Blog del CCI

lunes, 14 de diciembre de 2015

Warming, “hackers” and other phenomena

Two relevant, historic, events have driven the agenda in Europe this week. The first one and, very probably, more transcendental, the agreement reached during the “21st Conference of the Parties of the United Nations Framework Convention on Climate Change” (COP21) held in Paris, by mean of which, and for the first time, 195 nations have set path to keep temperature rise well below 2 degrees Celsius. Let’s hope, for our wellbeing, that they reach such a goal! The second one, with a notably shorter perimeter  -EU28-,  but more closely related to this publication’s usual interests, the provisional agreement on cyber security met by MEPs and the Luxembourg Presidency of the Council of the European Union that comes to put an end to current fragmentation of cyber security systems in 28 Member States. No doubt, the news of the week in our sector (on European soil)!

We anticipate it seven days ago, “the awakening of a new cyber market in the insurance industry will push companies to address more pampering their cyber security, in order to get better coverage and, specially, better prices in their agreements with insurers”. Today we can go a step forward and state that not having minimum countermeasures will prevent any company to be eligible as customer, in “cyber” matter, by insurance firms. The immediate consequence of that will be that cyber-insurance, as it is already happening with cyber-savvy BoDs and legal regulation, will become the third “de facto” driver to push cyber security culture, even by force, within organizations (and among those in front of them).

This becomes especially relevant on a landscape in which cyber issues due to technical glitches and negligence are usual within organizations. Naturally, intentional actions should be added, too; like those performed by hackers, whose personal motivation is object of reflection and analysis by psychologist and other professionals.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Calentamiento, “hackers” y otros fenómenos

Dos han sido los acontecimientos, tildados de históricos, que han tenido como protagonista a la vieja Europa durante esta semana. El primero y, muy probablemente, más trascendental, el acuerdo alcanzado en el marco de la “XXI Conferencia de las Partes de la Convención Marco de Naciones Unidas sobre el Cambio Climático de París” (COP21), por el que, por vez primera, ciento noventa y cinco naciones se han comprometido a mantener el calentamiento global muy por debajo de 2°C. ¡Confiemos, por el bien de todos, en que lo consigan! El segundo, con un perímetro notablemente menor  -la Europa de los veintiocho-,  pero más estrechamente relacionado con los intereses habituales de esta publicación, el acuerdo provisional alcanzado en materia de ciberseguridad entre el Parlamento Europeo y la Presidencia luxemburguesa del Consejo de la Unión Europea, que viene a acabar con la actual fragmentación en las estrategias de ciberseguridad nacional de los veintiocho Estados Miembros. ¡Sin duda, la noticia de la semana en nuestro sector (en suelo europeo)!

Lo adelantábamos hace siete días, “el despertar de un mercado de las ciberpólizas en el sector asegurador empujará a las empresas a atender con más mimo su ciberseguridad, con el fin de obtener mejores coberturas y, sobre todo, mejores precios en sus acuerdos con las aseguradoras”. Hoy podemos ir un paso más allá y afirmar que no disponer de un marco de medidas mínimas de ciberprotección, excluirá a cualquier empresa de la lista de clientes “aceptables”, en el capítulo “ciber”, para las compañías de seguros. La consecuencia inmediata de ello habrá de ser que los ciberseguros, como ya lo son el disponer de sabiduría “ciber” en el consejo de administración y la normativa legal, se convertirán en el tercer catalizador de hecho que impulsará la llegada de la cultura de la ciberseguridad, aunque sea a la fuerza, a las organizaciones (y a quienes están al frente de ellas).

Eso se hace especialmente relevante en un escenario en el que los ciberincidentes por fallos de naturaleza técnica y por negligencia son moneda habitual dentro de las organizaciones. Naturalmente, a ello se han de sumar las acciones intencionadas, como las llevadas a cabo por los “hackers”, cuya motivación personal es objeto de reflexión y análisis por parte de psicólogos y otros estudiosos.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

martes, 8 de diciembre de 2015

Vectores de ataque y Ciberincidentes en Smart OT


En la actualidad, la llegada de Industria 4.0, Smart Grid, Smart City, o IoT (Internet de las Cosas), supone una nueva revolución en el ámbito industrial y de las infraestructuras, incorporando cada vez más tecnologías e introduciendo un mayor número de dispositivos que interactuarán entre sí y con sistemas de información internos, externos o en la nube. El uso de la comunicación M2M (Máquina a Máquina) con tecnología más avanzada y un mejor aprovechamiento de los datos proporcionados por los sensores, proporciona gran ventaja y precisión. Esto se debe a que los dispositivos que encontramos dentro de los entornos industriales, cada vez poseen una mayor inteligencia, aunque también complejidad.

Todas estas tecnologías podrían ser englobadas bajo el término Smart OT, denominación acuñada por el Centro de Ciberseguridad Industrial y que hace referencia al conjunto de tecnologías inteligentes de operación que integran la analítica de la información, la interoperabilidad y la conectividad como principales características para operar sobre el mundo físico.


