Qué aprenderá en este artículo
- Una prevención eficaz de las filtraciones de datos en el sector minorista comienza por la visibilidad: saber dónde se almacenan los datos de los clientes, los registros de pago y la información de los empleados, cómo se transfieren y quién puede acceder a ellos.
- Un control de acceso riguroso, la autenticación multifactorial, el cifrado y la supervisión continua reducen el riesgo de acceso no autorizado en los sistemas de punto de venta.
- El phishing, la suplantación de identidad y el intercambio inseguro de archivos pueden poner en riesgo los datos confidenciales, a menos que las empresas minoristas apliquen una protección por capas en el correo electrónico y en los flujos de trabajo de colaboración.
- La formación, las políticas actualizadas y los procesos de respuesta ante incidentes probados son los elementos que convierten las medidas de seguridad en una protección cotidiana.
En el sector minorista se gestionan a diario grandes volúmenes de datos de clientes, desde datos de pago e información de carácter « » hasta expedientes de empleados y comunicaciones con proveedores. Esto convierte al sector minorista en un objetivo habitual de los ciberataques de tipo « », el phishing y el fraude.
Para prevenir una filtración de datos se necesita algo más que una herramienta o una política. Esto requiere una visión clara de los riesgos, controles más estrictos, unos hábitos más adecuados por parte de los empleados y una seguridad de los datos que se adapte al funcionamiento real de las operaciones minoristas.
1. Evalúe su situación actual en materia de seguridad
El primer paso para prevenir una filtración de datos en es conocer su nivel de riesgo actual. Para ello, lo primero es realizar una evaluación exhaustiva de los riesgos.
- Identifique dónde se almacenan los datos confidenciales del sector minorista en los sistemas de punto de venta, las plataformas de comercio electrónico, las herramientas de CRM, los dispositivos móviles, y los terminales de los empleados.
- Analice cómo se transfieren la información de los clientes, los datos de pago y los registros internos entre los distintos sistemas, tiendas, herramientas en la nube y proveedores externos.
- Analice detenidamente los incidentes históricos, las vulnerabilidades recurrentes y los puntos de exposición habituales, como los dispositivos compartidos , los métodos de autenticación poco seguros o las transferencias de archivos no gestionadas.
- Revise la seguridad de los proveedores. Los socios externos pueden generar un riesgo para la cadena de suministro si las responsabilidades relativas al tratamiento, la transmisión o el almacenamiento de datos no están claras.
Asimismo, debería revisar las deficiencias en materia de cumplimiento en. Compare sus controles actuales con la norma PCI DSS, que el Consejo de Normas de Seguridad de PCI describe como un conjunto básico de requisitos técnicos y operativ es para la protección de los datos de las cuentas de pago.
Si opera en Estados Unidos y trata datos personales de residentes en California, la Ley de Privacidad y Protección de los Consumidores de California ( , CCPA) también es relevante para usted. El Fiscal General de California describe la CCPA como una ley que otorga a los consumidores un mayor control sobre la información personal que recopilan las empresas.
2. Implemente controles de acceso rigurosos
Las empresas minoristas deben aplicar controles de acceso basados en el principio del «privilegio mínimo», de modo que los empleados solo puedan acceder a los sistemas y datos que necesiten para desempeñar sus funciones. Esto implica limitar el acceso a las plataformas de punto de venta (POS), de gestión de inventario, finanzas y atención al cliente, eliminar las cuentas inactivas y suprimir las credenciales compartidas siempre que sea posible.
Las revisiones periódicas son igual de importantes. Los permisos de los usuarios varían a medida que los empleados cambian de puesto, se incorporan trabajadores temporales, o los proveedores obtienen acceso temporal. Si no se realiza una limpieza periódica, los accesos innecesarios pueden permanecer activos durante demasiado tiempo.
