Después de una migración masiva al trabajo remoto durante el año pasado, las empresas ahora pueden confiar en gran medida en su nueva infraestructura, a pesar de uno o dos atajos tomados con seguridad para acelerar la transformación digital.
Kris Lovejoy, Líder de Ciberseguridad Global de EY y ex CISO de IBM, reveló que en respuesta a la pandemia, “el 84% del mundo introdujo capacidades de trabajo desde casa, el 60% introdujo tecnología para permitir esto, y el 60% de estos han ignorado o controles de seguridad abreviados como parte de esta implementación. "
Con nuevas vacunas y un posible repunte económico en el horizonte, las empresas ahora estarán experimentando con estrategias de crecimiento para 2021. Sin embargo, es fundamental que dupliquen, y tripliquen, verifiquen que cuentan con las medidas de seguridad adecuadas. Espacio para una trayectoria de crecimiento .
Sobre el Autor
Brent Stackhouse es director sénior de seguridad, GRC y TI en WP Engine
A continuación, se incluyen tres consejos de seguridad web que los líderes empresariales, los especialistas en marketing y los desarrolladores deben incluir en sus resoluciones de Año Nuevo:
ทำพื้นฐานให้เก่ง
La pregunta de seguridad web más común a medida que se acerca el Año Nuevo será la misma: "¿Qué posibilidades hay de que me infrinjan?"
Los sitios web suelen ser pirateados cuando ejecutan complementos vulnerables que no están arreglados. A pesar del mito demasiado común de WordPress Core como un punto de vulnerabilidad, son las vulnerabilidades de los complementos de terceros las que representan el 55,9% de los puntos de entrada conocidos para los ataques. (Por analogía, considere la confianza de la seguridad de Android frente a la vulnerabilidad conocida de las aplicaciones en Play Store). Sin embargo, esa es la mitad de la ecuación: la otra mitad es una buena administración de cuentas de WordPress, en particular mediante el uso de autenticación multifactor (MFA Enchufar).
La solución es simple: evite ejecutar más complementos de los necesarios y asegúrese de que los que usa tengan un buen historial de actualizaciones después de que se liberen las vulnerabilidades. Para hacer frente a la carga de actualizar complementos y el riesgo de romper sitios críticos, las herramientas de aprendizaje automático y pruebas visuales ahora pueden incluso automatizar las actualizaciones de complementos por la noche o semanalmente sin incurrir en ninguna interrupción. Consecuencias no deseadas que podrían generar tiempo de inactividad o pérdida de tráfico. . Asegúrese de limitar el acceso de administrador a los usuarios "obligatorios" y asegúrese de que estén usando MFA.
สร้างทีมที่ใช่
La brecha de habilidades de seguridad ahora está bien documentada: alrededor de 653.000 empresas (48%) tienen una brecha de habilidades básicas, según DCMS. Esto significa que la gente de ciberseguridad de estas empresas carece de confianza para completar los tipos de tareas básicas descritas en el programa Cyber Essentials aprobado por el gobierno. Tampoco reciben apoyo de proveedores externos de ciberseguridad. Desde entonces, la pandemia ha exacerbado esta brecha a medida que los trabajadores remotos se trasladan a entornos en la nube sin la experiencia en seguridad en la nube para evaluar los riesgos de este desarrollo.
Para asegurarse de contar con el equipo adecuado, debe comenzar a mapear el perfil de riesgo exclusivo de su negocio. Identifique sus expertos en riesgo, seguridad, WordPress y comercio electrónico y considere cómo su industria plantea desafíos particulares, como los sitios web de atención médica, que sin duda han experimentado diferentes tipos de aumentos de tráfico este año. Para aquellos que sopesan entre contratar y capacitar personal interno adicional o contratar a un proveedor, revise los conceptos básicos de la administración de proveedores y cómo traza líneas de responsabilidad, dependiendo de quién encaja en su rompecabezas de seguridad. Si está trabajando con un socio, deberá haber realizado estas inversiones en habilidades y tecnología en su nombre.
เตรียมตัวให้พร้อม
Para los minoristas y las plataformas de comercio electrónico, los principales hechizos de compras estacionales como las ventas de Navidad, San Esteban y enero presentan un desafío complicado. Los administradores de sitios web se esforzarán por responder a un alto volumen de actividad generadora de ingresos en su sitio mientras abordan un aumento en los ataques cibernéticos, como los ataques de denegación de servicio distribuido (DDoS), que ya se han duplicado cada trimestre este año. Durante este tiempo lucrativo para los ciberdelincuentes, el Centro Nacional de Seguridad Cibernética del Reino Unido ya ha actualizado sus consejos para los compradores en línea.
Las pruebas de carga, que son pruebas de rendimiento que simulan cargas reales en software, aplicaciones o sitios web, pueden ayudar a responder la pregunta "¿Cuántas personas pueden visitar mi sitio a la vez?" Las pruebas de carga adecuadas pueden ayudar a los administradores del sitio a evaluar aspectos como las capacidades de escalado, los enlaces del ciclo de vida, la vulnerabilidad a los ataques DDoS debido a la alta carga, la implementación automática de código, las verificaciones de estado y el seguimiento de objetivos. Sin una planificación y acción adecuadas, los minoristas corren un mayor riesgo de ataques DDoS exitosos que conducen a una pérdida significativa de ingresos.
Al entrar en el nuevo año, es fundamental que las ganas de disfrutar de la temporada de compras no vengan a costa de la seguridad. Puede ser increíblemente frustrante cuando llega el Black Friday y su sitio web se bloquea debido al aumento del tráfico. La principal preocupación es cómo se ha expuesto una vulnerabilidad en el sitio web de una empresa. Un sitio web que no funciona debido a un aumento repentino del tráfico se convierte en un blanco fácil. Puede convertirse fácilmente en un objetivo. Entonces, antes de atraer una afluencia de nuevos clientes a una página web, las organizaciones deben cargar la prueba en consecuencia.
Los líderes empresariales de hoy comprenden la importancia de la seguridad para la salud de los clientes y la marca, pero a menudo no saben por dónde empezar. Si las organizaciones quieren tomarse en serio su seguridad y no correr antes de poder caminar, deben centrarse en las cosas simples. Las empresas deben tener implementadas algunas medidas básicas de seguridad web para que, si bien WordPress Core es seguro, presten la atención adecuada a los complementos que utilizan y administren de forma segura a sus usuarios de WordPress. También necesitan encontrar el equilibrio adecuado entre las personas, los procesos y la tecnología para asegurarse de tener las habilidades y las personas adecuadas. Por último, deben planificar con anticipación los momentos clave para los consumidores y los períodos estacionales, buscando no solo el tráfico pico de visitantes, sino también los diferentes tipos de ataques cibernéticos.