Importancia de aplicar la seguridad web en una organización
Con el surgimiento de las aplicaciones y servicios en internet, la seguridad web ya no se trata de un tema físico sino que engloba un concepto global y muy amplio. En latinoamérica, aún muchas organizaciones que mantienen una estrategia muy táctica en cuanto a seguridad digital lo cual representa un riesgo ya que las amenazas en la red, no toman en cuenta regiones o locaciones físicas. Es por ello que se hace necesario migrar hacia soluciones de seguridad global las cuales permitirán a las empresas, tomar estrategias desde un punto de vista más amplio.
Sin embargo, muchas empresas no toman estos riesgos con la seriedad que merece y cometen errores a la hora de implementar sistemas de seguridad al interior de las mismas.
Errores comunes a la hora de implementar la seguridad web dentro de una empresa
Los errores más comunes que suelen cometer las empresas al momento de implementar políticas de seguridad digital en lo interno son:
- Falta de adiestramiento en ciberseguridad a todo el personal – Cuando una organización implementa políticas de seguridad digital, tanto el departamento de TI como los empleados deben estar involucrados para garantizar el mantenimiento de las mismas y por ende, mitigar riesgos informáticos. De hecho, el principal error humano que cometen las empresas es no adiestrar a todo su personal en cuanto a ciberseguridad. Por ende, muchos de los ataques cibernéticos contra las organizaciones suelen tener su origen en imprudencias cometidas por empleados.
- Implementación de filtrado web de manera inadecuada – En varias ocasiones, las empresas por desconocimiento configuran de manera errónea, la blacklist de esta herramienta de control de contenido. Esto permite que empleados accedan a sitios potencialmente peligrosos como son: páginas webs de apuestas y pornografía. Acceso público a las herramientas de gestión de interfaz – Uno de los fallos más comunes es el permitir el acceso sin restricciones a las herramientas de gestión de interfaces. Esto permite a usuarios no autorizados acceder a redes sensibles para una empresa tales como: bases de datos, panel de control de aplicaciones webs, e inclusive, acceder a servidores y otros sistemas operativos conectados a la red empresarial.
- Contraseñas inseguras – En muchos casos, las empresas no suelen obligar al usuario a crear contraseñas fuertes que incluyan elementos alfanuméricos con caracteres especiales ni cambiar las mismas de manera frecuente. De hecho, los ataques remotos suelen realizarse usando datos de usuarios con contraseñas muy débiles como por ejm: blink182, 123456, o 12345678.
- Vulnerabilidades en aplicaciones webs – Uno de los errores más típicos en las organizaciones es no mantener actualizados los sistemas y aplicaciones usadas. Esto obviamente representa un enorme riesgo para las empresas pues los atacantes remotos pueden comprometer información sumamente sensible, al aprovechar algún agujero de seguridad. De acuerdo con pruebas realizadas por la empresa de seguridad Kaspersky, el 73% de los casos en donde lograron comprometer host y perímetros de red, fue por medio del uso de aplicaciones vulnerables.
Amenazas más comunes a la seguridad digital en una empresa
Por lo general, los ataques realizados para comprometer la seguridad digital en una web suelen ser:
- Cross-Site Scripting (XSS) – Se trata de una clase de ataque que permite al atacante aplicar grandes inyecciones de scripts a través de un sitio web, hasta llegar al explorador de un usuario. Como el código inyectado va del servidor al explorador, el mismo es tomado como de confianza, y a partir de ese entonces, el explorador puede enviarle al atacante cookies de acceso a un sitio web. Dependiendo de que haya visitado el usuario, un atacante puede acceder incluso a datos de tarjetas de créditos.
- Inyección SQL – Este tipo de ataque permite a los usuarios maliciosos, ejecutar código arbitrario SQL sobre una base de datos. Este código permitirá al atacante, acceder a datos, así como también, a modificarlos y/o eliminarlos sin importar los permisos de usuarios que tengan dichos datos.
- Denegación de permisos (DoS) – Se trata de uno de los ataques mas comunes a sitios webs y consiste básicamente en inundar una página web con peticiones espúreas que impiden el acceso a la misma.
Algunas estrategias de seguridad web para blindar a las empresas de posibles ataques
La seguridad web debe ser tomado como un tema preventivo y no reactivo. Es por ello que las organizaciones deben implementar medidas para prevenir riesgos cibernéticos. Entre las medidas más recomendables podemos citar:
- Establecer una política de uso de contraseñas seguras.
- Aplicar la estrategia de seguridad conocida como “capas de cebolla”. Esta consiste básicamente en aplicar varias soluciones de seguridad a modo de barreras, así si una amenaza logra pasar una barrera, las otras la pararán. Estas capas deberían estar conformadas por diferentes antivirus: antivirus de navegación, antivirus de host, antivirus de correo y antivirus de puesto.
- Asociarse con proveedores de seguridad certificados y con experiencia. A la larga, la organización requerirá de asistencia contínua para adecuar y supervisar eficientemente las tecnologías de seguridad en una empresa.
- En el caso de dispositivos móviles, se debe tener muy en claro la usabilidad del mismo. Esto significa básicamente tener bien en claro que tipo de teléfono se va a usar, a quienes va dirigido y que tipo de aplicaciones debe usar dicho dispositivo.
Sin duda alguna, para garantizar el proceso de seguridad web a lo interno de una empresa, se debe tomar muy en cuenta y por sobre todas las cosas, el adiestramiento humano en estos temas. Es importante recalcar que un empleado que no esté formado en el tema de la ciberseguridad, representa un potencial riesgo de seguridad para dicha organización.