blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!

Ciberseguridad para tus vacaciones

NextVision

0

Ciberseguridad para tus vacaciones

Que nada ni nadie arruinen tus días de descanso

Toma nota de los siguientes consejos de ciberseguridad para tus vacaciones y descansa tranquilo. 

Las vacaciones son el periodo tan ansiado y esperado durante el año. Es el momento donde todo el cansancio del año se va y estamos listos para crear nuevos y felices recuerdos. Pero… ¿Qué pasa con nuestros dispositivos, nuestros datos, nuestras billeteras virtuales y la confidencialidad de nuestra información? 

Leer más

Nueva Ley Argentina de adhesión al Convenio 108+

NextVision

0

Nueva Ley Argentina de adhesión al Convenio 108+

¿De qué se trata?

El miércoles 30 de noviembre de 2022, Argentina promulgó la Ley 27.699 de Protección de las Personas con respecto al tratamiento automatizado de datos de carácter personal, con su respectiva publicación en el Boletín Oficial. Conoce todo sobre la nueva ley Argentina de adhesión al Convenio 108+.

Mediante la dicha ley, el Poder Legislativo aprobó el Protocolo Modificatorio con respecto al Tratamiento Automatizado de Datos de Carácter Personal, conocido como Convenio 108+ (“plus”).

El Convenio 108+ constituye el único instrumento multilateral de carácter vinculante en materia de protección de datos personales.

Leer más

Alerta de Seguridad Crítica: Desbordamiento de búfer en productos Fortinet

NextVision

0

Última actualización: Miércoles 14 de diciembre del 2022

Alerta de Seguridad Crítica: Desbordamiento de productos Fortinet

¿Qué vulnerabilidad se descubrió?

Recientemente se descubrió una vulnerabilidad identificada como CVE-2022-42475. La misma se trata de un desbordamiento de búfer basado en memoria dinámica [CWE-122] en FortiOS SSL-VPN cuya explotación podría permitir que un atacante remoto no autenticado ejecute código o comandos arbitrarios a través de solicitudes diseñadas específicamente.

Fortinet informó la vulnerabilidad como FG-IR-22-398 y el fabricante tiene constancia de que ha sido explotada activamente. Recomienda validar inmediatamente los sistemas potencialmente afectados frente a los IOCs aportados.

Versiones afectadas

Leer más

30 de noviembre: Día internacional de la Ciberseguridad

NextVision

0

30 de noviembre: Día internacional de la Seguridad

 

Cuando se trata de ciberseguridad, el mundial lo jugamos todo el año.

¡Defiende tu portería y no dejes que los ciberdelincuentes sean los goleadores!

Presta especial atención a las comunicaciones que recibas. Los ciberdelincuentes aprovechan cualquier contexto y distracción para realizar sus ataques.

Leer más

Día Mundial del Gamer

NextVision

0

 

¿Tiene algún ciberriesgo jugar videojuegos?

Los cibercriminales se encuentran siempre al acecho de nuevas víctimas. En el caso particular de esta industria multimillonaria, los juegos se han convertido en una entidad con vida propia a través de lanzamientos, actualizaciones y comunidades en línea. Esto también los convierte en terreno fértil para crear estafas y engaños.

Consejos para jugar segur@s

Leer más

6 Preguntas para saber si tu organización toma en serio el riesgo de terceras partes

NextVision

0

6 Preguntas para saber si tu organización toma en serio el riesgo de terceras partes.

Haciendo una analogía con la célebre frase del autor inglés del siglo XVII John Donne, se dice que:

“Ninguna organización es una isla en sí misma, cada organización es una parte de un todo más amplio”.

Esta reflexión describe acertadamente la organización posmoderna del siglo XXI, pero si la relación con “el todo” no es gestionada de manera apropiada, puede acarrear consecuencias catastróficas para la organización.

Leer más

La importancia de la protección de datos personales en una empresa

NextVision

0

No podemos negar que la protección de datos personales ha sido una temática en auge durante los últimos años, potenciada además por la pandemia. Ahora bien, si es tan importante como muestra la realidad, ¿por qué es uno de los últimos temas del orden del día de una empresa? 

Sabemos que, en el día a día, una compañía se enfrenta a diversos problemas pero la protección de datos personales de sus clientes no debería ser un tema menor. 

Las consecuencias negativas que acarrea la falta de cuidado y prevención en el tratamiento de los datos de cualquier organización puede llegar a ser difícil de reparar.

En un estudio presentado en Dell Technologies Forum 2021, los resultados demuestran que, en muchos casos, los datos dejan de ser una utilidad para pasar a ser un problema y una de las causas de este fenómeno está en las debilidades de seguridad y privacidad de los datos.

Llegada del RGPD a España:

A nivel Europeo la llegada del RGPD ha llevado a las empresas a implementar mejoras en sus sistemas de protección de datos personales. Sabemos que las sanciones por incumplimiento de RGPD pueden llegar a afectar gravemente, no solo a la economía de una empresa si no también a su reputación. 

Sin embargo, para algunas empresas, la protección de datos no es un tema “tan importante”. Esto lo podemos atribuir a distintos motivos como: las bajas cantidades de las multas por incumplimiento, la falta de actualización de nuestra Ley de Protección de datos Personales o incluso a una cultura reactiva y no preventiva. 

Por otro lado, también encontramos un camino esperanzador donde empresas de diversas industrias invierten en una cultura de protección de datos, capacitan a su personal, adoptan medidas técnicas y organizativas para luchar por una mejor gestión y cuidado de sus datos. También, implementando programas de cumplimiento de la legislación vigente. 

