The importance of Information Security in our lives – Part 6

 

6. In our relaxing time

In these moments even our relaxing time is related to the use of a PC or to an streaming service, we should be more careful in the following:

6.1. As mentioned in Part 5, do not lick on links that are coming from any of the services your are registered to

6.2. Always confirmed, as possible, when you received emails where there are requests to provide personal information like bank accounts, credit cards, etc. if possible, call the requesting organization to confirm if the data request is official

6.3. If you receive messages to your mobile phone requesting personal information like bank accounts, credit cards, etc. either via text messages, or through another applications like WhatsApp, Line, etc. do not take action and confirm with the requesting organization of the veracity of the request

6.4. Be careful of the sites you visit. Due to there are several illegal copies of those where users could be redirected to illegally obtain personal information.

6.5. Do not click on ads of doubtful origin. There are several available technics to force malicious software package installations in the user’s PC with only visiting a page.

La importancia de la seguridad de la información en nuestras vidas – Parte 6

 

6. En nuestros tiempo de ocio

En estos momentos en los que inclusive en nuestros momentos de ocio estajos ligados a una PC o a un servicio de transmisión en línea, debemos de tener cuidado en los siguientes aspectos:

6.1. Así como el punto anterior, no hacer click en enlaces que provengan de estos servicios de transmisión en línea

6.2. Siempre confirmar, en la medida de lo posible, cuando se reciben correos en el que se hacen pedidos de cuentas bancarias, datos personales, tarjetas de crédito, etc., si es posible comuníquese por teléfono con su entidad bancaria para poder confirmar si es oficial el pedido de estos datos.

6.3. En el caso del teléfono móvil si se reciben mensajes con pedidos de cuentas bancarias, datos personales, tarjetas de crédito, etc., ya sea por mensajes de texto o por medio de aplicaciones de chat como: WhatsApp, Line, etc., no tomar acción y confirmar con la entidad bancaria por teléfono si ese tipo de pedido es oficial.

6.4. Tener en cuenta los sitios web que se visitan, ya que existen muchas copias ilegales de estos en los que los usuarios pueden ser redirigidos para obtener de manera ilegal datos personales

6.5. No hacer click en publicidad de dudosa procedencia. Existen muchas técnicas disponibles para poder forzar la instalación de paquetes de software de carácter malicioso en la computadora del usuario con tan solo hacer que este visite una página web.

La importancia de la seguridad de la información en nuestras vidas – Parte 5

 

5. En nuestros viajes – Published August 14

Si bien es cierto que la pandemia del Covid-19 detuvo la gran mayoría de los viajes de negocios y de turismo, desde mediados del 2022 los viajes comenzaron a retomar su frecuencia aunque no a los mismos niveles de la pre-pandemia. De esta manera se tienen que tomar diversas medidas para proteger nuestros datos cuando hacemos reservas de pasajes de avión o de hoteles. Estas medidas son por parte del usuario, las medidas relacionadas a las empresas fueron descritas anteriormente. Estas medidas son un complemento a las medidas descritas anteriormente en la sección de comercio electrónico.

5.1. Revisar que la empresa en la que se decida realizar la reserva, es una empresa confiable y con una cierta reputación

Debido a la existencia de diversas empresas que son usadas de fachada para poder obtener datos del usuario así como los detalles del método de pago (usualmente tarjetas de crédito), se debe de tener doble cuidado en seleccionar la empresa a ser usada, algunos detalles a confirmar son

a. Reputación de la empresa

Búsqueda de la reputación de la empresa en Google

b. Confirmación del uso de certificados SSL (el candado que aparece a la izquierda de la dirección https

c. Confirmación de la política de uso y devolución de la empresa

5.2. Nunca hacer click en los enlaces que provienen de estas empresas

Antes de hacer la transacción y habiendo confirmado los pasos descritos en el punto anterior, usualmente es necesario un registro de usuario, es usual que se envíe una confirmación al correo electrónico del usuario para confirmar la identidad de este y dar por terminado el proceso de registro de usuario. Pero después de este registros, nunca, y es bueno remarcarlo nunca, se deben de hacer click en los enlaces que provienen de estas empresas así se haya confirmado su reputación. La razón es que a pesar que estas empresas puedan ser respetadas en su respectiva industria, no se puede saber si estas han sido víctimas de ataques que hayan tenido como consecuencia la extracción ilegal de datos, especialmente los datos de usuarios, de esta manera es recomendable confirmar la información de marketing incluida en el correo mediante el acceso a la página web de la empresa.

