Blog del CCI

lunes, 29 de junio de 2015

Scenarios, coffee producers and panaceas

Those of us who have been preaching this same message [that of BoDs’ role regarding technology] for many years, already have insisted greatly on the need for adopting a different approach with regard to engaging directors and officers in matter of technological security. We all agree  -I am convinced that so do you, too-  on the convenience of having our management aware of the subject matter. Nonetheless, there is little point that we continue saying it each other, among us. They [D&O] are the ones who actually have to hear it!

It is the subtle difference between spreading such messages in professional, technologist-oriented forums, and to spread them in other forums, specifically executive-targeted ones like Spain’s APD (Association for Management Progress), American NACD (National Association of Corporate Directors) or the like.

Think, for a second, how many directors of listed companies you meet when you attend your quarterly meeting at IRAM, INN, ICONTEC, INEN or AENOR. Recall and count how many of them attended the last event organized in your city by ISACA, or  -why not to say it-  by CCI. Efforts done in those fronts, no doubt, are valuable  -because of this we have done them and we will keep doing them-;  but it seems to me that they are not enough.

There is, however, a third way to bring the cyber message to Boards: regulation, as our “Newsletter” states today: “… regulators have also begun to raise expectations [on BoD's role] …”; but let us discuss another day about opportunities offered and lost by this way.

Relevance of cyber issues at both, corporate as well as plant floor level, is rising as attacks become more sophisticated. And as they become more pronounced in specific industries like energy, what we have the opportunity to see week after week.

During CCI’s last international congress, held in Buenos Aires (AR), we were witness of Colombia’s notable development in Industrial Cybersecurity. Mr. Cristian Isaza and Mr. Juan Victoria, delegates from the coffee producing country, gave a detailed overview of the regulatory (legislative) developments done in recent years in their country; and showed the best practices that, based on experience, the Colombian industrial sector has started to adopt.

Best practices that are not always the panacea!, as our colleague Enrique Martín suggests in CCI’s “Opinion” this week.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Escenarios, cafeteros y panaceas

Quienes llevamos muchos años predicando este mismo mensaje [el del papel de los consejos respecto de la tecnología] ya hemos insistido ampliamente en la necesidad de adoptar un enfoque distinto en lo que se refiere a la implicación de consejeros y directivos en materia de seguridad tecnológica. Todos coincidimos  -estoy convencido de que Ud., también-  en la conveniencia de tener a nuestros “mayores” concienciados sobre la materia. Sin embargo, de poco sirve que sigamos diciéndonoslo unos a otros, entre nosotros. ¡Quienes han de escucharlo son ellos!

Es la sutil diferencia que existe entre lanzar estos mensajes en foros profesionales, dirigidos a tecnólogos, o hacerlo en otros foros específicamente orientados a directivos como la Asociación española para el Progreso de la Dirección (APD), la Asociación Nacional estadounidense de Consejeros de Empresa (NACD), etc.

Piense, si no, cuántos consejeros de empresas cotizadas se encuentra Ud. cuando acude a su reunión trimestral en IRAM, INN, ICONTEC, INEN o AENOR. Haga memoria y recuente cuántos acudieron al último evento organizado en su ciudad por ISACA o  -por qué no decirlo-  el propio CCI. Los esfuerzos realizados desde estos frentes, sin duda, son loables  -por eso los hemos hecho y continuaremos haciéndolos-;  pero se me antoja que insuficientes.

Existe, no obstante, una tercera vía para hacer llegar el mensaje a los consejos: la regulación, como recoge el “Boletín” de hoy: “… los organismos reguladores han comenzado a elevar sus expectativas [sobre el papel de los consejos]”; pero de las oportunidades que ofrece esta vía, incluidas las oportunidades perdidas, hablaremos otro día.

El protagonismo corporativo  -y a nivel de planta-  de lo “ciber” va en aumento a medida que los ataques se vuelven más sofisticados. Y a medida que se hacen más insistentes en sectores específicos como el energético, lo que comprobamos semana tras semana.

