Blog del CCI

lunes, 27 de julio de 2015

Jump on the bandwagon, POS & sunrises

I know that I have already said (written) it; but it does not make it less true: “for those of us who have been insisting on the idea”, it is now a satisfaction to see how more and more people repeat that accountability on cyber security is a BoD’s (directors’) business. Today we highlight the role that a series of relevant actors in the corporate community are playing regarding this critical topic; I mean the World Economic Forum (WEF), the US Security and Exchange Commission (SEC), the New York Stock Exchange (NYSE) and the National Association of Corporate Directors (NACD). Unquestionable examples!

But that is not the only trend that is growing. Cyber attacks to Industrial Control Systems are rising, too; reaching one third of the total number of cyber attacks occurred last year. Fortunately, tools to mitigate them are growing, too; both, in number and in quality.


Outside the strict industrial sector, Point-of-Sale (POS) terminals, and other retail’s pain points, caught our attention, given that they are in the origin of almost half the security breaches seen in 2014.

But not all is bad. As some SMBs suffer this pain, others  -cyber security startups-  enjoy an enviable dawn.

Enjoy you, too, this summer. And, as always, enjoy reading! I will be back to you, again, in September; but this “Newsletter” will keep reaching you every Monday. So, do not forget to subscribe here!

Subirse al carro, TPVs y amaneceres

Ya sé que lo he dicho (escrito) con anterioridad; pero no por ello es menos cierto: “para los que llevamos años dedicados a insistir en la idea”, es una satisfacción comprobar cómo, cada vez, más gente repite que son los consejos de administración (los consejeros) quienes han de responsabilizarse, en primer lugar (y en primera persona), de la ciberseguridad. Hoy reparamos en varias importantes entidades del mundo corporativo que, en los últimos tiempos, han venido haciéndolo: el Foro Económico Mundial (WEF), la Comisión del Mercado de Valores de los EEUU (SEC), la Bolsa de Valores de Nueva York (NYSE) y la Asociación Nacional estadounidense de Consejeros de Empresa (NACD). ¡Incuestionables ejemplos!

Pero esa tendencia no es la única que crece. Los ciberataques a Sistemas de Control Industrial van, también, en aumento; habiendo alcanzado un tercio del total [de todos los ciberataques], durante el último año. Afortunadamente, las herramientas para combatirlos también están aumentando en número y calidad.


Fuera del ámbito estrictamente industrial, las Terminales Punto de Venta (TPVs), y otros puntos flacos del comercio minorista, llaman nuestra atención, estando en el origen de casi la mitad de las brechas de seguridad, ocurridas en 2014.

Pero no todo es malo. Mientras unas PYMEs sufren esa lacra, otras (las ”startups“ tecnológicas de ciberseguridad) disfrutan de un envidiable amanecer.


Disfrute Ud., también, del inminente mes de agosto. ¡Y, como ya es tradición, de la lectura! Yo estaré, de nuevo, con Ud. en septiembre; pero el “Boletín” seguirá llegándole cada lunes. ¡Para ello no olvide suscribirse aquí!

lunes, 20 de julio de 2015

Goals, strategies and convergence

Every sane company’s main goal is [must be], before any other, enduring. Somebody could surprise: “Was not a company’s goal to win money?”. If it is your case, think how to win that money with a company that no longer exists. And, BTW, do not forget to explain it to your shareholders!

Threats to perdurability are many, varied and all of them object of interest since a corporate governance point of view. Let me give you an example: short-termism. Having your company in the hands of short-termed ambitious executives  -i.e., insane ones willing to put their own interests (make money rapidly) before those of the organization (I mean, those of the organization’s stakeholders)-  goes against any good governance practice. If you are in the gas industry  -not to say if you are in the accountancy one-  you will remember ENRON’s executives maneuvers.

The Board of Directors, accountable before ownership (shareholders) and other stakeholders, must take care of consciousness leading the corporate strategy, for instance, by setting appropriate management’s remuneration policies (a difficult task when the Board itself is greatly populated by executives or when the Chairman is one of them, which is more than usual nowadays).

With the same interest and intensity, the BoD must take care of having protection before cyber attacks, or any other “cyber” incident, as a key part of the company’s strategy. Growing technology dependency in every industry deepens such mandate to the Board. Recent cases like NYSE’s blackout or Dyre malware affecting Spain’s banking industry this summer, sadly and insistently support our thesis.

