Drogaria Araujo
Tenable One es más que una solución de seguridad. Es una solución de negocios que me ayuda a comprender nuestra superficie de ataque, eliminar puntos ciegos y crear una base para una gestión de exposición eficaz.
Tenable One
La plataforma de gestión de exposición impulsada por IA líder en el mundo
Tenable One unifica de manera fundamental la visibilidad, la información y la acción relativas a la seguridad a lo largo de la superficie de ataque, para así equipar a las organizaciones modernas para aislar y erradicar la exposición cibernética prioritaria desde la infraestructura de TI y los entornos en la nube, hasta la infraestructura crítica y todo lo que hay en el medio.
Drogaria Araujo targets its cybersecurity pains; Reduces costs by 25% with Tenable One
Los empleados de Drogaria Araujo se dedican a aliviar las penas de sus clientes, desde facilitarles vacunas y surtir sus recetas hasta garantizar su acceso a todo lo que necesitan en un solo lugar. Cuando se trata de visibilidad y comprensión de la exposición al riesgo, el CISO Daniel Moreira compara Tenable One con un centro farmacéutico de ciberseguridad que ayuda al equipo de Drogaria Araujo a detectar, informar y, en última instancia, tratar los síntomas de riesgo cibernético de la organización.
"Tenable One me muestra dónde residen nuestros problemas, y el uso de la priorización basada en el riesgo ayuda a mi equipo a enfocarse en las exposiciones más críticas y acortar el tiempo de corrección en nuestro entorno híbrido", afirmó Moreira.
Drogaria Araujo (Araujo) domina el mercado farmacéutico minorista de Minas Gerais, el segundo estado más poblado de Brasil, y es una de las empresas más grandes del país en este rubro.
Con 118 años de innovación en su ADN, Araujo fue la primera empresa farmacéutica de Brasil en implementar tecnología digital en su modelo de ventas, incluyendo la entrega digital y WhatsApp. Desde la logística de inventarios hasta las ventas en línea y su aplicación para la fidelización de clientes, la tecnología es un facilitador clave a lo largo de la cadena de valor de Araujo. No sorprende que la gestión de exposición sea un tema importante para Moreira y el equipo de InfoSec, y que también respalde su misión de detectar y mitigar las exposiciones en la creciente superficie de ataque de la empresa.
Gracias a Tenable One, Araujo agilizó las decisiones de inversión de la junta directiva al tiempo que redujo los costos en un 25 % y garantizó que el equipo de InfoSec tenga nuevas oportunidades y trabajo significativo. Recientemente, Drogaria Araujo ganó el premio Security Leaders Award 2023 respaldado por su uso de la Plataforma de gestión de exposición Tenable One.
Necesidades de negocios clave
A Moreira no se le escapan los desafíos de proteger los datos y activos de una organización grande. Con más de 300 tiendas en 50 ciudades, la cobertura de la exposición para evitar costosas interrupciones del negocio es primordial.
También hay que proteger los datos confidenciales de los clientes. Como empresa de venta minorista de productos farmacéuticos, Araujo recopila y almacena datos privados de clientes relacionados con exámenes médicos, diversos medicamentos y vacunas que realizan en sus establecimientos minoristas, los cuales deben comunicarse al Ministerio de Salud brasileño. Además, recopila datos relacionados con su programa de fidelidad y descuentos en seguros.
Con cientos de servidores, Araujo opera en un entorno híbrido, en el que la mayor parte de su entorno tradicional se ejecuta a nivel local. Impulsado por la transformación digital, el entorno en la nube de Araujo admite los nuevos canales de venta digitales, el sitio web y la funcionalidad de WhatsApp.
La gestión de exposición en este entorno híbrido —donde los activos tradicionales pasan por todo tipo de ciclos, desde frecuentes parches y reparaciones de equipos hasta software y hardware que llegan al final de su vida útil— es una tarea costosa y compleja. La presencia de la empresa en la nube también se está ampliando. Los cabos sueltos son inevitables, lo que hace que los CISO de muchos sectores se pregunten: "¿cómo minimizamos el riesgo además de gestionar las vulnerabilidades?".
El CISO se enfoca en las áreas de preocupación
Moreira confiesa la exposición al riesgo que Araujo tenía antes de implementar Tenable One, al señalar que la empresa no estaba preparada para identificar todos los activos y las exposiciones a lo largo de su superficie de ataque.
