blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!
abril 23, 2018

GDPR: Todo lo que tu empresa necesita saber

NextVision

0

¡Descargá la Guía GDPR para obtener más información!

El Reglamento General de Protección de Datos (GDPR) busca crear un marco legal de protección de datos con el objetivo de devolver el control a los ciudadanos sobre sus datos personales. Comenzará a aplicarse el 25 de mayo de este año en todos los Estados miembros de la Unión Europea. Para esa fecha las instituciones, empresas y organizaciones europeas (e internacionales que operen en la UE) deberán cumplir con los requisitos que dispone. Entre las novedades más destacadas, pueden mencionarse la introducción de la figura del Oficial de Protección de Datos; el alcance territorial; el cumplimiento con los principios de privacidad desde el diseño; los nuevos derechos de los sujetos; el enfoque de riesgo y las multas por incumplimiento, entre otras cuestiones. En esta nota te explicaremos todo lo que tu organización necesita saber sobre esta nueva reglamentación.

¿Qué es GDPR?

Una breve historia

En 1995 se creó la Directiva de Protección de Datos 95/46/EC para regular el procesamiento de datos personales. Recién en 2012 la Comisión Europea propuso actualizar la regulación de protección de datos. Es así que en 2014 el Parlamento Europeo aprobó su primera versión del Reglamento en primera lectura y un año más tarde hizo lo propio el Consejo de la Unión Europea. De esta forma la regulación pasó a la etapa final de legislación.

En diciembre de 2015 el Parlamento y el Consejo llegaron a un acuerdo y el texto definitivo se firmó a principios de 2016. El nuevo Reglamento General de Protección de Datos entró en vigor en mayo de 2016 y será aplicable a partir de mayo de 2018. En ese período transitorio, los responsables y encargados del tratamiento debieron ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del GDPR en el momento de su aplicación.

¿A quiénes afecta el GDPR?

El GDPR no solo se aplicará a organizaciones ubicadas dentro de la UE, sino también a organizaciones ubicadas fuera de la UE que ofrezcan bienes o servicios a las personas físicas y/o jurídicas de la UE, que monitoreen su comportamiento o que reciban datos personales desde Europa.

Se aplicará a todas las empresas que procesan los datos personales de los interesados ​​que residen en la Unión Europea, independientemente de la ubicación de la empresa. Anteriormente, la aplicabilidad territorial de la directiva era ambigua y se refería al proceso de datos ‘en el contexto de un establecimiento’.

¿Cuáles son los cambios respecto de la normativa anterior?

GDPR es el nuevo marco legal en la Unión Europea que reemplazará a la actual Directiva de Protección de Datos. La diferencia más importante entre ambas es la distinción entre una “regulación” y una “directiva”. La Directiva de Protección de Datos son recomendaciones a tener en cuenta y no son legalmente vinculantes, dejan abierta a la interpretación. El GDPR, en cambio, es una ley y debe ser cumplida por todas las organizaciones.  

Aunque los principios clave de la privacidad de los datos siguen siendo fieles a la directiva anterior, se han propuesto muchos cambios:

  • Consentimiento: las condiciones para el consentimiento se han fortalecido. Las empresas ya no podrán usar términos y condiciones ilegibles, ya que la solicitud de consentimiento debe ser proporcionada en un lenguaje de fácil acceso, sencillo y claro. Debe ser tan fácil retirar el consentimiento como darlo.
  • Enfoque de riesgo: las medidas dirigidas a garantizar el cumplimiento de GDPR deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas. Algunas de las medidas que establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten. La aplicación de las medidas previstas debe adaptarse, por tanto, a las características, tamaño y procesamiento de datos que maneje cada una de las organizaciones.

 

  • Seguridad, protección de datos y aplicaciones cloud: se obtendrá una visibilidad completa del uso y actividades de los servicios y aplicaciones cloud. Todas las empresas, cualquiera que sea su localización, deberán responsabilizarse de la protección de los datos de sus clientes. En el caso de las compañías que contratan servicios en la nube, serán los responsables últimos de la seguridad de los datos de carácter personal, y no el prestador del servicio.

 

  • Notificación de incumplimiento: será obligatoria en todos los estados miembros donde una violación de datos probablemente “genere un riesgo para los derechos y libertades de las personas”. Esto debe hacerse dentro de las 72 horas de haberse dado cuenta de la violación por primera vez. Los procesadores de datos también deberán notificar a sus clientes después de registrar por primera vez una violación de datos.
  • Privacidad por defecto / desde el diseño: como concepto ha existido desde hace años, pero solo se está convirtiendo en parte de un requisito legal con GDPR. En esencia, requiere la inclusión de protección de datos desde el inicio del diseño de los sistemas, en lugar de ser una adición. Exige que los controladores retengan y procesen solo los datos absolutamente necesarios para el cumplimiento de sus funciones (minimización de datos).
  • Oficiales de Protección de Datos (OPD): actualmente, las empresas están obligadas a notificar sus actividades de procesamiento a las Autoridades de Protección de Datos (APD) locales, lo cual les resulta engorroso dado que la mayoría de los Estados miembros tienen requisitos de notificación diferentes. Bajo GDPR esto ya no será necesario. En su lugar, habrá requisitos internos de mantenimientos de registros y además se incorporará la figura del Oficial de Protección de Datos. Su rol será obligatorio en aquellos casos de empresas cuyas actividades centrales de procesamiento requieren un monitoreo regular y sistemático de datos a gran escala, o son de categorías especiales de datos, o los mismos están relacionados con condenas y delitos penales.

