Resumo:
- Aprenda a fórmula ALE (SLE × ARO), baseada nos frameworks FAIR e NIST SP 800-30, para traduzir achados de pentest em perda financeira esperada por ano.
- O Risco Evitado é a diferença entre o ALE antes e depois da remediação, ajustado pela eficácia da correção (95% para correções na causa raiz, 80% para mitigações compensatórias, 50% para controles detectivos).
- O ROI do pentest é (Risco Evitado − Custo do Pentest − Custo da Remediação) ÷ (Custo do Pentest + Custo da Remediação); no exemplo do artigo, chegou a 5.566%, ou R$ 56,67 evitados por R$ 1 investido.
- Atente-se para as cinco armadilhas comuns no cálculo: inflar o cenário, ignorar a probabilidade real de exploração, não documentar fontes, esquecer o custo de remediação e não atualizar o número periodicamente.
Entenda como transformar achados técnicos de um pentest em valor financeiro mensurável, usando a fórmula ALE (Annualized Loss Expectancy) consolidada nos frameworks FAIR e NIST SP 800-30. Ao final do artigo, você terá um modelo replicável para apresentar o ROI do pentest ao seu CFO, à diretoria e ao conselho, com números, e não opiniões.
Para decorar: confira a fórmula resumida
- Valor de Risco Evitado é igual ao ALE antes da remediação menos o ALE depois da remediação.
- ALE é igual a SLE multiplicado por ARO (perda por incidente, multiplicada pela frequência anual de exploração).
- ROI do Pentest é igual a (Risco Evitado menos Custo do Pentest) dividido pelo Custo do Pentest.
- Cada item do pentest precisa ter SLE, ARO e eficácia da correção atribuídos para que o cálculo financeiro feche.
Por que quantificar o risco evitado com pentest é a discussão mais importante de 2026
Durante décadas, a segurança da informação foi tratada como um centro de custo. Empresas investiam em pentests porque “precisavam ter”, e não porque conseguiam mostrar, em reais, o que aquele investimento retornava. Atualmente, conselhos de administração, CFOs e investidores passaram a incluir a segurança como uma exigência dentro do orçamento de tecnologia, sendo justificada com indicadores financeiros.
Frameworks como o FAIR (Factor Analysis of Information Risk), publicado pela The Open Group, e o NIST SP 800-30 oferecem uma metodologia clara e auditável para converter vulnerabilidades técnicas em perdas financeiras esperadas. Quando essas metodologias são aplicadas aos achados de um pentest, o gestor sai com um número defensável que mostra quanto a empresa deixou de perder ao corrigir as falhas encontradas.
Os três conceitos que você precisa dominar: SLE, ARO e ALE
Antes da fórmula, três variáveis. Tudo o que vem depois é derivado delas.
SLE: Single Loss Expectancy (Perda Esperada por Incidente)
O SLE representa o valor financeiro perdido em um único evento de exploração da vulnerabilidade. Ele é calculado somando todos os componentes de impacto direto e indireto que se materializariam se a falha fosse explorada uma vez.
SLE = (Valor do Ativo × Fator de Exposição) + Custos Diretos do Incidente
Componentes típicos: vazamento de dados, downtime, multas regulatórias, resposta a incidente, dano reputacional
Suponha que uma vulnerabilidade exponha uma base de 50.000 clientes contendo dados pessoais. O SLE incluiria: o custo por registro vazado segundo o Cost of a Data Breach Report da IBM (em torno de R$ 245 por registro no Brasil), o custo de resposta a incidente (forense, jurídico, comunicação de crise), a multa potencial da LGPD (até 2% do faturamento, limitada a R$ 50 milhões por infração) e a perda reputacional estimada. A soma desses valores é o SLE da vulnerabilidade.
ARO: Annualized Rate of Occurrence (Frequência Anual de Exploração)
O ARO responde à pergunta: quantas vezes por ano essa vulnerabilidade tende a ser explorada se nada for feito?
