BLOG/ #FAREMEGLIO
Quante volte avete inserito on line i vostri dati per iscrivervi a newsletter e concorsi o per lo shopping on line? Oppure per servizi ancora più personali legati ad esempio all’home banking e alla salute? Sicuramente moltissime.
I dati digitali oggi sono tra i beni più preziosi per le aziende perché rivelano molto su un potenziale cliente e come tali vanno protetti adeguatamente. E noi del reparto sviluppo lo sappiamo bene: proponiamo ai nostri clienti le soluzioni migliori per raccoglierli e generare valore dalle anagrafiche ricavate.
Immaginate però che l’e-commerce della vostra attività venga compromesso e che informazioni sensibili come nomi, indirizzi, email, numeri di carte di credito vengano trafugate. Oltre che una violazione della privacy dei propri utenti, si corre il rischio che il server che ospita i dati venga utilizzato per operazioni fraudolente.
Esistono numerosi vettori d'attacco con cui un utente malintenzionato può violare un sito web. In questi casi conoscere il “nemico” si rivela un’operazione fondamentale per tutelare la privacy dei singoli utenti e la sicurezza dei sistemi di raccolta delle anagrafiche aziendali.
Ecco qualche accorgimento che chi fa il mio lavoro di web developer dovrebbe sempre considerare per evitare spiacevoli sorprese:
1) Aggiornare i software
Può sembrare banale ma vi garantisco che non lo è affatto. Ogni giorno una mole impressionante di siti web viene compromessa a causa dei software non aggiornati e insicuri che li fanno girare. Se il vostro progetto ad esempio utilizza un CMS come Wordpress è bene tenere d'occhio ogni aggiornamento poiché spesso sono inclusi anche gli update di sicurezza.
2) Utilizzare password complesse
Nel 2016 l'Huffington Post ha pubblicato la lista delle password più usate. Se tra queste leggete la vostra, cambiatela al più presto e, anche se non è in questo elenco, non significa che sia inviolabile. Per essere sicura, una password dovrebbe essere:
Vi state chiedendo come memorizzare dieci password complesse senza senso compiuto? Non preoccupatevi, esistono dei software come Lastpass e Keepass che possono salvarle in maniera cifrata, consentendovi di ricordarne una soltanto.
3) Backup off line
I dati digitali vanno conservati possibilmente off line, o quanto meno in un server dedicato e accessibile a pochi. L’errore più frequente è mantenerli nello stesso server del sito aziendale, rendendoli così più vulnerabili.
4) Limitare gli accessi al server
Conoscere il server che ospita un sito è molto importante. Ogni server ha dei file di configurazione diversi, che consentono di limitare l’accesso ai contenuti. Alcune delle operazioni più importanti per la sicurezza dei dati sono:
5) HTTPS/SSL
Questo protocollo serve per cifrare i vostri dati mentre passano attraverso la rete, così anche se un malintenzionato provasse ad intercettarli apparirebbero come dati incomprensibili in quanto codificati.
È quindi fondamentale per tutti quei siti dove l’utente deve inserire informazioni personali, come ad esempio gli e-commerce.
6) Attenzione ai permessi
I permessi definiscono chi può fare cosa e si applicano a cartelle e file. Esistono tre tipi di operazioni (lettura, scrittura ed esecuzione) e tre tipi di utenti (proprietario, gruppo e resto del mondo).
Se date il permesso a tutti gli utenti di scrivere o eseguire script all'interno di una cartella, un malintenzionato potrebbe caricare ed eseguire file pericolosi per il vostro server (qui trovate ulteriori informazioni sulla gestione dei permessi).
Conoscere queste problematiche ci aiuta a proteggere le infrastrutture dei nostri clienti o a comunicare più facilmente con chi si occupa della sicurezza del sito e del server. Gli accorgimenti che vi abbiamo illustrato non vi garantiranno protezione totale, ma possono aumentare sensibilmente la sicurezza del vostro sito e dei vostri utenti.
Potete contattarci per instaurare livelli di sicurezza più alti, su misura per la vostra azienda, e per realizzare con voi un sito o un e-commerce a prova di hacker.
LEGGI ANCHE