7 formas inteligentes de proteger su sitio de comercio electrónico



Lo más possible es que su empresa tenga una plataforma de comercio electrónico y un sistema de gestión de contenido. Tal vez son uno y lo mismo. Juntas, estas tecnologías impulsan su negocio, empoderando a los clientes, al personal de ventas y a los socios. El sistema de gestión de contenidos (CMS) les proporciona información la plataforma de comercio electrónico maneja las transacciones. Fácil.

Sin embargo, estas tecnologías también pueden ser un objetivo, proporcionando todo lo que un mal actor quiere, desde secretos comerciales (como inventarios y hojas de descuento de precios), listas de socios y proveedores, códigos de descuento e incluso información confidencial sobre los clientes.

Ya sea que sus plataformas de comercio electrónico y CMS se combinen en una suite completa todo en uno, o que se integren sistemas dispares, los riesgos y los posibles puntos débiles son básicamente los mismos. Si ha integrado plataformas de comercio electrónico y CMS, su tecnología ahora no solo tiene múltiples fuentes potenciales de intrusión, sino que los puntos de integración en sí mismos pueden ser vulnerables a ataques, o al menos a espionaje. Si tiene un sistema todo en uno, una sola vulnerabilidad explotada o una infracción habilitada para phishing podría darles todo a los ciberdelincuentes de una sola vez.

Para esta discusión, supongamos que su empresa sigue las mejores prácticas de seguridad cibernética bien establecidas, como la aplicación de parches y correcciones a los sistemas operativos, aplicaciones, controladores y bibliotecas. No hacer estas actualizaciones de manera oportuna es una de las principales causas de infracciones. Además, supongamos que emplea cifrado de última generación para los datos en tránsito y cambia todas las contraseñas de acceso y administración predeterminadas para sus servidores, enrutadores y servicios.

Con eso como referencia, hablemos de siete pasos específicos que se adaptan particularmente bien a las plataformas de comercio electrónico y CMS.

Reúna la menor cantidad posible de información del cliente

Luego, tenga cuidado de dónde (y cómo) almacena esos datos. Si roba los números de tarjetas de crédito o la información médica de los clientes, el impacto en el mercado, las sanciones por demandas civiles y la publicidad adversa podrían llevarlo a la quiebra. Oh, no olvide las multas de HIPAA y GDPR, dependiendo de qué y dónde se roben sus datos.

Cuidado con lo que almacena en servidores orientados a Net

Sí, su plataforma de comercio electrónico debe conocer los niveles de inventario y los descuentos de precios para facilitar el comercio electrónico. ¿Qué pasa si los competidores pueden recuperar esa información en un paquete ordenado? Es posible que puedan usar los datos de su empresa en su contra.

Supervise las listas de amenazas de día cero y otras vulnerabilidades

Puede comenzar con el publicado por organizaciones como la Agencia de Seguridad de Infraestructura y Ciberseguridad. Por supuesto, no es suficiente recibir informes de evaluación de amenazas. Necesitan ser leídos y actuados en consecuencia. Un tema con una repercusión muy grande apareció, por ejemplo, en el preferred biblioteca log4j no hace mucho Cada organización que united states Log4j necesitaba actualizarse a la versión 2.16 o posterior inmediatamente. ¿Hay alguien en su organización responsable de conocer este tipo de incidente? Si no, hay una vulnerabilidad ahí mismo.

Utilice herramientas y servicios de pruebas de penetración

No importa si su software package está listo para usar, diseñado por consultores o de cosecha propia, no sabe qué tan seguro es a menos que pruebe, pruebe y pruebe. Realice pruebas de penetración de forma periódica y exhaustiva no solo los sistemas se vuelven menos seguros si no se mantienen adecuadamente (consulte el primer punto), sino que también cambia el panorama de su servicio y los atacantes también se vuelven más sofisticados. Si no ha realizado una prueba de pluma recientemente, o no ha utilizado una firma de sombrero blanco para evaluar sus defensas, no sabe lo que no sabe.

Study a los proveedores de application e insista en que sigan las prácticas de codificación segura

Si está utilizando servicios en la nube, examínelos cuidadosamente. Considere todo. Por ejemplo, la empresa CMS para la que trabajo está certificada al más alto nivel por sus prácticas de seguridad, conforme a los protocolos de seguridad ISO 27001. Estos protocolos incluyen revisiones periódicas de código, handle de acceso estricto, detección de anomalías y pruebas de seguridad rigurosas. No debe esperar menos de cada proveedor.

Consulte con bancos y procesadores de pago para asegurarse de que lo está haciendo bien

Existen muchas prácticas para trabajar con transferencias ACH y pagos con tarjeta de crédito. Algunos de estos parecen obvios, como usar valores CVV en tarjetas de crédito y verificar que las direcciones de envío coincidan con la dirección de la cuenta bancaria, pero es posible que las plataformas de comercio electrónico no habiliten esos niveles adicionales de validación de forma predeterminada. También recomendaría encarecidamente utilizar un servicio que se especialice en transacciones de pago. Estos servicios estarán certificados de acuerdo con los requisitos de PCI DSS y podrá concentrarse en sus competencias principales.

Registre todo y analice esos registros en busca de anomalías, patrones de ataque

Cada transacción, cada inicio de sesión privilegiado al CMS o plataforma de comercio electrónico, cada mistake causado por alguien que ingresa una contraseña incorrecta, debe registrarse. Por cierto, no confíes en que los humanos puedan entender esos registros los ataques de hoy en día pueden ser rápidos y sutiles, y hay demasiados datos para correlacionar los patrones. Use herramientas de aprendizaje automático para monitorear eventos y registros, y como en el cuarto punto anterior, asegúrese de que alguien sea responsable de recibir, leer y dar seguimiento a esos informes.

Siga estos siete pasos y su CMS y sus plataformas de comercio electrónico serán más seguras y confiables que nunca. ¿Son razonables estos pasos? Sí. ¿Son fáciles? Una vez que los sistemas estén listos para trabajar y funcionar de forma segura, sí. Sus clientes, proveedores y socios quieren que sus sistemas sean seguros. Pongámonos a trabajar.



Enlace a la noticia unique