Blog del CCI

viernes, 27 de febrero de 2015

¿Cómo una herramienta de Evaluación de Madurez puede ayudar a una Organización Industrial?


El 3 de marzo hemos publicado la herramienta de evaluación “Madurez del proceso de Ciberseguridad en organizaciones industriales” en la que han participado expertos y miembros del ecosistema del CCI.


Durante la construcción de esta herramienta, una idea que nos ha perseguido desde el principio es intentar adaptar la herramienta a organizaciones industriales con diferente grado de automatización industrial, o con diferente nivel de impacto, por ello, lo primero que hemos elaborado es una tabla básica donde una organización puede identificar su nivel de exposición. En la siguiente gráfica puedes encontrar esta tabla orientativa:


Creemos que no todas las organizaciones deberían asumir las mismas capacidades en ciberseguridad y el nivel de exposición es un buen parámetro para determinar si una organización debería cubrir mas o menos capacidades.


Pues bien, en la herramienta que publicaremos se indicaran los objetivos de capacidad a cubrir en base al nivel de exposición, de esta manera una organización con exposición baja, requiere de menos objetivos a cubrir que una con exposición alta.

La herramienta tiene en consideración 4 niveles de madurez, estos niveles permiten identificar las capacidades que deberíamos de priorizar, puesto que los niveles inferiores, Inicial y gestionado son los que deberíamos tener cubiertos en primera instancia, siempre que no existan requisitos de negocio o regulatorios que nos indique que deben priorizarse otros objetivos.

También esta herramienta dispone de unas gráficas que, sin aportar información sensible, pueden servir para comparar el estado por áreas, niveles o actividades de otras organizaciones industriales, permitiendo que esta información sirva para disponer de más criterio para priorizar.

Respondiendo a la pregunta inicial, podemos decir que una herramienta de madurez permite a una organización identificar de forma muy rápida debilidades, pero sobre todo proporciona criterio para priorizar las acciones, en este caso, de ciberseguridad.

miércoles, 25 de febrero de 2015

Cumplimos 2 años y hemos logrado entre todos un gran ecosistema de la Ciberseguridad Industrial

El pasado 1 de marzo el Centro de Ciberseguridad Industrial, CCI, ha cumplido dos años de vida; habiéndose convertido, en este tiempo, en un ejemplo internacional de ecosistema consolidado en torno a una disciplina como la Ciberseguridad Industrial, en el que todo el sector se encuentra, hoy, representado.

Durante estos dos años habéis sido cientos los profesionales que -procedentes de países con culturas muy diversas y con roles igualmente variados dentro de vuestras organizaciones- habéis conducido al Centro hasta lo que hoy representa en el panorama internacional. Muchas gracias por trasladarnos vuestras necesidades; hemos tratado de prestarles la mayor atención y hemos intentado en todo momento servir de catalizador para todos cuantos conformáis el eje fundamental del Centro que denominamos “El Ecosistema CCI”.

Como sin duda recordaréis, en 2013, publicábamos un mapa de ruta de la Ciberseguridad Industrial en España. Hoy podemos afirmar con orgullo que, transcurridos dos años, se han ido cumpliendo los objetivos fijados en cada una de las seis (6) áreas de actuación que recogía el documento. Así lo atestigua la gráfica que os ofrecemos a continuación:


Como parte de esta celebración, hemos querido conocer lo que han representado CCI y su Ecosistema para algunos de vosotros, miembros y coordinadores que habéis participado activamente en las iniciativas del Centro. Ésta es una muestra de vuestras consideraciones:

“Lo primero de todo es reconocer la gran labor que desde el CCI se ha realizado hasta la fecha, para conseguir transmitir que es la ciberseguridad y el impacto que puede suponer en la industria en cuanto al proceso productivo y por tanto en la viabilidad del negocio. !!!! Muy buen trabajo !!!.

Lo segundo, es hacer participes a todos los actores en un mismo foro, desde proveedores , ingenierias, servicios hasta usuarios finales, cada uno aportando su conocimiento, experiencia y necesidades.

La publicacion de una prolifica documentación, que ha servido de herramienta para acompañar de ideas y procedimientos, y así ayudar a la identificacion de riesgos, estudios y soluciones en el ambito de la ciberseguridad, ha supuesto un gran avance.

