Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Tu web es tu tarjeta de presentación. ¡Protégela!

Fecha de publicación 05/04/2017
Autor
INCIBE (INCIBE)
Tu web es tu tarjeta de presentación. ¡Protégela!

¿Cómo muestra tu empresa sus productos en la web? ¿Con un gestor de contenidos? ¿Es seguro para tu información?

Disponemos multitud de opciones a la hora de mostrar las características, productos y servicios de nuestras empresas, incluso si disponemos de una tienda online. Desde páginas web diseñadas a medida hasta completos gestores de contenidos o Content Management System (CMS).

Cada una de las opciones tiene sus ventajas y desventajas… los diseños web pueden ser más complicados de mantener y pueden ser menos flexibles que los CMS.

En este post, vamos a centrarnos en los gestores de contenidos y en la seguridad que nos brindan. Veremos tanto la de la de propia herramienta y el servidor donde se instala como la de la información que se almacena en ellos, especialmente la información confidencial referente a datos personales y financieros de clientes y proveedores.

Si bien estas plataformas ofrecen un gran número de ventajas, el gran número de empresas que utiliza este sistema hace que sean el blanco de constantes ataques por parte de ciberdelincuentes con el fin de:

  • acceder y robar información personal y financiera;
  • acceder y comprometer el sistema para usarlo como plataforma para realizar ataques a terceros (campañas de spam, DDoS, etc.);
  • acceder y comprometer el sistema para utilizarlo como plataforma para la distribución de malware o contenidos ilegales.

Muchos de estos ataques se realizan explotando vulnerabilidades de seguridad conocidas de estas plataformas en sistemas que permanecen con un pobre nivel de mantenimiento o sin actualizar. Esto hace que un atacante pueda «diseñar» un ataque contra una de estas plataformas, aprovechando una de estas vulnerabilidades, y aplicarla a todas las web que estén implementadas en dicha plataforma, ¡y no son pocas! Por eso, debamos extremar las precauciones de seguridad de estas plataformas y tomar todas las medidas de seguridad que estén a nuestro alcance para asegurar la información que manejan.

Tu web es tu tarjeta de presentación. ¡Protégela!

La mayoría de los gestores de contenido comerciales como WordPress, Joomla, Drupal, Prestashop, o Magento, cuentan con herramientas y complementos para hacer más seguros tu web o blog corporativos.

Tanto si disponemos de un CMS propio como si lo tenemos alojado en uno comercial, debemos seguir las siguientes recomendaciones de seguridad:

  • Elegir el software y la plataforma tecnológica más adecuada a las necesidades de la empresa, estableciendo unos parámetros de seguridad adecuados. Para ello, es aconsejable asesorarse por expertos en ciberseguridad, ya sea personal propio o un servicio subcontratado.
  • Si optamos por subcontratar el alojamiento de nuestro CMS, debemos estudiar la opción que más se ajuste a nuestras necesidades y cuya seguridad este demostrada.  Firmaremos SLA o ANS (Acuerdos de Nivel de Servicio) en los que quede definidos los umbrales de seguridad que necesitemos fijar.
  • Asegurar las comunicaciones, especialmente si realizamos ventas online, para que las transacciones no sean interceptadas y manipuladas. Para ello estableceremos un protocolo seguro (https://) e instalaremos un certificado digital válido emitido por una Autoridad Certificadora. Todo esto, lo podemos plasmar contratando un sello de confianza.
  • Mantener actualizado tanto el CMS como el sistema donde se aloja este, a su última versión y con todos los parches de seguridad. Si tenemos externalizado el servicio, debemos asegurarnos también de ello.
  • Realizar copias de seguridad periódicas de nuestro CMS y de su contenido para poder recuperar rápidamente todos los contenidos en caso de desastre, como la avería del servidor o un ciberataque.
  • Instalar y utilizar únicamente los plugins o módulos que sean estrictamente necesarios. Debemos instalar únicamente módulos oficiales auditados que garanticen la seguridad del CMS. Si son módulos de terceros, debemos asegurarnos que conocemos su procedencia y que cuenta un servicio activo de soporte y actualización que pueda solucionar los posibles errores de seguridad.
  • Realizar una correcta administración del portal, implantando políticas de seguridad que aporten seguridad a esta labor:
    • restringiendo el acceso a esta tarea al personal mínimo necesario;
    • accediendo desde entornos cifrados seguros y con autenticación de doble factor;
    • obligando a usuarios y administradores a utilizar contraseñas fuertes y a cambiarlas periódicamente.
  • Planificar auditorías periódicas de seguridad.
  • Suscribirse a las listas de distribución y alertas de seguridad del CMS para estar informado sobre la aparición de cualquier problema.

Estas recomendaciones difícilmente las podremos aplicar, si no garantizamos antes la seguridad del puesto de trabajo desde donde se realizan todas las tareas de administración y mantenimiento del CMS. Para ello, debemos contar con la complicidad del personal que lleva a cabo estas tareas, realizando un esfuerzo de formación y concienciación de los mismos.

No podemos permitirnos el lujo de descuidar la seguridad de nuestros CMS, ya que puede tener consecuencias para la «salud» o, incluso, la supervivencia de nuestra empresa. Cualquier incidente de seguridad puede suponer una fuga económica y de información que pueda llevar implícitas sanciones legales poniendo en peligro la reputación y continuidad de nuestro negocio. ¡Protege tu empresa!