Drogaria Araujo
O Tenable One é mais do que uma solução de segurança. É uma solução de negócios que ajuda a entender nossa superfície de ataque, eliminar pontos cegos e criar uma base para um gerenciamento eficaz da exposição.
Tenable One
A plataforma líder mundial em gerenciamento de exposição com tecnologia de IA
O Tenable One unifica totalmente a visibilidade da segurança, as informações e as ações para a superfície de ataque. Dessa forma, as organizações modernas podem isolar e eliminar as principais exposições cibernéticas em diferentes ambientes, como a nuvem, a infraestrutura crítica ou da TI, entre outros.
Drogaria Araujo combate seus problemas de segurança cibernética e reduz os custos em 25% com o Tenable One
Aplicar vacinas, processar receitas, garantir que os clientes tenham acesso a bens essenciais em um só lugar — os funcionários da Drogaria Araújo procuram ajudar a aliviar as dores dos seus clientes. Quando falamos em visibilidade e compreensão da exposição ao risco, o CISO Daniel Moreira compara o Tenable One a um centro farmacêutico de segurança cibernética, que ajuda a equipe da Drogaria Araujo a detectar, comunicar e, em última instância, tratar os sintomas de risco cibernético da organização.
“O Tenable One mostra onde estão nossos pontos de dificuldade, e usar a priorização baseada em riscos ajuda minha equipe a focar nas exposições mais críticas e diminuir o tempo para corrigir nosso ambiente híbrido”, diz Daniel.
A Drogaria Araujo domina o mercado de farmácias varejistas em Minas Gerais, o segundo estado mais populoso do Brasil e um dos maiores do país.
Com 118 anos de inovação em seu DNA, a Drogaria Araujo foi a primeira farmácia do Brasil a implementar a tecnologia digital no seu modelo de vendas, incluindo tele-entrega e WhatsApp. A tecnologia é uma grande facilitadora em toda a cadeia de valor da Drogaria Araujo, seja na logística de inventário, em vendas on-line ou no desenvolvimento de um app para a fidelização de clientes. Não é de surpreender que o gerenciamento de exposição seja um tema importante para Daniel e a equipe da InfoSec, cuja missão é detectar e mitigar a exposição em toda a crescente superfície de ataque da empresa.
Com o Tenable One, a Drogaria Araujo simplificou as decisões de investimento do conselho de administração e, ao mesmo tempo, reduziu os custos em 25%, garantindo que a equipe de InfoSec tivesse novas oportunidades e um trabalho significativo. Recentemente, a Drogaria Araujo recebeu o Security Leaders Award 2023 graças ao uso da plataforma de gerenciamento de exposição Tenable One.
Principais necessidades do negócio
Os desafios de proteger os dados e os ativos de uma grande organização não passam despercebidos a Daniel. Com mais de 300 lojas em 50 cidades, a cobertura de exposição para evitar interrupções dispendiosas ao negócio é fundamental.
Os dados confidenciais dos clientes também precisam ser protegidos. Como farmácia varejista, a Drogaria Araujo coleta e armazena em suas lojas dados privados dos clientes relacionados a exames médicos, medicamentos diversos e vacinas, dados esses que precisam ser informados ao Ministério da Saúde do Brasil. A empresa também coleta dados relacionados ao seu programa de fidelidade e a descontos com seguros.
Com centenas de servidores, a Drogaria Araújo opera em um ambiente híbrido: a maioria do seu ambiente legado é executado no local. Graças à transformação digital, o ambiente de nuvem da Drogaria Araujo dá suporte aos novos canais digitais de vendas, ao site e à funcionalidade do WhatsApp.
O gerenciamento de exposição nesse ambiente híbrido, onde os ativos legados passam por aplicação frequentes de patches, conserto de equipamentos, fim da vida útil de software e hardware etc., é um empreendimento caro e complexo. A presença em nuvem da empresa também está aumentando.Pontas soltas são inevitáveis, levantando a questão para os CISOs de muitos setores: “Como minimizar os riscos, e não só gerenciar as vulnerabilidades?”.
O CISO foca em áreas de preocupação baseadas em riscos
Daniel é sincero sobre a exposição da Drogaria Araujo ao risco antes da implementação do Tenable One, salientando que a empresa não estava preparada para identificar todos os ativos e exposições na sua superfície de ataque.
