¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Seguridad en el sector minorista en un mundo de complejidad de puntos de contacto digitales

Autor Greg Buzek, Presidente de IHL Services
Patrocinado por Cisco Systems Inc.

Anteriormente, en la parte 1 y 2 de nuestra serie, analizamos lo fundamental que es para los comercios minoristas tener una infraestructura de red actualizada y optimizada y cómo las oportunidades de IoT en el sector minorista pueden mejorar la experiencia del cliente y la eficiencia operativa. Aquí analizamos por qué la mentalidad de la seguridad como primera idea y no un elemento secundario es absolutamente crucial para el éxito de los comercios minoristas en el futuro. 

Como bien sabe, los comercios minoristas se enfrentan a ataques tanto en el mundo físico como en el ciberespacio todo el día, todos los días, como uno de los sectores más dirigidos para los grupos de delincuencia organizada y los hackers. Y con la amplitud y la profundidad de las amenazas, es mejor trabajar con un proveedor principal que comprenda y pueda proporcionar un plan de seguridad integrado para todos los puntos de contacto de modo que pueda detener los ataques en el perímetro, proteger a los usuarios, controlar quién se conecta a la red, simplificar su administración, encontrar y contener problemas rápidamente cuando se produzcan y proporcionar monitoreo continuo. 

Sin embargo, es importante tener en cuenta que un plan de seguridad completo e integrado no solo se basa en la ciberseguridad o la seguridad de los datos, sino que incluye tanto la seguridad física que lo protege como comercio minorista, a sus clientes y proveedores. De hecho, primero echemos un vistazo a la seguridad física. En primer lugar, hay una necesidad de que los sistemas protejan la seguridad física de sus clientes. Esto puede incluir personal de seguridad, cámaras de seguridad y personal adecuado para barreras físicas y control de acceso para que todos estén seguros. 

A continuación, hay seguridad para sus propios empleados, ya sea en las tiendas, los almacenes y las oficinas en el hogar. Una vez más, este plan incluye cámaras, sistemas de control de acceso, sistemas de tiempo y asistencia y protección física. 

Luego, hay seguridad para la prevención de pérdidas que afecta tanto a los empleados como a los clientes. Estos sistemas incluirán CCTV, análisis de comportamiento, supervisión de cajeros, cámaras de salida, sistemas de iluminación y movimiento, y vigilancia de artículos electrónicos junto con un equipo humano de profesionales de LP.

Los comercios minoristas pierden entre el 1 y el 2% de los ingresos anuales debido a la reducción (pérdidas de inventario o robo en efectivo) y el 60% incluye la participación de los empleados.

Luego, hay una seguridad de efectivo y recibos donde las cajas fuertes inteligentes, las bóvedas y los transportistas blindados desempeñan un rol. Y, por último, hay seguridad física para protegerse contra los falsos reclamos legales de los consumidores y empleados, más comúnmente conocidos como "lesiones por resbalones y caídas". Todas estas áreas de seguridad tienen componentes físicos y de sistemas. 

En lo que respecta a la ciberseguridad, también hay muchas facetas. De la misma manera que la seguridad física tiene una parte de TI, la ciberseguridad tiene componentes físicos y cibernéticos. Y a medida que los comercios minoristas se mueven para mejorar las operaciones y la experiencia del cliente a través de TI, la amplia gama de puntos de contacto digitales que se agregan puede crear una vertiginosa cantidad de puntos de contacto conectados a IP que deben ser seguros o causarán una intrusión de datos y muchas complicaciones financieras para los comercios minoristas. Esto se aplica específicamente a la proliferación y los tipos de puntos de contacto inalámbricos, desde sus propios sistemas internos, incluidos Wi-Fi interno, dispositivos de comunicaciones de frecuencia dedicados, Bluetooth y puntos de acceso Wi-Fi para clientes y proveedores. 

