Además del diseño y contenido, uno de los aspectos más importantes a la hora de poner en marcha una web es la seguridad. Crear páginas webs seguras es una cuestión de responsabilidad, tanto para la propia empresa como para los usuarios. Estos pueden verse afectados por posibles ataques externos, con la consiguiente pérdida de confianza y la mala imagen proyectada.
Por eso, se necesita una programación robusta y segura, que no deje agujeros de seguridad por donde atacar al sitio web, así como implementar una serie de medidas y buenas prácticas que garanticen la seguridad de tu web.
Certificado SSL
La finalidad del certificado SSL es incrementar la seguridad de la información que se maneja en una web, encriptando los datos para impedir que un tercero los descifre. Es especialmente práctico para los comercios electrónicos que requieren de datos sensibles de los usuarios.
Para configurar correctamente el certificado SSL en los servidores, es necesario tener en cuenta una serie de cuestiones importantes:
- Asegurarnos de que esté protegido todo lo referente al dominio.
- Instalar cadenas completas de certificados que cuenten con los certificados intermedios.
- Tener los certificados SSL actualizados con la última versión para que puedan soportarlos los principales navegadores web.
- Emplear una lista corta de suites de cifrado seguro, con una encriptación igual o superior a 128 bits. Esta práctica minimiza la posibilidad de que surjan nuevas vulnerabilidades que propicien un ataque.
- Utilizar el FS, para asegurarse de que una clave privada comprometida no lo hará con claves de sesión anteriores. Para habilitarlo, debemos:
- configurar TLS 1.2 para utilizar el algoritmo de intercambio de claves de curva elíptica (EDCHE), con DHE como respaldo y así evitar el intercambio de claves RSA.
- utilizar TLS 1.3, que proporciona FS en todas las sesiones mediante el protocolo de intercambio de claves EDH o DHE.
- Permitir la reanudación de la sesión TLS, que permite que el servidor rastree las sesiones de SSL o TLS y las restablezca, evitando sobrecargas.
- Plantearse el grapado OCSP, que permite que los servidores entreguen directamente al cliente el estado de revocación de un certificado, mejorando el rendimiento.
En Piensa Solutions tenemos el Certificado SSL que tu web necesita y te lo instalamos para garantizar una navegación segura.
Diseñar aplicaciones seguras
Por otro lado, dentro de las buenas prácticas para la seguridad de tu web, también influye la forma de diseñar aplicaciones web seguras y con el mejor posicionamiento SEO. Algunas sugerencias para conseguirlo son:
- Prescindir del contenido mixto, ya que puede generar diferentes problemas de seguridad y SEO. Lo mejor es que el acceso a los archivos JS, CSS y las imágenes, se realice mediante SSL/TLS.
- Emplear cookies seguras, con la etiqueta Secure que obliga a que las transmisiones se realicen por medio de canales seguros como HTTPS. Por otro lado, mediante la etiqueta HttpOnly se evita que JavaScript del lado del cliente acceda a las cookies, a la vez que se puede restringir el cruce de cookies entre webs mediante la etiqueta SameSite.
- Analizar el código de terceros para detectar posibles riesgos potenciales y vulnerabilidades, como puede suceder al implementar bibliotecas de otros. Para ello, lo mejor es vincular el código de terceros siempre a HTTPS y valorar si realmente merece la pena incluir dicho código en nuestra web.
Realizar comprobaciones
Tras realizar todas estas configuraciones, es vital verificar que todo funciona correctamente y de forma segura, a través de herramientas de diagnóstico. Algunas como el verificador de SSL SSL Shopper’s, permite comprobar si el certificado se ha instalado correctamente y su caducidad, mostrando también la cadena de confianza del certificado.
También podemos emplear otras aplicaciones online que detecten problemas de seguridad como contenido mixto o las propias herramientas integradas en el navegador para desarrolladores. Establecer una rutina de verificación puede ayudar en el proceso.