The industrial sector, increasingly techno-dependant thanks to developments like the Industrial Internet of Things (IIoT), is being witness of how convergence has to be part, inevitably, of any sound protection strategy. Examples of that are the rapprochement (now and, specially, in the near future) between Information Technology (IT) and Operational Technology (OT); or the announced merger between ICS-ISAC and Webster University’s Cyber Research Institute.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Metas, estrategias y convergencia

La principal meta de toda empresa en su sano juicio es [ha de ser], antes que cualquier otra, perdurar. Alguno se sorprenderá: “¿Pero, acaso, el objetivo no era ganar dinero?”. Si es Ud. de esta opinión, piense en cómo ganarlo con una empresa que ya no existe. ¡Ah, y no olvide explicárselo a sus accionistas!

Las amenazas a la perdurabilidad son múltiples, variadas y todas ellas objeto de interés desde una óptica de gobierno corporativo. Permítame un ejemplo: el cortoplacismo. Que su empresa esté en manos de ejecutivos movidos por una ambición cortoplacista, esto es, despojados de su sano juicio y dispuestos a anteponer sus intereses particulares (forrarse cuanto antes) a los de la organización (léase, a los de sus diferentes grupos de interés), va en contra de toda práctica de buen gobierno. Si Ud. pertenece al sector gasista  -y no digamos si trabaja en el de la auditoría de cuentas-  recordará las maniobras de los directivos de ENRON.

El consejo de administración, encargado de rendir cuentas ante la propiedad (los accionistas) y otros interesados, habrá de velar por que impere la sensatez en la estrategia de la empresa, por ejemplo, estableciendo una determinada política de remuneraciones del equipo directivo (tarea difícil cuando el propio consejo está ampliamente poblado por ejecutivos o cuando el presidente de aquél es uno de ellos, lo que es algo más que habitual en nuestros días).

Con igual interés e intensidad, el consejo de administración ha de velar por que la estrategia diseñada para la empresa tenga en cuenta la protección de aquella ante ciberataques u otros incidentes de naturaleza “ciber”. La creciente dependencia tecnológica, en todos los sectores productivos, acentúa ese mandato al consejo. Casos recientes como el del Mercado de Valores de Nueva York (EEUU) o la epidemia Dyre en el sector financiero español avalan, triste y tozudamente, nuestra tesis.

El sector industrial, crecientemente tecno-dependiente gracias a desarrollos como la Internet Industrial de las Cosas  -IIoT, por sus siglas en inglés-,  está viendo cómo la convergencia ha de formar parte, ineludiblemente, de toda estrategia de protección que se precie. Reflejo de la misma son el acercamiento (presente y, sobre todo, futuro) entre las Tecnologías de la Información (TI) y las Tecnologías de Operación (TO); o la anunciada fusión entre el ICS-ISAC y el Instituto de Investigación Cibernética de la Universidad Webster.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 13 de julio de 2015

We, You & They

They [directors] are convinced of their sound understanding of all that has to do with cyber risks. You [reader] think that if that were actually true, spear phishing would be less effective than it really is. We [the undersigner] know that risk awareness and risk savvy is not the same thing. Therefore, we insist on the opportunity cyber professionals [you] have to end our directors and executives’ [their] cyber illiteracy.

If our musing makes sense in general, much more insistence is deserved in the case of industrial organizations. In fact, sectors like manufacturing, energy or transportation, to name a few, play a critical role in building our Society, as pillars of our ordinary life’s wellbeing.

But D&O are not the only targets: peril spreads among all of us, distributed, shared. Samuel Linares, CCI’s co-founder, underlines this idea remembering the socio-technical nature of all things “cyber”. In the same line, our colleague Enrique Martín analyzes the relevance that perceptions have above tools  -i.e.; technology-  themselves when it comes to protecting crucial operational systems.

Systems that attract the bad guys, both in traditional targeted sectors  -i.e., energy-  and in new ones: blue oceans like healthcare (considered top target this year) or law practice, that we featured today.