El hecho de incorporar tantos dispositivos creará inicialmente problemas de escalabilidad, de gestión y de configuración, lo que puede ocasionar aumentos de latencia en las comunicaciones o fallos en los procesos, ambas situaciones supondrán un gran riesgo para los sistemas industriales, en los que la disponibilidad e integridad son fundamentales. Por ello, es necesaria la creación de estándares que promuevan el diseño de arquitecturas de red, sistemas y aplicaciones seguras.

También el incremento de dispositivos en entornos industriales interconectados, junto con el aumento de inteligencia de los mismos, implicará una capacidad de procesamiento de todas estas máquinas que proporcionarán a los atacantes que deseen utilizarlas gran potencia para realizar acciones ilícitas. Además, tener un gran número de máquinas dentro de un sistema siempre supone un reto, como ya hemos comentado, para realizar la configuración o segmentación de las redes de forma segura, controlando los servicios activos en cada una de las mismas y evitando que dispositivos críticos tengan accesos indebidos.

Tras lo comentado anteriormente, se pueden definir diferentes vectores de ataque, que aunque sean los mismos de los que ya se tiene constancia en los actuales sistemas de operación, al ser la superficie de exposición de los entornos industriales mayor por el aumento de tecnologías en sus sistemas, la posibilidad de sufrir un ciberataque se multiplica.

Para poder evitar estos ataques es necesario tener en cuenta las siguientes pautas entre otras:

  • Lo primero de todo es realizar un inventario de los nuevos activos de la empresa tomando como alcance los que afecten en concreto al sistema de control industrial elegido. Una vez identificados estos activos se clasificarán en base a su importancia y al riesgo que supone un ataque a los mismos.
  • Tras la detección de los activos más importantes, una buena segmentación de la red que incorpore elementos de seguridad como son los cortafuegos, IDS, IPS o diodos de datos si fuese necesario, evitarán accesos indebidos al sistema y en el caso de que esto ocurra, supondrá una gran barrera para el atacante a la hora de poder lograr alcanzar sus objetivos. Dentro de la segmentación de red es importante poseer un sistema redundante aislado del principal para poner en marcha si fuese necesario, sobre todo en entornos industriales donde como ya se comentó anteriormente la disponibilidad y la integridad lo es todo (parada del sistema principal, ataques que generen accidentes incontrolables o perdida de la calidad, problemas de difícil detección, etc.). En caso de usar redes inalámbricas, es necesario configurar las mismas con el mayor nivel de seguridad que posean según las especificaciones de cada protocolo o incorporando medidas extra a otros niveles, evitando así accesos indebidos por redes inalámbricas.
  • La incorporación de un laboratorio de pruebas, es uno de los grandes retos dentro del mundo industrial y especialmente en Smart OT, pero será fundamental para proporcionar valor tanto para la empresa, como para la seguridad de sus sistemas. La incorporación de un nuevo dispositivo, la comprobación de parches y actualizaciones o simplemente la realización de pruebas de seguridad no supondrían tantas dificultades como existen hoy en día. 
Siguiendo las recomendaciones anteriormente nombradas, que implican notables cambios y modificaciones, se puede lograr un sistema con un nivel de protección elevado y que presentaría grandes dificultades a los diferentes atacantes cuyo objetivo sería explotar los diferentes vectores de ataque existentes para hacerse dueño y señor del sistema.

Otro aspecto que no se ha incluido anteriormente, pero que será de gran ayuda frente a los ciberataques que puede sufrir un sistema de operación industrial, es actuar como lo haría un atacante, buscando las debilidades tanto de forma externa, como de forma interna para llegar a lograr su objetivo.

A continuación se mostrarán algunas de las posibles debilidades a detectar dentro de los sistemas tanto de manera externa como de manera interna. Esta práctica nos ayudará a comprender un poco más en profundidad como actúa un atacante y nos ayudará a detectar debilidades que no serían posibles de revelar si solo nos centrásemos en una mentalidad defensiva.