“Se observarmos as organizações que sofrem ataques cibernéticos, a maioria não usa uma abordagem eficiente de gerenciamento de exposição”, afirma Daniel. “Antes de implementarmos o Tenable One, não tínhamos nenhuma plataforma para gerenciar as vulnerabilidades. Como CISO, não consigo resolver os pontos problemáticos se não os enxergo, muito menos priorizar ações corretivas com base na exposição ao risco.”
Tendo em mente a concepção de visibilidade completa e gerenciamento de exposição, Daniel e a equipe da InfoSec decidiram buscar uma solução que identificasse e priorizasse as exposições. Depois de uma due diligence, a Drogaria Araujo escolheu o Tenable One para obter visibilidade da sua crescente superfície de ataque híbrida e permitir que Daniel fornecesse uma avaliação unificada e baseada em riscos ao conselho de administração.
O Tenable One reúne a mais ampla cobertura de exposição, abrangendo ativos de TI e OT, recursos de nuvem, contêineres, aplicações Web e sistemas de identidade. Ele identifica ativos, permite visibilidade unificada, quantifica riscos e, por meio de análises abrangentes, prioriza e valida iniciativas de correção.
A Drogaria Araujo adotou o Tenable One em prol de visibilidade, identificação e priorização na nuvem e agora tem cobertura para cerca de 7.600 ativos. Com os resultados do gerenciamento de exposição do Tenable One, a equipe de InfoSec faz análises rápidas e implementa planos de mitigação.
“O Tenable One faz a priorização de riscos, o que é ótimo, porque nos ajuda a prever as consequências de um ataque cibernético e define nosso foco de correção”, diz Daniel. “Ele traduz todos os dados técnicos de ativos, exposição e ameaças em perspectivas significativas e intel prática para que possamos focar nas áreas de preocupação baseadas em riscos.”
A Drogaria Araujo também economiza ao consolidar ferramentas pontuais dispendiosas na plataforma unificada do Tenable One, enquanto garante visibilidade abrangente de toda a superfície de ataque. “Nós economizamos 25% só no custo de gerenciamento de identidade”, destaca Daniel.
O foco na exposição ao risco simplifica as decisões de investimento
Quantificar o risco pode ser um desafio, especialmente ao compartilhar perspectivas com executivos fora da área técnica e membros do conselho que não têm motivos para entender a relevância de milhares de exposições para o negócio. O que gera identificação e ajuda a apoiar o investimento, atesta Daniel, é saber responder às perguntas: “Até que ponto estamos seguros e como estamos mitigando os problemas?”.
O Tenable One oferece uma visão do risco cibernético centralizada e alinhada ao negócio, com KPIs claros, para mostrar o progresso ao longo do tempo e referências para comparação com outras empresas e internamente na organização. Ao aplicar análises avançadas baseadas em riscos a dados coletados de várias fontes, o Tenable One oferece um Cyber Exposure Score unificado por meio do Tenable Lumin Exposure View para priorizar áreas de preocupação e responsabilizar as equipes pela mitigação dos riscos.
Claro, nem todas as exposições estão sujeitas a um ataque externo, e Daniel está satisfeito com o fato de o Tenable One ajudar os membros do conselho a enxergar além dos números de exposição e focar na exposição geral ao risco — afinal de contas, como CISO, Daniel tem a oportunidade de influenciar as decisões de investimento, mas também está ciente das restrições de verba e da responsabilidade do CFO de gastar com sabedoria.
“Qual é o maior risco de exposição e onde estão as principais ameaças? Um invasor privilegiado certamente pode ser uma grande ameaça, mas, em comparação com as ameaças externas, torna-se um risco baixo”, disserta Daniel. “Por isso, a orientação de priorização e correção oferecida pelo Tenable One é fundamental. Consigo demonstrar como novos processos e equipes capacitam minha equipe a reduzir riscos críticos em escala. Os membros do conselho podem decidir por si mesmos o nível de tolerância ao risco e alocar a verba da melhor forma.”
Igualmente importante é a preocupação do conselho com os danos à marca Drogaria Araujo. Por isso, Daniel incorporou na política de segurança da empresa a missão da Drogaria Araújo de proteger as informações pessoais dos seus clientes.
“Quando juntamos tudo — essa visão, nossa missão, nosso valor e o valor do negócio — a preocupação que temos com nossos clientes virou um objetivo de todo o conselho”, diz Daniel. “O conselho entende como as questões de exposição ao risco descobertas pelo Tenable One afetam os negócios da Drogaria Araujo e quais investimentos devem ser feitos para ajudar minha equipe de InfoSec a resolver os problemas.”
