Dopo una massiccia migrazione al lavoro remoto nell’ultimo anno, le aziende possono ora fare affidamento in gran parte sulla loro nuova infrastruttura, nonostante una o due scorciatoie adottate in modo sicuro per accelerare la trasformazione digitale. Kris Lovejoy, Global Cybersecurity Leader di EY ed ex CISO di IBM, ha rivelato che in risposta alla pandemia, “l’84% del mondo ha introdotto funzionalità di lavoro da casa, il 60% ha introdotto tecnologie per consentire ciò e il 60% di questi ha ignorato o controlli di sicurezza abbreviati come parte di questa implementazione. "Con nuovi vaccini e una possibile ripresa economica all'orizzonte, le aziende ora sperimenteranno strategie di crescita per il 2021. Tuttavia, è essenziale raddoppiare e triplicare gli sforzi, verificando di avere le giuste garanzie in atto. Spazio per una traiettoria Informazioni sull'autore Brent Stackhouse è Senior Director of Security, GRC e IT presso WP Engine Ecco tre suggerimenti sulla sicurezza web che leader aziendali, esperti di marketing e sviluppatori dovrebbero includere nei loro propositi per il nuovo anno. :
Fai le basi in modo brillante
La domanda di sicurezza web più comune con l'avvicinarsi del nuovo anno sarà la stessa: "Quante probabilità ho di essere violato?" I siti Web vengono spesso violati quando eseguono plug-in vulnerabili che non vengono riparati. Nonostante il mito fin troppo comune del core di WordPress come punto di vulnerabilità, sono le vulnerabilità dei plugin di terze parti a rappresentare il 55,9% dei punti di ingresso noti per gli attacchi. (Per analogia, considera la sicurezza di Android rispetto alla vulnerabilità nota delle app nel Play Store.) Questa però è metà dell'equazione: l'altra metà è una buona gestione dell'account WordPress, in particolare attraverso l'uso dell'autenticazione a più fattori (plugin MFA). La soluzione è semplice: evita di eseguire più plugin del necessario e assicurati che quelli che usi abbiano una buona cronologia degli aggiornamenti dopo il rilascio delle vulnerabilità. Per affrontare l’onere dell’aggiornamento dei plugin e il rischio di danneggiare siti critici, gli strumenti di machine learning e test visivi possono ora automatizzare anche gli aggiornamenti dei plugin su base notturna o settimanale senza incorrere in alcuna interruzione. Conseguenze indesiderate che potrebbero comportare tempi di inattività o perdita di traffico. . Assicurati di limitare l'accesso amministrativo agli utenti "richiesti" e assicurati che utilizzino MFA.
Costruisci la squadra giusta
Il divario nelle competenze in materia di sicurezza è ormai ben documentato: secondo il DCMS, circa 653.000 aziende (48%) presentano un divario nelle competenze di base. Ciò significa che gli addetti alla sicurezza informatica di queste aziende non hanno la sicurezza necessaria per completare i tipi di attività di base delineate nel programma Cyber Essentials approvato dal governo. Inoltre, non ricevono supporto da fornitori esterni di sicurezza informatica. Da allora la pandemia ha esacerbato questo divario poiché i lavoratori remoti si spostano in ambienti cloud senza le competenze in materia di sicurezza cloud per valutare i rischi di questo sviluppo. Per assicurarti di avere il team giusto, devi iniziare a mappare il profilo di rischio unico della tua azienda. Identifica i tuoi esperti di rischio, sicurezza, WordPress ed e-commerce e considera in che modo il tuo settore pone sfide particolari, come i siti Web sanitari, che hanno senza dubbio registrato diversi tipi di aumento del traffico quest'anno. Per coloro che valutano se assumere e formare ulteriore personale interno o assumere un fornitore, rivedere le basi della gestione dei fornitori e come traccia le linee di responsabilità, a seconda di chi si inserisce nel proprio puzzle di sicurezza. Se lavori con un partner, questi dovrà aver effettuato queste competenze e investimenti tecnologici per tuo conto.
Preparati per i vertici
Per i rivenditori e le piattaforme di e-commerce, i principali periodi di shopping stagionale come Natale, Santo Stefano e i saldi di gennaio rappresentano una sfida complicata. Gli amministratori dei siti web si adopereranno per rispondere a un volume elevato di attività generatrici di entrate sul loro sito, affrontando al contempo un aumento degli attacchi informatici, come gli attacchi DDoS (Distributed Denial of Service), che sono già raddoppiati ogni trimestre in questo periodo. Durante questo periodo redditizio per i criminali informatici, il National Cyber Security Centre del Regno Unito ha già aggiornato i suoi consigli per gli acquirenti online.
I test di carico, che sono test delle prestazioni che simulano carichi reali su software, applicazioni o siti Web, possono aiutare a rispondere alla domanda "Quante persone possono visitare il mio sito contemporaneamente?" Un test di carico adeguato può aiutare gli amministratori del sito a valutare aspetti come capacità di scalabilità, hook del ciclo di vita, vulnerabilità agli attacchi DDoS dovuti al carico elevato, distribuzione automatica del codice, controlli di integrità e monitoraggio degli obiettivi. Senza una pianificazione e un’azione adeguate, i rivenditori corrono un rischio maggiore di attacchi DDoS riusciti che portano a significative perdite di entrate.
All’inizio del nuovo anno, è essenziale che il desiderio di godersi la stagione dello shopping non vada a scapito della sicurezza. Può essere incredibilmente frustrante quando arriva il Black Friday e il tuo sito web si blocca a causa dell'aumento del traffico. La preoccupazione principale riguarda il modo in cui è stata scoperta una vulnerabilità sul sito web di un'azienda. Un sito web inattivo a causa di un improvviso aumento del traffico diventa un bersaglio facile. Puoi facilmente diventare un bersaglio. Pertanto, prima di attirare un afflusso di nuovi clienti su una pagina Web, le organizzazioni devono caricare il test di conseguenza.
I leader aziendali di oggi comprendono l'importanza della sicurezza per la salute del cliente e del marchio, ma spesso non sanno da dove cominciare. Se le organizzazioni vogliono prendere sul serio la propria sicurezza e non scappare prima di poter camminare, devono concentrarsi sulle cose semplici. Le aziende dovrebbero adottare alcune misure di sicurezza web di base in modo che, sebbene WordPress Core sia sicuro, prestino la dovuta attenzione ai plugin che utilizzano e gestiscano in sicurezza i propri utenti WordPress. Devono inoltre trovare il giusto equilibrio tra persone, processi e tecnologia per garantire di avere le competenze e le persone giuste. Infine, dovrebbero pianificare in anticipo i momenti chiave dei consumatori e i periodi stagionali, cercando non solo il picco di traffico di visitatori ma anche i diversi tipi di attacchi informatici.