Navigation path

¿Cómo puedo asegurar mi sitio web?

¿Cómo puedo asegurar mi sitio web?

Tanto si desarrolla su sitio web por su cuenta como si utiliza los servicios de un tercero, debe prestar especial atención al desarrollo y al mantenimiento de su sitio web. La ocurrencia de incidentes de seguridad cibernética podría tener serias consecuencias en su negocio o marca (por ejemplo, pérdida de reputación de la marca), ya que pueden interrumpir sus servicios, provocar que sus clientes pierdan la confianza, y posiblemente incluso derivar en sanciones legales y demandas. Ejemplos de estos incidentes podrían ser el robo de datos de sus clientes, modificaciones en la información de su plataforma, el cierre de su sitio web, la filtración de información confidencial de la organización, etc.

También es muy importante que haga inventario por adelantado, antes de cualquier violación de seguridad. ¿Qué información es crítica para su organización? ¿Dónde está alojada? ¿Cuánto tarda en restablecerse si se elimina en un ataque? Debe realizar una auditoría completa de sus sistemas, tomar nota de los componentes más importantes y realizar un seguimiento de todo. Asegúrese de no ser la única persona que conozca este documento.

Proteja la información de su página web

Antes de iniciar conversaciones con los proveedores de alojamiento, debe reflexionar sobre tres aspectos fundamentales de la seguridad de la información, es decir, los requisitos de confidencialidad, integridad y disponibilidad de su sitio web y servicios, y determinar las características del nivel de servicio necesario.

Para que el diseño de su sistema sea seguro, debe requerir algunas garantías estrictas y asegurarse de que se protegen los siguientes aspectos:
•    Confidencialidad: se refiere a la protección de la información (por ejemplo, números de tarjetas de crédito, información personal) de su divulgación a terceros no autorizados. Esto se puede hacer, por ejemplo, mediante la aplicación de un mecanismo de autenticación adecuado (como soluciones de autenticación de dos factores). Otra posibilidad es utilizar conexiones cifradas (HTTPS, protocolo de seguridad SSL) para garantizar que solo las personas adecuadas tienen acceso a la información o pueden leerla.
•    Integridad: consiste en proteger la información para que no sea modificada por terceros no autorizados y garantizar que dicha información es exacta y fiable. Llevar a cabo una comprobación diaria de archivos modificados, establecer pruebas de seguridad para su sitio web y servicios (para evitar ataques simples como inyecciones SQL), o la creación de un sistema de prevención de intrusiones son medidas que pueden ayudarle a lograrlo. 
•    Disponibilidad: es decir, asegurarse de que su sitio web está operativo en todo momento. Dos elementos clave de este aspecto son la implantación de un sistema de alimentación de reserva para emergencias y realizar un mantenimiento riguroso de todo el hardware. 

El acceso a todos los sistemas de datos solo deberá concederse en función de la necesidad de conocer la información para garantizar el cumplimiento de los tres aspectos.

Responda a los incidentes de seguridad

Desde el momento en que se produce un incidente, la confianza que los clientes han depositado en usted está en juego y se necesita una respuesta rápida para limitar los efectos adversos. Es importante que informe a sus clientes de lo sucedido. Por ejemplo, si se ven afectadas las contraseñas, debe avisar a sus clientes para que puedan cambiarlas, ya que a menudo las utilizan para otros sitios web. 

Como se menciona anteriormente, una vez que sepa lo que es más importante, asegúrese de que todos los actores relevantes también lo sepan. Para ello, es aconsejable que se designe a una persona como propietario de TI en el caso de que se detecte un problema de seguridad. Esta persona necesita estar fácilmente disponible en caso de una emergencia y equipada para manejar los muchos componentes técnicos internos involucrados en la recuperación de una violación de la seguridad. Asimismo, es aconsejable crear una política de notificación de violación de datos (que se podría incluir en su declaración de confidencialidad ). Esta deberá indicar cómo y cuándo informará a sus clientes (por ejemplo, notificaciones por correo ordinario/correo electrónico) cuando se filtren datos personales. Es probable que esta buena práctica se convierta en una obligación legal en todos los países de la Unión Europea (UE) en el futuro (y se acompañe de la obligación de informar a la Autoridad de Protección de Datos  una vez tenga conocimiento de la filtración de datos).

Además, deberá determinar la causa de la filtración. Asegúrese de que esto se hace de manera que las pruebas se puedan utilizar en última instancia en los tribunales (por ejemplo, si se puede establecer que la filtración no se produjo porque no había suficientes medidas de seguridad). Si se viese afectada la información financiera, como datos de tarjetas de crédito, deberá informar al proveedor que gestiona sus transacciones financieras para que este pueda tomar las medidas necesarias.

En resumen, lo que realmente es clave es que exista un plan de acción desarrollado que proporcione medidas y procedimientos específicos y concretos para el seguimiento de un incidente de seguridad.

Los procedimientos deben abordar quién tiene la responsabilidad principal, cómo ponerse en contacto con el personal crítico y a qué datos, redes y servicios se debe dar prioridad para la recuperación o a quién se debe notificar (propietarios de datos, clientes o empresas asociadas) si se exponen sus datos o los datos que afectan a sus redes.

