blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!
diciembre 26, 2019

¡Nuestro Departamento de Tecnología continúa creciendo!

NextVision

0

Con mucha satisfacción anunciamos las últimas certificaciones de nuestros consultores del equipo:

  • Carlos Herrera e Isabel Arria han obtenido la certificación Fortinet´s Network Security Expert NSE 4.
  • Fabiola Oliveros, nuestra líder del Departamento Técnico, obtuvo Fortinet´s Network Security Expert NSE 7, primera mujer de Argentina en conseguir uno de los máximos reconocimientos que otorga nuestro partner Fortinet en todo el mundo.
  • Isabel Arria ha obtenido la certificación Fortinet´s Network Security Expert NSE 4.

Estas certificaciones acreditan y garantizan que nuestros técnicos posean los conocimientos para poder gestionar servicios de ciberseguridad de manera eficiente y localizar cualquier tipo de incidencia o fallo que se pueda producir en cualquier organización.

Convencidos de la importancia de mantener una formación continua, en NextVision promovemos que nuestros especialistas cuenten con las últimas certificaciones de nuestros partners de ciberseguridad, que nos permite abordar proyectos más complejos y exigentes.

  • Carlos Herrera ha obtenido la certificación Fortinet´s Network Security Expert NSE 4.

 Esta es una clara apuesta de NV para continuar ofreciendo servicios de vanguardia, acorde a las nuevas tendencias del mercado y a los requerimientos específicos de cada empresa.

  • Fabiola Oliveros, nuestra líder del Departamento Técnico, obtuvo Fortinet´s Network Security Expert NSE 7


¡Felicitamos a nuestro equipo del Departamento de Tecnología por las certificaciones logradas este 2019!

diciembre 24, 2019

Encuentro de Fin de Año NextVision

NextVision

0

El viernes 20 de diciembre, los integrantes del equipo NV nos reunimos en el Club Privado el Ombú para festejar una vez más lo vivido a lo largo de este gran 2019.

Compartimos divertidos momentos juntos. ¡Disfrutamos del aire libre, juegos, música, premios, regalos y asado! 

El evento concluyó con el balance del año que pasó, perspectivas a futuro y con el deseo por parte de los Directores de NextVision, Claudio Pasik y Roberto Heker de trabajar en equipo en los nuevos desafíos que nos depara el 2020.

Cerramos el año muy felices, cumpliendo metas y objetivos, y continuamos innovando para un nuevo año de ciberseguridad inteligente.

¡Felices Fiestas!

diciembre 16, 2019

Colaboradores: Principal puerta de entrada a los ciberdelincuentes

NextVision

0

El 85% de los incidentes de ciberseguridad están asociados a errores humanos, más que a fallos en tecnología o procesos, según el estudio de Cyber Insecurity: Managing Threats From Within, de la Unidad de Inteligencia de The Economist. 

A pesar de esto, sorprende que más del 48% de las empresas no cuenten con programas de capacitación y sensibilización orientadas a empleados (según la Encuesta del Estado Global de la Seguridad de la Información, GISS, 2018). 

Y es que cuando los colaboradores y los proveedores no son considerados como parte esencial de la estrategia de ciberseguridad corporativa, los análisis de vulnerabilidad y mapas de ciberriesgos quedan incompletos, pues son ellos, los empleados, los que terminan siendo la principal y más accesible puerta de entrada para los ciberdelincuentes. 

Entonces, al dejar de lado la implementación de programas de concienciación (awareness) y educación, que busquen cambios de hábitos en entornos digitales para todos los empleados -sin importar su edad, cargo o nivel educativo-, muchos de ellos no sabrán cómo y por qué qué es tan importante evitar abrir vínculos de remitentes desconocidos, o por qué no conviene descargar esa app que se puso de moda.

