Blog del CCI

lunes, 30 de noviembre de 2015

Outdated approaches and points of contact

The optimism that follows the joint study by NYSE Governance Services and Veracode, which we are referring to today, seems just that: very optimistic. There is no doubt that “cyber-related corporate liability should be top of mind” for directors and officers; but reality, as usual, keeps questioning such statement.

One example (the usual one, in fact) will suffice to prove it! I mean the agenda proposed by the Spanish Institute of Directors (IC-A, Instituto de Consejeros-Administradores) for the 2016 edition of its program “Good Governance of Listed Companies”. One more year, and they are more than ten, “digital” and, naturally, “cyber”, do not still seem to deserve being considered key points into IC-A’s training program targeted to directors. Maybe it is just  -let me be ironic-  that IC-A has decided to align with the voices that advocate for the end of abusing in the use of the word “cyber”.

The truth is that doing it [including “cyber” into its academic program] would put IC-A closer to what current business  -and geo-political; think of Crimea-  situation seems to recommend. Meanwhile, we will keep convinced that, today, Governments’ awareness on the topic  -they are to help-  widely overtakes that of the businesses, as it was stated last Monday, November, 23rd, during the 12th edition of CCI’s “The Voice of the Industry” held in Bogota (Colombia) for our pleasure and that of our friends and members of the “Ecosystem” in those latitudes.

We keep equally convinced that having “cyber-savvy” directors  -at least one-  within the Board seems to be the best measure, so far, to remedy the lack of awareness (not only the lack of knowledge) regarding cyber issues, among those leading organizations. We were witnesses of that during our recent visit to the “Country of Birds”. And, finally, we were also witnesses of an interesting discussion between Information Technology (IT) and Operational Technology (OT) professionals within the energy sector, which converged in pointing out the relevance of taking into account cyber risk mitigation measures since the very beginning of any industrial automation investment’s life-cycle, as the ones their company is facing now. We could not agree more!

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Enfoques anticuados y puntos de encuentro

El optimismo que desprende el estudio conjunto de la sección de Servicios de Gobierno Corporativo de la Bolsa de Nueva York y la firma Veracode, al que nos referimos hoy, se antoja precisamente eso: muy optimista. No cabe duda de que consejeros y directivos deberían tener “absolutamente presentes los temas de responsabilidad corporativa relacionados con ‘lo ciber’"; pero, como es habitual, la realidad sigue poniendo tal afirmación en duda.

¡Como muestra un botón (el mismo de siempre, de hecho)! Me refiero a la agenda prevista por el Instituto español de Consejeros-Administradores (IC-A) para la edición 2016 de su programa “El Buen Gobierno de las Sociedades”. Un año más, y ya van más de diez, “lo digital” y, naturalmente, “lo ciber”, todavía no parecen haber alcanzado el estatus necesario para que el Instituto los incorpore como temas clave, en su programa formativo dirigido a consejeros. Tal vez se trate simplemente  -permítanme la ironía-  de que IC-A ha decidido alinearse con las voces que abogan por el fin del abuso en el uso del prefijo “ciber-“.

Lo cierto es que hacerlo [incluir “lo ciber” en su programa académico] acercaría al IC-A a lo que la actual coyuntura empresarial  -y geo-política; piense en Crimea-  parece aconsejar. Mientras tanto, seguiremos convencidos de que, hoy por hoy, la preocupación de los gobiernos  -están para ayudar-  supera ampliamente a la de las empresas en relación a este tema, como se afirmaba el pasado lunes, día 23 de noviembre, en la XII edición de nuestra “Voz de la Industria” celebrada en Bogotá (Colombia) para satisfacción nuestra y la de nuestros amigos, y miembros del Ecosistema del Centro, en aquellas latitudes.

De igual modo, seguimos convencidos de que la incorporación a los consejos de administración de algún consejero dotado de lo que los anglosajones denominan “cyber-savvy” (conocimiento de “lo ciber”) parece mostrarse como el mejor remedio, hasta la fecha, para atajar la falta de conciencia (no sólo de conocimiento) sobre la problemática cibernética, entre quienes están al frente de las organizaciones. Durante nuestra visita al “país de las aves” pudimos ser testigos de ello. Como también lo hemos sido de un interesante cruce de opiniones entre profesionales de las Tecnologías de la Información (TI) y de las Tecnologías de Operación (TO) del sector energético, cuyo punto de encuentro parecía apuntar a la conveniencia de contemplar las medidas de mitigación de riesgos de naturaleza “ciber” desde el más temprano momento del ciclo de vida de las iniciativas de inversión que están llevando a cabo en estos instantes. ¡No pudimos estar más de acuerdo!

