blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!
julio 5, 2019

Estas son las 6 tendencias en ciberseguridad para la segunda mitad del año

NextVision

0

¿Han cambiado los desafíos y enfoques en ciberseguridad para las empresas en esta segunda mitad del año? Para responder a esta inquietud, Cyber Security Hub realizó nuevamente su encuesta a ejecutivos y directivos de seguridad. 

Comparando estos resultados versus los encontrados a finales del año pasado -cuando se identificaron las principales prioridades para 2019-, vemos que algunos retos como el awareness o concientización siguen siendo prioritarios, mientras otros, como los dispositivos IoT, tienden a preocupar menos. 

Veamos entonces cuáles son las 6 tendencias en ciberseguridad para la segunda mitad del año:

  • La sofisticación de los cibercriminales seguirá en crecimiento, sin embargo, las tipologías de amenazas consideradas más peligrosas cambiaron. Comenzando el año, lo que más preocupaba eran las estafas por phishing, el acceso a cuentas privilegiadas y los dispositivos IoT. Ahora, los posibles ataques a infraestructuras críticas sube a la primera posición, seguida de las estafas por phishing y, en menor medida, la toma de correos electrónicos.
  • El presupuesto destinado a ciberseguridad continuará aumentando. ¿La prioridad? Concientización (awareness) en seguridad y capacitación a usuarios, así como la adquisición de nuevas soluciones de tecnología. Si bien se estimaba que el presupuesto en ciberseguridad aumentaría un 59% para 2019, los encuestados aseguraron que este seguiría incrementando en los próximos seis meses. 
  • La legislación sobre privacidad de datos y su cumplimiento se han convertido en parte del día a día en las empresas. Casi el 29% de los encuestados dijo que el GDPR (Reglamento General de Protección de Datos) no era un desafío tan grande como pensaban que sería en la primera mitad de 2019.
  • La nube (cloud) sigue siendo una amenaza mayor para el 85.51% de los encuestados.
  • La crisis del talento crece y preocupa. Para casi el 70% de los encuestados en 2018, este era considerado un punto de dolor. El número ha subido a 91.3% seis meses después.
  • El awareness se mantiene como una prioridad para los próximos seis meses. El 59.79% de los encuestados aseguró que la información y educación en seguridad para los usuarios y colaboradores representaría la principal inversión en seguridad en los primeros seis meses del año, mientras que el 49.28% indicó que seguirá siendo prioridad en la segunda mitad de 2019.

Vemos entonces que para estos últimos meses de 2019 -y con proyección a 2020-, la adquisición de nuevas soluciones sube al primer lugar en importancia para las próximas inversiones en ciberseguridad, seguida por awareness con casi el mismo porcentaje. Esto muestra el interés de las compañías por fortalecer tanto a las personas como a la tecnología para lograr una gestión exitosa.

Y sin duda, estos tópicos deben ser considerados no solo para lo que resta de 2019 sino también en la planeación estratégica para 2020.

Coherentes con estas tendencias y para acompañar a tu empresa con estrategias integrales que incluyan educación y transformación de los hábitos de los colaboradores y usuarios, en NextVision hemos desarrollado:

  • NV Awareness, un programa que busca promover una cultura cibersegura a partir de la concientización y capacitación. 
  • NV Ciberdefensa, una propuesta de seguridad administrada que busca dar solución a la creciente crisis por falta de talento cualificado y que ayuda a mejorar la gestión eficaz y eficiente de los riesgos.

¡Queremos asesorarte! Contactanos

mayo 23, 2019

Ingeniería Social: la estrategia detrás de muchos ciberataques a personas ¡y a empresas!

NextVision

0

Ingeniería Social es un término que se refiere a la manipulación psicológica con la que una persona intenta lograr que otras hagan lo que ésta les pida, generalmente para obtener información que les permita llegar a un fraude, robo o extorsión. Es una técnica que comenzó en el plano físico, pero se trasladó al ámbito cibernético, convirtiéndose en pieza fundamental de los ciberataques. ¿Los empleados de tu empresa están capacitados para identificar y reaccionar ante estas amenazas?