The importance of Information Security in our lives – Part 5

 

5. In our trips

While it is true that the Covid-19 pandemic stopped almost all business and leaisure trips, from the middle of 2022 travel increased in frequency although not at the same pre-pandemic levels. Due to this, we need to take additional measures to protect our data when we make online flight or hotel reservations. These measures are from the user side, company side measures where described in a previous post. These measures represent complements of the previously described measures in the ecommerce section.

5.1. Confirm that the Company to use to make reservations is a reliable Company and with a strong reputation

Due to the fact that many companies are used as front companies to obtain illegally customer data as well as payment methods (usually credit cards), we should be very careful when we select the company, some of the details to confirm are:

a. Company reputation

Search for the company’s reputatio in Google

b. SSL Certificate existence confirmation (the locker that appears to the left of the wen address

c. Use Policy and reimbursment confirmation

5.2. Never click on links that come from these companies

Before making the transaction and having comfirmed the above described points, usually is required to make a registration, it is usual to received a confirmation email to confirm the user’s identity and to finalize the registration process. After this registration process, never, and is important to emphasize it, never, make a click on links that are coming from these companies even though their reputation is confirmed. The reason is that spite of these companies are well respected in their respective business niches, it is not easy to find if they were victims of an attacked that includes data leakage, especially customer data, therefore it is advisable to confirm the marketing information included in the mail from these companies by accessing the company’s web site.

La importancia de la seguridad de la información en nuestras vidas – Parte 4

 

4. En nuestros estudios

El uso de herramientas de clases virtuales incrementó de gran manera en Perú durante la Pandemia del Covid-19, lo que hizo que muchas entidades educativas modificaran su manera de entregar conocimiento a sus alumnos. Existen diferentes estudios que confirman la falta de preparación tanto de las organizaciones educativas como de los recursos disponibles para los alumnos, aunado con la considerable brecha digital que Perú tiene como país, hizo que la educación sufriera un gran impacto negativo que posiblemente se evidenciará en los siguientes decenios.

Desde el punto de vista de la Seguridad de la Información, esta es importante debido a los siguientes puntos:

4.1. Desde el punto de vista de la organización educativa

a. Protección de los datos del alumnado

Nuestra identidad digital representa información de gran interés para los diferentes grupos cibernéticos ilegales. La obtención ilegal de la identidad de los alumnos puede acarrear consecuencias como extorsión por la información, o establecer comunicación con los padres para extorsionarlos usando ilegalmente la identidad de sus hijo/as

b. Protección de la información de la institución educativa

Las Instituciones públicas y privadas poseen una gran cantidad de información atractiva para los grupos cibernéticos ilegales, desde acceso a propiedad intelectual, cuentas bancarias de la institución educativa, cuentas bancarias de los trabajadores, detalles personales de trabajadores y alumnos, detalles de organizaciones nacionales, información de la identidad de todas los trabajadores y alumnos, etc. Esta información, si es obtenida ilegalmente, puede ser usada con distintos fines que afectarán negativamente la tranquilidad mental y económica de las personas afectadas

c. Establecimiento de canales de comunicación oficiales

Las organizaciones educativas deben de establecer canales de intercambio de información oficiales, así como canales de enseñanza oficiales. El establecimiento de canales oficiales de intercambio de información o determinación de uso de protocolos de intercambio de información seguros puede hacer más difícil ataques como Man-in-the-middle (MIM) en el que las comunicaciones entre dos puntos se interceptan para poder tener acceso a los datos que están siendo transferidos o para poder desviar las comunicaciones hacia servidores o sitios web ilegales, donde los datos serán capturados para ser usados de manera ilegal.

Ahora bien, debido a la repentina decisión de poner a la población en cuarentena, el uso de canales gratuitos de Zoom u otros similares fue la primera decisión para poder seguir brindando conocimiento a los alumnos, pero estos canales no son 100% seguros y deben de ser reemplazados por canales oficiales de las organizaciones educativas. Además de lo último, se deben de entrenar de manera obligatoria en el uso de estas nuevas herramientas digitales a los profesores a cargo de las clases para evitar cualquier ataque debido a malas configuraciones. 

4.2. Desde el punto de vista del alumno

a. Protección de la identidad y datos del alumno

Deben de crease contraseñas seguras usando caracteres alfanuméricos, caracteres especiales y letras en mayúscula y minúscula, de una considerable longitud y que solo sea lógico o familiar para el usuario; otra estrategia es el uso de frases como contraseñas, lo cual puede ser válido pero se debe de fortalecer esta contraseña con los consejos dados anteriormente. 

b. Protección de la red del hogar del alumno

Debemos de tener en cuenta los mínimos requerimientos para poder proteger nuestra red en casa, desde la modificación de la configuración del router de la empresa proveedora de internet, para hacer solo uso de canales de comunicación seguros (puertos, DNS, etc.), hasta tener nuestros sistema operativos permanentemente actualizados así como todos los paquetes de software instalados en nuestra PC.

