Protege tu escaparate en Internet
Nos encontramos en la última semana del Mes Europeo de la Ciberseguridad. En esta ocasión vamos a poner en valor algo esencial para muchas empresas, su página web. Tener presencia en Internet se ha convertido en un aspecto fundamental para la mayoría de empresas, independientemente de su tamaño o dedicación. Contar con una página web corporativa servirá de escaparate para los diferentes productos o servicios que se ofertan tanto a clientes habituales, como a los esporádicos o potenciales, trascendentales para aumentar el volumen de negocio.
Según fuentes externas, en España, el 79,2% de la población usa regularmente Internet. Esto permite a los usuarios realizar comparativas de productos o servicios antes de declinarse en la adquisición de uno en concreto. Una de las prácticas más habituales, es visitar los sitios web de las empresas para realizar esta comparativa. Según un análisis externo de la implantación de las TIC en empresas españolas, en 2017 el 77,7% de las compañías de 10 o más empleados y el 29,8% de las de menos de 10, disponen de conexión a Internet y su propia página web corporativa. Por este motivo, será muy importante contar con un sitio web en perfecto estado ya que, en caso contrario, el cliente podría pasarse a la competencia.
Pero mantener un sitio web funcional, libre de malware y seguro para tus clientes requiere de unas buenas prácticas.
Servidor web
Las dos opciones más extendidas son: alojar la web en un servidor propio ubicado en las instalaciones de la empresa, o contratar un servidor externo o hosting. Ambas alternativas son perfectamente funcionales y cada organización deberá determinar la que más se ajuste a sus necesidades. En función de la preferencia seleccionada las medidas de seguridad a implantar serán distintas.
Servidor propio
Si decidimos alojar la web en un servidor propio, las medidas de seguridad con las que deberá contar tanto la página web como el servidor, serán responsabilidad nuestra. Implantarlas evitará en gran medida que tanto la web como el servidor que la aloja y los sistemas e información de la empresa se puedan ver comprometidos por un incidente de seguridad. Para ello comprobaremos que la página web cumple los siguientes requisitos:
- Se encuentra alojada en una DMZ.
- Disponer de medidas de seguridad perimetrales como cortafuegos, IDS e IPS «sistema de detección/prevención de intrusos» y WAF «cortafuegos de aplicaciones web».
- Contar con medidas antimalware.
- Deshabilitar los servicios innecesarios.
- Asegurarse que los sistemas operativos y servicios estén actualizados.
- Contar con dispositivos y canales seguros para administrar el servidor.
Servidor externo o hosting
Cuando una web se aloja en un servidor externo, las medidas de seguridad dependerán de la organización propietaria de dicho servicio, pero a nivel de contrato deberán existir varias cláusulas que garanticen un servicio de calidad, como las siguientes:
- Cláusulas de confidencialidad.
- Definir responsabilidades sobre copias de seguridad, actualizaciones, análisis de malware, etc.
- Definir los ANS «Acuerdos de Nivel de Servicio» como disponibilidad, tiempos de respuesta y resolución, etc.
Aplicación web
Una página web puede haber sido desarrollada a medida o que haga uso de un gestor de contenidos o CMS. En función de la alternativa escogida, las medidas de seguridad serán distintas.
Desarrollo a medida
En muchas situaciones, únicamente un desarrollo a medida de la página web de una empresa podrá cubrir sus necesidades. En este caso, el desarrollo, además de otorgar la funcionalidad requerida, deberá seguir una metodología segura. Una de las más conocidas es la de la fundación OWASP que indica cómo llevar a cabo un desarrollo seguro a través de una serie de recomendaciones. Contar desde el principio con un desarrollo basado en una metodología segura, provocará que nuestra página web cuente con menos vulnerabilidades, algo que nos ahorrará tiempo y dinero.
Gestor de contenidos o CMS
En el caso de optar por un gestor de contenidos o CMS, se deberán tener en cuenta otras casuísticas como son la instalación o la configuración. Para ello es recomendable seguir los siguientes pasos:
- Usar un gestor de contenidos que cuente con un mantenimiento continuado, ya que tanto desarrolladores como la comunidad trabajan en pro de mantener la herramienta en un estado óptimo y seguro.
- Mantener el CMS actualizado a la última versión. Antes de llevar a cabo un proceso de actualización es conveniente realizar esta tarea en un entorno controlado, «entorno de preproducción», y comprobar que la página funciona con normalidad antes de actualizar la página web en producción.
- Algunos CMS no eliminan el directorio de instalación. Esto puede ser el origen de un incidente de seguridad por lo que se comprobará que no existe y en caso de existir se eliminará.
- Deshabilitar los módulos de terceros que no se usen o cuyo manteniendo se haya cancelado.
Medidas de seguridad complementarias
Existen otra serie de medidas de seguridad que es recomendable tener en cuenta para que la página web sea lo más segura posible:
- Utilizar un certificado que identifique la web como segura de forma inequívoca. Esto permitirá utilizar canales seguros para transmitir la información. Además podrá evitar que los clientes de la organización sean víctimas de un phishing ya que este certificado identificará la web de manera inequívoca ante cualquier tipo de suplantación.
- Si la web gestiona cualquier tipo de dato personal deberá cumplir con el Reglamento General de Protección de datos o RGPD. Desde INCIBE hemos creado una herramienta denominada «RGPD para pymes» que sirve como guía para su adopción por parte de las empresas. Además, si la web es utilizada con fines lucrativos o utiliza contenidos de terceros, deberá respetar la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico «LSSI» o la Ley de Propiedad Intelectual «LPI» respectivamente.
- Deberá establecerse una política de copias de seguridad que permita restaurar la web en caso de cualquier incidente de seguridad.
- También se debe implantar una política de control de acceso. De esta manera podremos controlar el número de intentos permitidos de acceso al panel de administración o desde qué equipos o redes se permite su ingreso. También deberán comprobarse aspectos como los usuarios existentes o los permisos que tienen sobre el portal web y el uso de credenciales robustas.
- Auditar la web por un tercero siempre es recomendable ya que aporta otro punto de vista y en caso de existir una vulnerabilidad se descubrirá y se podrán llevar a cabo las acciones necesarias para solucionarla o mitigarla.
- Por último, es recomendable implantar una política de gestión de logs que monitorice en todo momento la web y puedan ser utilizados en caso de incidente de seguridad para investigarlo.
Una web corporativa o de empresa es una herramienta de gran importancia que proporciona presencia en Internet, siendo el escaparate de productos y servicios que se ofertan desde la organización. Por lo tanto, ésta se ha de administrar correctamente ya que de lo contrario los ciberdelincuentes pueden usarla para sus propios beneficios, repercutiendo negativamente en clientes, proveedores y en la propia imagen de la organización.