Estas son algunas formas en las que se están materializando la mayoría de los riesgos. Como verás, concientizar sobre la necesidad de proteger la seguridad de la información y los datos resulta mucho más fácil y eficiente que remediar las consecuencias de la materialización del riesgo: 

Ingeniería Social

Ingeniería Social es un término que se refiere a la manipulación psicológica con la que una persona intenta lograr que otras hagan lo que ésta les pida, generalmente para obtener información que les permita llegar a un fraude, robo o extorsión. Es una técnica que comenzó en el plano físico, pero se trasladó al ámbito cibernético, convirtiéndose en pieza fundamental de los ciberataques

El phishing es una de las más tradicionales formas de Ingeniería Social y sorprende que muchos todavía sigan cayendo en la trampa. El atacante envía mails con enlaces que llevan a sitios web comprometidos que descargan malware, o a uno falso -idéntico al real- que solicita las credenciales para acceder a información privilegiada. 

Descarga de Malware

Los colaboradores pueden infectar los sistemas de la empresa con software malicioso sin darse cuenta, al descargar actualizaciones de aplicaciones falsas, visitando sitios web comprometidos, descargando software pirata o abriendo archivos adjuntos y enlaces de correos electrónicos. 

Es otra de las formas que han encontrado los ciberdelincuentes para acceder a información sensible, secuestrando datos importantes y exigiendo luego fortunas por su rescate. Algo que definitivamente puede mitigarse al contar con empleados formados e informados en aspectos básicos de ciberseguridad. 

Gestión de Dispositivos

Con la reciente flexibilización laboral en la que los colaboradores pueden estar en cualquier lugar del mundo, o con tendencias como “Bring your own device”, los riesgos incrementan, pues tradicionales bloqueos de páginas en los navegadores quedan obsoletos, tampoco se podrá hacer seguimiento detallado al cumplimiento de los protocolos de seguridad ¿Los conocen acaso? 

Estos trabajadores remotos podrían descargar malware o podrían acceder a redes wifi inseguras con mayor facilidad que los colaboradores in house, lo que les facilita a los ciberdelincuentes el acceso a los sistemas de la empresa.

Además, ¿Saben tus colaboradores qué deben hacer en caso de perder los dispositivos que tenían conectados a las plataformas de tu empresa?, ¿Qué pasa si les roban el celular o la laptop?, ¿Cuentan con accesos seguros que impidan el fácil acceso a información sensible?

Autenticación

Es indispensable que los colaboradores tengan un doble factor de autenticación para ingresar a los sistemas, así como configurar diferentes passwords para cada plataforma. En la realidad, por pereza o desinterés, suelen usar una única contraseña para todas sus cuentas, aumentando la vulnerabilidad de la empresa. 

Por todo lo anterior, para las empresas de hoy es importante contar con programas de awareness dentro de sus estrategias de seguridad corporativa, en las que brinden sensibilización y capacitación a todos los colaboradores de la organización, en todos los niveles -no solo mandos medios y directivos-.

Te sorprendería saber lo fácil que tus empleados caerían en alguna de estas amenazas, ¡Intentá realizar un simulacro!

Recordá que para combatir los ataques de ingeniería social y otros ciberriesgos se debe promover entre todos los colaboradores cambios de comportamiento y autocuidado en entornos digitales, y no olvidemos tener en cuenta también a los proveedores. 

En NextVision hemos desarrollado NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados, promoviendo una cultura de seguridad basada en las personas. 

Además, con NV Vendor Risk Management podrás evaluar el nivel de ciberriesgo que pueden añadir proveedores o terceras partes a tu organización a través de scoring y cuestionarios automatizados. También te permite medir la reputación de tu empresa y compararla con tu industria en relación a ciberseguridad.

¡Contactanos!

diciembre 5, 2019

NV + Kaspersky : Tendencias 2020 en Ciberseguridad

NextVision

0

Estuvimos el día Miércoles junto con el equipo de Kaspersky ofreciendo un almuerzo exclusivo a nuestros clientes, en el cual presentamos las últimas tendencias y pronósticos en Ciberseguridad para el 2020.

Esta presentación estuvo a cargo de Claudio Pasik, Director de NextVision quién nos compartió las novedades en innovación de servicios de la compañía, presentando:

  • NV Ciberdefensa Un servicio modular y competitivo para prevenir, detectar y mitigar amenazas de ciberseguridad en todo tipo de organizaciones, respaldado por tecnologías líderes y un equipo de expertos de  NextVision.
  • NV VRM | Vendor Risk Management Un servicio que mide la reputación de la empresa en relación a la Ciberseguridad para detectar y mitigar riesgos.
  • NV Awareness Un servicio que tiene por objetivo lograr una organización cibersegura y proteger tu negocio educando a tu gente en el uso de la tecnología y el cuidado de la información.