The importance of Information Security in our lives – Part 4

 

4. In our studies

The use of virtual tools increased dramatically in Peru during the Covid-19 pandemic, which made a number of educational organizations to modify the way they share knowledge to their students. There are diverse research papers published which confirmed the lack of preparation of the educational organizations as well as the available resources for their students, together with the considerable digital gap that Peru has as a country, it made a monumental negative impact which consequences could be felt in the next decades.

From the Information Security point of view, this is important due to the following points:

4.1. From the educational organization point of view

a. Students data protection

Our digital identities represent important information for the different cybernetic malicious groups. The gathering of the students’ identity could carry negative consequences like information extortion, or establish communication with the parents to extort them using their sons/daughters identities illegally. 

b. Protection of the educational organization information 

Public and private organizations hold a large amount of attractive information for illegal cybernetic groups, from the intellectual property access, organization bank account, workers bank accounts, personal details of workers and students, national organization details, identity information of all workers and students, etc. This information, if obtained illegally, could be used in negative actions that will produce mental and economic distress to the impacted people.

c. Establishment of oficial communication channels

Educational organizations should established official communication to Exchange information. Establishing these safe official channels o protocols to exchange information could make attacks like Man-in-the-middle (MIM) where communications between two points are intercepted to have access to the data being transferred or to deviate those communications to illegal servers or sites, where data will be captured to be used illegally. 

Now, due to the sudden decision to enforce lockdowns to all population, the use of free channels like Zoom or similar was the first decision to be able to continue teaching to students, but these channels are not 100% secure and should be replaced by official channels by educational organizations. In addition to that, there must be a mandatory training to use these new digital tools to all professors to avoid attacks or misconfigurations.

4.2. From the student point of view

a. Students data an identity protection

Strong passwords should be created using alphanumeric characters, special characters and capital/lower letters, of a considerable length and to be only logical or familiar to the user: another strategy is the use of phrases as passwords, which could be valid but still should be strength with the advice provided early. 

b. Student’s home network protection

We should keep in mind the mínimum requirements to protect our network at home, from the router settings modification of the internet service provider company, to use secure communication channels (ports, DNS, etc.), to have our operative systems constantly updated as well as all software packages installed in our PCs.

The importance of Information Security in our lives – Part 3

3. In our jobs

IT is used in almost all Enterprise environments, from multinational corporations to the smallest startups; moreover, new startups are focused in enterprise solution creation that use IT as their supportive platforms. Services like: online banking, service payment, money transfer, tax payments, contracts negotiation and signing, client generation and engagement, marketing methods, etc., IT are used as support strategies to the main business idea.

In this environment, Information Security is represented by similar points as the ones described in the second part. The difference relies in the fact that all size companies are attractive targets for a cybersecurity attack.

3.1. Enterprise size companies

Obviously, these types of organizations have the most attractive information for the different group of hackers around who they could use the below attack techniques:

- Ransomware

- Phishing

- DDoS

- Malware

- Man In the Middle (MIM)

- Worms, etc.

These attacks have as their objective, through enterprise information kidnapping to obtain an illegal payment (ransomware), to illegally obtain enterprise information (malware, phishing, worms, etc.), or capture of the information exchange channel to deviate user transactions or requests to illegal sites (MIM). These are only a small set of the different cybersecurity attacks available for which organizations need to be prepared and take preventive measures, not only to protect their data, but even more important, to protect their customers information. 

3.2. Small or medium size business (SMBs)

Many people think small or medium size business do not represent an attractive target to the different attackers in existence, but it is not like that.

From the point of view of the organization itself, an small or medium business has as a main target to grow, these types of organizations make all possible efforts to establish commercial relationships with enterprise size organizations already established in their particular business niche of interest. When SMBs organizations are able to become business partners it is the time they become attractive to the different cybersecurity attacks due to the trust relationship established between the enterprise size organization and the SMB. The different hacker groups take advantage of these trust relationship in order to attack the SMB, establishing a persistent method and confirm the communication channel used to modify the worm payload to do a lateral movement and impact the enterprise size organization.

As you can see Information Security plays a key role in the data interchange between same niche organizations and associated sectors. Information Security controls must be installed in both organizations’ group, in addition to this, enterprise size organizations need to establish frequent third party security assessment process with their, all size, business partners.