01
Os três assets prontos para o board
- Score de risco geral (0–100): seu número headline. Mostre três execuções consecutivas no mesmo alvo para demonstrar tendência de melhora ou regressão. Um score de 72 significa que 72% da superfície de ataque testada é uma exposição real.
- Pacote de evidência de compliance: mapeia cada descoberta para controles SOC 2 CC, funções do NIST AI RMF e artigos do EU AI Act. Baixe como JSON assinado na página da execução — com checksum e timestamp para auditores.
- Comparação de execuções (A vs. B): descobertas fechadas, novas descobertas introduzidas, delta de score, variação de cobertura MITRE. Este é seu slide 'o que corrigimos desde o último trimestre'.
02
Traduza para stakeholders não técnicos
- Substitua attack_exposure por linguagem de negócio: '47% das respostas geradas por IA podem ser manipuladas por um usuário externo' é mais acionável para um board do que 'attack_exposure_score: 47'.
- Ancore a prevenção de custos: uma descoberta crítica LLM01 (override de system-prompt) pode expor todos os usuários downstream daquela feature. Enquadre descobertas em termos de dados de clientes ou receita em risco.
- Apresente o arco de remediação: mostre a comparação antes/depois com patches verificados aplicados. 'Fechamos 4 de 6 descobertas críticas em 5 dias' é a narrativa que o board quer ouvir.