La ingeniería social, conocida también como el arte de hackear humanos, se basa en la interacción de personas en donde la víctima es engañada para que viole todos los procedimientos de seguridad que debería haber seguido.

¿Acaso no has recibido el mail de un banco que te alerta porque la cuenta fue cancelada y tenés que hacer clic para diligenciar tus datos y de esta forma reactivarla? Así como este, hay cientos de ejemplos y formas en que los criminales pueden obtener información que les ayude a robar credenciales privilegiadas para acceder a entornos más protegidos -como los corporativos-, infectar con malware, cometer fraudes, extorsionar o robar la identidad digital de la víctima.

Correos electrónicos de phishing, vishing (llamadas telefónicas) o baiting (USB con malware que se deja en algún lugar público para alguien la encuentre y la conecte a su computadora), son algunas de las técnicas usadas por los cibercriminales. También usan las redes sociales para entablar relaciones cercanas con sus víctimas, generar confianza y obtener así los datos con los que finalmente pueda concretar su objetivo, ya sea en contra de la persona o de la empresa para la cual trabaja. Aquí vale la pena preguntarse ¿Qué tan informados están tus empleados sobre este tipo de tácticas?, ¿Saben cómo reaccionar ante ellas?

Ingeniería Social en el ámbito corporativo

Dicen que es más fácil engañar a alguien para que entregue su contraseña de ingreso que hacer el esfuerzo de hackear el sistema, el cual seguramente contará con monitoreos y alertas de seguridad que impedirán el ataque. Cuando vamos al ámbito corporativo, encontramos que los cibercriminales buscan atacar a personas con cargos directivos o estratégicos, pues así podrán acceder a datos confidenciales de mayor relevancia y será más útil el espionaje para lograr su cometido.

Lo más grave es que puede que el equipo de seguridad nunca se entere del robo de datos que se consumó a través de ingeniería social. ¿Cómo controlar que el director de Recursos Humanos no le comparta a su “colega” algunos datos relacionados con la estrategia del negocio a través de mensajes privados en LinkedIn?

Recordemos que la ingeniería social es equivalente al hacking personal, y de no contar con empleados informados y capacitados, esta podría ser la mayor amenaza de seguridad para la organización, por más actualizados que tengamos los sistemas operativos y por muy buenos software de seguridad que usemos.

Existen diferentes técnicas de ingeniería social, como:

  • Ofrecer recompensas o premios a cambio de descargar archivos maliciosos o entregar gran cantidad de datos que permitan robarle su identidad (Quid Pro Quo).
  • Phishing. Correo fraudulento que engaña para que la víctima comparta información sensible.
  • Robo de Identidad. Hacerse pasar por otra persona para obtener datos privilegiados.  
  • Scareware. Alertar sobre una infección de malware inexistente en el equipo y ofrecer una “solución” que termina por afectar el dispositivo.
  • Baiting. O carnada, como el caso mencionado del USB.
  • Hacking de email, envío de spam a contactos, etc.
  • Vishing. El criminal llama al empleado de una empresa para hacerse pasar por un colega que necesita cierta información para solucionar una urgencia.

El Spear Phishing puede ser uno de los más difíciles de identificar, pues el ciberdelincuente elige un objetivo dentro de la organización para realizar investigación sobre los temas, personajes, eventos de interés e información relacionada con el área, así puede enviarle mails segmentados y relevantes para que al final alguno de los empleados haga clic en un vínculo malicioso. De esta forma infecta una de las computadoras y puede ingresar a toda la red de la empresa.

Por todo lo anterior, las compañías deberían adoptar una cultura de seguridad basada en las personas, que brinde capacitación continua y mantenga informados a los empleados sobre las amenazas vigentes, tanto digitales como físicas. Además de la protección que puedan ofrecer los diferentes software de seguridad, combatir los ataques de ingeniería social requiere cambios de comportamiento, conocimiento y compromiso por parte de los empleados. Es recomendable que dentro de la estrategia de seguridad se considere:

  • Ayudar a los colaboradores a entender por qué es tan importante para la compañía que sigan las recomendaciones de seguridad y sean precavidos ante posibles ciberataques.
  • Realizar una evaluación que permita medir el nivel de entendimiento de los empleados sobre temas de seguridad. Así se podrán identificar potenciales riesgos y crear programas de capacitación a medida de estas necesidades.
  • Empoderarlos para que sepan reconocer las principales amenazas y puedan reaccionar correctamente ante ellas, tanto en el ámbito personal como en el corporativo.
  • Hacer seguimiento de cómo evoluciona el conocimiento de ciberseguridad con el transcurso de las capacitaciones.
  • Promover el uso del doble factor de autenticación y contraseñas seguras, para evitar el robo de identidad.

Además es fundamental contar con programas que eliminen las infecciones y puedan rastrear su origen, que eviten descargas no deseadas en los equipos de la oficina, que detecten y eliminen virus, malware y también filtren el spam, para proteger a los más incautos.

Porque como hemos visto, la ingeniería social representa un riesgo más alto que el malware y es más difícil protegerse frente a sus diversas tácticas, ya que el objetivo es llegar al sistema engañando a las personas. Por esto la seguridad de la información va más allá de lo técnico: debe considerarse también como un proceso cultural en la empresa, más si tenemos en cuenta que el 80% de los ciberataques se originan por errores humanos.

En NextVision hemos desarrollado NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados. ¡Contactanos!

noviembre 21, 2018

Nuevo programa de Concientización

NextVision

0

LOGRAR UNA CULTURA CIBERSEGURA, LA CLAVE PARA PROTEGER NUESTRA INFORMACIÓN Y EL NEGOCIO

Que el usuari@ es el eslabón más débil de la ciberseguridad de una organización no es una novedad. Los ataques de phishing y ransomware siguen siendo las vías de entrada más exitosas para los ciberdelincuentes.

Más allá de las diferentes soluciones tecnológicas que adopten las organizaciones (y que son más que necesarias), esta problemática solo va a  ser resuelta si se busca cambiar los HÁBITOS de las personas que manejan la información dentro de una organización.

Desde NextVision, creamos un programa ÚNICO, INTEGRAL y CONTINUO con foco en las personas. Que busca enraizar en los empleados los fundamentos de una cultura cibersegura, a través de dinámicas participativas, simulacros de ataques y formación, para tod@s los colaboradores de la organización.

CON EL PROGRAMA NV AWARENESS SU EMPRESA PODRÁ:

  • Proteger al negocio y su información crítica de ciberataques, como consecuencia del uso tecnológico ingenuo o negligente de los empleados.
  • Evaluar la situación existente en materia de cultura cibersegura. Conocer cómo responden los colaboradores de la organización a correos electrónicos no confiables y a posibles ataques de phishing o ransomware, entre otras amenazas.
  • Realizar simulacros de ataques de Phishing y Ransomware en tiempo real para poder tener indicadores claros de potenciales ataques y entender el grado de exposición de información sensible.
  • Implementar un programa de formación y concientización continua para las diferentes áreas y niveles jerárquicos, que incluye charlas presenciales,. capacitaciones virtuales con módulos interactivos , exámenes y encuestas.
  • Colaborar con las áreas de comunicación interna/RRHH con material didáctico.
  • Centralizar toda la gestión del programa de capacitación y concientización, con métricas de correlación que permiten conocer de forma objetiva la efectividad de las acciones.
  • Cumplir con normativas y auditorías, a partir de un único registro de reporting de las acciones.
  • Lograr cambios de hábito permanentes en los colaboradores, a través del soporte de un equipo interdisciplinario de profesionales: expertos en seguridad, facilitación de equipos y comunicación interna con foco en ciberseguridad.

¿Querés que te asesoremos sobre este tema o conocer más sobre nuestra propuesta? ¡Contactanos ahora!