Debe tener en cuenta que sitios como Google, Yahoo, Amazon tienen un par (de miles) de servidores. Pueden darse el lujo de "abrir las puertas" a todos porque, como señaló M15K, sus recursos no están limitados.
Hay un par de razones por las que podrían ser "abiertas":
1. Puedes recopilar estadísticas de rendimiento.
2. Puede probar la estabilidad del sistema (si el servidor X falla, el servidor Y tiene que asumir el control, etc.)
3. Probablemente hay muchas más razones que no puedo imaginar.
En compañías pequeñas / medianas / grandes, usualmente terminas usando servidores Linux / Unix, Apache, Nginx, LigHTTP, Jetty, MySQL, PostgreSQL, Oracle y etc. Sitios como Google (gigante) crean su propia plataforma y su propio software. soluciones: servidores web, bases de datos, reenvíos de proxy y etc. Por lo tanto, dejar "la puerta abierta" para el público en realidad les ayuda a mejorar constantemente su seguridad y sus plataformas porque cada "pirata informático" del mundo intentará derribarlos. Algunos de ellos tendrán éxito y generalmente terminan trabajando para la empresa o reciben un número satisfactorio en sus cuentas bancarias :)
En mi opinión, no es seguro "abrir" todo si la empresa para la que trabaja no crea la mayoría de las soluciones de software desde cero (servidores web, bases de datos y cualquier otra cosa que necesite su empresa). Incluso entonces es un poco arriesgado, especialmente si está administrando datos confidenciales.
i.e. could publishing such a statement put your site at more risk than leaving it out?
No importa si dice "No le demandaremos si nos dice dónde está la violación".
Si alguien quiere piratearlo, intentará hacerlo sin importar si la declaración está ahí o no. Pero si está allí, puede sonar más como si los estuvieras invitando. Por lo tanto, es probable que tengas más piratas informáticos que intenten piratear tu servidor.
However, what measures should a site already have in place before embarking on such seemingly risky endeavor?
Deberá descubrir un mecanismo de registro o controlar las acciones que se están realizando en el sitio y el servidor. También una copia de seguridad completa del sitio / servidor es una necesidad.
En general, no recomendaría dejar el servidor "abierto", especialmente si maneja información confidencial como tarjetas de crédito, pagos, información médica para pacientes, etc. Es mejor que contrate a un equipo de hackers con un contrato adecuado. De lo contrario, estás arriesgando toda esa información en público.
No puedo entrar en más detalles, ya que este tema es ENORME y hay muchas cosas que debes considerar antes de hacerte "público":
- ¿Tienes el dinero para hacerlo?
- ¿Tienes los recursos? (servidores, equipos de seguridad y etc)
- ¿Hasta dónde puede limitar los daños que un hacker puede hacer a su sistema? ES DECIR. Si un hacker piratea su servidor, ¿qué acceso tendrá? ¿Podrá conectarse a su base de datos y recuperar / almacenar / actualizar datos? ¿Sus datos están encriptados? ¿Será capaz de descifrarlo? (y así sucesivamente)
- ¿Puede su equipo de seguridad descubrir cómo un pirata informático explotó su sistema?
- ¿Su equipo de seguridad tiene las habilidades para solucionar los problemas que pueden surgir?
- Probablemente hay muchas más preguntas que debe hacer y responder antes de decidir.