / ISO / Open Group

SimulaçãoMonte Carlo, 10.000 iterações

OutputALE + pior caso (90th pct) em R$

Cenários6 nativos + customizáveis

InputsVulScan, CRS-CAASM, CRS-EASM, CRS-TPRM

AtualizaçãoAutomática pós-remediação (loop PM)

Cenários modelados

RansomwareCVEs críticos + exposição + sem backup

Data BreachDados sensíveis + CVEs de acesso remoto

CredencialContas sem MFA + CVEs de escalada

DDoSServiços expostos + histórico de ataques

Supply ChainFornecedores com score TPRM baixo

InsiderAcesso privilegiado sem monitoramento

Compliance e frameworks

BACEN 4.557ISO 27001ISO 27005LGPDNIST CSF 2.0FAIR