"Si nos fijamos en las organizaciones que sufren ataques cibernéticos, la mayoría no utiliza un abordaje eficaz de la gestión de exposición", afirmó Moreira. "Antes de implementar Tenable One, no teníamos ninguna plataforma para gestionar vulnerabilidades. Como CISO, no puedo solucionar los problemas que no puedo ver, y mucho menos priorizar acciones correctivas con base en la exposición al riesgo".
Con la visión de lograr una visibilidad completa y gestionar la exposición, Moreira y el equipo de InfoSec se propusieron encontrar una solución que identificara y priorizara las exposiciones. Después de la debida diligencia, Araujo eligió a Tenable One para obtener visibilidad a lo largo de su creciente superficie de ataque híbrida y permitir que Moreira proporcione una evaluación unificada basada en riesgos a la junta directiva.
Tenable One combina la cobertura de exposición más amplia que abarca activos de TI y OT, recursos en la nube, contenedores, aplicaciones web y sistemas de identidad. Identifica activos, permite una visibilidad unificada, cuantifica los riesgos y, mediante análisis completos, prioriza y valida las tareas de corrección.
Araujo desplegó Tenable One para visibilidad, identificación y priorización de la nube, y ahora cubre alrededor de 7600 activos. Utilizando los resultados de la gestión de exposición de Tenable One, el equipo de InfoSec realiza análisis rápidos e implementa planes de mitigación.
"Tenable One se encarga de la priorización de riesgos por mí, lo cual es fantástico porque nos ayuda a anticipar las consecuencias de un ataque cibernético y define nuestro enfoque de corrección", señaló Moreira. "Traduce todos los datos técnicos sobre activos, exposición y amenazas en información de negocios significativa e inteligencia procesable, para que podamos enfocarnos en las áreas de riesgo que nos preocupan".
Araujo también está ahorrando dinero al consolidar costosas herramientas puntuales bajo la plataforma unificada de Tenable One y, al mismo tiempo, garantizar visibilidad completa de toda la superficie de ataque. "Hemos ahorrado un 25 % solo en el costo de la gestión de identidades", dijo Moreira.
Enfocarse en la exposición al riesgo simplifica las decisiones de inversión
Cuantificar el riesgo puede ser un desafío, especialmente, cuando se comparten conocimientos con ejecutivos sin conocimientos técnicos y miembros de la junta directiva que no tienen necesidad de comprender la relevancia para los negocios de miles de exposiciones. Lo que resuena y destraba el apoyo a la inversión, dice Moreira, es saber la respuesta a las preguntas: "¿qué tan seguros estamos? y ¿cómo estamos mitigando los problemas?".
Tenable One proporciona una visión del riesgo cibernético unificada y alineada con el negocio, con KPI claros para mostrar el progreso a lo largo del tiempo y evaluaciones comparativas para realizar comparaciones tanto con la competencia como dentro de la organización. Al aplicar análisis avanzados basados en riesgos a los datos recopilados de múltiples fuentes, Tenable One ofrece un Cyber Exposure Score unificado proporcionado a través de Tenable Lumin Exposure View para priorizar las áreas de preocupación y para que los equipos de la mitigación de riesgos se hagan cargo.
Por supuesto, no todas las exposiciones corren el riesgo de sufrir un ataque externo, y Moreira se alegra de que Tenable One ayude a los miembros de la junta directiva a ver más allá de las cifras de exposición y concentrarse en la exposición al riesgo general. A final de cuentas, como CISO, Moreira tiene la posibilidad de influir en las decisiones de inversión, pero también es consciente de las restricciones presupuestarias y de la responsabilidad del director financiero (CFO) de gastar con sensatez.
"¿Cuál es el mayor riesgo de exposición y dónde están las principales amenazas? Ciertamente, un agente interno puede ser una gran amenaza, pero comparado con las amenazas externas, este se convierte en un riesgo insignificante", sostuvo Moreira. "Por eso, es fundamental la guía para la priorización y la corrección que ofrece Tenable One. Puedo demostrar cómo los nuevos procesos y el personal permitirán que mi equipo traslade los riesgos críticos a niveles inferiores. Los miembros de la junta directiva pueden decidir por sí mismos su nivel de tolerancia al riesgo y asignar el presupuesto en consecuencia".
También es importante la preocupación de la junta directiva por el daño a la marca Araujo. Es por eso que Moreira incorporó la misión de Araujo de proteger la información personal de sus clientes en la política de seguridad de la empresa.