Vectores de ataque originados de forma externa 
  • Algunos de los ataques más temidos en el mundo industrial, por el impacto que tienen, (pérdida de disponibilidad) son aquellos que originan denegaciones de servicio (DoS o DDoS) ya sea por inundación de paquetes o desbordamientos de búfer entre otros. 
  • La explotación de una configuración de red defectuosa, puede originar accesos indebidos desde redes externas a la red industrial. Muchos de estos accesos no requieren de un gran conocimiento en materia de ciberseguridad ya que por regla general, es posible tener acceso a la documentación de los dispositivos facilitada por los fabricantes donde se incluyen credenciales por defecto de los dispositivos, por ello es de vital importancia cambiar estas contraseñas (algunos fabricantes empiezan a forzar el cambio de contraseña tras la configuración inicial de los dispositivos). 
  • El aprovechamiento de accesos indebidos vienen dados vía inalámbrica o gracias a dispositivos poco protegidos físicamente desde donde un atacante podría acceder a otras redes pudiendo saltar entre ellas si no existiese una buena segmentación de red. 
  • Tanto las APT (Advanced Persistent Threat) como otros tipos de software malicioso no tan desarrollados, pueden suponer un gran problema para los sistemas industriales. Este problema supone un gran reto no sólo para los entornos industriales sino para muchos entornos en general, por ello y haciendo uso de las pautas de buenas prácticas anteriormente comentadas una buena segmentación puede ser clave a la hora de frenar el avance de una amenaza persistente que busque objetivos concretos. 
  • El uso de ransomware por parte de atacantes es una de las técnicas más utilizadas hoy en día no sólo en entornos industriales sino en más entornos donde la información es de gran valor y por ello una restricción de acceso a la misma supone un gran problema. En el caso de sistemas industriales el acceso a un histórico o la configuración de un buen SIEM proporciona un gran flujo de datos que pueden ser analizados en busca de mejoras para optimizar la productividad. La pérdida de estos datos supondría un gran problema para cualquier sistema industrial. 

Ataques originados de forma interna

  • Empleados descontentos con conocimiento de información sensible del sistema o por otro lado, empleados con poca formación en materia de ciberseguridad (uso indebido de dispositivos USB, descargas procedentes de páginas indebidas, correos que contienen phishing, etc.). 
  • Fuga de información que proporcione información sensible a gente externa a la empresa (localización de dispositivos estratégicos, versiones de software utilizado, credenciales a entornos de acceso público por Internet, etc.) 
  • Todos los ataques comentados anteriormente de forma externa pueden originarse de forma interna. 

Algunos de los incidentes más conocidos dentro del mundo industrial que han utilizado software malicioso de gran complejidad y desarrollado con objetivos concretos (Stuxnet, Duqu, Flame, Dragonfly) y otros muchas más, se podrían haber detectado e incluso evitado mediante el uso de unas buenas prácticas.

Como resumen a este artículo, se puede destacar que la llegada de Smart OT proporcionará grandes ventajas a los entornos industriales, pero no podemos olvidar incluir la ciberseguridad en estos sistemas que operan sobre el mundo físico y donde un incidente de ciberseguridad puede tener un gran impacto.

Aarón Flecha
Consultor de ciberseguridad industrial (S21sec)

lunes, 7 de diciembre de 2015

Customary exceptions, agencies and other accelerators

The presence of Mr. Ignacio Sánchez Galán, Chairman of the Board of Directors of Iberdrola, and Mr. Julián Martínez-Simancas Sánchez, Secretary of the same Board, at the seminar “Cyberdefense, National Defense & Energy Supply”, that the Spanish Ministry of Defense hosted on October, 13th, at its CESEDEN (Center of Higher Studies on National Defense)’s premises, comes to contradict the very categorical statement that had been made during CCI’s last “The Voice of the Industry” event held in Bogotá: “Businesses, today, are less concerned for ‘cyber’ than governments”. Maybe that of Iberdrola is an exception; maybe it is the Ecopetrol’s one, as we knew in Colombia last month; or, maybe, exceptions are starting to be the new normal.

Believe me, if I say you that it is hard for me to believe!

Though, it seems that things start to change. Anyway, it will not be a voluntary change; but one obliged by the circumstances. While some of us are still confident in the generational shift  -the slow lane-  to see how boards and directors begin to be concerned for ‘cyber’, new conditions seems to flourish. Conditions that can accelerate such awareness, making the change happen agiler and faster. The awakening of a new cyber market in the insurance industry will push companies to address more pampering their cyber security, in order to get better coverage and, specially, better prices in their agreements with insurers; but let us discuss this other day. The driver we are focusing on today is a different one: ‘cyber’ starting to affect credit ratings!

Standard & Poor’s, Moody’s and Fitch Ratings have announced it, or they will do it promptly. No doubt, a real incentive for companies, avid of credit and investors, to truly start planning the need for the adoption of cyber protection frameworks that they should be accountable for before such rating agencies  -and, of course, before their possible investors-  in the sense of demonstrating the effectiveness of the cyber measures they keep into force.

