Blog del CCI

miércoles, 30 de octubre de 2013

Top 20 Critical Controls for ICS: a practical approach to cybersecurity in your operations. (Kim Legelis, Industrial Defender)

Last October, the Industrial Cybersecurity Center (Centro de Ciberseguridad Industrial, CCI) hosted a 2 day Congress on Industrial Cybersecurity. The attendees were a 60/40 mix of IT and OT staffers from a broad range of industries including oil & gas companies, utilities, system integrators, and industrial systems manufacturers.

With the escalating threat landscape and US ICS-CERT reporting an increase in security incidents, these organizations are investing in building expertise and programs to combat the situation. After being focused on this issue for over a decade here at Industrial Defender, this conference promoted and increased knowledge and information exchange, which is a practical step in the right direction for protecting critical infrastructure.

Representing Industrial Defender, I conducted a presentation on the Top 20 Critical Controls applied to the unique requirements of industrial control systems. The Top 20 approach was created to give organizations a set of basic controls to establish sound cyber security programs.  When one looks at applying these to the operational technology (OT) environments that frequently control elements of critical infrastructure, there are adjustments and considerations needed to ensure that they can safely be applied to OT.

We also distributed a guide: The SANS Top 20 Critical Controls for ICS. It was a big hit. Here’s a link to download or send to a colleague.

domingo, 27 de octubre de 2013

Un buen ejemplo de cómo el ecosistema del CCI se relaciona y difunde la Ciberseguridad Industrial. C3R (Colaboración, Coordinación y Compromiso en las relaciones)

El pasado 10 de octubre asistí al Iberia Fortinet Conference 2013, lugar de encuentro de 400 clientes y partners de Fortinet, patrocinador de nuestro centro y que amablemente nos invitó . Allí estuvieron un buen número de miembros del CCI y tuve la oportunidad de intercambiar interesantes apreciaciones con muchos de ellos. También pude asistir a una de las presentaciones que llevaba por título “Seguridad en Entornos Industriales”, el ponente fue Jose Luis Laguna, buen amigo y un profesional convencido de la importancia que tiene para la sociedad proteger estos entornos tan críticos, pero tan accesibles hoy en día. Creo que muchos nos quedamos helados y muy preocupados cuando mostró como estaba accediendo desde internet al sistema de control del quirófano de un hospital en España.

En este evento se presentó también el caso real de una organización industrial, fue a cargo de Rafael Hernández, actual CISO de Cepsa, organización que es miembro del Centro de Ciberseguridad Industrial, donde además de explicar como han abordado la seguridad en las sedes internacionales, en la consolidación del CPD y su nuevo proyecto de seguridad web, habló de la seguridad en los entornos industriales, de la necesidad de segmentación, de las dificultades de un entorno muy propietario. También comentó que el rendimiento, los costes ajustados y la gestión centralizada global de la tecnología Fortinet fueron las principales características para abordar este proyecto con ellos. 

Me gustaría destacar también que hace ya unos meses otro de nuestros patrocinadores nos pidió que le presentásemos a Fortinet y ellos accedieron sin dudarlo. Desde aquella reunión se han establecido algunos lazos de compromiso y colaboración. A su vez desde Fortinet nos han puesto en contacto con varias organizaciones interesadas en la Ciberseguridad Industrial. 

Es precisamente este un buen ejemplo de C3R (Colaboración, Coordinación y Compromiso de Relaciones) donde la suma de esfuerzos como este, está consiguiendo mejorar la Ciberseguridad industrial en Iberoamérica, y una prueba de ello lo tenemos en nuestros últimos boletines, cada vez publicamos más noticias, documentos y eventos en español que hablan de Ciberseguridad Industrial, un gran mérito de todo el ecosistema del CCI.

sábado, 26 de octubre de 2013

We need to talk industrial security: impressions from the 1st Ibero-American Industrial Security Congress (Slava Borilin, Kaspersky)

Talking to colleagues and potential clients during major cybersecurity events always pays back. Especially, if your field of expertise is Critical Infrastructure Protection. This particular part of the global cybersecurity efforts is still in its infancy, and that what makes communication even more important. Luckily, this September I had a chance to discuss industrial security with a number of devoted professionals, during the 1st Ibero-American Industrial Cybersecurity congress.

