Por qué los terceros se están interesando en la seguridad del sitio web de su cliente
Publicado: 2022-05-16La seguridad del sitio web es un asunto serio. Eso no es nuevo para la mayoría de los diseñadores web. Es algo que tenemos que tener en cuenta en la forma en que construimos, la empresa de hosting que usamos y el software en el que confiamos.
Y si bien hay muchas mejores prácticas a seguir, asegurar un sitio web es un gran desafío. Evitar los ataques automatizados contra los sistemas de administración de contenido (CMS), capacitar a los clientes y actualizar continuamente el software pasa factura. Podemos disminuir los riesgos, pero no podemos mitigarlos por completo.
Durante años, los procesos de seguridad eran principalmente entre un diseñador, un anfitrión y un cliente. Pero cada vez más, otros terceros están tomando un interés activo. Y los diseñadores web están atrapados en el medio.
Si esto no te ha impactado todavía, puede ser solo cuestión de tiempo. Por lo tanto, los autónomos y las agencias deben tomar nota de esta tendencia.
Echemos un vistazo a lo que está sucediendo y cómo se pueden preparar los diseñadores web.
¿Quién está involucrado?
Por supuesto, el interés de terceros en la seguridad web no es completamente nuevo. Los sitios de comercio electrónico han tenido que lidiar durante mucho tiempo con el cumplimiento de PCI. Y las regulaciones gubernamentales se han dirigido a áreas como la privacidad del usuario, que también podría considerarse un problema de seguridad.
Sin embargo, parece haber un mayor aporte de otras fuentes, particularmente de la industria de seguros. Están cada vez más interesados en la seguridad web en lo que se refiere a sus clientes.
Es muy probable que las organizaciones que requieren un seguro, como empresas y organizaciones sin fines de lucro, también tengan un sitio web. Así como toman en cuenta el bienestar de una ubicación física, las compañías de seguros están comenzando a mirar los sitios web de la misma manera.
Por ejemplo, pensemos en una típica tienda minorista tradicional. Antes de proporcionar un seguro a un minorista, una aseguradora podría considerar:
- La integridad estructural del edificio;
- Los tipos de mercancías que se venden;
- Cualquier medida de seguridad antirrobo que haya implementado el minorista;
- El número de empleados;
- Ingresos anuales;
Ahora estamos viendo preocupaciones similares que se extienden a los sitios web.
¿Qué aspectos de la seguridad del sitio web están analizando?
Asegurar un sitio web requiere un esfuerzo constante y abarca varias áreas. Algunos factores, como el alojamiento web y los certificados SSL, son bastante universales. Pero otros pueden depender de cómo se construyó el sitio web.
Eso significa que un sitio HTML estático tendrá diferentes necesidades de seguridad que uno creado con WordPress. Y luego está la integración de API de terceros, recopilación de datos y transacciones financieras. Cada uno presenta un desafío único.
Sin embargo, no hay garantía de que una aseguradora adopte una visión realista de estos matices. Es posible que empleen una estrategia de todo lo anterior, incluso si los elementos específicos no se aplican al sitio web de un cliente.
El veterano de la industria (y colega mío) Wayne Kessler opina: "Mi mayor preocupación es la creación de trabajo y costos innecesarios debido a que el contratista (que es lo que es una compañía de seguros o un consultor de seguridad) especifica 'estándares' que están sobredimensionados para el riesgo . El trabajo de una aseguradora cibernética es vender seguros que, preferiblemente, no tendrán ningún reclamo".
Continúa: “Por lo tanto, pueden querer sitios web bloqueados lo más estrictamente posible sin la debida consideración de las ramificaciones de la funcionalidad o el costo. No siempre es posible limitar el acceso de inicio de sesión a un pequeño rango de IP. Aún se necesita SFTP para los sitios. Es posible que un cliente necesite poder enviar y recibir archivos a su diseñador. Flujo de trabajo, administración del sitio, funcionalidad del usuario: estos no pueden ignorarse cuando se habla de seguridad sin la posibilidad de reducir en gran medida el valor del sitio web”.
Consejos para diseñadores web
Como suele ser el caso, los diseñadores web son enlaces entre nuestros clientes y un tercero. En este caso, las aseguradoras entregarán a los clientes una larga lista de consideraciones de seguridad del sitio web. A partir de ahí, depende de nosotros darles sentido, implementar lo que sea factible y comunicar de manera efectiva.
Hay algunos obstáculos potenciales. La mayor es que es posible que no tengas control sobre todas las situaciones. Por ejemplo, algunas medidas de seguridad pueden requerir la cooperación de un servidor web o un desarrollador de complementos. Si cumplen o no depende totalmente de ellos.
El costo potencial es otra consideración. La inversión requerida para implementar ciertos elementos puede ir más allá de lo que su cliente está dispuesto o puede pagar.
Kessler dice que los diseñadores web deben mantenerse informados durante el proceso y señala que “los estándares de seguridad parecen expandirse rápidamente con el crecimiento de estas industrias, pero eso no significa que estos estándares deban aplicarse a cualquier sitio web. Si no realiza transacciones financieras en su sitio web, o si no mantiene los datos de usuario/cliente en su sitio web, hay recomendaciones para estas que no deberían aplicarse. Cuidado con 'sobredimensionar' las necesidades de protección de seguridad”.
También es importante reconocer que muchas manos juegan un papel en la seguridad del sitio web. Según Kessler, “Cada historia que leemos sobre el robo de identidad proviene de una brecha en la protección de datos. Los diseñadores web no quieren ser una brecha identificada. Del mismo modo, no desea administrar un sitio que tiene un virus, genera spam o está bloqueado por estafadores. Hay opciones para mitigar esos riesgos. Los diseñadores web y los propietarios de sitios web deberían tomar esas opciones”.
La clave es controlar lo que pueda y asegurarse de que sus clientes entiendan lo que está involucrado.
Lidiando con la creciente complejidad de la seguridad web
Como si la seguridad web no fuera ya un tema complejo, la introducción de aseguradoras y otros terceros solo aumenta el estrés. Para los diseñadores web, parece una carga más sobre nuestros hombros.
Aún así, esto es parte de nuestra descripción de trabajo en constante evolución. A medida que la creación y el mantenimiento de sitios web continúan cambiando, depende de nosotros mantenernos al tanto de las mejores prácticas. En cierto sentido, este desarrollo es una extensión natural de esa evolución.
Afortunadamente, las habilidades que hemos adquirido para comunicarnos con los clientes y adaptarnos a las nuevas tecnologías pueden servirnos bien. Esas experiencias nos han preparado para enfrentar este nuevo desafío.