La importancia de construir un portal de cliente seguro
- Mantener seguro su portal de clientes es vida o muerte para su negocio
- ¿Por qué la seguridad es tan importante para los portales de clientes?
- ¿Cómo mantener su portal seguro?
- ¿Puedes construir tu propio portal de cliente seguro?
- Crear un portal de clientes podría llamarse fácil, asegurar uno no podría serlo
- Los portales de clientes tienen el poder de cambiar el “negocio como siempre”
Mantener seguro su portal de clientes es vida o muerte para su negocio
Portales de clientes son puentes digitales que permiten a los clientes utilizar un navegador web (en cualquier dispositivo conectado a Internet) para acceder a una plataforma de cliente basada en inicio de sesión o espacio de cliente para llevar a cabo una serie de tareas críticas:
- Colabore en proyectos, documentos y archivos.
- Almacene cantidades masivas de documentos corporativos vitales en la nube.
- Firme y comparta documentos cruciales con accionistas, socios comerciales y socios.
- Comuníquese de manera efectiva e instantánea dentro de un grupo, con socios comerciales o con un individuo, para aumentar la eficiencia en el lugar de trabajo asociada con proyectos, archivos, hojas de datos, etc.
portales de clientes brinde a las empresas y sus socios, trabajadores remotos, personal en el extranjero y especialistas subcontratados un espacio digital mutuo y compartido para proyectos y optimización del flujo de trabajo, todo a través de un sistema que es más seguro que su predecesor: el correo electrónico. Mientras que el correo electrónico utiliza servidores remotos y, a veces, cifra las comunicaciones con el cifrado de seguridad de la capa de transporte (TLS) durante el proceso de transferencia de datos, los portales de los clientes suelen utilizar el cifrado TLS de extremo a extremo para todo el proceso de transferencia de datos y los procesos de almacenamiento de datos. Por lo tanto, el espacio de trabajo del cliente compartido (portales del cliente) utilizado para compartir archivos críticos y colaborar en documentos cruciales debe ser completamente seguro.
Los portales de clientes son comunes en las industrias de la salud y los sistemas bancarios. Por ejemplo, es posible que los usuarios necesiten acceder a un espacio de cliente seguro que contenga sus registros y datos de salud vitales, o sus registros bancarios, estados de cuenta y saldos. Estas plataformas de clientes también tienen aplicaciones web optimizadas integradas que permiten llevar a cabo flujos de trabajo específicos, como compartir documentos de salud con un médico, enviar dinero a una cuenta bancaria externa o incluso invertir en acciones. En el mundo corporativo, un sistema de espacio/portal de cliente de este tipo puede brindar a los socios la capacidad de acceder y colaborar en planos de proyectos cruciales, conciliaciones financieras y acuerdos de accionistas, todo a través de la nube.
La seguridad de dichos portales es de suma importancia. Los documentos esenciales, hojas de trabajo del proyecto, archivos financieros, acuerdos de accionistas, etc, están seguros, protegidos y accesibles solo para los clientes pertinentes. En el caso de una violación de datos, a través de ataques Man-in-the-Middle, mecanismos de autenticación fallidos o técnicas de inyección de código, entre otros vectores de ataque, se pueden filtrar terabytes de datos corporativos vitales y la información clasificada de los socios de una empresa puede también ser filtrado. El malware, como el ransomware, también se puede instalar en los servidores de la nube, lo que brinda a los usuarios malintencionados una puerta trasera a la infraestructura de TI y los datos más importantes de una empresa, lo que podría costarle a la empresa millones de dólares en daños y multas.
Al tratar con los detalles de la seguridad de TI del portal del cliente, se debe tener en cuenta un factor y un subfactor específicos:
- Seguridad de la red
- seguridad en la nube
Minimizar la superficie de ataque del ecosistema del espacio del cliente/portal del cliente basado en la nube fortaleciendo la tecnología a través de controles de seguridad es uno de los procesos más importantes que una empresa con un portal del cliente puede tomar. Estos pasos para mantener la integridad de los datos no solo protegen a la empresa, sino también a sus clientes y clientes.
¿Por qué la seguridad es tan importante para los portales de clientes?
Los portales de clientes funcionan como espacios digitales compartidos basados en la nube para que sus clientes se "reúnan" electrónicamente y trabajen juntos en proyectos, flujos de trabajo estratégicos y tácticos, y principalmente para impulsar el negocio. Para que su negocio prospere, el sistema utilizado para comunicaciones y colaboraciones tan críticas debe funcionar de manera óptima y ser completamente seguro, no solo para proteger su negocio sino también para cumplir con la legislación y proteger a sus clientes.
