La seguridad informática de tu sitio web tiene que ser una prioridad en tu proyecto en línea. Ya te hemos contado la forma de escoger un dominio y conseguir un proveedor de hosting que se ajuste a tus necesidades. En www.cointernet.com.co podrás registrar el tuyo de forma segura y rápida y escoger un proveedor de hosting aliado. Sin embargo, hemos dejado la seguridad informática en una nota aparte por la importancia que tiene para tu negocio y para el ecosistema de internet.

Según una investigación de SophosLabs, el 80% de las páginas peligrosas en internet realmente son sitios legítimos que fueron comprometidos por piratas informáticos. Por fallas en la seguridad informática de sitios legales, los criminales los pueden usar como puentes para cometer sus fechorías y obstaculizar su captura. En términos más técnicos, muchas páginas web son usadas como ‘proxies’ para lanzar ataques informáticos o distribuir malware.

Esta es una de las razones principales para preocuparse por la seguridad informática de tu sitio web. Puedes terminar siendo responsable de algún acto que realmente no cometiste. Afortunadamente, gran parte de la seguridad informática la puede asumir tu aliado de hosting. Por eso es tan importante escoger uno que se ajuste a tus necesidades, como lo mencionamos en una nota anterior.

Pero, además de factores como el precio, la tecnología y otros, es necesario investigar la posición del proveedor frente a la seguridad informática. A continuación te vamos a presentar algunos factores que deberías tener en cuenta para escoger un hosting que tenga buenas prácticas de seguridad informática y minimice las posibilidad de sufrir un ataque.

Unas de las mejores formas de prevenir un ataque es RAID, una tecnología de almacenamiento que permite hacer copias de seguridad y tener la redundancia necesaria para evitar las caídas del sitio. Esta tecnología puede tener un costo adicional, pero si tu proyecto implica niveles de servicio de más de 99% del tiempo, seguramente será una buena inversión.

Otra de las variables que debes revisar es si se puede colgar el contenido con SFTP. Este protocolo es parecido al tradicional FTP (file transfer protocol, por sus siglas en inglés), pero tiene una capa de seguridad adicional. Con esta tecnología, cuentas con una protección adicional a la hora de cargar el contenido de tu sitio. Según Web Hosting Hub, un pirata informático no tendrá muchos obstáculos al interceptar tu información si usas FTP, pero la tendrá más complicada con SFTP. La diferencia entre FTP y SFTP es que el segundo protocolo es mucho más seguro porque incorpora SSH en la transferencia de datos. Secure Shell (SSH) es una forma segura de conectarse a otro computador por medio de la terminal de Unix. Si tu proveedor de hosting ofrece esta capa de seguridad –tienes que revisar con ellos– es mucho más confiable conectarse por medio de SFTP.

Es muy sencillo usar este medio. En este artículo puede ver como conectarse por SFTP para transferir los archivos de tu computador al centro de datos de tu hosting.

Es importante contar con SSL (Secure Sockets Layer), que permite cifrar la información entre el browser y la página web. Si revisas los sitios bancarios, seguramente vas a ver que tu navegador muestra un candado en la barra de la URL, lo que significa que la información transferida entre el cliente y el servidor está cifrada. Si estás montando una tienda en línea, donde el cliente tiene que ingresar información financiera, es una obligación contar con SSL. No importa si vendes servicios, productos físicos o cualquier otra cosa, es una responsabilidad irrevocable proteger la privacidad de tus usuarios. Y con SSL cuentas con un estándar de seguridad aceptado por la industria y difícil de quebrar para los criminales tradicionales.

Instalar un certificado SSL depende de la tecnología que vayas a usar para tu servidor y su sitio web. En este enlace puedes ver el proceso para implementar los certificados en tu página web y darle al usuario un valor agregado de seguridad.

