Por José Pereira, IT Operations, Cloud & Security Senior Director na Noesis
As empresas do setor de comércio a retalho enfrentam grandes desafios para manter a sua competitividade. Para além da concorrência feroz, têm de lidar com fatores que afetam diretamente o comportamento do consumidor, como a inflação, a política fiscal e problemas na cadeia de abastecimento. Num cenário em que os lucros já são reduzidos, a transformação digital tem-se tornado uma oportunidade valiosa, mas também uma nova ameaça à segurança cibernética.
A partir da análise dos dados apresentados pelo Instituto Nacional de Estatística (INE) e pelo Eurostat, é possível concluir que, em 2022, 43% dos indivíduos fizeram compras online (um aumento de 2 p.p. em relação ao ano homólogo) tornando-se claro de que as empresas precisam de se adaptar para atender a esta procura. Assiste-se, assim, a uma crescente migração das organizações para o mundo digital, aproveitando também a oportunidade para avançarem com uma verdadeira transformação digital do seu negócio. Contudo, não se trata de uma jornada uniforme, pois as empresas que não se prepararam tiveram de se adaptar, rapidamente, a este novo cenário e muitas ainda estão a lutar para implementar as mudanças culturais e operacionais necessárias, de forma a permanecerem ágeis. Já as empresas que conseguiram superar os silos organizacionais e tecnológicos, estão a distanciar-se das restantes, alcançando uma vantagem competitiva.
O futuro da experiência digital no comércio a retalho caracteriza-se pela procura de uma oferta personalizada, em tempo real, a agilidade nos negócios e a colaboração entre áreas multidisciplinares, com foco no cliente como elemento central da estratégia. Em relação a 2023, existem várias tendências que terão um impacto significativo no setor. Uma delas é a expansão da jornada omnichannel, em novos canais, e micro-momentos. Neste sentido, os dados serão elementos fundamentais, já que formam a base de qualquer estratégia omnichannel. As experiências personalizadas tornam-se mais eficientes de acordo com a quantidade de informações obtidas.
O cenário supramencionado faz com que as organizações de retalho e comércio eletrónico se tornem alvos lucrativos para ciberataques. Desde as grandes às pequenas empresas, estas serão um alvo extremamente atraente, para os cibercriminosos, por processarem, armazenarem e manterem dados confidenciais dos clientes, como credenciais financeiras, nomes de utilizador e passwords, que podem ser vulneráveis a ataques.
É sabido que os agentes de ameaças utilizam uma variedade de métodos, desde a simples engenharia social até aos mais sofisticados ataques – DoS/DDoS, ransomware ou phishing de credenciais. Além disso, a violação de dados é outro tipo comum de ataque que pode impactar negativamente um negócio. Para evitar esses riscos, é recomendado a implementação de uma estratégia sólida e de ampla proteção. Quando ocorre uma violação de segurança, a interrupção e os danos podem variar amplamente, mas uma coisa é certa, os efeitos espalham-se por toda a organização, muitas vezes com implicações operacionais e financeiras significativas. Por isso, criar uma organização resiliente é um objetivo necessário no cenário atual, no entanto, é preciso considerar algumas dimensões do problema.
A primeira é a forma de como as organizações respondem a um incidente de segurança. Esta é uma das componentes críticas numa estratégia de cibersegurança e, antes de elaborar, há que fazer duas considerações prévias: – uma tem a ver com o facto de a resposta a um incidente grave de segurança ser um processo que se treina, simula e exerce de forma sistemática antes da ocorrência de um ataque (à semelhança das simulações relativas a temas de segurança física). Treinamos o processo todo – qual o governance e linha de comando, quais os diferentes stakeholders, processos e procedimentos envolvidos, comunicação, papel dos parceiros, etc; a outra consideração relaciona-se com a formalização de todo o processo, que deve ser conhecido por todos, incluindo os elementos de direção e administração.
Plano de contingência
Para montar um plano de contingência eficaz e minimizar os danos em caso de ataques bem-sucedidos, é fundamental implementar processos de backup e recuperação de dados, além da realização de testes recorrentes e documentá-los, detalhadamente. Em segundo lugar, é preciso definir-se o processo de contingência, para o caso dos sistemas críticos serem impactados, considerando as diferentes janelas de potencial impacto.
Frequentemente, as empresas atacadas são apanhadas de surpresa e não fazem ideia do que fazer para responder ao ataque. Como cada minuto sem ação pode multiplicar os impactos para a organização, quer na componente de resposta e contenção, quer, quando necessário, na componente de recuperação de serviço, sendo, por esta razão, preciso abordar o problema de uma forma estrutural.
Para o governance e cadeia de comando, é essencial garantir que a estrutura que lidera a resposta seja conhecida por todos os interlocutores, nomeadamente quem está no comando em cada momento e quem tem a capacidade para tomar decisões, incluindo as war rooms e os pontos de alinhamento com o board e a alta direção, seguindo um modelo de gestão de crise bem definido.
A comunicação é outro ponto crucial, especialmente para organizações de média e grande dimensão, onde é fundamental garantir a comunicação com entidades supervisoras e reguladoras, incluindo as relativas à proteção de dados, além de clientes, parceiros e outros stakeholders.
