Al desarrollar un proyecto de comercio electrónico, uno
de los aspectos que más quebraderos de cabeza pueden producir es,
sin duda, la seguridad. Sea cual sea el proyecto, siempre se tiene
que contar con que va a haber individuos dispuestos a entrar en el
sistema y robar todo tipo de datos corporativos, desde datos
bancarios, a números de tarjetas de crédito o datos personales. O
quizás van a intentar causar todo tipo de molestias, como
deformaciones de la web, tan sólo a modo de diversión.
Así pues, al plantear un proyecto de e-commerce lo más importante
es no dejar que los ataques cojan desprevenido. Existen muchas armas
disponibles para implantar una buena seguridad. Con diferentes
herramientas de hardware y software, se puede blindar el portal
contra la mayor parte de ataques. Cada vez más, los fabricantes
están empezando a empaquetar juntos diferentes de sus productos, lo
que pretende simplificar las posibilidades de elección y aumentar la
seguridad. Otra opción es subcontratar: cada vez hay más proveedores
de servicio dispuestos a hacerse cargo de las necesidades de
seguridad.
Para poder abarcar el espinoso tema de la seguridad para comercio
electrónico, hay que tener en cuenta cuatro requisitos básicos:
- políticas y procedimientos
- seguridad perimétrica, incluyendo firewalls, autentificación,
redes privadas virtuales (VPN) y detección de intrusiones
- autorización, tanto de datos como de aplicaciones
- infraestructura de clave pública (PKI), que garantizan
autentificación y encriptación para aquellas aplicaciones en que
los riesgos son demasiado elevados y se necesita mantener un
seguimiento y control.
Creando unas buenas políticas
Uno
de los mayores errores que cometen las empresas cuando realizan un
plan de seguridad es que implementan las diferentes estrategias y
herramientas de seguridad sin unas buenas políticas y procedimientos
que las engloben y les den coherencia.
Todos los expertos aseguran que la seguridad es algo cambiante a
lo que hay que estar adaptándose constantemente. Por ello, las
empresas no pueden implantar tan sólo un antivirus y una firewall, y
olvidarse del tema, sino que cada vez que se produce algún cambio en
el sistema o en los servidores hay que replantear la seguridad, ya
sea para actualizar el sistema operativo, ya sea para reconfigurar
el router. Las implicaciones de seguridad de este cambio son
demasiado grandes como para no tenerlas en cuenta.
Unas buenas políticas tienen que ser fáciles de seguir. Si son
demasiado complejas no se tendrán en cuenta, con lo que toda la
estrategia de seguridad, que tiene siempre a las políticas y
procedimientos como un puntales básicos, se verá sin efecto. A pesar
de haber realizado una importante inversión, el portal tendrá
abundantes agujeros de seguridad.
El mejor modo de evitar que esto suceda, es hacer a los usuarios
y empleados partícipes del proceso de creación de las políticas.
Cada departamento debería poder hacer llegar sus necesidades
funcionales y operativas, para que se tengan en cuenta al
desarrollar las políticas y procedimientos de seguridad. Además, se
puede seleccionar a personas de los diferentes departamentos
afectados y desarrollar conjuntamente las políticas y
procedimientos. Con ello, se va a conseguir un seguimiento mucho más
estricto, ya que los empleados se van a sentir integrantes activos
de esta seguridad y van a comprender su importancia, a parte de que,
de esta manera, la seguridad implementada va a respectar
efectivamente el funcionamiento de los diferentes departamentos.
Una vez hecho esto, aún quedan innumerables aspectos a
considerar, como las actualizaciones y mejoras de los servidores,
así como cambios en las firewalls e, incluso, los módems. Todos
ellos son aspectos con que hay que contar de cara a desarrollar la
seguridad para un portal de comercio electrónico.
Uno de los principales problemas de seguridad son las malas
configuraciones. Cualquier cosa en un portal de e-commerce puede
suponer una amenaza para la seguridad si no está bien configurado y
con todos los parches conocidos aplicados: las aplicaciones, el
equipo de red, los servidores, etc. Una empresa que trabaje
fundamentalmente a través de la red necesitará contar con personal
altamente cualificado, lo que actualmente es difícil de
encontrar.
Para conseguir unas buenas políticas, otro punto clave es
determinar un correcto nivel de alarma para evitar demasiadas falsas
alarmas y detectar sólo las verdaderas amenazas. Si permitimos que
el sistema detecte cualquier incidencia menor, esto puede suponer un
elevadísimo número de avisos, teniendo en cuenta que estamos
hablando de un portal de comercio electrónico. Con ello, nos pueden
colar algún gol, puesto que en medio de tantas falsas alarmas no
detectaremos las verdaderas.
Evitar problemas
Para implantar la
seguridad para una web de e-commerce, pues, hay que tener en cuenta
que estamos hablando de una infraestructura especialmente diseñada
para interactuar con el público. Es una construcción altamente
abierta, lo que puede suponer grandes problemas de seguridad si no
se considera a ésta como una parte básica del portal, al igual como
lo puede ser el catálogo de productos o el carrito de la compra.
Sin una buena seguridad no puede haber comercio electrónico. En
un momento en que los consumidores son altamente desconfiados en
todo aquello que pueda comprometer su intimidad, los hackers pueden
poner en entredicho la fiabilidad del portal tan sólo deformándolo.
Por no hablar de los efectos de posibles robos de información
bancaria de clientes y números de tarjetas de crédito. Este tipo de
actos pueden suponer directamente el fracaso de una tienda
electrónica empezada con muchas ganas e ilusión.
Para evitar que sucedan estos ataques que, evidentemente se
pueden prevenir, hay unas acciones que son básicas:
- Proteger y mantener en un servidor aparte, en la red interna,
los datos confidenciales de los clientes. Además, es preciso
encriptar aquellos datos como números de tarjetas de crédito que
son especialmente críticos.
- Contar siempre con tecnología moderna y actualizada
periódicamente.
- Contar con personal preparado. Este punto puede ser
problemático, debido a la gran demanda actual de profesionales
informáticos y expertos en seguridad. Para compañías medianas o
que estén empezando una buena idea puede ser subcontratar la
seguridad a empresas especializadas en seguridad.
- Ante todo, ir sobre seguro: no hacer nada que suponga un
riesgo demasiado grande o que quede fuera de las capacidades
actuales de la empresa. La prioridad debe ser siempre la
seguridad.