A abordagem combina três indicadores: o sub-score de explorabilidade do CVSS v3.1 (quanto mais alto, mais fácil explorar), a janela de exposição em meses (quanto tempo a vulnerabilidade ficou ou ficaria aberta) e o fator de exposição externa do ativo (público ou interno). Multiplicando esses três fatores, você obtém uma probabilidade composta que serve como ARO.
ARO = (CVSS Exploitability ÷ 10) × (Janela de Exposição em meses ÷ 12) × Fator de Exposição
Quanto mais explorável, mais tempo aberto e mais público o ativo, maior o ARO
ALE: Annualized Loss Expectancy (Perda Esperada Anual)
O ALE é o produto final: o quanto, em média, a empresa espera perder por ano com essa vulnerabilidade específica. É esse número que vai para o slide de board, porque é o único que é alinhado ao orçamento.
ALE = SLE × ARO
Perda por incidente multiplicada pela frequência anual esperada de exploração
Exemplo prático: calculando o ALE de um SQL Injection crítico
Imagine que o pentest identificou uma SQL Injection em um endpoint público de busca, sem autenticação, em uma aplicação que processa dados de 50.000 clientes. A organização tem faturamento anual de R$ 25 milhões.
Passo 1: Calcular o SLE
| Componente | Cálculo | Valor |
|---|---|---|
| Valor do ativo × Fator de Exposição | R$ 5.000.000 × 80% | R$ 4.000.000 |
| Custo por registro vazado (LGPD) | 50.000 × R$ 245 | R$ 12.250.000 |
| Custo de downtime (24h) | 24h × R$ 25.000/h | R$ 600.000 |
| Custo de resposta a incidente | Forense + jurídico + crisis mgmt | R$ 120.000 |
| Dano reputacional | 3% × R$ 25.000.000 | R$ 750.000 |
| SLE TOTAL | Soma de todos os componentes | R$ 17.720.000 |
Esse é o valor que a empresa perderia, em média, se a SQL Injection fosse explorada uma única vez. Note que se trata de uma estimativa baseada em referências reconhecidas (IBM Cost of a Data Breach, multas da LGPD, custos médios de downtime). A defensibilidade do número está na origem dos componentes: qualquer um deles pode ser questionado, mas todos são auditáveis.
Passo 2: Calcular o ARO
A vulnerabilidade tem CVSS Exploitability sub-score de 3.9 (máximo, considerando endpoint público, sem autenticação, sem interação do usuário), janela de exposição estimada de 3 meses e fator de exposição externa de 1.0 (ativo público).
ARO = (3.9 ÷ 10) × (3 ÷ 12) × 1.0 = 0.0975 (cerca de 9,75% ao ano)
Probabilidade anual de exploração ajustada ao contexto
Passo 3: Calcular o ALE
ALE = R$ 17.720.000 × 0.0975 = R$ 1.727.700 por ano
Perda esperada anual se a vulnerabilidade permanecer aberta
Esse é o número-chave: uma única SQL Injection não corrigida representa uma exposição anual estimada em R$ 1,72 milhão. Quando esse cálculo é replicado para cada achado do pentest e somado, surge o ALE total da organização, a métrica que vai ancorar o cálculo do risco evitado.
Como calcular o valor de risco evitado após a remediação
Risco evitado é a diferença entre o ALE antes da correção e o ALE depois da correção. A grande variável aqui é a eficácia da remediação. Uma correção pode reduzir o risco em 100% (quando elimina completamente a vulnerabilidade) ou em apenas 50% (quando aplica uma mitigação parcial, como um WAF que filtra padrões conhecidos, mas não fecha a falha na origem).
