Depois de casos emblemáticos de vazamento de dados no varejo, como o ocorrido com a Netshoes e a C&A, o setor vem aumentando as muralhas para mitigar os riscos. Paralelamente, falar sobre o varejo hoje em dia é o mesmo que pensar numa plataforma digital e também corre contra o relógio para estar em conformidade com a LGPD.
A Security Report entrevistou com exclusividade Ricardo Dastis, que atuou como CISO numa grande varejista brasileira por sete anos. Com mais de 25 anos de experiência em Segurança Cibernética, Dastis orquestrou a área de SI em setores críticos e em grandes organizações, como as Lojas Renner, BASF e a Oi. Nesta entrevista, ele conta os desafios no setor varejista e as lições aprendidas. Como ele diz: “a “Black Friday é o Natal do Cyber Security”.
SR: Desde quando atua no varejo, quais os seus principais desafios e como foram superados na segurança da informação?
RD: Creio que o Varejo tenha uma característica interessante, por ser uma “indústria” menos regulada do que, por exemplo, setores como o financeiro, telecom, seguros, entre outros. Porém, o varejo é um dos setores que mais tem se reinventado. Os competidores passaram a ser de uma escala global. Players como Amazon e Alibaba atuam em todos os segmentos do varejo e em todos os lugares do mundo. Isto fez com que o varejo tradicional se transformasse completamente. Canais digitais e modelos omni passaram a ser estratégias vitais de negócio para esse segmento. O aumento exponencial da presença digital dos varejistas incrementa significativamente a superfície de ataques. As vulnerabilidades tecnológicas passaram verdadeiramente a ser abordadas como riscos digitais de negócio. Este é o ônus do mundo VUCA (Volatility, Uncertainty, Complexity and Ambiguity). Por isso, não existe a opção de não vivermos nele. Os riscos digitais serão cada vez maiores. As organizações como todo precisam conhecer e gerenciar tais riscos de maneira adequada, em nível executivo.
SR: Quais foram as grandes mudanças na SI no varejo e como as novas tecnologias com Inteligência Artificial e machine learning aplicadas na segurança da informação têm contribuído para mitigar o vazamento de dados no varejo?
RD: A segurança cibernética tem tirado bons proveitos de tecnologias de IA e ML. Vendors de soluções como, por exemplo, SIEM (Security Information and Event Management) já usavam a inteligência artificial. Isto fez evoluir muito os processos de correlacionamento de eventos e resposta a incidentes. Os níveis de acuracidade em detecção de anomalias aumentaram e os falsos positivos caíram. Por outro lado, vejo uma grande oportunidade fora do universo dos vendors, não nos produtos de segurança em si, mas sim nas práticas de cyber defense utilizadas pelas empresas e pelos SOCs (Security Operation Centers). É cada vez mais comum encontrarmos nas empresas (inclusive no varejo) áreas de Data Science, Big Data, etc., com profissionais muito qualificados, matemáticos e cientista de dados. Porém, pouco ainda se vê de interseção entre estes skills voltada à defesa cibernética, com análises preditivas de ameaças, security analytics. Já há um movimente neste sentido, mas ainda pouco explorado.
SR: Hoje, o varejo é digital. Além disso, é um setor que trabalha muito com sazonalidade. Você teve oportunidade de atuar em cloud security? De que maneira ajudou, principalmente em momentos de grande venda para o comércio?
RD: Há uma brincadeira interna que costuma dizer que a “Black Friday é o Natal do Cyber Security”. É uma época em que os varejistas reforçam as suas defesas e níveis de monitoração, tanto no que diz respeito a cybersecurity quanto nas estratégias anti-fraude e threat intelligence. A nuvem ajuda um bocado neste sentido. Tanto no óbvio, que é garantir um ambiente elástico em períodos de altíssimo tráfego, quanto oferecendo tecnologias em nuvem para a proteção dos e-commerces, como WAFs (Web Application Firewalls ) e soluções Anti-DDoS(Data Loss Prevention).
SR: Você acredita que o varejo esteja seguro em cloud ou, assim como muitos setores, também migrou o ambiente sem a preocupação com a segurança e agora está pagando o preço? Quais as lições aprendidas nesse caso?
RD: Sobre nuvem, bem… é uma realidade para todos. Não há como o profissional de segurança da informação “lutar contra esta maré”. Abordagens de segurança antagonistas tornaram-se arcaicas. Não há mais espaço para profissionais de security que assumem um papel de “Mr. No”. O ponto é como viabilizar a cloud com segurança, e não opor-se a ela.
SR: Em sua opinião, diante do cenário de ataques em massa e a facilidade de comprar soluções de ataque nos grandes marketplaces da deep web, como o CISO que atua no varejo deve estar preparado?
RD: As minhas dicas aqui são três: monitoração, monitoração e monitoração! Não há como impedir que, por exemplo, surja um site fake igualzinho ao seu em qualquer lugar do mundo. E que o seu cliente receba phishings de qualquer origem que tentem se passar pela sua empresa e aplicar um golpe no cliente. A chave está na rápida detecção e num processo tempestivo de resposta que permeie toda a organização, e não apenas a SI ou a TI.
SR: O varejo está preparado para a LGPD? O que você diria aos CISOs do varejo?
RD: Ainda não está. Mas estará. Existe uma responsabilidade grande por parte dos CISOs do varejo, uma vez que o setor usualmente possui grandes bases cadastrais de pessoas (clientes, colaboradores, prestadores de serviço). Por outro lado, os varejistas normalmente não armazenam muitas “informações sensíveis”, utilizando a expressão da própria LGPD. O setor de saúde, por exemplo, tem um desafio ainda maior. Outro aspecto interessante que tenho percebido é que muitas vezes as práticas de segurança da informação de grandes empresas são aquelas que se encontram previamente mais alinhadas à LGPD, uma vez que muitas já utilizam há algum tempo soluções de mascaramento de dados, DLP (Data Loss Prevention), etc. Há desafios talvez maiores na estratégia comercial e/ou de marketing das empresas por conta, por exemplo, da gestão de consentimento exigida pela LGPD. Por isso que o programa de conformidade à LGPD precisa ser interdisciplinar. Pode até ser liderado pelo CISO, mas certamente não é apenas do CISO.
SR: O setor financeiro está mais avançado na LGPD, mas todo o ecossistema (inclusive o varejo) deve estar no mesmo passo. Há uma sinergia entre operadoras de cartões, e-commerce e o varejo por meio de comitês ou fóruns? Caso não haja, como lidar com a velocidade de outros setores para ficar em conformidade?
RD: No varejo há sim iniciativas. Ainda não tão estruturadas como, por exemplo, as que existem no setor financeiro porque dependem mais da maturidade das equipes. Mas temos o importante legado do PCI (Payment Card Industry), que impulsionou muito o setor de varejo nesta colaboração entre merchants, bandeiras, adquirentes, etc. Estas práticas cross de segurança seguem vivas e certamente ajudam muito na segurança e conformidade do ecossistema como um todo.