La ley otorga a los sujetos ocho derechos específicos, pueden mencionarse los siguientes:

  • Derecho a estar informado: proporciona transparencia con respecto a cómo son recolectados, procesados y utilizados los datos personales de los sujetos.
  • Derecho de acceso: es el derecho ​de los interesados a obtener de los controladores de datos la certeza de que su información personal está siendo o no procesada, dónde y con qué propósito. Además, el controlador deberá proporcionar una copia de los datos personales, sin cargo, en un formato electrónico. Esta medida apunta hacia la transparencia de los datos.
  • Derecho a la rectificación: otorga el derecho de que los datos personales sean rectificados en caso de ser incorrectos o incompletos.
  • Derecho a ser olvidado: es el derecho de las personas de que sus datos personales sean borrados de cualquier lugar si no existe una razón convincente para que estén almacenados. También implica el cese de la diseminación de datos y, potencialmente, que terceros detengan el procesamiento de los mismos.
  • Derecho a restringir el procesamiento: permite bloquear o suprimir los datos personales en el momento en que están siendo procesados o en uso.
  • Derecho a la portabilidad de datos: es el derecho de un sujeto de recibir los datos personales que le conciernen y que previamente proporcionó en un “formato de uso común y legible por máquina”. También el interesado tiene derecho a transmitir esos datos a otro controlador.
  • Derecho a objeción: permite objetar acerca del procesamiento de sus datos sin un consentimiento explícito.
  • Derecho a no ser sujeto de toma de decisiones automatizadas: es el derecho de objetar sobre la toma de decisiones automáticas -sin intervención humana- que se hagan sobre los datos personales.

¿Las empresas que operan en la UE ya están listas para GDPR?

En el 2017 Kapersky Lab, compañía internacional dedicada a la seguridad informática y partner de NextVision, realizó una encuesta a más de dos mil responsables de departamentos IT acerca de sus conocimientos y puntos de vista sobre la nueva legislación. Aunque la mayoría de ellos (73%) cree que el reglamento de almacenamiento y procesamiento de datos personales es importante, tienen niveles de confianza bajos respecto a la capacidad de las organizaciones de cumplir el GDPR adecuadamente. No obstante, consideran que es una oportunidad para mejorar su capacitación.

De acuerdo al informe, los niveles más altos de ‘conocimiento adecuado’ entre los responsables de los departamentos de IT se encuentran en los sectores de la construcción (51 %) y servicios financieros (47 %) y los más bajos se encuentran en los sectores sanitarios (28 %), educativos (26 %) y de fabricación (29 %).

En cuanto a países que muestran más preparación para cumplir el GDPR figuran Reino Unido, Francia, Alemania, Italia, Países Bajos y España. Los países que demostraron menor preparación son Bélgica, Portugal, Dinamarca y Noruega: los responsables IT manifestaron que no contaban con ningún conocimiento aparte de haber escuchado el término GDPR o que directamente no sabían en qué consistía.

¿Qué sucede si tu empresa no cumple con GDPR?

Las organizaciones pueden recibir multas de hasta el 4% de la facturación global anual, o hasta € 20 millones de euros. Esta es la multa máxima que se puede imponer por las infracciones más graves, por ejemplo, no tener suficiente consentimiento del cliente para procesar datos o violar los conceptos de privacidad desde el diseño.

Existe un enfoque escalonado de multas, por ejemplo una empresa puede recibir una multa del 2% por no tener sus registros en orden, por no notificar a la autoridad supervisora ​​y al sujeto de los datos sobre una infracción o por no realizar la evaluación de impacto. Es importante tener en cuenta que estas reglas se aplican tanto a los controladores como a los procesadores, lo que significa que la ‘nube’ no estará exenta de la aplicación de GDPR.

¿Cómo cumplir con GDPR?

La Agencia Española de Protección de Datos elaboró una “Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento” con una serie de medidas a considerar para que las empresas cumplan con el reglamento:

  • Identificación de la base jurídica de los tratamientos que se realizan: los tratamientos básicos involucran una relación contractual entre el interesado y el responsable o en el consentimiento del interesado. También es habitual que existan obligaciones legales para el responsable. El responsable debe asegurarse de que todos los tratamientos que realiza pueden apoyarse en una base jurídica ya estipulada.
  • Verificación de la información que se proporciona a los interesados: se debe ofrecer a los interesados una mayor información sobre los tratamientos que se realizan, independientemente del tamaño de la organización. La información podrá proporcionarse por diversos medios -avisos en páginas webs, espacios reservados en formularios o carteles informativos- y en diversas instancias. Sin embargo, dependiendo del tratamiento a realizar, no sería prioritario informar sobre ciertas cuestiones, tales como los datos de contacto del Oficial de Protección de Datos o la adopción de decisiones automatizadas.
  • Establecimiento de un registro de actividades de tratamiento: el responsable debe prever la existencia de este registro e incluir en él los contenidos previstos por el GDPR.
  • Ejercicio de derechos de los interesados: el responsable debe prever mecanismos para facilitar el ejercicio de derechos y la respuesta a las solicitudes, como establecer una dirección de correo electrónico específica y derivar a una persona de la organización para que se encargue de tramitar todas las solicitudes que se reciban. Es importante que el modo de implementar estos mecanismos, por sencillos que sean, estén claramente establecidos.
  • Identificación de medidas de seguridad: permiten garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar accesos no autorizados. Deben poder adaptarse a las características de los tratamientos, al tipo de datos tratados y a la tecnología disponible. El responsable debe asegurarse de que las medidas que establece el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (LOPD) se apliquen y, dependiendo el caso o el nivel de complejidad, evaluar si se requiere alguna medida distinta o adicional.
  • Verificación de las relaciones con los encargados de tratamiento: el responsable puede encomendar parte de las operaciones a un encargado de tratamiento, por ejemplo el almacenamiento de la información o la realización de distintas tareas sobre la base de los datos personales. El responsable debe asegurarse de que los encargos estén siempre amparados en un contrato y de que incluya todos los aspectos que establece el GDPR. Especialmente, el encargado sólo tiene que tratar los datos para los fines que le encomiende el responsable, debe aplicar las medidas de seguridad adecuadas y mantener una estricta confidencialidad sobre la información tratada.

