เหตุใดบุคคลที่สามจึงสนใจการรักษาความปลอดภัยของเว็บไซต์ลูกค้าของคุณ

ความปลอดภัยของเว็บไซต์เป็นธุรกิจที่จริงจัง นั่นไม่ใช่ข่าวสำหรับนักออกแบบเว็บไซต์ส่วนใหญ่ เป็นสิ่งที่เราต้องคำนึงถึงในการสร้าง บริษัทโฮสติ้งที่เราใช้ และซอฟต์แวร์ที่เราไว้วางใจ

และในขณะที่มีแนวทางปฏิบัติที่ดีที่สุดมากมายให้ปฏิบัติตาม การรักษาความปลอดภัยเว็บไซต์ถือเป็นความท้าทายที่สำคัญ การป้องกันการโจมตีอัตโนมัติต่อระบบจัดการเนื้อหา (CMS) การฝึกอบรมไคลเอ็นต์ และการอัปเดตซอฟต์แวร์อย่างต่อเนื่องจะได้รับผลกระทบ เราสามารถลดความเสี่ยงได้ แต่ไม่สามารถบรรเทาได้อย่างเต็มที่

หลายปีที่ผ่านมา กระบวนการรักษาความปลอดภัยอยู่ระหว่างผู้ออกแบบ โฮสต์ และไคลเอ็นต์เป็นหลัก แต่บุคคลที่สามรายอื่นๆ เริ่มให้ความสนใจมากขึ้นเรื่อยๆ และนักออกแบบเว็บไซต์กำลังถูกจับอยู่ตรงกลาง

หากสิ่งนี้ยังไม่ส่งผลกระทบต่อคุณ อาจเป็นเพียงเรื่องของเวลา ดังนั้น ฟรีแลนซ์และเอเจนซี่จึงจำเป็นต้องสังเกตแนวโน้มนี้

มาดูกันว่าเกิดอะไรขึ้นและนักออกแบบเว็บไซต์สามารถเตรียมตัวอย่างไร

ใครมีส่วนร่วม?

จริงอยู่ที่ความสนใจของบุคคลที่สามในการรักษาความปลอดภัยเว็บไม่ใช่เรื่องใหม่ทั้งหมด ไซต์อีคอมเมิร์ซต้องจัดการกับการปฏิบัติตาม PCI มานานแล้ว และกฎระเบียบของรัฐบาลได้มุ่งเป้าไปที่พื้นที่ต่างๆ เช่น ความเป็นส่วนตัวของผู้ใช้ ซึ่งถือได้ว่าเป็นปัญหาด้านความปลอดภัย

อย่างไรก็ตาม ดูเหมือนว่าจะได้รับข้อมูลจากแหล่งอื่นเพิ่มขึ้น โดยเฉพาะอุตสาหกรรมประกันภัย พวกเขามีความกระตือรือร้นในการรักษาความปลอดภัยเว็บที่เกี่ยวข้องกับลูกค้าของตน

องค์กรที่ต้องการประกัน เช่น ธุรกิจและองค์กรไม่แสวงผลกำไร มักจะมีเว็บไซต์ด้วยเช่นกัน เช่นเดียวกับที่พวกเขาคำนึงถึงความเป็นอยู่ของสถานที่ตั้งทางกายภาพ บริษัทประกันภัยก็เริ่มมองที่เว็บไซต์ในลักษณะเดียวกัน

ตัวอย่างเช่น ลองนึกถึงร้านค้าปลีกที่มีอิฐและปูนทั่วไป ก่อนให้บริการประกันภัยแก่ผู้ค้าปลีก ผู้ประกันตนอาจพิจารณา:

• ความสมบูรณ์ของโครงสร้างของอาคาร
• ประเภทของสินค้าที่ขาย
• มาตรการรักษาความปลอดภัยป้องกันการโจรกรรมใดๆ ที่ผู้ค้าปลีกได้กำหนดไว้
• จำนวนพนักงาน;
• รายได้ต่อปี;

ขณะนี้เราเห็นข้อกังวลที่คล้ายคลึงกันขยายไปยังเว็บไซต์

พวกเขากำลังมองในด้านใดของการรักษาความปลอดภัยเว็บไซต์?