En el pasado congreso de CCI, celebrado en Buenos Aires (AR), fuimos testigos del notable desarrollo que está teniendo la Ciberseguridad Industrial en Colombia. Los representantes del país cafetero, Cristian Isaza y Juan Victoria, ofrecieron un detallado repaso de los desarrollos a nivel regulatorio (legislativo) habidos en los últimos pocos años en su país; y mostraron las buenas prácticas que, a partir de la experiencia, ha comenzado a adoptar el sector industrial.

¡Unas buenas prácticas que no siempre son la panacea!, según nos recordaba esta semana nuestro amigo Enrique Martín, desde el blog “Opinión” de CCI.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

miércoles, 24 de junio de 2015

Finding the needle in the Water Tank (At least, you should look for it)


Water Management Cyber Security guide from the American Water Works Association is bypassing certain critical controls on ICS Networks.
 

Are we still in time in Spain to avoid this mishap?


I know I should be looking for the needle in the Haystack, but looking for that in a Waste Water Tank is not easy either. When you have to protect Drinking & Waste Water control networks plants you should be aligned with the best practices and be national regulation complaint.

Since February 2014, EEUU deployed its Cyber Security Framework from the National Institute of Standards and Technology (NIST). In that General Framework, detection of behavioral anomalies, is recognized in the third function defined by the Framework: Detect.

Under the function Detect (DE) is the category of Anomalies and events (AE), and under this, there is one sub management categories established:

· DE.AE-1: A baseline of network operations and expected data flows for users and system is established and managed.

(The need to detect anomalies in control networks is found in the following standards: COBIT 5 DSS03.01, ISA 62443-2-1:2009 4.4.3.3 and NIST SP 800-53 Rev. 4 AC-4, AC-3, CM-2, SI-4)

   











In the Water sector and in 2014 too, AWWA deployed another Cyber Security Framework (Process Control System Security Guidance for the Water Sector). In this guide there was a Cross Reference to NIST Cybersecurity Framework, and the only two categories not addressed in this cross reference were related with cyber security events detection!!!

   



Why is this? I don’t really know, but what I do know is that continuous security monitoring is the only way to detect any threat in your network and managed risk in a proper way.

Now we are going to have our water sector regulation in Spain but … Are we going to forget about anomalies detection in our permanent security measures too?

If so, we will never find the needle (or the virus) in our water tanks.

Author:
Enrique Martín García (Telvent Global Services) 

Encontrar la aguja en el depósito de agua (Al menos deberíamos buscarla)




La guía de gestión de la Ciberseguridad en el sector del Agua de la American Water Works Association (AWWA) olvida controles críticos en sus redes de control.

¿Estamos aún a tiempo en España para evitar esto?

Sé que debería buscar la aguja en el pajar, pero buscarla en un depósito de aguas residuales tampoco es fácil. Cuando tienes que proteger la red de control de una planta potabilizadora (ETAP) o de tratamiento de aguas residuales (EDAR), debes alinearte con las mejores prácticas y además cumplir con la regulación nacional.

Desde Febrero de 2014, EEUU ha desplegado su marco de referencia de Ciberseguridad, desarrollado por el National Institute of Standards and Technology (NIST). En este marco de referencia general, la detección de anomalías de comportamiento en las redes de control se refleja en la tercera función de dicho marco: Detección (DE).

Bajo esta función de detección (DE) se recoge la categoría de Eventos y anomalías y debajo de ella hay una sub categoría concreta:

· DE.AE-1: Existirá una línea base gestionada para las operaciones y flujos de datos esperados de los usuarios y de los dispositivos de la red.

