3 Razões Pelas Quais os Varejistas Precisam Adicionar Segurança de Dados ao Seu Carrinho

Os dados possibilitam o crescimento – o uso inteligente de dados de clientes pode aumentar o resultado final de uma operação de varejo em até 10%. Mas uma violação de dados pode eliminar o valor em um instante.

Não são apenas demandas de resgate e tempo de inatividade que os varejistas precisam se preocupar. De acordo com um estudo recente, 87% dos consumidores já estão "muito preocupados" com a forma como os varejistas usam suas informações pessoais. As multas por não conformidade com padrões de proteção ao consumidor como PCI DSS e GDPR também podem ser proibitivas – até US$ 100.000 por mês no caso do PCI DSS.

Felizmente, existe um caminho comprovado que os varejistas podem seguir para melhorar a segurança de dados. Neste post, discutimos o que é, além de entrar em mais detalhes sobre as fontes de riscos de dados que os varejistas não podem ignorar.

Não Subestime Estas 3 Fontes de Risco de Dados

Quando se trata de segurança, é melhor responder a perguntas difíceis sobre dados antes que algo ruim aconteça. Perguntas como: Você está classificando o que está sendo coletado, onde os dados estão sendo armazenados e quem tem acesso a eles?

Veja por que os varejistas precisam ser capazes de responder "sim" a todas as perguntas acima.

Dados não classificados significam que você não conhece seus riscos

Dados diferentes precisam de medidas de proteção diferentes. Alguns dados, como números de CPF, revelam a identidade de uma pessoa e são considerados de maior risco. Outros dados, como apenas um primeiro nome, provavelmente não revelarão muito sobre um indivíduo e, portanto, criam pouco risco real.

Para manter os dados de alto risco seguros, você precisa limitar quem pode acessá-los e aplicar técnicas de ofuscação, como criptografia, quando necessário. Você também pode querer ativar o registro de logs para armazenamentos de dados que contenham esse tipo de dado para monitorar quando alguém fizer alterações nos dados. Com dados de menor risco, você provavelmente não precisa aplicar métodos tão rigorosos.

Separar dados de alto risco de dados de menor risco está se tornando mais crítico e desafiador. Isso ocorre devido ao crescimento do comércio eletrônico, que levou as transações a ocorrerem não apenas em lojas físicas, mas também na web e em dispositivos móveis. Com mais maneiras de os varejistas coletarem volumes maiores de dados (o Walmart processa 2,5 petabytes de dados a cada hora), esses dados são mais variados do que nunca. Um varejista pode coletar dados de clientes de canais que vão desde campanhas de e-mail e chats ao vivo até interações em mídias sociais e programas de recompensas na loja.

O resultado é uma crise de classificação. Apenas 23% dos varejistas dizem que conseguem classificar todos os seus dados. Isso aumenta drasticamente a probabilidade de que informações de identificação pessoal (PII) acabem expostas e desprotegidas em algum lugar online.

Se os varejistas não sabem onde os dados estão, não podem protegê-los

Com as informações pessoais identificáveis (PII) dos clientes sendo geradas e armazenadas em todo o ecossistema de dados, os varejistas podem nem sempre ter proteções consistentes aplicadas a todos os seus armazenamentos de dados. Por exemplo, um servidor desprotegido com PII de clientes pode ser comprometido e infectado com ransomware.

Esta situação é cada vez mais comum. Os varejistas estão criando mais instâncias de nuvem mal protegidas do que nunca, e a visibilidade sobre onde os dados são armazenados está diminuindo como resultado. No ano passado, menos da metade (46%) dos varejistas disse ter conhecimento completo ou estar muito confiante de que sabia onde seus dados estavam armazenados.

Além dos cibercriminosos, os reguladores também estão prestando atenção a esses tipos de riscos de dados no varejo. Uma subsidiária da H&M enfrentou uma das maiores penalidades da GDPR por permitir a exposição de dados.

Embora estar em conformidade com padrões como o PCI DSS influencie se uma empresa pode ou não se defender no caso de um ataque cibernético, uma investigação da Verizon sobre violações de cartões de pagamento descobriu que nenhuma empresa afetada estava totalmente em conformidade com o PCI DSS. Existem muitas razões pelas quais isso pode acontecer; uma delas é que a conformidade é tratada como um evento único em vez de um esforço contínuo de monitoramento.

Acesso permissivo e descontrolado a dados aumenta os riscos internos

O erro humano impulsiona a maioria dos ataques cibernéticos. E o varejo tem uma probabilidade particularmente alta de ataques cibernéticos por fator humano.

O trabalho no varejo pode ser de alto estresse, pagamento (relativamente) baixo e alta rotatividade. O resultado é que ameaças internas, sejam intencionais, negligentes ou catalisadas por meio de engenharia social, são um risco real para os varejistas.

Na nuvem, esse problema é especialmente grave. Um estudo mostrou que até 99% das identidades na nuvem são excessivamente permissivas. Isso não apenas fornece pontos de entrada para agentes de ameaças internas em armazenamentos de dados sensíveis, mas também cria caminhos para movimentação lateral que agentes de ameaças externos podem utilizar.

Com os ambientes em nuvem tornando o perímetro mais difícil de definir, a solução é fechar as portas dentro de casa. Os varejistas precisam avançar em direção à confiança zero, onde apenas aqueles que precisam de acesso aos dados dos clientes o obtêm. Isso requer uma abordagem contínua para o gerenciamento de acesso.

Conformidade e Segurança Contínuas para Varejistas

Informações confidenciais, como credenciais, PII e informações de cartão de pagamento, são altamente visadas por agentes de ameaças e frequentemente ficam expostas em ambientes de nuvem pública e híbrida não seguros. Dados obsoletos e dados fantasma, incluindo dados de ex-clientes e informações de cartão de crédito expiradas, aumentam esse risco.

Mesmo quando você implementa processos e regras para monitorar e proteger esses dados e atender aos padrões de conformidade, os riscos ainda evoluirão à medida que o volume de dados aumentar. A única resposta sustentável para esses desafios é um sistema que melhore sua compreensão dos dados.

A Cyera fornece contexto aos dados que ajuda os varejistas a entender e minimizar sua superfície de ataque de dados. Com a Cyera, as equipes de segurança podem escanear continuamente os dados de sua organização para encontrar, classificar e contextualizar informações confidenciais (como dados PCI extraviados).

Saiba como a Cyera pode ajudá-lo a obter visibilidade e minimizar os riscos associados aos dados de seus clientes agendando uma demonstração hoje.