O Desafio
O principal desafio era obter visibilidade independente da nossa postura de segurança externa. Embora já tivéssemos controles implementados, faltava uma visão clara e padronizada sobre como o mercado, fornecedores, parceiros e executivos enxergavam o nosso nível de exposição.
Além disso, não havia uma forma eficiente de priorizar riscos com base em evidências externas — especialmente em áreas com vulnerabilidades expostas, configurações inseguras e problemas de higiene de superfície de ataque. O SecurityScorecard passou a preencher essa lacuna, oferecendo um indicador claro, padronizado e fácil de comunicar internamente.
Antes do SecurityScorecard
Antes de adotarmos o SecurityScorecard — e ainda hoje — não realizávamos nenhum tipo de gestão de segurança cibernética formal, nem tínhamos um processo estruturado para isso. Quando era necessário, agíamos de forma pontual. Nossa atuação permanece totalmente focada na segurança interna e na melhoria da nossa própria postura de exposição externa.
Como Usamos a Plataforma
Utilizamos a plataforma para acompanhar o score da MRS, garantindo que a postura permaneça estável e dentro do nível desejado; monitorar alertas e evidências externas que possam indicar exposição indevida; criar insumos para relatórios executivos e apresentações de maturidade; e avaliar tendências ao longo dos meses.
O SecurityScorecard permitiu apoiar discussões com TI e demais áreas técnicas, manter uma visão única da postura externa da MRS e criar um padrão de monitoramento que não existia antes — o que aumentou a previsibilidade e reduziu a subjetividade na priorização.
A ferramenta também facilitou enormemente a comunicação executiva, pois o score que ela apresenta é simples, intuitivo, comparável e visual. Hoje, dentro da MRS, utilizamos o score como indicador de maturidade, permitindo que áreas não técnicas compreendam facilmente nosso posicionamento e evolução.
Resultados
Os resultados mais relevantes foram: a evolução sustentada do score até atingir os 100%, mantendo-se nesse nível por vários meses; a redução da exposição externa identificada pela plataforma; a melhoria da higiene de superfície de ataque; a redução do tempo de resposta a incidentes externos detectados pela plataforma; ganho de eficiência operacional com a centralização das evidências; e a consolidação de uma métrica corporativa objetiva para a segurança da informação.
Mudança Cultural
Sim, houve uma mudança cultural importante. Os executivos passaram a acompanhar o score como indicador-chave, e a TI e a área de segurança usam o painel operacional para correções semanais. Isso trouxe maior colaboração entre as áreas e consolidou a visão de que a segurança é responsabilidade de toda a empresa.
Funcionalidades em Destaque
Os recursos que mais fizeram diferença foram os alertas em tempo real, que permitem respostas mais rápidas; as evidências detalhadas por item, que facilitam o alinhamento técnico com a TI e demais áreas; e o monitoramento contínuo de parceiros e fornecedores, reduzindo riscos de terceiros — feito hoje de forma pontual, como mencionado anteriormente.
O Futuro
A plataforma continuará sendo um pilar estratégico no monitoramento de riscos externos aqui na MRS. Ela nos ajuda a sustentar a maturidade conquistada — os 100% —, a antecipar riscos antes que se tornem incidentes, a melhorar continuamente a governança e a fortalecer a relação com parceiros e fornecedores.
Enxergamos o SecurityScorecard como uma ferramenta essencial para manter a visibilidade, mitigar riscos e apoiar nas decisões.