Las 5 mejores prácticas para portales de clientes seguros y protegidos

Los sistemas de portal de clientes pueden cambiar radicalmente el "negocio como de costumbre" para su empresa, independientemente del tamaño o la industria de su empresa. portales de clientes son puertas de enlace electrónicas a un espacio digital compartido y de acceso mutuo que permite a su empresa y a sus clientes compartir datos comerciales críticos, firmar contratos, realizar pagos, ver registros financieros, colaborar en proyectos, monitorear flujos de trabajo y más. En casi todas las comunicaciones por correo electrónico, excepto en reemplazo, los dos usos importantes de los portales de clientes son:

1. Comunicación
2. Colaboración

Optimizar las comunicaciones y las colaboraciones/flujos de trabajo a través de un espacio digital seguro y compartido puede brindarle a su empresa la capacidad de trabajar con socios comerciales, asociados, clientes y accionistas de una manera más factible y optimizada. Para que los portales de clientes sean realmente útiles, los archivos, documentos, registros, información y datos críticos que se comparten dentro del espacio del cliente deben mantenerse seguros. Deben existir privilegios de usuario, funciones de autenticación, encriptación y mecanismos de autorización. La adopción de las mejores prácticas de seguridad de TI le permitirá a su empresa minimizar las fugas de datos, las violaciones de datos y los incidentes de piratería, todo lo cual puede sumar millones de dólares en daños.

Desarrollando su solución de portal de clientes tiene varias ventajas. El uso de aplicaciones/plataformas administradas o soluciones de desarrollo de plataformas en la nube personalizables le brinda a su empresa la capacidad de alinear el portal del cliente con el plan estratégico de su empresa. Este proyecto de desarrollo le permite a su empresa administrar flujos de trabajo de manera consistente y automatizar el mantenimiento a medida que cambian las necesidades de su empresa, al mismo tiempo que ayuda a su empresa a escalar de acuerdo con la evolución de la solución de portal.

Para que se realice una solución de portal de este tipo, se necesitan varios controles de seguridad, todos los cuales deben estar alineados con tres protocolos de seguridad de TI separados:

• plan estratégico de seguridad TI
• Marco de gestión de riesgos
• Sistema de modelado de hilos

Un portal de cliente patentado y personalizado requiere que se adopten estos cinco controles/procedimientos de seguridad principales:

• Base de datos segura
• Cifrado/Hashing
• Control de acceso
• Autenticación
• Autorización

Adoptando el Norma ISO-27001 y usando un robusto Marco de gestión de riesgos, junto con la implementación de un potente firewall y TLS de 256 bits, cifrado de extremo a extremo, son formas importantes para que su empresa se mantenga a la vanguardia de la curva de seguridad.

Cree un núcleo sólido teniendo en cuenta la seguridad

Mantenimiento la postura de seguridad de su portal de cliente personalizado comienza con la minimización de todos los agujeros de seguridad en la solución del portal de su empresa, junto con la implementación de controles de seguridad sólidos a nivel empresarial y el fortalecimiento de todos los sistemas pertinentes contra usuarios maliciosos (por ejemplo, piratas informáticos).

El núcleo es su base de datos

El núcleo del sistema del portal del cliente comienza con la base de datos que existe en el espacio del cliente digital compartido basado en la nube al que se accede a través del portal del cliente. Tales bases de datos generalmente incluyen un RDBMS y, por lo general, operan a través del lenguaje SQL, lo que hace que estos sistemas sean potencialmente susceptibles a Ataques de inyección SQL. Es fundamental fortalecer los sistemas de base de datos de su portal, ya que todos los datos cruciales se almacenarán en dichos sistemas.

Crear políticas de retención

Dentro del ámbito de la seguridad de TI, una política de retención es un procedimiento estratégico para determinar cuánto tiempo se almacenarán ciertos conjuntos de datos corporativos, dónde se almacenarán y cómo se organizarán los datos críticos. Dicha política es clave para garantizar que solo la información más relevante y vital se almacene y conserve para colaboración y referencia futura.

Las políticas de retención también están integradas con la administración de usuarios y determinan qué usuarios tienen acceso a qué datos, en qué momento.

Sepa cuándo desactivar usuarios inactivos

Es crucial que los privilegios de acceso de los usuarios estén bien administrados para que los usuarios que no tienen motivos para acceder a los datos del portal o acceder al espacio del cliente en su totalidad, puedan desactivarse de acuerdo con las necesidades de la empresa.

Tenga un mapa claro de qué datos estarán en el portal

Si bien puede ser tentador para las empresas incluir todos los datos de la empresa en el espacio del portal del cliente basado en la nube, debe existir un plan y un mapa específicos. Este punto de referencia ayudará a determinar con precisión qué datos e información habrá en la solución del portal del cliente.

