Black Friday: alta rotatividade das equipes de SI enfraquece linhas de defesas cibernéticas

Uma das datas mais importantes para o varejo brasileiro começa nesta sexta-feira (25) e promete grandes transações, especialmente no comércio eletrônico. Para Gilmar Esteves, VP de Engenharia e Segurança na Zup (Grupo Itaú), a mudança frequente de profissionais de Segurança enfraquece as estratégias de defesa cibernética, cenário que desafia varejistas e instituições financeiras nas datas sazonais

Compartilhar:

Nos últimos anos, a Black Friday se consagrou como ​​um dos eventos que mais movimenta o comércio nacional. Da mesma forma que as empresas se preparam para um aumento significativo nas vendas e os clientes se planejam para suas compras, os cibercriminosos também têm esta data marcada em seus calendários a fim de disseminar vetores de ataques, especialmente através de campanhas de Phishing, Smishing ou Vishing.

 

O ransomware também aparece como ameaça. A pesquisa “The State of Ransomware in Retail 2022”, realizada pela Sophos, observou que o segmento foi o segundo mais afetado por esse tipo de ataque em 2021, afetando globalmente 77% das empresas varejistas entrevistadas. De acordo com o levantamento, grande parte organizações desse segmento precisa melhorar suas medidas de segurança, já que apenas 28% das organizações atacadas conseguiram evitar que seus dados fossem criptografados por cibercriminosos.

 

Diante desse cenário, Gilmar Esteves, VP de Engenharia e Segurança na Zup, empresa do Grupo Itaú, comenta que a alta rotatividade das equipes de SI no mercado contribuem para o enfraquecimento das linhas de defesas cibernéticas no varejo. Para ele, essa questão afeta não apenas as varejistas, mas todas as empresas que perdem em conhecimento, investimento e continuidade de projetos. Ele ressalta que esse assunto deve ser tratado com maior atenção dentro das organizações para a formação contínua de profissionais internos, garantindo a continuidade de suas operações.

 

Durante o período de Black Friday, garantir a disponibilidade total das plataformas se tornou algo essencial aos principais varejistas do País, uma demanda que destaca a computação em nuvem como principal infraestrutura de suporte para as vendas online. Por outro lado, a falta de profissionais especializados em arquiteturas e segurança em cloud tem sido outro preocupante desafio. Para Esteves, é preciso que os times de Segurança acrescentem controles como Auto Scaling, Patching, WAF, Load Balancing a fim de garantir disponibilidade e estabilidade nos momentos de pico de compras nos sites.

 

Além disso, o executivo chama atenção para as demandas de Segurança Cibernética em pequenas e médias empresas. Gilmar avalia que as PMEs seguem na mira do cibercrime, pois ainda não atingiram alto nível de maturidade em Segurança. “Muitas contratam profissionais de Segurança, mas com skills voltados a redes ou endpoint e, normalmente, são alocados para atuar mais como um profissional de TI do que de Segurança”, comenta o executivo em entrevista concedida à Security Report.

 

Fraudes invisíveis na Black Friday 

 

Se o consumidor já deve ficar atento normalmente com promoções que pareçam muito generosas, na Black Friday esse cuidado deve ser redobrado. Para se ter uma ideia, de acordo com a Kaspersky, o roubo de dados de pagamento dobrou esse ano em comparação com 2021, chegando a quase 20 milhões de ataques – fator que precisa de atenção em momentos de compra online.

 

Esteves alerta justamente para essas propostas muito atrativas e com ofertas tentadoras, já que os golpes exploram a falta de atenção nos detalhes, passando despercebidos pela grande maioria. “Apesar da evolução na sofisticação dos golpes, ele só terá sucesso para aqueles que não buscam validar a origem da mensagem e são tomados pelo impulso no momento da compra”, enfatiza executivo.

 

O especialista observa ainda que os times de Segurança estão colaborando cada vez mais com o monitoramento desses eventos suspeitos para garantir a disponibilidade das operações e mitigação de riscos em aplicações para então combater ciberataques e proteger as operações dos clientes. Mas Phishing segue enganando usuários mais desatentos. “Essa modalidade de ataque persiste com uma boa penetração através do e-mail para atingir o público-alvo e tem como característica principal a clonagem visual de websites de lojas virtuais para enganar as vítimas”, explica Esteves.

 

Como melhores práticas e recomendação aos usuários, o VP de Engenharia e Segurança na Zup, que é parceira de grandes empresas no Brasil apoiando na criação de tecnologias e que neste contexto está a área de Segurança, comenta que é essencial sempre procurar o ícone de um cadeado durante a navegação na internet, isso indicará a criptografia no momento da transação.

 

“Faça compras com cartão de crédito, de preferência virtual. Não use cartão de débito. Proteja-se ao fazer compras, utilize um antivírus e, quando estiver em rede Wi-Fi pública utilize uma VPN. Ative autenticação de dois fatores em suas contas de e-mail e WhatsApp. Faça compras quando estiver tranquilo, não busque ofertas preocupado com escassez de produtos”, alerta Gilmar Esteve e acrescenta que a Zup busca ter um ambiente seguro independente das sazonalidades do mercado.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Toyota Brasil apura possível vazamento de documentos internos

Desde o último fim de semana, grupos de threat intel presentes na Dark Web apontaram que a gangue de ransomware...
Security Report | Destaques

Soft skills são próximos passos na evolução da confiança em Cyber, avaliam CISOs

Pesquisa da consultoria Kroll aponta que os gestores corporativos confiam integralmente nas pessoas de Segurança para responder aos riscos Cibernéticos....
Security Report | Destaques

Insegurança cibernética e IA são destaques do Security Leaders em BH

O Congresso será realizado no dia 23 deste mês com discussões pautadas na imaturidade em Cyber Security e o quanto...
Security Report | Destaques

Polícia Civil do DF prende suspeitos de roubar 76 milhões de senhas pessoais e governamentais

De acordo com a corporação, os hackers chegaram a incluir todas as credenciais comprometidas em um banco de dados, visando...