O conselho da Drogaria Araujo está satisfeito com o novo foco em exposições ao risco e inclui o tema de gerenciamento de exposição na sua agenda regular. Antes do ciclo orçamentário mais recente, Daniel apresentou a avaliação de risco fornecida pelo Tenable One, e o conselho foi proativo nas recomendações de investimento.
“A missão da Drogaria Araujo é encantar e atender às necessidades dos nossos clientes; então, no momento em que conseguimos fazer com que a segurança e o negócio funcionem juntos, tudo dá certo”, afirma Daniel. “O Tenable One é mais do que uma solução de segurança. É uma solução de negócios que ajuda a entender nossa superfície de ataque, eliminar pontos cegos e criar uma base para um gerenciamento eficaz da exposição.”
A automação ajuda a aprimorar tarefas importantes e aumentar a satisfação dos funcionários
Como muitas organizações, a Drogaria Araujo opera com uma equipe de segurança enxuta. Em um relatório recente da Forrester Consulting encomendado pela Tenable, 60% dos líderes de segurança cibernética dizem que as suas equipes de InfoSec estão ocupadas demais combatendo incidentes críticos, sem conseguir trabalhar para reduzir a exposição. A Drogaria Araujo também sofre com esse problema.
Antes da implementação do Tenable One, as vulnerabilidades eram tratadas como gerenciamento de emissão de tíquetes, um problema que, segundo Daniel, exigia muitos funcionários só para isso e contribuía para o esgotamento e o tédio entre os membros da equipe.
A plataforma de gerenciamento de exposição da Tenable ajuda as equipes de segurança a atuar com mais eficiência, reduzindo o tempo e os recursos necessários para identificar, mitigar e gerenciar exposições e configurações incorretas. Quanto mais você automatiza o processo, menos pessoas dedicadas são necessárias para o gerenciamento da exposição. Daniel estima uma economia de 25% nessa área, pois o Tenable One atua como membro virtual da equipe e absorve essa carga.
Mas essas eficiências também dão à equipe novas oportunidades de focarem em projetos críticos de correção que aumentam a satisfação dos integrantes e mantêm a equipe enxuta.
“Na Drogaria Araujo, todos gostamos de resolver problemas que tenham um impacto considerável para o negócio”, afirma Daniel. “O gerenciamento de exposição é muito interessante. Ao revelar e priorizar nossos pontos de dificuldade, o Tenable One permite que os membros da equipe direcionem seus conhecimentos e suas habilidades para projetos críticos que mantêm as interrupções do negócio sob controle e protegem os clientes da Drogaria Araujo.”
Como promover uma parceria entre as pessoas e a tecnologia
Da mesma maneira, a confiança e o cuidado com as pessoas são os pilares da Drogaria Araujo. Daniel está satisfeito com sua experiência com a equipe da Tenable.
“Quando nos deparamos com um incidente de segurança, precisamos ter pessoas com quem contar”, destaca Daniel. “A proximidade que o pessoal da Tenable tem conosco é excepcional e é um diferencial que nunca tive com outros fornecedores de software. Quem estará ao nosso lado em situações difíceis? Posso dizer que não temos dúvidas de que a Tenable é uma parceira com quem podemos contar nesses momentos.”
Quanto ao Tenable One, o CISO novamente resume tudo à missão e aos ativos mais importantes da Drogaria Araujo: seus clientes.
“Nossos clientes contam com a Drogaria Araujo para ajudá-los a compreender e tratar seus sintomas”, afirma Daniel. “Da mesma maneira, a Tenable é o meu centro farmacêutico: me mostra nossos problemas críticos de segurança cibernética, a exposição ao risco e o que preciso fazer para tratá-los.”
“O gerenciamento de exposição é um desafio para qualquer CISO que esteja tentando proteger um cenário de ameaças em expansão”, diz Daniel. “Os riscos são inevitáveis, por isso o foco na redução da exposição ao risco é fundamental, mas não é possível administrar isso sozinho. É necessária uma ferramenta como o Tenable One para ajudar a coletar os dados e juntar os pontos de forma automatizada; assim, conseguimos focar nas exposições que representam o maior risco para o negócio.”
- Tenable One