Muchas industrias estándar confían cada vez más en los portales de clientes como el centro digital central para socios comerciales en lugar del correo electrónico:
- Los abogados comparten documentos vitales y archivos de casos con los clientes a través de portales de clientes.
- Los médicos envían a los pacientes documentos de salud críticos a través de los espacios del portal del cliente.
- Las grandes empresas hacen tratos comerciales esenciales con asociados a través del intercambio de contratos y calendarios/cronologías de proyectos.
- Incluso funciones esenciales realizadas a través de portales como el pago de facturas y la firma de documentos.
Todos los cuales confían en la seguridad de sus portales de clientes. Todo lo relacionado con la integridad de su marca depende de cuán seguro sea su portal de clientes para agilizar las comunicaciones y hacer que las colaboraciones sean más eficientes.
Los clientes depositan su confianza en ti
La confianza del cliente es el primer paso para crear una base de clientes leales y aumentar los embajadores de la marca de su empresa, todo lo cual se traduce en mejores resultados. Del mismo modo, mejorar la confianza de los clientes y socios comerciales al mismo tiempo que aumenta la conveniencia de completar los flujos de trabajo a través de los sistemas de portal de clientes mejora la eficiencia comercial y garantiza que sus clientes sean leales a su empresa. La confianza cliente/cliente no es solo un concepto o filosofía abstracta, sino una herramienta concreta que se traduce en un mejor negocio desde una perspectiva financiera. Más clientes significan más ingresos para su empresa.
Al mismo tiempo, perder la confianza de sus clientes/clientes al no tomar la debida diligencia para proteger su portal de clientes puede resultar en costosas violaciones de datos que pueden exponer la PII (Información de identificación personal) de sus clientes/clientes. Cuando los clientes reconocen una empresa que no los valora lo suficiente como para proteger sus intereses y activos privados, pierden la confianza en la marca, lo que puede costarle a la empresa miles de millones de dólares en pérdida de clientes y reducción de ventas.
La jurisdicción múltiple ahora tiene una ley de datos estricta
Para las empresas que operan en ciertas regiones, como EE. UU. y la UE, deben operar en pleno cumplimiento de las leyes y legislaciones de esas respectivas regiones. El incumplimiento, que a menudo se debe a la falta de diligencia en la protección de los datos privados de los clientes y clientes, a menudo da lugar a sanciones severas, como multas costosas que pueden ascender a millones de dólares. Algunas de las leyes regionales de seguridad y privacidad de datos más críticas son:
- Estados Unidos
- Ley Gramm-Leach-Bliley: ley de seguridad y privacidad de datos financieros
- HIPAA – Ley de información de salud privada
- CCPA /Ley de Privacidad del Consumidor de California: ley de privacidad del consumidor, que se aplica solo a las empresas que operan en California
- unión Europea
- RGPD/Reglamento general de protección de datos: ley de seguridad de datos de empresas y consumidores que cubre la UE
Las empresas que utilizan portales de clientes deben asegurarse de que están en pleno cumplimiento con las leyes de privacidad y seguridad de datos de la región pertinente para garantizar que no se les impongan multas elevadas.
Una infracción podría ser el final de su negocio
Cuando las empresas sufren filtraciones de datos significativas, las consecuencias y los costos asociados con los daños a menudo suman millones de dólares, que muchas empresas simplemente no pueden permitirse. Evitar tales multas y daños asegurando el portal de clientes de su empresa puede salvar a su negocio de una violación de datos que termine con su negocio.
¿Cómo mantener su portal seguro?
Cualquier empresa que albergue PII de clientes y datos corporativos críticos de cualquier tipo, mientras toca Internet, es susceptible a una variedad de posibles vectores de ataque de TI, desde desbordamientos de búfer, inyección de código, ransomware de botnets, etc. Los portales de clientes no son una excepción. Las partes malintencionadas pueden piratear aplicaciones web que albergan datos comerciales cruciales y los datos vitales asociados con clientes, asociados y socios.
Varios de seguridad mejores prácticas pueden adoptarse e implementarse para garantizar la seguridad completa de los datos, todo lo cual gira en torno a la gestión responsable de una variedad de controles de seguridad de TI y la correcta integración de todos los sistemas asociados con la solución del portal del cliente.