การรักษาความปลอดภัยเว็บไซต์ต้องใช้ความพยายามอย่างต่อเนื่องและครอบคลุมหลายด้าน ปัจจัยบางอย่าง เช่น เว็บโฮสติ้งและใบรับรอง SSL นั้นค่อนข้างเป็นสากล แต่คนอื่นอาจขึ้นอยู่กับวิธีการสร้างเว็บไซต์

นั่นหมายความว่าไซต์ HTML แบบคงที่จะมีความต้องการด้านความปลอดภัยที่แตกต่างจากไซต์ที่สร้างด้วย WordPress แล้วมีการรวม API ของบุคคลที่สาม การรวบรวมข้อมูล และธุรกรรมทางการเงิน แต่ละคนนำเสนอความท้าทายที่ไม่เหมือนใคร

อย่างไรก็ตาม ไม่มีการรับประกันว่าบริษัทประกันจะมองความเป็นจริงของความแตกต่างเหล่านี้ พวกเขาอาจใช้กลยุทธ์ทั้งหมดที่กล่าวมา แม้ว่าองค์ประกอบเฉพาะจะไม่มีผลกับเว็บไซต์ของลูกค้าก็ตาม

ผู้เชี่ยวชาญในอุตสาหกรรม (และเพื่อนร่วมงานของฉัน) Wayne Kessler แสดงความคิดเห็นว่า “ความกังวลที่ใหญ่ที่สุดของฉันคือการสร้างงานที่ไม่จำเป็นและต้นทุนเนื่องจากผู้รับเหมา (ซึ่งเป็นสิ่งที่บริษัทประกันภัยหรือที่ปรึกษาด้านความปลอดภัย) ระบุ 'มาตรฐาน' ที่เกินขนาดให้เสี่ยง . งานของ บริษัท ประกันในโลกไซเบอร์คือการขายประกันที่ไม่ต้องเรียกร้องค่าสินไหมทดแทน”

เขากล่าวต่อ “ดังนั้น พวกเขาต้องการให้เว็บไซต์ถูกล็อคอย่างแน่นหนาที่สุด โดยไม่ต้องคำนึงถึงการแบ่งแยกของฟังก์ชันการทำงานหรือต้นทุน ไม่สามารถจำกัดการเข้าถึงการเข้าสู่ระบบเป็นช่วง IP ขนาดเล็กได้เสมอไป SFTP ยังจำเป็นสำหรับไซต์ ลูกค้าอาจต้องสามารถส่งไฟล์ไปมาให้กับนักออกแบบได้ เวิร์กโฟลว์ การจัดการไซต์ ฟังก์ชันของผู้ใช้ – สิ่งเหล่านี้ไม่สามารถละเลยได้เมื่อพูดถึงความปลอดภัยโดยปราศจากความเป็นไปได้ในการลดมูลค่าของเว็บไซต์ลงอย่างมาก”

คำแนะนำสำหรับนักออกแบบเว็บไซต์

ตามปกติแล้ว นักออกแบบเว็บไซต์เป็นผู้ประสานงานระหว่างลูกค้าของเราและบุคคลที่สาม ในกรณีนี้ บริษัทประกันจะมอบรายการซักรีดของข้อควรพิจารณาด้านความปลอดภัยของเว็บไซต์ให้กับลูกค้า จากตรงนั้น มันขึ้นอยู่กับเราที่จะทำความเข้าใจ นำสิ่งที่เป็นไปได้ไปใช้ และสื่อสารอย่างมีประสิทธิภาพ

มีสิ่งกีดขวางบนถนนที่อาจเกิดขึ้นได้ ที่ใหญ่ที่สุดคือคุณไม่สามารถควบคุมทุกสถานการณ์ได้ ตัวอย่างเช่น มาตรการรักษาความปลอดภัยบางอย่างอาจต้องได้รับความร่วมมือจากโฮสต์เว็บหรือผู้พัฒนาปลั๊กอิน พวกเขาจะปฏิบัติตามหรือไม่นั้นขึ้นอยู่กับพวกเขาทั้งหมด