Luego fue el turno de Andrés Giarletta, Systems Engineer Manager de Kaspersky, quien introdujo las predicciones en Tendencias de Ciberseguridad que habrá el próximo año en América Latina, entra las que se destacan:

  • Infecciones vía ataques a proveedores y terceras partes.
  • Resurgimiento del Ransomware y ataques más dirigidos.
  • Aumento de ciberataques en la nube.

Más de 20 personas disfrutaron del almuerzo en SAGARDI, ubicado en el barrio porteño de San Telmo, donde además repartimos regalos a cada uno de ellos.

¡Agradecemos a nuestros clientes y al equipo de Kaspersky por acompañarnos! Fue una gran convocatoria.

diciembre 2, 2019

Presentamos el BA Tech Cluster

NextVision

0

El jueves 28 de noviembre, en el marco de ComuniTEC, encuentro organizado por el Gobierno de la Ciudad de Buenos Aires y que reúne a las empresas y comunidad del Distrito Tecnológico, se presentó oficialmente el BA TECH CLUSTER.

NextVision fue una de las empresas que lideró la creación de esta nueva asociación civil, que busca  generar y potenciar la vinculación de las empresas y comunidad educativa, como así también la sinergia con otros clusters del país y del mundo, brindando de esta manera, la posibilidad de generar nuevas y mejores alianzas que potencien negocios.

En el encuentro, se presentó el nuevo sitio web del Cluster, y se incentivó al resto de las empresas que participan del Distrito Tecnológico a esta iniciativa. 

Los objetivos principales del BA TECH CLUSTER son:

  • Generar un Ecosistema Tecnológico
  • Crear Proyectos de Innovación
  • Convenios Internacionales
  • Misiones Comerciales
  • Alianzas e Intercambios
  • Capacitaciones
  • Networking
  • Venture Capitals y Angels
  • Bolsa de Trabajo 

Invitamos a tu empresa a sumarse a este gran ecosistema tecnológico desafío completando el siguiente formulario.


diciembre 1, 2019

Vulnerabilidades descubiertas en Fortinet: Alerta de Seguridad

NextVision

0

 

¿Qué vulnerabilidad se descubrió?

En una prueba de concepto realizada  recientemente se descubrió una vulnerabilidad identificada como CVE-2018-9195., La misma consiste en que puede ser descifrada la clave que permite la conexión de los productos Fortinet hasta el servicio Fortiguard. La función principal de Fortiguard es la de la actualización de  amenazas y vulnerabilidades, así como la activación de las licencias adquiridas; que se encuentra en internet dentro de la red Fortinet, comúnmente conocida ahora como nube empresarial

Fortinet utiliza el cifrado XOR para la comunicación de los dispositivos hasta la nube en Fortiguard, utilizando una clave de repetición constante en todos los equipos. Un cifrado simple XOR puede romperse trivialmente mediante análisis de frecuencia. De este modo, el atacante podría lograr interceptar el tráfico de red y fácilmente descifrar y modificar los mensajes intercambiados con los servidores de FortiGuard. El cifrado XOR debería entonces utilizarse con una clave aleatoria para fortalecer la seguridad de la comunicación.

Al respecto del resultado de la Poc, Fortinet informó la vulnerabilidad inventariada como FG-IR-18-100.

¿Qué impacto tiene?

El uso de una clave criptográfica codificada en el protocolo de comunicación de servicios FortiGuard puede permitir que un MitM(man in the middle) con conocimiento de la clave escuche y modifique información (servicios URL / SPAM en FortiOS 5.6 y servicios URL / SPAM / AV en FortiOS 6.0); Clasificación de URL en FortiClient) enviado y recibido de los servidores de Fortiguard al descifrar estos mensajes.”

El problema afecta a las versiones de FortiOS (antes 6.0.7 o 6.2.0), FortiClient para Windows anteriores a 6.2.0 y FortiClient para Mac anteriores a 6.2.2. 

¿Qué recomendaciones hacemos desde NextVision?