Finally we bring the name of Hacking Team, a recent case in which cyber-snoopers were cyber-snooped. An interesting workbench for forensic analysts.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Nosotros, Vosotros y Ellos

Ellos [los consejeros] creen tener claro todo lo relativo a los posibles ciberriesgos a que están sujetas sus organizaciones. Usted [lector] piensa que si eso fuera realmente cierto la “phesca” con arpón (“spear phishing”) no daría tan buenos resultados. Nosotros [quien suscribe] sabemos que no es lo mismo tener conciencia del riesgo que conocimiento para poder evitarlo. Por eso, insistimos en la oportunidad que ante sí tienen Uds. [vosotros], profesionales de la ciberseguridad, para cambiar la situación de ciber-iletrados  -dicho sea respetuosamente-  en la que se encuentran muchos nuestros ejecutivos y consejeros [ellos].

Si nuestra reflexión tiene sentido con carácter general, en las organizaciones industriales cabe insistir en ello aún mucho más. No en vano, sectores como el de la fabricación, el energético o el del transporte, por citar algunos, juegan un papel crítico en la construcción de la Sociedad actual, como puntales de nuestro bienestar en la vida diaria.

Pero no sólo de directivos viven los malos: el peligro se encuentra distribuido (compartido) entre todos nosotros. Samuel Linares, cofundador de este Centro, subraya esta idea recordándonos la naturaleza SOCIO-técnica de lo “ciber”. Y en esa misma línea, nuestro ya habitual compañero de prosa, Enrique Martín repara en la relevancia de las percepciones  -de lo subjetivo-  por encima de las herramientas  -de la técnica-  a la hora de proteger los sistemas de operación críticos.

Unos sistemas a los que no hacen ascos los malintencionados, ya sea en el sector energético, ya en otros océanos azules a punto de ser explorados: en el de la sanidad ya hemos reparado; en el de los grandes bufetes de abogados, lo hacemos hoy.


También reparamos hoy en Hacking Team, un reciente caso de fisgones que han sido fisgados. Interesante banco de trabajo para los forenses informáticos.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 6 de julio de 2015

New Detection Technologies: Ouija 2.0 take care of Critical Infrastructure



On my last post in the CCI Blog, I described how American Water Works Association Cyber Security Framework didn’t addressed the detection Cyber Security events measures for these control systems.

Today I have seen a good Tweet (as always) from our colleague Joel Langill (@SCADAhacker) advising about a new Tripwire study on Critical Infrastructure. In their study they stated than “86% energy security professionals believe they can detect a breach on critical systems in less than 1 week”, and suddenly I remembered the last CCI report on Industrial Cyber Security for Spain in 2015. According to that report, these were the Cyber Security solutions deployed on those Networks:



As you can see, SIEM, event correlation, IDS and IPS technologies are not very popular on such organizations, so questions are:

· Who has responded in the Tripwire survey? (Surely not Spanish Industrial companies)

· If you are not monitoring cyber security events, how can you detect them?

· Why Duqu 2.0 has been hitting?

The only rational response to this astonishing detection rate of 86% is ……. Ouija !!!! (Of course, version 2.0 with snmp and syslog support)

Author:
Enrique Martín García (Telvent Global Services)

Nuevas tecnologías de detección: Ouija 2.0 como protección de infraestructuras críticas


En mi último post en el Blog del CCI, describía como el marco de Ciberseguridad desarrollado por la American Water Works Association no contemplaba las medidas de detección de eventos de Ciberseguridad en esas redes de control.

Hoy he visto un Tweet muy bueno (como siempre) de nuestro colega Joel Langill (@SCADAhacker) en el que referenciaba un estudio de Tripwire sobre infraestructuras críticas. En ese estudio se decía que “El 86% de los profesionales de seguridad del sector energía creían poder descubrir una brecha de seguridad en menos de una semana”. Inmediatamente recordé el último informe del CCI sobre el estado de la Ciberseguridad industrial 2015, en el que se describían las medidas adoptadas en las redes de estas organizaciones:




Como se puede observar, las soluciones tipo SIEM, IDS, IPS o de correlación de eventos no son muy populares en estos entornos. Entonces, las preguntas a responder son:

· ¿Quién ha contestado a la encuesta de Tripwire? (Seguramente no muchas compañías españolas)

· ¿Si no se monitorizan los eventos de Ciberseguridad, como pueden detectar las brechas en ese tiempo?

