No mercado de cibersegurança, um dos maiores desafios dos gestores é fundamentar o valor financeiro retornado para seus clientes a partir de investimentos em testes defensivos.
Para solucionar essa questão, a Vantico desenvolveu um estudo de caso comparativo que analisa a relação direta entre o investimento em pentests e o custo real de vulnerabilidades no mercado global.
Ao quantificar o valor das vulnerabilidades, é possível demonstrar um ROI do Pentest (Retorno sobre o Investimento) que vai além da simples conformidade técnica.
O framework de risco: Impacto vs. Probabilidade
Para que o cálculo do ROI do Pentest seja preciso, é fundamental entender como a severidade de uma vulnerabilidade é definida estrategicamente.
A Vantico utiliza o modelo de risco padrão da indústria, onde o risco é o resultado da multiplicação entre o impacto e a probabilidade de exploração.
A dimensão do impacto
O impacto é mensurado pela profundidade do dano que uma exploração bem-sucedida causaria aos negócios.
Sob uma ótica executiva, isso envolve compreender o que é vital para a empresa, incluindo fatores como:
- Danos financeiros: Perdas diretas de capital decorrentes do incidente.
- Danos à reputação: O impacto na confiança do mercado e dos clientes.
- Não conformidade: Riscos jurídicos e multas por violação de regulamentações.
- Privacidade e violação: O comprometimento de dados sensíveis da organização.
De acordo com o estudo, um impacto crítico é aquele capaz de causar problemas catastróficos com efeitos sobre a empresa ou outras organizações.
Já um impacto médio permite que a empresa desempenhe suas funções primárias, mas com capacidades reduzidas e um impacto negativo perceptível.
A dimensão da probabilidade
A probabilidade representa a viabilidade técnica de um ataque, considerando o nível de habilidade necessário e o nível de acesso que o invasor precisa possuir.
- Probabilidade crítica: Quando é quase certo que um invasor irá explorar a falha.
- Probabilidade alta: A vulnerabilidade é óbvia e acessível sem conhecimentos avançados.
- Probabilidade baixa: Exige acesso específico ao aplicativo, tempo significativo e habilidades especializadas.
Metodologia: o benchmark do Bug Bounty
Descobrir o custo exato de uma vulnerabilidade é uma tarefa complexa.
Para este estudo, a Vantico optou por utilizar informações públicas de programas de Bug Bounty como referência de mercado.
Por meio de crawlers e scrapers próprios, foram mapeados os pagamentos fornecidos por centenas de programas em quatro plataformas distintas, compostas por empresas brasileiras e norte-americanas.
Os dados foram coletados entre 31 de julho e 04 de agosto de 2023, englobando mais de 350 programas. Para garantir uma conclusão conservadora e realista, o estudo adotou as seguintes premissas:
- Valores iniciais: Sempre foi considerado o valor de recompensa mais baixo disponível para cada severidade.
- Média de mercado: Como o descolamento entre média e mediana foi baixo, utilizou-se a média geral para os cálculos.
- Exclusão de VDP: Programas que não fornecem recompensas financeiras foram desconsiderados para não distorcer o cálculo quantitativo.
Tabela de custos médios identificados
Com base no levantamento, os valores médios de mercado por vulnerabilidade foram estabelecidos da seguinte forma:
| Severidade | Valor Médio | Descrição |
| Crítica | R$ 39.088,30 | Comprometimento total de sistemas e informações, possível de ser explorável por ferramentas comuns. |
| Alta | R$ 14.568,00 | Implicam no comprometimento severo de sistemas e informações. |
| Média | R$ 4.467,95 | Não comprometem o sistema diretamente, mas exigem atenção no tratamento. |
| Baixa | R$ 1.084,36 | Podem servir como catalisadores para o comprometimento do sistema se usadas com outras falhas. |
Análise de resultados: o ROI do Pentest é de 80%
Ao cruzar esses dados de mercado com uma análise interna dos pentests executados pela Vantico nos 12 meses anteriores, os resultados revelaram um ganho de eficiência financeira exponencial.
A média de vulnerabilidades encontradas em um teste padrão, se fosse paga individualmente via Bug Bounty, teria um custo total de R$ 60.143,48.
No entanto, o valor investido no modelo da Vantico representa apenas 20% desse montante.
Isso significa que o ROI do Pentest, ou seja, o quanto os clientes economizam é de 80% do valor que seria necessário para identificar as mesmas falhas no mercado aberto.
Essa eficiência é potencializada pelo modelo ágil da empresa, que utiliza uma plataforma própria para iniciar testes em até 48 horas e gerar relatórios com visualizações em tempo real.
Onde reinvestir o ROI do Pentest?
A verdadeira vantagem estratégica não reside apenas na economia, mas em como esses recursos são redirecionados para aumentar a maturidade da organização.
Com 80% do orçamento preservado, os gestores podem fortalecer o plano de segurança da informação em frentes que previnem vulnerabilidades antes mesmo de sua criação.
Alguns exemplos:
- Capacitação e treinamento da equipe: Investir na capacitação técnica dos desenvolvedores para que o ciclo de desenvolvimento já nasça com foco em segurança.
- Identificação antecipada na pré-produção: Realizar revisões de código focadas em segurança ainda em ambiente de desenvolvimento, permitindo encontrar falhas com muito mais velocidade antes que cheguem à produção.
- Aumento da cadência de testes: Em vez de execuções esporádicas (uma ou duas vezes ao ano), a economia permite elevar a frequência para testes trimestrais, por exemplo.
Para conhecer a eficiência e economia do Pentest da Vantico, clique aqui e preencha o formulário.
Siga a Vantico nas redes sociais e fique informado sobre cibersegurança, tecnologia e insights.
Este texto foi adaptado a partir do e-book “Estudo de Caso sobre o ROI do Pentest” em que publicamos o material completo.
Para acessá-lo gratuitamente, basta clicar aqui e fazer o download.
