Mesmo em um ambiente em que todas as melhores práticas e as tecnologias mais inovadoras sejam aplicadas em favor da Segurança dos dados, o fator humano segue sempre como o ponto de definição do sucesso ou da falha de uma estratégia de SI. Essa realidade ficou evidente na jornada da Drogaria Araujo por elevar a maturidade da Cibersegurança centrada em pessoas, por meio da sua parceria com a Proofpoint.
A rede de farmácias mineira é um dos grandes players regionais de varejo de remédios e outros produtos de saúde essenciais. Dentro desse ambiente, a proteção dos dados pessoais dos clientes é o grande desafio a ser gerenciado, especialmente no que tange a proteção do ambiente contra ataques de phishing. Nesse contexto, o ambiente interno estava vulnerável à ações de engenharia social que mirassem diretamente a ansiedade dos colaboradores.
“Temos que considerar que o Brasil é um dos países mais ansiosos do mundo, segundo dados a OMS. Pode não parecer, mas esse quadro também afeta a Cibersegurança corporativa, pois o usuário pode receber o melhor treinamento possível, mas questões de natureza emocional podem desestabilizá-lo o suficiente para clicar em mensagens maliciosas”, explica o CISO da Araujo, Daniel Moreira, em apresentação do case de Sucesso no Security Leaders Nacional.
Diante disso, ficou claro ao time de Segurança que apenas preparar o usuário para reconhecer campanhas de phishing não é suficiente, exigindo ações mais amplas de proteção de dados e monitoramento comportamental no ambiente digital. Essas demandas foram endereçadas a partir da parceria com a Proofpoint com vistas a unificar prevenção a perda de dados, análise comportamental e treinamento em SI.
Entre as conquistas mais importantes dessa estratégia estão o monitoramento amplo das atividades do usuário em rede desde a recepção de uma credencial, com alertas em tempo real com evidências visuais e integração profunda com o SOC e o setor de Recursos Humanos. A partir da geração dessa experiência sobre o usuário, era possível direcionar as medidas adequadas de correção e conscientização daquele funcionário.
O impacto foi visível: No período após a aplicação da tecnologia, houve uma queda de 61% na taxa de cliques em phishing, além de viabilizar a criação de um setor interno dedicado à gestão dos riscos humanos na Araujo. Foi possível ainda reduzir a entrega de e-mails maliciosos em 70% e detectar eventuais atividades de insiders dentro da estrutura, a partir do controle de acessos desativados por demissão ou desligamento.
“Esse tipo de jornada nos permite, enquanto profissionais de Segurança da Informação, de sair daquela percepção que integrar cada vez mais soluções para resolver problemas que são essencialmente humanos. Para encarar desafios assim, é preciso tratar da Segurança das próprias pessoas, permitindo-as se tornar parte da estratégia de Cyber”, explica o Senior Sales Specialist na Proofpoint, Tiago Figueiredo.
O Security Leaders Nacional ocorreu nos dias 22 e 23 de outubro, em São Paulo, e reuniu lideranças de renome na Cibersegurança nacional, em diversas modalidades de networking, troca de experiências, debates e alinhamentos com colegas do setor e parceiros da indústria de SI. Todas as discussões do melhor e mais qualificado evento de Segurança da Informação e Cibernética do Brasil estão disponíveis para serem acompanhadas pelo canal da TVSecurity no YouTube e na página do Security Leaders no Flickr.