Tenga en cuenta que las violaciones de seguridad pueden ser simplemente el resultado de un fallo humano/del personal involuntario. Asegúrese de formar a sus empleados, en su caso, para que puedan identificar los incidentes e informar de ellos, así como para que sean cautelosos. Las negligencias de los empleados (por ejemplo, el robo de un portátil o teléfono móvil) son una causa destacada de incidentes de filtración de datos.

Seleccione su país y visite el sitio web nacional del Equipo de Respuesta ante Emergencias Informáticas (CERT), un equipo de expertos de seguridad que se encarga de la gestión de incidentes de seguridad (por ejemplo, la notificación y respuesta a las amenazas de seguridad). Pueden ofrecerle información sobre qué hacer y a quién recurrir para pedir ayuda si sufre cualquier tipo de ataque cibernético. También publican alertas sobre vulnerabilidades y amenazas en su país.

Austria Computer Emergency Response Team Austria: http://www.cert.at/
Belgium Computer Emergency Response Team Belgium: www.cert.be
Download the Belgian Cyber Security Guide: adopt the 10 key security principles, and implement the 10 “must-do” actions.
Bulgaria Computer Emergency Response Team Bulgaria: https://govcert.bg/
Find out more about some good security practices when setting up your website and other related security issues in your country (such as ‘Protecting Your Computer From Malicious Code’ guide (in English only).
Croatia Computer Emergency Response Team Croatia: www.cert.hr/
Cyprus n/a.
Czech Republic Computer Emergency Response Team Czech Republic: www.csirt.cz/
Denmark Computer Emergency Response Team Denmark: www.govcert.dk
Estonia Computer Emergency Response Team Estonia: www.cert.ee
In order to protect your information systems, follow the cyber-security check list  and other guidelines available on the website (Estonian or English).
Finland Computer Emergency Response Team Finland: www.cert.fi
France Computer Emergency Response Team France: www.cert.ssi.gouv.fr
Find out more about simple measures that will make your business more secure, and more (such as ‘Les 10 commandements de la sécurité sur l’internet’).
Germany Computer Emergency Response Team Germany: https://www.cert-bund.de/
Greece Computer Emergency Response Team Greece: http://www.nis.gr
Hungary Computer Emergency Response Team Hungary: http://www.cert-hungary.hu/
Ireland IRISS – Computer Emergency Response Team Ireland: http://www.iriss.ie/
Italy CERT Nazionale: To come
Latvia Computer Emergency Response Team Latvia: www.cert.lv
Visit esidross.lv which gives information on how to protect your computer and to be safe on the Internet (in Latvian only).
Lithuania Computer Emergency Response Team Lithuania: www.cert.lt
Visit http://www.esaugumas.lt which gives information on how to protect your computer and to be safe on the Internet (in Lithuanian only).
Luxembourg Computer Emergency Response Team Luxembourg: http://www.circl.lu/
Malta Computer Emergency Response Team Malta: https://www.mita.gov.mt/en/Security/Pages/Security.aspx
Netherlands Computer Emergency Response Team Netherlands: https://www.ncsc.nl/
Find out more about Good Security Practices when setting up your website and other related security issues in your country.
Poland Computer Emergency Response Team Poland: https://www.cert.pl/
Portugal Computer Emergency Response Team Portugal: https://www.cncs.gov.pt/certpt/
Romania Computer Emergency Response Team Romania: https://cert.ro/
Slovakia Computer Emergency Response Team Slovakia: https://www.csirt.gov.sk/
Slovenia Computer Emergency Response Team Slovenia: https://www.cert.si/
Espana Equipo de Respuesta ante Emergencias Informáticas de España: https://www.ccn-cert.cni.es/
Sweden Computer Emergency Response Team Sweden: https://www.cert.se/
United Kingdom Computer Emergency Response Team United Kingdom: https://www.cpni.gov.uk/
Find out more at  about simple measures that will make your business more secure, and more.

 

Country specifics

Suggested country specifics to be covered:

National CERT

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?

Fuentes de información

Proteja la información de su página web
•    Samara Hart (n/a): How can I be sure my website is secure, disponible en: http://pixsym.com/blog/website-security/how-can-i-be-sure-my-website-is-secure/
•    Justin Stravarius: 15 great ways to secure your website, 2010, disponible en: http://web.appstorm.net/roundups/self-publishing/15-great-ways-to-secure-your-website/
•    Tery Chia: Confidentiality, Integrity, Availability: The three components of the CIA Triad, 2012, disponible en: http://security.blogoverflow.com/2012/08/confidentiality-integrity-availability-the-three-components-of-the-cia-triad/, IT Security Community Blog
 

Responda a los incidentes de seguridad
•    Experian® Data Breach Resolution: Data Breach Response Guide, edición 2013-2014
•    Carl Niedbala: How a Data Breach can Destroy your Startup, 2014, disponible en: http://foundershield.com/data-breach-can-destroy-startup-infographic/
•    Manual de legislación europea en materia de la protección de datos, disponible en: http://www.echr.coe.int/Documents/Handbook_data_protection_SPA.pdf
•    Ezra Steinhardt: EU Article 29 Working Party Publishes Guidance on Data Breach Notification, Convington, 2014, disponible en: http://www.insideprivacy.com/data-security/data-breaches/eu-article-29-working-party-publishes-guidance-on-data-breach-notifications/