Blog del CCI

lunes, 28 de septiembre de 2015

Winterkorn (or the day beheadings hit manufacturing)

It was on September, 23rd, and I would like to humbly tell you that it was absolutely foreseeable! Of course, I understand you; you are thinking that once the facts are known, guessing is much easier; but, let me explain myself …

Naturally, I am meaning the resigning of whom up to then was the best paid executive within the German industry, Martin Winterkorn, the man who led Volskwagen Group; and I also think about the relevance “cyber”  -an insignificant piece of software, this time-  has had in the resigning. 

The thing is that such sort of consequences had to reach an industry like manufacturing. We have already seen it lots of times before in other industries (airlines, banking, retail, entertainment, healthcare, …). So, sooner than later, a manufacturing company’s President had to see herself in this situation; particularly given the significance software is acquiring in today’s industry  -even in tomorrow’s one, that is being forged today-.

I apologize, but I have to say that we have been warning since 2004, the year we saw the first rolling head due to cyber reasons. Thereby our supposedly guessing capabilities.

Such a corporate landscape well deserves that BoDs start to adopt some measures, like the ones we are bringing to you in today’s issue.

Though, perhaps the first of such advices should be “Take Technology and your role in it seriously, dear Director!” Reality shows us, insistently, that your position depends on it [I mean on the way Technology is being used by, and within, your organization].

In the Winterkorn case we are before those who did not know how to calculate  -or who have failed in calculating-  the consequences that certain decisions on the application and use of Technology within the enterprise could yield  -some of us call this to govern Technology-.  This is particularly relevant when these activities are presumably fraudulent. Of course, another possibility, that Winterkorn has posed, is that those leading Volkswagen had no idea about the infamous software, or about its use. In that case, it would scare us even more.

Cyber risk is not always in the computer, nor in the things “cyber”. Consequently, it will be more healthy to know others miseries (problems) and to share yours. This could well be a good advice  -today’s ninth-  (one that Clinton’s Administration recommended fifteen years ago). An advice that the new AIE Ciberseguridad’s Andalusia Chapter membership does not need; they know the meaning of sharing and this has been the reason for them to join the chapter.

Last but not least, today we are bringing you a provoking musing on how much industry and, even, how much Internet, exists in the so called Industrial Internet of Things (IIoT).

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Winterkorn (o el día que las decapitaciones llegaron al sector industrial)

Fue el pasado 23 de septiembre y quisiera decirle, con toda humildad, que ¡estaba cantado! Sí, le comprendo; está Ud. pensando que “a toro pasado” es muy fácil dárselas de adivino; pero, permítame que me explique …

Naturalmente, me refiero a la dimisión del que, hasta ese momento, era el directivo mejor pagado de la industria alemana, Martin Winterkorn, al frente del conglomerado industrial Volkswagen; y me refiero a la relevancia que lo “ciber”  -una “insignificante” pieza de software, en este caso-  ha tenido en dicha dimisión, de la cual tuvimos noticia ese día.

Y es que este desenlace tenía que llegar en un sector como el nuestro: la industria tradicional. Ya lo habíamos visto muchas veces, con anterioridad en otros sectores (aviación comercial, banca, gran distribución, entretenimiento, sanidad, …). Más tarde o más temprano, algún presidente de alguna empresa de fabricación industrial tenía que verse en esa coyuntura; máxime con la creciente significación que está adquiriendo el software en la industria de hoy  -y en la de mañana, que se está fraguando hoy-.

Lamento tener que decir que, desde 2004, año en que conocimos el primer caso, veníamos avisando. De ahí nuestras dotes adivinatorias.

Un panorama corporativo como el que estamos describiendo en estas últimas semanas, bien merece que en los consejos de administración se empiecen a adoptar algunas medidas. En la edición de hoy les ofrecemos siete interesantes consejos.

No obstante, quizás el primero de ellos habría de ser “¡Tómese el serio la tecnología y su papel al frente de ella, amigo consejero!”. La realidad, tozuda, nos ha enseñado que le va el puesto en ella [en el uso y aplicación que, en su organización, se haga de tecnología].

