Havia um tempo em que se preocupar com a segurança da loja física por meio da escolha de uma boa localização, câmeras de monitoramento e alarme era suficiente.
Pelo menos da virada do milênio para cá, empresas que negligenciam os cuidados com a segurança cibernética estão se expondo tanto ou mais do que o fariam caso deixassem para trás um dos itens do checklist tradicional. Isso porque diversos estudos têm colocado o Brasil como o segundo maior alvo dos ataques de criminosos digitais de todo o planeta. De acordo com levantamento da Fortinet, consultoria especializada no assunto, somente em 2022 o número de tentativas foi de inacreditáveis 103 bilhões.
O cenário, que alerta gestores dos mais diversos setores da economia nacional, é ainda mais alarmante para os varejistas. Afinal, eles têm sido o principal alvo dos hackers, concentrando 35% das tentativas de crime. Na opinião do coordenador acadêmico do MBA em Cibersegurança da FGV, Álvaro Massad, tamanho volume de ataques se deve majoritariamente à falta de educação digital do brasileiro em relação ao tema, falta essa que, no âmbito corporativo, se acentua nas médias e pequenas empresas do país. “Há anos eu trabalho no setor e percebo que ainda precisamos evoluir muito neste quesito. Vemos constantemente, por exemplo, que as pessoas ainda caem naqueles golpes antigos de WhatsApp”, afirma o especialista que, além do chapéu acadêmico, também atua como consultor na área como diretor da IT by insight. Em entrevista exclusiva ao Novo Varejo, Massad foi além da análise macro do cenário e mergulhou em assuntos práticos como os crimes mais comuns e as principais formas pelas quais as empresas varejistas podem se proteger dessa ameaça que não tem apenas se tornado cada vez mais constante, mas também progressivamente mais complexa.
Novo Varejo – Para quem ainda não está familiarizado com o tema da cibersegurança, como você a definiria em seus aspectos gerais?
Álvaro Massad – Antes de tudo, é importante dizer que este não é um assunto que começou agora. Temos relatos e até protocolos de segurança que datam cerca de 30 anos. Os bancos, por exemplo, já lidam com isso há décadas. Acontece, porém, que do momento em que a internet começou a se popularizar – por volta do ano de 1995 – para cá, os crimes digitais também cresceram em volume e, mais do que isso, passaram a ficar cada vez mais sofisticados. Da mesma forma que existe, por exemplo, o crime organizado para assaltar bancos e cometer outros delitos no ambiente físico, existe também o crime organizado voltado ao ambiente digital. Em contraponto a este movimento, a cibersegurança também teve de se tornar um assunto mais presente e complexo.
Novo Varejo – Você pode dar um ou mais exemplos de como os crimes cibernéticos se modernizaram ao longo dos anos?
Álvaro Massad – Os exemplos são muitos, mas tem um bastante ilustrativo. Antigamente, quando um usuário clicava em um link malicioso, a máquina dele fazia o download de um arquivo ‘executável’ (.exe) que só ‘seria disparado’ caso o próprio usuário executasse este arquivo, pensando que era algo a ser instalado e etc. Hoje em dia, logo ao clicar em um link malicioso o dano já estará feito. O que, claro, tem exigido muito mais atenção dos usuários e processos por parte das empresas.
Novo Varejo – Relatórios mostram que o Brasil é o segundo país mais vulnerável aos ataques cibernéticos. O varejo figura entre os cinco setores mais atacados pelos hackers juntamente com a indústria e os segmentos de saúde e tecnologia. A que você atribui esse cenário? Álvaro Massad – Certamente se deve à questão da educação digital. Há anos eu trabalho no setor e percebo que ainda precisamos evoluir muito neste quesito. Vemos constantemente, por exemplo, que as pessoas ainda caem naqueles golpes antigos de WhatsApp. A baixa educação digital é bastante explorada pelos criminosos digitais. Não por acaso, o principal alvo dos ataques são as médias empresas, porque elas carecem dessa maturidade digital.