(La necesidad de detectar anomalía en las redes de control también se contempla en los siguientes estándares: COBIT 5 DSS03.01, ISA 62443-2-1:2009 4.4.3.3 and NIST SP 800-53 Rev. 4 AC-4, AC-3, CM-2, SI-4)


En el sector del agua Norteamericano y en 2014 también, la AWWA desarrollo otra guía para proteger sus redes de control (Control System Security Guidance for the Water Sector). En esta guía se reflejaba una correspondencia entre las medidas del marco de referencia de Ciberseguridad del NIST y el suyo propio, y las únicas dos medidas no contempladas por dicha guía estaban relacionadas con la detección de eventos!!!




¿Por qué ha pasado esto? Yo no lo sé muy bien, pero lo que sí sé muy bien es que una monitorización continua de la ciberseguridad de nuestra red de control es el único mecanismo para poder detectar cualquier amenaza y poder gestionar correctamente el riesgo de la misma.

Ahora vamos a tener un reglamento sectorial para el agua en España pero, ¿También vamos a olvidar la detección de anomalías en nuestras medidas de seguridad permanentes?

Si lo hacemos, nunca encontraremos la aguja (o el virus) en nuestro depósito de agua.


Autor:
Enrique Martín García (Telvent Global Services)

Vender Ciberseguridad a la Dirección utilizando Técnicas de Hacking

lunes, 22 de junio de 2015

Industry 4 – Duqu 2 (and other confrontations)

As hackers in Intel Security’s “Harpooning Executives” (CCI’s Newsletter, no. 105) do it, we are also keeping our viewpoint on executives. Past week we did it in Santiago de Compostela (Spain) at APD (Spanish Management Progress Association)’s Summit which joined together more than one hundred executives. In our speech, entitled “Executive 4.0: owners and managers before the cyber challenge”, we urged business leaders to include in their agendas, and as part of their accountabilities, the fact of being in charge of both the definition of their organizations’ digital strategy  -the event’s main topic was the promise digitization is bringing to the industrial environment; i.e. the promise of what has been called “Industry 4.0”-,  and their cyber protection.

In parallel, mutual accusations among Governments and companies are kept: the latter  -specially those providing solutions & services-  are being urged, by public agencies, to improve their cybersecurity strategies; and, at the same time, Governments are being said, by the private sector, to be not very proactive.

As this war of words continues, utilities keep starring a variety of cyber incidents; a trend that, as we remember in today’s issue, started several decades ago. In the particular case of the water sector, we note the perils of negligent disclosure of information by those who have been part of any water facilities’ commissioning or maintenance. These are the same professionals that, as other sources state, are best candidates to become risk analysts in the industrial arena, given their knowledge of such sector.

Finally, and regarding historic references, we are seeing these days the revival of an old “friend”, Duqu, which in its second re-encarnation has challenged even Kaspersky Labs, affecting its own infrastructures.

And, by the way, let me give you one last advice: Do not misunderstand Industrial Internet and take advantage of all the potential that additive manufacturing, collaborative robotics, cyber physical systems, augmented reallity, cloud computing and big data analytics are offering you!

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Industria 4 – Duqu 2 (y otras confrontaciones)

Como los delincuentes en el informe de Intel Security, “Arponeando Ejecutivos” (Boletín de CCI, nº 105), nosotros también seguimos con el punto de mira puesto en los directivos. Esta semana tocó hacerlo en el encuentro que la Asociación para el Progreso de la Dirección (APD) organizó en Santiago de Compostela (España) y que congregó a más de un centenar de ejecutivos. En nuestra intervención, bajo el título “El directivo 4.0: empresarios y ejecutivos ante el ciber-reto”, defendimos la urgencia, por parte de quienes están al frente de las organizaciones industriales, de que incorporen en sus agendas y como parte de sus responsabilidades, estar encima tanto de la definición de la estrategia digital de dichas entidades  -el encuentro giró, principalmente, en torno a las posibilidades que ofrece la digitalización en el entorno industrial, en eso que se ha dado en llamar “Industria 4.0”-,  como de la ciberprotección de la referida estrategia.