Pero después de este gran esfuerzo, hay que consolidarlo para seguir avanzando y algo que debemos potenciar es implicar mas al usuario industrial final, asi como ampliar los tipos de industria (alimentaria, farmaceutica,..) para buscar soluciones mas acordes por su tamaño y necesidades, que les permita afrontar este nuevo reto, asegurando la seguridad y calidad, tanto de sus instalaciones como del producto final, y por supuesto del negocio. “ Antonio Rodríguez, AIR LIQUIDE

Dos años, qúe rápido pasa el tiempo! Como sabéis, Arkossa es una empresa muy joven también, lo que nos ha permitido crecer juntos y compartir la dureza de los comienzos con vosotros, pero también las alegrías del trabajo bien hecho. Espero que podamos seguir realizando el camino juntos durante mucho tiempo ya que el apoyo del CCI, tanto como organización, así como el de todos sus integrantes, lo hacen más llevadero. Un verdadero placer el poder aportar nuestro granito de arena a un organismo que ha sabido situarse a la vanguardia de la ciberseguridad industrial, no sólo en España, sino siendo su estandarte en otro muchos paises. Enhorabuena a todos!" Luis Otero, ARKOSSA.


"El mundo de la ciber-seguridad es cambiante y mucho más dinámico de lo que a todos nos gustaría. Disponer de ayuda y método para hacer fotos fijas que nos permitan analizar la cambiante realidad y adaptarla al de nuestra compañía no era tarea fácil y el CCI-ES nos ha ayudado a hacerlo de forma sosegada, tranquila y sobre todo con los pies en la tierra.

Los encuentros y congresos del CCI han sido puntos de encuentro donde compartir conocimiento y las herramientas que han proporcionado nos han facilitado nuevas perspectivas sobre el problema.
En definitiva el CCI ha hecho un gran trabajo a base de tesón y sabiduría. Como un buen médico nos ha dado buenos consejos, necesarios para mejorar nuestra salud en la ciber-seguridad." Rafael Picazo, CLH.


"Me parece admirable el avance que ha tenido el CCI en sólo dos años de funcionamiento, es una muestra indiscutible del compromiso de todos aquellos que conforman el ecosistema, mi calificación excelente y por encima. En cuanto a las actividades que realizan, hemos tenido la fortuna de participar en dos de los congresos y mi experiencia fue muy constructiva, donde se identifica qué factores son y serán importantes en la ciberseguridad, lo que permite que proveedores, facilitadores, gobierno y organizaciones estemos preparados y enfocados en los retos de corto, mediano y largo plazo." Paulo Orozco, ECOPETROL.

“Durante estos dos años de singladura, el CCI ha puesto en marcha una plataforma eficaz para proteger los procesos industriales. Las actividades llevadas a cabo, han supuesto la creación de una sólida comunidad de expertos y la puesta a su disposición de un relevante acervo documental”. Joaquín Álvarez, ENDESA.

"El CCI está siendo un excelente trampolín para todas las compañías relacionadas con la ciberseguridad industrial: para consumidoras porque están entendiendo el estado del arte en la protección de las infraestructuras y los pasos que se deben seguir y las productoras para ofrecer servicios mejores y más cercanos a las necesidades reales. El CCI tiene por delante el reto de mantener el ecosistema y hacerlo más colaborativo. ¡Animo!." María Pilar Torres, EVERIS

"El CCI ha conseguido muchos logros en sus escasos 2 años de vida. Algo mucho más complicado cuando sabemos que cuentan con unos medios limitados. Pero creo saber cual es su secreto: la calidad humana, el nivel de compromiso y la profesionalidad de las personas que dirigen el Centro.

En este corto espacio de tiempo han conseguido crear una red de colaboración con muchos países del mundo. Han elevado el nivel de concienciación de las organizaciones industriales y en consecuencia elevar el nivel de protección frente a CiberAmenazas de las mismas. Han acercado el conocimiento de otros países que hasta ahora nos llevaban años de ventaja." Jose Luis Laguna, FORTINET

“Parece mentira, pero ya han pasado dos años, desde que en un congreso en Madrid me encontré a José Valiente y me explicó que se había montado esta asociación sin ánimo de lucro y con el fin de que los diferentes actores nos reuniéramos y formáramos un colectivo que se ocupase de estos temas, y que ya se notaba a faltar en este país.