Propuesta de NextVision

Para adecuar la protección de datos de una empresa a GDPR, NextVision ofrece los siguientes servicios que permitirán que el GDPR se convierta en una ventaja competitiva para tu empresa:

  • Análisis de GAP respecto GDPR, definiendo el plan de acción para adecuarse (GAP es un análisis de la situación actual desde un punto de vista legal, técnico y organizativo, para implementar las mejores recomendaciones de adecuación al reglamento).
  • Determinación de las responsabilidades de seguridad.
  • Definición de la metodología de evaluación de riesgos y plan de implantación de controles necesarios.
  • Adecuación de la Gestión de Incidentes, evaluación de impacto y notificación a afectados.
  • Test interno y externo para evaluar posibles vulnerabilidades y su posible explotación.
  • Servicios jurídicos especializados con más de diez años de adaptaciones a protección de datos.

El futuro de la protección de datos

El GDPR tiene como intención crear un marco legal de protección de datos con el objetivo de devolver el control a los ciudadanos sobre sus datos personales. Aplica para todas las organizaciones que procesan datos de personas físicas y/o jurídicas de la UE en cualquier parte del mundo.

La reglamentación introduce cambios sustanciales con respecto a la Directiva de Protección de Datos 95/46/EC para regular el procesamiento de datos personales. Es muy importante que el responsable de tratamiento de la organización esté al tanto de las modificaciones y que tome las medidas correspondientes para adecuarse al  reglamento, no solo por las multas que establece el incumplimiento, sino también para implementar una política de datos personales transparente que garantice la confianza de las personas.

Te invitamos a descargar la Guía GDPR realizada por nuestros expertos para obtener más información.

abril 20, 2018

NextVision integra el Board del Distrito Tecnológico

NextVision

0

El miércoles 18 de abril participamos de la segunda reunión del Board Tecnológico, un comité exclusivo formado por los responsables de las empresas radicadas en el Distrito de Parque Patricios.

Claudio Pasik, director de NextVision, integra este board junto con directores de empresas como GYL, CTL, CMD, GIRE, USAL y UDESA.

Juntos estamos trabajando para seguir potenciando la creación de más recursos tecnológicos, capacitaciones y charlas en las empresas, con el fin de hacer crecer el Distrito, a donde nos mudaremos a mitad de año.


abril 11, 2018

Cómo adecuarse a Social Media y no morir en el intento

NextVision

0

Recomendaciones para proteger tu empresa

Por Julio Locatelli*

En el ámbito laboral, el uso de social media está presente en los procesos de trabajo. Se ha transformado en un componente inevitable en la vida personal de los empleados y, como consecuencia, muchas empresas debieron permitir su uso dentro de la oficina. No ha funcionado esto de querer separar al individuo personal del individuo laboral.

La creación de aplicaciones de Web 2.0 en el entorno de las redes sociales ha generado un fenómeno cultural de amplio alcance y con un número explosivo de usuarios. Por ejemplo, Internet como medio de comunicación en solo cuatro años generó más de 50 millones de usuarios. Las redes sociales como Facebook pasaron de 200 a 250 millones de usuarios registrados en tan solo tres meses.

Por otro lado se ha entendido que las marcas necesitan estar en redes sociales para potenciar su presencia en la mente del consumidor y son canales de comunicación vitales entre los diferentes grupos de interés.

 La necesidad de una Política de uso de Social Media

La línea que divide a empresas y empleados en social media es muy delgada. Por este motivo, las organizaciones necesitan una política de redes sociales que ayude a mantener intacta la reputación de la empresa, proteja los datos sensibles, al tiempo que motive la participación en línea del personal como embajadores de marca.

Una política de redes sociales describe la forma en que una organización y sus empleados deben comportarse en línea. El concepto de generar políticas de acceso y utilización de los datos ayuda a explicar los riesgos, concientizar y motiva a los empleados a compartir el mensaje de la empresa con responsabilidad.

Puesto que las redes sociales evolucionan con rapidez, esta política debe considerarse como un documento abierto: serán necesarias las actualizaciones constantes. No es necesario que sea un texto de muchas páginas que nadie vaya a leer, sino que la meta es ofrecerle a los empleados lineamientos claros y concisos fáciles de seguir.