Paralelamente, se mantiene el fuego cruzado entre administraciones y empresas: éstas  -en particular las proveedoras de soluciones y/o servicios-  siguen siendo instadas, por parte de las agencias públicas con responsabilidades en la materia, a incorporar mejores medidas de ciberprotección a sus soluciones; y, al mismo tiempo, los gobiernos son tildados de poco activos desde el sector empresarial.

Mientras esa guerra dialéctica continúa, el sector energético permanece como protagonista de todo tipo de ciberincidentes; una tendencia que, según recordamos hoy, comenzó hace varias décadas. En el caso particular del tratamiento de aguas, dentro del sector de las “utilities”, reparamos en el peligro de la divulgación irresponsable de información sobre instalaciones por parte de quienes han participado en su instalación y/o mantenimiento: los mismos profesionales de la ingeniería que, según otras fuentes, son quienes se muestran mejor posicionados para convertirse en analistas de riesgos en el ámbito industrial, dado su mayor conocimiento del sector.

Para finalizar, y hablando, como hemos hecho, de referencias históricas, vemos estos días el renacer de un viejo conocido, Duqu, que en su segunda encarnación llega a retar a una empresa como Kaspersky Lab, afectándola en su propia infraestructura.

Y, por cierto, permítame un último consejo: ¡no se equivoque Ud. con la Internet Industrial y aproveche todo el potencial que le ofrecen la fabricación aditiva, la robótica colaborativa, los sistemas ciberfísicos, la realidad aumentada, la computación en la nube o el análisis de “datos a lo grande”!

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

martes, 16 de junio de 2015

Chinese Spies are retiring: Spanish Waste & Drinking Water services don't need them

Industrial Control engineers do their work for them



Critical Infrastructure protection law is being deploying in Spain and new essential sectors will be covered this year. One of those sectors is Waste & Drinking Water Management and I have been studying that sector in depth for a while.


My first findings are amazing and I will talk about them in my next posts.

This week I will show you how things have changed with social networks in these last years. Nowadays, everyone seems to find for celebrity through social network presence: Facebook, Twitter, LinkedIn and any other platform that let you show to the entire world how cool you are. (By the way, you could think this is what I am doing, but this is just Cyber Work).

Making some Internet spidering on Waste water plants around Spain I have found some "funny" staff.

In one SCADA control engineer personal blog I have found his complete CV describing all the projects he has been working in through his career. This is not bad by itself but when deep description on SCADA plant systems is present, it is getting worse....


Information you can find there is:



· Plant Name, location and FAT date

· Automation elements description:

· SCADA application redundant systems (Schneider Electric Monitor Pro)

· 3 Telemecanique Unity devices (MODICOM PLCs)

· Other PLC to control engines

· Ethernet interconnection between them and a Modbus Gateway

· Interconnection Diagram

· Advantsys I/O modules




Sure you can find many plants worse documented than this!!!!

This kind of information can be also found in Public Water Companies tender documents, and that is not good as well.
Awareness is something we have to improve in the next months if we want to get a better Security Level in our critical infrastructure.

In the meantime, no Chinese spies required......

Author:
Enrique Martín García (Telvent Global Services)

Los espías chinos se retiran: El sector del Agua español no los necesita

Los ingenieros de control hacen su trabajo.




La Ley de Protección de infraestructuras críticas está en plena implantación en España y nuevos sectores se integran este año. Uno de estos sectores es el ciclo de gestión del Agua y después de algún tiempo de estudio sobre el mismo, he llegado una serie de descubrimientos interesantes que iré ampliando en posteriores notas. Esta semana os enseñaré como han cambiado las cosas en los últimos años con la aparición de las redes sociales.