ค่าใช้จ่ายที่อาจเกิดขึ้นคือการพิจารณาอีกประการหนึ่ง การลงทุนที่จำเป็นในการใช้งานบางรายการอาจมากกว่าที่ลูกค้าของคุณยินดีหรือสามารถจ่ายได้

เคสเลอร์กล่าวว่านักออกแบบเว็บไซต์จำเป็นต้องรู้เท่าทันระหว่างกระบวนการ โดยสังเกตว่า “มาตรฐานความปลอดภัยดูเหมือนจะขยายตัวอย่างรวดเร็วตามการเติบโตของอุตสาหกรรมเหล่านี้ แต่นั่นไม่ได้หมายความว่ามาตรฐานเหล่านี้ควรนำไปใช้กับเว็บไซต์ใดๆ ก็ตาม หากคุณไม่ทำธุรกรรมทางการเงินบนเว็บไซต์ของคุณ หรือหากคุณไม่เก็บข้อมูลผู้ใช้/ลูกค้าไว้ในเว็บไซต์ของคุณ มีคำแนะนำสำหรับสิ่งเหล่านี้ที่ไม่ควรใช้ ระวัง 'เกินขนาด' ความต้องการการป้องกันความปลอดภัย”

สิ่งสำคัญคือต้องตระหนักว่าหลายมือมีบทบาทในการรักษาความปลอดภัยเว็บไซต์ ตามเคสเลอร์ “ทุกเรื่องราวที่เราอ่านเกี่ยวกับการโจรกรรมข้อมูลประจำตัวมาจากช่องว่างในการปกป้องข้อมูล นักออกแบบเว็บไซต์ไม่ต้องการเป็นช่องว่างที่ระบุ ในทำนองเดียวกัน คุณไม่ต้องการจัดการไซต์ที่มีไวรัส สร้างสแปม หรือถูกศิลปินฉ้อโกงล็อกไว้ มีตัวเลือกในการลดความเสี่ยงเหล่านั้น นักออกแบบเว็บไซต์และเจ้าของเว็บไซต์ควรใช้ตัวเลือกเหล่านั้น”

กุญแจสำคัญคือการควบคุมสิ่งที่คุณทำได้และทำให้แน่ใจว่าลูกค้าของคุณมีความเข้าใจในสิ่งที่เกี่ยวข้อง

การจัดการกับความซับซ้อนที่เพิ่มขึ้นของการรักษาความปลอดภัยเว็บ

ราวกับว่าการรักษาความปลอดภัยเว็บไม่ได้เป็นเรื่องที่ซับซ้อนอยู่แล้ว การแนะนำบริษัทประกันและบุคคลที่สามอื่นๆ ก็ยิ่งเพิ่มความเครียดเท่านั้น สำหรับนักออกแบบเว็บไซต์ ดูเหมือนเป็นภาระอีกอย่างที่วางไว้บนบ่าของเรา

อย่างไรก็ตาม นี่เป็นส่วนหนึ่งของรายละเอียดงานที่มีการพัฒนาตลอดเวลาของเรา ในขณะที่การสร้างและดูแลเว็บไซต์ยังคงเปลี่ยนแปลงอยู่เสมอ ขึ้นอยู่กับเราที่จะปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุด ในแง่หนึ่ง การพัฒนานี้เป็นส่วนขยายตามธรรมชาติของวิวัฒนาการนั้น

โชคดีที่ทักษะที่เราได้รับในการสื่อสารกับลูกค้าและปรับตัวเข้ากับเทคโนโลยีใหม่ ๆ สามารถให้บริการเราได้เป็นอย่างดี ประสบการณ์เหล่านั้นได้เตรียมเราให้พร้อมรับมือกับความท้าทายใหม่นี้