Use una plataforma administrada que comparta la responsabilidad
Las plataformas administradas externas para la implementación del portal de clientes de su empresa son una realidad en 2020. Esta solución permite que los administradores externos calificados administren la plataforma del portal de clientes mientras alinean la configuración del portal con las necesidades de seguridad específicas de su empresa. Esta solución permite que su negocio se concentre en llevar a cabo flujos de trabajo críticos, mientras que los profesionales relevantes mantienen segura la aplicación del portal del cliente.
Asegúrese de que quien lo construya comprenda bien la seguridad
Es fundamental que los ingenieros que desarrollan el portal del cliente comprendan las metodologías de codificación segura y las 10 principales vulnerabilidades de seguridad de OWASP que a menudo plagan las aplicaciones web y el software en 2020. Desarrollar el portal del cliente teniendo en cuenta la seguridad durante todo el ciclo de vida del desarrollo de software permitirá Solución de TI para que funcione según lo previsto (es decir, de forma segura) sin que los administradores necesiten refactorizar y parchear la aplicación debido a las vulnerabilidades integradas en el código de la aplicación.
Use una verificación de dos pasos
Cuando se trata de autenticar a los usuarios pertinentes, el uso de más de un paso de autenticación o verificación garantizará que solo las personas correctas tengan acceso a las secciones correctas del sistema del portal del cliente. Este paso adicional (autenticación dual, que a menudo utiliza un código OTP de correo electrónico o SMS) actúa como una capa adicional de defensa contra los piratas informáticos que buscan obtener acceso no autorizado al espacio del cliente.
Establecer una política de retención
Una política de retención garantiza que los datos se administren y retengan correctamente, de acuerdo con una estrategia, lo que ayuda a garantizar que la información innecesaria no se almacene de manera que los piratas informáticos puedan acceder en caso de una violación de datos.
Desactive sus portales no utilizados
Supongamos que ya no se necesitan portales de clientes específicos. En ese caso, las empresas deben desactivar dichos portales para garantizar que los usuarios maliciosos no puedan acceder a datos esenciales y PII.
Establezca la limitación de acceso dentro de sus portales
El uso de metodologías de control de acceso es esencial para administrar de forma segura quién tiene acceso a qué dentro de todo el ecosistema del portal del cliente. El control de acceso y la gestión de acceso giran en torno a determinar y gestionar cómo se accede a los recursos y quién tiene acceso a ellos.
Usar cifrado
El cifrado TLS de extremo a extremo de 256 bits de nivel empresarial (a través del protocolo HTTPS) garantiza que los clientes, socios y asociados que accedan al portal del cliente a través de un navegador web puedan acceder de forma segura al sistema sin fugas de datos o flujos de datos de texto sin formato y paquetes que son olfateados (capturados) y leídos por usuarios malintencionados. La PII guardada en la base de datos del servidor también debe ser codificada para garantizar que los usuarios maliciosos no puedan leer las contraseñas de los usuarios o los datos de la tarjeta de crédito en caso de una violación de datos.
Software de portal de cliente seguro
No hay escasez de sistemas de software de portal de cliente seguro, estándares, controles de seguridad y marcos que se pueden adoptar para garantizar que su portal de cliente se mantenga completamente seguro:
- Software WAF (Cortafuegos de aplicaciones web)
- Software antimalware (es decir, para proteger contra troyanos, gusanos, ransomware, virus, etc.)
- Robustos mecanismos de control de acceso
- Funciones de autenticación y autorización
- Sistemas de seguridad TI correctamente configurados
- Sistemas actualizados de sistemas heredados
- Hashing de PII en la base de datos del servidor
- Auditorías y Logs (de todos los accesos y procesos realizados por los usuarios)
- Alertas automatizadas (que permiten a los administradores saber cuándo los usuarios acceden o actualizan algo en el sistema)
Es esencial que el personal de seguridad trabaje en conjunto con los administradores de soporte de TI, y que todos los equipos de soporte y mantenimiento de los sistemas estén capacitados en las mejores prácticas de seguridad. Si lo hace, ayudará a garantizar que no ocurra un error humano de una manera que pueda resultar en una costosa violación de datos.
Cumplir con el estándar ISO-27001 garantizará una seguridad de TI completa, mientras que los marcos de gestión de riesgos, como NIST 800-37, ayudarán a mantener segura a cualquier empresa.