The event was set at Madrid, splendid as usual, warm and beautiful. A handful of presentations showed the wide range of views on how critically important infrastructure has to be secured. Some of them were directly on the topic, but a certain number looked totally unrelated, though. The general impression is that people working on Industrial Cybersecurity are very smart and courageous. The problem is that we need even more people from different sides of the story to go further.

According to Gartner, the number of “potential hackers” will increase tenfold in the next couple of years. Investment in cybersecurity educational efforts are solid, which is good, but some people might join the forces of “the dark side”. And this means that today’s limited scope of attacks on industrial objects may increase as well.

This is the challenge. What would be the answer? Well, as I said before, action is required from cybersecurity vendors (developing new protection solutions tailored for critical infrastructure, and Kaspersky Lab does exactly that) as well as owners of industrial systems and even government.

The congress showed a good example of a visionary customer. SABIC is already heading into the right direction, not only securing their ICS, but also developing security-in-mind requirements for suppliers, which is great. Such “individual” requirements have to be converted into “typical” and eventually end up as “industrial security baseline”. Such scenario would benefit the entire industry.

To get closer to a new standard, industrial automation and security societies need to come to the common vocabulary of security terms asap. From visionary adopters environment we will move to the mass market, when people are using a reasonable set of security controls just because "everyone in my industry is talking about these things and using them, so I have too".

Oh, what a bright future. But there is a problem. Almost all current standards (industrial, such as NERC CIP, and international like ISA99/62443, or internal company standards) are focused on "having procedures and set of controls onboard", i.e. represent the compliance-based approach.

But, frankly, compliance is not security. It would be much better to embrace the strategy based on real threats. “Does a certain infrastructure with this and that protection systems withstand a common list of known and potential attacks?”. In this case of realistic testing, customers will have a real understanding of how efficient their protection is. Not in case of a simple compliance checklist.

Pitching this idea to customers and government bodies alike is still a challenge. Unfortunately, inclination to “comply” rather that “protect” brings to life a very bad, but typical scenario, such as this:

  • IT department purchases the antivirus for the production plant, either because it was required by compliance, or because IT strongly wishes to secure ICS at the plant. Malware outbreaks had to be dealt with, already.
  • But IT has no control over actual tools used in the plant, as this domain is owned by engineers.
  • Result: engineers grudgingly install an anti-virus, but all options are switched off. It’s just an icon in the tray, and it was never updated for the last 2,5 years.

As you can see, on the customer side, there are three key groups of people involved in industrial cyber security.

  • CEO. The main problem on this level is to understand how Cybersecurity spending relates to Revenues;
  • General IT or IT security managers. Involved in purchasing decisions, but frequently have no power over the critical infrastructure. 
  • Engineers. For them the seamless operation of the infrastructure is the top priority. Hence, they might be afraid of possible consequences of deploying a new security solution much more than of cyber attacks.

The key to industrial security success is to address all issues for these three groups and provide them with a common "business continuity" language, instead of an ITsec jargon that we have now. All involved parties need to understand each other’s needs and the security (not compliance!) requirements.

To conclude my impressions from the Madrid congress, I hope that the following events will be more interactive. Communication between customers, vendors and government officials is always a benefit. It is essential for people to talk, argue and think together, not just listen to each other.

And many thanks for Samuel Linares @The Industrial Cybersecurity Center (CCI) for putting his event all together in a warm fashion.

martes, 15 de octubre de 2013

¿Por dónde empezar a capacitarse en Ciberseguridad Industrial?

Es una pregunta que cualquier profesional que espere capacitarse en Ciberseguridad Industrial, sea responsable de planta, técnico de automatización, ingeniero industrial, consultor de seguridad TIC o cualquier otro perfil equivalente, se plantea.

Los propietarios y gestores de los sistemas de control industrial tienen gran experiencia en el establecimiento y desarrollo de medidas de seguridad física, medio ambiental y de prevención laboral, lo que, indudablemente, ha salvado muchas vidas y protegido a las instalaciones industriales de ataques físicos. Sin embargo, desde un punto de vista lógico, la gran mayoría de los sistemas de control industriales que controlan la operación son vulnerables. Hoy en día los ataques no requieren presencia física en las instalaciones.

