Blog del CCI

lunes, 26 de octubre de 2015

Blah-blah-blah, fraud & rising figures

Here it is! The promised summary of CCI’s “5th Int’l Industrial Cybersecurity Congress" is brought to you with this new issue of our weekly “Newsletter”.

We are also announcing today the implementation of our industrial and/or technology “Expert Programme”. Check out who the first participants are!

Regarding ordinary news, we see, not without certain envy, how the British Institute of Directors’ members seem to have started to be aware of “cyber”  -it has not been the case, so far, of their peers at stagnant Spain’s Instituto de Consejeros-Administradores (IC-A). After the mobile operator TalkTalk scandal, British press has reported that IoD points to cyber hacking as one of their biggest concerns, urging the UK Government to implement the necessary measures to fix de problem.

A company, TalkTalk, to which Prof. Jeimy Cano’s musings and recommendations would have result of some benefit; at least, in order to prevent the fraud in which its affected customers  -more than 4M-  may presumably be seen involved.

But, for sure, TalkTalk’s will not be the last incident this year. In Spain, the National Institute of Cybersecurity has detected, so far, as many cyber attacks on critical infrastructures as the total seen in 2014. Figures are growing and it is not rare to think that the greater complexity the development of Industry 4.0 will bring, the worse the numbers.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Bla-bla-bla, fraude y cifras en aumento

¡Aquí lo tiene! El prometido resumen del pasado "V Congreso Internacional de Ciberseguridad Industrial" de CCI le llega con esta nueva entrega del “Boletín” semanal.

Anunciamos hoy, también, la puesta en marcha de nuestro “Programa de Expertos” en los ámbitos industrial y/o tecnológico. ¡Conozca quiénes son sus primeros participantes!

En lo que se refiere a las noticias ordinarias, observamos, no sin cierta envidia, cómo, a diferencia de lo que tradicionalmente ha venido ocurriendo en la órbita del inmovilista Instituto de Consejeros-Administradores (IC-A) español, los miembros de su homónimo británico (IoD, por sus siglas en inglés) parecen haber comenzado a tomar verdadera conciencia de “lo ciber”. Tras el escándalo de la operadora móvil TalkTalk, la prensa británica ha informado de que el Institute of Directors señala los ciberataques como una de sus mayores preocupaciones, instando al Gobierno de la nación a que ponga en marcha los medios necesarios para atajar el problema.

Una compañía, TalkTalk, a la que habrían venido bien las reflexiones y recomendaciones del Prof. Jeimy Cano a fin de evitar el previsible fraude en que, presumiblemente, puedan verse envueltos los más de cuatro millones de británicos, clientes de la operadora, afectados.

Pero el de TalkTalk, con toda seguridad, no será el último incidente de este año. En España, el Instituto Nacional de Ciberseguridad ha detectado, en lo que llevamos de 2015 tantos ciberataques sobre infraestructuras esenciales como los contabilizados en todo 2014. Las cifras van en aumento y cabe pensar que la mayor complejidad técnica que introduzca el desarrollo de la Industria 4.0 no vaya sino a empeorarlas.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 19 de octubre de 2015

Tone, challenges & lack of awareness

In a recent interview for the World Economic Forum, Jason Healey, Senior Fellow at The Atlantic Council’s Cyber Statecraft Initiative stated “we believe companies should govern from the board on down” after been requested by the interviewer regarding where accountability for cyber risk should start. I cannot agree more! No doubt, the tone in this matter (and in any other being of corporate interest) must be set from the top.

Convinced of that, it is funny to know initiatives  -and also to participate in them, as CCI has done, via its President, Jose Valiente-  like the one led recently by the Spanish Center of High Studies on National Defense (CESEDEN) and the utility company Iberdrola. Just a few days ago they organized a session, with representation at the highest levels of both organizations, to analyze the challenges posed by cyber incidents to National Defense and electricity supply. Supplying that has its most critical source in nuclear plants. A good reason for having a deep understanding and a greater awareness of cyber risk in such plants!