Parece que hoy en día todo el mundo busca cierto reconocimiento y celebridad a través de su presencia en Facebook, Twitter, LinkedIn y cualquier otra plataforma que te permita mostrarle al mundo entero lo “guay” que eres. (Por cierto, se podría pensar lo mismo de mí, pero esto es sólo Cibertrabajo de evangelización). Haciendo un poco de investigación en Internet sobre la Plantas potabilizadoras de agua he encontrado información muy “divertida”. En el blog personal de un ingeniero de control he encontrado su Curriculum completo, junto con una descripción exhaustiva de los proyectos en los que ha participado. Aunque esto en principio no es malo, si aparece información detallada de los sistemas SCADA utilizados y otra información complementaria, la cosa se pone más peligrosa.


La información que se puede encontrar allí es:

· El nombre de la planta y su localización geográfica.

· La descripción de los elementos de automatismo desplegados :

· Sistemas SCADA redundados con marca y modelo (Schneider Electric Monitor Pro)

· 3 dispositivos Telemecanique Unity (MODICOM PLCs)

· Otros PLC para control de los motores

· La interconexión Ethernet entre ellos a través de un Gateway Modbus

· Diagramas de interconexión

· Uso de módulos I/O de Advantsys





Seguro que hay alguna planta peor documentada que esta!!!

Este mismo tipo de información también puede ser encontrada en pliegos técnicos públicos de licitación para empresas de este sector, y esto tampoco es bueno.

La concienciación es algo que tenemos que mejorar en los siguientes meses si queremos conseguir un nivel de Ciberseguridad mejor en nuestras infraestructuras críticas. 
 
Mientras tanto, no hacen falta espías Chinos.

Autor:
Enrique Martín García (Telvent Global Services)

lunes, 15 de junio de 2015

Sport fishing, doses and the IoT (Internet of Towns)

Speak of the devil … You will remember that last week we featured the relevance ‘ransomware’, in general, and its most stellar and recent instantiation, 'Crypt0L0cker', in particular, were acquiring. It should not have to like Mr. L0cker, given that he has sent me a letter  -you know, the famous e-mail from Correos-  just a few days ago. The thing is that the anecdote served me to start my talk at the ‘Cyber Security Forum for European Utilities’ held in Amsterdam last Thursday and Friday.

Several were the topics discussed along both days, all of them of the most interest: smart grid protection (as a meeting centered in utilities deserved); outsourcing; IT and OT convergence; some real-life organizations and nations “cyber case” studies; negligence by design, the weakest link (the human factor) and other vulnerabilities; etc. Such a weak link shows itself even weaker when it comes to some specific collectives: executives’ is a textbook example, as we tried to make clear in Amsterdam. Today we insist on it again, backed by Intel Security’s data, who states that, given the growing number of spear phishing actions, executives are vulnerable before cyber attacks. Let me say “and before any other cyber incident”!

Given the tenure of the vulnerabilities and threats we are discovering everyday, it is conceivable that the mentioned sport modality will be still part of the menaces we will see in the next two to three years. (“Even more”, I would say!). Gartner bring us a forecast of such threats and recommends us a dose of resilience to mitigate them.

Speaking of dosages, today we focus on the relevance that medical equipment is getting as target, and source, of cyber sabotages. The same that you could suffer in case you locate your residence in the IoT (‘Internet of Towns’).

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Pesca deportiva, dosis y la Internet de las Casas

Hablando del rey de Roma … Recordará que el pasado lunes destacábamos el protagonismo que está adquiriendo el ‘ransomware’, en general, y su más estelar y reciente materialización, ‘Crypt0L0cker’, en particular. Esto no ha debido resultar del agrado del Sr. L0cker, quien me ha enviado una misiva  -ya sabe, el famoso mensaje electrónico de Correos-  hace tan sólo unos días. El caso es que la anécdota me sirvió para arrancar mi intervención en el foro ‘Cyber Security for European Utilities’ celebrado en Ámsterdam esta semana.

