¿Por qué debes invertir en la seguridad de tu web? por @SecuritGuardian

    Antonio San Martino - Blogger en TodoStartupsPara los que estamos en contacto diario con empresas con web es una obviedad: Cada página web se enfrenta constantemente con multitud de amenazas.

    Nuestra experiencia diaria, sin embargo, nos confirma que los directivos de las empresas no son conscientes de los perjuicios económicos que puede tener no haber invertido en seguridad para su web.

    Lo explicamos con dos casos reales que recientemente hemos visto en la empresa de seguridad Security Guardian. En ambos, un ataque a la web ha puesto en serio peligro la supervivencia de las empresas.

    En el primer caso, la empresa se encontró con un ataque de denegación de servicio que afectó a la web durante un periodo temporal prolongado. Este tipo de ataques son difíciles de prevenir y aguantarlos puede resultar costoso, sobre todo si se quiere combatir incrementando los recursos (como sería levantar muchas instancias de máquinas en un entorno en la nube/cloud).

     

    La realidad es que existen otras medidas de salvaguarda alternativas que se pueden aplicar tanto a nivel preventivo como correctivo.

    Un análisis forense del ataque, por ejemplo, nos puede ayudar a determinar las características del mismo, ver si se está explotando alguna vulnerabilidad de, por ejemplo, algún servicio o bien si se están utilizando otras técnicas como podrían ser una botnet o un ataque de amplificación de DNS.

    Conociendo el  comportamiento, a menudo, es posible implementar medidas para mitigar el riesgo, corregir vulnerabilidades y mejorar las medidas de seguridad existentes con el fin de que el impacto del ataque se reduzca y se pueda hacer frente a ello.

    Este ataque de denegación de servicio, como decíamos, provocó que nuestro cliente no pudiera prestar su servicio durante tiempo y, por lo tanto, fuera perdiendo dinero. Lo más grave del caso, a nuestro juicio, es que el ataque no sólo afectó a su web sino que también puso en peligro la web de sus proveedores y clientes, puesto que uno de sus proveedores también se vio afectado. Una correcta gestión de los riesgos y vulnerabilidades hubiese salvado a ambas empresas frente al ataque.

    Como resultado del ataque a la web y después de que se lo solucionáramos, el cliente,  además de unas considerables pérdidas de dinero por no poder prestar servicio, tuvo costes adicionales para poder recuperar el servicio y pérdidas de volumen de visitas diarias (a día de hoy aún no ha recuperado el nivel que tenía antes del ataque).

    En el segundo caso, los atacantes aprovecharon una vulnerabilidad presente en la plantilla de la página web. El cliente pidió asesoramiento a una empresa externa de desarrollo web y esta le sugirió una reprogramación de la página web, con los gastos que esto conlleva. El cliente, para monitorizar la seguridad de su página, contrató a Security Guardian para efectuar escaneos de vulnerabilidades.

    Así lo hicimos, y entonces detectamos que la nueva web tenía diferentes vulnerabilidades críticas como inyecciones SQL, XSS y otras que los desarrolladores debían solucionar. Sin embargo, no quisieron asumir los gastos de solucionar las vulnerabilidades detectadas en la página web.

    El cliente, habiendo asumido perdidas y gastos, ya frustrado, enfadado y viéndose superado por un problema desconocido para él y al cual no supo poner solución a tiempo, decidió cerrar su página web.

    ¿Y qué lección aprendió el cliente? Que la seguridad no es tan costosa si se planifica a tiempo y con el apoyo de profesionales.  Además la seguridad puede ser una baza para ganar puntos respecto a los competidores e incrementar la confianza de los clientes, logrando así aumentar las ventas.

    No hay comentarios