En el caso Winterkorn estamos ante quienes no han sabido calcular  -o han errado al hacerlo-  las consecuencias que podían tener determinadas decisiones sobre esa aplicación y uso de la tecnología  -algunos llamamos a esto un ejercicio de gobierno tecnológico-  en alguna de las actividades de su empresa. Sobre todo cuando esa actividad, presumiblemente, es fraudulenta. Naturalmente, otra posibilidad, que es la que ha defendido Winterkorn en su mensaje de dimisión, es que quienes estaban al frente de Volskwagen no supiesen nada del ahora famoso software, ni de su uso. Si esto fuera verdaderamente cierto, nos sobrecogeríamos aún más.

El ciberriesgo no siempre está en el ordenador, ni siquiera en lo “ciber”. Por ese motivo, siempre será saludable conocer las miserias (problemas) ajenas y compartir las propias. Éste bien podría ser un nuevo buen consejo  -el noveno de hoy-  como ya propusiera la Administración Clinton hace más de tres lustros. A los nuevos miembros del capítulo andaluz de la AEI CiberSeguridad no hace falta dárselo; conocen el significado de compartir y por eso se han unido.


Por último, les ofrecemos una provocadora reflexión sobre cuánto hay de industria e, incluso, de Internet, en la Internet Industrial de las Cosas (IIoT).

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 21 de septiembre de 2015

Hospitals, talent & protocols

Enterprise cyber security is already an inescapable challenge. Expanding the focus, one could say that “all things cyber”, in general,  -someone will prefer “all things digital”-  is what conforms the real challenge. A challenge that, more and more, is being assumed  -most of the times, forcefully-  by those who are leading the organization.

A couple of weeks ago, we mentioned Noel Biderman, head of Ashley Madison, who resigned after the cyber incidents his agency suffered this summer. Today, names are other: Cambridge University Hospitals NHS Foundation Trust has just lost its CEO, Dr. Keith McNeil, and CFO, Mr. Paul James; both members of the institution’s Board. The reason, this time, has not been an attack  -remember that they are not always the reason; perils of the adoption and use of “cyber” are of a varied nature-; but an important (in millions of GBPs), bad managed, technological investment (that, supposedly, has not been well seen by taxpayers nor supervisory authorities).

Anyway, questionable managers are not the only problem that users of the healthcare system are facing. Cyber-physical threats lurk, too.

And, despite this all, awareness level keeps low. This is one of the reasons, not to say the main one, for CCI to keep pushing with its educational events and activities like the one  -“The Voice of the Industry (11th edition)”-  held last week. And it is what gives sense to initiatives like the one we, with the support of INCIBE, have just begin to advertise: a new grant program for helping cyber talent develops.

Finally, written communication is always in our inventory, too. Because of this, today we are bringing to you an interesting article  -first of a brief new series-  in which our friend Fernando Sevillano will shows us all how to improve cyber security in industrial networks.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Hospitales, talento y protocolos

La ciberseguridad empresarial es, ya, un reto ineludible. Diríase, ampliando el foco, que lo “ciber”, en general,  -hay quien preferirá, lo “digital”-  es lo que constituye el verdadero reto. Reto que, cada vez más, asumen como suyo  -no pocas veces, a la fuerza-  quienes están al frente de las organizaciones.

Hace un par de semanas mencionábamos la suerte que había corrido Noel Biderman, “capo” de la red social Ashley Madison, tras los ciberincidentes que ésta había protagonizado este verano. Hoy los nombres son otros: en el Reino Unido, el consorcio hospitalario de Cambridge (Cambridge University Hospitals NHS Foundation Trust), acaba de perder a su director general, el Dr. Keith McNeil, y a su director financiero, el Sr. Paul James;  ambos, además, consejeros-miembros de la Junta Rectora de la institución. El motivo, esta vez, no ha sido un ataque  -recuerde que no siempre los son; los peligros en torno a la adopción y el uso de lo “ciber” son de naturaleza muy variada-;  sino una importante, millonaria (en libras esterlinas), inversión tecnológica, mal llevada (que, presumiblemente, no ha sido del gusto de contribuyentes, ni de supervisores).