· ¿Por qué ha impactado Duqu 2.0?


La única respuesta racional para explicar este asombroso 86% de detección es …….Ouija!!!! (Por supuesto en versión 2.0 y con soporte de SNMP y Syslog)

Autor:
Enrique Martín García (Telvent Global Services)

Entrevista: Un músico, experto en Ciberseguridad Industrial

Entrevista publicada originalmente en la Revista Sistemas ACIS (Colombia) 

Samuel Linares, aclamado como uno de los especialistas iberoamericanos más importantes en este concepto que produce insomnio a más de un ingeniero de sistemas, aceptó sin protocolos la entrevista.  
En la hoja de vida de Samuel Linares ya no caben ni los títulos ni los reconocimientos recibidos en el mundo entero, como uno de los mejores en ciberseguridad industrial. No obstante, se declara músico antes que un profesional de las tecnologías de información y las comunicaciones.

“Realmente no soy un tecnólogo, sino un músico. Me gradué primero en mi carrera musical que en la tecnológica, y llevo tocando profesionalmente en grupos desde hace más de 25 años. Toco el piano, acordeón y congas en distintos grupos, principalmente de latin jazz y salsa”, cuenta sin ningún aspaviento.

Literalmente, se “lo rapan” en diferentes encuentros para que narre sus experiencias de más de 15 años trajinando con el concepto que pone en jaque  a más de un “encumbrado” ingeniero de sistemas. Y Linares como si nada. Su sencillez está muy lejos de aquellos que viven ensimismados con sus egos de bits y de bytes.

Su recorrido en las lides del mundo informático va desde la integración de sistemas hasta la gestión de proyectos multinacionales y multiculturales, como se lee en una de las reseñas con su nombre en la virtualidad. Director de Servicios de Ciberseguridad de Intermark Tecnologías; experto evaluador de la Comisión Europea; Experto CIIP (Protección de Infraestructuras Críticas de Información de ENISA (Agencia Europea para la Seguridad de la Información y de las Redes) y gerente del equipo de seguridad M45 del clúster TIC de Asturias.

Linares describe así sus mayores logros en la tecnología. “Creo que haber sido el principal promotor del concepto y término ´Ciberseguridad Industrial´ en nuestro idioma, es algo de lo que estoy muy orgulloso. Recuerdo hace unos años, cuando uno buscaba contenidos en español en cualquier buscador de internet, y no se mostraban resultados. Hoy, el término es aceptado internacionalmente e incluso es parte de las agendas de muchos países. Sin ir más lejos, en España están en proceso de desarrollo de un esquema nacional de ciberseguridad industrial, dice sin el más mínimo asomo de arrogancia.

Hoy es Senior Lead Technologist en Booz Allen Hamilton.

Y terminado el preámbulo, entramos en materia.

Revista SistemasDesde su experiencia, ¿la convergencia de la seguridad cambia el actual panorama de riesgos en las organizaciones? ¿De qué forma lo hace?
Samuel Linares: Absolutamente. Tenemos el privilegio (y el reto) de estar asistiendo a cambios muy importantes en el panorama de riesgos corporativos y personales que nos rodea. Las amenazas, cada vez más avanzadas y dirigidas; el perfil de exposición -creciente de forma exponencial-; y, sin duda,  la convergencia de la seguridad, hacen que la aproximación tradicional para la gestión del riesgo en la que la probabilidad era uno de los parámetros a tener en cuenta, no sea igual de efectiva que en el pasado. Hoy en día, necesitamos proteger (en mayúsculas) nuestras organizaciones,  nuestras naciones, y nosotros mismos, y no podemos considerar esta protección de forma aislada,   desde los ámbitos ciber o físico. Necesitamos una aproximación holística e integrada, no dependiente de la probabilidad. Es un hecho que las amenazas y debilidades existen y que en cualquier momento, una acción determinada de un atacante (o incluso una acción no deliberada de nuestra fuerza de trabajo) puede afectarnos, por lo que debemos buscar nuevas aproximaciones que cubran este nuevo entorno.