A la hora de empezar, lo más importante es adquirir un conocimiento que proporcione una visión global que permita conocer la situación actual, identificar y entender los conceptos existentes tras la ciberseguridad industrial y la protección de infraestructuras industriales, sus relaciones, y comprender los riesgos asociados y su impacto en el negocio. Pero también es fundamental capacitarse a través de las

experiencias vividas por otros profesionales y relacionarse con los actores, asistiendo a eventos, seminarios y talleres.

Cada día existen más organizaciones públicas y privadas en España que incluyen dentro de sus actividades acciones para la concienciación y formación en Ciberseguridad Industrial. INTECO, ISA España, TECNALIA, LOGITEK, S21Sec y CCI son los principales ejemplos.

En el Centro de Ciberseguridad industrial el próximo18 de noviembre celebramos en Madrid una nueva edición del curso “Ciberseguridad Industrial y Protección de Infraestructuras Críticas”.

Puedes obtener el artículo completo de cómo empezar a capacitarse en Ciberseguridad Industrial en la Revista Automática e Instrumentación

lunes, 14 de octubre de 2013

ICS Security isn't just a local issue, It is truly a global matter (Patrick Miller)

I recently had the pleasure of participating in the first Ibero-American Industrial Cybersecurity Congress held by the Center for Industrial Cybersecurity (Centro de Ciberseguridad Industrial, CCI). For it's very first year, I can honestly say it far exceeded my expectations. The event was very well organized, well attended by a very diverse array of countries, companies and skillets - and well worth the time. The latin-speaking world is clearly engaged in industrial control system cybersecurity.

The event was preceded by a set of useful 4-hour workshops. This duration is just the right amount of time to explore each subject in depth. During the Congress, blocks of presentation content were followed by panels from the previous presenters. This was a great approach and I felt it really tied the thoughts together. But most importantly, CCI allowed for lengthy networking breaks between the sessions. Everyone was engaged in great conversations and I could hear the sharing of ideas and new connections being made at each table. The true benefit of non-profit "grass-roots" organizations like CCI (, EnergySec (, NorSIS ( and others is the relationships formed with peers during the event - which are then magnified through the aggregation under a non-profit umbrella or a public-private partnership. It is all about information sharing. Sharing doesn't happen without trust. Trust doesn't happen without relationships. Organizations like CCI create an environment where sharing can prosper through their independence and non-profit nature. What started as a conversation at the Congress will continue across languages, across industries and across continents.

ICS Security isn't just a local issue. It is truly a global matter. We all buy our products and services from vendors that may or may not be in our native country. Nonetheless, we all buy the same gear from the same software and hardware Vendors. The services are provided by someone who is "local" to your company, but many of our service providers are also global. In short, the shift from proprietary platforms to off-the-shelf solutions means the ICS world is getting smaller. This comes with pros and cons, but one of the benefits is that we can begin to use a common lexicon and share security concepts, architectures and approaches more easily. Sharing under the protection and fostering environment of a non-profit such as CCI for the latin-speaking professionals will generate a wave of security progress.

Patrick Miller
Founder & President Emeritus, EnergySec
Partner and Managing Principal, The Anfield Group 

Nuevas firmas invitadas en el Blog del CCI

Desde el nacimiento del Centro y con él, este Blog, hemos sido Nacho Paredes, José Valiente y yo mismo quienes hemos ido alimentando sus contenidos, escribiendo sobre distintos temas de interés, actualidad y algún que otro agradecimiento para el ecosistema de la Ciberseguridad Industrial.

Sin embargo desde su creación, teníamos en mente abrir la participación en el mismo a otros profesionales de la comunidad que quisiesen compartir sus experiencias, conocimientos y reflexiones con todos nosotros y, tras la actividad frenética que supuso la organización del Primer Congreso Iberoamericano de Ciberseguridad Industrial, ha llegado el momento de recibir y publicar esas primeras aportaciones.

Durante las próximas semanas iremos publicando distintas entradas de autores tan reconocidos como Patrick Miller, Auke Huistra, Kim Legelis, Ayman Al-Issa o Eric Knapp, entre otros.