 Mal uso personal… Impacto laboral

Desde fraudes por suplantación de identidad, fugas de información, hasta ataques de ransomware (secuestro de datos de tu computadora), los riesgos de seguridad en redes sociales son, desafortunadamente, demasiado comunes. Las empresas deben estar extremadamente alertas cuando se trata de proteger su presencia en línea.

Las estafas en las redes sociales se dispararon en un 150 por ciento a través de Facebook, Twitter, Instagram y LinkedIn en 2016. Y es probable que el número continúe aumentando a medida que más cibercriminales vean a las redes sociales como un objetivo fructífero.

Siempre existirá el riesgo para las organizaciones de permitir el uso de este canal a sus empleados. Es necesario evaluar qué medidas de seguridad se deben tomar y cuáles serían esos riesgos, o si las redes sociales finalmente son una amenaza para la seguridad corporativa. Las amenazas de seguridad en redes sociales no son un tema nuevo. Estos sitios que son tan concurridos son una plataforma que ofrece a los cibercriminales información personal y corporativa cuando no se tiene un control de la diferencia entre su rol como empleado y como persona.

¿Y cómo esto afecta directamente a las empresas? Sin un control de sus cuentas personales, los empleados pueden abrirle la puerta a los ciber criminales a través de los contenidos de sus publicaciones, y con ingeniería social entrar a perfiles de otros empleados de la empresa, nombres, direcciones de correo electrónico, realizando ataques luego con toda esta información revelada.

Se necesita un control sobre el uso de redes sociales en el trabajo: es necesario crear una política de redes sociales que proteja las cuentas de las empresas. Reglamentar un código de buena conducta para los empleados, alineándolo a generar la educación sobre la ciberseguridad donde se enseñe la generación de contraseñas fuertes y dejar a un lado las combinaciones débiles como 12345, que hoy en día siguen siendo muy frecuentes.

No se trata de filantropía. Las organizaciones necesitan tener un equipo de colaboradores educado acerca de los riesgos en el uso de redes sociales, y deben definir su política de uso a nivel corporativo con control de quiénes pueden tener acceso a las cuentas corporativas, como así también la totalidad de aplicaciones que se usan.

Muchas de las principales marcas han sido víctimas de hackeos en las redes sociales, entre ellos Burger King, cuya cuenta de Twitter fue secuestrada e hizo que pareciera que promocionaba McDonald’s.

 

5 riesgos de seguridad de las redes sociales para los negocios

1. Error humano

Desde tweets accidentales hasta clics en enlaces de phishing, el error humano es una de las amenazas de seguridad de redes sociales más comunes hoy en día para las marcas.

2. No prestar atención en las redes sociales

En relación con el error humano, no prestar atención a sus cuentas de redes sociales puede tener graves consecuencias. Dejar su cuenta sin supervisión, por ejemplo, la pone en riesgo de ser infectada por un virus malicioso que podría propagarse a sus seguidores.

3. Aplicaciones maliciosas y ataques

Internet está plagado de software malicioso, que abarca desde malware y spyware hasta adware y la variedad ransomware (de los cuales hubo más de 4.000 ataques por día en 2016 ).

4. Estafas de phishing

Al igual que las aplicaciones maliciosas, las estafas de suplantación de identidad (phishing) utilizan las redes sociales para engañar a las personas para que entreguen información personal (como detalles bancarios y contraseñas). Los intentos de suplantación de identidad (phishing) en las redes sociales aumentaron en un asombroso 500 por ciento en 2016, lo que se atribuyó principalmente a cuentas de atención al cliente fraudulentas dirigidas a clientes en Facebook, Twitter, Instagram y LinkedIn.

Una vez instalado, el archivo malicioso se apoderaría de la cuenta de Facebook del usuario, donde luego extraería los datos personales del usuario y propagaría aún más el virus a través de los amigos de ese usuario.

5. Configuraciones de privacidad

La privacidad y protección en las redes sociales es extremadamente importante. Sin embargo, muchas empresas siguen poniendo en riesgo su reputación al no implementar una configuración de privacidad estricta. Como resultado, los hackers pueden tomar fácilmente el control de los canales sociales de una marca y causar estragos a voluntad, enviando publicaciones fraudulentas a los seguidores o haciendo ajustes a la apariencia de un canal.

Todo esto indica la necesidad de incluir en los planes de seguridad de la empresa a la actividad de la misma y de sus empleados en el mundo del social media.

En definitiva:

Tu estrategia de Social Media debe brindar lineamientos sobre cómo:

  • Crear contraseñas seguras
  • Evitar ataques de suplantación de identidad, correo no deseado, estafas y otras amenazas maliciosas
  • Proteger información sensible y evitar fugas de información
  • Actuar en caso de una violación de seguridad o ataque

 

*Julio Locatelli es especialista en infraestructura de redes sociales online. Actualmente se desempeña como Analista Funcional de flujo de datos en Artear SA (Grupo Clarín). Facilita y entrena profesionales en el campo de Infraestructura de software para periodismo y redes sociales.

abril 6, 2018

Leé el primer Informe de Amenazas a la Seguridad en Internet 2018

NextVision

0

Innovación, organización y sofisticación: estas son las herramientas de los atacantes cibernéticos a medida que trabajan más fuertemente y de manera más eficiente para descubrir nuevas vulnerabilidades.

Las variantes de ransomware aumentaron en un 46% en 2017, demostrando que los ciberdelincuentes no parecen detenerse. Leé el reciente ISTR del año para conocer más.

