Sabemos que o varejo é um mercado aquecido não somente em datas comemorativas, como o Dia das Mães, o Natal ou a Black Friday. Durante o ano todo, o setor apresenta um crescimento consistente que o permite figurar entre uma das maiores economias do país. Prova disso é que, em 2022, ele alcançou R$ 2,41 trilhões, representando 27,7% do PIB nacional, segundo estudo realizado pela Sociedade Brasileira de Varejo e Consumo (SBVC).
Mas, por outro lado, tamanha grandiosidade também o coloca na mira dos cibercriminosos, sobretudo com o incremento das vendas na modalidade digital como resultado das mudanças de hábitos e comportamentos reforçados na pandemia. De acordo com análise publicada pelo portal Mercado & Consumo, entre 2019 e 2022 a participação no Brasil nas vendas por e-commerce sobre o total das vendas no varejo foi de 3,1% para 7,4%, tendo saltado de US$ 11,5 para US$ 37,9 bilhões.
Quanto mais o setor se desenvolve, mais exposto está aos hackers, que buscam atingir tanto as corporações quanto seus clientes. Os impactos desses ataques envolvem roubos de dados sensíveis, vazamento de dados, comprometimento e indisponibilidade de ambientes, pedido de resgate e interrupção dos negócios, entre outros. Por isso, o investimento em segurança digital deve ser contínuo, e não apenas uma medida para os momentos mais aquecidos, nos quais essa estrutura já deve estar estabelecida e apenas passar por reforços – se necessários. Diante desse cenário, elencamos três ações para fundamentar um projeto de cibersegurança.
1. Pessoas
A conscientização de colaboradores e consumidores por meio de campanhas que instruam sobre golpes de engenharia social é extremamente necessária para o funcionamento eficaz de um projeto de cibersegurança. Uma vez conscientizados, esse elo, que é considerado o mais frágil da cadeia de segurança, contribuirá para reduzir drasticamente o perímetro de ataques de forma assertiva. Isso porque a capacitação permite que as pessoas possam utilizar melhor e de uma forma mais segura os recursos de tecnologia das empresas.
2. Processos
Muitas vezes, as empresas apenas estabelecem segurança para o perímetro, negligenciando seu principal ativo de valor, que são os dados. Considerando que o varejo trata de informações sensíveis de consumidores, funcionários e do próprio negócio, essa base também precisa ser protegida. O primeiro passo é identificar onde estão os dados, se na nuvem publica, on-premise, ou na cloud privada, por exemplo, e por quem são acessados. Ou seja, a ideia é ter um mapa sobre os pontos de contatos, as pessoas e os tipos de dados. Tendo esse cenário identificado, entramos no próximo tópico, o de proteção, que tem como aliado a tecnologia.
3. Ferramentas
Esse é um capítulo à parte e envolve uma infinidade de soluções que garantem efetividade às campanhas apresentadas no primeiro ponto e controle de processos identificados no tópico anterior. Aqui, é importante entender que cada corporação apresenta um tipo de cenário digital, por isso, a implementação de tecnologias deve considerar essa jornada, protegendo as superfícies de contatos em camadas para, assim, evitar os ataques virtuais criminosos em todas as pontas.
Exemplos de ferramentas que podem ser adotadas: criptografia, mascaramento e tokenização visando à proteção de dados sensíveis; discovery para identificar e classificar os dados quanto ao seu nível de confidencialidade e permissão de acesso; DLP (Data Loss Prevention), cuja função é impedir que informações sensíveis sejam compartilhadas por diferentes processos, como print de tela, e-mail, foto etc.; WAF (Web Application Firewall), barreira que opera na proteção das aplicações e dos sites, controlando o fluxo da internet; CIAM (Customer Identify Access Management), voltada para o gerenciamento de identidade e acesso aos consumidores que utilizam as plataformas de e-commerce, entre outras.
Ser alvo de um ataque hacker envolve prejuízos que muitas vezes podem levar uma empresa à falência. O pedido astronômico de um resgate de dados, a imagem de que a empresa não é segura, a não conformidade regulatória com a LGPD (Lei Geral de Proteção de Dados), a redução drástica das vendas, entre outros impactos, são alguns dos elementos que justificam tal afirmação. Além disso, provavelmente sua empresa já foi ou está sob ataque, pois a atuação dos cibercriminosos é silenciosa. Você apenas não sabe disso. É hora de mitigar os riscos!
* Colaborou Paulo Sergio da Silva. Cybersecurity Pre Sales Executive da SONDA. Graduado em Tecnologia de Redes de Computadores pela Faculdade das Américas e possui MBA em Arquitetura em Tecnologia da Informação pela FIAP/SP. Profissional experiente com atuação em empresas como SIEMENS, Atos e Level3 no desenvolvimento de soluções de Cibersegurança, Serviços Gerenciados de Segurança, Data Center e Cloud Pública/Privada para o segmento Enterprise.