Las primeras reuniones fueron muy constructivas, y poco a poco se fueron montando los grupos de conocimiento, agrupándose las personas de forma natural en el entorno que más les interesaba y en un ambiente muy profesional y a la vez cordial, lo cual facilitaba la compartición de información y el networking entre los asistentes. Sin darnos cuenta, entre que haces un curso de ciberserguridad industrial, vas a las reuniones que tu día a día te permite, y colaboras en alguna encuesta que nos permite tener una visión pragmática a todos los miembros, una mañana en una sala del hotel avenida de América, el amigo Samuel hace un resumen de los objetivos y te encuentras con que se ha implantado en Iberoamérica, en los países árabes, colabora con los estamentos oficiales de FCSE, presenta informes, etc. De forma consolidada y en un tiempo record.

Después de esta presentación, tanto en mi casa, como con amigos miembros del CCI, comentamos el buen trabajo realizado, de forma silenciosa y sólida. ¡Buen trabajo Nacho, Samuel, Jose y resto del equipo!” Pablo Barreiro, Gas Natural Fenosa.

“Considero que las filosofía general del CCI y las actividades que se realizan cubren un amplio espectro siempre dentro del marco de la Ciberseguridad Industrial. Tanto desde una perspectiva más general y de posicionamiento como un interés más técnico y concreto, GMV ha encontrado siempre un canal para intercambiar información con el ecosistema creado y para mejorar su imagen como prestador de servicios de Ciberseguridad Industrial. Animo al CCI a continuar en esa línea y a asumir los nuevos retos que sin lugar a dudas están por llegar en el terreno en el que nos movemos”. Javier Zubieta, GMV.

"¿Dos años ya? Quiero confesar que cuando supe de esta apuesta por la ciberseguridad en entornos industriales tenía bastantes interrogantes e incógnitas, pero a medida que la actividad de CCI se ha ido consolidando cualquier duda se ha desvanecido. La iniciativa, la ilusión, y esa apuesta han ido dejando un rastro muy prometedor, con materiales muy interesantes, grupos de trabajo efectivos, referencias europeas e internacionales, que han ayudado a conocer más, no solo a la capacidad de la marca España en este ámbito y su posicionamiento, sino a que este mundo que tiene un gran recorrido por delante necesita de más colaboración en todos los agentes y stakeholders, y que el rol de CCI puede ser muy importante en todo el proceso. Por eso, y a pesar de los cambios recientes y la renovación de su cúpula directiva, les animo a que sigan trabajando por mantener el nivel alcanzado y si pueden superarlo estaré encantado de felicitarles de nuevo”. Marcos Gómez, INCIBE

“Cuando se puso en marcha el Centro hace casi dos años, leí un artículo donde se hablaba de la misión del Centro y describía que dicha misión era; “Impulsar y Contribuir en la mejora de la Ciberseguridad Industrial”… en mi opinión, todo el esfuerzo que se ha realizado en los procesos y las prácticas diseñadas para gestionar el riesgo del ciberespacio ha sido una de las tantas tereas realizadas por el CCI que mejor identifica el esfuerzo en mejorar cada día y hacernos mejorar a todos sobre la importancia de la Ciberseguridad Industrial a día de hoy.

También quiero calificar como excelente el trabajo realizado sobre la documentación creada, y en esas esplendidas acciones para conseguir juntar a los diferentes actores como organismos públicos y privados, y a todos aquellos profesionales con prácticas directas o indirectas sobre la Ciberseguridad Industrial.

Por último felicitar al CCI por este segundo aniversario y espero que podamos ver infinidad de aniversarios más”. Carlos Asún, Initec Plantas Industriales.

Creo que el CCI ha sido una de las iniciativas de intercambio de conocimiento con más éxito y mejor gestionadas de los últimos años a nivel nacional, europeo y latinoamericano. El CCI ha ayudado enormemente a dinamizar el mercado español y a focalizar, dar relevancia y entidad a la ciberseguridad industrial en la industria privada española, trascendiendo las iniciativas asociadas a la protección de infraestructuras críticas. Elyoenai Egozcue, S21Sec

“Durante este tiempo el CCI ha tenido un papel dinamizador en el ámbito de la Ciberseguridad industrial, haciendo posible la relación entre empresas con diferentes perfiles, visiones e intereses. También queremos destacar el esfuerzo realizado por aportar una participación de carácter internacional en los eventos organizados, lo que ayuda al conjunto del ecosistema al aportar mayor riqueza y concienciación”. David Pozo, SIEMENS.

"Muchas ideas pueden ser buenas, muchas diferentes, pero no todas llegan a implementarse. Cuando alguien intenta impulsar una Organización, no solo depende de quiénes tengan la idea sino que dependen de todo el ecosistema en el cual esta inmerso. En el CCI-Es se ha logrado un equilibrio pocas veces visto; la voluntad de sus fundadores y de todos los que lo apoyamos por compartir información, conocimiento y sobre todo tiempo ameno, contra el desarrollo y trabajo con mucho compromiso y buscando excelentes resultados.