Tenga políticas implementadas para datos antiguos

Su empresa también debe tener una política completa pero sencilla que revele con precisión cómo se deben tratar los datos antiguos de los clientes, ya sea para eliminarlos o para hacer una copia de seguridad de los datos, etc.

Emplear transferencia TLS forzada

Dado que los portales de clientes son aplicaciones web sólidas que permiten a los clientes de su empresa acceder al espacio de cliente compartido a través de un navegador web, el portal de clientes debe diseñarse especialmente para que fuerce el uso de HTTPS en el navegador web que se utiliza, lo que indica datos protegidos a través de Cifrado de seguridad de la capa de transporte (TLS) de extremo a extremo. TLS "codifica" (cifra) los datos en transmisión y almacenamiento. De esa forma, los usuarios maliciosos, incluso cuando usan rastreadores de paquetes para capturar datos web, no pueden leerlos ni descifrar la información en texto sin formato.

Mantenga controles granulares de acceso de usuario

Dentro del mundo de TI, el control de acceso granular y la gestión de acceso indican niveles distinguibles y claramente definidos de controles muy diferentes que determinan seis diversos aspectos del acceso al sistema de TI:

• Quién: este nivel de control de acceso determina quién puede obtener acceso a cualquier parte determinada de un sistema.
• Determinar por qué un empleado o contratista tiene acceso a una parte determinada de un sistema ayuda a formar pistas de auditoría para cada acción realizada dentro del sistema del portal del cliente. Ayuda a los ejecutivos de TI a administrar mejor a quién se le otorga acceso en función de por qué pueden necesitar acceso en primer lugar.
• Qué: este control determina a qué pueden acceder los usuarios y qué pueden hacer.
• Cuándo: este control ayuda a determinar si el acceso al sistema durante ciertos momentos (es decir, fuera del horario comercial) es apropiado y garantiza que el personal acceda al sistema solo cuando sea necesario.
• Cómo: el método de autenticación de inicio de sesión (es decir, autenticación dual) y la gestión de sesiones son vitales para garantizar que el portal del cliente se mantenga seguro y que solo el personal pertinente pueda acceder a él.
• Dónde: si bien permitir que los trabajadores remotos accedan y actualicen el portal del cliente es una parte integral de la funcionalidad del portal del cliente, los administradores de seguridad deben asegurarse de que las direcciones IP utilizadas para acceder al espacio del portal sean adecuadas. El control de acceso granular garantiza que solo ciertas ubicaciones geográficas puedan acceder al sistema, lo que reduce la posible actividad maliciosa.

Autenticación a nivel de usuario

Los mecanismos sólidos de autenticación a nivel de usuario son fundamentales para garantizar que solo aquellos para quienes sea apropiado accedan al portal del cliente y que dicho personal y asociados solo puedan acceder a los recursos dentro del espacio del cliente que son pertinentes para su trabajo. La adaptación e implementación efectiva de mecanismos de autenticación a nivel de usuario ayudará a mantener el portal de clientes de su empresa seguro y protegido.

Adopte políticas de contraseña seguras

Las contraseñas siguen siendo el método de autenticación más común entre los sistemas web y de TI. La adopción de políticas de contraseñas seguras no permitirá a los usuarios (que están configurando sus perfiles de inicio de sesión) usar contraseñas débiles. Esto incluye contraseñas sin números, sin distinción entre mayúsculas y minúsculas y contraseñas que carecen de al menos un carácter especial. El uso de esta estrategia minimiza drásticamente la probabilidad de que los usuarios maliciosos descifren la contraseña de un usuario.

Las contraseñas que requieren una cierta longitud y se comparan con los diccionarios de contraseñas tienden a ser lo suficientemente seguras como para que los piratas informáticos no las descifren que emplean ataques de fuerza bruta, ataques de diccionario y ataques de descifrado de contraseñas de cumpleaños.

Practica la verificación en dos pasos

Las empresas también deben adoptar mecanismos de autenticación dual que requieran una contraseña personalizada y un paso adicional y un nivel de seguridad de autenticación para iniciar sesión. Este paso adicional generalmente se aplica cuando un usuario inicia sesión desde un dispositivo o ubicación desconocidos y ayuda a evitar el acceso no autorizado a el sistema del portal del cliente. Los procesos de doble autenticación incluyen el envío de un código de seguridad adicional al correo electrónico o dispositivo móvil aprobado de un usuario cuando el usuario intenta iniciar sesión con la contraseña correcta.