Nonetheless, incidents, particularly the serious ones, will have consequences beyond credit rating, as veteran journalist Ted Koppel remind us in his last book “Lights out: A cyberattack. A nation unprepared. Surviving the aftermath”. Due to that, now more than ever, organizations must adopt cyber defense systems, that should be tested and validated. When such adoption, testing and validation are performed within an academic research, they will contribute double: by developing capabilities (cyber-talent training) and by building capacities (tested cyber-defense system). Though, in the current geo-political landscape and with current digital “weapons”’ double edge, there are people that have know  -and are knowing-  how to exploit such arsenal for purposes that are much less legitimate.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Excepciones habituales, agencias y otros aceleradores

La presencia de D. Ignacio Sánchez Galán, Presidente del consejo de administración de Iberdrola, y de D. Julián Martínez-Simancas Sánchez, Secretario del mismo consejo, en el seminario “Ciberdefensa, Defensa Nacional y Suministro Energético”, que el pasado día 13 de octubre acogía el Ministerio de Defensa en las instalaciones de su Centro Superior de Estudios de la Defensa Nacional, CESEDEN, viene a contradecir la afirmación tan rotunda que se había realizado en “La Voz de la Industria” de CCI, celebrada en Bogotá: “Las empresas se muestran, hoy, menos preocupadas por la problemática ‘ciber’ que los gobiernos”. Tal vez la de Iberdrola sea una excepción; tal vez lo sea la de Ecopetrol, como vimos en Colombia; o, tal vez, las excepciones comiencen a ser la norma.

¡Créanme, si les digo que me cuesta creerlo!

Aunque, parece que las cosas pueden comenzar a cambiar. En todo caso, no se tratará de un cambio voluntario; sino obligado por las circunstancias. Mientras algunos seguimos confiando en el salto generacional  -la vía lenta-  para ver cómo consejos y consejeros comienzan a tomar conciencia de ‘lo ciber’, parecen advertirse nuevas condiciones que pueden acelerar esa toma de conciencia, haciendo que ocurra de una forma más ágil, rápida. El despertar de un mercado de las ciberpólizas en el sector asegurador empujará a las empresas a atender con más mimo su ciberseguridad, con el fin de obtener mejores coberturas y, sobre todo, mejores precios en sus acuerdos con las aseguradoras; pero de eso hablaremos otro día. El catalizador en el que hoy reparamos es otro: la incorporación de ‘lo ciber’ entre los parámetros empleados por las agencias de calificación para la elaboración de su valoración crediticia de empresas y organismos.

Las tres agencias de referencia, Standard & Poor’s, Moody’s y Fitch Ratings han anunciado, o lo harán en breve, que la ciberseguridad podrá empezar a afectar a la calificación crediticia. Sin duda, todo un incentivo para que las empresas, ávidas de crédito y deseosas de atraer inversores, comiencen a plantearse, de veras, la necesidad de dotarse de marcos adecuados de ciberprotección, de los que deberán dar cuenta ante las citadas agencias  -y, por extensión, ante los posibles inversores-  en el sentido de demostrar la eficacia de las medidas de ciberseguridad que mantienen en vigor.

No obstante, la ocurrencia de incidentes, especialmente los graves, tendrá consecuencias más allá de la bajada en la calificación crediticia, como nos recuerda el veterano periodista Ted Koppel en su último libro “Lights out: A cyberattack. A nation unprepared. Surviving the aftermath” (Luces fuera: Un ciberataque. Una nación no preparada. Sobrevivir a las consecuencias). Por esa razón, más que nunca, las organizaciones han de dotarse de sistemas de ciberdefensa, que hay que probar y validar. Si dicha dotación, prueba y validación es realizada en el marco de una investigación académica, la contribución será doble: se estará contribuyendo al desarrollo de habilidades (formación de ciber-talento) y a la construcción de capacidades (sistema probado de ciberdefensa). Aunque, en el panorama geo-político actual y con el doble filo que hoy presentan las “armas” digitales, hay quien ha sabido  -y está sabiendo-  explotar ese arsenal para fines que resultan mucho menos legítimos.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

miércoles, 2 de diciembre de 2015

Proyecto de Ciberdefensa

Dentro del proyecto Fin de Máster del máster en Ciberseguridad desarrollado en la Universidad Carlos III de Madrid durante el curso académico 2014/15, se ha creado un sistema de Ciberdefensa sobre el que se han realizado una serie de ataques con el fin de comprobar su resiliencia o lo que es lo mismo, su capacidad de resistencia y respuesta antes estos ataques.

Dicho sistema de Ciberdefensa se ha construido y en una primera fase, en un entorno de laboratorio controlado basado en diversas máquinas virtuales gestionadas desde un entorno Citrix XenCenter. En un primer lugar, se ha instalado un sistema de información basado en tres redes (red Interna, red DMZ y red Externa) así como, un Firewall perimetral basado en software Ip-Tables, el cual hace también las funciones de enrutador de las tres redes anteriormente mencionadas y sobre el cual se han establecido una serie de reglas de filtrado de tráfico.

La red interna consta de varias máquinas virtuales de tipo cliente con sistemas operativos MS Windows 7 instalados, las cuales simulan los usuarios del entorno. La red DMZ tiene instalados varios servicios críticos de la organización, en concreto, dos servidores Linux con los servicios Samba y Web instalados. Por último, la red Externa cuenta con una máquina virtual MS Windows 7, denominada Auditora, desde la que se han desarrollado varios pentesting controlados con las aplicaciones OpenVas y Nessus, así como, una máquina con la versión Linux Debian KALI que hace las funciones de atacante del sistema.