RS: La invasión de "las cosas", representada en dispositivos que transmiten y hablan sobre las personas, ¿qué retos adicionales trae para la seguridad y control en las organizaciones?
SL: Estas "cosas" en realidad no sólo hablan sobre las personas, sino también sobre el entorno, los procesos, otras máquinas o "cosas". En definitiva, más datos y más información que pueden ser explotados, positiva o negativamente, por un tercero. El perfil de exposición de las organizaciones y de las personas se multiplica día a día, y las capacidades analíticas disponibles también. El mayor reto al que estamos expuestos es el tratamiento integral de la privacidad, la ciberseguridad, la seguridad física, la medioambiental, la seguridad personal y de otros aspectos operacionales.

RS¿Se requieren nuevos estándares de seguridad y control para enfrentar el reto de la convergencia tecnológica?
SL: Muy probablemente. Homogeneizar y consensuar los principios básicos de este nuevo entorno sería muy beneficioso para el mercado, las organizaciones y los profesionales. Todos somos conscientes que desde el elemento más básico, si preguntamos a 10 organizaciones o profesionales, cuál es la  definición de ciberseguridad o de internet de las cosas, recibiremos 10 respuestas distintas. Si vamos más allá en busca de buenas prácticas o métodos, la diversidad no hace sino aumentar. Cuanto antes lleguemos a unos conceptos y aproximaciones comunes, lograremos madurar como industria. Sin embargo, no soy demasiado optimista en este sentido. Infortunadamente, es un hecho que los estándares y buenas prácticas siguen un ritmo bastante más lento que la actual evolución tecnológica y de las organizaciones.

RS: En el marco de la convergencia tecnológica, ¿cómo define el nuevo perfil del CISO (Chief Information Security Officer)? ¿Cuáles son sus características más relevantes?
SL: El perfil del CISO es indispensable en este nuevo entorno convergente, puesto que la protección de la información es uno de los pilares básicos. Sin embargo, mi percepción (totalmente personal) es que debe pasar a ser un perfil de soporte a uno nuevo, que a mí me gusta denominar CPO (Chief Protection Officer), encargado de la protección integral de la organización, tanto física como lógica (ciber) y que debe reportar de forma directa a (y formar parte de) la alta dirección de la organización. Es indispensable que el nuevo CISO, sin ser un experto en el resto de aspectos de la protección de la organización, sí tenga unos conocimientos básicos de los mismos, de forma que pueda entender, participar y proponer en esa aproximación de protección integral.

RS¿Cuál debe ser la postura del CISO (Chief Information Security Officer) frente a esta convergencia tecnológica? ¿Proactiva? ¿De qué forma?
SL: Sin lugar a dudas, proactiva, aunque sólo sea por instinto de supervivencia. En primer lugar, el CISO debe adquirir conocimiento y experiencia en los ámbitos que hasta ahora veía desde la distancia (seguridad física, seguridad laboral, etc.); y, de forma paralela, establecer vínculos con los responsables de esas prácticas en la organización, de forma que el intercambio de experiencias y conocimiento enriquezca las aproximaciones individuales y sirva para construir la integral.

RS: Desde su experiencia, ¿qué consejos prácticos le daría a las empresas que van a enfrentar el reto de la convergencia tecnológica?
SL: Curiosamente, mi consejo principal es que comiencen por las personas, no por la tecnología. Es indispensable establecer relaciones personales basadas en la confianza entre los distintos miembros del equipo que debemos involucrar, de forma que se construya un ecosistema interno robusto, en el que compartir conocimiento, experiencias y posteriormente información, sea una realidad. Después, de forma casi natural, deberemos definir y desarrollar (consensuadamente) los procesos necesarios. Y, finalmente, contar con las soluciones tecnológicas necesarias.

RS: ¿Considera la necesidad de generar una nueva cultura que rija las condiciones de seguridad en las organizaciones y los entornos sociales?
SL: Creo que esta es precisamente una de las conclusiones que emanan de mis anteriores respuestas. Sí, necesitamos generar una nueva cultura, de ahí que mis recomendaciones se centren inicialmente en las personas y no en la tecnología.
 
RS: ¿Qué papel debería jugar la Academia, en el marco de la convergencia tecnológica y la gestión de seguridad de información?
La Academia tiene una oportunidad muy interesante en este ámbito. Como estamos viendo, son necesarias nuevas aproximaciones, metodologías, modelos de gestión y gobierno, y sin duda nuevas tecnologías, que la industria de forma general no será capaz de desarrollar por sí misma. Las organizaciones suelen estar centradas en sus procesos productivos, y la Academia puede adoptar un papel decisivo en la investigación, desarrollo e innovación en este nuevo ámbito, proponiendo nuevos caminos a seguir.

