Почему третьи стороны проявляют интерес к безопасности веб-сайта вашего клиента
Опубликовано: 2022-05-16Безопасность сайта — дело серьезное. Это не новость для большинства веб-дизайнеров. Это то, что мы должны учитывать в том, как мы строим, какую хостинговую компанию мы используем и программное обеспечение, которому доверяем.
И хотя существует множество передовых методов, которым нужно следовать, защита веб-сайта является серьезной проблемой. Отражение автоматических атак на системы управления контентом (CMS), обучение клиентов и постоянное обновление программного обеспечения берут свое. Мы можем уменьшить риски, но не можем полностью их смягчить.
В течение многих лет процессы безопасности были в основном между разработчиком, хостом и клиентом. Но все чаще другие третьи стороны проявляют активный интерес. И веб-дизайнеры попадают в ловушку посередине.
Если это еще не повлияло на вас, это может быть просто вопросом времени. Таким образом, фрилансеры и агентства должны обратить внимание на эту тенденцию.
Давайте посмотрим, что происходит и как веб-дизайнеры могут быть готовы.
Кто участвует?
Конечно, интерес третьих лиц к веб-безопасности не является чем-то новым. Сайтам электронной коммерции уже давно приходится иметь дело с соответствием PCI. А правительственные постановления нацелены на такие области, как конфиденциальность пользователей, что также можно считать проблемой безопасности.
Тем не менее, похоже, увеличился вклад из других источников, особенно из страховой отрасли. Они все больше интересуются веб-безопасностью в отношении своих клиентов.
Организации, которым требуется страхование, такие как предприятия и некоммерческие организации, скорее всего, также будут иметь веб-сайт. Точно так же, как они принимают во внимание благополучие физического местоположения, страховые компании начинают смотреть на веб-сайты таким же образом.
Например, давайте подумаем о типичном розничном магазине из кирпича и раствора. Прежде чем предоставить страховку розничному продавцу, страховщик может рассмотреть:
- Конструктивная целостность здания;
- виды продаваемых товаров;
- Любые меры защиты от кражи, принятые продавцом;
- Количество сотрудников;
- годовой доход;
Теперь мы видим, что подобные проблемы распространяются на веб-сайты.
Какие аспекты безопасности веб-сайтов они рассматривают?
Защита веб-сайта требует постоянных усилий и включает в себя несколько областей. Некоторые факторы, такие как веб-хостинг и SSL-сертификаты, довольно универсальны. Но другие могут зависеть от того, как был создан веб-сайт.
Это означает, что статический HTML-сайт будет иметь другие требования к безопасности, чем сайт, созданный с помощью WordPress. Кроме того, есть интеграция сторонних API, сбор данных и финансовые транзакции. Каждая представляет собой уникальную задачу.
Тем не менее, нет никакой гарантии, что страховая компания реалистично отнесется к этим нюансам. Они вполне могут использовать все вышеперечисленные стратегии, даже если определенные элементы не применимы к веб-сайту клиента.
Ветеран отрасли (и мой коллега) Уэйн Кесслер полагает: «Меня больше всего беспокоит создание ненужной работы и затрат из-за того, что подрядчик (то есть страховая компания или консультант по безопасности) устанавливает «стандарты», которые превышают риск. . Работа киберстраховщика заключается в том, чтобы продавать страховку, которая предпочтительно не будет иметь претензий».
Он продолжает: «Итак, они могут захотеть, чтобы веб-сайты были заблокированы как можно плотнее, без должного учета разветвлений функциональности или стоимости. Не всегда возможно ограничить доступ для входа небольшим диапазоном IP-адресов. SFTP по-прежнему нужен для сайтов. Клиенту может потребоваться возможность отправлять файлы обратно и обратно своему дизайнеру. Рабочий процесс, управление сайтом, пользовательские функции — это нельзя игнорировать, говоря о безопасности, без возможности значительного снижения ценности сайта».
Совет для веб-дизайнеров
Как это часто бывает, веб-дизайнеры являются связующим звеном между нашими клиентами и третьей стороной. В этом случае страховщики вручат клиентам подробный список соображений безопасности веб-сайта. Оттуда мы должны понять их, реализовать то, что выполнимо, и эффективно общаться.
Есть несколько потенциальных препятствий. Самое главное, что вы не можете контролировать каждую ситуацию. Например, для некоторых мер безопасности может потребоваться сотрудничество веб-хостинга или разработчика плагинов. Соответствуют ли они требованиям или нет, зависит только от них.
Потенциальная стоимость является еще одним соображением. Инвестиции, необходимые для реализации определенных элементов, могут выходить за рамки того, что ваш клиент готов или может заплатить.
Кесслер говорит, что веб-дизайнеры должны быть в курсе всего процесса, отмечая, что «стандарты безопасности, кажется, быстро расширяются с ростом этих отраслей, но это не означает, что эти стандарты должны применяться только к любому веб-сайту. Если вы не проводите финансовые транзакции на своем веб-сайте или не храните данные о пользователях/клиентах на своем веб-сайте, для них существуют рекомендации, которые не должны применяться. Остерегайтесь «чрезмерных» потребностей в защите безопасности».
Также важно понимать, что многие руки играют роль в безопасности веб-сайта. По словам Кесслера, «Каждая история, которую мы читаем о краже личных данных, связана с пробелами в защите данных. Веб-дизайнеры не хотят быть выявленным пробелом. Точно так же вы не хотите управлять сайтом, на котором есть вирус, который генерирует спам или заблокирован мошенниками. Есть варианты снизить эти риски. Веб-дизайнеры и владельцы веб-сайтов должны использовать эти варианты».
Ключ в том, чтобы контролировать то, что вы можете, и убедиться, что ваши клиенты понимают, о чем идет речь.
Работа с растущей сложностью веб-безопасности
Как будто веб-безопасность уже не была сложной темой, появление страховщиков и других третьих сторон только усугубляет ситуацию. Для веб-дизайнеров это кажется еще одним бременем, которое ложится на наши плечи.
Тем не менее, это часть нашей постоянно развивающейся должностной инструкции. Поскольку создание и поддержка веб-сайтов продолжают меняться, мы должны оставаться в курсе лучших практик. В некотором смысле это развитие является естественным продолжением этой эволюции.
К счастью, навыки, которые мы приобрели в общении с клиентами и адаптации к новым технологиям, могут сослужить нам хорошую службу. Этот опыт подготовил нас к тому, чтобы смело принять этот новый вызов.