El Informe de Amenazas a la Seguridad en Internet 2018 (ISTR) de Symantec realiza una profunda inmersión en la red de inteligencia global civil más grande del mundo, que revela lo siguiente:

  • Los ataques dirigidos crecen exponencialmente, con un aumento del 600% en los ataques de IoT.
  • El criptockack explota en un 8.500 %, robando recursos y aumentando la vulnerabilidad.
  • El Ransomware se comoditiza, bajando los precios y aumentando las variantes.
  • Los implantes de malware crecen en un 200%, explotando la cadena de suministro de software.
  • El malware móvil continúa propagándose: las variantes aumentan en un 54%.

Conocé más sobre este informe.

marzo 19, 2018

Consultor/a de Preventa

NextVision

0

Nos encontramos en búsqueda de un/a Consultor/a de Preventa para nuestras oficinas en Buenos Aires. 

Consultor/a de Preventa Enterprise

Responsabilidades:

Estará a cargo de todo el proceso de preventa para proyectos de integración de tecnología, incluyendo el relevamiento de requerimientos de negocios, la definición de las soluciones a implementar, la estimación de esfuerzos y costos de las mismas, la generación y presentación del material y el análisis de pliegos.

Trabajará junto con el área comercial Enterprise (grandes empresas y gobierno) dentro del proceso de ventas y colaborará con el área de marketing en elaboración de reportes de investigación y conducción de webinars.

Sus principales tareas serán:

  • Investigación de nuevos productos y tecnologías
  • Diseño de soluciones técnicas adecuadas a la necesidad del cliente.
  • Análisis técnico/económico de las soluciones.
  • Soporte al desarrollo de propuestas, negociaciones y cierre de negocios.
  • Generación de demos y presentaciones
  • Análisis de pliegos y licitaciones

Perfil:

Buscamos profesionales con habilidades en ventas consultivas, capacidad de análisis y construcción de soluciones con marcada orientación al cliente.

Preferentemente, con conocimientos en seguridad, redes, comunicaciones, marcos normativos y mejores prácticas de los fabricantes líderes del mercado.

La posición está orientada a profesionales graduados en carreras de Sistemas, Ingeniería o afines que cuenten con experiencia no menor a 3 años en áreas de Venta de Servicios y Diseño de Soluciones en la industria TI.

Conocimientos generales en: (no excluyente)

  • Seguridad perimetral, servidores y puestos de trabajo
  • Ambientes virtuales y nube
  • Redes y comunicaciones
  • Plataformas operativas
  • Almacenamiento y redes SAN

Se valorarán conocimientos en las siguientes tecnologías: DLP, SIEM, AV, Firewalls, WAF, Storage, SAN, Switches, Router, VoIP,  Encripción,

Se valorarán certificaciones en seguridad y/o comunicaciones.

Zona de trabajo: Tribunales (Ciudad de Bs. As.). Próximamente Distrito Tecnológico de Buenos Aires.

Envianos tu CV y Remuneración pretendida a cv@nextvision.com 

Asunto del mail: Búsqueda Preventa

febrero 7, 2018

Nuevas incorporaciones al equipo

NextVision

0

El 2018 es un año más que desafiante y lo arrancamos con nuevas incorporaciones al equipo de NextVision.

Fabiola Oliveros ingresó como Technology Consultant, especialista en tecnología FortinetFabiola es Ingeniera en Telecomunicaciones  y cuenta con destacadas certificaciones, entre las que se encuentran: Fortinet Certified Network Security Administrator (FCNSA), Fortinet Certified Network Security Professional (FCNSP) y Network Security Professional (NSE 4) entre otras.

 

Mary N. García ingresó como  Service Delivery Manager. Tendrá a su cargo la gestión de proyectos durante la prestación de servicios al cliente. Mary es Ingeniera en Sistemas con experiencia en la coordinación integral de proyectos en empresas de Argentina y Venezuela.

 

María José Lara se unió como Account Manager para el área Enterprise.  Se ha desempeñado como ejecutiva de cuentas corporativas en empresas como Emetech, Omitek y Delta Net.

 

 

 

Muy contentos de darles la bienvenida a estas profesionales que se suman al team! #MujeresIT #TrabajarenNV

febrero 6, 2018

¡Nos mudamos al Distrito Tecnológico!

NextVision

0

¡Ya quedan pocos meses para nuestra mudanza!

Recibimos el nuevo año con grandes expectativas. Próximamente, mudamos las oficinas de Buenos Aires al Distrito Tecnológico de Parque Patricios.

No solo vamos a pasar a formar parte del ecosistema de tecnología e innovación de vanguardia más importante de Latinoamérica, sino que nos mudamos a unas oficinas mucho más grandes y cómodas, adaptadas a las necesidades de los espacios de trabajo modernos.

Es nuestro objetivo seguir creciendo y transformándonos para continuar brindando a nuestros clientes el mejor servicio.

En breve, ¡más novedades!

enero 31, 2018

Symantec, líder del cuadrante mágico de Endpoint 2018

NextVision

0

Symantec, partner histórico de NextVision, se posicionó como Líder en el Cuadrante Mágico de Gartner para Plataformas de Protección de Endpoints por decimosexto año.

Symantec se ha posicionado en el cuadrante de líderes del informe desde su inicio en 2002. Para el informe de 2018, Gartner evaluó 21 proveedores en 15 criterios basados ​​en la visión completa y la capacidad de ejecución, y posicionó a cada proveedor dentro del Cuadrante Mágico.

