You are currently viewing CIBERSEGURANÇA no Comércio Eletrónico: Guia de Boas Práticas

CIBERSEGURANÇA no Comércio Eletrónico: Guia de Boas Práticas

A cibersegurança no comércio eletrónico é fundamental para as empresas e para os seus clientes, mas também para toda a cadeia de abastecimento. Negócios seguros melhoram a reputação, conquistam e mantêm a confiança dos consumidores, geram vendas e reduzem os prejuízos com ciberataques e perda de dados.

A necessidade de adquirir e implementar boas práticas em termos de cibersegurança é tanto maior quanto mais um negócio depender das Tecnologias da Informação e Comunicação (TIC). Só assim é possível evitar incidentes como falhas de equipamentos, interrupção dos serviços ou acesso não autorizado a dados da empresa, fornecedores e clientes.

Cibersegurança nas empresas: Dados e Alertas

De acordo com o “Relatório Riscos e Conflitos 2023” do Centro Nacional de Cibersegurança (CNCS), no ano de 2022 20,2% das grandes empresas (com 250 ou mais empregados) reconheceram ter sofrido consequências de um incidente de segurança nas TIC. Embora nas pequenas empresas a percentagem seja menor (10,4%), estes números não deixam de constituir um alerta para a importância da cibersegurança para as empresas.

Um alerta que se torna ainda mais relevante nas empresas que atuam na área do e-commerce internacional. Neste modelo existe toda uma cadeia suscetível de ser afetada por uma falha de cibersegurança num dos seus elos. Este “efeito de cascata” pode alastrar a fornecedores, clientes e parceiros logísticos. Ou até ter origem num destes elementos.

Dados do Fórum Económico Social citados no pela ENISA (European Union Agency for Cybersecurity ) no documento “Good Practices for Supply Chain Cybersecurity” mostram que, em cerca de 66 % dos ataques à cadeia de abastecimento, os fornecedores não sabiam como tinham sido comprometidos. No entanto, apenas 9% dos clientes afetados por estes ataques desconheciam como tinham sido atacados.

O documento revela também que, em dois terços dos incidentes, os atacantes usaram os fornecedores para atingir os seus clientes.

Isto mostra, por um lado, que a literacia digital parece ser maior entre os consumidores do que nas organizações. E, por outro, que as empresas são um alvo para os cibercriminosos, mesmo que o seu objetivo final seja chegar ao último elo da cadeia de abastecimento.

Quais os riscos da falta de cibersegurança?

Nas empresas que operam no e-commerce internacional, a política de cibersegurança deve ter um âmbito mais abrangente, de forma a prevenir riscos que podem afetar não só os negócios, mas todos os intervenientes.

Entre os riscos mais comuns estão:

* Roubo de dados dos clientes;

* Roubo de fundos e de informações estratégicas ou financeiras;

* Acesso não autorizado aos sistemas;

* Utilização indevida de ferramentas de rastreamento de envios;

* Vulnerabilidades no relacionamento com fornecedores;

* Utilização indevida do nome da empresa para defraudar os clientes ou fornecedores.

As consequências destes ataques e ações vão desde perdas financeiras (por roubo de dinheiro ou perda de negócios) a danos na reputação da empresa. Os custos relacionados com a reparação e normalização da operação, eventuais coimas por falhas na proteção de dados ou despesas jurídicas também podem ser elevados.

4 pontos essenciais para a cibersegurança no E-commerce

Os riscos relacionados com a cibersegurança são drasticamente reduzidos com a implementação de uma estratégia, que podemos resumir em quatro pontos.

O primeiro é a prevenção ativa, isto é, tomar desde logo medidas que minimizem o surgimento desses riscos. O que passa pela sensibilização dos colaboradores ou identificação permanente de vulnerabilidades.

Como a prevenção não é suficiente, precisamos de garantir, através da proteção de sistemas e infraestruturas, que a empresa está protegida contra eventuais ataques e, caso estes ocorram, medidas para os conter.