Fueron varios los temas tratados a lo largo de las dos jornadas del foro, todos ellos del máximo interés: la protección de la ‘smart grid’ (como correspondía a un encuentro centrado en las ‘utilities’); la externalización de servicios, tanto de TI, como de TO; la convergencia de una y otra; el estudio de algunos cibercasos reales de organizaciones y/o países; la negligencia en el diseño, el eslabón más débil (el factor humano) y otras vulnerabilidades; etc. Dicho débil eslabón se muestra aún más endeble cuando nos referimos a determinados colectivos: el de los directivos es un ejemplo de libro, como tratamos de dejar patente en Ámsterdam. Hoy, además, lo hacemos nuevamente desde aquí, con el aval de los datos proporcionados por Intel Security quien, a la vista del creciente número de acciones de ‘phesca’ dirigida (‘spear phishing’), afirma que los ejecutivos se muestran, mayoritariamente, vulnerables ante ciberataques. ¡Cabría añadir, “y ante cualquier otro incidente de naturaleza ‘ciber’”!

Dado el tiempo de maduración de que gozan las vulnerabilidades y amenazas que vamos conociendo, cabe pensar que la señalada modalidad deportiva aún formará parte de las amenazas que veremos, al menos, en los próximos dos o tres años. (Diríase, incluso, que alguno más). Gartner nos ofrece un adelanto de aquellas. Y con la misma osadía nos recomienda unas dosis de ciberresiliencia para mitigarlas.

Hablando de dosis, hoy centramos la atención en la relevancia que están adquiriendo los equipamientos médicos como objetivo, y fuente, de los cibersabotajes. Los mismos que podrá sufrir Ud. al intentar residir en la ‘Internet de las Casas’.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 8 de junio de 2015

Victims, kidnappings & wind turbines

Seven days ago, I ended this note with a reference to our 4th Congress. Today what is already over is said event that, it seems, has been to the liking of attendees, speakers and sponsors. Their satisfaction fuels ours.

Still victims of jet lag, we are resuming normal activity, stressing the need to reach organizations, and those who guide, direct and control them, with the timely messages about their role and necessary engagement in [cyber] protection. Recipes as the ones we are bringing you today will contribute to your educational role.

But as directors and officers are victims of ignorance, other employees are of carelessness, negligence or scam. This latter supports the fashion offender: "ransomware", that extorts companies and individuals, without distinction, in a sort of crime democratization. A democratization that also reaches the offender’s side through the provision of increasingly simple tools that really popularized the ability to commit crimes. They almost invite to it, it seems! Especially, considering the success that seem to be giving information kidnappings. Although these are not the only profitable "jobs": fruitful activity of card data theft  -remember TARGET-  remains in top form, currently focused on the hospitality sector.

In the strictly industrial, certain wind turbines have been the latest computerized devices indentified vulnerable.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Víctimas, secuestros y aerogeneradores

Hace siete días, clausurábamos esta nota con una referencia a nuestro IV Congreso. Hoy lo que ya está clausurado es el citado evento que, según parece, ha resultado del agrado de asistentes, ponentes y patrocinadores. La satisfacción de todos ellos alimenta la nuestra.

Aún víctimas del “jet lag”, retomamos la actividad habitual, insistiendo en la necesidad de hacer llegar a las organizaciones y a quienes las orientan, dirigen y controlan los mensajes oportunos sobre su papel y necesaria implicación en materia de [ciber-]protección. Recetas como las que le traemos hoy contribuirán a esa labor pedagógica que a Ud. corresponde.

Pero si consejeros y directivos son víctimas del desconocimiento, no menos lo son el resto de empleados, del descuido, la negligencia o el engaño. En ese último se apoya el delincuente de moda: el “ransomware”, que extorsiona empresas e individuos, sin distinción, en una suerte de democratización del delito. Una democratización que alcanza, también, al lado del delincuente mediante la puesta a disposición de herramientas cada vez más sencillas que, realmente, popularizan la capacidad de delinquir. ¡Casi invitan a ello, se diría! Máxime considerando el buen resultado que parecen estar dando los secuestros de información. Aunque éstos no son los únicos “trabajos” rentables: la fructífera actividad del robo de datos de tarjetas  -recuerde TARGET-  se mantiene en plena forma, centrada actualmente en el sector hotelero.