Los puntos finales son un objetivo atractivo para los ciberdelincuentes debido a la gran cantidad de redes, dispositivos y sistemas operativos que los empleados utilizan para acceder a los activos corporativos todos los días. Symantec Endpoint Protection (SEP), una solución clave de la plataforma de defensa, protege 175 millones de puntos terminales en todo el mundo, detecta lo que las herramientas antivirus a menudo pasan por alto y proporciona información forense si un atacante ingresa.

Las capacidades integrales de punto final de Symantec están diseñadas para cumplir con los desafíos de la generación de la nube, permitiendo a los CISO y los equipos de TI monitorear, administrar y contener las amenazas a la vez que se reduce la complejidad operacional. La funcionalidad única en SEP 14.1 incluye: tecnología de engaño, defensa de amenazas móviles para dispositivos BYOD de propiedad corporativa y, detección y respuesta de punto final integrado, protección sin identificación a través de técnicas de aprendizaje automático y aislamiento de aplicaciones con endurecimiento SEP.

¡Felicitamos a nuestro partner por este nuevo logro y te invitamos a consultarnos si aun no tenés la nueva versión de Symantec Endpoint Protection 14.1!

 

Gartner no respalda a ningún proveedor, producto o servicio descrito en sus publicaciones de investigación, y no aconseja a los usuarios de tecnología que seleccionen solo a los proveedores con las calificaciones más altas u otra designación. Las publicaciones de investigación de Gartner consisten en las opiniones de la organización de investigación de Gartner y no deben interpretarse como declaraciones de hecho. Gartner niega todas las garantías, expresas o implícitas, con respecto a esta investigación, incluidas las garantías de comerciabilidad o idoneidad para un propósito particular.

enero 5, 2018

Información importante | Meltdown y Spectre

NextVision

0

Como probablemente ya estés al tanto, se han descubierto vulnerabilidades que afectan a muchos procesadores y sistemas operativos modernos, incluidos Intel, AMD y ARM.

Estos ataques se presentan en tres variantes distintas: CVE-2017-5715CVE-2017-5753, CVE-2017-5754, dos de ellas de Spectre, otra de Meltdown y están presentes en diversos sistemas: computadoras personales, dispositivos móviles y la nube.

Meltdown y Spectre son bugs de hardware importantes, ya que una explotación exitosa podría permitir a los atacantes obtener acceso no autorizado a datos confidenciales, incluidas las contraseñas.

Qué aconsejamos hacer desde NextVision:

  • Actualizar software de Antivirus que se utilice:
    • Symantec: hacer clic en este link.
    • Kaspersky: hacer clic en este link.
    • F-Secure: hacer clic en este link.

Aconsejamos seguir estos links que van actualizando de manera inmediata los updates de los fabricantes.

Comunicate con nosotros por cualquier inquietud!

diciembre 15, 2017

Todo sobre Fuga de Información y Clasificación de Datos

NextVision

0

Todo lo que tenés que saber para  proteger tu información crítica

La información es un activo crítico: los datos de clientes y empleados, proyectos, transacciones e innovaciones son el corazón de una empresa, son un recurso que da pie a mejoras y crecimiento del negocio, además de ser una de las insignias de credibilidad más importantes de vista a la clientela que confía información de diverso grado de sensibilidad.

Es por ello, que cuando se produce una fuga de información y estos datos caen en malas manos, las consecuencias van desde pérdidas económicas, daños a la reputación de la compañía o el cierre permanente de ésta. La creciente oleada de fugas de información por ataques perpetrados a empresas de todos los rubros y tamaños implica que la debida protección de los datos debe ser la prioridad número uno.

En este post, te daremos una guía en la que aprenderás en qué consiste una fuga de información, sus consecuencias, y las tecnologías existentes que pueden ayudarte a mantener la información de tu empresa segura.

ÍNDICE

– Qué es una fuga de información y cómo se produce

– ¿Cuáles son las consecuencias de una fuga de información?

– La protección de la información como estrategia

– ¿Cómo proteger la información?

– Solución DLP de Symantec

– En definitiva, ¿Debo encriptar mis datos?


Qué es una fuga de información y cómo se produce

Número de incidentes por fuga de información durante la primera mitad del 2017 (Fuente: Breach Level Index)

Una fuga de información es un incidente en el que información sensible o confidencial fue vista o robada por personas no autorizadas. Información como datos bancarios, registros clínicos, propiedad intelectual, secretos industriales o documentos del gobierno son las más propensas a ser objeto de estos ataques.

Una fuga de información suele ocurrir en varios escenarios internos y externos, intencionales o no, y que pueden ser consecuencia de protocolos de seguridad débiles, la negligencia o simplemente la mala suerte. Veamos algunos:

  • Un cibercriminal hackea los sistemas de una organización y extrae la información.
  • Una persona con acceso a las instalaciones de la organización (un empleado o alguien que recibe ayuda interna) accede a los servidores para llevarse información.
  • Comportamiento negligente de los empleados como la apertura, click y descarga de archivos de origen dudoso, visitas a sitios web inapropiados, publicación de información inadecuada en redes sociales, uso incorrecto o pérdida de los dispositivos (USB, Notebooks, discos rígidos, o CD/DVD) con información de la empresa.
  • Uso inapropiado de la información por parte de los empleados cuando trabajan desde casa, ya que suelen romper los procesos de seguridad definidos para el ambiente corporativo.
  • Empleados malintencionados o ex empleados que guardan información sensible de para venderla, o utilizarla en contra de la empresa.
  • Uso de aplicaciones de comunicación y transferencia de archivos que no son controladas por la empresa, como Whatsapp, Dropbox o Google Drive, para realizar las tareas diarias entre los empleados.
  • Si se produce la infección del sistema por un malware diseñado para el robo de información, como el muy utilizado Ransomware, los troyanos, keyloggers y spyware.

