Si una empresa de seguridad puede ser hackeada, ¿qué pueden hacer las PYME para proteger su sitio web, correo electrónico y comercio electrónico?

No creo que haya nada más importante que una autenticación fuerte .

La mayoría de los sistemas de inicio de sesión simplemente identifican al usuario. Lo que se necesita es una autenticación fuerte, pero que salga del canal de comunicación principal, es decir, generalmente del navegador. Para que la autenticación sea efectiva, debe cumplir dos condiciones: una debe triangular (no una interacción bidireccional) y debe ser desechable (es decir, no persistente).

Por qué la autenticación es tan importante es: imagine que su casa es su base de datos corporativa / sitio web / aplicación, y que las puertas y ventanas son la página de inicio de sesión en el sitio. No importa cuán fuertes sean sus paredes, el punto de entrada es la puerta de entrada (o la ventana) y, por lo tanto, las más vulnerables. Los inicios de sesión que usan nombre de usuario y contraseña / SSO / ID abierta, etc., son completamente inseguros en el mundo de hoy, donde la piratería es la industria de más rápido crecimiento.

Idealmente, una solución debería ser escalable para que pueda crecer rápidamente para satisfacer las demandas de una gran base de clientes / empleados y no estar limitada por dispositivos físicos como generadores de PIN, lectores de tarjetas, llaves USB o descargas de software, incluidas las cookies. Por lo tanto, este debería ser un servicio entregado por SAAS y también debería ser asequible e idealmente disponible en forma de pago por uso . También debería ser fácil de obtener y usar, es decir, no requerir que el usuario haga nada más de lo que ya hace.

Es posible que desee echar un vistazo a un producto como http://www.liveensure.com que no solo es todo lo anterior, sino que también está disponible como una integración Mash Up de autoservicio Web 2.0. Para que pueda ir al sitio web y descargar el agente y estar en funcionamiento hoy.

Sin un orden particular.

1) Registre TODO: instale un sistema SIEM y de administración de registros en su sistema para registrar TODO http://www.arcsight.com tiene un sistema de administración de registros de 50 dólares. Dependiendo del tamaño de su empresa, existen muchas otras herramientas de código abierto para empresas más pequeñas.

2) Determine qué sistemas podrían ponerlo en mayor riesgo y ponga una cifra en dólares sobre el daño que podría hacerle a su organización. También tenga cuidado con el daño indirecto.

3) Use servicios como http://www.whitehatsec.com o http://www.rapid7.com para el análisis vulgar de vulnerabilidades en su sistema y contrate probadores de bolígrafos de terceros.

4) Instale IDS / IPS, Firewall, firewalls de nivel de aplicación, bloquee todos los puertos excepto http y https. Valide los problemas de XSS y asegúrese de que sus sistemas de autenticación funcionen correctamente.

5) Asegúrese de que sus parches y sistemas estén actualizados muchas veces, esta es una de las principales causas de una intrusión.

6) Crear un plan de seguridad, respuesta y recuperación ante desastres. Haga que sea difícil comprometer todo el sistema. Una cosa es si el sistema se ve comprometido durante minutos y el daño es que un sitio web se desfigura durante minutos, y otra es si los piratas informáticos han entrelazado todos sus sistemas para que haya perdido todo el control.

7) Utilice sistemas de back-end de terceros que sean más seguros que los suyos para el procesamiento y la validación de la atención crediticia. No invente el suyo. Asegúrese de que sean responsables de cualquier problema de procesamiento de tarjetas de crédito y que cumplan con PCI.

8) No use un servicio de correo electrónico interno … Utilice un proveedor externo administrado o incluso aplicaciones de Google u otro sistema de correo electrónico de terceros probablemente sería más seguro que alojar un servicio de correo electrónico interno.

9) Considere el uso de sistemas de almacenamiento de datos de terceros en lugar de tratar de administrar sus propias bases de datos. Estar desfigurado no es tan malo como que alguien robe todos sus datos y los publique en bit torrent, los venda o los publique en algún lugar de la red …

10) Tenga en cuenta que no evitará que ocurran todos los ataques, así que proteja las cosas que considera que tienen el mayor riesgo para su negocio.