A deteção de ameaças (e a respetiva resposta) é outro aspeto fundamental. Significa que as ameaças à cibersegurança são identificadas em tempo real e que se inicia imediatamente a resposta mais adequada.

A criação de uma estratégia de recuperação é outro ponto que não pode ser descurado. Trata-se, no fundo, de ter uma forma de recuperar dados e serviços caso a empresa seja atacada e, como acontece por vezes, pedido um resgate para que recupere o controlo dos seus dados e sistemas.

Uma empresa que tome medidas adequadas para salvaguardar a segurança online conquistará a confiança dos consumidores e uma boa reputação no mercado.

10 boas práticas de cibersegurança no comércio eletrónico

As empresas que operam num contexto internacional – vendendo, por vezes, para mercados onde aspetos relacionados com a cibersegurança não são prioritários– devem reforçar os seus cuidados nesta matéria.

A cibersegurança no comércio eletrónico resulta da adoção de algumas medidas que, embora possam não ser implementadas em simultâneo, são complementares. Ou seja, quanto mais esforços forem feitos para minimizar os riscos, menores serão as hipóteses de que a sua empresa, fornecedores, parceiros e clientes sejam vítimas de ciberataques.

Uma estratégia de cibersegurança garante igualmente que, caso algo aconteça, o problema será detetado, resolvido e os danos serão reduzidos.

  1. Analisar as vulnerabilidades

Tal como protege as instalações físicas da sua empresa reforçando a segurança nos pontos mais vulneráveis, como portas ou janelas, também deve identificar e proteger os pontos mais frágeis em termos de cibersegurança. São as chamadas vulnerabilidades, isto é, fraquezas que os cibercriminosos vão explorar para “entrar” na sua empresa, acedendo de forma não autorizada a dados e sistemas.

Identificar e corrigir estas vulnerabilidades é o ponto de partida para criar uma estratégia de cibersegurança para o seu negócio de e-commerce.

Entre as vulnerabilidades mais comuns estão, por exemplo, a falta de literacia digital dos funcionários, a utilização de programas gratuitos e open source, sistemas desatualizados, gestão de identidades e palavras-chave, exposição de dados confidenciais, etc.

Esta análise de vulnerabilidades deve ser feita de forma regular, nomeadamente pela realização de testes. Pode começar por usar a WEBCHECK.PT, uma ferramenta do CNCS e da Associação DNS.PT para verificar a segurança do seu domínio e correio eletrónico. A plataforma ajuda a identificar algumas medidas técnicas para aumentar a segurança.

  1. Sensibilizar os recursos humanos para a importância da cibersegurança

A cibersegurança é muitas vezes posta em causa por fatores comportamentais. Isto é, basta uma só pessoa clicar de forma inocente num link fraudulento num e-mail para que se desencadeie um ataque à empresa onde trabalha.

Estes erros são evitados com a sensibilização e formação de todos os colaboradores e pessoas com acesso aos sistemas da empresa para as questões relacionadas com a cibersegurança.

Estes são alguns comportamentos que os colaboradores devem evitar:

* Escolher palavras-passe fracas (como o nome, 123, data de aniversário, entre outros);

* Navegar em sites inseguros;

* Clicar em links suspeitos enviados por e-mail, mensagens e redes sociais;

* Descarregar ficheiros de origem desconhecida;

* Não fazer a atualização dos softwares;

* Utilizar de dispositivos USB de origem desconhecida.

  1. Gerir os riscos

A gestão de riscos é o processo que identifica, avalia e controla ameaças aos recursos, capital e ganhos de uma organização. A identificação das vulnerabilidades serve para que se crie um sistema de gestão dos riscos associados à cibersegurança, de forma a prevenir, detetar e lidar com situações que possam pôr em causa os sistemas informáticos e os dados da empresa e dos clientes.

Os riscos para a cibersegurança não passam só por vírus ou ataques de hackers. Há também que identificar outros, como desastres naturais ou erros humanos e perceber quais os que têm maior impacto na organização.