RS: Los Estados en los diferentes países ¿cómo deben asumir los nuevos retos de la convergencia tecnológica, frente a la seguridad de la información?
SL: De forma inmediata, con la más alta prioridad. La economía, sociedad e infraestructuras de un Estado pueden verse altamente afectadas por un incidente en este nuevo entorno, por lo que deben impulsarse iniciativas públicas y privadas en todos los ámbitos, de cara a gestionar y mitigar en lo posible estos nuevos riesgos. Como en cualquier organización, una estrategia, soporte y gobierno claro, son necesarios desde los más altos estamentos. El establecimiento de unas líneas base de protección para determinadas organizaciones e infraestructuras críticas, viene desarrollado habitualmente por la publicación de la legislación y regulación necesaria; y, por supuesto, la búsqueda de los incentivos adecuados a la industria deben ser actividades a incluir en la agenda.

RS: ¿Cuáles recomendaciones daría usted para minimizar los riesgos que corre la información, impactada por la convergencia tecnológica?
SL: No podemos proteger lo que no conocemos. En primer lugar, debemos "conocernos" mejor, identificando los datos e información que tratamos, gestionamos y "emitimos" (como organización, como infraestructura y como individuos parte de ese ecosistema), para proceder a su clasificación (aproximación tradicional). Analizar nuestros procesos, tecnologías e infraestructuras, nos permite ser conscientes de nuestras debilidades. Mantener una conciencia situacional avanzada sobre el entorno de amenazas al que estamos expuestos y, sobre todo, involucrar a todas las personas, áreas y departamentos en este camino, ofreciendo el máximo valor, personal y profesional, a quienes participen. La única manera de conseguir protegernos en una forma adecuada es construir un ecosistema basado en la seguridad y la confianza, establecido sobre relaciones personales basadas en la colaboración, la coordinación y el compromiso mutuo.

RS: ¿Cómo inciden los desarrollos tecnológicos en su vida personal? ¿Son vitales?
SL: No necesariamente. Procuro diferenciar en lo posible mi vida personal de la profesional y no soy un "adicto" a la tecnología, más bien lo contrario. Disfruto mucho más de un fin de semana sin conectividad en las montañas de Asturias o de una noche en el desierto cerca de Abu Dhabi cuando tengo oportunidad, que en la sección de tecnología de una galería comercial.

*Cuestionario preparado conjuntamente con Jeimy J. Cano M., director de la revista.

Sara Gallardo M.Periodista comunicadora, universidad Jorge Tadeo Lozano. Ha sido directora de las revistas “Uno y Cero”, “Gestión Gerencial” y “Acuc Noticias”. Editora de Aló Computadores del diario El Tiempo. Redactora en las revistas Cambio 16, Cambio y Clase Empresarial. Ha sido corresponsal de la revista Infochannel de México y de los diarios “La Prensa” de Panamá y “La Prensa Gráfica” de El Salvador. Autora del libro “Lo que cuesta el abuso del poder”. Investigadora en publicaciones culturales. Gerente de Comunicaciones y Servicio al Comensal en Andrés Carne de Res, empresa que supera los 1800 empleados; corresponsal de la revista IN de Lanchile. Es editora de esta publicación.

Perimeters, surprises and barriers

Today we are adding another classical issue to our usual reference to the role of boards of directors, and of their inhabitants, regarding cybersecurity [industrial or whatever]: I mean the eternal debate  -it has been discussed previously in this “Newsletter”-  about the perimeter of such cybersecurity and that of its sister  -older and wider-,  Information Security. In fact, our friend Jose Valiente leaves it clear: Take care of what you say when you are discussing on critical topics at a public venue (this, of course, includes the Internet)!

If seeing your information leaked (or altered) through Cyberspace is a matter of your occupation/pre-occupation, think of the following physical space situations: somebody eavesdropping your conversation during your next work lunch; a microphone unexpectedly opened at your next speech; or an unfortunate photograph of you leaving your taxi to your next meeting and carrying a folder showing sensible information on the cover. The corollary to Jose’s musing could be our overall need for awareness. Let us hope that initiatives like that of INCIBE and OAS will help to fill the gap.

