En el sector minorista hoy casi toda la actividad está atravesada por la transformación digital: desde las ventas y la distribución, pasando por la logística y los pagos electrónicos. Baufest, consultora internacional dedicada a evolucionar los negocios de las empresas a través de la tecnología y la transformación cultural, apunta que los nuevos modelos comerciales del retail –que articulan a los socios, clientes y proveedores en red- exponen a las empresas del rubro a nuevos riesgos.
La aceleración de la transformación digital del retail busca responder a los cambios en las expectativas y las necesidades de los clientes. Pero a menudo la velocidad de estos cambios supera los controles de seguridad, ya que a medida que las cadenas minoristas amplían sus infraestructuras digitales para mejorar la experiencia del usuario también amplían su superficie de ataque potencial. Esto en realidad ocurre en todas las industrias, pero un conjunto de desafíos específicos hace que la ciberseguridad del retail sea un asunto mucho más complicado.
En este sector cada tablet o computadora conectada, cada dispositivo móvil e IoT agregado, cada baliza Wi-Fi, sin mencionar toda la tecnología que se despliega en los entornos de múltiples nubes, dificulta que los equipos de TI implementen seguridad informática en las empresas que cubra todas las posibles vías de ataque. Debido a que las transacciones se realizan cada vez más en línea y los datos se almacenan en ambientes cloud, los minoristas se han vuelto más vulnerables a los ciberataques.
Seguridad informática en las empresas
En este marco las compañías deben diseñar políticas y estrategias de ciberseguridad, estimular las buenas prácticas entre sus empleados y establecer mecanismos de monitoreo para prevenir y mitigar las diversas amenazas que genera la ciberdelincuencia. Estas últimas varían: "desde atacantes que interceptan sistemas de ventas físicos y en línea, empleados deshonestos o descuidados y terceros que buscan deliberadamente oportunidades para explotar lagunas o vulnerabilidades de los sistemas". Los minoristas también enfrentan desafíos de seguridad con los sistemas y dispositivos POS conectados y las aplicaciones de pedidos y entregas en línea. Y un tema nada menor son los teléfonos móviles conectados del personal.
Además, los "data lake" de las compañías de retail son objetivos atractivos, ya que a menudo combinan datos detallados de identidad y demográficos con información de tarjetas de crédito.
Seguridad en el comercio electrónico
Tal y como apunta el blog de Interface, se sintetizaron varios estudios y concluyó que el 84% de los ciberataques que se producen en esta industria incluyen intrusión de sistemas, ingeniería social y ataques a aplicaciones web básicas. En el 87% de los casos los actores son externos, y en el 13% internos. De los datos comprometidos, el 45% corresponde a credenciales, 27% a datos personales, 25% a datos de pagos y 25% a datos de otro tipo.
En este delicado escenario los retailers necesitan desarrollar varias políticas de seguridad básicas:
Restringir el acceso a los datos según sea necesario. Cifrar datos confidenciales enviados a través de redes públicas abiertas. Probar periódicamente los sistemas y procesos de seguridad. Gestionar las amenazas para dispositivos móviles (definir políticas e implementar soluciones de gestión específicas). Adicionalmente las empresas necesitan tener una amplia visibilidad y control en todos los entornos; y deben monitorear y responder a un panorama de amenazas muy cambiante.