La autenticación multifactorial debería ser la norma para las cuentas de administrador, el acceso remoto y los sistemas en la nube. Los controles centralizados de identidad de ayudan a los equipos a detectar comportamientos inusuales en el inicio de sesión, fallos repetidos y patrones de acceso de riesgo. Los tiempos de espera de las sesiones y la autenticación segura también son importantes en las estaciones de trabajo compartidas del sector minorista, donde la rotación de personal y los turnos cortos facilitan el uso indebido si los controles son deficientes.
3. Cifrar y proteger los datos confidenciales del sector minorista
La prevención de filtraciones en el sector minorista depende de la protección de los datos, tanto en reposo como en tránsito. Los registros de pagos, los datos de los clientes y cualquier información empresarial intern e deben cifrarse utilizando estándares sólidos y actualizados. Asimismo, se deben utilizar protocolos seguros para las transacciones, los correos electrónicos y las transferencias de archivos, de modo que la información confidencial no quede expuesta mientras se transmite entre los sistemas .
Esta protección debería extenderse a los dispositivos móviles y a los terminales de punto de venta, especialmente en entornos minoristas distribuidos en los que el personal de pueda utilizar tabletas, dispositivos portátiles o dispositivos compartidos.
Las copias de seguridad requieren el mismo nivel de atención. Cifre las copias de seguridad, almacénelas en entornos externos protegidos o en la nube, y compruebe periódicamente la restauración . Una copia de seguridad solo resulta útil si permite restablecer las operaciones comerciales tras un incidente de seguridad. También es importante contar con prácticas seguras de gestión y rotación de claves , ya que una gestión deficiente de las claves puede socavar un cifrado que, de otro modo, sería sólido.
4. Reforzar la seguridad del correo electrónico y de las comunicaciones
El correo electrónico sigue siendo una de las formas más sencillas que tienen los atacantes para ponerse en contacto con los empleados del sector minorista. Un mensaje de phishing de tipo « » que parezca una actualización de un proveedor, una factura, un restablecimiento de contraseña o una solicitud de un directivo puede dar lugar al robo decredenciales, a la instalación de malware o a una fuga de datos.
Los minoristas deberían implementar un sistema de detección avanzada de amenazas de tipo « » capaz de identificar enlaces maliciosos, archivos adjuntos peligrosos, dominios falsificados e intentos de suplantación de identidad. DMARC, los controles contra el phishing y el análisis de comportamiento contribuyen a reforzar dichas defensas. Mimecast ofrece una defensa basada en inteligencia artificial () contra el phishing, el BEC y la suplantación de marca en el correo electrónico y las plataformas de colaboración, lo cual resulta especialmente relevante para los entornos minoristas de , caracterizados por su dinamismo.
La supervisión de las llamadas salientes también es importante. El control de prevención de pérdida de datos puede analizar los correos electrónicos y los archivos adjuntos en busca de datos de clientes, información financiera e información de carácter personal. En función de la política establecida, los mensajes pueden bloquearse, cifrarse o marcarse automáticamente. Ampliar esta protección a las herramientas de colaboración y mensajerí es permite reducir los puntos ciegos más allá de la bandeja de entrada.
5. Formar y capacitar a los empleados del comercio minorista
La tecnología por sí sola no puede detener todas las amenazas cibernéticas. Los empleados del sector minorista suelen constituir la primera línea de defensa, especialmente en entornos de « », caracterizados por el uso compartido de dispositivos, un elevado volumen de transacciones y una interacción constante con los clientes.
La formación periódica en materia de ciberseguridad debería enseñar al personal a detectar el phishing, la ingeniería social, las solicitudes de inicio de sesión sospechosas y las peticiones inusuales de información de los clientes. Las sesiones breves y periódicas de « » suelen dar mejores resultados que una formación anual puntual. Las simulaciones de phishing pueden reforzar las lecciones de una forma más práctica.
Cree una cultura centrada en la seguridad con : formación en concienciación sobre seguridad de Mimecast.
