Al post d’avui tractarem sobre cinc preguntes que qualsevol empresari hauria de fer-se sobre el seu lloc web i la seguretat de la seva marca. Els directius a vegades no semblen ser massa conscients que la seva pàgina web és on es produeix la primera interacció directa amb els seus consumidors, proveïdors, etc…
Si comenceu un negoci o teniu previst canviar el vostre web no oblideu això:
– Milloreu l’experiència del visitant quan arriba a la vostra pàgina de manera que el pugueu convertir en un client.
-Optimitzeu els ingressos per client.
-Creeu clients que siguin recurrents.
-Heu de retenir els clients; eviteu com pugueu que els clients entrin a la pàgina i després marxin per no tornar.
A tota aquesta estratègia de caire comercial hi heu d’afegir una preocupació notable per la seguretat del vostre lloc web. Us animem a què us plantegeu aquestes cinc qüestions sobre la seguretat de la vostra marca a internet i dels vostres usuaris.
1. Quins scripts funcionen ara mateix al meu lloc web?
Quins serveis i scripts utilitzeu per optimitzar el vostre lloc web? Anant un pas més enllà: quins scripts s’executen al vostre lloc web? Hi ha milers de scripts de tercers que els equips de màrqueting utilitzen habitualment per aconseguir monitoritzar els seus webs. Inclouen analítiques, identificadors de recorregut, eines per retenir directament o virtualment els usuaris, scripts de xarxes socials i sistemes de monetització del lloc web mitjançant publicitat, entre d’altres. Nous i innovadors scripts per a web apareixen constantment; les empreses que tenen la capacitat d’aprofitar-los avantatgen els seus companys i competidors. Tanmateix, el vostre departament de seguretat limita l’ús d’aquests potents scripts:
-Limitant el nombre de scripts de tercers que feu servir al vostre site.
-Restringint-vos l’ús d’eines i scripts testats i limitant l’ús dels que són més nous i més innovadors
-Us prevenen de fer servir scripts de tercers en les àrees amb més impacte (però també les més sensibles) del vostre lloc web.
2. Em consulten cada vegada que afegeixen un nou script al meu lloc web?
Si no creieu que cal que us consultin, aleshores quines són les passes que segueiu perquè us garanteixen que disposeu de protocols d’actuació als espais de registre i verificació; uns protocols que han de garantir la seguretat del vostre web? Segons com sigui de gran o petita la vostra companyia és possible que no disposeu d’un informe diari sobre les decisions internes que pren el vostre equip.L’equip de seguretat ha d’estar monitoritzant activament els scripts de tercers, cosa que és la primera garantia que el vostre web està protegit. Tanmateix, un forat recorrent que moltes persones obliden és com els propietaris del seu web hi estan dirigint scripts de quarts i de cinquens operadors, a partir de les autoritzacions que atorguen els scripts de tecrers.
3. Estem protegint els nostres clients i les seves dades?
A causa de la manca de permisos que regeixen i limiten l’accés i el comportament dels scripts de tercers, aquests tercers operadors i els hackers que busquen comprometre’ls tenen accés sense restriccions a gairebé tots els aspectes del lloc web, incloses les dades del client que es mostren a la pàgina o introdeixen els mateixos clients.Això inclou noms d’usuari, contrasenyes, informació personal d’identificació, informació sobre pagaments i altres dades sensibles i regulades. De fet, al darrera d’aquesta habilitat per accedir a la informació, l’accés total i garantit als scripts de tercers fan possible als hackers poder explotar-los per:
-Enregistrar totes les tecles que ha pulsat el client així com les seves dades.
-Manipular els formularis del web per tal que els clients rebelin informació no autoritzada i sensible a tercers operadors i/o als pirates informàtics.
-Injectar caixes de pop-ups que sol·liciten informació innecessària i sensible del client.
-Segrestar els clics del ratolí dels usuaris i redirigir-los automàticament a llocs web externs no autoritzats, on la informació del client és pescada i robada.
4. A quines regulacions haig de parar atenció? Estan donant informació sobre nous vectors d’atac?
La vostra empresa està adherida a HIPAA, PCI, GDPR o CCPA? Internet ha estès de forma significativa el perímetre de seguretat d’una organització, ja que habilitar i enriquir un lloc web permet als atacants explotar el fet que la superfície d’atac s’esten per tota internet. GDPR, HIPAA i PCI són només algunes de les regulacions establertes per garantir que les empreses (i les persones) protegeixen el client/consumidor. Els nous atacs han trobat una manera de vorejar les mesures de seguretat existents. Una simple cerca a Google us pot donar la resposta sobre nous i futurs vectors d’atac i si les organitzacions els prevenen activament.
5. La meva empresa pot ser la próxima víctima?
La vostra competència o empreses similars del vostre sector són objectius possibles d’un atac? Els atacants com els grups Magecart són coneguts per anar al darrera de les empreses de comerç electrònic. Dit això, indústries similars utilitzen eines i scripts similars en el seu sector. L’ús de scripts semblants pot posar fàcil a un pirata informàtic moure’s d’un lloc al següent comprovant qualsevol crossover per veure si hi ha zones potencials de vulnerabilitats ja conegudes a cada lloc web. El fet que no hagi succeït, no vol dir que se’n sigui immune.
Configurar les precaucions és realment l’única manera d’assegurar-se que esteu protegits i pugueu controlar tots els elements del vostre lloc web. En resum, és important assegurar-vos que com a mínim el vostre equip té totes les cartes. Si no esteu segurs per on començar, només demaneu una anàlisi sobre els scripts de tercers que es publiquen al vostre lloc web i vegeu si hi ha alguna cosa que us sorprengui en els resultats.