Retomando un poco las especificaciones técnicas, es clave verificar las políticas de redundancia de tu proveedor. Cada proveedor tiene diferentes planes y políticas para hacer copias de seguridad. Hay sitios, incluso, que cada noche hacen una copia de respaldo de su información. Todo esto sirve para salvaguardar la información y poder restaurar el sitio a un momento previo estable si hay algún problema. Además, nunca sobre tener copias de seguridad de la información; algo que cualquier persona que haya perdido un celular, una USB o se le haya dañado un PC sin tener un respaldo puede atestiguar.

Si realmente quiere tomar una decisión informada, no sobra verificar el centro de datos que alojará tu negocio en línea. El Uptime Institute es una entidad que certifica los centros de datos para darle a los clientes una calificación independiente sobre los datacenters. Hay diferentes niveles y cada uno tiene especificaciones únicas: Tier III tiene redundancia de poder, algunas especificaciones contra sismos y otros. Pueden revisar qué quiere decir cada Tier en el siguiente link.

Finalmente, es obligatorio conocer de primera mano todos los instrumentos –tecnológicos y humanos– que tiene el proveedor para evitar los ataques informáticos. Hay que revisar si tienen firewalls, la agenda de revisiones de malware y el resto de políticas que tiene la compañía sobre la seguridad de su centro de datos. También es importante revisar los términos que ofrece cada proveedor. Los acuerdos de servicio deben garantizar un ‘uptime’ que debe rondar por el 99%. Claro, entre más costoso sea el plan seguramente más garantías tendrá el servicio, pero no sobra comprar las opciones de los diferentes proveedores para saber cómo se va a comportar tu sitio web.

Con todas estas variables revisadas, seguro que vas a minimizar la probabilidad de sufrir un ataque informático. Así como en la vida real es imposible garantizar 100% la seguridad, en el mundo virtual tampoco se puede tener un sistema 100% seguro. Sin embargo, con las medidas mencionadas anteriormente, seguramente tendrás una presencia en línea segura, confiable y rentable.

Acuérdate que puedes verificar si tu dominio está disponible en www.cointernet.com.co y registrarlo ahí mismo gracias a las compañías aliadas. Los dominios .co son algunos de los más seguros del mundo, por lo que debes considerar está opción seriamente. En la plataforma también puedes escoger un proveedor de hosting; la cuestión está en escoger adecuadamente el plan y los niveles de seguridad que se ajusten a tu servicio. Te invitamos a revisar nuestro especial para que lleves tu negocio a internet gracias a www.cointernet.com.co.

Imágenes: Send Anywhere, Wikimedia Commons.

Cualquier organización que tenga algún tipo de operación en internet tiene la obligación de tener algún nivel de seguridad. Y aunque es claro que nadie podrá proteger totalmente su información –solo hay que ver los casos de grandes empresas como Sony o Target– si es necesario tener algunos conceptos básicos de seguridad. Las grandes organizaciones tendrán equipos dedicados a proteger sus operaciones en línea, pero las pequeñas y medianas empresas tendrán que ser más inteligentes con sus recursos para proteger su información.

Antes de comenzar a hablar de cualquier cosa, es fundamental mencionar que los dominios .com.co son algunos de los más seguros del mundo. De acuerdo con CBS News, hay algunos dominios más seguros que otros. Por ejemplo, los terminados en .hk, .cn o .info tienen más riesgo de tener algún hueco en la seguridad. El medio estadounidense cita un estudio de McAfee que encontró que el 18% de los dominios terminados en .hk son riesgosos. Por lo tanto, para darle más respaldo a tus usuarios, tienes que escoger un dominio como .com.co, que es de los más seguros del mundo. Este lo puedes encontrar en www.cointernet.com.co.

En una sola nota es imposible cubrir todos los aspectos de seguridad informática que se debería tener en cuenta. Sin embargo, a continuación haremos un repaso de los conceptos básicos que debe tener en cuenta un gerente o el encargado de una página web de una cualquier empresa, pero especialmente una Pyme.