Meanwhile, Mr. Schneier recalls, cyber sabotage of every stuff we connect to the Internet  -this time drug pumps-  only surprises those not paying the right attention. Probably in the origin of such weakness  -it seems to me a generalized one-  we can find the application of Internet-related technologies: languages like HTML5 or computing models like those based on the cloud, could make pretty good examples.

Last but not least, Mr. Robert M. Lee, who will be presenting next October at CCI’s “5th International Congress on Industrial Cybersecurity” deals with a complementary topic: not just the lack of awareness, but the lack of (or the difficulties to) collaboration. A collaboration that, as Mr. Lee suggests, could materialize through information sharing.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Perímetros, sorpresas y barreras

Hoy añadimos otro clásico a nuestro habitual guiño al papel de los consejos de administración, y de quien los puebla, en relación a la ciberseguridad [industrial y de la otra]: se trata del eterno debate  -ha salido anteriormente en este “Boletín”-  sobre el perímetro de la citada ciberseguridad, frente al de su hermana mayor  -por más vieja y más amplia-,  la Seguridad de la Información. Y es que nuestro amigo José Valiente lo deja meridianamente claro: ¡cuídese muy mucho de lo que dice cuando trate temas delicados en lugares públicos (naturalmente, incluida, la Red)!

Si perder (o ver alterada) su información a través del ciberespacio es un tema que le ocupa/preocupa, piense en las siguientes situaciones del espacio físico: unos oídos indiscretos durante su próxima comida de trabajo, un micrófono abierto a destiempo en su próxima charla o una foto desafortunada en el momento en el que abandona su taxi, camino de su próxima reunión, con sus papeles bajo el brazo (y con información sensible a la vista). El corolario de la reflexión del bueno de Jose podría ser la necesidad de concienciación que aún requerimos todos nosotros. Es de esperar que iniciativas como la que ahora lanzan INCIBE y la EOA contribuyan a rellenar la referida laguna.

Mientras tanto, como nos recuerda el Sr. Schneier, el cibersabotaje de cuantos utensilios conectamos a Internet  -en este caso, bombas dosificadoras de medicamentos en algún hospital-  no sorprende más que a quien no ha prestado la atención requerida. Probablemente, en el origen de dicha debilidad  -parece que generalizada-  esté la aplicación de tecnologías de la información relacionadas con la propia Red: lenguajes como HTML5 o modelos como el de la computación en la nube, pueden ser ejemplos de ellas.

Por último, D. Robert M. Lee, a quien podremos ver y escuchar en octubre, durante nuestra próxima cita del “V Congreso Internacional de Ciberseguridad Industrial” trata un tema complementario al de la falta de conciencia: la falta de (o las dificultades para) la colaboración. Una colaboración que, en la propuesta del Sr. Lee, podría disfrutar una inmejorable materialización en la compartición de información.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

miércoles, 1 de julio de 2015

Visite nuestro bar, un hacker le escuchará.


Hoy estaba en una cafetería revisando algunos emails desde mi portátil, justo antes de asistir a un evento de Ciberseguridad y llegaron dos personas que se sentaron justo en la mesa de al lado. En su conversación mencionaron varias veces el nombre de su compañía, que desde luego no citaré, hablaban de trabajo, esto es una práctica demasiado habitual, en este caso dialogaban sobre algunos sistemas y aplicaciones de su empresa, en varias ocasiones mencionaron detalles sobre fallos y uso de claves privadas.

Utilicé mi móvil como grabadora de audio y pude captar solo la parte final de la conversación, y que he querido dejaros en el siguiente enlace: Audio conversación para alertar sobre lo fácil que es recabar información sensible "no digital" en lugares públicos, principalmente debido a la falta de conciencia sobre la importancia de cierta información que solemos comunicar sin pensar en las consecuencias.

Me pregunto, si solamente somos los españoles lo que no tomamos precauciones a la hora de tratar temas profesionales sensibles en lugares públicos. Mi experiencia me dice que es condición humana ser excesivamente confiados. Me encantaría conocer tu opinión.

Autor
José Valiente