Por supuesto, este espacio está abierto a la participación de todos vosotros, profesionales activos en el ámbito de la Ciberseguridad Industrial. Si estáis interesados, hacednos llegar vuestras contribuciones al info [@] cci-es . org.

Para la primera contribución al Blog tenemos el honor de poder contar con Patrick Miller, Fundador y Presidente Emérito de EnergySec, una organización bastante parecida al CCI y que surgió en Estados Unidos ya hace unos años. Muchas gracias Patrick!

lunes, 7 de octubre de 2013

Continuamos Liderando desde el Ejemplo

Gracias. Gracias es sin ninguna duda, la primera palabra que quiero utilizar en este post. Gracias a todos vosotros, patrocinadores, miembros, colaboradores, amigos y asistentes al Primer Congreso Iberoamericano de Ciberseguridad Industrial, porque sois vosotros la principal causa de que el evento que clausurábamos hace apenas unas horas, haya sido el evento más completo sobre Ciberseguridad Industrial al que he asistido, como así también me lo han transmitido algunos de los ponentes internacionales como Patrick Miller, Omar Sherin, Doug Wylie, Auke Huistra o Andrew Ginter, entre otros.

Es la primera vez a nivel mundial que se han presentado, además por sus propios autores, las perspectivas e iniciativas de la Ciberseguridad Industrial en los distintos continentes. También hemos visto un cambio muy positivo en los fabricantes industriales, mostrándose abiertamente a colaborar, exponiendo sus aproximaciones y discutiendo en torno a una mesa redonda aspectos claves para el avance de esta disciplina que nos ocupa.

Pero sobre todo, lo que más hemos visto durante los dos días del congreso es colaboración, coordinación y compromiso. Asistentes, ponentes, patrocinadores, colaboradores y medios entablando conversaciones interesantísimas, intercambiando conocimiento y experiencias, conociendo nuevas tecnologías y comenzado en muchas ocasiones caminos hacia proyectos conjuntos.

Estamos en el buen camino. El ecosistema está fortaleciéndose, la red de contactos creciendo, la seguridad y confianza mutua fraguándose, los equipos de conocimiento activándose y todos estamos aprendiendo los unos de los otros.

La iniciativa el CCi está trascendiendo las fronteras hispanohablantes y su repercusión, y por tanto las oportunidades de colaboración, aprendizaje e intercambio de conocimiento, incrementándose exponencialmente.

Ahora mismo me encuentro en Abu Dhabi actuando como chairman en la Middle East Oil & Gas IT Week y presentando nuestra iniciativa como un caso de éxito de las relaciones basadas en la colaboración, coordinación y compromiso, además de impartir un workshop sobre la materia. En un par de semanas, estaremos en Génova en la Community Protection Expo haciendo lo propio. Después tendremos una oportunidad única de presentar en la conferencia Meridian y en las jornadas de ciberseguridad organizadas por la Organización de Estados Americanos (OEA), que este año se celebra en Buenos Aires, para a continuación continuar acercando el CCI  en el Oil & Gas Cybersecurity Summit a finales de Noviembre en Londres. Ya tenemos compromisos para el Africa Security & Defense Summit en Febrero del año que viene o en el evento que el Gobierno de Qatar organizará en Marzo con esta temática.

Esta es solo una muestra del impacto y repercusión que lo que todos vosotros (y nosotros) estáis/amos haciendo está teniendo en distintas partes del mundo. En esta línea, y como adelantamos en el Congreso, en breve publicaremos una gran noticia incorporando a la iniciativa como Chief Technical Advisors a dos líderes mundiales en la Ciberseguridad Industrial en sus respectivas regiones que estoy seguro que no dejará indiferente a nadie.

Y si empezaba este texto con la palabra gracias, no puedo dejar de terminarlo con otra que todos os merecéis: ¡Enhorabuena!. Enhorabuena por todos esos avances y por estar haciendo historia, una historia que todos vosotros estáis escribiendo y que a buen seguro, tiene un final feliz: la mejora de la Ciberseguridad Industrial con los máximos beneficios para todos.

¡Gracias y Enhorabuena, Amigos/as!