Üçüncü Taraflar Neden Müşterinizin Web Sitesi Güvenliğiyle İlgileniyor?

Web sitesi güvenliği ciddi bir iştir. Bu, çoğu web tasarımcısı için yeni bir haber değil. Nasıl inşa ettiğimiz, kullandığımız barındırma şirketi ve güvendiğimiz yazılım konusunda hesaba katmamız gereken bir şey.

İzlenecek çok sayıda en iyi uygulama olsa da, bir web sitesinin güvenliğini sağlamak büyük bir zorluktur. İçerik yönetim sistemlerine (CMS) yönelik otomatik saldırıları savuşturmak, müşterileri eğitmek ve yazılımları sürekli olarak güncellemek bunların bedelini öder. Riskleri azaltabiliriz ama tamamen azaltamayız.

Yıllar boyunca, güvenlik süreçleri öncelikle bir tasarımcı, ana bilgisayar ve istemci arasındaydı. Ancak giderek, diğer üçüncü taraflar aktif olarak ilgileniyor. Ve web tasarımcıları ortada kalıyor.

Bu sizi henüz etkilemediyse, bu sadece bir zaman meselesi olabilir. Bu nedenle, serbest çalışanların ve ajansların bu eğilimi dikkate alması gerekir.

Gelin neler olduğuna ve web tasarımcılarının nasıl hazırlanabileceğine bir göz atalım.

Kim Dahil?

Web güvenliğine üçüncü tarafların ilgisi tamamen yeni değil. e-Ticaret siteleri uzun zamandır PCI uyumluluğu ile uğraşmak zorunda kaldı. Ve hükümet düzenlemeleri, aynı zamanda bir güvenlik endişesi olarak kabul edilebilecek kullanıcı gizliliği gibi alanları hedef almıştır.

Ancak, diğer kaynaklardan, özellikle de sigorta endüstrisinden artan girdi var gibi görünüyor. Müşterileriyle ilgili olduğu için web güvenliği konusunda istekli hale geliyorlar.

İşletmeler ve kar amacı gütmeyen kuruluşlar gibi sigorta gerektiren kuruluşların da bir web sitesine sahip olma olasılığı yüksektir. Sigorta şirketleri, fiziksel bir yerin iyiliğini nasıl dikkate alıyorsa, web sitelerine de aynı şekilde bakmaya başlıyor.

Örneğin, tipik bir tuğla-harç perakende mağazasını düşünelim. Bir perakendeciye sigorta sağlamadan önce, bir sigortacı şunları dikkate alabilir:

• Binanın yapısal bütünlüğü;
• Satılan mal türleri;
• Satıcının uygulamaya koyduğu herhangi bir hırsızlığa karşı güvenlik önlemi;
• Çalışan sayısı;
• Yıllık gelir;

Artık benzer endişelerin web sitelerine de yayıldığını görüyoruz.

Web Sitesi Güvenliğinin Hangi Yönlerine Bakıyorlar?

Bir web sitesinin güvenliğini sağlamak sürekli çaba gerektirir ve çeşitli alanları kapsar. Web barındırma ve SSL sertifikaları gibi bazı faktörler oldukça evrenseldir. Ancak diğerleri, web sitesinin nasıl oluşturulduğuna bağlı olabilir.

Bu, statik bir HTML sitesinin WordPress ile oluşturulmuş bir siteden farklı güvenlik gereksinimlerine sahip olacağı anlamına gelir. Ardından üçüncü taraf API'leri, veri toplamayı ve finansal işlemleri entegre etmek var. Her biri benzersiz bir meydan okuma sunuyor.

Yine de, bir sigortacının bu nüansları gerçekçi bir şekilde değerlendireceğinin garantisi yoktur. Belirli unsurlar bir müşterinin web sitesi için geçerli olmasa bile, yukarıdakilerin tümünü kapsayan bir strateji kullanabilirler.

Sektör emektarı (ve bir meslektaşım) Wayne Kessler, “En büyük endişem, müteahhitin (bir sigorta şirketi veya bir güvenlik danışmanının ne anlama geldiğini) riske atacak kadar büyük 'standartlar' belirlemesi nedeniyle gereksiz iş ve maliyet yaratılmasıdır. . Bir siber sigortacının işi, tercihen üzerinde herhangi bir hak iddiası olmayan sigorta satmaktır.”

