Este é o terceiro de uma série de blogposts que estão tratando de temas relacionados à Black Friday e à segurança dos dados de empresas do varejo e seus clientes. Acesse o primeiro aqui, e o segundo aqui.
No último dia 1 de outubro realizamos mais um webinar da série Tempest Live Sessions. Essa edição foi dedicada a debater aspectos da segurança da Black Friday.
O evento, , que contou com as participaçoes de Marcelo Miola (CISO do Grupo Boticário) e Rodrigo Godoi (Head of Cyber Security na Lojas Riachuelo) – além dos tempesters Aldo Albuquerque e Gustavo Monteiro – foi uma oportunidade para apresentar os desafios de segurança da informação que irão permear esta edição do evento, mas também para construir alguns consensos sobre quais as melhores abordagens e estratégias para mitigar estes desafios.
Clique aqui para ver o webinar Black Friday 2020: impactos da COVID-19 e o desafio de manter transações e dados seguros em um novo (e maior) contexto
Além da importância das políticas de segurança bem definidas, das ações e ferramentas de monitoramento que visam proteger a identidade e as transações e da cada vez mais necessária inteligência de ameaças (itens dos quais falaremos mais adiante neste artigo), um destes consensos é o fato de que entre os principais aliados na proteção dos dados dos consumidores estão, em primeiro lugar, os próprios consumidores.
Afinal, quanto maior for a conscientização para a importância de suas informações pessoais, e quanto maior a capacidade de identificar possíveis tentativas de golpe e fraude, maiores também são as chances de evitar que esses incidentes aconteçam.
Também foi consenso que esse processo de “educação para a segurança” está entre as responsabilidades das empresas, especialmente do varejo e especialmente neste momento incomum, de aceleração nos processos de transformação digital e de aumento no consumo online.
O consumidor no centro das ações de prevenção de fraude
Para Marcelo Miola, as grandes empresas “têm a obrigação de conscientizar seus consumidores”. Isso passa por processos como a padronização dos canais de comunicação, de forma a reduzir as dúvidas sobre qual canal buscar para falar sobre uma compra ou se o perfil de uma rede social que está oferecendo um desconto é realmente oficial.
Trata-se, é claro, de um esforço que envolve não só as áreas de segurança e tecnologia, mas diversos outros setores.
Segundo Rodrigo Godoi, quando a Riachuelo decidiu usar o WhatsApp como canal de comunicação com seus clientes, equipes tão distintas como as de produto, de prevenção à fraude, e de segurança tiveram que trabalhar juntas para encontrar a melhor forma de adotar o canal de forma segura, “quando a gente tem o cliente no centro das ações, isso é possível”, pontua.
Nesse contexto, o Chief Product Officer do AllowMe, Gustavo Monteiro completa que, para além das questões de awareness, é preciso também ser capaz de monitorar “comportamentos estranhos e mudanças de padrão nos hábitos do consumidor e no seu dispositivo que podem ser indicativos de fraude”.
Atualmente, plataformas de proteção de identidade e prevenção à fraude como o AllowMe utilizam uma série de variáveis como comportamento de geolocalização do dispositivo envolvido em uma transação e dados de navegação, entre outros, para apontar a possibilidade de uma transação ser ou não fraudulenta.
Saiba mais sobre como o AllowMe pode proteger transações no ambiente online
Importante destacar que, como vimos anteriormente, vivemos uma realidade na qual muitos novos consumidores estão migrando seu consumo para plataformas de e-commerce; mesmo nestes casos, ferramentas como o AllowMe podem ser de grande valia para evitar fraudes.
“Mesmo em situações onde a pessoa não é conhecida pelo e-commerce, não tem um histórico de consumo, o dispositivo usado na transação pode entregar indícios de fraude. Por exemplo, o uso de um software de localização falsa na abertura de uma conta”, explica Gustavo.
O papel de Threat Intelligence nas ações de prevenção à fraude
Mas, como dissemos no segundo post dessa série: em segurança não existe bala de prata, uma única solução capaz de fazer frente a todas as ameaças.
Proteger dados da empresa e dos clientes e assegurar que cada transação seja legítima envolve também estar atento às ações de fraudadores antes mesmo que qualquer movimento suspeito ocorra nas plataformas de e-commerce.
E essa está entre as principais funções da inteligência de ameaças.
Segundo o VP de Customer Delivery da Tempest, Aldo Albuquerque, a atividade de Threat Intelligence é, atualmente, “um dos pilares da segurança da informação” porque é capaz de “antecipar ameaças ao estar presente nos canais de fraude, entendendo como o criminoso opera”.
“Ano após ano vemos o uso de anúncios patrocinados no Google, Facebook, perfis falsos oferecendo promoções com vantagens irreais, tudo com o objetivo de convencer o cliente a entregar dados pessoais, dados de login ou mesmo de pagamento”, pontua Aldo.
Nesse contexto, contar com uma equipe de Threat Intelligence auxilia as empresas a monitorarem quando suas marcas estão sendo usadas de forma fraudulenta, e até mesmo agindo para derrubar perfis falsos e sites de phishing, é de grande valia.
Mesmo assim, como diz Aldo, “Threat Intelligence não é um plugin, algo que funciona imediatamente (…); depende de preparação e ajustes constantes”.
A importância de incrementar segurança, sem perder o foco na experiência do consumidor
Para finalizar esta série de posts, cabe aqui reflexão: para além da questão da segurança, em si, um outro desafio para qualquer empresa que esteja migrando suas operações e o atendimento de seus clientes para plataformas digitais é proteger as transações sem criar fricção na experiência do consumidor.
Na verdade, em muitas empresas, a segurança da informação ainda é vista como um processo que trava as operações e os negócios (recentemente divulgamos a segunda edição da Pesquisa de Cibersegurança da Tempest, que apontou que para 28% dos entrevistados, a segurança é um processo burocrático e que isso é uma das principais barreiras para investimentos no tema).
No entanto, é dever dos líderes de segurança mostrar “o outro lado”, apontando aos executivos como a postura de adotar boas práticas e, colocando o cliente como o centro das ações de segurança, pode na verdade melhorar o relacionamento.
Para Rodrigo Godoi: “se eu tenho condições de perceber que uma transação é mais possivelmente verídica do que fraudulenta, posso oferecer benefícios para o cliente, agilizando processos, por exemplo, melhorando sua experiência”.
Por isso, não basta simplesmente aumentar as regras de validação dos usuários e transações (o que aumentará o nível de segurança, mas também ocasionará perdas no funil de vendas).
É preciso encontrar o equilíbrio entre o aumento da segurança sem perder de vista a sua adequação ao “contexto digital”, para que a área de Segurança reduza riscos, chargeback e demais perdas operacionais, sem aumentar a fricção na jornada digital do cliente.