El uso de almacenes de datos y servidores en la nube alojados en forma privada en el sitio puede brindar a los profesionales de TI una capa adicional de seguridad física y administración directa de los servidores de la base de datos (nube).
La seguridad del software no es un tema sencillo
El fortalecimiento de los sistemas de software de una empresa es un tema amplio que requiere amplias habilidades en una variedad de disciplinas de seguridad de TI. Debido a las necesidades únicas de un negocio específico y las diferentes integraciones y sistemas dentro de la infraestructura de TI de cualquier empresa, es esencial tener en cuenta que el software siempre puede ser seguro o inseguro según cómo se desarrolle, use e implemente. No existe un enfoque único para la seguridad de TI.
Cualquier software puede construirse para ser seguro
El desarrollo de una solución de portal de cliente personalizado utilizando metodologías de codificación seguras (es decir, validación de entrada) ayudará a un ingeniero comercial a portal de cliente personalizado y seguro desde el principio.
El uso de portales de clientes listos para usar e integraciones de terceros con soluciones de portales de clientes puede ahorrarle tiempo a una empresa. Sin embargo, se debe priorizar una solución que carezca de fallas de seguridad comunes que a menudo afectan a las aplicaciones y sistemas de portales de clientes listos para usar que se adaptan a todos, por encima de la conveniencia.
Diferentes productos de proveedores utilizarán diferentes herramientas
Los diferentes proveedores que ofrecen soluciones de portal de clientes utilizarán varias herramientas y se desarrollarán de manera diferente. Es crucial para las empresas que buscan utilizar soluciones de terceros asegurarse de que los productos patentados que utilizan no solo ofrezcan las funciones y herramientas correctas y más relevantes, sino que también hayan sido diseñados y desarrollados teniendo en cuenta la seguridad.
Siempre que se planifique la seguridad, el software puede ser seguro
Antes de comenzar cualquier proyecto de desarrollo de software, el producto/solución en cuestión debe planificarse desde el principio teniendo en cuenta la seguridad. Dentro de desarrollo de software seguro ciclo de vida (SSDLC), los aspectos más importantes de un portal seguro en desarrollo incluyen:
- Codificación segura
- Validación de entrada
- Portal de autenticación robusto
- Sanitización de datos
- Implementación de controles de seguridad y software.
Utilizando el Top 10 de OWASP es uno de los pasos más críticos para mitigar los vectores de ataque populares, en el que los ingenieros deben reducir de manera proactiva:
- Inyección de código
- XSS (secuencias de comandos entre sitios)
- Inyección SQL
- Control de acceso roto
- Autenticación rota
- Fuerza bruta de contraseñas y ataques de diccionario
- Botnets/Malware
Los ingenieros también deben utilizar la defensa en profundidad al usar:
- Marco de Gestión de Riesgos: Un sistema para gestionar, priorizar, evaluar e identificar riesgos para los sistemas de TI.
- Sistema de Modelado de Amenazas: La identificación de amenazas como base del diseño y desarrollo del sistema.
Identificar y minimizar las amenazas y los riesgos antes de que sucedan ayuda a garantizar que la mayoría de los vectores de ataque contra el portal de clientes y los sistemas de TI de una empresa fallen.
En última instancia, todos los sistemas y aplicaciones de TI deben basarse en una estrategia de seguridad de TI integral y sólida que preceda al SDLC seguro asociado con el desarrollo del sistema y la aplicación empresarial del portal del cliente.
La seguridad es más que solo software
En última instancia, el vector de ataque más potente es, y siempre será, la ingeniería social y la explotación del error humano. Las personas, no los sistemas de software, representan el factor más importante cuando se trata de la seguridad del software. Dado que el error humano juega un papel importante en la postura de seguridad de una empresa, es fundamental que todos los miembros del equipo que trabajan con los sistemas de portal de clientes de una empresa reciban capacitación sobre las soluciones existentes y reconozcan las amenazas y los riesgos para la postura de seguridad de la empresa. Esa infraestructura.
¿Puedes construir tu propio portal de cliente seguro?