Risco Evitado = ALE_antes × Eficácia da Correção
ou, equivalentemente, ALE_antes menos ALE_depois
Voltando ao exemplo da SQL Injection, se a correção foi a aplicação de prepared statements no código (eficácia estimada em 95%), o risco evitado é R$ 1.727.700 × 0,95 = R$ 1.641.315 por ano. O ALE residual cai para R$ 86.385, o risco que permanece por conta dos 5% de chance de uma nova variação da falha aparecer no mesmo endpoint.
Por que a eficácia raramente é 100%
Mesmo a melhor correção deixa risco residual. Patches podem sofrer bypass, configurações podem regredir em deploys futuros, novos vetores de ataque podem surgir. Adotar uma eficácia inferior a 100% é uma postura conservadora e defensável.
Recomendação: 95% para correções de código no nível da causa raiz, 80% para mitigações compensatórias (WAF, segmentação), 50% para controles puramente detectivos (SIEM, alertas).
Calculando o ROI do pentest: do achado técnico ao slide do conselho
Com o risco evitado de cada achado calculado, basta somar tudo e comparar com o custo do pentest (mais o custo da remediação) para chegar ao ROI. É aqui que o pentest passa a ser um investimento com retorno mensurável.
ROI = (Σ Risco Evitado − Custo do Pentest − Custo da Remediação) ÷ (Custo do Pentest + Custo da Remediação)
Resultado expresso em percentual ou em múltiplo (por exemplo, 56x significa R$ 56 evitados por R$ 1 investido)
Caso completo: pentest com 8 achados em uma empresa de varejo
Considere um pentest contratado por R$ 45.000, em que foram identificados 8 achados de severidades variadas. O custo total de remediação somou R$ 16.380. Os cálculos individuais de ALE produziram os seguintes valores:
| ID | Severidade | ALE Antes | ALE Depois | Risco Evitado |
|---|---|---|---|---|
| VULN-001 | Crítica | R$ 1.727.700 | R$ 86.385 | R$ 1.641.315 |
| VULN-002 | Média | R$ 416.150 | R$ 41.615 | R$ 374.535 |
| VULN-003 | Alta | R$ 599.150 | R$ 89.872 | R$ 509.278 |
| VULN-004 | Média | R$ 23.400 | R$ 0 | R$ 23.400 |
| VULN-005 | Alta | R$ 201.600 | R$ 100.800 | R$ 100.800 |
| VULN-006 | Alta | R$ 146.250 | R$ 7.313 | R$ 138.938 |
| VULN-007 | Crítica | R$ 566.225 | R$ 56.622 | R$ 509.602 |
| VULN-008 | Média | R$ 180.375 | R$ 0 | R$ 180.375 |
| TOTAL | Soma | R$ 3.860.850 | R$ 382.608 | R$ 3.478.243 |
Com R$ 3.478.243 em risco evitado e R$ 61.380 em custo total (pentest mais remediação), o ROI é:
ROI = (3.478.243 − 61.380) ÷ 61.380 = 5.566%
Cada R$ 1 investido evitou R$ 56,67 em perdas potenciais ao longo de um ano
Esse número não significa que a empresa “lucrou” R$ 3,4 milhões. Significa que essa é a estimativa esperada de perdas financeiras que deixaram de se materializar ao longo do ano por conta das correções aplicadas. É um KPI defensável, replicável e absolutamente alinhado com a forma como a diretoria pensa investimentos.
Cinco armadilhas comuns ao calcular risco evitado com pentest
1. Usar o pior cenário em vez do cenário esperado
Há uma tentação enorme de inflar o SLE com o pior caso possível, ou seja, assumir que toda a base de clientes vaza, que o downtime dura uma semana, que a multa máxima da LGPD é aplicada integralmente. Isso destrói a credibilidade do número. O SLE deve refletir a perda esperada em um cenário típico, não o apocalipse. Para cenários extremos, use ranges (mínimo até máximo) e apresente o valor esperado como ponto central.
