Al desarrollar un proyecto de comercio electrónico, uno de los aspectos que más quebraderos de cabeza pueden producir es, sin duda, la seguridad. Sea cual sea el proyecto, siempre se tiene que contar con que va a haber individuos dispuestos a entrar en el sistema y robar todo tipo de datos corporativos, desde datos bancarios, a números de tarjetas de crédito o datos personales. O quizás van a intentar causar todo tipo de molestias, como deformaciones de la web, tan sólo a modo de diversión.

Así pues, al plantear un proyecto de e-commerce lo más importante es no dejar que los ataques cojan desprevenido. Existen muchas armas disponibles para implantar una buena seguridad. Con diferentes herramientas de hardware y software, se puede blindar el portal contra la mayor parte de ataques. Cada vez más, los fabricantes están empezando a empaquetar juntos diferentes de sus productos, lo que pretende simplificar las posibilidades de elección y aumentar la seguridad. Otra opción es subcontratar: cada vez hay más proveedores de servicio dispuestos a hacerse cargo de las necesidades de seguridad.

Para poder abarcar el espinoso tema de la seguridad para comercio electrónico, hay que tener en cuenta cuatro requisitos básicos:

1. políticas y procedimientos
2. seguridad perimétrica, incluyendo firewalls, autentificación, redes privadas virtuales (VPN) y detección de intrusiones
3. autorización, tanto de datos como de aplicaciones
4. infraestructura de clave pública (PKI), que garantizan autentificación y encriptación para aquellas aplicaciones en que los riesgos son demasiado elevados y se necesita mantener un seguimiento y control.

Creando unas buenas políticas
Uno de los mayores errores que cometen las empresas cuando realizan un plan de seguridad es que implementan las diferentes estrategias y herramientas de seguridad sin unas buenas políticas y procedimientos que las engloben y les den coherencia.

Todos los expertos aseguran que la seguridad es algo cambiante a lo que hay que estar adaptándose constantemente. Por ello, las empresas no pueden implantar tan sólo un antivirus y una firewall, y olvidarse del tema, sino que cada vez que se produce algún cambio en el sistema o en los servidores hay que replantear la seguridad, ya sea para actualizar el sistema operativo, ya sea para reconfigurar el router. Las implicaciones de seguridad de este cambio son demasiado grandes como para no tenerlas en cuenta.

Unas buenas políticas tienen que ser fáciles de seguir. Si son demasiado complejas no se tendrán en cuenta, con lo que toda la estrategia de seguridad, que tiene siempre a las políticas y procedimientos como un puntales básicos, se verá sin efecto. A pesar de haber realizado una importante inversión, el portal tendrá abundantes agujeros de seguridad.

El mejor modo de evitar que esto suceda, es hacer a los usuarios y empleados partícipes del proceso de creación de las políticas. Cada departamento debería poder hacer llegar sus necesidades funcionales y operativas, para que se tengan en cuenta al desarrollar las políticas y procedimientos de seguridad. Además, se puede seleccionar a personas de los diferentes departamentos afectados y desarrollar conjuntamente las políticas y procedimientos. Con ello, se va a conseguir un seguimiento mucho más estricto, ya que los empleados se van a sentir integrantes activos de esta seguridad y van a comprender su importancia, a parte de que, de esta manera, la seguridad implementada va a respectar efectivamente el funcionamiento de los diferentes departamentos.

Una vez hecho esto, aún quedan innumerables aspectos a considerar, como las actualizaciones y mejoras de los servidores, así como cambios en las firewalls e, incluso, los módems. Todos ellos son aspectos con que hay que contar de cara a desarrollar la seguridad para un portal de comercio electrónico.

Uno de los principales problemas de seguridad son las malas configuraciones. Cualquier cosa en un portal de e-commerce puede suponer una amenaza para la seguridad si no está bien configurado y con todos los parches conocidos aplicados: las aplicaciones, el equipo de red, los servidores, etc. Una empresa que trabaje fundamentalmente a través de la red necesitará contar con personal altamente cualificado, lo que actualmente es difícil de encontrar.

Para conseguir unas buenas políticas, otro punto clave es determinar un correcto nivel de alarma para evitar demasiadas falsas alarmas y detectar sólo las verdaderas amenazas. Si permitimos que el sistema detecte cualquier incidencia menor, esto puede suponer un elevadísimo número de avisos, teniendo en cuenta que estamos hablando de un portal de comercio electrónico. Con ello, nos pueden colar algún gol, puesto que en medio de tantas falsas alarmas no detectaremos las verdaderas.

Evitar problemas
Para implantar la seguridad para una web de e-commerce, pues, hay que tener en cuenta que estamos hablando de una infraestructura especialmente diseñada para interactuar con el público. Es una construcción altamente abierta, lo que puede suponer grandes problemas de seguridad si no se considera a ésta como una parte básica del portal, al igual como lo puede ser el catálogo de productos o el carrito de la compra.

Sin una buena seguridad no puede haber comercio electrónico. En un momento en que los consumidores son altamente desconfiados en todo aquello que pueda comprometer su intimidad, los hackers pueden poner en entredicho la fiabilidad del portal tan sólo deformándolo. Por no hablar de los efectos de posibles robos de información bancaria de clientes y números de tarjetas de crédito. Este tipo de actos pueden suponer directamente el fracaso de una tienda electrónica empezada con muchas ganas e ilusión.

Para evitar que sucedan estos ataques que, evidentemente se pueden prevenir, hay unas acciones que son básicas:

1. Proteger y mantener en un servidor aparte, en la red interna, los datos confidenciales de los clientes. Además, es preciso encriptar aquellos datos como números de tarjetas de crédito que son especialmente críticos.
2. Contar siempre con tecnología moderna y actualizada periódicamente.
3. Contar con personal preparado. Este punto puede ser problemático, debido a la gran demanda actual de profesionales informáticos y expertos en seguridad. Para compañías medianas o que estén empezando una buena idea puede ser subcontratar la seguridad a empresas especializadas en seguridad.
4. Ante todo, ir sobre seguro: no hacer nada que suponga un riesgo demasiado grande o que quede fuera de las capacidades actuales de la empresa. La prioridad debe ser siempre la seguridad.