À medida que as férias se aproximam, os consumidores e retalhistas não são os únicos a preparar-se para a temporada. Os cibercriminosos estão bem atrás deles. Não é nenhum segredo que os principais feriados de consumo – desde o Amazon Prime Day até o feriado de fim de ano – trazem grandes alvos para os atores de ameaças. As projeções para a Black Friday deste ano mostram que os gastos online atingem US$ 13 bilhões.
Essa é uma oportunidade lucrativa para maus atores.
Este ano, os retalhistas já enfrentam inflação, uma recessão iminente e uma legislação iminente sobre privacidade de dados. Eles simplesmente não podem pagar um $ 4.35 milhões violação.
Segurança limitada Ho-Ho-Ho este ano?
Os varejistas devem manter sua postura de segurança em mente. Isso significa implementar detecção e resposta eficazes; encontrando vulnerabilidades antes ocorrem os congelamentos de mudanças no varejo que marcam esta época do ano; gerenciamento de riscos de terceiros; e garantir que os funcionários recebam o treinamento necessário.
Encontrando o elo mais fraco antes da corrida louca
É comum que os varejistas implementem congelamentos rígidos de mudanças um a dois meses antes do feriado, na segunda ou terceira semana de janeiro. Isto evita que quaisquer alterações importantes no sistema (que afetem as experiências do consumidor) sejam implementadas durante os dias de vendas mais movimentados e importantes do ano.
Nas semanas que antecedem o congelamento das mudanças, os desenvolvedores muitas vezes tentam fazer uma última mudança no código ou na infraestrutura. Essa pressa antes do prazo às vezes pode incluir erros, deixando sistemas não corrigidos e não testados vulneráveis a ataques. Os cibercriminosos estão muito familiarizados com essas duras estações de congelamento e muitas vezes cronometram seus ataques durante essa janela.
A execução de testes estáticos e dinâmicos de segurança de aplicativos (SAST e DAST) como parte de programas regulares de teste de aplicativos são as melhores maneiras de identificar vulnerabilidades antes do congelamento anual do código. Esses dois testes examinam aplicativos de lados diferentes. O SAST se concentra em falhas de software, como injeção de SQL, enquanto o DAST encontra pontos fracos que os malfeitores podem explorar.
Os varejistas devem concentrar os testes em aplicativos críticos e de alto tráfego, como gateways de pagamento, campos de entrada e até mesmo códigos Web essenciais.
De olho nos fornecedores terceirizados
No início deste ano, fabricante de automóveis Toyota interrompeu sua produção depois que um fornecedor de plástico e eletrônicos foi atingido por um ataque cibernético. A produção suspensa custou à empresa cerca de 13,000 carros. Embora a perda de produção possa parecer cara, é um preço pequeno a pagar em comparação com uma violação real.
Isto mostra que gestão de risco de terceiros (TPRM) continua a ser uma área mal servida em segurança para muitas organizações e os retalhistas ainda devem priorizar o TPRM e aprender com o estudo de caso.
Os questionários de gerenciamento de risco do fornecedor e do TPRM ajudam a avaliar a postura de segurança das organizações parceiras. Muitas pesquisas de nível empresarial têm até 1,000 perguntas, mas as principais áreas que devem ser abordadas são: segurança da informação, segurança de data centers, segurança de aplicativos Web, proteção de infraestrutura e controles e tecnologia de segurança.
Embora os varejistas realizem regularmente testes em seu próprio código, que inclui integrações de terceiros, eles não vão além dos limites de suas próprias redes. Os varejistas devem exigem que seus fornecedores executem testes completos de penetração de código semestralmente e testes noturnos quando seus parceiros atualizam ou alteram códigos.
Manter treinamentos de segurança apesar da porta giratória do talento
O treinamento é sem dúvida a parte mais difícil para os varejistas. O Grande Renúncia forçou as empresas a reavaliar os seus processos de formação e integração, sendo a segurança cibernética uma pequena componente disso. No entanto, 82% das violações analisadas pelo “Relatório de investigações de violação de dados” envolveu um elemento humano. Isso torna o treinamento dos funcionários mais importante do que nunca.
Os varejistas estabelecidos provavelmente possuem algum tipo de programa de conscientização sobre segurança cibernética. Mas eles podem (e devem) expandir isso. Quando as equipes de segurança cibernética identificam lacunas nos testes de penetração, elas podem compartilhar essas descobertas com os funcionários e explicar como essas vulnerabilidades podem ser manipuladas. Este nível de transparência ajuda os funcionários a compreender o seu papel na proteção dos dados da empresa e dos consumidores.
Segurança de senha fundamental
E por último, mas não menos importante, no programa de funcionários: senhas. A segurança da senha ainda é um problema central levando ou desempenhando um fator-chave em uma quantidade impressionante de violações de dados que ocorrem hoje. Credenciais roubadas são uma das maneiras mais fáceis para os agentes de ameaças obterem acesso às informações. Credenciais comprometidas são a causa de 19% de violações de dados (PDF). A parte triste é 45% de consumidores não veja o compartilhamento de senhas como um problema sério. Os retalhistas devem reforçar a prioridade de uma boa higiene das palavras-passe, mas igualmente importante, devem implementar a autenticação multifator (MFA) em todos os lugares e em qualquer lugar onde seja possível.
Muitos varejistas já iniciaram as vendas de fim de ano para se anteciparem à inflação e às preocupações com pessoal. Mas não devem esquecer a sua postura de segurança nesta corrida até ao final do ano. As organizações devem tornar a segurança cibernética uma prioridade tão importante quanto impulsionar as vendas, incorporando SAST e DAST nos testes de seus aplicativos; monitorar e gerenciar riscos de terceiros; e proteger credenciais por meio de treinamento e autenticação adequada usando MFA.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