  • Realizar la actualización del sistema operativo FORTIOS a las versiones en las que ha sido robustecido el protocolo cifrado XOR:
  • FortiOS 6.2.0
  • Para usuarios de Windows, actualizar sistema operativo a FortiClientWindows 6.2.0
  • Para usuarios de Mac, actualizar sistema operativo a FortiClientMac 6.2.2
  • Contar con equipos Fortinet que soporten el sistema operativo FortiOS 6.2.0.

Es importante resaltar que no hay noticias de que haya sido explotada la vulnerabilidad en los clientes de Fortinet. La ciberresiliencia se trata justamente de estas acciones que mantienen la confianza de nuestros partners, al estar evaluando constantemente sus soluciones y avisando de posibles vulnerabilidades.

Contá con nosotros!

Comunicate con nuestro equipo para ayudarte en la actualización del sistema operativo o si necesitás actualizar tus equipos Fortinet.  Si tenes contrato de soporte enviando mail a :

         soporte@nextvision.com

Caso contrario podes contactar a nuestro equipo comercial a info@nextvision.com

Fuente:

Sitio Oficial de Fortinet

Departamento de Tecnología de NextVision

 

 

 

 

 

noviembre 28, 2019

Black Friday: Ciberseguridad para garantizar el éxito en tus compras.

NextVision

0

Las compras en línea han llegado para quedarse y el Black Friday es una fecha relevante en cuanto a compras online se refiere.

Black Friday, se ha convertido rápidamente en uno de los días de compras en línea más importantes del año, en la que se inaugura la temporada de compras navideñas con significativas rebajas en muchas tiendas.

Ofertas para aprovechar pero…

Las ofertas de productos, viajes y hoteles son innumerables y los precios increíbles. Pero debemos ser cuidadosos ya que muchas de estas ofertas son falsas y provienen de ciberdelincuentes.

Si caemos en sus engaños, no sólo que no recibiremos nunca nuestra compra, sino que también robarán nuestra información financiera, como el número y código de seguridad de nuestra tarjeta de crédito.

Cómo podemos disfrutar de las ofertas con seguridad?

Aprovechar de manera segura estas promociones especiales es muy fácil. Sólo debemos seguir unos simples tips y, ¡disfrutar de todas las ofertas sin ningún inconveniente!

Tip #1: Comprar en tiendas de confianza

A la hora de elegir una tienda para realizar compras en estas fechas, seleccionemos tiendas conocidas, con una buena reputación y de amplia trayectoria.Si tenemos dudas, podemos consultar la experiencia de otras personas que hayan realizado compras en la tienda en cuestión.

Tip #2: Evitar hacer clic directamente en publicidades

Si nos interesa una promoción en particular recibida mediante correo electrónico u otro medio tecnológico como redes sociales o aplicaciones de mensajería, evitemos hacer clic en dichas publicidades.En cambio, ingresemos directamente la URL de la tienda oficial que ofrece dicha promoción, para asegurarnos de adquirirla en el sitio adecuado.

Tip #3: No realizar compras en conexiones WIFI abiertas o públicas

Bajo ninguna circunstancia debemos comprar utilizando una conexión a Internet abierta o pública como la de un bar o shopping, ya que nuestra información privada – como ser los datos de nuestra tarjeta de crédito – puede ser robada sin problemas por un cibercriminalSiempre debemos utilizar una conexión de Internet privada de un lugar de confianza, o bien la conexión de datos de nuestro celular.

Tip #4: Contar con herramientas de seguridad 

 También es importante contar con herramientas de seguridad. De esta forma estaremos protegidos frente a posibles ataques de malware que puedan robar información. Un buen antivirus puede ser vital para protegernos.Además, tener los sistemas actualizados con las últimas versiones será esencial. A veces se aprovechan de vulnerabilidades que existen en los dispositivos y herramientas que utilizamos. Es así como pueden enviar ataques de este tipo. Lo aconsejable es siempre tener las últimas versiones y parches de seguridad instalados. De esta forma podremos cerrar esas posibles brechas de seguridad que nos pongan en riesgo.

¡Tengamos en cuenta estos tips y disfrutemos de realizar compras seguras en Internet!

