3 razones por las que los minoristas deben agregar seguridad de datos a su carrito

Los datos impulsan el crecimiento: el uso inteligente de los datos de los clientes puede aumentar el resultado final de una operación minorista hasta en un 10%. Pero una violación de datos puede borrar ese valor al instante.

No solo las demandas de rescate y el tiempo de inactividad deben preocupar a los minoristas. Según un estudio reciente, 87% de los consumidores ya están “muy preocupados” por cómo los minoristas usan su información personal. Las multas por no cumplir con estándares de protección al consumidor como PCI DSS y GDPR también pueden ser prohibitivas: hasta $100,000 al mes en el caso de PCI DSS.

Afortunadamente, existe una ruta comprobada que los minoristas pueden seguir para mejorar la seguridad de los datos. En esta publicación, analizamos en qué consiste y, además, profundizamos en las fuentes de riesgos de datos que los minoristas no pueden ignorar.

No subestimes estas 3 fuentes de riesgo de datos

Cuando se trata de seguridad, es mejor responder las preguntas difíciles sobre los datos antes de que pase algo malo. Preguntas como: ¿Estás clasificando lo que se está recopilando?, ¿dónde se están almacenando los datos? y ¿quién tiene acceso a ellos? 

Aquí está el porqué los minoristas necesitan poder responder "sí" a todo lo anterior.

Los datos sin clasificar significan que no conoces tus riesgos

Diferentes datos necesitan distintas medidas de protección. Algunos datos, como los números de Seguro Social, revelan la identidad de una persona y se consideran de mayor riesgo. Otros datos, como un nombre de pila por sí solo, probablemente no revelen mucho sobre una persona y, por lo tanto, generan poco riesgo real.

Para mantener seguros los datos de alto riesgo, debes limitar quién puede acceder a ellos y aplicar técnicas de ofuscación, como cifrado, cuando sea necesario. También podrías activar el registro (logging) para los almacenes de datos que contengan este tipo de información, a fin de monitorear cuándo alguien realiza cambios en los datos. Con datos de menor riesgo, probablemente no necesites aplicar métodos tan estrictos. 

Clasificar los datos de alto riesgo de aquellos de menor riesgo se está volviendo más crítico y desafiante. Esto se debe al crecimiento del comercio electrónico, que ha provocado que las transacciones ocurran no solo en tiendas físicas, sino también en la web y en dispositivos móviles. Con más formas para que los minoristas recopilen mayores volúmenes de datos (Walmart procesa 2.5 petabytes de datos cada hora), estos datos son más variados que nunca. Un minorista podría recopilar datos de clientes de canales que van desde campañas por correo electrónico y chats en vivo hasta interacciones en redes sociales y programas de recompensas en tienda.

El resultado es una crisis de clasificación. Solo el 23% de los minoristas afirma que puede clasificar todos sus datos. Esto aumenta drásticamente la probabilidad de que la información de identificación personal (PII) termine expuesta y desprotegida en algún lugar en línea.

Si los minoristas no saben dónde vive la información, no pueden protegerla

Dado que la PII de los clientes se genera y almacena en todo el ecosistema de datos, los minoristas no siempre aplican protecciones coherentes a todos sus depósitos de datos. Por ejemplo, un servidor sin protección con PII de clientes podría verse comprometido e infectado con ransomware. 

Esta situación es cada vez más común. Los minoristas están implementando más instancias en la nube con poca seguridad que nunca, y la visibilidad de dónde se almacena la información está disminuyendo como resultado. El año pasado, menos de la mitad (46%) de los minoristas dijeron que tenían conocimiento completo o estaban muy seguros de saber dónde se almacenaba su información. 

Además de los ciberdelincuentes, los reguladores también están prestando atención a este tipo de riesgos de datos minoristas. Una filial de H&M enfrentó una de las multas más grandes del RGPD por permitir la exposición de datos.

Aunque cumplir con estándares como PCI DSS influye en si una empresa puede defenderse o no en caso de un ciberataque, una investigación de Verizon sobre brechas de tarjetas de pago encontró que ninguna empresa afectada cumplía totalmente con PCI DSS. Hay muchas razones por las que esto puede ocurrir; una de ellas es que el cumplimiento se trata como un evento único en lugar de un esfuerzo de monitoreo continuo.

El acceso permisivo y sin control a los datos aumenta los riesgos internos

El error humano impulsa la mayoría de los ciberataques. Y el comercio minorista tiene una probabilidad particularmente alta de sufrir ciberataques por factores humanos.

El trabajo en el comercio minorista puede ser de alto estrés, con (relativamente) baja paga y alta rotación. El resultado es que las amenazas internas, ya sean intencionales, negligentes o catalizadas mediante ingeniería social, representan un riesgo real para los minoristas.

En la nube, este problema es especialmente agudo. Un estudio mostró que hasta el 99% de las identidades en la nube son demasiado permisivas. Esto no solo brinda puntos de entrada para que actores de amenazas internos accedan a almacenes de datos sensibles, sino que también crea rutas para el movimiento lateral que pueden aprovechar los actores de amenazas externos.

Con los entornos en la nube haciendo más difícil definir el perímetro, la solución es cerrar las puertas dentro de la casa. Los minoristas deben avanzar hacia el modelo de confianza cero, donde solo quienes necesitan acceso a los datos de los clientes lo obtienen. Esto requiere un enfoque continuo para la gestión de accesos.

Cumplimiento y seguridad continuos para minoristas

La información sensible, como credenciales, PII y datos de tarjetas de pago, es un objetivo prioritario para los actores de amenazas y suele quedar expuesta en entornos de nube pública e híbrida sin seguridad. Los datos obsoletos y ghost data, incluidos datos de clientes anteriores e información de tarjetas de crédito vencidas, aumentan este riesgo. 

Incluso cuando implementas procesos y reglas para monitorear y proteger estos datos y cumplir con los estándares de cumplimiento, los riesgos seguirán evolucionando a medida que aumenta el flujo de tus datos. La única respuesta sostenible a estos desafíos es un sistema que mejore tu comprensión de los datos. 

Cyera aporta contexto a los datos que ayuda a los minoristas a entender y minimizar su superficie de ataque de datos. Con Cyera, los equipos de seguridad pueden escanear continuamente los datos de su organización para encontrar, clasificar y contextualizar información sensible (como datos de PCI fuera de lugar).

Aprende cómo Cyera puede ayudarte a obtener visibilidad y minimizar los riesgos asociados con los datos de tus clientes al programar una demostración hoy.