Rafforzare la sicurezza per far tornare il retail di moda. Il punto di vista di CyberArk

redazione

Il ritorno della Milano Fashion Week è un segnale di grande speranza per le case di moda e per tutti i retailer che hanno lottato per rimanere a galla negli ultimi 18 mesi. L’edizione di quest’anno è un evento ibrido, diviso tra sfilate digitali e in presenza, queste ultime in particolare un gradito ritorno post-pandemia. Alcune atmosfere che avevamo perduto torneranno in un nuovo formato – tra cui feste, installazioni ed eventi dei brand – anche se alcuni elementi continueranno a mancare.

Così come l’evento in sé è cambiato, si è modificata anche la situazione per i retailer. Già prima della pandemia, le vendite si stavano lentamente spostando verso i canali online, per raggiungere picchi più elevati nel mese di novembre, in occasione di eventi come il Black Friday e il Cyber Monday. Nel 2020 il mercato digitale dell’abbigliamento ha registrato un incremento del 22% rispetto al 2019, passando da 3,3 a 3,9 miliardi di euro, con il fashion che si è rivelato il terzo comparto merceologico (13%) che ha contribuito maggiormente alla crescita degli acquisti eCommerce B2c di prodotto, preceduto da Food & Grocery (20%) e Informatica ed elettronica di consumo (19%).

In risposta a questo improvviso cambiamento, molti rivenditori hanno rinnovato le loro offerte online, con la possibilità di effettuare prove virtuali, raccomandazioni personalizzate in-app, esperienze basate su realtà aumentata (AR) e un servizio clienti di alta qualità, e l’ascesa di servizi di rateizzazione dei pagamenti come Klarna ha supportato ulteriormente la loro causa.

Per funzionare efficacemente, la maggior parte di queste esperienze e servizi fa leva sulla raccolta di dati personali e su sistemi complessi e interconnessi. Di conseguenza, in molti non si rendono conto di quanto l’infrastruttura IT debba essere rinnovata per supportarli, infondendo reputazione e fiducia del brand. Molti marchi lo stanno facendo bene, naturalmente, ma c’è una cosa che molti rivenditori dimenticano quando aggiornano il loro IT: la sicurezza. Quindi, come assicurarsi che la protezione non venga trascurata in fase di rinnovo della sfera digitale del retail?

Mettere in primo piano la protezione delle identità 

L’esperienza del retail nel mondo della moda si è evoluta per includere rapidamente anche la sfera digitale. Alcuni rivenditori stavano già studiando idee innovative per distinguersi dalla massa prima della pandemia, come l’ambito marchio americano di make-up Ulta, che aveva lanciato la funzione di prova virtuale GlamLab AR quattro anni fa, molto prima che fosse davvero necessario. All’epoca, era stato considerato poco più che una curiosità, ma il resto del mercato sta recuperando rapidamente: nel settembre 2020 Shopify ha pubblicato dati che suggeriscono come i prodotti con contenuti 3D o AR abbiano mostrato un tasso di conversione superiore del 94% rispetto a quelli sprovvisti di questi contenuti.

Queste tecnologie si basano su una maggiore personalizzazione, che comporta una superiore raccolta di dati personali e un aumento dei requisiti di conformità alla sicurezza. In precedenza, la priorità era la protezione degli “endpoint” interni, come casse, tablet e schermi interattivi, insieme all’infrastruttura di back-end che supporta le operazioni di vendita al dettaglio dei negozi. Oltre a dover gestire il nuovo personale che utilizza i propri dispositivi da casa, la diffusa proliferazione di device e dati utilizzati e generati per ogni negozio ha creato un panorama di minacce completamente nuovo all’interno dell’esperienza di shopping, offrendo agli hacker esperti “vie d’accesso” più numerose per infiltrarsi in rete. Anche il premio è più alto, con un numero esponenzialmente maggiore di dettagli di pagamento e dati dei clienti in palio.

Questa sfida è familiare ai retailer online, da sempre bersaglio per il loro ruolo di centro di pagamento, e che per questo devono essere da anni all’avanguardia nel proteggere i sistemi back-end, salvaguardare i dati dei clienti e garantire operazioni di vendita consistenti. Tuttavia, con l’introduzione di nuove tecnologie e il costante ampliamento del perimetro di sicurezza, ora questi stessi retailer devono investire nella protezione di ciò che attira maggiormente gli attaccanti: le credenziali privilegiate per accedere alla rete. 

La protezione delle reti non deve essere un compito arduo e può essere gestita per gradi. L’attenzione dovrebbe essere posta sull’implementazione del minimo privilegio come disciplina, il che significa che utenti e macchine possono avere accesso solo a ciò a cui devono poter accedere. In questo modo, se anche un hacker fosse in grado di compromettere un account, la sua capacità di muoversi lateralmente sarà limitata. Questo protegge i workload critici per il business, guadagnando tempo prezioso per rilevare e rispondere a un attacco.

Una volta effettuato questo importante primo passo, dovrebbe essere implementato un auditing ricorrente per ridurre la superficie di attacco. Un processo di audit approfondito può identificare permessi orfani ed eccessivi, e limitarli comunque al minimo privilegio richiesto per il corretto funzionamento di un servizio. 

Infine, prendendo esempio da aziende operative in altri settori, dalle banche alla produzione, sono molte le realtà che stanno assumendo team di hacker etici per testare sempre i sistemi critici. Per proteggersi dagli hacker, bisogna pensare continuamente come loro.

Queste tecniche devono essere una priorità se i retailer desiderano stare un passo in avanti e tenere al sicuro i dati critici dei clienti.

Rendere la sicurezza prêt-à-porter

Prima di implementare nuove misure di sicurezza dell’identità, tuttavia, è necessario un percorso di formazione. Il report Verizon 2020 Data Breach Investigations ha evidenziato che intrusione nel sistema e ingegneria sociale sono state le due forme prevalenti di attacco nel settore retail. Questo significa che non solo la sicurezza dell’identità dei rivenditori deve essere messa a punto, ma il loro personale deve essere formato per identificare gli attacchi. Il report sostiene anche che l’attuale modello di formazione sulla sicurezza informatica offerto ai dipendenti sia inefficace, e non simuli situazioni di vita reale, né i comportamenti che conducono alle violazioni.

La lotta ai cyberattacchi deve coinvolgere tutti i dipendenti, dal personale in negozio ai responsabili tecnologici dei grandi marchi online. La formazione di base in “cyber hygiene” è fondamentale per garantire che tutti i dipendenti siano preparati e dotati degli strumenti per affrontare gli attacchi prima che accadano e non lasciare che malintenzionati entrino in rete.

Questo è il motivo per cui offrire ai dipendenti la possibilità di comprendere il nuovo panorama delle minacce deve essere in primo piano, facendo anche un passo avanti per premiare chi individua le potenziali minacce. 

Fornire un’esperienza digitale innovativa e coinvolgente per i clienti è essenziale al fine di rilanciare il settore retail, non solo dopo la pandemia. In un momento in cui i consumatori si allontanano ancora di più dai negozi fisici, garantire una sicurezza efficace è un pilastro fondamentale per costruire un’esperienza degna di stima. I clienti ripongono completa fiducia nei retailer, che deriva dall’adozione di misure più forti per salvaguardare i dati. Riuscirà a prosperare dopo le sfide della pandemia chi vedrà la tecnologia come uno strumento per il “good business” e metterà una forte protezione informatica al centro dell’esperienza di acquisto.

Di Paolo Lossa, Country Sales Manager di CyberArk Italia