Detectar nuevas vulnerabilidades
Mantenerse al tanto de todas las actualizaciones, novedades y recomendaciones sobre seguridad es imprescindible. Es la única manera de prevenir ataques futuros y solucionarlos de manera rápida y eficaz en caso de producirse.
Backup web
Debido a la gran cantidad de información y de trabajo que lleva implícita una web, contar con copias de seguridad de toda la información se ha convertido en una necesidad. Así, una de las buenas prácticas para la seguridad de tu web consiste en contar con un servicio de backup web.
Para que el proceso sea un éxito y no requiera un sobreesfuerzo, se puede seguir una serie de recomendaciones:
- Aplicar la estrategia 3-2-1, con la que se crean tres copias de seguridad y se almacenan en dos ubicaciones diferentes, realizando copias de respaldo al menos una vez al día.
- Emplear varios métodos de backup de forma simultánea, como pueden ser:
- La nube: al no estar almacenados físicamente en la empresa, si surge un contratiempo grave, como una inundación o un incendio, la información permanece a salvo en la nube y se puede restaurar en cualquier momento.
- Centros de datos de terceros: también permiten guardar la información fuera de la empresa, proporcionando una baja latencia de red a cambio de un coste bajo de subida y bajada de datos.
- NAS (Network Attached Storage): es un sistema de almacenamiento conectado en red que permite guardar, recuperar y compartir la información entre los usuarios autorizados. Puede utilizarse a nivel interno de empresa, pero también para compartir datos con clientes.
- Comprobar con frecuencia que las copias de seguridad se están realizando correctamente mediante los informes de backup. Estos brindan información relevante como el tamaño de la copia, el número de puntos de restauración o cómo recuperar o restaurar los datos. A ser posible, lo mejor es optar por un proveedor de servicios de backup que realice estas comprobaciones de forma automática y frecuente.
- Cifrar las copias de seguridad para mejorar la seguridad y la integridad de los datos almacenados.
- Realizar backup de la información sensible o valiosa que puedan contener otros dispositivos utilizados en la empresa, como pueden ser smartphones, portátiles o tablets.
- Disponer de un buen soporte profesional que brinde asistencia eficaz e instantánea ante cualquier imprevisto y permita restaurar los sistemas en cualquier momento, como nuestro servicio de Backup Web de Piensa Solutions.
Backup de correo
El correo electrónico se ha convertido en una herramienta imprescindible para las empresas. Se trata de un medio de comunicación ágil y eficiente, a través del cual se maneja una gran cantidad de datos sensibles, cuya pérdida puede ser fatal y muy costosa.
Por lo tanto, invertir en una herramienta de backup de correo, como nuestro servicio de backup de correo de Piensa Solutions, es otra de las buenas prácticas para la seguridad de tu web gracias a sus características:
- Evita la pérdida o borrado accidental de los correos electrónicos, ya sea por acción humana o por sucesos inesperados como incendios o inundaciones que dañen los equipos de la empresa.
- Evita la pérdida intencionada a través de ataques externos o robos.
- Realiza copias automatizadas, simplificando el proceso y permitiendo a la empresa que invierta su tiempo en otras cuestiones.
- Buzones ilimitados: se pueden incluir todos los necesarios.
- Permite contratar el tamaño de las copias de seguridad que necesita tu empresa.
- Garantiza el almacenamiento seguro de las copias de los correos, conservando tanto datos sensibles como información valiosa para la actividad de la empresa.
- Asegura que los datos estén siempre listos para su acceso: permite acceder a la información guardada en cualquier momento, ideal para el día a día y para procesos de auditoría.
- Permite restaurar fácilmente la copia almacenada.
- Administra los permisos de acceso y revisión a los datos almacenados.
- Cuenta con un potente motor de búsqueda inteligente para encontrar en pocos pasos la información requerida.
- Proporciona soporte técnico profesional gratuito.
En resumen, un servicio de backup de correo permite conservar de manera segura los datos que contienen los correos electrónicos de la empresa, acceder a ellos desde cualquier lugar y dispositivo a través de los permisos otorgados y recuperar los datos ante cualquier imprevisto.