La gestión de las actualizaciones diarias necesarias para mantener el sitio web seguro, demanda un equipo administrativo altamente calificado. Una empresa de gestión de sitio web de terceros ofrece tanto alojamiento gestionado como seguridad, pero la seguridad del sitio depende en gran medida del proveedor.
Las empresas más grandes buscan proveedores de alojamiento de sitios web porque tienen los requisitos reglamentarios que no pueden satisfacer por sí mismas. Los proveedores de productos básicos, desde AWS hasta Azure y Rackspace, proporcionan la infraestructura, pero la empresa supervisa la seguridad del sitio por sí misma.
El auto-monitoreo con un equipo altamente cualificado puede tanto confiar como encomendar su sitio al equipo de seguridad de un proveedor de alojamiento web, pero no todas las organizaciones tienen un personal con la experiencia y la flexibilidad necesarias para construir un programa fuerte de plataforma de seguridad.
“El riesgo de seguridad más grande en el auto-alojamiento es que se enfrentan hacia una amenaza externa, y ésta amenaza puede interactuar con el sitio web”, señaló Jeff Schilling, CSO de FireHost. Se necesita un equipo de seguridad muy sofisticado para alojar una página web con éxito.
“Una página de código abierto como WordPress tiene gran cantidad de vulnerabilidades que hacen que sea fácil tener acceso y llegar, finalmente, a la base de datos”, añadió Schilling. “Un equipo de seguridad tiene que ser capaz de identificar la presencia de amenazas y tener conocimiento de los parches de seguridad”.
Debido a que hay vulnerabilidades de día cero que nadie conoce, las empresas necesitan un equipo de seguridad con las herramientas y capacidades para detectar amenazas, anotó Schilling, quien también señaló que la mayoría de los clientes que vienen a ellos se han visto comprometidos a través de sus sitios web.
“Trataron de alojar por su cuenta, pero se les dijo que perdieron la IP de la empresa, y se dieron cuenta de que no pueden hacerlo por sí mismos”, señaló Schilling.
Las empresas que ya han sido infectadas requieren un equipo de seguridad muy sofisticado para encontrar la amenaza. Schilling añadió: “Estamos en condiciones de encontrar las amenazas que han estado en la red por más de 100 días”.
Schilling también tomó nota de las complicaciones que surgen al parchar diferentes aplicaciones que no son compatibles. “En algunos casos, las empresas no pueden parchar porque rompe la aplicación que han escrito en la parte superior del servidor”, señaló Schilling.
“Las empresas deben invertir en una plataforma web que sea segura. Con plataformas como Java, WordPress o Magenta, necesitan al menos una persona de seguridad que sepa cómo mantener el ritmo. Con estas plataformas de código abierto, las empresas tienen que vigilar sus sitios web por sí mismas”, aconsejó Schilling.
“En la mayoría de los casos, supervisar las plataformas de código abierto y entender si están parchadas o pueden ser parcheadas es un trabajo de tiempo completo”, agregó Schilling.
Dependiendo del tamaño de la organización y los presupuestos de personal, tener su página web gestionada puede proporcionar un modelo de seguridad de inteligencia central que protege a los clientes en todo el camino a través de la pila, anotó Shilling.
La mayoría de las organizaciones que cambian al hosting gestionado de sus sitios web, agregó Schilling, “no quieren ser molestadas con la gestión de la infraestructura. Pueden administrar el contenido dentro de las aplicaciones. El proveedor de alojamiento ofrece la tecnología de trabajo para que los clientes puedan gestionar su contenido”.
Los proveedores de alojamiento web conocen las últimas versiones de las actualizaciones en una variedad de aplicaciones y, según Schilling: “ellos pueden proporcionar mejoras a la infraestructura sin cambiar mucho el servicio. Además, proporcionan almacenamiento de alta velocidad con un mejor rendimiento”.
Si una organización está considerando mudarse a un proveedor de alojamiento, Schilling aconsejó: “asegúrese de que el proveedor de alojamiento esté actualizado”.