Los empleados deben sentirse a gusto a la hora de informar sobre correos electrónicos o actividades sospechosas sin que se les culpe por ello. Los recordatorios de seguridad pueden integrarse en los procesos de incorporación, las reuniones con los responsables y los flujos de trabajo habituales del sector minorista. Reconocer a los equipos que siguen buenas prácticas puede contribuir a que las medidas de seguridad se apliquen de forma más uniforme en todas las tiendas y departamentos.
6. Supervisar los sistemas y responder a las incidencias
Los minoristas necesitan una visibilidad constante de lo que ocurre en los dispositivos finales, las redes y las herramientas en la nube. El registro de datos, la supervisión de puntos fin es y las alertas pueden ayudar a identificar inicios de sesión inusuales, transferencias de datos sospechosas e intentos fallidos de acceso antes de que se conviertan en problemas más graves.
Un panel de control centralizado facilita la visualización de la actividad de las amenazas en tiempo real y permite actuar con mayor rapidez. Esto es importante cuando una pequeña anomalía en podría ser el inicio de una brecha de seguridad más grave.
Igualmente importante es contar con un plan de respuesta ante incidentes bien definido. Defina las responsabilidades de los departamentos de TI, jurídico, cumplimiento normativo, dirección, y socios externos. Documente cómo se controlan, investigan, escalan y comunican los incidentes. Los simulacros de « » pueden ayudar a comprobar si el plan funciona realmente en situaciones de presión, en lugar de quedarse solo en el papel.
7. Revisar y actualizar periódicamente las políticas de seguridad
El entorno del comercio minorista cambia rápidamente. Los nuevos dispositivos, las contrataciones temporales, los cambios de proveedores, las actualizaciones del comercio electrónico y los flujos de trabajo de de pagos pueden generar nuevos riesgos.
Por eso es necesario revisar periódicamente las políticas de seguridad. Las normas de acceso, los procedimientos de tratamiento de datos, el uso aceptable de los dispositivos y los pasos a seguir en caso de incidencias deben reflejar las operaciones actuales del sector minorista. Las políticas también deben adaptarse a la evolución de las amenazas de la « » y a los requisitos de cumplimiento.
Las auditorías internas y externas pueden ayudar a comprobar si sus controles funcionan según lo previsto. Los resultados deberían incorporarse a la formación, a las mejoras técnicas y a las iniciativas más amplias de gestión de riesgos. La revisión continua es lo que ayuda a los minoristas de a mejorar su nivel de seguridad con el paso del tiempo, en lugar de limitarse a reaccionar tras producirse una brecha de seguridad.
Estrategias de defensa por capas para la seguridad de los datos en el sector minorista
Para prevenir las filtraciones de datos en el sector minorista es necesario adoptar un enfoque por capas. Las empresas minoristas necesitan una combinación adecuada de tecnología, concienciación de los empleados y políticas que se puedan hacer cumplir para proteger los datos de los clientes, reducir el riesgo cibernético y mantener la confianza de los clientes.
El correo electrónico y el riesgo humano deben seguir ocupando un lugar central en dicha estrategia. Muchas filtraciones de datos comienzan con un mensaje convincente, un clic precipitado o un error de acceso que se podría haber evitado. Por eso es tan importantecontar con una seguridad integrada, y basada en la inteligencia artificial. Mimecast contribuye a proteger el correo electrónico y los canales de colaboración, mejorando la detección y reduciendo los riesgos derivados del factor humano.
Ahora es un buen momento para revisar sus controles actuales, identificar las principales deficiencias y evaluar si sus herramientas de « » le están ayudando a prevenir las infracciones o si simplemente reaccionan ante ellas una vez que el daño ya está hecho.
La colaboración con Mimecast puede ayudar a los minoristas a reforzar sus medidas de prevención mediante una protección más integrada en todos los canales de comunicación , donde suelen tener su origen las filtraciones.