Ilustración 1. Arquitectura de Red.    

Sobre este sistema de información, y en una segunda fase, se ha creado un sistema de Ciberdefensa basado en un servidor OSSIM AlienVault instalado en la red Interna, que hace las funciones de SIEM (Security Information and Event Management), varios agentes/sensores OSSEC HIDS (Host Intrusion Detection System) instalados tanto en los sistemas Windows como Linux de las distintas redes de la organización y, un NIDS (Network Intrusion Detection System) basado en Snort.




Ilustración 2. Sistema de Ciberdefensa. 



Tanto los sensores OSSEC, como el servicio Snort están configurados para enviar todos sus eventos al servidor OSSIM, el cual se encarga de procesar dichos eventos, monitorizar la red y alertar a los analizadores de seguridad en caso de detección de anomalías.

Por último, y en la tercera fase del proyecto, se ha realizado un ataque basado en sobre-estimulación con el fin de comprometer la disponibilidad del sistema y en consecuencia, poder lanzar más ataques sin ser detectados. Se pretende, por un lado, generar una cantidad ingente de falsos positivos (ataque DoS o Denial of Service), de forma que el administrador de seguridad que tenga que procesarlos quede abrumado y por otro, intentar atentar contra la disponibilidad del propio sistema mediante la consumición de sus recursos (típicamente, la capacidad de procesar nuevos eventos o la sobrecarga de la base de datos donde estos se almacenan).

Dicho ataque es realizado con la aplicación Inundator cuyo principal cometido consiste en parsear todas las reglas de Snort, generando una gran cantidad de paquetes que cuadren con dichas reglas, con el fin de sobre-estimular IDS Snort y hacer que salten todas las alarmas. Como Snort reporta todos sus eventos a OSSIM, la idea es sobrecargar a OSSIM de falsos positivos. Posteriormente, se lanza otro ataque que realmente genere una alerta real (correlación de escáner de puertos con Nmap seguido de varios accesos incorrectos con SSH), con el fin de determinar si dicha alerta real es procesada por nuestro SIEM o de lo contrario y debido a la inundación anterior, es incapaz de procesarla.

Tras el ataque, detectamos que el servidor OSSIM y debido a sus características técnicas es capaz de gestionar todas las alarmas (las falsas y verdaderas), por lo que concluimos que, sería necesario realizar un ataque de forma distribuida (DDoS) y desde varios equipos (Botnet), para lograr comprometer la disponibilidad del sistema.

Autor: Victor  Manuel Díaz 
Arquitecto de Ciberseguridad (THALES)
victor-manuel.diaz@thalesgroup.com

lunes, 30 de noviembre de 2015

Outdated approaches and points of contact

The optimism that follows the joint study by NYSE Governance Services and Veracode, which we are referring to today, seems just that: very optimistic. There is no doubt that “cyber-related corporate liability should be top of mind” for directors and officers; but reality, as usual, keeps questioning such statement.

One example (the usual one, in fact) will suffice to prove it! I mean the agenda proposed by the Spanish Institute of Directors (IC-A, Instituto de Consejeros-Administradores) for the 2016 edition of its program “Good Governance of Listed Companies”. One more year, and they are more than ten, “digital” and, naturally, “cyber”, do not still seem to deserve being considered key points into IC-A’s training program targeted to directors. Maybe it is just  -let me be ironic-  that IC-A has decided to align with the voices that advocate for the end of abusing in the use of the word “cyber”.

The truth is that doing it [including “cyber” into its academic program] would put IC-A closer to what current business  -and geo-political; think of Crimea-  situation seems to recommend. Meanwhile, we will keep convinced that, today, Governments’ awareness on the topic  -they are to help-  widely overtakes that of the businesses, as it was stated last Monday, November, 23rd, during the 12th edition of CCI’s “The Voice of the Industry” held in Bogota (Colombia) for our pleasure and that of our friends and members of the “Ecosystem” in those latitudes.

We keep equally convinced that having “cyber-savvy” directors  -at least one-  within the Board seems to be the best measure, so far, to remedy the lack of awareness (not only the lack of knowledge) regarding cyber issues, among those leading organizations. We were witnesses of that during our recent visit to the “Country of Birds”. And, finally, we were also witnesses of an interesting discussion between Information Technology (IT) and Operational Technology (OT) professionals within the energy sector, which converged in pointing out the relevance of taking into account cyber risk mitigation measures since the very beginning of any industrial automation investment’s life-cycle, as the ones their company is facing now. We could not agree more!