Si el equipo de seguridad adecuado para las instalaciones es demasiado costoso, las empresas pueden encontrar que un proveedor de alojamiento es más asequible y eficiente en función de sus necesidades. Schilling indicó: “una empresa de alojamiento de buena reputación debe tener un equipo de seguridad con talento, herramientas, procedimientos, escaneo antimalware, escaneo de vulnerabilidades, y una gran cantidad de herramientas que se puedan aprovechar para detectar actividad de las amenazas”.
Para aquellas empresas que auto alojan sus sitios web, John Bock, vicepresidente de seguridad de software en Optiv, señaló: “Hay muchas opciones de proveedores de servicios web, desde los proveedores en niveles más bajos que ofrecen cosas gratis, hasta los que ofrecen servicios completos. A medida que escala en el precio, usted paga por más aislamiento para que las infracciones sean dependientes de la seguridad de su propio sitio”.
Para la mayoría de las empresas que están decidiendo si auto alojan o externalizan la gestión de sus sitios web, el costo y la seguridad suelen ser la preocupación. Bock explicó: “aparte del costo de tener un equipo interno de gestión, el proveedor de alojamiento conoce más de parches de lo que usted podría”.
Debido a que muy pocos o ninguno de los proveedores de alojamiento estarán de acuerdo con la responsabilidad ilimitada en un contrato, las empresas deben tener en cuenta que incluso si externalizan por completo su desarrollo y gestión de las páginas web, el sitio es de ellos. Se recogerá la información de los clientes y sus datos. En el caso de incumplimiento, el nombre de la empresa, no del proveedor de alojamiento, estará en el centro de atención.
Bock explicó: “Si usted es una compañía de seguros de salud que construye su propio sitio web de nivel de consumo que recoge gran cantidad de datos de los pacientes, y los datos se ponen en peligro, no es solo perjudicial para su reputación y la marca. Hay leyes HIPAA y disposiciones adicionales que pueden resultar en sanciones reales”.
Las organizaciones necesitan hacer un análisis de costo-beneficio y determinar si la seguridad que pueden garantizar en el local superará la de un proveedor de servicios gestionados. Ya sea que tenga un sitio web totalmente gestionado o auto aloje su página web, señaló Bock, “Las reglas del juego son las mismas. Mantenga todo endurecido y los parches al día”.
Cuando se trata de auto alojamiento, un problema de seguridad para Brad Anderson, CEO de Fruition, una agencia digital de servicio completo que ofrece alojamiento y desarrollo de sitios web, es que las empresas apuestan con la esperanza de que van a permanecer bajo el radar y evitarán el riesgo.
Anderson anotó: “Uno de los beneficios de tener un sitio web gestionado es que la empresa cuenta con un equipo dedicado de personal de operaciones de desarrollo que se han especializado en el servidor de seguridad”. La seguridad y la accesibilidad son dos de las preocupaciones más importantes con los sitios web.
“Los lugares como Amazon y Azure no son administrados en gran parte. El autoalojamiento requiere un equipo de administración de servidor interno y la capacidad y los medios para tener acceso al hardware 24/7. La mayoría de los equipos de corporativos de TI no quieren lidiar con esto”, continuó.
Ciertamente, no existe una única razón por la cual las empresas deciden externalizar la gestión de sus sitios web, pero un evento desastroso puede plantear problemas. Darse cuenta de un problema de seguridad o comportamiento sospechoso es una razón por la que las organizaciones contratan servicios externos para gestionar sus sitios web, señala Anderson. “Han ocurrido algunos eventos de seguridad en los que están viendo el comportamiento, pero no han estado del todo seguros de qué hacer al respecto”.
“Con el alojamiento gestionado, se tienen varios niveles de gestión. Está el hosting gestionado y el manejo de la seguridad con WAFs (firewalls de aplicación web por sus siglas en inglés) y firewalls de hardware. Ambos software WAFs como ModSecurity y firewalls de hardware”, anotó Anderson.
Cuando las empresas invierten en hospedaje administrado, finaliza Anderson, “cambian el riesgo y aprovechan el costo de los servidores de seguridad de hardware”.
-Kacy Zurkus, CSO Online (EE.UU.)