Debido a la complejidad de la solución y los riesgos asociados con las filtraciones de datos, generalmente no se recomienda a las empresas que diseñen su solución de portal de clientes desde cero. Sin embargo, si la idea de hacerlo parece plausible, existen ventajas al hacerlo, como utilizar sus ingenieros internos para crear una solución propietaria. El nuevo portal puede ser impulsado por la estrategia y totalmente personalizable que se alinea perfectamente con la estrategia empresarial general y la estrategia de gestión de la seguridad de la información de la empresa. Sin embargo, crear una solución de portal de clientes realmente segura, con la mejor postura de seguridad, no es fácil. Cualquier agujero de seguridad potencial en la aplicación puede permitir que se ejecuten exploits poderosos en los servidores del portal, lo que resulta en daños costosos.
La seguridad no es un proceso fácil de aprender
El desarrollo seguro de una solución sólida de portal de clientes es una tarea difícil que requiere un amplio conocimiento de las mejores prácticas de seguridad de TI y una gran cantidad de habilidades y experiencia. Una empresa tan masiva también implica el uso de metodologías de codificación seguras, como:
- Validación de entrada
- Diseño de arquitectura segura
- Ingeniería de Defensa en Profundidad
- Gestión de privilegios
- Sanitización de datos
También se requiere el uso de modelos de subprocesos, la gestión de riesgos y la definición de un estándar de seguridad de TI específico y una estrategia de la empresa. La creación de una aplicación de este tipo puede ser factible, pero cualquier error en el código puede resultar en filtraciones de datos costosas.
El uso de aplicaciones y productos administrados puede permitir la personalización de un portal seguro existente
Un método para implementar un portal de cliente personalizado internamente para su negocio es mediante el uso de aplicaciones administradas que están diseñadas para alinearse con la estrategia y el estándar de seguridad de la empresa, un conjunto de tareas que normalmente lleva a cabo el CIO o CISO de la empresa. Las aplicaciones administradas son aplicaciones administradas por un administrador o el proveedor que se pueden personalizar para alinearse con el estándar de seguridad de la empresa, lo que libera a la empresa para usar e implementar la aplicación sin tener que preocuparse por la administración de la aplicación. Estas aplicaciones altamente personalizables son una manera fácil para que una empresa cree una solución de portal de cliente personalizada que ya existe como una solución empresarial.
Si es necesario, siempre puede contratar expertos en seguridad para verificar su código
Las revisiones de código y los análisis de vulnerabilidades son dos formas importantes para que las empresas verifiquen una y otra vez la postura de seguridad de sus aplicaciones. Por lo general, los programas automatizados llevan a cabo las revisiones iniciales del código, dejando que los expertos en seguridad de TI revisen más el código para garantizar que no existan vulnerabilidades de seguridad.
Por ejemplo, si una empresa decide diseñar su solución de portal de clientes desde cero pero carece de expertos en codificación segura de TI, entonces los ingenieros de la empresa pueden hacer un portal de clientes funcional pero pueden producir una solución que tenga fallas debido a agujeros de seguridad. En tal situación, es muy beneficioso para una empresa de este tipo contratar revisores de codificación segura para revisar minuciosamente el código y garantizar que la aplicación sea una solución empresarial diseñada de forma segura.
Crear un portal de clientes podría llamarse fácil, asegurar uno no podría serlo
Si bien es factible desarrollar un portal de cliente personalizado, no es fácil garantizar que sea completamente seguro, sin vulnerabilidades de seguridad y configurado correctamente y administrado de manera consistente. Tales tareas multifacéticas requieren:
- Múltiples profesionales de TI
- especialistas en seguridad
- Revisiones de código
- Especialistas en infraestructura
A menudo, es mejor optar por soluciones listas para usar personalizadas para satisfacer las necesidades específicas de su empresa.
Los portales de clientes tienen el poder de cambiar el “negocio como siempre”
Los portales de clientes son activos comerciales valiosos que pueden cambiar radicalmente la forma en que interactúa con sus clientes y consumidores. Si bien los portales de clientes pueden afectar significativamente las operaciones de su empresa al aumentar la eficiencia y la productividad operativa, en última instancia, su portal es tan útil como seguro. Asegurar los sistemas de su portal de clientes le ahorra a su empresa multas y juicios costosos y protege a sus clientes/consumidores y su marca. Es crucial garantizar la seguridad completa de los datos y proteger todo su portal de clientes con una amplia gama de controles de seguridad y las mejores prácticas de seguridad de TI, que en última instancia protegen su propiedad intelectual y mejoran la experiencia de sus clientes.
Si quieres conocer otros artículos parecidos a La importancia de construir un portal de cliente seguro puedes visitar la categoría Seguridad.
Entradas Relacionadas 👇👇