Más allá de las fugas de información por negligencia interna, los usos de la información robada son diversos: los criminales roban información para perpetrar ataques más dañinos a la organización más adelante, para lucrar vendiendo los documentos a competidores, para robar secretos por espionaje industrial o gubernamental, o para filtrarla y dañar la reputación de la organización.


¿Cuáles son las consecuencias de una fuga de información?

El impacto de una fuga de información es tan diverso como las razones por las que se produce. Algunas de las consecuencias a las que se enfrenta una organización si sus datos son robados pueden ser:

    • Problemas legales: cuando se produce una fuga de información, las empresas suelen enfrentarse a sanciones, multas o juicios por el incumplimiento de leyes y normativas que buscan proteger la privacidad de los clientes.
    • Pérdidas financieras: las empresas pueden verse obligadas a indemnizar económicamente a clientes afectados, si se trata del caso de robo de información de sus clientes, o podrían perder su competitividad, si se fugó información asociada al core del negocio.
    • Suspensión de las operaciones: este caso puede darse cuando información sensible sobre el funcionamiento del negocio se ve comprometida, y se produce un segundo ataque una vez que los cibercriminales saben cómo interrumpir procesos o dar de baja servicios que son clave para la operatividad de la empresa.
    • Pérdida de credibilidad: esta es una de las consecuencias más difíciles de reparar, ya que cuando una empresa es víctima de este tipo de incidentes, queda ante sus clientes como una organización descuidada en la que no se puede confiar para brindar información sensible como datos médicos o financieros. Casos recientes de empresas que tuvieron fugas de información y sufrieron daños en su reputación son Forever 21 y Uber. La marca de ropa sufrió el robo de los datos de las tarjetas de crédito de los clientes que hicieron compras en esta tienda entre marzo y octubre de este año. Por su parte, Uber ocultó la fuga de los datos de 57 millones de usuarios y ahora se a enfrenta procesos judiciales en países como Estados Unidos, Australia, Reino Unido y Filipinas.


La protección de la información como estrategia

Es clave pensar en las políticas de protección de datos como integral de la operatividad del negocio

Si todavía tenés dudas respecto de si para tu empresa, por muy chica que sea, es necesario adoptar protocolos y sistemas de protección de datos, la respuesta es sí. La protección de la información debe tomarse como parte clave de la estrategia de supervivencia del negocio, ya que las consecuencias anteriormente expuestas pueden llevar a su cierre definitivo.

Y es que el riesgo de que tu empresa sea víctima de una fuga de información es cada vez mayor, ya que este tipo de incidentes va en aumento: de acuerdo al Internet Security Threat Report de Symantec, más de 7 billones de identidades han sido robadas en los últimos 8 años, y la tendencia continúa al alza.

Además, no proteger tus datos implica un riesgo de gastos y pérdidas mucho mayor que si se implementara una solución de cifrado de datos enterprise en el negocio. Entre los problemas a las que se expone tu empresa si decidís no tomar medidas de protección de datos están:

Problemas de reputación:

Como mencionamos antes, una fuga de información puede dañar seriamente la credibilidad de tu empresa ante tus clientes y su confianza en tus servicios, algo muy difícil de recuperar. En el caso de las empresas grandes, la dimensión de los daños son mayores, ya que suele involucrarse la prensa en la cobertura de la fuga de información.

Problemas financieros:

Una fuga de información implica que la empresa tenga que asumir gastos por efectos de demandas judiciales e indemnizaciones, sin tomar en cuenta la posible pérdida de tiempo productivo y competitividad que pueden producirse si la información robada afecta procesos operativos del negocio.

Problemas por incumplimiento de normativas:

La información de los clientes está amparada por regulaciones y normativas propias de cada industria y cada país. En el caso de Argentina, la industria bancaria es la más regulada, y todo banco que desee operar en el país debe cumplir con un mínimo de protocolos de seguridad para las distintas operaciones y transacciones. Además, debe pasar por varias auditorías para que el BCRA verifique los estándares mínimos de seguridad; de lo contrario, se expone a multas o a la suspensión de sus operaciones.

Otra ley que protege la información sensible de los clientes es la Ley de Protección de Datos, de la Dirección Nacional de Protección de Datos Personales, que da la potestad a los usuarios de hacer una denuncia en caso de que considere que sus datos personales están siendo violados por alguna organización, para que dicho organismo proceda a la auditoría de la misma.

Cuando una organización falla en el cumplimiento de normativas, se expone a multas y sanciones que implican gastos, y hasta el cese definitivo de sus operaciones, por lo que cumplir las normativas de protección de datos tiene que ser considerada una prioridad para las empresas de todos los rubros en la actualidad.


¿Cómo proteger la información?

