Com intuito de evoluir sua proteção no ambiente de TI e reduzir custos, a Leroy Merlin, uma das mais importantes players de bricolagem do mercado global, firmou uma parceria com a Service IT, especializada em consultoria nas áreas de TI, cybersecurity e outsourcing, e com a Cymulate, líder em gerenciamento de exposição e validação de segurança, para desenvolver uma estratégia de segurança eficaz.
No primeiro ano do projeto, a empresa varejista registrou R$1.605.000,00 de redução de custos, comparado ao investido no ano anterior em proteção, segundo delineado no Plano Estratégico de Segurança da Informação, estabelecido pela CISO e Diretora de Cibersegurança e Proteção de Dados, Fabi Tanaka.
O projeto teve início após a Leroy Merlin verificar, com o auxílio dos parceiros de TI, se sua estratégia interna de cibersegurança era eficaz. A Service IT e a Cymulate contribuíram com testes de validação e ataques simulados, para apontar vulnerabilidades e projetar o impacto de um ataque na infraestrutura da empresa, para então desenvolver toda a proteção necessária contra ataques.
“O intuito inicial era mostrar os riscos e os próximos passos em segurança digital para a Leroy Merlin. Então apontamos quais seriam as estratégias e investimentos mais adequados para que a empresa tivesse a garantia de continuidade em suas operações diárias, atuasse preventivamente, mas sem desperdícios, ou seja, descartando ferramentas desnecessárias”, explica Leonardo Lemes, Sócio-Diretor da Service Security.
Anteriormente ao projeto, a Leroy Merlin utilizava equipes internas, que tinham o Pentest como método de proteção, para avaliar periodicamente sua postura de segurança. Ao firmar a parceria, a varejista passou a utilizar a ferramenta da Cymulate de Simulação de Violação e Ataque (BAS – Breach and Attack Simulation), para validação contínua de segurança, estabelecendo painéis de risco cibernético por unidade de negócio, incluindo 45 lojas físicas em grandes dimensões de vendas, 5 unidades no conceito express, 1 especializada – Naterial, centro de distribuição e uma Plataforma de distribuição digital de comércio eletrônico.
“Conseguimos ajudar a Leroy Merlin a testar a eficácia dos seus controles de segurança, identificar lacunas e oferecer passos simples e necessários para melhorar a proteção das suas ferramentas de segurança existentes. A Cymulate validou a postura de segurança e mediu as melhorias em sua resiliência cibernética” enfatiza Daniel Gomes, Country Manager da Cymulate.
A CISO da Leroy Merlin, Fabi Tanaka, ressaltou ainda importância do Tech Lead responsável pelo Purple Team, Raphael Alves, na promoção de uma cultura colaborativa e de compartilhamento de conhecimento entre os diferentes times de segurança. Sua habilidade em incentivar a troca de experiências e ideias foi crucial para fortalecer os laços entre os membros da equipe, fomentando um ambiente de trabalho mais coeso e colaborativo. Sua liderança proativa e visão estratégica desempenharam um papel fundamental no sucesso das iniciativas de capacitação, cujo objetivo é reforçar ainda mais nossa postura de defesa e resposta a ameaças.
Após um ano de projeto, a Leroy Merlin registrou redução de custos, sendo 900 mil reais de economia com Pentests que eram contratados via consultorias, R$ 160 mil com campanhas de Phishing e R$ 145 mil com ferramentas de Postura Superficial de Segurança, além de 400 mil reais que estavam orçados no projeto e não foram utilizados. O investimento trouxe benefícios além da segurança, segundo Erick Lucas da Silva, Gerente de Operações de Cibersegurança da Leroy Merlin.
“A equipe interna precisava executar e testar. Contar com parceiros especialistas no mercado nos ajudou a utilizar as ferramentas certas, eliminar a complexidade do ambiente e liberar a equipe para uma visão mais ampla do negócio. Além disso, o projeto trouxe ao nosso time conhecimento sobre a segurança operacional e uma visão estratégica sobre o ambiente da companhia”, afirma.
O Gerente de Operações de Cibersegurança da Leroy Merlin ainda avalia que o investimento em cibersegurança agrega ainda mais credibilidade para a gigante do varejo: “nosso segmento é muito dinâmico, são muitas vendas em um mesmo dia, então não podemos correr o risco de parar por muitas horas por conta de um ataque. Sabendo que estamos protegidos e com ambientes que não vão sofrer interrupções, o cliente sente mais segurança no ato da compra, contribuindo para a reputação da Leroy Merlin perante o mercado”, reflete Erick Lucas da Silva.
