Cuando se decide a abordar el proyecto de creación de una web o una tienda online una de las primeras preguntas que se suelen cuestionar los propietarios, es cómo implementar el servicio. En este sentido podemos optar por dos opciones principales, utilizar un servidor propio teniendo el control total sobre su administración o contratar los servicios de un proveedor externo. En los casos que se haya decidido por utilizar un servidor propio es necesario conocer varias cuestiones de seguridad en cuanto a la ubicación del servicio en la red corporativa.
Cuando se expone un servicio en Internet como es el caso de una web, hay que tener en cuenta de que se trata de un servicio publicado al exterior y por ende, puede ser atacado por ciberdelincuentes en caso de que estos consigan vulnerar su seguridad. Si la web se encuentra en la misma red que el resto de recursos empresariales, como puede ser el servidor de ficheros, impresoras y dispositivos de los trabajadores, los ciberdelincuentes podrían vulnerar también la seguridad de estos, aumentando así las consecuencias negativas del ataque. Para evitar esta situación potencialmente peligrosa para la seguridad de la empresa, es necesario ubicar el servidor en una zona aislada de la red corporativa, denominada zona desmilitarizada o DMZ por sus siglas en inglés demilitarized zone.
En una DMZ generalmente se permiten las conexiones cuyo origen se encuentra tanto en Internet como en la red local de la empresa, pero desde esta zona desmilitarizada no se permite acceder a los recursos de la empresa cuando el origen de la comunicación se halla en esta red aislada. Gracias a esta configuración se reducen las posibles consecuencias negativas de sufrir un incidente. Llegado el caso que un ciberdelincuente comprometiera el servicio ubicado en la zona desmilitarizada, tendría muchos más inconvenientes para acceder al resto de recursos de red local de la organización, ya que las conexiones procedentes de la DMZ estarían bloqueadas.
Para segmentar adecuadamente la red de la empresa es necesario disponer de un dispositivo que haga las veces de cortafuegos o firewall, este será el encargado de filtrar todas las conexiones que se originan tanto en la red local o LAN, donde están los dispositivos de los trabajadores, o en la DMZ donde está ubicada la web. Una configuración básica del firewall será aquella que permita todas las conexiones salvo aquellas cuyo origen sea la DMZ y el destino la LAN. A esta configuración se le puede añadir otra regla que deniegue el acceso a cualquier vínculo cuyo origen sea Internet y el destino la LAN, aunque esta regla debe ser ajustada ya que algunos programas legítimos e incluso el sistema operativo de los dispositivos pueden tener conflictos.
Como dice el refrán no es conveniente poner todos los huevos en la misma cesta, siendo este hecho extrapolable a la ciberseguridad. Jugarse gran parte de la ciberseguridad de la empresa en un único dispositivo no es conveniente, por ello contar con múltiples herramientas y dispositivos de seguridad será una estrategia mucho más segura. Una forma de implementar esta cuestión, sería contar con dos dispositivos que hagan las veces de firewall. Así, ante configuraciones incorrectas o vulnerabilidades de software, todavía dispondríamos de un segundo dispositivo de protección. Ambos cortafuegos conviene que sean de marcas diferentes, ya que en caso de que uno de ellos cuente con una vulnerabilidad el otro probablemente no la tenga, y se siga así manteniendo la seguridad de la empresa. Además de utilizar cortafuegos sería apropiado utilizar otras herramientas de seguridad como son los sistemas de prevención y detección de intrusos o IDS e IPS, ya que cualquier servicio expuesto a Internet es susceptible de sufrir ciberataques en alguna ocasión.
Exponer cualquier servicio a Internet (como es el caso de un eCommerce) trae consigo nuevos retos de seguridad a los que hacer frente. Esto no debe ser un impedimento si se cuenta con las herramientas y configuraciones adecuadas de seguridad, dado que así se podrá crear y salvaguardar un entorno seguro tanto para los clientes como para los recursos e información de la propia empresa.