En estos últimos días se está hablando mucho de seguridad en Internet como consecuencia del ciberataque que se ha sufrido a nivel mundial. Y siempre que el tema de la seguridad en la red adquiere protagonismo sale a la palestra la propia seguridad de los Content Management Systems.
En torno al 75% de los sitios de Internet tienen detrás alguna tipología de Gestor de Contenidos, muchísimos de ellos en importantísimas compañías, medios de comunicación e instituciones u organizaciones. Y esta popularidad, junto a la expansión de su uso, es lo que los hace tan "apetecibles" para los "amigos de lo ajeno". Conscientes de este hecho, la mayor parte de estas herramientas han evolucionado enormemente en lo relativo a la seguridad, pero junto a consistentes cores también nos encontramos con miles de módulos contribuidos por la comunidad en los que puede haber algún agujero que permita a un atacante vulnerar nuestro sitio.
Drupal siempre ha tenido muy presente la seguridad y ha sido uno de los primeros en desarrollar un equipo de trabajo exclusivo para tratar este tema, el Drupal Security Team, el cual es además responsable del Security Advisory Policy, encargado de establecer las pautas y procesos que debe seguir todo el código de Drupal, ya sea del core como de los módulos contribuidos, así como recibir y transmitir todos los avisos de vulnerabilidad, ayudar a su solución y publicar las actualizaciones de seguridad.
En Drupal tenemos también una distribución llamada Guardr, centrada en la seguridad. Las distribuciones de Drupal, o perfiles de instalación, son un conjunto de módulos y/o temas que se instalan junto con el core y que se configuran de una determinada manera durante dicho proceso de instalación para satisfacer una funcionalidad o fin particular. En el caso de Guardr, instalaremos Drupal 8 junto con un conjunto de módulos y configuraciones centradas en la seguridad con las cuales satisfacer los principales estándares de seguridad empresarial establecidos por diferentes organismos públicos y de certificación. Entre estos organismos, los desarrolladores de la distribución, Classic Graphics y Mediacurrent, han tenido en cuenta:
- NIST - National Institute of Standards and Technology
- PCI DSS - Payment Card Industry Data Security Standard
- FERPA - Family Educational Rights and Privacy Act
- CISSP - Certified Information Systems Security Professional
- HIPAA - Health Insurance Portability and Accountability Act
- ISO / IEC 27001 - International Organization for Estandarization / International Electrotechnical Commission Information Technology - Security Techniques - Information Security Management Systems - Requirements
La configuración de la instalación es llevada a cabo con el objetivo de asegurar la confidencialidad, integridad y disponibilidad de la información tal y como establece la CIA Information Security Triad y protegerse contra los riesgos que son definidos por OWASP (OWASP Top 10 Most Critical Wel Apllication Securiry Risks).
Por lo tanto, si necesitáis instalar Drupal 8 y al mismo tiempo todas las configuraciones y módulos de seguridad en un mismo proceso de manera automática, y así satisfacer de esta manera todos los requisitos de seguridad empresarial, Guardr es vuestra opción.
Añadir nuevo comentario