Também é necessário operacionalizar as diferentes equipas de trabalho. Por exemplo, a equipa de contenção precisa de estar pronta para identificar qual a natureza do ataque, o ponto de entrada, os dados ou sistemas afetados e isolar esses sistemas e dispositivos, mitigando o efeito de contágio. Além disso, é preciso iniciar medidas de contenção imediatas, incluindo a aplicação de atualizações de segurança, bem como reconfigurar soluções ou desativar componentes.
Enquanto uma equipa lida com a resposta direta ao ataque e à contenção do mesmo, é necessário ter outra equipa focada nos procedimentos de recuperação de serviços afetados pelo incidente, incluindo o recurso a soluções de backup e recuperação de dados, disaster recovery e a reconfiguração completa de componentes da arquitetura. Assim, a Equipa de Recuperação de Serviço precisa de saber a prioridade dos serviços a recuperar, informação que deve estar estruturada e documentada.
Por fim, uma outra equipa, a de investigação, estará focada na análise forense, na identificação da vulnerabilidade ou vulnerabilidades na origem do incidente, incluindo a procura de evidências relativas ao ataque.
Um aspeto fundamental, especialmente para ataques de grande dimensão, é que seja feita a gestão eficiente do esforço e das equipas. Este é um conjunto de recursos críticos cruciais em todo o processo e o esforço tem de ser gerido tendo em consideração que podemos estar a falar de vários dias ou semanas. Tal como na guerra, saber quando um recurso crítico deve parar e ser rendido é absolutamente vital.
A utilização de parceiros ou ecossistemas é algo que também deve ser considerado. A cibersegurança é um tema de ecossistema. Assim, vamos ver cada vez mais colaboração nesta vertente, incluindo a junção de esforços e de capacidade quando for necessário responder a incidentes críticos.
Um último ponto importante, é não ignorar o trabalho que deve ser efetuado após o incidente. É preciso elaborar um relatório com as principais evidências, recomendações para a mitigação de futuros incidentes e sugestões de alteração de processos ou procedimentos, incluindo o relativo ao processo de resposta a incidentes.
O papel da tecnologia
A tecnologia é um fator crucial no esforço de prevenção, mas não é o único. Empresas que foram atacadas, mesmo tendo tecnologia de ponta, constataram que os movimentos iniciais do ataque já estavam refletidos e identificados nas diferentes soluções. Ou seja, tecnologia, sem processos e capacitação das equipas, não melhora a maturidade das organizações em termos de segurança. Por isso, é importante investir na formação de toda a organização, incluindo equipas especializadas em cibersegurança. Uma grande parte dos ataques começa com falhas humanas. Portanto, ajudar os colaboradores a entenderem o seu papel na segurança e a forma de como as suas ações podem colocar a empresa em risco, é um investimento com retorno garantido. Além disso, é necessário executar regularmente exercícios de simulação de resposta a incidentes de segurança e recuperação de serviços. Estas são iniciativas que não têm o foco principal na tecnologia, mas que são fundamentais para melhorar a maturidade das organizações em termos de cibersegurança.
Existem ainda boas práticas a serem adotadas, tais como garantir a consciencialização todos os colaboradores sobre o tema, incluindo riscos, procedimentos, políticas e planos de formação regulares. Além disso, é importante ter políticas claras de backup de dados e realizar testes recorrentes de recuperação de serviço, bem como auditorias e testes de penetração, para além de um processo estruturado de gestão de vulnerabilidades e monitorização de eventos de segurança. É essencial ter um plano de resposta a incidentes e realizar simulações de exercícios.
Para garantir a cibersegurança, também é importante manter os sistemas e software atualizados com as últimas atualizações de segurança, para corrigir vulnerabilidades conhecidas. É preciso ainda definir claramente o governance, uma política de acessos e respetivos mecanismos de controlo, incluindo a gestão de acessos privilegiados, e fazer o inventário de todos os ativos e respetivos riscos.
Ciberameaças no cenário nacional
O Relatório Cibersegurança em Portugal 2022, elaborado pelo Centro Nacional de Cibersegurança, apresenta uma análise dos principais indicadores de cibercrime e incidentes registados no país durante o ano. De acordo com o estudo, persistem ameaças relacionadas ao fator humano e fragilidades decorrentes do contexto pandémico, assim como o aumento de outras ameaças, como o ransomware e a exploração de vulnerabilidades. O número de incidentes e crimes cibernéticos seguem uma tendência global de aumento e não é esperado um retorno aos níveis pré-pandemia, em grande parte dos casos. Além disso, é prevista a influência do contexto geopolítico e estratégico internacional no ciberespaço, com manifestações de natureza híbrida, e a progressiva diminuição da pandemia como tema dominante nessa área.
É fundamental ter consciência de que a cibersegurança deve ser uma preocupação constante e que todas as empresas, independentemente da sua dimensão, são vulneráveis a ataques cibernéticos. No entanto, caso ocorram, é necessário garantir que os impactos sejam reduzidos e não se tornem incidentes de grande severidade. A gestão de risco deve ser uma prática estruturada e não empírica.
Publicado em MIT Technology Review