A medida que se acercan las festividades, los consumidores y los minoristas no son los únicos que se preparan para la temporada. Los ciberdelincuentes están justo detrás de ellos. No es ningún secreto que las principales festividades de los consumidores, desde Amazon Prime Day hasta el sprint festivo de fin de año, conllevan grandes objetivos para los actores de amenazas. Las proyecciones para el Black Friday de este año muestran que el gasto en línea alcanza 13 millones de dólares.
Esa es una oportunidad lucrativa para los malos actores.
Este año, los minoristas ya se enfrentan a la inflación, una recesión inminente y la inminente legislación sobre privacidad de datos. Simplemente no pueden permitirse un 4.35 millones de dólares incumplimiento.
Seguridad limitada Ho-Ho-Ho este año?
Los minoristas deben tener en mente su postura de seguridad. Eso significa implementar una detección y respuesta efectivas; encontrando vulnerabilidades antes se producen las heladas de cambio minorista que marcan esta época del año; gestionar los riesgos de terceros; y asegurarse de que los empleados reciban la capacitación que necesitan.
Encontrar el eslabón más débil antes de la fiebre loca
Es común que los minoristas implementen congelaciones de cambios duros uno o dos meses antes de la temporada alta de vacaciones hasta la segunda o tercera semana de enero. Esto evita que se implementen cambios importantes en el sistema (que afecten las experiencias de los consumidores) durante los días de ventas más concurridos e importantes del año.
En las semanas previas a la congelación de cambios, los desarrolladores a menudo intentan introducir un último cambio de código o infraestructura. Esta prisa antes de la fecha límite a veces puede incluir errores, lo que deja a los sistemas sin parches y sin probar vulnerables a los ataques. Los ciberdelincuentes están muy familiarizados con estas temporadas de congelación de cambios duros y, a menudo, cronometran sus ataques durante esta ventana.
Ejecutar pruebas de seguridad de aplicaciones estáticas y dinámicas (SAST y DAST) como parte de los programas regulares de prueba de aplicaciones son las mejores formas de identificar vulnerabilidades antes de que el código anual se congele. Estas dos pruebas examinan aplicaciones desde diferentes lados. SAST se enfoca en fallas de software como la inyección de SQL, mientras que DAST encuentra debilidades que los malos actores pueden explotar.
Los minoristas deben centrar las pruebas en aplicaciones críticas y de alto tráfico, como pasarelas de pago, campos de entrada e incluso códigos web centrales.
Mantener un ojo en los proveedores de terceros
A principios de este año, fabricante de automóviles Toyota detuvo su producción después de que un proveedor de plástico y productos electrónicos sufriera un ciberataque. La producción suspendida le costó a la empresa aproximadamente 13,000 automóviles. Si bien la pérdida de producción puede parecer costosa, es un pequeño precio a pagar en comparación con una infracción real.
Esto muestra que gestión de riesgos de terceros (TPRM) sigue siendo un área desatendida en seguridad para muchas organizaciones y los minoristas aún deben priorizar TPRM y aprender del estudio de caso.
Los cuestionarios de gestión de riesgos de proveedores y TPRM ayudan a evaluar la postura de seguridad de las organizaciones asociadas. Muchas encuestas de nivel empresarial tienen hasta 1,000 preguntas, pero las áreas principales que deben abordarse son: seguridad de la información, seguridad del centro de datos, seguridad de las aplicaciones web, protección de la infraestructura y tecnología y controles de seguridad.
Si bien los minoristas realizan pruebas con regularidad en su propio código, que incluye integraciones de terceros, no se extiende más allá de los límites de sus propias redes. Los minoristas deben exigir a sus proveedores que ejecuten pruebas completas de penetración de código de forma semestral y pruebas nocturnas cuando sus socios actualizan o cambian códigos.
Mantener los entrenamientos de seguridad a pesar de la puerta giratoria del talento
La formación es, sin duda, la parte más difícil para los minoristas. El Gran resignación ha obligado a las empresas a reevaluar sus procesos de capacitación e incorporación, siendo la ciberseguridad un pequeño componente. Sin embargo, el 82% de las infracciones analizadas por Verizon's “Informe de investigaciones de violación de datos” involucró un elemento humano. Esto hace que la capacitación de los empleados sea más importante que nunca.
Es probable que los minoristas establecidos tengan algún tipo de programa de concientización sobre seguridad cibernética. Pero pueden (y deben) expandirse sobre eso. Cuando los equipos de seguridad cibernética identifican brechas en las pruebas de penetración, pueden compartir esos hallazgos con los empleados y explicar cómo se pueden manipular esas vulnerabilidades. Este nivel de transparencia ayuda a los empleados a comprender su papel en la protección de la empresa y los datos de los consumidores.
Seguridad de contraseña suprema
Y por último, pero no menos importante, en el programa de empleados: las contraseñas. La seguridad de las contraseñas sigue siendo un problema central lo que lleva o juega un factor clave en una cantidad asombrosa de filtraciones de datos que ocurren hoy en día. Las credenciales robadas son una de las formas más fáciles para que los actores de amenazas obtengan acceso a la información. Las credenciales comprometidas son la causa de 19% de violaciones de datos (PDF). La parte triste es 45% de consumidores no vea el uso compartido de contraseñas como un problema grave. Los minoristas deben reforzar la prioridad de una buena higiene de contraseñas, pero igual de importante, deben implementar la autenticación multifactor (MFA) en todas partes y en cualquier lugar donde sea posible.
Muchos minoristas ya han comenzado las ventas navideñas para adelantarse a la inflación y las preocupaciones sobre el personal. Pero no deben olvidarse de su postura de seguridad en esta prisa por terminar el año. Las organizaciones deben hacer de la ciberseguridad una prioridad tan importante como impulsar las ventas al incorporar SAST y DAST en sus pruebas de aplicaciones; seguimiento y gestión de riesgos de terceros; y asegurar las credenciales a través de la capacitación y la autenticación adecuada mediante MFA.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