Utilice la protección de inicio de sesión de fuerza bruta

Los scripts de fuerza bruta pueden automatizar la ejecución de todas las combinaciones posibles de letras, números y caracteres para permitir que un usuario malintencionado "adivine" la contraseña correcta. Esto requiere ingresar continuamente contraseñas en el sistema, lo que significa una gran cantidad de intentos de inicio de sesión. Limitar la cantidad de intentos de inicio de sesión posibles antes de que el sistema bloquee al usuario es una función de seguridad que puede evitar ataques/intentos constantes de fuerza bruta. El uso de la tecnología captcha puede evitar que los bots y los programas automatizados adivinen las combinaciones correctas de contraseñas del usuario.

Establecer límite de acceso a los portales

Limitar el acceso de los usuarios cuando están dentro del sistema del portal del cliente, que es una función de autorización, restringe el acceso del personal a información y datos a los que no necesitan acceder. En consecuencia, la administración de acceso y privilegios de usuario es vital incluso para usuarios autenticados.

Autorización de nivel de usuario

Una vez que un usuario se autentica, debe estar autorizado para saber qué datos puede o no puede acceder. Los usuarios autenticados también deben estar autorizados para mantener y garantizar un sistema completamente seguro en el que solo las personas pertinentes puedan acceder tanto al sistema como a los archivos adecuados dentro del sistema.

Agrupación de usuarios para lograr una autorización eficiente

El método principal para administrar los privilegios de usuario y la administración de autorizaciones a nivel de usuario es mediante la creación y asignación de diferentes roles para diferentes grupos de usuarios que se pueden alinear con grupos de datos, información y proyectos dentro del portal del cliente. Con dicho sistema, solo las personas autenticadas pueden acceder al sistema y estar autorizadas para ver solo lo que es relevante para ellos.

Con este fin, los roles específicos pueden incluir:

• Administración
• Superadministrador
• Usuario
• Ingeniero
• Analista
• Tutor

Los proyectos y conjuntos de datos específicos para cada usuario mencionado anteriormente pueden incluir:

• Grandes proyectos y conjuntos de datos
• Todos los proyectos, hojas de datos financieros y conjuntos de datos
• Archivos de flujo de trabajo básicos
• Hojas de código
• Planes estratégicos y anteproyectos
• Estadísticas corporativas y archivos de gestión de proyectos

No proporcione acceso innecesario a usuarios que no lo necesitan

El acceso a cada archivo dentro del sistema del portal del cliente debe estar alineado con ciertos grupos, por lo que es vital que las empresas no proporcionen acceso aleatorio a los datos a los que un grupo de usuarios determinado no necesita acceder para cumplir con sus funciones.

Elija su plataforma con cuidado

Al elegir la plataforma de desarrollo e implementación para su solución de portal de cliente basada en la web, su empresa tiene varias opciones, que deben basarse en la estrategia general de seguridad de TI de la empresa. Los portales de clientes se pueden diseñar a través de soluciones de plataforma personalizadas, soluciones listas para usar (preconstruidas, personalizables) o soluciones de código abierto. Cada solución tiene sus pros y sus contras.

Plataformas completamente personalizadas

Las plataformas completamente personalizadas requieren una gran cantidad de trabajo y soporte, y deben codificarse con metodologías de codificación seguras que los ingenieros deben conocer.

Las plataformas personalizadas tienen muchos pros y contras:

• ventajas
  • Las plataformas personalizadas permiten que una empresa adapte una solución personalizada que beneficie sus necesidades y estrategias específicas.
  • Las plataformas personalizadas se pueden diseñar para que funcionen de manera más eficaz y eficiente, especialmente cuando se integran con otros sistemas empresariales.
• Contras
  • Las plataformas personalizadas son costosas de utilizar para la ingeniería de portales de clientes y requieren un mantenimiento extenso.

Plataformas listas para usar

Las plataformas listas para usar son sistemas prediseñados que permiten a una empresa implementar rápidamente un portal de clientes con una sobrecarga mínima.

• ventajas
  • Dichas plataformas se instalan, utilizan e implementan fácilmente y, a menudo, permiten que se lleven a cabo todas las funcionalidades principales.

• Contras
  • Dichos sistemas no están personalizados para las necesidades específicas de una empresa, a menudo están repletos de funciones innecesarias y no se integran fácilmente con los sistemas empresariales ya existentes de una empresa.

Plataformas de código abierto

Las plataformas de código abierto son, en su mayoría o en su totalidad, plataformas gratuitas que brindan a las empresas la capacidad de aprovechar plataformas probadas y (normalmente) seguras para la implementación de una solución de portal de clientes.

• ventajas
  • Las plataformas de código abierto suelen ser gratuitas, fáciles de implementar, pueden integrarse con sistemas empresariales específicos y pueden personalizarse para adaptarse y alinearse con la estrategia empresarial de una empresa.
• Contras
  • Por otro lado, algunas plataformas de software de código abierto no son fáciles de integrar con sistemas de software propietario (lo que crea problemas de compatibilidad) y pueden ser difíciles de usar debido a las pronunciadas curvas de aprendizaje.