Enquanto alguns podem ser apenas um inconveniente (por exemplo, uma falha que deixe o site inoperacional durante uma hora), outros podem paralisar todo o negócio. Assim, os investimentos e ações de gestão de risco devem concentrar-se primeiro nos mais problemáticos.

A  gestão de riscos diz, assim, respeito às políticas, procedimentos e tecnologias para reduzir ameaças e vulnerabilidades, bem como as suas consequências. Eis alguns exemplos de medidas que as empresas de e-commerce devem implementar nas suas lojas online:

Certificado SSL (Secure Socket Layer): ajuda a proteger os dados trocados entre os sites e os seus utilizadores, dando mais segurança às transações online e mantendo a privacidade e a segurança das informações dos clientes;

Firewalls: para detectar e bloquear acessos maliciosos que tenham como objetivo obter dados confidenciais;

Autenticação de dois fatores: além da password, os utilizadores têm de inserir um código, geralmente enviado para o telefone ou e-mail; serve para confirmar a identidade e/ou validar transações.

  1. Entregar a cibersegurança a equipas especializadas

A sua empresa tem equipas dedicadas a setores estratégicos, como a produção, gestão de qualidade ou vendas. É importante que o mesmo seja feito em relação à segurança dos sistemas e dados.

Profissionais especializados em Tecnologias de Informação (TI) são capazes de identificar vulnerabilidades, gerir riscos e lidar de forma rápida e eficaz com as ameaças que possam surgir. Por isso, é importante que estas questões sejam entregues a quem pode, efetivamente, reduzir os riscos e minimizar as consequências de um eventual ataque informático.

Embora todos os colaboradores devam adotar comportamentos que garantam a cibersegurança, é importante ter um responsável ou uma equipa especializada que atue apenas nesta área. Em alternativa, é possível contratar empresas que prestam estes serviços e que prestam, em qualquer altura, o suporte técnico adequado.

  1. Garantir a segurança da cadeia de abastecimento

O comércio internacional envolve vários intervenientes em diversos países. Cada elo desta cadeia – que começa nos fornecedores e termina nos consumidores, podendo envolver transitários, transportadores e parceiros locais – é, pelo menos teoricamente, um ponto que pode estar vulnerável em termos de cibersegurança.

Assim, é fundamental garantir, o mais possível, que todo o processo de exportação decorre sem que a segurança e a confidencialidade de dados sejam comprometidos. A sua empresa pode ser “à prova de hackers”, mas como assegurar que os outros intervenientes também o são?

Além da implementação de estratégias e tecnologias que aumentem a segurança de sistemas e dados, da identificação e correção de vulnerabilidades e da gestão de riscos, as empresas devem certificar-se, na medida do possível, que os outros elos da cadeia têm um nível de resiliência semelhante.

Na União Europeia (UE), setores críticos, algumas indústrias, transportes, serviços postais, prestadores de serviços (como lojas online) têm de implementar, até 2024, a Diretiva SRI2.

Esta é a primeira legislação da UE em matéria de cibersegurança e inclui uma lista de 10 elementos-chave que todas as empresas têm de abordar ou implementar nesta matéria. Abrange, por exemplo, o tratamento de incidentes, a segurança da cadeia de abastecimento, o tratamento e divulgação de vulnerabilidades ou a utilização de encriptação. Embora só vigore na UE, é um bom ponto de partida para avaliar o nível de cibersegurança dos seus parceiros e fornecedores europeus.

  1. Acompanhar o desenvolvimento da tecnologia

A tecnologia avança rapidamente e os cibercriminosos estão permanentemente à procura de novas formas de ultrapassar os obstáculos criados pela cibersegurança.

As atualizações de segurança ajudam a manter os seus sistemas e equipamentos mais protegidos contra as novas ameaças que surgem continuamente e são, por isso, essenciais.