La única área de ciberseguridad que es más frecuente, pero, lamentablemente, toma demasiado del presupuesto de seguridad debido a las regulaciones es la seguridad de pagos. La investigación del IHL revela que un comercio minorista típico gasta el 14 % de su presupuesto de TI en cosas relacionadas con la seguridad. Y el porcentaje simplemente relacionado con la seguridad de la tarjeta de crédito o de PCI oscila entre el 37 y el 55 % del total de ese presupuesto de seguridad, según el segmento. Y dado que PCI toma tanto presupuesto y causa demoras, el 71 % de los ejecutivos minoristas afirma que las inquietudes sobre ciberseguridad impiden la innovación. 

La seguridad de los pagos sin duda abarca las tiendas, así como también la seguridad de los pagos en línea y móvil. Muchos comercios minoristas se han trasladado a una red de pago completa separada de su otra red. 

Además, la tokenización de las transacciones y el cifrado entre pares son procedimientos recomendados en un plan eficaz para proteger los datos de pago. 

Pero los pagos no son solo un problema en la tienda. También existe el lado de comercio electrónico de los pagos y, luego, la parte de la tienda/comercio electrónico combinados de compra en línea con retiro en tienda (BOPIS). A medida que los hackers se vuelven más sofisticados, el fraude de tarjetas de pago que solía estar en la fila de pago se ha movido en línea. Y específicamente, con BOPIS, investigaciones recientes han demostrado que las tasas de fraude han aumentado 250 % desde que se implementó EMV. 2

Los hackers están aprovechando el hecho de que no se necesita una autenticación de chip para BOPIS, ya que solo se requiere un recibo para retiro en la tienda. Para protegerse, los comercios minoristas inteligentes han implementado escáneres ID que verifican la ID antes del retiro. Pero la ciberseguridad no se detiene ante la necesidad de proteger solo la información de la tarjeta de crédito. 

También hay secretos comerciales, propiedad intelectual confidencial, experiencia operativa y procedimientos, así como otros datos de clientes y empleados que también deben protegerse. Y el aumento de puntos de contacto, así como la capacidad de los sistemas de interactuar con las personas, suponen la necesidad de contar con un plan global e integrado para la seguridad.

Tanto en lo físico como en la ciberseguridad, una visión de seguridad realmente integrada cuenta con un plan de protección antes, durante y después de un ataque potencial.

Antes de un ataque

La etapa anterior es donde se produce la mayor parte de la planificación. Esto incluye los procesos y procedimientos de desarrollo e implementación que garantizan la seguridad física y de los datos. En la seguridad física, esto puede variar desde las cámaras y las instalaciones de EAS hasta las prácticas de contratación, de detección de fraudes y antirrobo, los sistemas de alarmas y de control de acceso y el personal de seguridad y prevención de pérdidas físicas. 

En el frente de ciberseguridad, esto incluye elementos tales como la reputación y el filtrado web, el monitoreo de la vulnerabilidad de SaaS y software, el escaneo y las limitaciones de puertos, el bloqueo de los periféricos y las redes segregadas para el tráfico de red clave por nombrar algunos. Todos son componentes fundamentales de un plan de seguridad integrado. Como un juego de palabras con un antiguo dicho: "aquellos que no planifican, planean ser hackeados".

En general, los buenos planes abarcan los siguientes aspectos:

  1. Detienen las amenazas en el perímetro
  2. Protegen a los usuarios y clientes donde sea que trabajen
  3. Controlan quién ingresa a la red y qué dispositivos pueden conectarse
  4. Simplifican el proceso de administración y segmentación de la red

Las políticas, los informes y los registros de las excepciones a las políticas con monitoreo continuo ofrecen visibilidad de las anomalías de comportamiento dentro de la red o las instalaciones físicas para evitar que los ataques se propaguen. 
Y también cabe destacar aquí, la planificación de la ciberseguridad no tiene por qué tratarse de jugar en la defensa. También se trata de poner en marcha los sistemas para permitir los objetivos de crecimiento que la empresa desea lograr, entendiendo que nada hará más daño a su marca que una falla en proteger los datos de los clientes y la identidad personal.

