Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Evolución de la seguridad de la información
P
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Fortalezca la seguridad de su sitio web de comercio electrónico

Aunque los fundamentos para asegurar un sitio de e-commerce no han cambiado, hay nuevas amenazas y riesgos de seguridad a tener en cuenta.

Estoy buscando algo de información sobre las bases de seguridad para sitios web de comercio electrónico. Leí un consejo de seguridad para sitios web de comercio electrónico de hace unos años, pero, ¿ha cambiado algo desde entonces? ¿Cuáles son los factores principales a tener en cuenta, con énfasis en las tecnologías emergentes?

Para resumir mis recomendaciones originales, los responsables de la seguridad de un sitio de  comercio electrónico necesitan:

  • Comenzar con una configuración de servidor web seguro. Para ello es necesario proteger el servidor web por su papel en la internet. La NSA produce guías de endurecimiento exhaustivas, Microsoft ofrece un Analizador de Bases de Seguridad gratuito y hay disponibles puntos de referencia y directrices de herramientas de puntuación gratis en el Centro para Seguridad en Internet.

  • Proteger los servidores web con defensas por capas. Implemente un firewall de aplicación web, un sistema de detección de intrusos, antimalware y antispyware.

  • Revisar el código de la aplicación web. Utilice herramientas de análisis de código estático y dinámico para la prueba de vulnerabilidades y fallas lógicas.

  • Instalar un certificado digital del servidor web. Todo el tráfico hacia y desde el servidor web debe viajar a través de SSL/TLS. Los certificados de validación extendida ofrecen el más alto nivel de garantía sobre un negocio.

  • Regularmente, hacer pruebas de penetración al sitio web y revisar las políticas de seguridad para que sigan siendo pertinentes y efectivas.

  • Mantener todo el software involucrado en el funcionamiento y mantenimiento del sitio parchado y actualizado.

Estas reglas básicas de seguridad de TI siguen siendo sólidas, pero desde mi último consejo sobre las bases de seguridad para sitios web de comercio electrónico, los atacantes y las tecnologías de seguridad que se utilizan para defenderse de ellos han aumentado en sofisticación. Los ataques de  denegación de servicio distribuido (DDoS) contra sitios de comercio electrónico se están convirtiendo en algo habitual; los administradores deben instalar un plan de mitigación de DDoS  con su proveedor de hosting. Los servicios de protección contra DDoS proporcionados por empresas como CloudFlare o Prolexic son otra opción, pero una solución tiene que estar instalada antes de que se lance un ataque.

Los sitios de comercio electrónico también deben buscar implementar un sistema de gestión de la información y eventos de seguridad (SIEM) que reúne datos de eventos, amenazas y riesgos en conjunto para mejorar los tiempos de respuesta a incidentes. Las tecnologías SIEM han avanzado considerablemente en los últimos años, y muchas ahora puede tomar suministros de inteligencia sobre amenazas de terceros para proporcionar advertencias avanzadas de ataques potenciales.

Ya que las aplicaciones web de hoy en día se construyen principalmente usando el código y los componentes de código abierto, los equipos de desarrollo deben utilizar un control de revisión y servicio de repositorio como GitHub para mejorar la gestión y el seguimiento permanente del código de terceros utilizado dentro del sitio.Otra tarea necesaria es asegurar no solo que el sitio cumple con los marcos legales y regulatorios que se mantienen en constante cambio, sino también que los controles de seguridad y los informes de auditoría cumplen con cualquier requisito de protección de datos y presentación de informes. Muchos SIEMs ahora pueden generar informes predefinidos de cumplimiento como PCI DSS, FISMA, GLBA, SOX y HIPAA.

Mantener un sitio web de comercio electrónico seguro es una actividad continua y es esencial  mantenerse al día con las últimas amenazas y las mejores prácticas para mitigarlos. Las revisiones periódicas de las políticas y prácticas son importantes para mantener los sitios web relevantes, tal como lo son los parches regulares y las pruebas de penetración para asegurar que no se introducen vulnerabilidades a medida que el sitio evoluciona.

Investigue más sobre Protección de datos empresarial

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

Close