Estos tips son solo algunos de los que habitualmente enviamos a los colaboradores de nuestros clientes para que sepan cómo protegerse en el mundo digital.¿Te interesa implementar un programa de concientización para cuidar tu información corporativa? Conocé nuestro programa NV AWARENESS. ¡¡ Contactanos !!

noviembre 26, 2019

Consultor/a de Preventa

NextVision

0

Nos encontramos en búsqueda de un/a Consultor/a de Preventa para nuestras oficinas en Buenos Aires.

Responsabilidades:

Estará a cargo de todo el proceso de preventa para proyectos, incluyendo el relevamiento de requerimientos de negocios, la definición de las soluciones a implementar, la estimación de esfuerzos y costos de las mismas, la generación y presentación del material y el análisis de pliegos.

Trabajará junto con el área comercial dentro del proceso de ventas y colaborará con el área de marketing en elaboración de reportes de investigación y conducción de webinars.

Sus principales tareas serán:

  • Investigación de nuevos productos y tecnologías
  • Diseño de soluciones técnicas adecuadas a la necesidad del cliente.
  • Análisis técnico/económico de las soluciones.
  • Soporte al desarrollo de propuestas, negociaciones y cierre de negocios.
  • Generación de demos y presentaciones
  • Análisis de pliegos y licitaciones

Perfil:

Buscamos profesionales con habilidades en ventas consultivas, capacidad de análisis y construcción de soluciones con marcada orientación al cliente.

Preferentemente, con conocimientos en seguridad, redes, comunicaciones, marcos normativos y mejores prácticas de los fabricantes líderes del mercado.

La posición está orientada a profesionales graduados en carreras de Sistemas, Ingeniería o afines que cuenten con experiencia no menor a 3 años en áreas de Venta de Servicios y Diseño de Soluciones en la industria TI.

Conocimientos generales en: (no excluyente)

  • Seguridad perimetral, servidores y puestos de trabajo
  • Ambientes virtuales y nube
  • Redes y comunicaciones
  • Plataformas operativas
  • Almacenamiento y redes SAN

Se valorarán conocimientos en las siguientes tecnologías: DLP, SIEM, AV, Firewalls, WAF, Storage, SAN, Switches, Router, VoIP,  Encripción,

Se valorarán certificaciones en ciberseguridad y/o comunicaciones.

Se ofrecen muy buenas condiciones de contratación, capacitación permanente y gran clima laboral en una empresa referente de ciberseguridad.

Zona de Trabajo: Distrito Tecnológico-Parque Patricios

Modalidad: full time

Enviar cv y remuneración pretendida a cv@nextvision.com

noviembre 25, 2019

Estas son las principales tendencias en ciberseguridad para 2020

NextVision

0

Sabemos que los ciberdelincuentes siempre están evolucionando y buscando cómo encontrar brechas que permitan vulnerar la seguridad de nuestra empresa. Por esto es tan importante estar actualizado e ir un paso adelante de ellos, conociendo oportunamente cuáles son los principales desafíos a encarar. 

A continuación detallamos cuáles son las tendencias en ciberseguridad para el año que viene:

¡Proveedores bajo asedio!

Los proveedores o terceros, especialmente los MSP (Managed Service Provider), se han convertido en uno de los blancos preferidos de los cibercriminales. ¿Por qué? Porque suelen ser el eslabón más débil de la cadena, ya que muchos de ellos no son tan exigentes en sus políticas de seguridad. 

Además, estos MSP suelen contar con gran cantidad de colaboradores, lo que permite masificar el ataque y mejorar la probabilidad de materializarlo. 

No solo eso, un MSP se puede especializar en targets que suelen ser de interés para este tipo de delincuentes, como entidades públicas o financieras, por lo tanto, si el modelo delictivo está orientado a capturar datos críticos gubernamentales, no sólo atacarán a las administraciones públicas: Irán tras sus proveedores, mejor aún si son especializados en ese segmento, pues podrán alcanzar múltiples objetivos que cumplan con el perfil de víctima apropiado mediante la vulneración de un solo MSP.

Por esto, es cada vez más importante conocer qué tan seguras son las terceras partes que conforman nuestra cadena de valor. 

>> ¿Cómo evaluar el ciberriesgo al que nos exponen nuestros proveedores?