A cibersegurança da sua empresa é um constante work in progress. As medidas que implementou no mês passado podem já não ser suficientes para travar novos vírus, fraudes ou esquemas de burlas online. Assim, é necessário que os responsáveis pela cibersegurança se mantenham atentos às ameaças que vão surgindo e à forma de as deter.

Além da identificação de tentativas de phishing ou de acessos indevidos, há que ter atenção a situações que podem ser sinais de atividade maliciosa. Por exemplo, um aumento repentino e inexplicável de tráfego no site ou mudanças na sua performance.

  1. Proteger os dados

Proteger os dados de todos os envolvidos nas transações relacionadas com o comércio internacional é, mais do que uma boa prática, uma obrigação de qualquer organização.

Esta proteção começa na própria informação sensível da empresa, abrangendo também os dados pessoais e financeiros dos clientes e aplica-se à informação em trânsito – a que é transmitida, por exemplo durante uma encomenda – e à que fica armazenada em suporte físico ou virtual (como a cloud).

A encriptação e a criação de backups são duas formas de proteção de dados. A primeira pode ser usada tanto na transmissão como no armazenamento. As cópias de segurança são importantes em situações de ransomware (sequestro de dados) ou de perda de informação devido, por exemplo, a catástrofes naturais.

A utilização da autenticação de dois fatores e a disponibilização de meios de pagamento seguros são outras formas de garantir a confidencialidade e a segurança de dados.

As empresas que vendam produtos ou serviços dentro da UE devem ainda ter em conta o Regulamento Geral de Proteção de Dados (RGPD) e as suas implicações.

  1. Preparar as respostas adequadas

Por muito esforço e investimento que faça em cibersegurança, há sempre uma hipótese, ainda que mais reduzida, que algo possa suceder. Uma das boas práticas de cibersegurança é preparar a sua empresa para a eventualidade de um incidente.

A elaboração de um plano de resposta a incidentes, que antecipe a forma como a empresa vai reagir perante um ataque ou um comprometimento de dados é um dos pilares de qualquer estratégia de cibersegurança. Este plano deve descrever os procedimentos para conter, mitigar e ultrapassar qualquer questão nesta área.

Do plano de resposta a incidentes devem fazer parte um plano de continuidade de negócio (para definir o que fazer se, por exemplo, a loja online ficar inoperacional) e um de recuperação de dados.

  1. Partilhar informação com as autoridades competentes

A partilha de informação é um fator determinante no combate ao cibercrime, porque permite a tomada de medidas por parte das entidades competentes, de forma a travar e punir os responsáveis.

Permite também que sejam criadas respostas técnicas para evitar a disseminação de vírus e malware (e daí a importância de fazer as atualizações que o sistema pede).

Ao partilhar com as autoridades os ciberataques (ou tentativas) de que a sua empresa foi alvo, contribui igualmente para que sejam emitidos avisos que evitam que outras entidades venham a ser vítimas da mesma situação.

É possível fazer denúncias online no site do Ministério Público.

  1. Contratar um seguro

Os seguros cibernéticos ajudam a cobrir perdas financeiras causadas por incidentes de cibersegurança. Entre as coberturas poderão estar, também, pagamento de assistência jurídica, gestão de comunicação institucional e reembolsos ao cliente.

Como é um produto relativamente recente, é importante analisar bem as opções disponíveis, comparando coberturas e garantindo que a oferta se adequa às necessidades da sua empresa.

Vai começar a exportar via e-commerce? Onde encontrar apoio?

A internacionalização não está isenta de riscos e a cibersegurança é apenas um dos aspetos a merecer a atenção das empresas exportadoras.

O enquadramento legal do comércio internacional, as especificidades de cada mercado e a escolha da melhor estratégia para chegar a novos mercados são pontos fulcrais, mas nem sempre é possível ter conhecimento ou experiência suficientes para lidar com estas questões.

registo na MY AICEP dá acesso a um conjunto de informações e ferramentas que facilitam todo o processo.

Fonte: portugalexporta.pt,