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 23 de noviembre de 2015

"Spare the rod and spoil the child" and other pedagogical paradigms

Instructing Boards of Directors in “cyber”  -more accurately, in matter of their accountability for overseeing “cyber”-  has, very likely, several ways to be met; and, in them, different factors and actors may participate.

The most efficient of such methods  -the most painful, too; without meaning that it should be bound to the discipline of a specific instructor- is the one that makes the Board, and its members, suffer in their own flesh the consequences derived from a cyber risk (failure, negligence, attack, …) substantiated on the information/operational systems supporting their organization’s business. Examples of this abound, and are growing in number, as it shows the list of names that have been mentioned, so far, in this column.

An alternate pedagogic treatment, less drastic for directors and in which a specific instructor  -YOU-  would have her own role, is that in which, as operational responsible for the cyber protection of your organization, YOU should be in charge of educating the members of your BoD on the matter. We have insisted on it, today there is room enough for you to fill this position of councelor and guide (not necessarily meaning it that you join the BoD). For the benefit of your organization, let us be happy having “cyber” onboard of the Board’s agenda, despite staying you outside. It [having you onboard, too] should not be the ultimate goal!

Nonetheless, having “cyber” as part of directors’ agenda will require, not only that you are able to give them the correct answers, in the correct language, etc.; but, first of all, that they know to ask the correct questions, too. And they should do it regularly and insistently. It would be worthless if their interest faded after the first interrogation.

No doubt, questions like the ones we are featuring today (issues derived from interconnecting corporate information systems with industrial control systems; frictions between IT and OT; or the adoption of IT security thesis to protect ICS) should be part, not only of your concerns as subject matter expert, but of those of your directors, in order to make them to understand what the actual difficulties are and to help you in overtaking them, by setting appropriate game rules and giving you authority and resources accordingly.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

PS: Naturally, our congratulations go to Ane and Sergio. ;-)

“La letra con sangre entra” y otros paradigmas pedagógicos

La instrucción de los consejos de administración en materia de “lo ciber”  -más exactamente, en materia de la responsabilidad que les corresponde sobre la supervisión de “lo ciber”-  tiene, muy probablemente, diversas formas de abordarse; y, en ellas, pueden intervenir diferentes factores y actores.

El más eficaz de dichos métodos  -también el más doloroso, sin que necesariamente esté sujeto a la férrea disciplina de un instructor específico-  es el que hace que el consejo, y sus miembros, sienta en carne propia las consecuencias derivadas de la materialización de cualquier ciberriesgo (fallo, negligencia, ataque, …) sobre los sistemas de información/operación que sustentan el negocio de su organización. Los ejemplos de ello son abundantes, y crecientes en número, como demuestra la lista de nombres propios que, hasta la fecha, ha ido “desfilando” por esta tribuna.

Un tratamiento pedagógico alternativo, menos drástico para el consejero y en el que sí tendría su papel un actor específico  -USTED-  es aquel en el que, en tanto que responsable operativo de velar por la seguridad cibernética de su organización, le correspondiese a USTED la labor de instruir a los miembros de su Consejo de Administración en la materia. Hemos insistido en ello más veces: hoy día hay espacio suficiente para que Ud. ocupe ese lugar de orientador y guía (sin que necesariamente ello desemboque en su incorporación a tal Consejo). Por el bien de su organización, conformémonos con que lo que se incorpore a la agenda del consejo sea “lo ciber”, aunque Ud. se quede fuera. ¡No debería ser éste [su incorporación] el objetivo último!

Para que se produzca esa plena incorporación de “lo ciber” a la agenda de los consejeros, no sólo será necesario que Ud. sepa ofrecerles las respuestas adecuadas, en un lenguaje que ellos entiendan, etc.; sino que, en primer lugar, ellos también han de saber formular las preguntas correctas. Y han de hacerlo periódica y reiteradamente. De poco serviría que su interés se desvaneciese tras un primer interrogatorio.

Sin duda, cuestiones como las que destacamos hoy (la problemática derivada de la interconexión entre los sistemas de información corporativos y los sistemas de control de los procesos productivos; las fricciones que puedan darse entre las áreas de informática corporativa y las de automatización industrial; o la adopción de tesis propias de la seguridad de los sistemas de información para intentar resolver la problemática “ciber” de los sistemas de control) deberían formar parte, no sólo de sus preocupaciones como especialista en la materia, sino de las de sus consejeros, a fin de que puedan comprender las dificultades existentes y ayudarle a superarlas, estableciendo unas reglas de juego oportunas y dotándole de la autoridad y recursos adecuados.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

PD: Naturalmente, vaya nuestra felicitación para Ane y Sergio. ;-)

lunes, 16 de noviembre de 2015

Stumble twice on the same stone, cyber-dependency, best practices and mourning

Should you think there is no reference at all to Boards of Directors in today’s issue, you could not be more wrong …

… on December, 24th, 2004, the Air Transportation sector saw the case of Comair, Inc., a US domestic airline based in Cincinnati, OH. That day Comair almost collapsed after having to land more than 3,900 flights in what seems a weather conditions issue, provoked by a series of intensive snow-storms during the previous days. Nonetheless, what actually was under Comair’s shock was a computer glitch. An information system, supported on an obsolete computer platform  -it has been operating since the late 80’s-  overflowed, blinding the company with respect to the situation of its crews. (The system had been born as a compliance solution to meet FAA’s safety instructions regarding crews’ shifts control).