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Enfoques anticuados y puntos de encuentro

El optimismo que desprende el estudio conjunto de la sección de Servicios de Gobierno Corporativo de la Bolsa de Nueva York y la firma Veracode, al que nos referimos hoy, se antoja precisamente eso: muy optimista. No cabe duda de que consejeros y directivos deberían tener “absolutamente presentes los temas de responsabilidad corporativa relacionados con ‘lo ciber’"; pero, como es habitual, la realidad sigue poniendo tal afirmación en duda.

¡Como muestra un botón (el mismo de siempre, de hecho)! Me refiero a la agenda prevista por el Instituto español de Consejeros-Administradores (IC-A) para la edición 2016 de su programa “El Buen Gobierno de las Sociedades”. Un año más, y ya van más de diez, “lo digital” y, naturalmente, “lo ciber”, todavía no parecen haber alcanzado el estatus necesario para que el Instituto los incorpore como temas clave, en su programa formativo dirigido a consejeros. Tal vez se trate simplemente  -permítanme la ironía-  de que IC-A ha decidido alinearse con las voces que abogan por el fin del abuso en el uso del prefijo “ciber-“.

Lo cierto es que hacerlo [incluir “lo ciber” en su programa académico] acercaría al IC-A a lo que la actual coyuntura empresarial  -y geo-política; piense en Crimea-  parece aconsejar. Mientras tanto, seguiremos convencidos de que, hoy por hoy, la preocupación de los gobiernos  -están para ayudar-  supera ampliamente a la de las empresas en relación a este tema, como se afirmaba el pasado lunes, día 23 de noviembre, en la XII edición de nuestra “Voz de la Industria” celebrada en Bogotá (Colombia) para satisfacción nuestra y la de nuestros amigos, y miembros del Ecosistema del Centro, en aquellas latitudes.

De igual modo, seguimos convencidos de que la incorporación a los consejos de administración de algún consejero dotado de lo que los anglosajones denominan “cyber-savvy” (conocimiento de “lo ciber”) parece mostrarse como el mejor remedio, hasta la fecha, para atajar la falta de conciencia (no sólo de conocimiento) sobre la problemática cibernética, entre quienes están al frente de las organizaciones. Durante nuestra visita al “país de las aves” pudimos ser testigos de ello. Como también lo hemos sido de un interesante cruce de opiniones entre profesionales de las Tecnologías de la Información (TI) y de las Tecnologías de Operación (TO) del sector energético, cuyo punto de encuentro parecía apuntar a la conveniencia de contemplar las medidas de mitigación de riesgos de naturaleza “ciber” desde el más temprano momento del ciclo de vida de las iniciativas de inversión que están llevando a cabo en estos instantes. ¡No pudimos estar más de acuerdo!

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 23 de noviembre de 2015

"Spare the rod and spoil the child" and other pedagogical paradigms

Instructing Boards of Directors in “cyber”  -more accurately, in matter of their accountability for overseeing “cyber”-  has, very likely, several ways to be met; and, in them, different factors and actors may participate.

The most efficient of such methods  -the most painful, too; without meaning that it should be bound to the discipline of a specific instructor- is the one that makes the Board, and its members, suffer in their own flesh the consequences derived from a cyber risk (failure, negligence, attack, …) substantiated on the information/operational systems supporting their organization’s business. Examples of this abound, and are growing in number, as it shows the list of names that have been mentioned, so far, in this column.

An alternate pedagogic treatment, less drastic for directors and in which a specific instructor  -YOU-  would have her own role, is that in which, as operational responsible for the cyber protection of your organization, YOU should be in charge of educating the members of your BoD on the matter. We have insisted on it, today there is room enough for you to fill this position of councelor and guide (not necessarily meaning it that you join the BoD). For the benefit of your organization, let us be happy having “cyber” onboard of the Board’s agenda, despite staying you outside. It [having you onboard, too] should not be the ultimate goal!

Nonetheless, having “cyber” as part of directors’ agenda will require, not only that you are able to give them the correct answers, in the correct language, etc.; but, first of all, that they know to ask the correct questions, too. And they should do it regularly and insistently. It would be worthless if their interest faded after the first interrogation.

No doubt, questions like the ones we are featuring today (issues derived from interconnecting corporate information systems with industrial control systems; frictions between IT and OT; or the adoption of IT security thesis to protect ICS) should be part, not only of your concerns as subject matter expert, but of those of your directors, in order to make them to understand what the actual difficulties are and to help you in overtaking them, by setting appropriate game rules and giving you authority and resources accordingly.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

PS: Naturally, our congratulations go to Ane and Sergio. ;-)

“La letra con sangre entra” y otros paradigmas pedagógicos

La instrucción de los consejos de administración en materia de “lo ciber”  -más exactamente, en materia de la responsabilidad que les corresponde sobre la supervisión de “lo ciber”-  tiene, muy probablemente, diversas formas de abordarse; y, en ellas, pueden intervenir diferentes factores y actores.