Consolidación de la infraestructura y el software de seguridad de endpoints

Hoy en día las amenazas llegan cada vez más a través de los endpoints, lo que significa que la protección centralizada de la red no es suficiente. Por ello, la estrategia de ciberseguridad debe contemplar un mayor control sobre los puntos de acceso para evitar las vulnerabilidades que puedan surgir mediante el uso de dispositivos remotos. También se debe considerar que mover los servidores a la nube brinda a los usuarios la protección más actualizada, esto de la mano con una mayor demanda de simplicidad, es decir, herramientas de seguridad que se puedan mantener de forma remota y consolidadas en un solo lugar.

La orquestación y la automatización están de moda

Los equipos de seguridad se esfuerzan por dar sentido a todos los datos generados por las herramientas de protección del ecosistema de TI, pero por lo general carecen de los recursos financieros para contratar tantos analistas como quisieran. 

De allí la necesidad de simplificar la forma en que se recopila y analiza la data, así como la tendencia a automatizar la respuesta a los problemas más comunes y repetitivos que se hayan identificado gracias al uso de herramientas de orquestación de seguridad, automatización y respuesta (SOAR por sus siglas en inglés). 

El impulso para hacer más con los datos de seguridad provenientes de diversas fuentes, mientras se disminuyen los requerimientos de recursos es tendencia para 2020.

Los hackers van tras las configuraciones erróneas en la nube

Los errores humanos durante el proceso de configuración de la infraestructura pueden proporcionar a los ciberdelincuentes formas fáciles de acceder a nuestra información. Muchas compañías usan servidores en la nube para almacenar sus datos, y a pesar de todas las ventajas que ofrece esta opción, los servidores mal configurados pueden exponer datos confidenciales, error que se convierte en una invitación para que los cibercriminales puedan usar los datos de tu empresa para sus actividades maliciosas. A continuación una breve lista de errores comunes en las configuraciones, a modo de ilustración:

  • Uso de credenciales predeterminadas por el sistema (Usuario/contraseña).
  • Directorios y listado de archivos que no están deshabilitados y quedan fácilmente disponibles a través de motores de búsqueda.
  • Rastros de usuarios que podrían tener demasiada información.
  • Mantener algunas páginas innecesarias, como aplicaciones de muestra, privilegios antiguos y cuentas de usuario.
  • Software sin actualizar o parches desactualizados.

Normativa de privacidad de datos

Ante diversas crisis que han surgido como consecuencia de la materialización de ciberdelitos, los gobiernos a nivel global están emitiendo nuevas regulaciones que rigen la manera en que las empresas gestionan y almacenan los datos de los clientes. 

La Unión Europea, por ejemplo, ha sido líder en este campo y uno de sus primeros frutos es el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés), que impacta a todas las empresas que hacen negocios con clientes europeos, independientemente de dónde esté basada la compañía. 

El GDPR exige que las empresas cuenten con el consentimiento de los consumidores antes de recopilar, procesar y almacenar datos de forma anónima, y dar aviso a los clientes cuando su información haya sido potencialmente violada.

Este es el panorama de las principales tendencias que empiezan a vislumbrarse para el próximo año. Algunas de ellas, como los cambios de normativa de privacidad de datos, ya han sido ampliamente trabajadas, otras, como la evaluación de los riesgos a los que nos exponen nuestros proveedores, siguen ganando fuerza y sin duda, será uno de los principales objetivos a trabajar en 2020. 

Recordemos que sin la adecuada gestión de ciberseguridad, es mucho más fácil para los delincuentes acceder a la información que pueda comprometer la continuidad del negocio. ¡Podemos ayudarte! Contactanos para saber más.

octubre 23, 2019

¿Cómo evaluar el ciberriesgo al que nos exponen nuestros proveedores?

NextVision

0

Conocer qué tan seguras son las terceras partes que conforman nuestra cadena de valor no es algo menor, pues cada vez se conocen más noticias de grandes empresas que han sido vulneradas a pesar de contar con robustas estrategias de seguridad.

¿Por qué? Los ciberdelincuentes siempre están buscando aprovechar brechas de seguridad, y han descubierto que, usando ingeniería social y otras técnicas pueden conocer qué organizaciones se interconectan con la nuestra y atacarlas para acceder a nuestra red e información. 

