Esta edição do NRF Retail’s Big Show contou com a presença de três representantes de uma das profissões mais importantes – e pouco compreendidas – no varejo. Eles explicaram o básico do que fazem, como os varejistas podem (e devem) trabalhar com seus próprios concorrentes para fazê-lo melhor e a necessidade urgente de mais talento nessa área em particular.
A discussão foi liderada por Rich Agostino, vice-presidente sênior e diretor de segurança da informação da Target; mas contou também com a presença de Dave Estlick, diretor de segurança da informação da Chipotle, e Adam Mishler, vice-presidente e diretor global de segurança da informação da Best Buy.
Agostino começou trazendo à tona notórias violações de dados, que “chamaram muita atenção e ajudaram a esclarecer o que estávamos enfrentando”. O que não é, explicou ele, o que as pessoas pensam: a imagem popular de um hacker é um jovem solitário em um porão em algum lugar, comendo cereal velho e espiando febrilmente o computador, procurando problemas para se envolver. “Os hackers não usam moletons”, disse Agostino. “Esse não é o inimigo.”
Hackers de verdade são organizações criminosas e, como todo crime organizado, existem porque há dinheiro a ser ganho. Um número de cartão de crédito, endereço e número CVV na parte de trás de um cartão fornece acesso ao que está na conta. A taxa atual na dark web é de 10 centavos de dólar, o que significa que, se houver uma linha de crédito de US$ 5 mil, os hackers podem vendê-la por US$ 500. Multiplique isso por dezenas de milhões de contas, e é um negócio sério.
Agostino deixou claro que os hackers levam a sério o que estão fazendo. “Eles são uma organização”, disse ele, “uma dúzia de pessoas, talvez 50 ou 60. Eles têm profundos conhecimentos técnicos, para que possam criar muitas de suas próprias ferramentas e tenham acesso a um vasto mercado na dark web, onde eles podem comprar praticamente qualquer coisa que não possam construir. Eles também são persistentes. Eles não tropeçaram na sua empresa e viram uma oportunidade. Eles estão procurando ativamente uma entrada.”
E eles colaboram entre si. Essas organizações geralmente se unem para tentar entrar no sistema, às vezes atacando de ângulos diferentes, às vezes trabalhando em dois e três no mesmo ponto fraco potencial.
O que a indústria deve fazer? Colaborar entre si, por um lado. “Existem organizações, mas muitas são informais”, disse Mishler. “Conversamos com nossos colegas sobre o que estamos fazendo, o que estamos vendo, quais são as ameaças, o que funciona e o que não funciona.”
Outra coisa que a indústria deve fazer, disseram os CISOs, é focar no recrutamento de talentos. É um novo emprego – há 20 anos, ele não existia – e atualmente existem centenas de milhares de empregos abertos em segurança de informações de varejo.
Para preencher esses empregos e manter as pessoas que você recrutou neles, disse Estlick, você precisa primeiro deixar claro que esse é um trabalho interessante; automatize o máximo possível as tarefas pesadas. Você precisa de pessoas para aprender e ensinar, para que possam crescer e ajudar os outros a crescer. E, é claro, eles precisam ser compensados decentemente. A abordagem tripartida aparentemente funciona; em seis anos, a última organização de Estlick teve uma taxa de atrito de 2%.
Com informações da NRF
* Imagem divulgação NRF