FRAQUEZAS DOS CONSUMIDORES E EXIBICIONISMO DE PSEUDOHACKERS

Incidentes de exposição de dados pessoais afetam e-commerce e são agravados pela divulgação de informações confusas

Como constatamos antecipadamente neste blog, criminosos aproveitaram a movimentação da Black Friday para golpes de roubo de credenciais. Um dos episódios foi a exposição da NetShoes no noticiário, pela publicação de nome, e-mail, identidade e CPF de cerca de 18 mil clientes. Embora a base de dados da loja tenha 20 milhões de cadastros e 5,9 milhões de clientes ativos, conforme levantamento de agosto, o delinquente que publicou os dados alega que teria explorado vulnerabilidades do site. A empresa já informou que não constatou nenhuma violação em seus sistemas.

Setores como comércio e finanças, mais dependentes e maduros em relação a serviços digitais, há algum tempo precisam tratar da Segurança da Informação sob perspectivas nunca pensadas antes e com o envolvimento de vários agentes, como as áreas de marketing e a própria alta direção.

Vulnerabilidades técnicas são complexas, mas são a parte mais simples

Ética não seria um atributo de terroristas e criminosos, que às vezes se aproveitam de tragédias e incidentes para uma autopromoção macabra, em que exageram sua própria capacidade de causar estragos. Mas os riscos, às pessoas e aos dados, estão aí e o “armamento virtual” está acessível mesmo a quem tem conhecimento técnico tão precário quanto o caráter.

Além de um mapeamento preciso de todos os pontos críticos dos processos de negócio, é preciso garantir que os mecanismos de defesa estejam ativos e atualizados em cada etapa. Com o volume crescente de interconexões entre sistemas, modalidades de acesso e outras mudanças, abordagens de automação, virtualização e modernização da forma de gerenciar a segurança continuam no centro da agenda de TI e da própria organização. O foco, contudo, deve estar nos aspectos comportamentais e humanos.

Controle de fraude, para o cliente não ser vítima duas vezes

Por melhor que sejam a qualidade da tecnologia, as condutas internas e os processos da organização, “há muita maldade neste mundo”, como advertiam nossas avós. O caso do phishing direcionado é um exemplo em que um incidente fora dos domínios da companhia pode acabar criando uma brecha para violação de dados ou fraudes transacionais.

Como apontamos anteriormente, tentar confirmar a autenticação com dados complementares comuns é praticamente ineficaz. Na prática, a apropriação de credenciais só podem ter seu efeito mitigado se os sistemas de segurança forem capazes de “desconfiar” de alguém cujo comportamento não condiga com o que se espera daquela pessoa “devidamente identificada”. Não basta conferir o documento na portaria. É preciso acompanhar e entender o comportamento em cada etapa do processo.

Transparência, educação e comunicação para um bom relacionamento entre marca e consumidor

A divulgação de qualquer vazamento de dados ou violações de segurança da informação tende a se tornar uma obrigatoriedade legal, a exemplo do que acontece em legislações internacionais. Mas o assunto não se restringe ao jurídico. O acompanhamento do que acontece com a marca e a base de clientes no mundo exterior – que inclui das redes sociais à dark web – permite que se antecipem os problemas que chegarão à empresa, assim como a mobilização de todos os agentes envolvidos na resposta.

É fato que a complexidade do ambiente de tecnologia deixa muitas brechas a serem exploradas. Mas as vulnerabilidades humanas são muito mais difíceis de corrigir. Por exemplo, talvez ainda tenhamos que continuar a suplicar para não se usar a mesma senha para tudo (ainda mais se for 1234abcd para Facebook, Internet banking e Office 365 da empresa); não executar qualquer coisa; e outras recomendações básicas que tão cedo não poderemos parar de repetir.

No atual cenário, em que os serviços e a exposição digital são determinantes à reputação e aos resultados de qualquer companhia, é interessante repensar inclusive quem são os “profissionais de segurança da informação”. É claro que os especialistas de TI continuam a ser protagonistas. Contudo, hoje áreas como gestão corporativa, relações institucionais, RH, marketing e comunicação precisam de profissionais com conhecimento (não necessariamente técnico) e foco em segurança da informação. Educação digital, campanhas complementares (por exemplo, dicas de prevenção a fraude junto a notificação de promoções), esclarecimento sobre riscos e outras ações orientadas às pessoas são o que determinam o perfil e o reconhecimento de um negócio seguro.