Observaciones de nuestro CSO: El incidente del ransomware de Kaseya VSA

Nota: Este anuncio se publicó originalmente en la comunidad de clientes de Ninja y se destacó en la aplicación el 3 de julio de 2021. Lo publicamos aquí en el blog para mejorar la visibilidad y ayudar a los socios a compartirlo más fácilmente con sus clientes finales.

Ninjas,

A estas alturas, la mayoría de ustedes probablemente estén al tanto de la situación del ransomware que involucra a Kaseya VSA y que está afectando a los MSP y a sus clientes finales. Al igual que ustedes, estamos monitoreando la situación muy de cerca, y queremos asegurarles que no hemos encontrado ninguna indicación de que este o cualquier otro ataque similar haya afectado a Ninja o a los socios de Ninja. Para confirmar, NinjaOne no utiliza ningún producto, servicio o componente de Kaseya.

Y es que, las preguntas y preocupaciones que hemos escuchado de nuestros socios van, comprensiblemente, más allá de “¿Se ha visto Ninja afectado por este último suceso?” y pasan a plantearse preguntas como: “¿Qué está haciendo Ninja para mantenernos seguros?”.

Queremos ofrecerles más detalles al respecto. En primer lugar, queremos declarar que nos solidarizamos inequívocamente con Kaseya y condenamos este acto de terrorismo contra una empresa y sus clientes. Este tipo de eventos hacen que no peguemos ojo por la noche y sentimos fuertemente que esta es una lucha en la que estamos todos juntos, por lo que estamos listos para echar una mano a Kaseya y su equipo.

Con respecto a nuestros propios esfuerzos de seguridad interna: Como proveedor, reconocemos que usted nos confía su seguridad, y nos tomamos esa responsabilidad extremadamente en serio. Desde nuestros inicios, Ninja ha dado la máxima prioridad a la protección de nuestra infraestructura. Constantemente adaptamos, evaluamos, añadimos y reforzamos nuestros procesos e iniciativas de seguridad, y consideramos que nuestro trabajo en materia de seguridad nunca termina.

Para dar una idea de nuestros esfuerzos, lo siguiente es una pequeña muestra de las medidas que hemos tomado para ayudar a mantener la seguridad de Ninja y de nuestros socios:

  • El servicio web y el código fuente de Ninja son escaneados y sometidos a pruebas de intrusión periódicas por parte de empresas de primera línea en busca de vulnerabilidades de seguridad, lo que da como resultado la calificación de “ALTAMENTE SEGURO”.
  • Nuestro portal de gestión de agentes está alojado en un entorno seguro y aislado en la nube con un fuerte cifrado para todos los datos en reposo. Nuestra infraestructura en la nube cuenta con numerosas capas de seguridad integradas por diseño, y solo se aloja en proveedores de la nube líderes del sector que han sido sometidos a auditorías que han dado lugar a informes SSAE18 SOC1/SOC2/SOC3.
  • Además, todos nuestros activos, servicios y entornos en la nube están estrictamente restringidos y requieren VPN (con criptografía), dos niveles de autenticación MFA/2FA junto con certificados SSL y monitorización/alerta de actividades e intrusiones inusuales.
  • NinjaOne también se somete a auditorías anuales independientes SSAE18 SOC2, cuyo resultado es un informe que puede ponerse a disposición de nuestros clientes si lo solicitan.
  • Más allá de someterse a pruebas de penetración independientes y a evaluaciones de seguridad de todos los sistemas, a principios de este año también pusimos en marcha nuestro propio equipo rojo interno para buscar constantemente y ayudarnos a subsanar cualquier carencia.
  • Por último, NinjaOne ha implementado controles de seguridad para cumplir con varias normas de ciberseguridad del gobierno estadounidense, entre ellas:
    • Marco de Ciberseguridad del NIST (CSF) Revisión 1,1
    • Publicación Especial de NIST 800-171 Revisión 2
    • Publicación Especial de NIST 800-53 Revisión 5
    • Suplemento del Reglamento Federal de Adquisiciones del Departamento de Defensa de los Estados Unidos (DFARS), Cláusula 204-7012
    • Nivel de Certificación del Modelo de Madurez de la Ciberseguridad (CMMC) 3 del Departamento de Defensa de EE.UU. (nota: no se ha sometido al proceso de certificación)

Nuestro personal y especialmente, nuestro equipo de operaciones de seguridad, se mantiene siempre alerta ante este suceso. Seguiremos vigilando para obtener información adicional relativa a la naturaleza del ataque y continuaremos revisando, ajustando y mejorando nuestras propias prácticas de seguridad ahora y siempre. Vivimos según el código de que no hay un destino final para la seguridad y continuaremos con nuestra misión de mantenerlo a usted y a sus socios a salvo.

Como siempre, nuestro equipo está a su disposición para cualquier pregunta o duda, y puede ser contactado en [email protected].

Gracias por ser un socio de NinjaOne.

Saludos cordiales,

Lewis Huynh

Jefe de Seguridad

Próximos pasos

Para los MSP, la elección de su RMM es fundamental para el éxito de la empresa. La principal promesa de un RMM es ofrecer automatización, eficiencia y escalabilidad para que el MSP pueda crecer de forma rentable. NinjaOne ha sido clasificado como el RMM n.º 1 durante más de 3 años consecutivos debido a su capacidad para ofrecer una plataforma rápida, fácil de usar y potente para MSP de todos los tamaños.

También te puede gustar

¿Listo para simplificar los aspectos más complejos de las TI?
×

¡Vean a NinjaOne en acción!

Al enviar este formulario, acepto la política de privacidad de NinjaOne.

Términos y condiciones de NinjaOne

Al hacer clic en el botón “Acepto” que aparece a continuación, estás aceptando los siguientes términos legales, así como nuestras Condiciones de uso:

  • Derechos de propiedad: NinjaOne posee y seguirá poseyendo todos los derechos, títulos e intereses sobre el script (incluidos los derechos de autor). NinjaOne concede al usuario una licencia limitada para utilizar el script de acuerdo con estos términos legales.
  • Limitación de uso: solo podrás utilizar el script para tus legítimos fines personales o comerciales internos, y no podrás compartirlo con terceros.
  • Prohibición de republicación: bajo ninguna circunstancia está permitido volver a publicar el script en ninguna biblioteca de scripts que pertenezca o esté bajo el control de cualquier otro proveedor de software.
  • Exclusión de garantía: el script se proporciona “tal cual” y “según disponibilidad”, sin garantía de ningún tipo. NinjaOne no promete ni garantiza que el script esté libre de defectos o que satisfaga las necesidades o expectativas específicas del usuario.
  • Asunción de riesgos: el uso que el usuario haga del script corre por su cuenta y riesgo. El usuario reconoce que existen ciertos riesgos inherentes al uso del script, y entiende y asume cada uno de esos riesgos.
  • Renuncia y exención: el usuario no hará responsable a NinjaOne de cualquier consecuencia adversa o no deseada que resulte del uso del script y renuncia a cualquier derecho o recurso legal o equitativo que pueda tener contra NinjaOne en relación con su uso del script.
  • CLUF: si el usuario es cliente de NinjaOne, su uso del script está sujeto al Contrato de Licencia para el Usuario Final (CLUF).