No solo me pone feliz el ser parte de este grupo haciendo algo que no existía antes, recorriendo un camino diferente y logrando cumplir muchos objetivos en sólo 2 años, sino que además me pone feliz conocer a tantos profesionales con ópticas tan distintas como la de los vendors, los implementadores, los investigadores, los consultores o la de los mismos clientes, tratando de encontrar soluciones, buscando aprender para mejorar de forma conjunta.

El mundo de la CiberSeguridad Industrial vive un momento muy particular, sobre ello hemos conversado e intercambiado opiniones en cada uno de nuestros congresos, pero en mi humilde opinión esto no es por simples coincidencias, sino por el trabajo de muchas personas que venían haciendolo por si solos, y un día decidieron unirse en un camino para optimizar los resultados." Claudio Caracciolo, Coordinador del CCI en Argentina, Eleven Paths.

"En mi opinión, el ecosistema y las actividades para promover la seguridad cibernética industrial de CCI son de importancia fundamental para el aumento de la cultura mundial sobre los retos relacionados con la ciberseguridad dentro de la infraestructura crítica, cuyos equipos de automatización todavía tienen muy poco acceso a normas de ciberseguridad industrial y las mejores prácticas, y por esta razón son todavía bastante frágil en términos de seguridad desde hace algunos años en términos de tecnología moderna.

En Brasil promover la CCI con nuestros clientes ya través de grandes en eventos como la CLASE 2014, que reunió a más de 200 empresas de las industrias de seguridad cibernética y contó con una conferencia a cargo de Samuel Linares". Marcelo Branquinho, Coordinador del CCI en Brasil, TI Safe.

"Aunque en nuestra región existían algunos esfuerzos enfocados a la Ciberseguridad de entornos industriales, estos no se encontraban apuntando a un mismo “norte” que le permitiera a las naciones y a las organizaciones crecer y desarrollarse de una manera adecuada en este aspecto. Dos años ya?, pareciera que hubiera sido ayer cuando llega el CCI a prestar su apoyo y expertis no solo a diferentes gobiernos, sino también a diferentes organizaciones de talla mundial y entidades del sector privado. La premisa?…. Seleccionar el mejor y más alto conocimiento, así mismo multiplicarlo, apoyar, y guiar a los diferentes actores participantes de este hermoso ecosistema de ciberseguridad creado por el CCI que permitió, permite y permitirá a nuestras naciones y a nuestras organizaciones; aprender masivamente de este gran universo de ciberseguridad de las infraestructuras críticas.

CCI, gracias por ese gran aporte para el crecimiento de la ciberseguridad de las infraestructuras criticas de nuestras naciones. Y felicidades por estos dos primeros años, que ojalá sean decadas y decadas de existencia." Leonardo Huertas, Coordinador del CCI en Colombia, Eleven Path.

"En el panorama de la Ciberseguridad industrial era necesario un catalizador para provocar reacciones que llevaran a todos los actores de este sector a tomar acciones concretas en pos de lograr el ecosistema que actualmente empezamos a disfrutar en España gracias a la importante iniciativa del CCI. Me siento particularmente orgulloso de que esta iniciativa se presentara en nuestra casa hace ya dos años, y espero que siga creciendo e impulsando las buenas prácticas de seguridad en el entorno industrial durante muchos más." Jesús Mérida, Técnicas Reunidas.

"Aunque todos los que llevamos siguiendo este proyecto desde su inicio y colaborando con él en algún momento, teníamos claro que era una gran idea y que venía a cubrir un gran vacío que se presentaba en el sector de seguridad industrial, creo que nadie imaginaba que en tan poco tiempo se haya podido alcanzar este nivel de integración y que este foro de intercambio de información funcione de una manera tan buena como lo está haciendo.

Os animo a seguir trabajando y a seguir cumpliendo retos en los próximos años, con las ganas y la dedicación con la que habéis trabajado hasta ahora. Seguro que el sector os lo agradecerá.” Juan Bautista López, TECNOCOM.

"El CCI se ha posicionado como el referente de la seguridad industrial de habla hispana, creando contenidos de calidad y dinamizando el ecosistema mediante el intercambio de ideas." Pedro Pablo Pérez, TELEFÓNICA.