El más eficaz de dichos métodos  -también el más doloroso, sin que necesariamente esté sujeto a la férrea disciplina de un instructor específico-  es el que hace que el consejo, y sus miembros, sienta en carne propia las consecuencias derivadas de la materialización de cualquier ciberriesgo (fallo, negligencia, ataque, …) sobre los sistemas de información/operación que sustentan el negocio de su organización. Los ejemplos de ello son abundantes, y crecientes en número, como demuestra la lista de nombres propios que, hasta la fecha, ha ido “desfilando” por esta tribuna.

Un tratamiento pedagógico alternativo, menos drástico para el consejero y en el que sí tendría su papel un actor específico  -USTED-  es aquel en el que, en tanto que responsable operativo de velar por la seguridad cibernética de su organización, le correspondiese a USTED la labor de instruir a los miembros de su Consejo de Administración en la materia. Hemos insistido en ello más veces: hoy día hay espacio suficiente para que Ud. ocupe ese lugar de orientador y guía (sin que necesariamente ello desemboque en su incorporación a tal Consejo). Por el bien de su organización, conformémonos con que lo que se incorpore a la agenda del consejo sea “lo ciber”, aunque Ud. se quede fuera. ¡No debería ser éste [su incorporación] el objetivo último!

Para que se produzca esa plena incorporación de “lo ciber” a la agenda de los consejeros, no sólo será necesario que Ud. sepa ofrecerles las respuestas adecuadas, en un lenguaje que ellos entiendan, etc.; sino que, en primer lugar, ellos también han de saber formular las preguntas correctas. Y han de hacerlo periódica y reiteradamente. De poco serviría que su interés se desvaneciese tras un primer interrogatorio.

Sin duda, cuestiones como las que destacamos hoy (la problemática derivada de la interconexión entre los sistemas de información corporativos y los sistemas de control de los procesos productivos; las fricciones que puedan darse entre las áreas de informática corporativa y las de automatización industrial; o la adopción de tesis propias de la seguridad de los sistemas de información para intentar resolver la problemática “ciber” de los sistemas de control) deberían formar parte, no sólo de sus preocupaciones como especialista en la materia, sino de las de sus consejeros, a fin de que puedan comprender las dificultades existentes y ayudarle a superarlas, estableciendo unas reglas de juego oportunas y dotándole de la autoridad y recursos adecuados.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

PD: Naturalmente, vaya nuestra felicitación para Ane y Sergio. ;-)

lunes, 16 de noviembre de 2015

Stumble twice on the same stone, cyber-dependency, best practices and mourning

Should you think there is no reference at all to Boards of Directors in today’s issue, you could not be more wrong …

… on December, 24th, 2004, the Air Transportation sector saw the case of Comair, Inc., a US domestic airline based in Cincinnati, OH. That day Comair almost collapsed after having to land more than 3,900 flights in what seems a weather conditions issue, provoked by a series of intensive snow-storms during the previous days. Nonetheless, what actually was under Comair’s shock was a computer glitch. An information system, supported on an obsolete computer platform  -it has been operating since the late 80’s-  overflowed, blinding the company with respect to the situation of its crews. (The system had been born as a compliance solution to meet FAA’s safety instructions regarding crews’ shifts control).

The consequence, among others, was that it impacted on the Board of Directors; and, therefore, Mr. Randy Rademacher, then Comair's President & CEO, would resign just a few weeks later, on January, 18th, 2005.

Same old song ...! The computer glitch that has affected Paris-Orly airport, on November, 7th, 2015 has not have the same consequences, so far; but it should serve as a wakeup call to those accountable for the operations at the French airports.

Other countries, as the US, try to put their best (including a myriad of resources) on the protection of their essential sectors and national critical infrastructures; but, unfortunately, facts shows us that they are not always unbreakable.

Finally, think of some solutions to strengthen your cyber protection. Adopting best practice frameworks  -like ISO27001-  could not be the panacea; but we could guess that they help. Because of that, CCI faced the task of proposing a specific framework for the industrial playfield (the Industrial Cybersecurity Management System framework, ICMS)!

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

PS: Today we have given our logo space to a black ribbon, remembering our French friends. Our condolences!

Tropezar dos veces en la misma piedra, ciberdependencia, buenas prácticas y luto

Si cree que no hay ninguna referencia a los consejos de administración en el número de hoy, se equivoca ...

... el 24 de diciembre de 2004, el sector aéreo fue testigo del caso Comair, Inc., una aerolínea doméstica de los EEUU, con sede en Cincinnati, OH. Aquel día Comair estuvo a punto de desaparecer tras dejar en tierra más de tres mil novecientos vuelos, en lo que parecía un problema motivado por unas condiciones atmosféricas adversas extremas, provocadas por una serie de días de intensas tormentas de nieve. No obstante, lo que realmente había tras el colapso de Comair era un error informático. Un sistema de información, soportado por una plataforma tecnológica obsoleta  -llevaba en servicio desde finales de los años 80-  se saturó dejando a la compañía ciega en lo que se refería a la situación de sus tripulaciones. (El sistema había nacido como solución de conformidad con la normativa de seguridad aérea emitida por la FAA, para controlar los turnos de las tripulaciones).

