Si los datos fueran una mina de oro, el comercio minorista sería la industria más lucrativa. Los minoristas recopilan, procesan y almacenan volúmenes cada vez mayores de datos de clientes, principalmente información personal identificable (IPI) y datos de tarjetas de pago. Además, muchas empresas minoristas funcionan en entornos híbridos entre el comercio electrónico y las tiendas físicas, lo que obliga a los minoristas a gestionar retos como ecosistemas desarticulados, trabajo híbrido, experiencias en línea basadas en la nube y tecnologías IoT. Inevitablemente, el futuro del comercio minorista es digital, híbrido y complejo, lo que crea numerosos retos. riesgos de ciberseguridad.
A lo largo de los años, los supermercados y las grandes superficies han introducido pagos sin contacto y opciones de compra digital que no han hecho sino ampliar su superficie de ataque, dificultando la protección de los datos de los clientes. Además, el almacenamiento en la nube y las aplicaciones móviles dejan restos de datos en la red, lo que provoca filtraciones de datos y nuevos vectores de amenaza.
Por qué los minoristas necesitan una estrategia de seguridad centrada en los datos
Según Informe de IBM sobre el coste de las filtraciones de datos en 2023El coste medio de una filtración de datos en el sector minorista fue de $2,96 millones. El sector minorista es uno de los más afectados por la filtración de datos de tarjetas de pago, con 37% de todas las filtraciones relacionadas con datos de tarjetas de pago, según la Informe de investigación sobre la filtración de datos de Verizon. La industria minorista necesita evolucionar su estrategia de ciberseguridad a medida que continúa aprovechando un modelo híbrido para superar sus desafíos de datos únicos.
Además de protegerse contra los ciberataques, los minoristas deben cumplir cada vez más requisitos normativos y de protección de datos:
- Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS): Esta norma se aplica a todos los minoristas que procesan, almacenan o transmiten información de tarjetas de crédito y exige medidas de seguridad sólidas para proteger los datos de los titulares de tarjetas.
- Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA): Esto es relevante para los minoristas que manejan información sanitaria protegida (PHI), especialmente en las operaciones de farmacia, que requieren medidas para salvaguardar la PHI y garantizar el cumplimiento de la privacidad.
- Normativa de la Comisión Federal de Comercio (FTC): La FTC hace cumplir las leyes de protección del consumidor en Estados Unidos. Los minoristas deben cumplir la normativa sobre publicidad, prácticas de marketing y protección de datos de los consumidores, como la notificación de incidentes de ciberseguridad a la SEC.
- La Ley Gramm-Leach-Bliley (GLBA): Se aplica a los minoristas que recopilan, almacenan y utilizan registros financieros que contienen información personal identificable.
- Ley de Protección de la Privacidad Infantil en Internet (COPPA): Esta ley regula la recogida de información personal de menores de 13 años en Estados Unidos, exigiendo el consentimiento paterno y transparencia sobre las prácticas de datos.
- Normativa sobre protección de datos: Leyes de protección de datos como la de la UE Reglamento general de protección de datos (RGPD) y el Ley de Privacidad del Consumidor de California (CCPA) exigen el cumplimiento de múltiples requisitos de gestión de datos.
Retos para la seguridad de los datos en el sector minorista
El sector minorista es un paisaje único que difiere significativamente de la mayoría de las empresas. Los minoristas deben tener en cuenta varios factores a la hora de desarrollar un marco de ciberseguridad para protegerse mejor contra las violaciones de datos y los ciberdelincuentes. Esta industria debe hacer frente a estos diversos retos:
Visibilidad limitada
Los datos son la base de los entornos de TI, ya que conectan usuarios, aplicaciones y dispositivos. Sin embargo, debido a su amplio, complejo y ampliamente distribuido entorno informático, los minoristas no siempre disponen de las herramientas necesarias para obtener visibilidad de todos sus activos de datos. Se trata de un paso fundamental para prevenir los ciberataques y garantizar el cumplimiento de la normativa, ya que no se puede proteger lo que no se ve. Hay varios puntos ciegos que aseguran la superficie de ataque, especialmente cuando se trata de datos oscuros y en la sombra.
Amenazas omnicanal
Los minoristas han acelerado la digitalización, principalmente a través de tecnologías operativas como tiendas web, almacenes, máquinas clasificadoras, cajas registradoras, sistemas de pago digitales, dispositivos IoT, etc. Además, los minoristas deben asegurar entornos de TI grandes y complejos, incluidas redes, servicios en la nube, sistemas de caja, centros de distribución y comunicación con proveedores en varias tiendas. Los minoristas aprovechan las estrategias omnicanal para ofrecer un ecosistema unificado a consumidores y proveedores. Sin embargo, esto ofrece varias oportunidades a los ciberdelincuentes para robar información y explotar vulnerabilidades. Los minoristas deben controlar regularmente sus datos para detectar actividades inusuales o accesos no autorizados.
Robo de datos de consumidores
La estrategia de digitalización del sector minorista hace que millones de clientes utilicen cada vez más las tarjetas en las tiendas físicas y en línea para adquirir bienes y servicios. Aunque esto facilita las cosas tanto a los minoristas como a los consumidores, también abre la puerta a los ciberdelincuentes, ya que los minoristas conservan los datos de los clientes (información personal, direcciones, transacciones y registros financieros). Se ha producido un aumento de los ataques de ransomware y phishing, ya que los ciberdelincuentes han puesto en su punto de mira al sector minorista. Para proteger los datos confidenciales de los clientes, el cumplimiento de las prácticas de ciberseguridad permite a los minoristas evitar incurrir en pérdidas financieras.
