1. Elabore um planejamento de segurança

Todo planejamento de segurança precisa avaliar:

• A estrutura de seu website: ou seja, se ele é um blog, ecommerce, site institucional etc.; se possui ambiente logado; se recebe dados sensíveis de usuários em algum tipo de formulário de cadastro ou carrinho de compras;

• Ameaças e riscos: ainda não se trata de uma avaliação profissional das vulnerabilidades, mas, para o planejamento, cabe entender o tamanho e visibilidade de seu site e quais danos poderia sofrer se houvesse uma situação de ataque. Além de danos estruturais, cabe compreender também se as vendas seriam prejudicadas e se a reputação da marca fosse impactada;

• Definição de regras e ações práticas para proteger o site: quais as regras de uso do site, quem terá acesso e quais serão as concessões de acesso para cada usuário. Além disso, é preciso avaliar a contratação de serviços de segurança para identificar e corrigir vulnerabilidades de segurança e manter uma proteção ativa.

O planejamento de segurança é uma forma de entender qual a sua realidade, perfil de negócio e dependência do site para a sobrevivência da empresa. Essa visão contribui na hora de definir o budget dedicado à proteção do site.

Para facilitar o entendimento, imagine que o planejamento seja feito por um grande ecommerce com muito tráfego.

É nítido que a loja virtual tem muito a perder caso a segurança seja comprometida, pois o site é essencial para que novas vendas sejam geradas.

Além disso, a loja transaciona pagamentos e dados sensíveis de clientes, que teriam grandes prejuízos em casos de vazamentos. O reconhecimento da marca pelo público também acarretaria em grandes danos à reputação.

Por outro lado, um blog pequeno, sem ambiente logado e com poucas visitas teria menor impacto com uma invasão e, por isso, poderia investir em pacotes mais básicos de segurança.

Pelo exemplo, faz sentido que o ecommerce invista mais em segurança, evitando todas as brechas possíveis e mantendo ao menos uma proteção em tempo real, já que eventuais ataques causariam danos muito graves.

2. Invista na criptografia do site

O SSL (Secure Socket Layer) é um dos serviços mais básicos de segurança para os sites e pode ser aplicado para todos os perfis de negócio: ecommerces, sites institucionais e blogs.

Se a sua aplicação web possui algum tipo de formulário de contato que receba nome, email, telefone, endereço, informações bancárias e outros dados sensíveis de clientes, considere o SSL como seu ponto de partida no cuidado com a segurança.

O papel desse serviço é criptografar todas as informações que o site troca com os clientes. Ele embaralha os dados e cria uma espécie de chave de acesso que apenas o servidor conseguirá interpretar. Com isso, mesmo que uma pessoa mal-intencionada consiga atacar o site, ela não conseguirá compreender o conteúdo.

Vale ressaltar que o SSL também contribui no ranqueamento do site no Google. O buscador entendeu que a criptografia pode melhorar a experiência do usuário e mantê-lo mais seguro. Por isso, estabeleceu que em caso de empate na qualidade da otimização (SEO) de dois ou mais sites, ele usará o SSL como um critério de desempate, privilegiando o endereço mais seguro.

Outra medida do Google em relação ao SSL, foi em seu navegador, o Chrome, que começou a mostrar uma inscrição de “Seguro” para sites criptografados e “Não Seguro” para os que não possuem SSL.

Todos os sites com a certificação são facilmente identificados por possuírem o HTTPS (e não o HTTP), acompanhado por um cadeado verde na barra de navegação.

Alguns sites passam ainda por uma validação de CNPJ e, além desses elementos, exibem a razão social da empresa. Para fazer isso, é preciso configurar um protocolo de validação estendida (SSL EV).

3. Tenha um firewall de segurança

O WAF é um firewall de aplicação web que protege os servidores do site, filtrando as entradas do cliente e saídas do servidor para registrar tentativas de ataque ao site e bloqueá-las.

O firewall de segurança aprende tanto a estrutura de seu site como o comportamento do usuário que costuma visitá-lo. Por isso, consegue identificar quando você recebe algum tráfego suspeito, vindo de fontes maliciosas, e assim bloqueia ataques de bots e hackers, antes que eles ocorram e causem danos ao site.

Uma vantagem adicional é que, com o trabalho de diminuir tráfegos suspeitos, o WAF também tende a melhorar a velocidade de navegação no site. E isso é algo benéfico tanto para a usabilidade do usuário como para melhorar o posicionamento de seu site no Google, já que a velocidade é um critério de ranqueamento.

4. Execute testes para identificar vulnerabilidades

Existem testes manuais e automatizados para checar a segurança de seu site e identificar vulnerabilidades que possam comprometê-la.

Um desses testes é a blindagem de sites, que audita endereços web semanalmente, procurando por brechas e gerando um relatório de correções.

Os sites que executam as correções recebem o direito de utilizar o selo Site Blindado, que certifica endereços que fazem esse tipo de verificação.

Outro teste, este feito de forma manual, é o Pentest. Nessa verificação é feita uma simulação de invasão ao site para entender quais as brechas que um atacante encontraria e exploraria no site.

A intenção é que o Pentester, profissional que simula o processo, gere um relatório sinalizando todos os problemas que precisam ser corrigidos no site, fortalecendo sua estrutura de programação e configuração.

O Pentest pode simular dois cenários: um deles caso o ataque fosse feito por alguém que tem acesso a informações privilegiadas e o outro por alguém que não possui qualquer dado da empresa.

5. Mantenha certificados e serviços de segurança atualizados

É importante ter em mente que a segurança para sites é um trabalho contínuo, já que novas vulnerabilidades e ameaças podem surgir a qualquer momento.

Um certificado SSL desatualizado, por exemplo, significa que naquele momento o site está sem proteção, por isso é importante renová-lo sempre e garantir que o cliente ou visitante não tenha problemas na hora do acesso.

Quando renovar a segurança do ecommerce?

• SSL: a cada 1, 2 ou 3 anos, conforme o tempo de contratação

• Blindagem de sites e WAF: todo ano

• Pentest: o ideal é que seja refeito a cada 6 meses

E mais!

Procure sempre um bom fornecedor de segurança digital para te ajudar em cada etapa.

Empresas especializadas podem guiá-lo em seu planejamento de segurança e executar todos os serviços necessários para proteger o site.

Jamais arrisque escolher empresas desconhecidas ou com baixa reputação. É a proteção de seu site e de seus clientes que está em jogo.

Zele por seu negócio e pelos usuários do seu site, pois a segurança ajuda a manter o bom relacionamento com seus visitantes, a trazer novos clientes e a posicionar melhor suas páginas no Google.

Fonte: Resultados Digitais