No obstante, unos cuestionables gestores no son el único problema al que pueden verse enfrentados los usuarios del sistema sanitario. Otras amenazas ciber-físicas acechan.

Y, a pesar de todo ello, los niveles de concienciación sobre los peligros de lo “ciber” se mantienen en valores bajos. Ese es uno de los motivos, si no el principal, que empuja a CCI a continuar con sus actividades de divulgación como “La Voz de la Industria” celebrada la pasada semana; y es, también, lo que da sentido a iniciativas de apoyo como la que, con el soporte de INCIBE, hemos podido comenzar a anunciar estos últimos días: un nuevo programa de becas para contribuir al desarrollo del cibertalento.

Finalmente, una herramienta adicional con la que siempre tratamos de contar es la comunicación escrita. Por ese motivo recogemos, hoy, un interesante artículo  -primero de una corta serie-  en el que nuestro amigo Fernando Sevillano nos mostrará cómo incrementar la ciberseguridad en las redes industriales.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 14 de septiembre de 2015

Generational shift, strategy & other challenges

If you are not a member of your company’s BoD  -be sincere, you are nothing but a technician!-  and, therefore, you think that all the time we spend, every week, talking about Boards and directors is not your business (nor should be this tribune’s one), let me say a couple of things: first, you are wrong; second, today we are bringing you  -again, we have done it in the past, too-  the evidence of such an error: the Parsons-Vautrinot case, or how a technician can reach the BoD.

Firms are trying to provide their Boards with the necessary cybersecurity skills. They have two options for that: a) to trust the slow process of generational shift  -some day, cyber-natives will become directors-;  and b), appoint already skilled professionals to the Board  -for instance, pros like you-.

For the smartest economies, such BoD’s “cyber-ization” is an unquestionable trend. For others  -Spain has just expanded critical infrastructures protection plans to the Transportation & Water sectors-  all things “cyber” still receive a tactic/operative focus (Ministry of the Interior), instead of one strategic/corporate (Spain’s Stock Exchange Commission).

But let’s get your supposedly future role as director back. In such a circumstance, you will be in the position to help your company in understanding which challenges are their manufacturing plants facing, regarding the protection of their data transmission networks. Some of such challenges will be due to the expansion of automatic information sharing between machines (M2M) towards what we know as Industrial Internet of Things; and they should be faced with the right measures and tools (software and, presumably, others).

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Salto generacional, estrategia y otros retos

Si Ud. no ocupa una silla en el consejo de administración de su empresa  -¡reconózcalo, no es más que un técnico!-  y, por tanto, cree que todo el tiempo que dedicamos, semana tras semana, a hablar de consejos y consejeros no es cosa suya (ni debería serlo de esta tribuna), permítame decirle dos cosas: la primera, que se equivoca; la segunda, que hoy le traemos  -de nuevo, ya lo hemos hecho con anterioridad-  una evidencia de dicho error: el caso Parsons-Vautrinot, o de cómo un técnico puede llegar al consejo de administración.

Las empresas buscan dotar a sus consejos de la experiencia necesaria en ciberseguridad. Tienen para ello dos opciones: a) confiar en el lento proceso del salto generacional  -algún día, profesionales criados en lo “ciber” llegarán a ser consejeros-; y b), incorporar a dichos consejos a profesionales con el bagaje necesario  -por ejemplo, uno técnico como el suyo-.

Para las economías más avispadas, esa “ciberización” de los consejos de administración es una tendencia incuestionable. Para otras  -España acaba de ampliar los planes de protección de infraestructuras críticas a los sectores de Transporte y Agua-,  lo “ciber” aún goza de un enfoque táctico/operativo (Ministerio del Interior), en lugar de uno estratégico/corporativo (Comisión Nacional del Mercado de Valores).

Pero retomemos el supuesto de su futuro profesional como consejero. En tal circunstancia, estará Ud. en disposición de ayudar a su organización a comprender a qué retos se han de enfrentar sus plantas productivas en materia de protección de sus redes de transmisión de datos. Algunos de dichos retos nacerán de la propia expansión del intercambio automático de información entre máquinas (M2M) en lo que conocemos como Internet Industrial de las Cosas; y habrán de ser abordados con las medidas y herramientas adecuadas (software y, presumiblemente, otras).