En el ámbito estrictamente industrial, ciertos aerogeneradores han sido los últimos aparatos informatizados en salir a la palestra de las vulnerabilidades.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 1 de junio de 2015

Percentages, time limits and cyber enablers

Increasingly, at least in some geographies  -it would be nice to be able to say that yours and mine are among them-  cybersecurity is entering the Board of Directors’ agenda. A recent study by NYSE raised to 80 the percentage of organizations that have discussed this problem at BoD-level at least once. 10% of them after suffering an incident! With such cyber incidents grabbing more and more headlines  -some people already consider 2015 as the year of cybercrime-  it is reasonable to think that that figure will increase. Heather Pemberton Levy, former Vice President at Gartner, points in this direction when she states that “by 2020, [cyber]security will no longer be a technology problem, it will be a business one”. Therefore, my dear directors, you still have a time limit of five years, at most, to catch up on Cybersecurity! Naturally, always that reality did not accelerate your plans, as we recommend. (Remember the 10% I have just quoted).

Within the Industry sector in particular, motivations for cyberattacks are many, their effects vary (and are dangerous) and enablers are, even, larger: the vast amount of data that the Internet provides gives a level of knowledge on individuals and their companies that nobody thought of before (specially, the affected parties); the number of industrial control devices connected to the Internet or to corporate networks has tripled in the last year; and, finally, attack vectors, old and new, are still out there (and have been for a while), despite vendors’ efforts to face them.

"What more could you ask for?", someone might say.

And what better topic for discussion than this!, we say. A discussion that CCI will be promoting among the membership of "The CCI Ecosystem" present at the “4th International Congress on Industrial Cybersecurity” to be held this week in Buenos Aires (Argentina).

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Porcentajes, plazos y facilidades

Cada vez más, al menos en algunas geografías  -sería bueno poder afirmar que la suya y la mía están entre ellas-,  la ciberseguridad comienza a formar parte del orden del día de las reuniones de los consejos de administración de las empresas. Un reciente estudio de la Bolsa de Nueva York eleva hasta 80 el porcentaje de consejos que han tratado, alguna vez, esta problemática. ¡Un 10% de ellos tras sufrir algún incidente! Con dichos ciberincidentes acaparando cada vez más portadas  -hay quien ya considera 2015 el año del ciberdelito-  es razonable pensar que esa cifra irá en aumento. A ello parece apuntar Heather Pemberton Levy, antigua Vicepresidente de Gartner, cuando declara que “para 2020, la [ciber]seguridad será un problema del negocio (no de los técnicos)”. ¡Por tanto, señores consejeros, disponen Uds. de cinco años, como mucho, para ponerse al día! Eso, si las circunstancias no les obligan a ponerse antes, lo que les recomendamos. (Recuerden ese 10% que acabamos de citar).

En el particular mundo de la Industria, las motivaciones para los ciberataques son muchas, los efectos variados (y peligrosos), y las facilidades, cada vez, mayores: la enorme cantidad de datos que ofrece Internet permite alcanzar un conocimiento sobre individuos y empresas que nadie imaginaría (particularmente, los interesados); el número de dispositivos de control industrial conectados a redes corporativas (o, incluso, a Internet) se ha triplicado, sólo en el último año; y los vectores de ataque, viejos y nuevos, están ahí, aunque algunos fabricantes van tratando de hacerles frente poco a poco.

"¡Qué más se puede pedir [dirán algunos]!"

Y qué mejores temas [decimos nosotros] para debatir con todos los amigos de “El Ecosistema CCI” reunidos en el “IV Congreso Internacional de Ciberseguridad Industrial” que CCI celebrará a partir de mañana en Buenos Aires (Argentina).

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!