Novo Varejo – Em termos práticos, como essa falta de maturidade influencia na maior vulnerabilidade das empresas?
Álvaro Massad – Eu costumo dizer que temos três pilares principais quando falamos de cibersegurança nas empresas. São eles: ferramentas tecnológicas, processos e pessoas. As empresas menos maduras digitalmente tendem a deixar brechas em um ou mais desses quesitos. Alguns exemplos são a constância com que documentos como senhas ou planilhas diversas são deixadas nos hardwares ao invés de serem colocadas em espaços seguros na nuvem e o fato dos colaboradores não serem treinados para se precaver contra armadilhas.
Novo Varejo – Quais são as chaves para tornar essas empresas mais seguras? Sobretudo considerando que, além dos danos à própria empresa, essa exposição pode prejudicar uma infinidade de clientes que fornecem seus dados acreditando estarem protegidos pela LGPD. Álvaro Massad – A solução passa pelos três pilares que comentei. E se formos falar de maneira prática pelo entendimento de que hoje temos diversas possibilidades de contratação de ‘tecnologia como serviço’. Ou seja, por modelos de contratação mais acessíveis de consultorias e empresas do tipo. Essas consultorias ajudam os negócios a aplicarem todos os controles já propostos e mapeados pela ISO, por exemplo. E, além disso, criam uma política de segurança e auxiliam as empresas a implementarem. Tudo isso envolve questões como controle de acesso, segurança da senha, armazenamento de documentos, entre muitos outros pontos. Quando presto consultoria, por exemplo, recomendo fortemente que as organizações realizem testes com seus funcionários. Enviando e-mails que simulam os ataques cibernéticos para reforçar as orientações aos colaboradores que caíram na armadilha testada.
Novo Varejo- Quais são os dois crimes cibernéticos mais comuns contra as empresas do varejo?
Álvaro Massad – Eu começaria pela atividade do sequestro, que é quando o invasor consegue invadir os dados da empresa e chantagear os gestores em troca de recompensas financeiras por meio de dinheiro e até bitcoin. Outro crime bastante comum é o do boleto falso no qual o criminoso envia um boleto se dizendo um fornecedor ou algo do tipo e o funcionário da empresa, sem checar o domínio do e-mail a partir do qual aquele boleto foi enviado e os próprios dados do boleto, vai lá e faz o pagamento.
Novo Varejo – Para além da prevenção e combate dos crimes virtuais, existe alguma boa prática no sentido da redução de danos que as empresas podem seguir? Afinal, como no mundo físico, imagino que, mesmo muito bem protegidos e precavidos, pode acontecer de sermos vítimas de criminosos.
Álvaro Massad – Sem dúvida nenhuma. Eu digo que existem três tipos de empresas: as que já foram vítimas desses crimes, as que serão vítimas e as que estão sendo e ainda não sabem. Sabendo disso, é fundamental ter um plano de continuidade do negócio. Porque, vamos supor que alguém invada a sua rede e você perca o acesso a ela. Como você vai continuar operando? Para isso é indispensável ter muito cuidado para ter backups de todas as informações centrais da empresa. É como um corpo humano que, em um momento de emergência, precisa de uma injeção de adrenalina…
Novo Varejo – Essa nossa conversa toda pode estar assustando empresas que ainda não se expuseram ao ambiente digital para vender, por exemplo, suas peças em um e-commerce próprio. Que recado você dá para esses gestores?
Álvaro Massad – Comece. Mas comece do jeito certo. Lembre-se que você invariavelmente vai ser alvo de ataques e precisa estar preparado para isso. É preciso cuidar da educação digital do negócio. Ter precauções com as senhas, com os backups. Não dá mais para pensar apenas em criar um site e começar a vender. A empresa terá clientes, fornecedores, colaboradores e os dados de todo esse pessoal. Ela precisa, portanto, cuidar desses dados para estar de acordo com as regulamentações como a LGPD… Isso é o mínimo e a empresa que não está preparada ou não está disposta a cuidar disso é melhor que espere um pouco para entrar no digital.
