Black Friday 2022: atenção com a cibersegurança é palavra de ordem para empresas e consumidores - Revista Security
Segurança Digital

Black Friday 2022: atenção com a cibersegurança é palavra de ordem para empresas e consumidores

Por Security Brasil

Segundo pesquisa feita pela Associação Brasileira de Comércio Eletrônico (ABComm) a projeção de vendas durante o período da Black Friday deste ano é de R$ 6,05 bilhões no e-commerce brasileiro, sendo que os pedidos online devem ultrapassar os 8,3 milhões, 3,5% a mais quando comparado ao mesmo período do ano passado.

Com o aumento das compras, o cuidado com a cibersegurança tanto de consumidores, quanto de empresas, deverá ser redobrado. Thiago Marques, sócio da Add Value Security, empresa focada em cibersegurança, salienta que um modelo Zero Trust é obrigação. Para ele o conceito “nunca confie, sempre verifique” é o diferencial para evitar exposição e falhas de segurança.

“Neste período de compras pela internet, como Black Friday e na sequência natal, as atenções devem ser redobradas. Portanto, a adoção de um modelo Zero Trust é essencial para elevar o nível de segurança. Aumentar ainda mais as ações de rever políticas de acesso e soluções como cofre e gestão de senhas, limitação de acesso a sistemas críticos, testes de vulnerabilidade e, claro, atuar nas correções encontradas o quanto antes, além de revisão das políticas e regras de WAF para diminuir falsos-positivos. Todo cuidado é pouco”, diz Marques.

 

Protocolos de segurança

 

Para Guilherme Murakami, diretor da Cipher, empresa de cibersegurança do grupo Prosegur, os varejistas, sobretudo aquelas interligadas a parceiros e franquias que podem representar riscos, precisam cumprir protocolos que incluem testes de vulnerabilidade, monitoramento de ativos, rastreamento de redes e manter uma equipe treinada para respostas a incidentes.

“É importante realizar pentests (ação que simula uma invasão), antecipando possíveis ações de hackers maliciosos, para assegurar que hotsites e aplicativos não tragam nenhuma brecha se segurança. Com o aumento dos serviços financeiros e a diversificação de meios de pagamento, operar com instituições que tenham a certificação PCI é uma prática obrigatória”, aconselha Murakami.

Bruno Lobo, gerente-geral da Commvault para América Latina e autor do livro “Pronto para o Ransomware?”, reforça que é fundamental ter um plano de contingência. Ele enfatiza que todas as empresas serão atacadas em algum momento de suas vidas, a questão é como responder a este ataque. É essencial elaborar, junto com o time de TI, um plano para prevenção, resposta, recuperação e investigação de incidentes.

“É preciso conhecer as ‘joias da coroa’. ‘O que pode fazer meu negócio parar na Black Friday?’ ‘Qual o primeiro item a ser protegido?’ Pode ser o site do e-commerce, o banco de dados dos clientes, as aplicações integradas para meios de pagamento, entre outras. Além disso, certifique-se de incluir no plano a Recuperação de Desastre e um backup bem revisado e monitorado rotineiramente pode salvar sua empresa em um momento crítico, em que o negócio não pode parar. Além de monitorar e testar seus backups, defina tempo (SLA) para reestabelecer os sistemas e táticas para evitar vazamento de dados”, explica Lobo.

 

Antecipar o planejamento

 

O prejuízo de ficar algumas horas indisponível durante a Black Friday é muito grande. Segundo o diretor de Pré-Vendas Serviços Profissionais LATAM da Quest Software, fornecedora global de software de gerenciamento de sistemas, proteção e segurança, Rogério Soares, um monitoramento ainda maior e antecipado é essencial e que os ataques são anunciados no dia, mas eles acontecem muito antes com movimentos laterais de ganho de contas de usuários e identidades digitais com privilégio de acesso meses e, por vezes, até anos antes.

“Pensar na segurança de forma antecipada é a única forma de consolidar uma estratégia eficiente. A Black Friday do ano que vem tem que estar no planejamento deste ano. Durante o período, é aconselhável o monitoramento de elevação de privilégios, bem como a revogação de acessos e revisão de hierarquias não adequadas ao protocolo padrão de cada empresa”, avalia Soares.

 

Pequenas e médias empresas

 

No Brasil, com as grandes empresas protagonizando ataques massivos. Agora, atacantes voltam seus olhos para pequenas e médias empresas (PMEs), que podem não ser tão maduras no desenvolvimento de defesas digitais. De acordo com Eduardo Lopes, CEO da Redbelt Security, consultoria especializada em Segurança da Informação.

“Ataques de DDoS podem derrubar sites. Ataques deste tipo direcionam uma quantidade massiva de visitantes fantasmas para derrubar um website ou e-commerce. Além disso, podem ser utilizados para ocultar outros tipos de ofensivas como de roubo de dados e até mesmo ransomware. Estas ações de grupos hackers como REvil, BlackCat e Suncrypt podem ser coibidas com diversas ferramentas no mercado e empresas especializadas que podem ajudar PMEs a levantar barreiras contra avanços do cibercriminosos”, afirma Lopes.

