miércoles, 28 de marzo de 2012

¿Quién se encarga de la seguridad de mi página Web?

En Security Guardian hemos hecho una campaña comercial con el fin de establecer colaboraciones con empresas que se dedican al desarrollo web para que estas puedan asegurar sus creaciones.

Hemos contactado con mas de 250 empresas, de las cuales hemos visitado más de 20.

Hablando con los diferentes profesionales hemos detectado una gran necesidad: poder testear los desarrollos efectuados con el fin de poder entregar una página Web “segura” a sus clientes. Entre los contactos efectuados hemos encontrado muy pocas empresas que estuviesen efectuando escaneos de vulnerabilidades o pruebas de seguridad de sus creaciones. Las demás empresas han manifestado un interés y una necesidad de nuestra solución ya que actualmente no estaban haciendo estas auditorías de seguridad.   

Un socio de una de las  empresas contactadas (que llamaremos empresa X) en su día nos dijo directamente, y en confianza, que la herramienta era muy interesante y útil, pero él le veía un problema, y el problema es que  ellos ya venden al cliente la seguridad, ya está incluida en el precio, aunque la realidad es que no la verifican con escaneos de vulnerabilidades porque tampoco son expertos en la seguridad.

Verificarla, nos dijo, quiere decir reducir beneficios ya que no podían decirle al cliente que le cobrarían por algo que en teoría ya le estaban haciendo, y que en realidad no le hacían.

Además, nos confesó que había otro problema, y es que si la herramienta hubiese detectado vulnerabilidades en las páginas web, el desarrollador hubiese tenido que asumir los costes de solucionar las vulnerabilidades detectadas.

En base a las informaciones obtenidas decidimos efectuar una campaña y ofrecer gratuitamente un escaneo de vulnerabilidades a empresas que tuvieran externalizado el desarrollo de sus páginas web.
Contactamos con el responsable de marketing (el que se encarga de los contenidos) de diferentes páginas web, entre ellas tiendas online, para ofrecerles la oportunidad de disfrutar de un escaneo de vulnerabilidades de forma gratuita.

Nos hemos encontrado con una situación similar a la anteriormente comentada por el socio de la empresa X, donde el dueño o responsable de la página web, al habilitarnos  para efectuar la auditoría web, nos ponía a la espera de consultar y preguntar a su profesional o empresa de confianza (el webmaster). 

En muchos casos las respuestas que hemos recibido han sido del tipo: “creo que donde hospedo mi página ya se encargan de esto”, “esto creo que lo hace la empresa que me administra la Web”, “mi webmaster dice que ya me da seguridad y que está en el precio.”

En Security Guardian no creemos que un hosting o un webmaster, por defecto, efectúen escaneos de vulnerabilidades de las páginas y/o aplicativos web de sus clientes, ya que legalmente no está permitido efectuar escaneos de vulnerabilidades o auditorías de seguridad sin el permiso del dueño. Otra cosa es que el propietario de la página web contrate un servicio de escaneo de vulnerabilidades para su portal Web o bien este servicio ya esté incluido explícitamente en el contrato.

Por otra parte se necesitan profundos conocimientos de seguridad para realizar auditorías manuales de seguridad de páginas web. Si se utilizan herramientas de escaneos de vulnerabilidades automatizadas, también se necesitan profundos conocimientos para entender los resultados y solucionar correctamente las vulnerabilidades detectadas.

Security Guardian ha detectado una situación donde presuntamente muchos de los propietarios de páginas web pueden tener la creencia equivocada de que la seguridad de su portal estaba incluida por defecto en  el hosting o proporcionada por el profesional o empresa que les hace y/o mantiene su portal web.

Desde Security Guardian queremos dar claridad en este tema, y queremos alertar a los dueños y responsables de las páginas Web, que son ellos realmente quiénes se  verían afectados y tendrían que responder por la presencia de un posible incidente informático.  

A los dueños de las páginas web, les recomendamos que si quieren saber si su proveedor se está ocupando de la seguridad de su página web y efectúa auditorias de seguridad, pueden hacerle las siguientes preguntas: ¿Con qué periodicidad ejecutan un escaneo de vulnerabilidades de mi portal? ¿Cuándo han efectuado la última auditoría de seguridad de mi página web? ¿Puedes enseñarme los resultados?

Respondiendo a la pregunta inicial de quién se encarga de la seguridad de mi página Web, la respuesta podría ser: NADIE. Podemos deducir que se puede dar el caso donde el propietario de la página web crea que un su proveedor se esté encargando de efectuar las auditorías de seguridad y en realidad, no siendo un servicio contratado, no se está llevando a cabo.

Hemos creado Security Guardian para ayudar las empresas en temas de auditorías de seguridad de las páginas web. Security Guardian puede ser usado por:
  1. Hosting y Desarrolladores de las páginas Web para poder gestionar los riesgos de seguridad  
  2. Los Desarrolladores Web para ayudarles a verificar y certificar la seguridad de sus desarrollo
  3. Los dueños de las páginas Web para poder:
o   Gestionar los riesgos de seguridad
o   Verificar el trabajo de su proveedor
o   Verificar la seguridad de su portal
o   Fomentar la confianza online
o   Incrementar las ventas online 
o   Reducir costes en auditorías de seguridad
o   Mejorar la productividad IT
o   Mejorar el posicionamiento orgánico (SEO)
o  Ayudarles con el cumplimientos de la Ley Orgánica de Protección de Datos Personales (LOPD)



www.security-guardian.com        info@security-guardian.com

jueves, 15 de marzo de 2012

¿Son seguras la páginas web?

En Security Guardian realizamos escaneos de vulnerabilidades a páginas Web de forma automatizada en las modalidades bajo demanda o de forma periódica.

En base al resultado de los test de intrusiones efectuados por Security Guardian, si no se detectan vulnerabilidades críticas, se certifica la seguridad y confianza del Website,  mediante el sello de seguridad y confianza online.

Según los resultados de las auditorías de seguridad efectuadas, desde Security Guardian podemos afirmar que en más del 90% de los escaneos realizados se ha detectado alguna vulnerabilidad en la página Web auditada.

Lo más alarmante, que ha sido resaltado por los informes del escáner de vulnerabilidades de Security Guardian,  es que en un 75% de las páginas web auditadas se ha detectado por lo menos una vulnerabilidad crítica.


www.security-guardian.com        info@security-guardian.com