Em segurança da informação vale a máxima da gestão: o que não se mede não se gerencia. Sem métricas, a área vira um centro de custo opaco, incapaz de provar valor, justificar investimento ou demonstrar que o risco está sob controle. Com métricas mal escolhidas, ela se afoga em números que impressionam mas não orientam decisão. Este guia mostra como medir segurança com indicadores acionáveis, estruturar OKRs e traduzir risco técnico em risco de negócio para falar a língua do board.

Por que medir segurança

Segurança é, no fundo, gestão de risco sob incerteza. A liderança precisa responder a perguntas concretas: estamos mais seguros do que no trimestre passado? Onde investir o próximo real do orçamento? Qual a nossa exposição se um ransomware atingir a operação amanhã? Nenhuma dessas perguntas se responde com intuição. Responde-se com dados consistentes, coletados ao longo do tempo e comparados contra metas.

Medir cumpre três funções. Primeiro, diagnóstico: revela onde os controles falham antes que um incidente exponha a falha. Segundo, gestão: permite definir metas, acompanhar progresso e priorizar recursos onde o risco é maior. Terceiro, prestação de contas: dá ao CISO a base para conversar com o board em termos de negócio, e não de jargão técnico. O NIST SP 800-55 (Performance Measurement Guide for Information Security) e a ISO/IEC 27004 formalizam essa disciplina: medição não é coletar tudo o que a ferramenta exporta, é coletar o que sustenta uma decisão.

KPI, KRI e métrica operacional: não confunda

Três categorias coexistem em um programa maduro, e tratá-las como sinônimos é a primeira causa de painéis confusos.

  • Métrica operacional é o dado bruto que a operação consome no dia a dia: número de alertas, eventos correlacionados, tickets abertos. Serve para diagnosticar e ajustar o motor, mas isolada não diz nada à liderança.
  • KPI (Key Performance Indicator) mede o desempenho de um processo contra uma meta. O MTTR de incidentes críticos é um KPI: existe um alvo, e o número diz se o processo de resposta está dentro ou fora dele.
  • KRI (Key Risk Indicator) é antecipatório. Ele sinaliza que a exposição está crescendo antes de virar incidente. A queda na cobertura de patch, o aumento de contas privilegiadas sem MFA ou o crescimento do número de ativos não monitorados são KRIs: nenhum é um incidente ainda, mas todos elevam a probabilidade de um.

A regra prática: KPI olha para o passado e o presente do desempenho; KRI olha para o futuro do risco; métrica operacional alimenta os dois. Um bom dashboard executivo é dominado por KPIs e KRIs, não por contadores operacionais.

As métricas essenciais

Há centenas de métricas possíveis. As que seguem cobrem detecção, resposta, higiene e maturidade, e formam um núcleo que serve de pequenas empresas a grandes operações.

MétricaO que medeMeta / benchmark de referência
MTTD (Mean Time to Detect)Tempo médio entre o início de um ataque e sua detecçãoHoras, não dias; quanto menor, melhor
MTTR (Mean Time to Respond)Tempo médio para conter e responder após a detecção< 4h para incidentes críticos
MTTC (Mean Time to Contain)Tempo até a contenção efetiva da ameaçaMinimizar a janela de exposição ativa
Cobertura de patch% de ativos com correções aplicadas dentro do prazo> 95% nos sistemas críticos
Vulnerabilidades críticas no SLA% de vulns críticas remediadas no prazo definido100% dentro do SLA acordado
Taxa de phishing simulado% de colaboradores que caem em simulaçõesTendência de queda; alvo < 5%
Cobertura de MFA% de contas (sobretudo privilegiadas) com MFA ativo100% em acessos privilegiados e remotos
Dwell timeTempo que um invasor permanece sem ser detectadoReduzir a poucos dias ou horas
Maturidade (NIST CSF)Nível de implementação dos controles (Tiers 1 a 4)Evoluir de forma planejada entre tiers
Risco residualRisco remanescente após os controles aplicadosDentro do apetite de risco aprovado

Algumas observações sobre o uso correto desse núcleo. MTTD, MTTR e MTTC formam o trio da resposta: juntos descrevem quanto tempo a organização leva para perceber, reagir e estancar uma ameaça. O dwell time é especialmente revelador porque mede o que o atacante consegue fazer despercebido; reduzi-lo é frequentemente mais barato e mais eficaz do que tentar bloquear toda intrusão na borda.

