Cómo proteger la web de mi empresa

Son muchas las ciberamenazas a las que debe hacer frente cualquier empresa. Por ello, saber cómo actúan los ciberdelincuentes será clave para evitar situaciones que puedan poner en riesgo la seguridad de la organización. Para proteger la web corporativa reduciendo el riesgo de que los ciberdelincuentes puedan vulnerar su seguridad y comprometer la privacidad y seguridad de la empresa, se debe contar con una política de seguridad adecuada. Esta política debe contemplar varios puntos, que el INCIBE (Instituto Nacional de Ciberseguridad) ha publicado en una guía muy completa de Ciberamenazas contra entornos empresariales. Algunos de los puntos que recoge son los siguientes:

 

¿Cómo evitar los ataques contra la página web corporativa?

-Certificado SSL: Un certificado SSL o también conocido como certificado web sirve para proteger las comunicaciones que se establecen entre la página web corporativa y el dispositivo del usuario, evitando que los ciberdelincuentes puedan robar la información en tránsito, como por ejemplo, nombres de usuario y contraseñas. Los certificados SSL también sirven para identificar la web de forma inequívoca generando así confianza entre los clientes.

-Actualizaciones de seguridad: La gran mayoría de páginas web están diseñadas usando gestores de contenido o CMS por sus siglas en inglés (Content Management System). Dichos CMS publican regularmente actualizaciones de seguridad que corrigen las vulnerabilidades descubiertas, además de dotar de nuevas características al gestor. Siempre se debe contar con la última versión disponible del CMS, además también se debe tener actualizado el resto de componentes que conforman el gestor, como son los plugins y temas utilizados.

-Contraseñas robustas: La contraseña junto con el nombre de usuario conforma en la mayoría de los casos la única puerta de entrada al área de administración o backend. Es importante que las contraseñas de acceso sean lo más robustas posibles, para ello deben contar con mayúsculas, minúsculas, números y símbolos, y con una longitud mínima de 8 caracteres, siempre teniendo en cuenta que cuantos más caracteres mejor. Para que los usuarios no hagan uso de credenciales de acceso

-Copias de seguridad: Las copias de seguridad son fundamentales en cualquier entorno corporativo y la página web de la empresa no es una excepción. Se deben realizar copias periódicas y almacenarlas en un entorno seguro, además se debe comprobar que es posible su restauración.

Cómo evitar un ataque a mi página webQuién visita nuestra web

-Sistemas captcha: Estos sistemas impiden que los bot o programas automatizados puedan interactuar con determinadas partes de la web, como el área de comentarios o la página de inicio de sesión.

-Gestión de registros (logging): Un sistema de gestión de registros o logs guarda los eventos más importantes que se producen en la página web. Así, en caso de incidente de seguridad, se podrá investigar lo sucedido para mitigar el incidente y tomar las medidas necesarias para que no vuelva a suceder.

-Entornos de producción y prueba: Cuando se aplica una actualización de seguridad o cualquier otro cambio relevante en la web, es recomendable realizarlo previamente en un entorno controlado. Así, en caso de desastre, la página web de la empresa no se verá afectada. Por ello es importante disponer de dos entornos bien diferenciados: un entorno de pruebas o preproducción y la página web funcional y pública o producción.

-Monitorización de tráfico: Monitorizar el tráfico servirá para identificar posibles indicios de ciberataque. Existen determinadas herramientas, como los sistemas de detección de intrusos o IDS o los WAF (Web Application Firewall, cuya instalación reducirá y evitará una gran variedad de ataques.

-Sistemas de respaldo: Los sistemas de respaldo permiten seguir ofreciendo el servicio web a los clientes y trabajadores en caso de incidente de seguridad o fallo del sistema. El sistema de respaldo estará ubicado en un servidor independiente que será activado cuando el servidor principal no pueda ofrecer el servicio.

Normativas y pagos seguros

-Pagos online seguros: En caso de que la página web permita a los clientes comprar online, se deben implementar métodos seguros, como los TPV virtuales cuyas comunicaciones viajen cifradas o contratar una entidad intermediadora reconocida, como PayPal o Google.

-Cumplimiento legal y normativo: Para evitar sanciones por incumplimiento normativo, la página web corporativa debe cumplir con la legalidad vigente. Para ello debe tratar los datos personales de acuerdo a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales o LOPDGDD [REF – 58], la Ley de Servicios de la Sociedad de la Información o LSSI [REF – 59] y la Ley de Propiedad Intelectual o LPI [REF – 60]. Además deberá cumplir cualquier otro tipo de normativa vigente que pueda afectar a la actividad de la empresa.

Puedes consultar la guía completa de Ciberamenazas contra entornos empresariales aquí

Si necesitas más información sobre cómo implementar estos cambios de seguirdad y mejoras en tu web, consúltanos, pincha aquí.