2. Ignorar a probabilidade composta
Calcular o ALE multiplicando SLE por uma probabilidade fixa (por exemplo, 10% para tudo) é o erro mais comum. A probabilidade deve sempre refletir a explorabilidade real da vulnerabilidade. Uma SQL Injection em endpoint público tem ARO muito maior que uma escalação de privilégios local que requer acesso físico.
3. Não documentar as fontes dos valores de referência
Custo por registro vazado, custo de downtime, percentual de dano reputacional. Todos esses números precisam de fonte. Use referências reconhecidas como o IBM Cost of a Data Breach Report (publicado anualmente pelo Ponemon Institute), os relatórios da ENISA, do FBI IC3 e da própria ANPD.
4. Esquecer o custo de remediação no denominador do ROI
Muitos consultores apresentam ROI calculado apenas contra o custo do pentest, ignorando o esforço interno de correção. Isso superestima o retorno e destrói a confiança quando o CFO percebe a omissão. O denominador correto inclui pentest mais remediação, e o numerador inclui apenas o risco efetivamente evitado pelas correções aplicadas.
5. Não atualizar o cálculo ao longo do tempo
O ALE não é estático. Mudanças no negócio (novo produto, expansão regional, aumento da base de clientes) alteram o valor do ativo e os custos por registro. O cálculo deve ser revisitado a cada novo pentest, idealmente mantido em uma planilha viva que recalcula automaticamente conforme os parâmetros da organização mudam.
Frameworks que dão sustentação técnica ao cálculo
A metodologia apresentada é a aplicação de três frameworks consolidados, cada um contribuindo com uma camada específica do raciocínio.
FAIR (Factor Analysis of Information Risk)
O FAIR, mantido pela The Open Group, é o padrão de fato para quantificação de risco cibernético. Sua principal contribuição é decompor o risco em duas dimensões: frequência de eventos de perda (LEF) e magnitude de perda (LM). O modelo apresentado neste artigo é uma simplificação operacional do FAIR, otimizada para aplicação direta em achados de pentest.
NIST SP 800-30 (Guide for Conducting Risk Assessments)
O NIST SP 800-30 é o documento de referência do governo americano para análise de risco em segurança. Ele formaliza conceitos como likelihood e impact, e fornece a base teórica para o cálculo de ALE. É o framework citado em praticamente todas as auditorias de SOC 2, ISO 27001 e PCI DSS.
CVSS v3.1 (Common Vulnerability Scoring System)
O CVSS, mantido pelo FIRST, é o padrão internacional para pontuação de severidade técnica de vulnerabilidades. Seu sub-score de explorabilidade fornece uma proxy excelente para a probabilidade de exploração, métrica fundamental para o cálculo do ARO. O CVSS v4.0 já foi publicado e inclui melhorias na dimensão de ameaça, mas a versão 3.1 ainda é a mais amplamente adotada.
Como implementar o cálculo na sua empresa: passo a passo
- Defina os parâmetros globais da organização: faturamento anual, valor médio do ativo digital, custo médio do time de remediação, custo médio de downtime por hora.
- Levante os custos de referência baseados em fontes públicas: custo por registro vazado (IBM e Ponemon), tetos regulatórios da LGPD, percentual médio de dano reputacional em incidentes de segurança do seu setor.
- Para cada achado do pentest, calcule SLE individual considerando o ativo afetado, o fator de exposição e os custos diretos do incidente.
- Atribua o ARO de cada achado usando o CVSS Exploitability sub-score combinado com a janela de exposição e o fator de exposição externa.
- Calcule ALE antes e depois da remediação, aplicando a eficácia esperada de cada correção.
- Some os riscos evitados, calcule o ROI e prepare um slide executivo com três números: ALE total antes, risco evitado total e ROI percentual.
- Revise o cálculo a cada novo pentest e a cada mudança relevante no negócio.
Perguntas frequentes sobre cálculo de risco evitado com pentest
Qual é a diferença entre risco evitado e ROI do pentest?