By the way, given your interest in the industrial sector, try to understand the differences between the Internet of Thing (IoT) and Industry 4.0, too.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Tono, retos y falta de conciencia

En una reciente entrevista para el Foro Económico Mundial, Jason Healey, Director de la Iniciativa sobre Políticas Cibernéticas del “think tank” estadounidense The Atlantic Council, declaraba “creemos que el gobierno de una organización ha de comenzar en su consejo de administración”, ante la pregunta de su entrevistador sobre dónde habría de residir la responsabilidad primera en materia de ciberriesgos. ¡No puedo estar más de acuerdo! Sin duda, el tono en esa materia (y en el resto de aquellas que sean de interés corporativo) ha de establecerse desde lo más alto.

Con esa convicción es gratificante conocer  -y, en este caso, participar, como lo ha hecho CCI de la mano de su presidente, José Valiente-  iniciativas como la llevada a cabo recientemente, por el Centro Superior de Estudios de la Defensa Nacional (CESEDEN) y la compañía Iberdrola. Hace tan sólo unos días, celebraban conjuntamente, y con una representación al más alto nivel de ambas instituciones, una jornada en la que se analizaban los retos que constituyen los ciberincidentes para la Defensa Nacional y para el suministro eléctrico. Un suministro que tiene en las centrales nucleares una de sus más críticas fuentes. Razón de más para que en éstas se trate de entender y se tome mayor conciencia sobre los ciberriesgos.

Por cierto, dado su interés en el sector industrial, trate de entender, también, los matices que diferencian a la Internet de las Cosas de la Industria 4.0.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 12 de octubre de 2015

Agenda issues, pedagogy and land of “fado”

Cyber security [including the industrial one] has incardinated in the corporate agenda and, unless someone prevents it, it has done it “to stay”. So it was stated by our good, New Zealander, friend, Elizabeth Valentine, during her opening key note at CCI’s “5th Int’t Industrial Cybersecurity Congress”, held in Madrid (Spain) on October, 6th & 7th. A thesis that is also supported by the increasing “cyber” budgets we have been seeing in recent times.

It makes more than appropriate any educational initiative like the one John Bryk poses in our selection of readings, today. Bryk offers a brief, excellent, plenty of enriching tables and side notes, introduction to the protection of energy infrastructures (natural gas ones, in particular).

But as Valentine’s note was not but the first of a series of talks of the greatest interest  -we will provide you with all the details very soon-  the gas sector is just one among a number which attracts our attention, too.  About the electricity one INCIBE brings us some comments today.

We finished our week in Lisbon (Portugal), talking about the need for communication and collaboration at “C-DAYS 2015”, the congress organized by the Portuguese National Cyber Security Center. If there is someone to whom a solid communication, collaboration and integration principles should apply, they are no other than IT & OT within industrial organizations. Organizations which, no doubt, will be witness, in the years to come, of the benefits of a new generation of mobile communications: i.e., 5G.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Cuestiones de agenda, pedagogía y tierra de fados

La ciberseguridad [incluida la industrial] se ha incardinado en la agenda corporativa y  -permítame el tópico-,  mientras nadie lo remedie, lo ha hecho “para quedarse”. Así nos lo recordaba esta pasada semana nuestra buena amiga, la neozelandesa Elizabeth Valentine, durante la charla con la que abrió la quinta edición del “Congreso Internacional de Ciberseguridad Industrial” que celebramos en Madrid (España) los pasados días 6 y 7 de octubre. Avala esa misma tesis el incremento que, en los últimos tiempos, se ha visto en las partidas presupuestarias dedicadas al capítulo “ciber”.

Ello hace más que oportuno cualquier iniciativa pedagógica como la que John Bryk plantea en nuestra selección de lecturas escogidas de hoy. Bryk ofrece una breve, excelente, llena de enriquecedoras tablas y notas al margen, presentación sobre la protección de infraestructuras energéticas (de gas natural, en particular).

Pero igual que la de Valentine no fue sino la primera de una serie de charlas del máximo interés  -le daremos, próximamente, cuenta de todo ello-,  el sector gasista es uno de los tantos que atraen nuestra atención.  Del eléctrico nos hablan hoy, también, desde INCIBE.

