A Vultus, consultoria especializada em gestão de riscos cibernéticos, acaba de lançar o V.E.M. (Vultus Exposure Management), um programa contínuo voltado a médias e grandes empresas que querem sair da lógica de “detectar vulnerabilidades” e passar a reduzir, de fato, a probabilidade de invasões.
O lançamento acontece em um momento em que empresas enfrentam um volume crescente de alertas, falhas e sinais de risco e muitas vezes maior do que a capacidade das equipes de segurança para corrigir tudo. Na prática, o desafio deixou de ser encontrar vulnerabilidades e passou a ser priorizar o que realmente pode virar um incidente relevante para o negócio.
Esse cenário impulsiona a adoção de abordagens como o CTEM (Continuous Threat Exposure Management), modelo que propõe gestão contínua da exposição a ameaças. Segundo previsões da Gartner, organizações que adotam programas estruturados de CTEM conseguem reduzir significativamente o risco de violações ao direcionar melhor seus investimentos.
Os dados reforçam essa urgência. O Verizon Data Breach Investigations Report 2025 aponta que o fator humano esteve presente em 68% das violações, com destaque para engenharia social e uso indevido de credenciais. No Brasil, os impactos também se refletem no avanço de ataques de ransomware, que geram custos relevantes de recuperação e paralisação operacional.
Segundo César Baracat, CRO da Vultus, o gargalo atual das empresas não está na falta de ferramentas. “O mercado investiu muito em tecnologia de detecção. O problema agora é transformar sinais dispersos em decisões objetivas e redução mensurável de risco. O V.E.M. nasce para organizar essa execução, priorizar o que é realmente explorável e criar governança para sustentar o programa ao longo do tempo”.
O que é o V.E.M.
O Vultus Exposure Management (V.E.M.) funciona como um programa estruturado de redução contínua de exposição, apoiado em três pilares:
- Plataforma centralizada
Um painel que consolida vulnerabilidades externas, credenciais expostas e riscos na superfície digital da empresa. - Metodologia proprietária
Critérios de priorização baseados em explorabilidade real, criticidade dos ativos e impacto ao negócio, com SLAs, indicadores e evidências de evolução. - Execução recorrente
Sprints de remediação que reduzem backlog com previsibilidade, mobilizando áreas técnicas e executivas.
A proposta é alinhar times de segurança e liderança executiva em torno de métricas claras de redução de risco e não apenas volume de alertas.
Como funciona na prática
O programa é modular e pode ser adaptado à maturidade da empresa. Entre os principais componentes estão:
- Scans de superfície digital para identificar vulnerabilidades externas;
- Monitoramento contínuo de credenciais expostas;
- Priorização unificada de backlog, considerando risco real e impacto ao negócio;
- Sprints recorrentes de remediação;
- Governança executiva, com definição de responsáveis, indicadores de risco (KRIs) e metas;
- Validação em postura de adversário (Red Team) para comprovar o fechamento efetivo de caminhos de ataque.
Diferencial
Em vez de operar como mais uma ferramenta isolada, o V.E.M. se posiciona como um programa de gestão contínua. A proposta é:
- Reduzir ruído e focar no que pode ser explorado no curto prazo;
- Dar previsibilidade à redução de risco
- Traduzir vulnerabilidades técnicas em indicadores compreensíveis para o C-level;
- Conectar risco, investimento e resultado.
A expectativa da Vultus é que o modelo ajude empresas a sair do acúmulo de alertas e avançar para uma abordagem mais estratégica de cibersegurança, baseada em evidência de progresso.