Combinaciones

Un enfoque "híbrido" de usar una plataforma personalizada con componentes prediseñados agregados puede ser la mejor estrategia para cualquier negocio. Por ejemplo, se puede utilizar un sistema de gestión de contenido (CMS), como WordPress, para el desarrollo web personalizado. Al mismo tiempo, los módulos y componentes de WordPress prediseñados se pueden agregar al sistema personalizado para ofrecer una solución híbrida.

Consulte este artículo sobre los 8 mejores complementos del portal de clientes de WordPress

Plan de mantenimiento

Incluso la aplicación web de portal de clientes más robusta y bien construida requerirá mantenimiento y actualizaciones de seguridad ("parches"). Dado que los flujos de trabajo de mantenimiento y soporte requieren personal calificado y de gastos generales, las empresas de todos los tamaños deben incluir dichos procedimientos de mantenimiento en la estrategia general del portal del cliente a largo plazo.

La construcción es solo el comienzo

Crear un portal de clientes es solo el comienzo. Se necesitarán administradores de soporte y mantenimiento para garantizar que la solución del portal continúe funcionando de manera efectiva, que se adapte a las necesidades de la empresa y que cualquier vulnerabilidad de seguridad detectada se mitigue de inmediato.

Administrar el Portal será un costo continuo

Siempre se necesitarán administradores de soporte y mantenimiento para monitorear y corregir continuamente la solución del portal del cliente siempre que su empresa use la aplicación. Deberán asignarse recursos y personal para mantener la solución del portal a lo largo de su ciclo de vida.

Asegúrese de tener personal interno que comprenda los conceptos básicos

Después de desarrollar la solución del portal del cliente, su empresa necesita personal interno que conozca bien la seguridad de las aplicaciones web y la actualización y el mantenimiento de la solución del portal del cliente, todo lo cual garantizará que la solución siga funcionando para su empresa según sea necesario.

Plan para la funcionalidad y el crecimiento futuros

A medida que su empresa crece, el portal del cliente debe diseñarse y desarrollarse desde cero con dicha escalabilidad. Permitir que el portal del cliente evolucione con su negocio y se desarrolle de modo que se puedan agregar funcionalidades adicionales de manera factible garantizará que la solución del portal tenga un ROI máximo y siempre será pertinente para su negocio.

Las integraciones son cruciales

Permitir que su portal de clientes se integre con otros activos web de la empresa garantizará que la solución del portal ofrezca una experiencia optimizada y fluida que ayudará a sus operaciones comerciales. Por ejemplo, la solución del portal del cliente se puede vincular a varias tecnologías avanzadas para el crecimiento futuro de la empresa, incluidas las suites ERP, los sistemas de análisis de IA y más.

Tenga en cuenta los principios del acoplamiento suelto

Si bien las integraciones son necesarias en relación con el software empresarial que trabaja en conjunto, el aislamiento de componentes de construcción dentro de un sistema: bajo acoplamiento – también es vital para garantizar que los componentes de sus sistemas (en este caso, una solución de portal de cliente) se puedan implementar, probar, escalar, cambiar por completo, mejorar y actualizar de forma independiente.

Consulte este artículo sobre acoplamiento suelto

Sea receptivo a las solicitudes de los clientes

Una de las razones por las que los portales de clientes personalizados son esenciales es la capacidad de responder a las solicitudes de los clientes sobre ciertas funcionalidades, mecanismos personalizados, etc, que a menudo viene con el escalamiento de una empresa y la evolución de su estrategia.

Asegúrese de que todos los demás sistemas se integren con él

Al hacer crecer su negocio y escalar su arquitectura global, toda la infraestructura de TI debe evolucionar y escalar en conjunto, eliminando así los sistemas heredados inseguros o los sistemas que no se integran bien con ningún componente o subsistema escalado. Es vital que los otros sistemas empresariales dentro de la infraestructura de TI de su empresa se integren con el sistema del portal web para garantizar un flujo de trabajo sin inconvenientes.

Garantice un portal seguro para sus clientes

Al implementar un portal de clientes para sus clientes, asociados y socios, es esencial garantizar la seguridad completa de los datos para proteger los activos de su empresa y proteger a sus clientes. Esto solo puede aumentar la confianza de su cliente en su marca y puede hacer que su negocio sea a prueba de piratería, lo que mitiga las costosas y peligrosas filtraciones de datos.

Al seguir los pasos de seguridad de TI específicos necesarios, su empresa puede crear un entorno extremadamente seguro, que en última instancia tiene un reflejo positivo en los resultados de su empresa.