Algunos de los ciberriesgos asociados a terceras partes son:

  • Proveedores y servicios prestados por terceros (desde limpieza de oficinas hasta ingeniería de software) con acceso físico o virtual a sistemas de información, código de software o IP.
  • Malas prácticas de seguridad o la falta de una política de ciberseguridad de la información por parte de proveedores.
  • Software o hardware comprometido, comprado a proveedores.
  • Hardware manipulado o con malware incorporado.
  • Almacenamiento de datos en terceros.

Inicialmente, es natural planificar la prevención desde nuestro propio negocio, descuidando en ocasiones cuáles son los mecanismos de ciberseguridad utilizados por los proveedores o aliados estratégicos, por esto, un puntaje de ciberseguridad se ha convertido en algo tan importante como un puntaje de crédito en el momento de establecer alianzas comerciales o de prestación de servicios.

Para empezar, necesitás tener en claro estos tres principios que te guiarán en la adecuada gestión de riesgos existentes para tu empresa en lo que refiere a las prestaciones o servicios de terceros: 

  • Desarrollar la defensa sabiendo que tus sistemas serán vulnerados: Y no exclusivamente a través de los canales de la empresa. Lo primero que tenés que pensar es que la materialización de un riesgo es imposible de evitar, y basados en este supuesto es que debemos tomar las decisiones presentes y futuras. Ya no se trata solo de ¿Cómo evitar que me vulneren? Sino ¿Cómo reducir la capacidad que tiene un atacante para explotar la información a la que ya ha accedido y cómo recuperarme del ciberataque?
  • Las personas y la ciberseguridad: Ya no se trata de evitar vulnerabilidades meramente tecnológicas, pues muchas veces el riesgo se materializa como consecuencia de un error humano. Por lo mismo, es indispensable que tanto nuestros colaboradores como aquellos de los aliados estratégicos y proveedores protejan nuestra información crítica, siguiendo las recomendaciones, buenas prácticas y los estándares definidos para cada proceso.  
  • Seguridad es seguridad: No tendría que existir una brecha entre la seguridad física y la virtual, sin embargo, en ocasiones se explotan fallas en la seguridad física para lanzar ataques cibernéticos, del mismo modo que un atacante busca vulnerabilidades informáticas para llegar a una ubicación física restringida.

En NextVision, conscientes de la importancia de establecer acciones que permitan medir y evaluar las brechas de seguridad que pueden existir en las terceras partes que están interconectadas a tu organización, desarrollamos NV Vendor Risk Management, una herramienta que permite medir la reputación de una empresa con relación a la ciberseguridad, para detectar y mitigar riesgos:

  • Evaluamos los factores de riesgo (deep, dark y clear web): Nos colocamos en el lado de los ciberdelincuentes teniendo acceso a la información pública de tu empresa a fin de descubrir potenciales riesgos.        
  • A partir de diferentes categorías, otorgamos un puntaje a la organización: Esto a partir de una evaluación a la Seguridad de Aplicaciones, Seguridad de Red, Seguridad de Endpoints, Ingeniería Social, Hacker Chatter, Seguridad DNS, Credenciales Filtradas, Parcheo de Vulnerabilidades, Reputación de IP, implementación de buenas prácticas, entre otros.
  • Realizamos un plan de acción y gestionamos incidentes: Cooperamos con los CISOs facilitándoles un reporte ejecutivo para presentar a alto nivel. Además, generamos informes cada mes para analizar y mejorar el puntaje de ciberseguridad de la compañía.
  • Generamos valor a través de un equipo de expertos: Ofrecemos este servicio con un equipo de profesionales en ciberseguridad, utilizando una solución tecnológica SaaS líder en Vendor Risk Management, Scoring y reconocida por Gartner. 
Saber más sobre NV Vendor Risk Management

Como vemos, para lograr una gestión integral de la ciberseguridad no solo debemos controlar las variables propias de nuestro negocio, sino también considerar a aquellos que te aprovisionan de bienes y servicios, que al final terminan siendo parte de tu compañía.

El 97% de los ataques pueden ser controlados con una buena administración de las herramientas tecnológicas y la adecuada educación de los usuarios ¡Queremos ayudarte a gestionar los ciberriesgos de manera inteligente! Contactanos.