Acabábamos la semana en Lisboa (Portugal), hablando de comunicación y colaboración en el marco del congreso “C-DAYS 2015” organizado por el Centro Nacional de Cibersegurança. Si hay alguien a quien debieran aplicar unos sólidos principios de comunicación, colaboración e integración son las áreas de TI y TO de las organizaciones industriales. Unas organizaciones que serán testigos, en los próximos años de los beneficios de una nueva generación de las comunicaciones móviles, la 5G.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 5 de octubre de 2015

Questions without answers and year change

CCI’s “Newsletter” & accompanying blog (blog.CCI-es.org) most loyal readers know well that one of the recurring topics we feature every week is the role BoDs play regarding “cyber”. Therefore, let me insist once again on such governing bodies’ accountability for the identification and valuation of the risks their organizations are facing. [Particularly, Industrial Control Systems (ICS) cyber risk].

Nonetheless, performing such accountability will require compliance with a starting premise: to provide directors with the tools that let them understand what those risks are?, and how can they be generated? Raytheon’s report, “2015 Global Megatrends in Cybersecurity”, released in February showed, among other interesting findings, that the demand of cyber strategy information made from Boards of Directors was met by security officers only in one out of four times. A communication rate difficult to understand, given the growing number of threats waylaying ICS’s. No wonder that has attracted many researchers to this field, in recent years!

Anyway, if the number of real cyber cases populating archives does not fit your needs to teach your directors what threats their organizations face, you can have a new opportunity to show your pedagogic skills in “Industry 4.0”; because, at the end, it is not difficult to do things well (even in the industrial cyber security terrain, where positive attitudes are key).

Last but not least, if, by any mean, all these previous suggestions fail, try it with a good battery of forecasts on information in-security for the coming year, like the ones, our good friend, Prof. Jeimy Cano, brings to us today.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Preguntas sin respuesta y cambio de ejercicio

Los seguidores más fieles del “Boletín de CCI” y de la tribuna de opinión que, desde blog.CCI-es.org lo acompaña, saben bien que uno de los temas recurrentes en nuestra cabecera semanal es el papel que corresponde a los consejos de administración en relación a lo “ciber”. Por tanto, permítame insistir una vez más en la responsabilidad última de dichos órganos de gobierno sobre la identificación y la valoración de los riesgos a los que se enfrentan sus organizaciones. [Particularmente, de los que tienen su origen en los Sistemas de Control Industrial (SCI)].

Ejercer tal responsabilidad requerirá, no obstante, la conformidad con una premisa de partida: dotar a los consejeros de las herramientas que les permitan entender cuáles son y cómo pueden generarse los referidos riesgos. El estudio “2015 Global Megatrends in Cybersecurity” (Megatendencias Globales en Ciberseguridad 2015) publicado por la corporación industrial Raytheon en febrero de este año se detenía, entre otros interesantes hallazgos, en subrayar la demanda de información sobre estrategia “ciber” que, desde los consejos, se hacía a los responsables de seguridad de las empresas: dicha demanda era cubierta sólo en apenas una de cada cuatro ocasiones. Una tasa de comunicación difícil de entender a la vista del creciente número de amenazas que acechan a los Sistemas de Control Industrial. ¡No en vano eso ha atraído a multitud de investigadores hacia este campo, en los últimos años!

En todo caso, si los numerosos casos reales de ciberincidentes que pueblan las hemerotecas no le sirvieran para enseñar a sus consejeros a qué se enfrentan sus organizaciones, en la "Industria 4.0" tiene Ud. una nueva oportunidad para demostrar sus dotes pedagógicas; porque, al final, no es tan difícil hacer las cosas bien (máxime en el terreno de la ciberseguridad industrial, donde las actitudes positivas resultan clave).

Finalmente, si aún así, todas estas propuestas fallan, inténtelo con una buena batería de pronósticos sobre la inseguridad de la información para el ejercicio que viene, como la que nos trae hoy nuestro buen amigo, el Prof. Jeimy Cano.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!