“Dolayısıyla, işlevsellik veya maliyetin sonuçlarını dikkate almadan web sitelerinin mümkün olduğunca sıkı bir şekilde kilitlenmesini isteyebilirler. Giriş erişimini küçük bir IP aralığıyla sınırlamak her zaman mümkün değildir. Siteler için hala SFTP gereklidir. Bir müşterinin, tasarımcılarına ileri geri dosya gönderebilmesi gerekebilir. İş akışı, site yönetimi, kullanıcı işlevselliği – bunlar, web sitesinin değerini büyük ölçüde düşürme olasılığı olmadan güvenlikten bahsederken göz ardı edilemez.”

Web Tasarımcıları için Tavsiyeler

Çoğu zaman olduğu gibi, web tasarımcıları müşterilerimiz ve üçüncü bir taraf arasındaki bağlantılardır. Bu durumda, sigortacılar müşterilere web sitesi güvenlik hususlarının bir çamaşırhane listesini verecektir. Oradan, onları anlamlandırmak, mümkün olanı uygulamak ve etkili bir şekilde iletişim kurmak bize kalmış.

Birkaç potansiyel barikat var. En büyüğü, her durum üzerinde kontrolünüz olmayabilir. Örneğin, bazı güvenlik önlemleri bir web barındırıcısının veya eklenti geliştiricisinin işbirliğini gerektirebilir. Uyup uymamak tamamen onlara kalmış.

Potansiyel maliyet başka bir husustur. Belirli öğeleri uygulamak için gereken yatırım, müşterinizin ödeyebileceği veya ödeyebileceğinin ötesine geçebilir.

Web tasarımcılarının süreç boyunca döngüde kalmaları gerektiğini söyleyen Kessler, “güvenlik standartlarının bu endüstrilerin büyümesiyle hızla genişliyor gibi göründüğünü, ancak bu standartların sadece herhangi bir web sitesine uygulanması gerektiği anlamına gelmediğini” belirtiyor. Web sitenizde finansal işlem yapmıyorsanız veya web sitenizde kullanıcı/müşteri verilerini tutmuyorsanız, bunlar için geçerli olmaması gereken öneriler var. Güvenlik koruması ihtiyaçlarını 'aşırı büyütmekten' sakının.”

Web sitesi güvenliğinde birçok elin rol oynadığını bilmek de önemlidir. Kessler'e göre, “Kimlik hırsızlığı hakkında okuduğumuz her hikaye, veri koruma alanındaki bir boşluktan geliyor. Web tasarımcıları tanımlanmış bir boşluk olmak istemiyorlar. Benzer şekilde, virüs içeren, spam oluşturan veya dolandırıcı sanatçılar tarafından kilitlenmiş bir siteyi yönetmek istemezsiniz. Bu riskleri azaltmak için seçenekler var. Web tasarımcıları ve web sitesi sahipleri bu seçenekleri kullanmalı.”

Anahtar, neler yapabileceğinizi kontrol etmek ve müşterilerinizin neyin dahil olduğunu anladıklarından emin olmaktır.

Web Güvenliğinin Artan Karmaşıklığıyla Başa Çıkmak

Web güvenliği zaten karmaşık bir konu değilmiş gibi, sigortacıların ve diğer üçüncü şahısların devreye girmesi sadece stresi artırıyor. Web tasarımcıları için omuzlarımıza yüklenen başka bir yük gibi görünüyor.

Yine de bu, sürekli gelişen iş tanımımızın bir parçasıdır. Web siteleri oluşturma ve bakımını yapma değişmeye devam ederken, en iyi uygulamalardan haberdar olmak bizim elimizde. Bir anlamda bu gelişme, o evrimin doğal bir uzantısıdır.

Neyse ki, müşterilerle iletişim kurma ve yeni teknolojilere uyum sağlama konusunda edindiğimiz beceriler bize iyi hizmet edebilir. Bu deneyimler bizi bu yeni mücadeleye kafa kafaya girmeye hazırladı.