Ataques de terceros
El riesgo de un criiberataque de terceros en el comercio minorista crece continuamente debido a los sistemas interconectados entre proveedores externos, terceros vendedores y socios. Estas relaciones comerciales pueden introducir riesgos de ciberseguridad. Los ataques a la cadena de suministro ofrecen a los ciberdelincuentes la oportunidad de atacar a varias organizaciones a través de un único proveedor. La protección de los sistemas interconectados es necesaria para evitar interrupciones en la cadena de suministro, ciberataques y accesos no autorizados a información sensible. Es importante aplicar medidas de seguridad sólidas centradas en los datos, como la implantación de un modelo de confianza cero.
Pérdida de ingresos y daños a la reputación
Existen patrones muy observables en la forma en que los consumidores reaccionan tras una violación de seguridad de una organización. Según un estudio de IDC, "80% de los consumidores de las naciones desarrolladas abandonarán una empresa porque su información personal identificable se ha visto afectada en una brecha de seguridad". La confianza genera confianza, pero cuando no existe una ciberseguridad adecuada, los minoristas corren el riesgo de sufrir pérdidas económicas y daños a su reputación.
Cómo BigID ayudó a sus clientes minoristas a automatizar la privacidad, la seguridad y la gestión de datos críticos
El gigante minorista moderniza el descubrimiento y la clasificación de datos
El gigante minorista elige BigID para ayudarle a conseguir CCPA/CPRA/ PIPL cumplimiento DSAR y gestionar mejor los datos confidenciales de más de 100 millones de clientes y empleados en Estados Unidos y China. Esta colaboración agilizó los esfuerzos de cumplimiento de la privacidad, redujo los costes, cumplió eficazmente los derechos de acceso a los datos a escala y mejoró la gestión del ciclo de vida de los datos.
Una marca mundial de venta al por menor acelera el cumplimiento y reduce el riesgo de información privilegiada
Una marca global de venta al por menor y fabricación utiliza BigID para encontrar, descubrir y clasificar todos los datos sensibles, críticos y personales en entornos complejos. Esto respalda las actividades de fusiones y adquisiciones seguras, impulsa las auditorías de cumplimiento global y proporciona un enfoque de "privacidad primero" para acelerar las iniciativas de gobernanza y seguridad de datos.
Cómo ayuda BigID a los minoristas a proteger los datos y cumplir la normativa
Los minoristas necesitan un enfoque de seguridad centrado en los datos y que tenga en cuenta los riesgos para salvaguardar sus datos más importantes. BigID combina la experiencia en el sector con tecnología avanzada, seguridad de datos y análisis para transformar las operaciones normativas e impulsar el crecimiento sin dejar de cumplir las normativas. BigID permite a los minoristas obtener una visibilidad y una perspectiva completas de los datos empresariales críticos, gestionar el riesgo, abordar las vulnerabilidades de los datos, aplicar políticas de seguridad, proteger los datos y cumplir los requisitos normativos.
Con el enfoque de seguridad por diseño de BigID, los minoristas pueden:
- Descubra sus datos: Descubra y catalogue sus datos confidenciales, ya sean estructurados, semiestructurados o no estructurados, tanto en entornos locales como en la nube.
- Conozca sus datos: Clasifique, categorice, etiquete y etiquete automáticamente los datos confidenciales con una precisión, granularidad y escala inigualables.
- Mejorar la seguridad de los datos: Priorizar y abordar de forma proactiva los riesgos de los datos y automatizar la gestión de la postura de seguridad de los datos (DSPM).
- Corrija los datos a su manera: Gestione la corrección de datos y delegue en las partes interesadas, abra tickets o realice llamadas a la API en toda su pila tecnológica.
- Activar Confianza Cero: Reduzca el acceso con exceso de privilegios y los datos sobreexpuestos, y agilice la gestión de los derechos de acceso para permitir la confianza cero.
- Mitigar el riesgo de información privilegiada: Supervise, detecte y responda de forma proactiva a la exposición interna no autorizada, el uso y la actividad sospechosa en torno a datos confidenciales.
- Reduzca su superficie de ataque: Reduzca la superficie de ataque eliminando de forma proactiva los datos confidenciales innecesarios y no críticos para el negocio.
- Asegure su migración a la nube: Optimice la migración a la nube con información y conformidad basadas en datos, reduzca automáticamente los datos redundantes y mueva los datos que más importan.
- Agilice la respuesta a las violaciones de datos: Detecte e investigue con rapidez y precisión el impacto de las infracciones, facilite una respuesta rápida a los incidentes y notifique a las autoridades pertinentes y a los estudiantes y el personal afectados.
- Acelerar la seguridad de la IA: BigID construye eficientemente políticas para gobernar la IA basadas en privacidad, sensibilidad, regulación y acceso para controlar los datos compartidos con LLMs y aplicaciones de IA. Utilice la IA con guardarraíles responsables para gestionar y proteger la información privada y los datos de los alumnos.
- Lograr la conformidad: Automatice el cumplimiento con capacidades y marcos integrales de privacidad y seguridad para proteger los datos personales, confidenciales y regulados.
Programar una reunión 1:1 con uno de nuestros expertos en seguridad de datos.
Autor