"Cuando combinamos todo —esta visión, nuestra misión y nuestro valor junto con el valor del negocio— la preocupación que tenemos por nuestros clientes se convirtió en un objetivo para toda la junta directiva", aseguró Moreira. "La junta directiva comprende cómo los problemas de exposición al riesgo que detectó Tenable One afectarán el negocio de Araujo y qué inversiones se deben realizar para ayudar a mi equipo de InfoSec a resolver los problemas".
La junta directiva de Araujo valora el nuevo enfoque en la exposición al riesgo y acoge el tema de la gestión de exposición en su agenda habitual. Antes del ciclo presupuestario más reciente, Moreira presentó la evaluación de riesgos proporcionada por Tenable One, y la junta directiva se mostró proactiva en sus recomendaciones de inversión.
"La misión de Araujo es dejar encantados a nuestros clientes y satisfacer sus necesidades; por eso, en el momento en que logras que la seguridad y el negocio trabajen juntos, funciona", afirma Moreira. "Tenable One es más que una solución de seguridad. Es una solución de negocios que me ayuda a comprender nuestra superficie de ataque, eliminar puntos ciegos y crear una base para una gestión de exposición eficaz".
La automatización ayuda a mejorar el trabajo importante y aumentar la satisfacción de los empleados
Como muchas organizaciones, Araujo opera con un equipo de seguridad reducido. En un informe reciente de Forrester Consulting encargado por Tenable, el 60 % de los líderes de ciberseguridad dicen que sus equipos de InfoSec están más ocupados combatiendo incidentes críticos que trabajando para reducir la exposición, un problema que también se refleja en Araujo.
Antes de implementar Tenable One, las vulnerabilidades se trataban como gestión de tickets, un problema que, según Moreira, requería una gran cantidad de empleados a tiempo completo (FTE), y resultaba más agotador y aburrido para los miembros del equipo.
La plataforma de gestión de exposición de Tenable ayuda a los equipos de seguridad a operar de manera más eficiente al reducir el tiempo y los recursos necesarios para identificar, mitigar y gestionar exposiciones y errores de configuración. Cuanto más se automatice el proceso, menos FTE se necesitarán para la gestión de exposición. Moreira estima un ahorro del 25 % en esta área porque Tenable One actúa como un miembro virtual del equipo y lleva esa carga.
Pero esta eficiencia también implica que el personal tenga nuevas oportunidades para enfocarse en proyectos de corrección críticos que aumentan la satisfacción de los miembros del equipo, incluso mientras se mantiene una plantilla de personal reducida.
"En Araujo, a todos nos gusta resolver problemas que tengan un impacto significativo para el negocio", expresó Moreira. "La gestión de exposición es emocionante y, al revelar y priorizar nuestros problemas, Tenable One permite que los miembros de nuestro equipo dirijan sus conocimientos y habilidades hacia proyectos críticos que mantienen a raya las interrupciones comerciales y protegen a los clientes de Araujo".
Fomentar la colaboración entre personas y tecnología
La filiación, la confianza y el cuidado de las personas son las piedras angulares de Araujo. Moreira está satisfecho con su experiencia con el equipo de Tenable.
"Cuando uno se enfrenta a un incidente de seguridad, debe tener gente en la que pueda confiar", afirmó Moreira. "La cercanía que el personal de Tenable tiene con nosotros es excepcional y es un diferenciador que no he experimentado con otros proveedores de software. ¿Quién estará a nuestro lado en las situaciones difíciles? Puedo decir que no tenemos ninguna duda de que Tenable es un socio con el que podemos contar en esos momentos".
En cuanto a Tenable One, el CISO vuelve a vincular todo con la misión de Araujo y sus activos más importantes: sus clientes.
"Nuestros clientes dependen de Araujo para ayudarlos a comprender y tratar sus síntomas", dijo Moreira. "De la misma manera, Tenable es mi centro farmacéutico y muestra nuestros problemas críticos de ciberseguridad, la exposición a los riesgos y lo que debo hacer para tratarlos".
"La gestión de exposición es un desafío para cualquier CISO que intenta proteger el escenario de las amenazas en expansión", afirmó Moreira. "Los riesgos son inevitables, por lo que es fundamental enfocarse en reducir la exposición a ellos, pero no se puede gestionar esto solo. Se necesita una herramienta como Tenable One que ayude a recopilar los datos y conectar los puntos de manera automatizada para poder enfocarse en las exposiciones que representan el mayor riesgo para el negocio".
- Tenable One