La consecuencia, entre otras, fue que el problema impactó en el Consejo de Administración y el Sr. Randy Rademacher, entonces Presidente y Consejero-Delegado de Comair, dimitiría sólo unas semanas después, el 18 de enero de 2005.

¡La historia se repite ...! El fallo informático que afectó el pasado 7 de noviembre de 2015 al aeropuerto de París-Orly no ha tenido esas drásticas consecuencias, de momento; pero debería servir de aviso a navegantes para quienes están al frente de los aeropuertos parisinos.

Otras naciones, como EEUU, intentan dedicar sus mayores esfuerzos y recursos a proteger sectores esenciales e infraestructuras críticas nacionales; pero, desgraciadamente, los hechos muestran que no siempre lo consiguen.

Por último, piense en algunas soluciones que le ayuden a fortalecer su ciberprotección. La adopción de marcos de buenas prácticas  -como ISO27001-  pueden no ser la panacea; pero creemos que en alguna medida contribuyen. ¡Por esa razón, CCI abordó la tarea de proponer un modelo de referencia específico para el sector industrial (el marco para la construcción de un Sistema de Gestión de la Ciberseguridad Industrial, SGCI), cuya primera parte, como recordará, fue publicada en diciembre de 2014!

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

PD: Hoy cedemos el espacio de nuestro logotipo a un crespón negro, en recuerdo de nuestros amigos franceses. ¡Nuestras condolencias!

lunes, 9 de noviembre de 2015

Pressure, headhunting and weaknesses in new and old paradigms

Spain has been supporting a legislative and regulatory pressure much more weighted than that of the average country within the Organisation for Economic Co-operation and Development, as this latter already stated ten years ago on its report “Product Market Regulation in OECD Countries 1998-2003”, released on April, 1st, 2005. Nonetheless, such huge amount of different norms and regulations, that made Spain to be worth the alias of “country of one hundred thousand rules”, does not seem to be so intense when it comes to the particular Industrial Cybersecurity arena. In order to analyze such scenario CCI planned a few months ago to face the study which results have just been released, “Spain’s Industrial Cybersecurity Regulatory Map. 2015 edition”.

Anyway, to take a look at CCI’s last report does not impede us to give the usual attention to the topics that we deal with every week. Firstly, a reference  -today, pretty clear-  to Boards of Directors, as the one Spencer Stuart, the headhunting firm, brings to us with its article “Cybersecurity: The Board’s Role”.

Secondly, some musings by INCIBE  -the Spanish Institute is being really fruitful this weeks with regard the number of articles it is posting on its blog-  on one of the paradigms supporting the so called “Industrie 4.0”: i.e., cloud computing and its benefits for implementing Industrial Control Systems.

And, finally, a couple of references regarding vulnerabilities of, and threats on, those same ICS. (Some of them one-decada-old, but in full force).

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Presión, cazatalentos y debilidades en nuevos y viejos paradigmas

España lleva años soportando un grado de presión normativa y regulatoria superior a la media de los países que integran la Organización para la Cooperación y el Desarrollo Económico, tal y como recogía, hace ya una década, la propia OCDE en su informe “Product Market Regulation in OECD Countries 1998-2003”, publicado el 1 abril de 2005. Sin embargo, esa ingente cantidad de normas y regulaciones de diferente signo, que le ha valido a España el sobrenombre de “el país de las cien mil normas”, no parece quedar reflejada con la misma intensidad cuando del particular ámbito de la Ciberseguridad Industrial se trata. Con el fin de analizar este escenario, CCI se planteó hace meses abordar el estudio cuyos resultados publicaba, el pasado 5 de noviembre, bajo el título "Mapa Normativo de la Ciberseguridad Industrial en España. Edición 2015".

No obstante, detenernos en ese nuevo hito documental del Centro, no ha impedido que prestemos la habitual atención a los temas que nos ocupan semana tras semana. Para empezar, una referencia  -hoy, muy directa-  a los consejos de administración, como la que nos ofrece la firma de búsqueda de directivos Spencer Stuart, con su artículo “Cybersecurity: The Board’s Role” (Ciberseguridad: El Papel del Consejo [de Administración]).

A continuación, unas reflexiones de INCIBE  -el Instituto está siendo, también, muy fructífero últimamente, en lo que se refiere a las entradas de su “blog”-  sobre uno de los paradigmas que vienen a sustentar la Industria 4.0: la computación en la nube y su aprovechamiento desde el punto de vista de los sistemas de control industrial.

Y, finalmente, un par de referencias sobre vulnerabilidades de, y amenazas hacia, esos mismos sistemas de control industrial. ¡Algunas de ellas, datadas hace una década, mantienen la plena vigencia!

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!