Maneras de asegurar un sitio web hay muchas. Casi todas se resumen en controlar estos aspectos:
- El software del servidor (servidor http, base de datos y módulos del servidor y sistema operativo, en mi caso por ejemplo, Apache+PHP+SQL, corriendo en Red Hat Linux)
- El software que ejecutemos en ese servidor (en este caso, WordPress)
- Posibles injerencias «third-party» (en este caso, por poner dos meros ejemplos, otros programas que tengo en el servidor y la acitvidad de mis vecinos del hospedaje virtual, que pese al enjaulado podrían tratar de hacer bypassing horizontal entre cuentas del sistema operativo) (y es que el enjaulado no es la panacea tampoco)
Controlar esos tres dominios no es mal punto de partida, si bien todo dependerá de muchos más factores, por ejemplo, vosotros, que podéis interactuar con el sitio y al igual que os portáis bien, pues un día os puede dar por portaros mal y escanear en busca de vulnerabilidades, probar a buscar Cross-Site Scripting y/o probar cualquier otra treta :) (os aseguro viendo los logs del Apache que todos los días hay intentos)
Bien. Imaginaos ahora que este sitio web es el sitio corporativo de una empresa. Da igual si es pequeña, mediana o enorme. Imaginad que es un sitio web que representa la actividad empresarial de alguien. Además de los factores citados, hay que tener en cuenta que la existencia de problemas de seguridad afectan no sólo a la disponibilidad e integridad del sitio, sino a algo mucho más importante: la imagen corporativa de una empresa.
Este último factor no terminan de entenderlo muchos. Cuesta trabajo explicarle a un gerente que tan importante es llevar la corbata limpia como que nuestro sitio web sea, además de accesible, compatible y adecuado, seguro. Es una brega constante que muchos poco a poco empiezan a razonar, pero no siempre se le presta a los sitios Web la importancia que tienen.
En este contexto os presento este paper, llamado Securing a Web Site, escrito por Erik Evans, que explica en 24 páginas, muy detalladamente, lo que yo os acabo de contar: securizar un sitio web, empresarial o personal, es fundamental, y la securización es un proceso que debe seguir unas pautas de calidad que debemos ineludiblemente seguir. Erik Evans es consultor de seguridad y se responsabiliza de la gestión de la seguridad en la firma HCR-Manorcare.
Evans se refiere muy adecuadamente a los siguientes aspectos a la hora de gestionar la seguridad de una presencia Web:
- Factores que incrementan la presencia de vulnerabilidades
- Planificación y preparación
- Aseguramiento de la red donde opera el servidor
- Aseguramiento del sistema operativo
- Aseguramiento de las aplicaciones Web
- Aseguramiento del contenido Web
- Administración del sitio Web.
¿Tienes un sitio Web? ¿Eres responsable de algún sitio corporativo? Ojea este documento. Sobre todo, ten presente que la fortificación segura de un servicio, sea del tipo que sea, es algo más que bajar e instalar parches.
Saludos :)
Muy interesante, Sergio. Gracias.
De nada Eva, yo encantado de que le saquéis provecho a la información que os enlazo.
Un saludo y hasta la próxima Beers and Blogs :)
Muy interesante, Sergio.
Tan sólo un apunte: La palabra «securización», además de sonarme francamente mal, no está contemplada por el Diccionario de la Real Academia Española, que lo considera una traducción o adaptación de un término anglosajón. Quizá la palabra correcta sería «protección».
Pues tienes razón, Felipe, uno de tantos muchos atropellos linguísticos que comente uno al cabo del día :)
A ver si para la próxima me acuerdo y empleo alguna alternativa, protección, fortificación, aseguramiento …
Esta vez dejo el atropello, que Google ha «indexado» (esta si que no está en el DRAE) ya la página y no quiero marear al posible tráfico entrante.
Saludos ;)
Será la costumbre, pero a mi me sigue sonando más apropiado securizar que ninguno de los sinónimos que se usan en castellano… aunque reconozco que no está en la RAE, no… Es una lástima :-(
Y ya ‘hardening’ ni te cuento… es un palabro que me pone un rato… :-)
Comparto tu opinión, josemaria, pero bueno, hay que proteger nuestra lengua y «securizando» no hacemos mucho por ella.
He actualizado y he cambiado los términos. Dos de mis mejores «clientes», Felipe y maty, sin menospreciar a absolutamente nadie que lee el blog, se han «quejado» y con toda la razón del mundo. Es lo menos que puedo hacer :P
Sobre el hardening pues mira, lo suelo traducir como fortificación :P pero a la hora de «googlear» fortificar Apache, y hardening Apache, por ejemplo, las diferencias son brutalmente cuantiosas :)
Saludos,
si bien es cierto no existe la palabra securización en la RAE pero fíjense que también muchas de las palabras no han estado y ahora lo están y securización se presta mas al lenguaje informático o no?