Desenvolvimento

Ξ Deixe um comentário

Site: Um organismo vivo

publicado por Iuri Oliveira Carvalho

Figura - Site: Um organismo vivoInicialmente os sites abrigavam apenas conteúdo estático, contido em algumas páginas HTML com links entre elas, o que para época era suficiente. Os sites das empresas acompanharam a evolução da TI e negócio tornando-se sistemas vivos. Hoje em dia, os sites transformaram-se em ambientes mais interativos e passaram a representar uma importante forma do consumidor/cliente conhecer mais sobre a empresa, seus serviços e produtos.

Atualmente, o site deve refletir a imagem da empresa, passando identidade (missão, visão, valores e negócio) e o catálogo de serviços e produtos que a empresa oferece. Entretanto, ainda é muito comum observarmos essa falta de preocupação e de atualização em que produtos e serviços existentes no site não fazem parte do catálogo de serviço/produtos da empresa. Esses novos portais trazem grande visibilidade e quando estão inoperantes ou mal gerenciados podem trazer prejuízos financeiros e incomensuráveis danos à imagem da empresa.

O desenvolvimento de ferramentas de fácil utilização para criação e administração de site fez com que a responsabilidade que antes estava na TI fosse transferida para outros profissionais. Contudo, essa facilidade também trouxe um novo problema, as definições claras de responsabilidade sobre questões importantes como segurança não tem sido bem estabelecidas e, portanto, tem sido negligenciadas. Há uma forte preocupação como o visual, mas a segurança têm sido ignorada. Especialmente pequenas e médias empresas não têm atentado para a esse fato e acreditam que apenas a contratação de um desenvolvedor (normalmente) para publicar o site já é suficiente, não sendo necessária manutenção periódica.

Se um site for comprometido pode gerar impacto até na comunicação corporativa. Por exemplo, no envio de e-mails, a Domain Block List da Spamhaus pode realizar o bloqueio do domínio caso seja detectado que o site está comprometido. Nessa situação, os servidores que consultam esta lista passarão a recusar o recebimento de e-mails do domínio comprometido. Além disso, deve haver garantias que informações sensíveis e confidenciais não estarão disponíveis publicamente, pois em algumas situações através de uma simples busca no Google pode-se ter acesso as mesmas.

Dessa forma, o alinhamento entre as áreas responsáveis pela administração do site é essencial, pois os aspectos visuais (que muitas vezes faz parte da identidade visual da empresa) e de conteúdo são tão importantes quanto garantir que os aspectos técnicos relacionados à segurança sejam considerados.

  • Segue abaixo algumas recomendações técnicas para esse alinhamento:
    Senha: É sempre importante a utilização de senhas seguras que devem ser trocadas com frequência. Para conhecer um pouco mais sobre algumas políticas na sua utilização, o documento ISO/IEC 27002 nas sessões: 11.2.3 Gerenciamento de senha do usuário e 11.3.1 Uso de Senhas abordam algumas recomendações. A Splashdata divulgou a lista das senhas mais utilizadas em 2014
  • Desenvolvimento Seguro: Tenha o mesmo grau de exigência no desenvolvimento do site em relação a segurança que é dado à compra/desenvolvimento do sistema de gestão interna. Segue o link do projeto OWASP Top Ten para quem quiser conhecer um pouco sobre o desenvolvimento seguro de aplicações web (contém um manual em português).
  • Kali Linux: A distribuição Linux vem por padrão com diversos utilitários já instalados que podem ser utilizado para realizar testes de segurança
  • Backup: Realize rotinas de backup para recuperação em caso de desastres. Além da realização de Backup, certifique-se que testes de restauração sejam realizados
  • Hospedagem: Certifique-se que o local onde o site está hospedado segue as boas práticas de segurança. Caso a hospedagem seja realizada internamente, realize processos de checagem desde o ambiente físico até atualização de Sistemas Operacional e Serviços. O documento da ISO/IEC 27002 contém recomendações importantes sobre isso.
  • CMS: Para quem utiliza Sistema de Gerenciamento de Conteúdo (Content Management System – CMS) além das recomendações acima verificações adicionais são necessárias como atualização do sistema principal, plugins e temas. Quem acompanha notícias sabe que sempre há novas vulnerabilidades sendo descobertas. Para quem utiliza o WordPress, o próprio site contém uma sessão específica voltada para essa questão.
  • Permissões: Certifique-se que as permissões adequadas sejam atribuídas corretamente aos diretórios e arquivos
  • Equipe/Empresa desenvolvedora: Devem-se seguir as boas práticas existentes voltadas para a segurança.

Assim como em qualquer assunto relacionado à segurança, essas medidas simples não vão transformar o ambiente em 100% seguro, mas com certamente vão evitar grandes transtornos futuros.

[Crédito da Imagem: Site – ShutterStock]

Autor

Profissional da área de Gestão de TI, com experiência em gerenciamento de equipes TI e atuando também na área de Redes e Linux, sempre utilizando as boas práticas para atingir o melhor resultado para o negócio. Certificado ITIL Intermediário OSA e SOA, LPI 2, COBIT, ISO 20k e ISO 27K. MBA em Gestão da Segurança da Informação e Especialista em Redes de Computadores.

Iuri Oliveira Carvalho

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes