blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!

Acerca de la Normativa del BCRA circular “A” 7724 y su impacto en Terceras Partes

NextVision

0

Acerca de la Normativa del BCRA circular “A” 7724

Este año el Banco Central de la República Argentina (BCRA) ha emitido la Circular “A” 7724, con el objetivo de fortalecer la ciberseguridad en las entidades financieras de Argentina. Esta normativa tiene como principal finalidad establecer lineamientos y requisitos específicos relacionados a gobernanza, la gestión de los riesgos de la tecnología y seguridad de la información, la gestión de ciberincidentes y mejorar la ciberresiliencia en el sector bancario, con el propósito de proteger tanto los activos de las entidades como la información confidencial de sus clientes.

 

Gestión y Monitoreo de las Terceras Partes

Dentro de las novedades que trae la nueva circular, la normativa hace especial referencia a la necesidad de controlar y monitorear las terceras partes para gestionar los riesgos de ciberseguridad. 

En la sección 10.1, se establece que las entidades deben implementar una política y un marco sólido para la gestión de procesos, servicios y/o actividades relacionadas a terceras partes con mecanismos concretos de gestión. Dicho enfoque debe contemplar, entre otros aspectos fundamentales, las medidas de seguridad de acuerdo con los resultados de la gestión de riesgos de tecnología, así como los riesgos vinculados a la delegación misma.

En la sección 10.3 de la normativa, se establece que las organizaciones deben definir un proceso de control que les permita realizar un seguimiento y evaluación de los procesos, servicios y actividades de tecnología y seguridad de la información delegados en terceras partes. Este control y monitoreo es esencial para detectar y responder a posibles ciberincidentes. El BCRA buscará fomentar que las entidades financieras estén preparadas para enfrentar y mitigar los riesgos asociados con la creciente sofisticación de los ciberataques.

 

¿Cómo cumplir con el control y monitoreo de Terceras Partes?

Es fundamental contar con soluciones que permitan monitorear el ciberriesgo que nos añaden las terceras partes interconectadas con nuestra organización, como así también poder establecer un proceso automatizado y eficiente de gestión y control.

 

Desde NV contamos con servicios especializados:

NV Vendor Risk Management, que permite evaluar y gestionar los riesgos asociados a proveedores de tecnología y servicios externos, y  NV Cyber Risk Management, que ayuda a conocer la huella digital y postura de ciberseguridad, y sus riesgos asociados, para así identificar, prevenir y responder a posibles amenazas cibernéticas. Al incorporar estas soluciones, las entidades bancarias podrán elevar su nivel de seguridad, compararse con la industria y estar mejor preparadas para mantener la integridad de sus operaciones en un entorno digital cada vez más desafiante.

 

Conozca NV Cyber Risk Management  en nuestro sitio web.

Y nuestro servicio de gestión de terceras partes  NV Vendor Risk Management .

Terceros o no terceros, ¿esa es la cuestión?

NextVision

0

*Por Roberto Heker, Director de NV. Para ISMS Forum.

El diseño de una estrategia de ciberseguridad requiere evaluar diferentes aspectos que abarcan la predicción, prevención, detección y respuesta. Dentro de este esquema es importante considerar la relación que hay entre la compañía y sus proveedores.

Efectivamente, en la búsqueda de lograr más eficiencia para el negocio esta relación ha ido creciendo con la digitalización. Sin embargo, esta interdependencia ha creado un potencial impacto en la ciberseguridad que no debe desdeñarse. Por lo que las compañías deben no solo proteger sus propias redes sino también disponer de medidas que mitiguen riesgos sobre las conexiones con la cadena de suministros.

Es ya redundante, pero no por innecesario, mencionar a los incidentes sufridos por Colonial cuyo incidente afectó a gran cantidad de compañías, ocasionando falta de combustible en varios estados de EEUU. O el de Kaseya, un proveedor de servicios administrados de tecnología, que, debido a una alteración en su solución, llevó a que 1500 clientes recibieron un malware en sus redes.

Es entonces necesario disponer de un programa de seguridad que contemple el riesgo proveniente de terceras partes.  Cada industria tiene sus propias regulaciones, particularidades y desafíos que difieren de otras. Pero el problema es el mismo para todas las organizaciones: una huella digital expandida a través de los proveedores que las hace más vulnerables. Y esta combinación crea el escenario perfecto para ser aprovechado por los ciberdelincuentes.

Se pueden hacer varias aproximaciones sobre el abordaje a realizar para el gobierno de terceras partes, pero podemos resumirlo en:

  • Planificar la evaluación del impacto que una brecha de seguridad, producto de terceros, pueda tener en el negocio. Los parámetros a considerar abarcan la discontinuidad del servicio, la reputación, las finanzas, la continuidad de la operación, los regulatorios, entre otros.
  • Assessment de terceros, a partir del riesgo inherente del servicio o solución a proveer y cómo mitigarlo para lograr uno residual, propio del apetito de riesgo de la empresa.
  • Contratos asociados al rol y responsabilidades del proveedor como su nivel de riesgo para la organización. Esto incluye también el proceso de terminación del contrato, que debe detallar la transición en el momento de su finalización.
  • Operación y monitorización para poder detectar variaciones en el riesgo asociado al servicio o producto suplidos.

Cuando planeamos la contratación de un servicio, debemos primero evaluar qué criticidad tendrá para nuestra organización, y así determinar si es crítica, alta, moderada o baja. A partir de aquí podremos definir qué tipo y con qué frecuencia ejecutaremos nuestros assessment.

Para el assessment podemos adoptar distintos modelos de análisis, que van desde el uso de cuestionarios para evaluación de requerimientos de seguridad, hasta ratings, evaluaciones técnicas de seguridad y certificaciones.

Todas son utilizadas en distintas instancias. Por ejemplo, soluciones de ratings cómo SecurityScorecard permiten una muy buena escalabilidad, monitorización continua con bajo o ningún esfuerzo de implementación. Lógicamente deben complementarse con una mirada interna, como es el uso de cuestionarios. Disponer de una herramienta como SecurityScorecard permitiría implantar reglas antes las que, si el rating de un tercero se reduce en un valor determinado, enviarle a éste entonces un cuestionario que indague en las causas de esta modificación.

En cuanto a los contratos, éstos dependerán de la industria, la criticidad del negocio y del servicio, considerándose incluir en el mismo tópicos como análisis de riesgo, assessments, colaboración en la respuesta ante incidentes, cloud security, endpoint security entre otros.

Al vendor no solo se lo debe evaluar durante el onboarding sino a lo largo de  todo el ciclo de vida de la relación. Es un trabajo complejo, pero si lo queremos hacer más gestionable, es conveniente segmentar de acuerdo a la criticidad de cada servicio. De este modo se podrá focalizar el monitoreo más minucioso en los proveedores más críticos.

Precisamente mencionábamos arriba herramientas de rating como SecurityScorecard que facilitan esta monitorización con muy bajo esfuerzo, automatizando acciones ante eventos que hacen más confortable el trabajo del equipo de profesionales de nuestra organización. Este tipo de soluciones no son por sí mismas las únicas que deberían instrumentarse, pero sí son claves en cualquier programa. Incluso integrables a un SOAR o soluciones de ticketing, por ejemplo.

Por lo tanto, cuando hablamos de decenas, cientos o incluso miles de proveedores,es importante saber que disponemos de potentes servicios de evaluación y monitorización de fácil implementación que nos ayudará en la tarea de gestión y evaluación. 

Debe insistirse en el punto de que la evaluación de terceros es un área que más pronto que tarde las empresas deben madurar. Se debe lograr un programa integral que reúna herramientas y procesos que lleven a mitigar este riesgo. Y no se trata de implantar una herramienta o un cuestionario estándar.  Una herramienta de scoring o rating no nos dará toda la perspectiva para una evaluación completa. Pero como cualquier herramienta de scoring en otras industrias (como la financiera o seguros), nos permitirán identificar cuando algo no está bien. Y nos llevarán a indagar más a fondo sobre qué está ocurriendo con lo que se está evaluando.

Concluyendo, la ciberseguridad cada día debe incorporar nuevas perspectivas. Ya hemos visto que durante 2020 fue necesario revisar los modelos de trabajo, obligando a una aceleración de la digitalización de las empresas que trajo un fuerte impacto en la ciberseguridad. La interdependencia tecnológica con proveedores es incluso anterior a la pandemia, y requiere que se preste atención a este tema. No es necesario esperar que una brecha en un tercero nos haga reflexionar sobre esta problemática. En ciberseguridad hay que ser. No cabe el no ser.

 

Artículo de ISMS Forum aquí.

Colaboradores: Principal puerta de entrada a los ciberdelincuentes

NextVision

0

El 85% de los incidentes de ciberseguridad están asociados a errores humanos, más que a fallos en tecnología o procesos, según el estudio de Cyber Insecurity: Managing Threats From Within, de la Unidad de Inteligencia de The Economist. 

A pesar de esto, sorprende que más del 48% de las empresas no cuenten con programas de capacitación y sensibilización orientadas a empleados (según la Encuesta del Estado Global de la Seguridad de la Información, GISS, 2018). 

Y es que cuando los colaboradores y los proveedores no son considerados como parte esencial de la estrategia de ciberseguridad corporativa, los análisis de vulnerabilidad y mapas de ciberriesgos quedan incompletos, pues son ellos, los empleados, los que terminan siendo la principal y más accesible puerta de entrada para los ciberdelincuentes. 

Entonces, al dejar de lado la implementación de programas de concienciación (awareness) y educación, que busquen cambios de hábitos en entornos digitales para todos los empleados -sin importar su edad, cargo o nivel educativo-, muchos de ellos no sabrán cómo y por qué qué es tan importante evitar abrir vínculos de remitentes desconocidos, o por qué no conviene descargar esa app que se puso de moda.

Estas son algunas formas en las que se están materializando la mayoría de los riesgos. Como verás, concientizar sobre la necesidad de proteger la seguridad de la información y los datos resulta mucho más fácil y eficiente que remediar las consecuencias de la materialización del riesgo: 

Ingeniería Social

Ingeniería Social es un término que se refiere a la manipulación psicológica con la que una persona intenta lograr que otras hagan lo que ésta les pida, generalmente para obtener información que les permita llegar a un fraude, robo o extorsión. Es una técnica que comenzó en el plano físico, pero se trasladó al ámbito cibernético, convirtiéndose en pieza fundamental de los ciberataques

El phishing es una de las más tradicionales formas de Ingeniería Social y sorprende que muchos todavía sigan cayendo en la trampa. El atacante envía mails con enlaces que llevan a sitios web comprometidos que descargan malware, o a uno falso -idéntico al real- que solicita las credenciales para acceder a información privilegiada. 

Descarga de Malware

Los colaboradores pueden infectar los sistemas de la empresa con software malicioso sin darse cuenta, al descargar actualizaciones de aplicaciones falsas, visitando sitios web comprometidos, descargando software pirata o abriendo archivos adjuntos y enlaces de correos electrónicos. 

Es otra de las formas que han encontrado los ciberdelincuentes para acceder a información sensible, secuestrando datos importantes y exigiendo luego fortunas por su rescate. Algo que definitivamente puede mitigarse al contar con empleados formados e informados en aspectos básicos de ciberseguridad. 

Gestión de Dispositivos

Con la reciente flexibilización laboral en la que los colaboradores pueden estar en cualquier lugar del mundo, o con tendencias como “Bring your own device”, los riesgos incrementan, pues tradicionales bloqueos de páginas en los navegadores quedan obsoletos, tampoco se podrá hacer seguimiento detallado al cumplimiento de los protocolos de seguridad ¿Los conocen acaso? 

Estos trabajadores remotos podrían descargar malware o podrían acceder a redes wifi inseguras con mayor facilidad que los colaboradores in house, lo que les facilita a los ciberdelincuentes el acceso a los sistemas de la empresa.

Además, ¿Saben tus colaboradores qué deben hacer en caso de perder los dispositivos que tenían conectados a las plataformas de tu empresa?, ¿Qué pasa si les roban el celular o la laptop?, ¿Cuentan con accesos seguros que impidan el fácil acceso a información sensible?

Autenticación

Es indispensable que los colaboradores tengan un doble factor de autenticación para ingresar a los sistemas, así como configurar diferentes passwords para cada plataforma. En la realidad, por pereza o desinterés, suelen usar una única contraseña para todas sus cuentas, aumentando la vulnerabilidad de la empresa. 

Por todo lo anterior, para las empresas de hoy es importante contar con programas de awareness dentro de sus estrategias de seguridad corporativa, en las que brinden sensibilización y capacitación a todos los colaboradores de la organización, en todos los niveles -no solo mandos medios y directivos-.

Te sorprendería saber lo fácil que tus empleados caerían en alguna de estas amenazas, ¡Intentá realizar un simulacro!

Recordá que para combatir los ataques de ingeniería social y otros ciberriesgos se debe promover entre todos los colaboradores cambios de comportamiento y autocuidado en entornos digitales, y no olvidemos tener en cuenta también a los proveedores. 

En NextVision hemos desarrollado NV Awareness, un programa único, integral y continuo centrado en las personas, para acompañar a tu empresa con estrategias integrales que incluyan la educación y transformación de los hábitos de los empleados, promoviendo una cultura de seguridad basada en las personas. 

Además, con NV Vendor Risk Management podrás evaluar el nivel de ciberriesgo que pueden añadir proveedores o terceras partes a tu organización a través de scoring y cuestionarios automatizados. También te permite medir la reputación de tu empresa y compararla con tu industria en relación a ciberseguridad.

¡Contactanos!

A la vanguardia en tendencias de ciberseguridad: Estuvimos en el evento Gartner Security & Risk Management, en Londres

NextVision

0

La creciente necesidad de contar con capacidad de respuesta oportuna ante los crecientes desafíos que traen las nuevas tecnologías y dispositivos, nos obliga a pensar de manera diferente las estrategias de ciberseguridad y risk management, teniendo en cuenta no solo los riesgos propios sino también de los proveedores y stakeholders.

En este contexto, sobran las motivaciones para asistir a la Conferencia Gartner Security & Risk Management, que se realizó en Londres entre el 9 y el 11 de septiembre. Allí nuestro director, Roberto Heker, conoció de primera mano las nuevas tendencias en ciberseguridad, privacidad de datos y resiliencia empresarial, para compartir con nuestros clientes y partners.

Más de mil personas de todo el mundo se dieron cita, entre ellos directores de seguridad informática, profesionales de TI y líderes en gestión de riesgos y seguridad de TI, para conocer las últimas tendencias. Allí se discutieron y revisaron estrategias integrales, cómo lograr planes de acción sólidos y se exploraron las tecnologías que están cambiando el panorama global del manejo de la seguridad y de los riesgos informáticos.

A continuación, compartimos las principales ideas abordadas en el evento:

·   Es indispensable lograr que la ciberseguridad y la gestión de riesgos sean importantes para todos los stakholders de nuestra organización. Por ello, cada vez se hace más necesario evaluar a nuestros proveedores y terceras partes, para conocer en profundidad cuál es su postura de ciberseguridad y cómo ésta afecta nuestro nivel de ciberriesgo.  

·        Es importante entender y establecer políticas corporativas de privacidad y tratamiento de datos que cumplan con las regulaciones nacionales e internacionales, para así evitar posibles inconvenientes a futuro a nivel legal e incluso impactos en índices de satisfacción de clientes.

·       Se debe mejorar la comunicación directa con los altos ejecutivos y el nivel directivo, ya que  se han convertido en blancos estratégicos para los ciberdelincuentes. Debido a sus múltiples ocupaciones diarias pueden descuidar en algún momento los lineamientos de seguridad. Además, crece la necesidad de encontrar soluciones que permitan hacer frente a la continua escasez de talento altamente calificado en gestión de riesgos y seguridad de TI, pues cada vez hay más demanda de perfiles especializados en ciberseguridad. 

Otros desafíos a considerar tienen que ver con:

·        La seguridad en la nube.

·        Las plataformas de protección end-point.

·        Comprender el panorama actual de amenazas y prevenir aquellas altamente evasivas.

·        Evaluar la adopción de tecnologías emergentes como IA, machine learning, blockchain o computación cuántica en la ciberseguridad y gestión de riesgos.

·        El intercambio permanente de ideas, buenas prácticas y experiencias.

Haciendo frente a estos retos -que impactan a organizaciones de todas las industrias y tamaños comerciales- se podrá liderar pensando en el futuro, construyendo una organización más ciberresiliente que aborde de manera adecuada los riesgos tanto de la ejecución propia como de los proveedores y públicos de relación, haciendo consciente a cada persona y a cada aliado estratégico sobre el papel que desempeñan en la seguridad de toda la empresa.

Para acompañar a nuestros clientes en este camino, en NextVision estamos a la vanguardia de los nuevos retos que van surgiendo, ofreciendo productos y servicios a la medida de las necesidades de cada empresa de la mano del talento altamente calificado y con amplia experiencia en el mercado. ¡Contactanos!

Tal vez te interese:

  • NV Vendor Risk Management: Un servicio que mide el ciberriesgo que pueden agregar al negocio tanto proveedores como socios estratégicos.
  • NV Awareness: Un programa enfocado en promover una cultura cibersegura desde la concientización y capacitación. 
  • NV Ciberdefensa: Una propuesta de seguridad que ayuda a las empresas a mejorar la gestión eficaz y eficiente de los riesgos.