La primera y más eficaz barrera de protección de datos sensibles es la encriptación o cifrado de información. Encriptar implica proteger información y documentos con técnicas y algoritmos que implican que sólo la persona que posea la clave para descifrar el código pueda leerla. Solo implementando una solución de cifrado para proteger la información sensible, se previenen la mitad de los intentos de robo de información, e inclusive si la extracción de los datos es exitosa, es posible resguardar la información porque:

  • Protege los datos de dispositivos perdidos por negligencia o por accidente.
  • Reduce la potencia de los ciberataques, ya que los criminales tienen que encontrar la clave de descifrado, y los datos mismos, para apoderarse de ellos.

Otra barrera fundamental para la defensa de datos es la tecnología DLP (Data Loss Prevention), que es una herramienta que se instala en las estaciones de trabajo y detecta usos de la información potencialmente perjudiciales. Implementar esta tecnología consta de 5 fases:

  • Clasificación de la información: en esta etapa se busca hacer una auditoría de la información sensible de la empresa y el nivel de riesgo que implicaría para ésta la fuga de datos. Un ejemplo de clasificación de la información puede ser:
  1. Información altamente confidencial.
  2. Información confidencial.
  3. Información restringida.
  4. Información pública.

Con esta clasificación se busca establecer un control en los accesos y distintos grados de protección dentro de la solución DLP.

  • Definición de los módulos a implementar: los módulos se definen luego de hacer un análisis de los posibles canales de fuga de información.

 

  • Instalación e integración de DLP con distintos sistemas: estos sistemas son los servidores de correo electrónico, servidores web, files servers, aplicaciones en la nube y todos aquellos por los que se envíe/reciba o almacene información del negocio.

 

  • Creación de políticas y procedimientos de DLP: se definen políticas y procedimientos para mantener la clasificación de la información, y el proceso que permita el mantenimiento y actualización de las reglas de seguridad en la herramienta.

 

  • Administración de la herramienta DLP: la correcta administración de DLP incluye la detección y análisis de incidentes, alertas de información sensible fuera de los canales autorizados, eliminación de falsos positivos y la realización de ajustes de los controles. Este trabajo puede realizarlo un agente interno de la empresa, o un recurso contratado que se encargue de la administración, como NextVision con su servicio de Administración consultiva y administrativa, que contempla los puntos anteriormente expuestos.


Solución Data Loss Prevention (DLP) de Symantec

La solución DLP de Symantec es una de las más completas del mercado, ya que brinda una protección de datos que se adapta al escenario actual, plagado de amenazas, y a las expectativas y necesidades de las organizaciones, cada día más centradas en la nube y la movilidad.

Con DLP de Symantec, podés:

  • Descubrir dónde están almacenados tus datos en aplicaciones de la nube, dispositivos móviles, sistemas de red y de almacenamiento.
  • Monitorear cómo se utilizan tus datos, dentro y fuera de tu red.
  • Proteger los datos contra la fuga, sin importar su uso o forma de almacenamiento.

Symantec DLP combina la conveniencia de la protección de tus datos dentro y fuera de la red de la organización, con tecnologías de detección de datos avanzadas, capaces de detectar que tus datos estén en uso, en reposo o en movimiento.

Implementar Symantec DLP en tu organización permite:

  • Una cobertura de protección amplia y visión directa de tus datos en más de 60 aplicaciones cloud, incluyendo las populares Office 365, Dropbox, Google Apps y Salesforce.
  • Supervisión continua de cambios en la información: adición de contenido, cambios y derechos de acceso.
  • Gestión de extremo a extremo en una única consola basada en la web, donde podrás: definir políticas de prevención pérdida de datos, detectar falsos positivos, revisar y corregir incidentes.
  • Contar con capacidades de flujo de trabajo robustas que permiten desarrollar una respuesta a incidentes ágil.
  • Realizar análisis y reporting ad-hoc con la ayuda de una herramienta de analítica avanzada que permite extraer datos en cubos multidimensionales para crear reportes a la medida de los intereses de los involucrados en la organización.

Con su extensión a la nube, Symantec DLP mantiene su posición como líder del Cuadrante Mágico de Gartner de soluciones de prevención de pérdida de datos, y se perfila como una solución dinámica y flexible que te permite tener una mirada atenta a todos los datos de la organización, en cualquier momento y lugar.


En definitiva, ¿Debo encriptar mis datos?

La información se ha convertido en uno de los bienes más valiosos, y es por ello que es un objetivo tan atractivo para el cibercrimen: información sensible en manos inapropiadas puede traducirse en robos, estafas, accidentes industriales y hasta el inicio de una guerra. Por lo que no debe escatimarse en sistemas que mantengan los datos de tu organización a buen resguardo.

Un buen ejemplo de lo sencillo que resulta para los cibercriminales vulnerar sistemas que no tienen una política adecuada de protección de datos se puede observar en esta escena de la serie Mr. Robot:

En este ejemplo, Elliot manipula su propia información. Pero, ¿Qué pasaría si en un ataque masivo se alterara la información de otros pacientes? ¿Cuántas vidas se pondrían en riesgo? Es desde esta perspectiva que debe contemplarse la importancia de resguardar y encriptar apropiadamente los datos, sin importar el rubro o el tamaño de tu empresa.

Si querés saber más sobre la encriptación de datos, los sistemas más utilizados y cómo implementar un protocolo de cifrado correctamente, te invitamos a visitar esta Guía de encriptación para empresas que hemos preparado para vos.