A taxa de phishing simulado deve ser lida como tendência, não como punição. Um número alto no primeiro ciclo é normal; o valor está na curva descendente ao longo dos treinamentos. A cobertura de MFA é talvez o indicador de maior retorno por esforço: a ausência de MFA em contas privilegiadas é fator presente na maioria dos comprometimentos. E o nível de maturidade ancorado nos tiers do NIST Cybersecurity Framework (de Parcial a Adaptativo) dá ao board uma visão de jornada, mostrando que segurança é evolução planejada, não estado binário.

Por fim, o risco residual é o indicador que conecta tudo ao apetite de risco aprovado pela liderança. Ele responde à pergunta que mais importa: o risco que sobra depois de todos os controles está dentro do que a organização decidiu tolerar?

OKRs de segurança: ambição com mensuração

Métricas dizem onde você está; OKRs dizem para onde você vai. Um OKR (Objectives and Key Results) combina um Objetivo qualitativo e inspirador com um conjunto de Key Results mensuráveis. A força do modelo está em separar a aspiração (o que queremos) da evidência (como saberemos que chegamos lá). Diferente de metas de conformidade, que são binárias e contínuas, OKRs são trimestrais, ambiciosos e revisados em cadência.

Exemplos concretos de OKRs de segurança:

  • Objetivo: Reduzir drasticamente a superfície de ataque exposta na internet.
    KR1: elevar a cobertura de MFA de 78% para 98% das contas. KR2: remediar 100% das vulnerabilidades críticas dentro do SLA. KR3: reduzir ativos expostos sem monitoramento de 40 para 0.
  • Objetivo: Tornar a resposta a incidentes rápida e previsível.
    KR1: reduzir o MTTR de incidentes críticos de 12h para 4h. KR2: reduzir o MTTD médio de 5 dias para 1 dia. KR3: executar 3 simulações de resposta (tabletop) com playbooks revisados.
  • Objetivo: Construir uma cultura de segurança consciente do risco.
    KR1: reduzir a taxa de cliques em phishing simulado de 18% para 5%. KR2: treinar 95% dos colaboradores em segurança. KR3: elevar o reporte voluntário de e-mails suspeitos em 50%.

Note que cada Key Result é um número com origem e destino. Isso transforma o discurso de queremos melhorar a segurança em uma trajetória auditável. OKRs não substituem KPIs e KRIs; eles os colocam a serviço de uma direção estratégica trimestral.

Reportar ao board: traduzir risco técnico em risco de negócio

O erro mais comum de equipes técnicas é levar ao board a linguagem do terminal. Um conselho não decide com base em CVEs, contagem de alertas ou nomes de ferramentas. Ele decide com base em três dimensões: impacto financeiro, exposição regulatória e risco reputacional. O trabalho do CISO é fazer a ponte entre o detalhe técnico e essas dimensões.

O caminho mais robusto para isso é a quantificação de risco. Modelos como o FAIR (Factor Analysis of Information Risk) permitem expressar exposição em faixas monetárias: a perda anual esperada de um cenário de ransomware, por exemplo, estimada em R$ com cenários otimista e pessimista. Em vez de dizer trezentas vulnerabilidades abertas, diga exposição estimada de R$ 4,2 milhões em cenários de indisponibilidade, reduzida em 35% neste trimestre. O primeiro número assusta sem orientar; o segundo conecta segurança a decisão de investimento.

Três princípios para o reporte executivo. Primeiro, associe cada risco a um processo de negócio — faturamento, operação, atendimento — para que o impacto seja tangível. Segundo, mostre tendência: um número isolado é ruído; a curva ao longo de trimestres conta a história de melhoria ou deterioração. Terceiro, ligue cada métrica a uma decisão: se o board não pode agir sobre um número, ele não pertence ao slide executivo.

Dashboards e cadência

Audiências diferentes exigem níveis de detalhe diferentes, mas todos devem beber da mesma fonte de verdade. Não se reescrevem números por reunião; muda-se a lente.