Risco evitado é o valor financeiro absoluto que deixou de ser perdido após a remediação dos achados. ROI é a razão entre esse risco evitado e o custo total investido (pentest mais remediação). Risco evitado responde “quanto?”, e ROI responde “vale a pena?”.
Posso usar essa metodologia para pentests de aplicações web, infraestrutura e mobile?
Sim. A metodologia age independentemente do tipo de pentest. O que muda é o conjunto de ativos afetados e os custos de referência. Uma vulnerabilidade em aplicação mobile pode envolver custos diferentes de uma em infraestrutura de rede, mas a fórmula ALE = SLE × ARO permanece idêntica.
Como calcular o ARO se a vulnerabilidade nunca foi explorada na minha empresa?
Use o sub-score de explorabilidade do CVSS como proxy. O sub-score já incorpora dados estatísticos sobre quão frequentemente vulnerabilidades com aquele perfil técnico são exploradas no mercado. Complemente com EPSS (Exploit Prediction Scoring System) se disponível.
O que fazer quando o cálculo gera um ALE absurdamente alto, na casa dos bilhões?
Revise o SLE. Provavelmente você está usando o pior cenário em vez do cenário esperado. ALE bilionário em PME indica que o fator de exposição (EF) ou o valor do ativo está superestimado. Reduza para a perda típica em um incidente real do seu setor.
Posso apresentar esse cálculo para a diretoria sem ser técnico de segurança?
Sim, e é exatamente para isso que ele serve. A apresentação ideal mostra três números: exposição total anual (ALE antes), risco evitado pela correção e ROI percentual. Toda a complexidade técnica fica no anexo.
Com que frequência devo refazer esse cálculo?
A cada novo pentest e a cada mudança material no negócio: nova linha de produto, expansão para outro país, aumento expressivo da base de clientes, mudança regulatória relevante. Em organizações maduras, o cálculo é parte do ciclo trimestral de governança de risco.
Quais ferramentas posso usar para automatizar esse cálculo?
Para começar, uma planilha estruturada com fórmulas é suficiente, e é o que recomendamos para pequenas e médias empresas. Para volumes maiores, plataformas como RiskLens (FAIR institucional), Axio360 e SAFE Security oferecem motores de quantificação completos. O importante é dominar a lógica antes de comprar a ferramenta.
Esse cálculo é aceito em auditorias de ISO 27001 e SOC 2?
Sim. Tanto a ISO 27001 quanto o SOC 2 exigem que a empresa tenha um processo formal de análise de risco. O NIST SP 800-30, que sustenta a metodologia apresentada aqui, é uma das referências mais aceitas pelos auditores. Documente as fontes dos valores de referência e o cálculo é totalmente defensável.
Quantificar o risco evitado com pentest é a tradução, em linguagem financeira auditável, do trabalho que a área de segurança já faz todos os dias. Em vez de pedir orçamento defensivamente (“precisamos investir porque é importante”), passa-se a apresentar resultados ofensivamente (“cada R$ 1 investido evitou R$ 56 em perdas”).
Empresas que dominam essa narrativa têm orçamento maior, decisões mais rápidas e relacionamento mais saudável entre segurança e finanças. A fórmula está disponível, os frameworks estão consolidados, as referências estão publicadas. Falta apenas aplicar.
Próximo passo: entenda o ROI da sua empresa
Pegue o último relatório de pentest da sua empresa. Para cada achado, preencha SLE, ARO e eficácia da correção. Some os ALEs. Divida pelo custo total. Você terá, em menos de uma hora, o ROI defensável que provavelmente nunca foi calculado antes.
Esse é o número que abre conversas com o CFO, com o conselho e com os investidores. E é o número que muda definitivamente a forma como a empresa enxerga o investimento em segurança.
Siga a Vantico nas redes sociais e fique atualizado sobre cibersegurança, tecnologia e insights.