La primera noción que hay que dejar en el pasado es pensar que por el tamaño de la organización no sufrirás ataques informáticos. Como está el panorama de hoy, cualquier organización está bajo el riesgo de sufrir un robo de información, sin importar el tamaño, industria o clientes que tenga. Solo hay que echar números para darse cuenta de la facilidad que tendría un atacante de robarse los datos de una organización pequeña. Al atacante solo le cuesta tiempo, pero si consigue la información de pagos, tendrá un importante botín.

Por eso, hay que tener mínimas medidas de seguridad TI, empezando por la más básica: un ‘firewall’. Esto funciona como esa herramienta que le ponían al timón de los carros en el pasado; además de ofrecer una capa adicional de protección, también incentiva al ladrón a atacar otro carro. Un ‘firewall’ tiene características similares: es una capa de protección fundamental para cualquier empresa, pero también será un obstáculo que motive a los atacantes a ir tras otra organización con medidas más laxas de seguridad.

Otro de los huecos más comunes que hay que tapar viene de la mano de una de las herramientas más populares en el mundo corporativo: el correo electrónico. Por ahí, los atacantes son capaces de captar información, robar contraseñas y buscar puertas de entrada. Por eso, se deben tener filtros de spam y contra el ‘phishing’, para evitar que cualquier empleado de la organización entregue información confidencial sin querer.

Los soluciones técnicas deben venir de acompañadas de una tarea importante de políticas y procesos. Los gerentes de las empresas tienen que dar ejemplo y capacitaciones de las formas correctas de usar la información. Una capacitación sobre el uso adecuado del correo electrónico puede ser un salvavidas. Por ejemplo, es posible que la nueva asistente administrativa no tenga ni idea que es un ataque de ‘phishing’. Por lo tanto, si le llega un correo del supuesto administrador de sistemas pidiendo su clave, es natural que la entregue sin pensarlo.

Por casos como estos, es fundamental que todos los miembros de la organización estén enterados de los diferentes huecos de seguridad. Los piratas informáticos hoy en día son tan ágiles que seguramente encontrarán el punto débil de la compañía y explotarlo. Y normalmente el punto más débil son las personas, por eso hay que hacer un esfuerzo para reforzar este aspecto.

Las políticas tienen que ser claras y estar publicadas en un lugar fácil de consultar. Por ejemplo, nadie debería abrir un correo electrónico inesperado que tenga un archivo adjunto. Tampoco se debe compartir la contraseña con nadie, eso incluye al gerente, a la persona de tecnología de la empresa o hasta la mamá. Estas políticas pueden ser consultadas con un experto o con gente del sector que ya tenga experiencia. No hay que hacer grandes inversiones para tener una serie de pautas que protejan uno de los activos más importantes de la organización: la información.

A todo esto, hay que sumarle un nuevo factor: los dispositivos móviles. Los teléfonos inteligentes se han convertido en herramientas fundamentales de trabajo lo que obliga a los empleados a manejar información confidencial en ellos. De pronto tu empresa no necesita un MDM robusto, pero con un par de políticas sobre el uso de dispositivos móviles puedes proteger los datos que fácilmente se pueden perder.

Aplicaciones como Dropbox y otras de almacenamiento en la nube pueden representar una vulnerabilidad porque allí se puede almacenar información confidencial. También se debe recomendar a todos los empleados a usar las tiendas oficiales y no tener sus dispositivos con ‘jailbreak’ o con acceso ‘root’. Todos los equipos deben tener contraseña –ojalá alphanumérica y biométrica si el hardware lo permite– y tener activada la opción de reiniciar el equipo remotamente.

Con estas políticas bien implementadas y algunas inversiones en hardware, le harás más difícil el trabajo a los piratas informáticos. Hay que tener en cuenta que es imposible proteger 100% la empresa, pero con algunos controles y estrategias bien pensadas podrás minimizar el riesgo de tu pequeña o mediana empresa. Pero si te vas llevar un solo mensaje de este artículo, el vínculo más débil de la cadena casi siempre es el personal. Como dice Network World, hay que enfocarse en políticas claras que entienda la gente.

Imágenes: American Advisors Group, David (vía Flickr).