  • SOC e operação: painéis em tempo real ou diários, ricos em métricas operacionais e alertas.
  • Liderança de segurança: revisão semanal ou quinzenal de KPIs e KRIs, com foco em desvios e tendências.
  • Comitê executivo: resumo mensal, com risco residual, progresso de OKRs e investimentos.
  • Board: visão trimestral, centrada em exposição financeira, postura de risco frente ao apetite e decisões pendentes.

Um dashboard executivo eficaz cabe em uma tela: três a cinco indicadores de topo, cada um com valor atual, meta e seta de tendência. A profundidade fica nos níveis abaixo, acessível sob demanda.

Armadilhas: cuidado com as vanity metrics

Vanity metrics são números que impressionam mas não orientam decisão. Total de ataques bloqueados pelo firewall, milhões de e-mails de spam filtrados, terabytes inspecionados: tudo isso sobe sempre e não diz se o risco caiu. Pior, criam uma falsa sensação de segurança e desviam atenção do que importa.

O teste de uma métrica útil é simples: se este número mudar, alguma decisão muda? Se a resposta for não, ela não merece espaço no relatório. Outras armadilhas frequentes incluem medir atividade em vez de resultado (quantidade de treinamentos versus redução de cliques em phishing), perseguir indicadores demais até paralisar a análise, e otimizar a métrica em vez do risco — quando a equipe fecha tickets rápido apenas para baixar o MTTR, sem realmente resolver a causa. Reveja periodicamente o conjunto de indicadores e aposente sem dó os que não orientam ação. Frameworks como o CIS Controls e a ISO/IEC 27004 ajudam a ancorar a seleção no que comprovadamente reduz risco.

Boas práticas para sustentar o programa no tempo

Montar o primeiro dashboard é fácil; mantê-lo relevante por anos é o desafio real. Algumas práticas separam programas que perduram dos que viram slides esquecidos.

  • Automatize a coleta. Métricas extraídas à mão de planilhas envelhecem e perdem confiança. Integre as fontes — SIEM, scanner de vulnerabilidades, gestão de identidade, EDR — para que os números cheguem ao painel sem intervenção humana e sem viés de quem reporta.
  • Defina o dono de cada métrica. Todo indicador precisa de um responsável que entenda o que faz o número subir ou descer e que possa agir sobre ele. Métrica sem dono é métrica que ninguém melhora.
  • Estabeleça o apetite de risco antes das metas. As metas de KPIs e KRIs derivam do nível de risco que a liderança aceita correr. Sem esse acordo prévio, cada área negocia o próprio alvo e o conjunto perde coerência.
  • Conte uma história, não um inventário. No reporte executivo, conecte os números a uma narrativa: o que melhorou, o que piorou, por quê e qual decisão se pede agora. Dados sem narrativa não movem orçamento.
  • Reavalie o conjunto a cada ano. A maturidade muda, as ameaças mudam e métricas que faziam sentido no início viram ruído. Programe uma revisão anual para promover, rebaixar e aposentar indicadores.

O objetivo final não é ter o painel mais bonito, e sim sustentar um ciclo de melhoria contínua em que cada trimestre a organização entende melhor o próprio risco e o reduz de forma demonstrável — o ciclo que o NIST SP 800-55 chama de medição orientada à decisão.

Como a Decripte mede segurança para você

Transformar segurança em algo mensurável e reportável é exatamente o que a Decripte entrega. Como empresa B2B de cibersegurança que atende de 1 a mais de 100.000 colaboradores, traduzimos a operação técnica em um score de segurança e em dashboards que falam tanto com o time técnico quanto com o board — com MTTD, MTTR, cobertura de controles, risco residual e tendência consolidados em uma fonte única de verdade. Você para de adivinhar e passa a gerenciar com dados, ancorado em frameworks reconhecidos como NIST CSF, CIS Controls e ISO 27004.

Quer ver onde sua organização está hoje? Comece grátis pelo nosso Intelligence Center e receba uma leitura inicial da sua exposição. Quando estiver pronto para medir e evoluir continuamente, conheça nossos planos e escolha o tamanho certo para a sua operação.