The importance of Information Security in our lives – Part 3

3. In our jobs

IT is used in almost all Enterprise environments, from multinational corporations to the smallest startups; moreover, new startups are focused in enterprise solution creation that use IT as their supportive platforms. Services like: online banking, service payment, money transfer, tax payments, contracts negotiation and signing, client generation and engagement, marketing methods, etc., IT are used as support strategies to the main business idea.

In this environment, Information Security is represented by similar points as the ones described in the second part. The difference relies in the fact that all size companies are attractive targets for a cybersecurity attack.

3.1. Enterprise size companies

Obviously, these types of organizations have the most attractive information for the different group of hackers around who they could use the below attack techniques:

- Ransomware

- Phishing

- DDoS

- Malware

- Man In the Middle (MIM)

- Worms, etc.

These attacks have as their objective, through enterprise information kidnapping to obtain an illegal payment (ransomware), to illegally obtain enterprise information (malware, phishing, worms, etc.), or capture of the information exchange channel to deviate user transactions or requests to illegal sites (MIM). These are only a small set of the different cybersecurity attacks available for which organizations need to be prepared and take preventive measures, not only to protect their data, but even more important, to protect their customers information. 

3.2. Small or medium size business (SMBs)

Many people think small or medium size business do not represent an attractive target to the different attackers in existence, but it is not like that.

From the point of view of the organization itself, an small or medium business has as a main target to grow, these types of organizations make all possible efforts to establish commercial relationships with enterprise size organizations already established in their particular business niche of interest. When SMBs organizations are able to become business partners it is the time they become attractive to the different cybersecurity attacks due to the trust relationship established between the enterprise size organization and the SMB. The different hacker groups take advantage of these trust relationship in order to attack the SMB, establishing a persistent method and confirm the communication channel used to modify the worm payload to do a lateral movement and impact the enterprise size organization.

As you can see Information Security plays a key role in the data interchange between same niche organizations and associated sectors. Information Security controls must be installed in both organizations’ group, in addition to this, enterprise size organizations need to establish frequent third party security assessment process with their, all size, business partners.

La importancia de la seguridad de la información en nuestras vidas – Parte 3

3. En nuestro trabajo

La TI es usada en casi todos los ambientes empresariales, desde las grandes corporaciones hasta las más pequeñas startups, más aún, las nuevas startups están enfocadas en la creación de soluciones empresariales que usan como plataforma base las TI. Servicios desde banca electrónica, pago de servicios, transferencia de dinero, pago de impuestos, negociación y firma de contratos, generación de clientes, métodos de marketing, etc., las TI son usados como estrategias de soporte a la idea principal del negocio.

En este ambiente, la Seguridad de la Información está representada por puntos similares a los descritos en segunda parte. La diferencia radica en que empresas de cualquier tamaño son objetivos atractivos para un ataque cibernético.

3.1. Grandes empresas

Obviamente, este tipo de empresa posee información atractiva para los diferentes grupos de hackers los cuales pueden ejecutar ataques como:

- Ransomware

- Phishing

- DDoS

- Malware

- Man In the Middle (MIM)

- Worms, etc.

Estos ataques tienen como objetivo, ya sea el secuestro de la información de la empresa en pos de obtener un pago (ransomware),  la obtención ilícita de información de la empresa (malware, phishing, worms, etc.), o la captura del canal de intercambio de información para poder desviar las transacciones de usuarios hacia un sitio ilegal (MIM). Estos son solo una pequeña muestra de los diferentes ataques cibernéticos disponibles para los que las empresas tienen que estar preparadas y tomar iniciativas de prevención para no solo proteger sus datos, pero más importante aún, para proteger los datos de sus clientes. 

3.2. Pequeñas empresas

Mucha gente tiene el pensamiento de que las empresas pequeñas no representan un objetivo atractivo para los diferentes grupos cibernéticos ilegales que existen, pero no es así.

Desde el punto de vista del negocio en sí, una empresa pequeña tiene como objetivo el crecimiento, y para lograr esto, este tipo de empresas hacen todos los esfuerzos posibles para poder generar relaciones comerciales con empresas grandes ya establecidas en el rubro particular de operación. Cuando estas empresas logran convertirse en socio de negocios es cuando las pequeñas empresas se convierten en un objetivo atractivo para los ataques cibernéticos debido a la relación de confianza establecida entre la empresa de gran tamaño y la pequeña empresa. Los diferentes grupos cibernéticos ilícitos toman ventaja de esta relación de confianza para poder atacar la pequeña empresa y esperar hasta confirmar el canal de intercambio de datos establecido entre las empresas para poder modificar el ataque a usar (worm payload) y realizar un movimiento lateral para poder trasladarse hacia la red de TI de la empresa de tamaño grande. 

Como se puede observar la Seguridad de la Información juega un papel titular en el intercambio de datos entre empresas del mismo sector y de sectores relacionados. Controles de Seguridad de la Información deben de ser implementados en ambas organizaciones, además de que las empresas de tamaño grande especialmente tienen que tener procesos de evaluación de Seguridad de la Información de Terceras empresas o de Socios de Negocios.