Embora as restrições à circulação física estejam menos rígidas do que há um ano, o e-commerce será novamente a grande saída para a indústria e o comércio, com as promoções da Black Friday. Tanto os fatores favoráveis quanto adversos, como o consumo represado (em vestuário e eletrônicos, por exemplo) e a redução de renda, farão mais pessoas buscarem a competitividade do varejo virtual.
Neste ano, junto a compradores online habituais e novatos no mercado online, surgem novas modalidades de transações, como pagamentos pelo PIX, por exemplo. Desta forma, as preocupações com segurança se renovam e os novos pontos de atenção mais destacados pelos CISOs, CIOs, clientes de Serviços Gerenciados de Segurança são os seguintes:
- Resolva as vulnerabilidades e reveja as configurações
Atualização de OS e banco de dados; aplicação das patches de correção; configuração de firewall de banco de dados, firewall de aplicação e outros itens da infraestrutura são inadiáveis. Pode nem ser possível tornar tudo perfeito (por questões de compatibilidade com aplicações, por exemplo), mas eliminar pontos cegos já mitiga a maioria dos riscos de exploits.
- Atualize a segurança em nuvem e contêineres
Provedores como AWS e Azure oferecem diversas opções de configuração, ferramentas na própria nuvem e integração com soluções de terceiros, para proteção das aplicações e dos dados, cuja segurança continuam sob responsabilidade do contratante. Certifique-se que suas implementações estejam de acordo com os guidelines de segurança atualizados.
- Evite "vulnerability as a code" e os riscos no DevOps
Não há agilidade ou praticidade que hoje justifique os riscos do hardcoding (embutir credenciais e chaves no código da aplicação). Outro mau hábito por trás de histórias tristes são as cargas de dados de produção em ambientes de teste ou até no notebook do desenvolvedor. Ao mesmo tempo em que resolve a segurança nos processos, pense na automação dos testes de segurança das aplicações.
- Analise suas cadeias de suprimento e reveja os fluxos de dados
Na primeira Black Friday com consumidores atentos aos direitos da LGPD, a revisão do escopo da captura e do compartilhamento de dados é um ponto central. Mapeie e minimize os riscos relacionados a prestadores de serviços ou quem tenha acesso aos dados de seus clientes, que são sua responsabilidade.
- Reveja as condições de segurança dos colaboradores
Com boa parte dos times comerciais em trabalho remoto ou móvel, a saúde dos endpoints dos gerentes; a força da autenticação nos sistemas; a análise dos acessos e outras medidas relacionadas aos colaboradores são fundamentais para mitigar ameaças internas e fraudes de credenciais.
- Teste funcionalidades, performance e não esqueça a segurança
A realidade é igualmente dura para os times de Produtos, DevOps e Segurança. Teste como suas aplicações e serviços funcionam, em termos de usabilidade e performance, em condições reais de uso. Da mesma forma, tenha uma disciplina de pentest, até para inovar com velocidade e sem contrapartidas na integridade do ambiente.
- Mapeie a jornada do cliente
Dados relacionados a dispositivos de acesso, formas de pagamento, recebimento e retirada de mercadorias, e perfil de interação nos canais são sinalizações importantes das prioridades e alternativas de solução de cibersegurança.
- Observe sua reputação e exposição no mundo digital
Cada vez mais, as áreas de Marketing e Vendas contam com ferramentas para captura e análise de dados de canais de e-commerce, mídias sociais e outras fontes. Conecte essas informações ao time de cibersegurança, que saberá usá-las para antecipar probabilidades de determinadas modalidades de ataques, com artefatos e modus operandi típicos.
- Comunicação é tudo; engaje seu cliente na cibersegurança
Pré-venda educativa pode gerar receita e evitar prejuízo. Temos o PIX, os termos de consentimento da LGPD e várias outras inovações de interesse do consumidor, que terá sua atenção e confiança despertada por quem explicar. Recomendações sobre configuração de senhas fortes; exposição das políticas de segurança e outras campanhas devem ser percebidas como uma prestação de serviço ao cliente. A segurança, nesse contexto, deixa de ser um ponto de atrito e se torna um valor no relacionamento.
- Pense no pior
Não existe zaga fechada o suficiente para se dispensar o goleiro, nem carro tão robusto que prescinda de pneu sobressalente. O planejamento e o ferramental para Detecção e Resposta a Incidentes são sempre fundamentais para lidar com a realidade das operações.
É fato que os "problemas" de segurança se repetem e também se renovam, mas ainda há tempo para identificar e corrigir as falhas mais comuns usadas para fraudar o mercado, consumidores, varejo e a sociedade como um todo.
Kemily Boff , head de conscientização e educação de pessoas em segurança da informação da CYLK Technologing.