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 7 de septiembre de 2015

Summer hits & social messes

Summer is over, or almost  -at least at this height (and width) of Earth-;  and, like everyone of its predecessors, it has left us some hits to remember: both, musical and of other sort.

If we think of the latter, that presumably are of primary interest for our professional audience  -my apologies, Samuel; I know that there are some good [and professional] musicians among us-,  I am convinced that you will easily recall recent summer protagonists like Aramco (2012), Snowden (2013) or, just to name someone from 2014  -then things were very fought with TARGET and SONY opening and closing the year-, Community Health Systems (August, 2014).

With such background, we could not choose other, as 2015 Summer hit, than that played by the young, and innocent, Miss Ashley Madison. Despite all the stealth given, things went as bad as in some of the above mentioned cases and, in the last days, we have been able to know that Mr. Noel Biderman  -Founder, President & CEO of that “social media”-  has follow the same way that Steinhafel (TARGET) and Pascal (SONY) had.

Maybe it comes to confirm our today’s first heading: BoDs care about cybersecurity less that they state.

Just to make your réentrée easier, let me stop my comments here; and, as usual, let me invite you to enjoy reading:
  • first, an interesting “anatomy of the infosec analyst”, by Colombian Prof. J. Cano;
  • second, a thought provoking article on the existence, or not, of the concept of “cyberwar” (the term itself is not present even in the 1000+ pages of the newly released US DoD’s “Law of War Manual” (2015 edition); and,
  • finally, some countries are catching up on industrial cybersecurity, in particular (Turkey, via our friend “think tank” HASEN); and on the industrial sector, in general (Kenya, is charging batteries with its new nuclear program for economic and social development, “Vision 2030”).

As you know, you can do [enjoy] it in our weekly "Newsletter". Subscribe here for free!

Éxitos de verano y enredos sociales

El verano se ha ido, o casi  -al menos, a esta altura (y anchura) en el Globo-;  y, como cada uno de sus antecesores, nos ha dejado algún éxito para el recuerdo: musical y de los otros.

Si reparamos en esos últimos, que son los que presumiblemente interesan a nuestra profesional audiencia  -mis disculpas, Samuel; ya sé que hay algún buen músico, también profesional, entre nosotros-,  estoy convencido de que recordarán fácilmente recientes protagonistas del verano como Aramco (2012), Snowden (2013) o, por citar alguno del pasado año  -entonces la cosa estuvo muy reñida, después de arrancar con TARGET y acabar con SONY-, Community Health Systems (agosto de 2014).

Con esos antecedentes, no podíamos escoger otra, como canción del verano, que la interpretada por la joven, e inocente, Ashley Madison. A pesar del mucho sigilo empleado, la cosa acabó tan mal como en alguno de los casos anteriores y, en los últimos días, hemos podido saber que Noel Biderman  -fundador, Presidente y CEO de esta “red social”-  ha seguido los pasos de Steinhafel (TARGET) y Pascal (SONY).

Tal vez, ello confirme nuestro primer titular de hoy: los consejos de administración puede que no se ocupen de la ciberseguridad tanto como confiesan.

Para no extenderme más y a fin de hacerles el inicio de curso más entretenido, les invito, como siempre, a que disfruten con la lectura:
  • en primer lugar, con una interesante radiografía del “analista de seguridad de la información”, ofrecida por nuestro amigo el colombiano Prof. J. Cano;
  • a continuación, un no menos interesante y provocador análisis de la existencia, o no, del concepto de "ciberguerra" (el término ni aparece en las más de mil páginas del nuevo “Manual de la Ley de Guerra” de los EEUU, edición 2015); y,
  • finalmente, algunos países comienzan a ponerse al día en ciberseguridad industrial, en particular (Turquía, de la mano de nuestro “think tank” amigo HASEN); y en el sector industrial, en general (Kenia, que carga baterías con su nuevo programa nuclear para el desarrollo económico y social, “Visión 2030”).


Ya sabe que puede hacerlo, cada semana, en nuestro "Boletín". ¡Suscríbase gratis aquí!