Consultorio

La mejor forma de saber si su sitio es seguro es realizando una auditoría de seguridad del mismo, en alguna de sus modalidades. Estas auditorías deberían no sólo informarle de los problemas de seguridad que sufre su infraestructura, sino que debería de evaluar el riesgo que corre y ayudarle a dar los pasos para su resolución.

Más que de errores de seguridad hablaríamos de fuentes de riesgo. Las fuentes de riesgo más habituales son las relacionadas con:

-	Desarrollo poco cuidadoso de aplicaciones: Las aplicaciones que soportan nuestros servicios no han sido desarrolladas bajo los principios básicos de desarrollo seguro y son explotables y malversables, causando comportamientos de riesgo (fallos en la autenticación, desbordamientos de la pila de ejecución, control de acceso inadecuado...)

-	La utilización de plataformas software no adecuadas para el servicio a prestar, desde el sistema operativo a la plataforma software de servicios (servidor web, buscador, bases de datos...). Las soluciones software que se seleccionen para cada servicio, incluyendo los servicios de seguridad, deben ser también seleccionados conforme a requisitos de seguridad y no solamente conforme a requisitos funcionales.

-	Una administración y configuración deficiente de los sistemas, que no actualice y resuelva las vulnerabilidades que vayan apareciendo, que derive en configuraciones permisivas y relajadas y que no detecte ataques, vulneraciones de la Política de Seguridad o lleve a arquitecturas de red inadecuadas.

-	La deficiente aplicación de principios básicos de la seguridad (seguridad por transparencia vs. seguridad por ocultación, principio de mínimo privilegio, transitividad de la confianza, necesidad de saber, procedimentación...) en cualquier aspecto relacionado con la infraestructura de red y las aplicaciones.

-	El factor humano: Descuidos, errores, dejadez, cansancio...

Como se ve, las fuentes de riesgo aparecen en toda la cadena: plataformas y sistemas base, aplicaciones, gestión global del sistema y factor humano.