Estas compañías saben que cuidar de sus datos, lejos de suponer un gasto supone una inversión. Algunas de las consecuencias positivas de esta cultura en protección de datos personales en las compañías son:

Beneficios de una Cultura en Protección de Datos:

  • Tener siempre identificados los riesgos asociados a los tratamientos de datos que se lleven a cabo dentro de la compañía.
  • Identificar proveedores que garanticen una adecuada protección de datos.
  • Adaptarse fácilmente a cambios regulatorios de protección de datos.
  • Saber cómo responder ante brechas de seguridad que afecten a datos personales.
  • Evitar sanciones, fuga de datos y pérdida de imagen.

 

Desde NextVision creemos que es fundamental implementar una cultura en protección de datos personales en las compañías como respuesta ante incidentes que afecten a nuestros datos personales y como prevención y protección de lo que, hoy en día, se considera el activo más valioso de un negocio, sus datos.

Por ello, gracias a nuestro servicio NV Protección de Datos Personales, podrás desarrollar una Cultura en Protección de Datos  en tu organización e implementar las herramientas y sistemas necesarios para proteger todos tus datos sensibles y los de tus clientes.

Mari

Abogada Consultora

Legal IT en NextVision

Terceros: el eslabón débil de la cadena

NextVision

0

La interdependencia de nuestras empresas con aquellas que integran la cadena de suministros es cada vez más alta.

La cantidad de productos y servicios que se contratan a terceros hacen que no podamos ignorar a nuestros proveedores en el análisis de ciberriesgos que realizamos para nuestra organización. Precisamente, en 2020 el Foro Económico Mundial destaca la importancia de la ciberseguridad en este ámbito, el de la cadena de suministros. Entre sus recomendaciones se encuentra:

«el uso de herramientas de ciberinteligencia para poder enfrentar el escenario de amenazas que tienen las organizaciones en la actualidad».

La Gestión del Riesgo de Terceras Partes (TPRM) o Vendor Risk Management (VRM) es una preocupación que cada vez estará más presente entre las prioridades del CISO. No se trata ya de regulaciones, que hay que cumplirlas, sino de una necesidad de negocio que se ha disparado debido a la transformación digital y la digitalización acelerada por la pandemia. Los incidentes originados en ataques a terceros son cada vez más frecuentes y resonantes, como SolarWinds, Kayesa, Pulse.  Según Gartner, para 2025, el 60 % de las organizaciones utilizarán el riesgo de ciberseguridad como un factor determinante en la realización de transacciones de terceros.

La falta de medidas específicas para prevenir el riesgo de terceros es considerable en la mayoría de las empresas. Como sabemos, la superficie de ataque está integrada no solo por aplicaciones y dispositivos propios, sino que la integración de los terceros en esta superficie tiene un impacto directo en nuestra seguridad. De hecho, no solo son los terceros el problema, sino también las cuartas partes, es decir, sus proveedores, a los que ellos delegan servicios. Esto es también fuente de vulnerabilidades que afectan a nuestra red.

En consecuencia, los CISO tienen desafíos para TPRM:

> Mejorar el análisis de terceros que actualmente se ejecuta a través de hojas de cálculo, correos electrónicos o procesadores de texto.

> La Transformación Digital que ha expandido la superficie de ataque de modo exponencial.

> Digitalización acelerada.

> Acceso remoto, tanto de propios como de terceros.

> Compliance.

> Los boards, particularmente aquellos donde los Fondos de Inversión tienen un peso significativo. Estos pueden exigir un buen nivel de ciberseguridad y un reporting adecuado.

> Los ciberseguros que hacen una evaluación de la postura de ciberseguridad de la empresa y de su cadena de suministros.

Los equipos de trabajo están desbordados de tareas, problema que se agudiza con los frecuentes incidentes. En consecuencia, el team de seguridad no tiene otra opción que enfocarse en lo urgente, es decir, los problemas a corto plazo y el mediano o largo plazo quedan pospuestos hasta próximo aviso. 

Sin embargo, es posible agilizar la mejora en TPRM. Esta mejora debe tener una perspectiva 360º. Esto se logra obteniendo información consistente de todo el ecosistema del proveedor. La mirada es tanto desde afuera, evaluando la huella digital, como interna mediante formularios de requisitos de seguridad. 

Son ampliamente conocidas las plataformas de scoring que miden la postura de ciberseguridad con información pública. Las mejores lo hacen detallando en forma transparente su proceso de análisis. Pero como el análisis de terceros también debe contemplar los procesos internos, estas plataformas ofrecen formularios que valoren las prácticas internas de la organización a estudiar. Se potencia este trabajo cuando a su vez se integran a herramientas de gestión y de seguridad como SIEM, Ticketing, Análisis de Vulnerabilidades, etc. 

Es decir, que las herramientas que permiten la gestión del riesgo de terceros utilizan tanto fuentes de información externas como internas y así determinan indicadores muy útiles, que no pretenden ser perfectos, sino óptimos. 

Es claro que en estos momentos más que nunca, tenemos un grado de exposición considerable. Y para disponer de una visibilidad completa de esta exposición, es indispensable que seamos capaces de reconocer a una parte vital de nuestra superficie de ataque como son los terceros, y en consecuencia, los ciberriesgos que estos nos generan. Por lo tanto, la implementación de un buen Plan de Gestión de Riesgos de Terceros hace posible mitigar estos riesgos. Y dentro de ese plan, la utilización de una potente solución de scoring y formularios de requisitos de seguridad,  son clave para la homologación y monitorización continua de la cadena de suministros.

«El eslabón que no podemos permitir que se rompa».

 

× ¿Cómo puedo ayudarte?