Durante un ataque

A pesar de los planes mejor diseñados para la protección, se producirán ataques y algunos podrían tener éxito. Los comercios minoristas inteligentes tienen implementado un plan para detectar, frustrar y, luego, mitigar cualquier ataque. 

Algunos componentes clave de esta parte del plan son los siguientes:

  • Inteligencia artificial e inteligencia de detección de amenazas
  • Sistemas antimalware, sistemas de reputación de archivos
  • Prevención de pérdida de datos en la nube
  • Partners de confianza que ayudan a monitorear y comprobar las vulnerabilidades y monitorear las anomalías de tráfico.
  • Encuentre y contenga los problemas rápidamente.
  • Mitigación y procedimientos para detener la propagación de ataques.

Sin duda, lo investigarán y atacarán. Sus sistemas se están investigando en este momento. Y con el crecimiento de IoT, hay cada vez más lugares para que comience un ataque. Y ser compatible con PCI se parece poco a la seguridad real, incluso en lo que respecta a los datos de pago. La investigación del sector ha demostrado que más del 80 % de las empresas que tenían una vulneración importante de los datos de tarjetas de crédito contaban con certificación de compatibilidad con PCI en pocos meses antes del inicio de la vulneración.

Después de un ataque

Una vez que encuentre, detenga y elimine contenido malicioso, debe implementarse un plan adecuado para solucionar los problemas en el futuro, así como lo que se comparte y con quién, según el tipo de ataque. En el nivel superior, se implementa un plan de comunicación para informar a las partes necesarias sobre el impacto de los ataques.

Esto puede ser solo interno o, si implica datos de clientes o de pago, autoridades externas de aplicación de la ley y de crédito. Internamente, los procedimientos recomendados deben incluir el uso compartido con informes de administración y datos de extracción de registros y, luego, prepararse y mitigar los ataques futuros. Esto puede realizarse al implementar e incluir la detección de anomalías de SaaS, centrándose aún más en los procesos de inspección y sandboxing de archivos y la implementación de análisis de amenazas cognitivas para comprender el plan del ataque para que pueda protegerse en el futuro. 

La seguridad debe ser una estrategia integrada para producir los resultados comerciales correctos. Y si necesitamos subrayar aún más la importancia, un estudio reciente de Deloitte demostró que el 73 % de los clientes reconsideraría la compra en una empresa si no lograra proteger sus datos. La red es la base para integrar verdaderamente su ecosistema de comercio minorista con tecnologías digitales y solo aumenta su importancia con la expansión de IoT, la computación perimetral y las iniciativas de la nube en todo el proceso de comercio minorista. Aproveche la automatización y el aseguramiento para planificar y simplificar sus prácticas de seguridad. 

Cuente con los planes y los sistemas adecuados para la seguridad y el cumplimiento que proporcionen defensa y mitigación de amenazas en tiempo real. Es hora de permitir que la red impulse la innovación empresarial.

La distribución hacia adelante está prohibida sin consentimiento por escrito. Si desea distribuir, comuníquese con ihl@ihlservices.com o +1-615-591-2955

Hacer realidad un mejor comercio minorista.

Los clientes esperan lo mejor de cada experiencia de comercio minorista. Los comercios minoristas hoy en día tienen que distinguirse al otorgar experiencias agradables y sin inconvenientes en todos los puntos de contacto posibles. Desde las aplicaciones móviles de compras y los servicios basados en la ubicación hasta las experiencias en la tienda y la señalización digital, las soluciones de Cisco pueden ayudarlo a generar los momentos adecuados para el comercio minorista con la tecnología digital.

© 2019 Cisco y/o sus filiales. Todos los derechos reservados. Cisco y el logotipo de Cisco son marcas registradas o marcas comerciales de Cisco y/o de sus filiales en los Estados Unidos y otros países. Para ver una lista de las marcas comerciales de Cisco, visite la página de marcas comerciales en el sitio web de Cisco. Todas las marcas comerciales de terceros mencionadas en este documento pertenecen a sus respectivos propietarios. El uso de la palabra "Partner" no implica la existencia de una asociación entre Cisco y cualquier
otra compañía. (1901R)