 

Black Friday e a LGPD

 

Outro ponto que merece atenção na Black Friday é a proteção de dados. Nesse sentido, Caroline Teófilo e Lais Pimenta Lisboa Silveira, sócia e advogada da área de Governança de Proteção de Dados, Núcleo DPO e Segurança da Informação no Peck Advogados, orientam que é preciso ter em mente que o aumento das transações também significa um aumento da quantidade de informações que irão trafegar nos sistemas. E, já com a Lei Geral de Proteção de Dados (LGPD) em vigor e a Autoridade Nacional de Proteção de Dados, cresce também a preocupação com o cumprimento das regras de proteção de dados e boas-práticas de segurança da informação.

Para elas, o aumento das operações de tratamento de dados pessoais exige uma maior preocupação quanto ao uso correto dos dados e as medidas de segurança implementadas. “No que se refere à coleta de dados pessoais, as empresas precisam estar atentas à quantidade de informações solicitadas no momento do cadastro de clientes, tanto os realizados de forma digital quanto física, pois apenas dados estritamente necessários para o cumprimento da finalidade devem ser requeridos. Além disso, outro ponto que merece atenção é a adequação das políticas de privacidade dos sites, as quais devem garantir a transparência do tratamento aos titulares, por exemplo em suas Políticas de Privacidade e Avisos de Cookies”, mencionam.

Ainda, as especialistas destacam que as ações de marketing realizadas pelas empresas também devem estar de acordo com as exigências da LGPD, de modo que apenas titulares que desejem receber as comunicações sejam atingidos, como também sejam excluídos das listas de mailing quando optarem pelo opt-out. Tais medidas são necessárias para que violações de dados, as quais têm potencial de gerar danos irreparáveis para empresas, sejam evitadas.

“No que se refere ao cumprimento do dever de segurança, é responsabilidade dos agentes de tratamento adotar medidas técnicas e administrativas para proteção dos dados contra acessos não autorizados, destruição, perda, alteração ou tratamento ilícito. Dentre essas possíveis medidas, pode-se citar a implementação de controles de acesso, duplo fator de autenticação, antifraude, backups e testes de intrusão”, informam e, acrescentam: “é preciso, também, ficar atento às práticas criminosas de phishing por e-mails e mensagens de texto, golpes e fraudes. Em relação à cultura, treinamentos para colaboradores também são considerados essenciais para a promoção da conscientização sobre o tema”.

Para Caroline e Lais, essas preocupações exigem um esforço prévio e preparo de recursos para viabilizar a segurança e a proteção dos dados pessoais. “Dessa forma, as empresas que possuem um programa de Segurança da Informação e de Governança de Dados implementados, além de um Data Protection Officer nomeado estarão à frente dos seus concorrentes, pois poderão garantir a seus clientes a proteção de suas informações pessoais, gerando maior confiabilidade e segurança”, destacam.

 

Dicas de cibersegurança para o consumidor

 

  • Desconfiar de promoções milagrosas – antes de clicar num produto com preço muito abaixo do mercado, faça comparativos em lojas confiáveis e sites de cotações reconhecidos;
  • Checar se a plataforma de e-commerce escolhida para a transação tenha um selo de segurança – normalmente representado pelo símbolo cadeado, que comprova se uma página é de fato a oficial;
  • Conferir se está navegando em tráfego seguro – em sua grande maioria, endereços de sites seguros iniciam com https;
  • Cuidado com promoções via e-mail, SMS e WhatsApp – se receber alguma oferta irrecusável, diretamente no dispositivo pessoal, não clique no link antes de validar a URL (um número ou letra trocados podem levar a uma página de phishing);
  • Spoofing e phishing: neste tipo de ataque Spoofing (do inglês imitar, fingir), o criminoso tenta se passar por uma empresa legítima por meio de sites falsos – por exemplo alterando uma letra para se aproveitar de erros de digitação ou falta de atenção. No phishing, muito comum na época de Black Friday, um e-mail falso é enviado para roubar dados, direcionar pagamentos para contas falsas ou produtos que não existem. Aqui vale uma campanha de conscientização com seus clientes para alertá-los sobre sites e e-mails falsos;
  • Cartão Virtual: Nesta modalidade o banco gera um número de cartão apenas para uma compra ou determinado período, depois disso, perde sua validade evitando fraudes e clonagens. As empresas podem incentivar seus clientes a utilizarem este método para elevar a segurança com mensagens indicando esta função.
Continue Lendo
Security Brasil 1198 notícias 0 comentários
Você também pode gostar Mais deste Autor

Comentários estão fechados.

Mais Notícias

Pará discute Lei Estadual de Segurança Digital

Brasil lança sua primeira Política Nacional de…

Cidadania digital é tema de evento online da Safernet e…

Pandemia levou a fortes mudanças em segurança digital nas…

Transparência é essencial para a segurança cibernética,…

1 de 28