The consequence, among others, was that it impacted on the Board of Directors; and, therefore, Mr. Randy Rademacher, then Comair's President & CEO, would resign just a few weeks later, on January, 18th, 2005.

Same old song ...! The computer glitch that has affected Paris-Orly airport, on November, 7th, 2015 has not have the same consequences, so far; but it should serve as a wakeup call to those accountable for the operations at the French airports.

Other countries, as the US, try to put their best (including a myriad of resources) on the protection of their essential sectors and national critical infrastructures; but, unfortunately, facts shows us that they are not always unbreakable.

Finally, think of some solutions to strengthen your cyber protection. Adopting best practice frameworks  -like ISO27001-  could not be the panacea; but we could guess that they help. Because of that, CCI faced the task of proposing a specific framework for the industrial playfield (the Industrial Cybersecurity Management System framework, ICMS)!

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

PS: Today we have given our logo space to a black ribbon, remembering our French friends. Our condolences!

Tropezar dos veces en la misma piedra, ciberdependencia, buenas prácticas y luto

Si cree que no hay ninguna referencia a los consejos de administración en el número de hoy, se equivoca ...

... el 24 de diciembre de 2004, el sector aéreo fue testigo del caso Comair, Inc., una aerolínea doméstica de los EEUU, con sede en Cincinnati, OH. Aquel día Comair estuvo a punto de desaparecer tras dejar en tierra más de tres mil novecientos vuelos, en lo que parecía un problema motivado por unas condiciones atmosféricas adversas extremas, provocadas por una serie de días de intensas tormentas de nieve. No obstante, lo que realmente había tras el colapso de Comair era un error informático. Un sistema de información, soportado por una plataforma tecnológica obsoleta  -llevaba en servicio desde finales de los años 80-  se saturó dejando a la compañía ciega en lo que se refería a la situación de sus tripulaciones. (El sistema había nacido como solución de conformidad con la normativa de seguridad aérea emitida por la FAA, para controlar los turnos de las tripulaciones).

La consecuencia, entre otras, fue que el problema impactó en el Consejo de Administración y el Sr. Randy Rademacher, entonces Presidente y Consejero-Delegado de Comair, dimitiría sólo unas semanas después, el 18 de enero de 2005.

¡La historia se repite ...! El fallo informático que afectó el pasado 7 de noviembre de 2015 al aeropuerto de París-Orly no ha tenido esas drásticas consecuencias, de momento; pero debería servir de aviso a navegantes para quienes están al frente de los aeropuertos parisinos.

Otras naciones, como EEUU, intentan dedicar sus mayores esfuerzos y recursos a proteger sectores esenciales e infraestructuras críticas nacionales; pero, desgraciadamente, los hechos muestran que no siempre lo consiguen.

Por último, piense en algunas soluciones que le ayuden a fortalecer su ciberprotección. La adopción de marcos de buenas prácticas  -como ISO27001-  pueden no ser la panacea; pero creemos que en alguna medida contribuyen. ¡Por esa razón, CCI abordó la tarea de proponer un modelo de referencia específico para el sector industrial (el marco para la construcción de un Sistema de Gestión de la Ciberseguridad Industrial, SGCI), cuya primera parte, como recordará, fue publicada en diciembre de 2014!

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

PD: Hoy cedemos el espacio de nuestro logotipo a un crespón negro, en recuerdo de nuestros amigos franceses. ¡Nuestras condolencias!

lunes, 9 de noviembre de 2015

Pressure, headhunting and weaknesses in new and old paradigms

Spain has been supporting a legislative and regulatory pressure much more weighted than that of the average country within the Organisation for Economic Co-operation and Development, as this latter already stated ten years ago on its report “Product Market Regulation in OECD Countries 1998-2003”, released on April, 1st, 2005. Nonetheless, such huge amount of different norms and regulations, that made Spain to be worth the alias of “country of one hundred thousand rules”, does not seem to be so intense when it comes to the particular Industrial Cybersecurity arena. In order to analyze such scenario CCI planned a few months ago to face the study which results have just been released, “Spain’s Industrial Cybersecurity Regulatory Map. 2015 edition”.

Anyway, to take a look at CCI’s last report does not impede us to give the usual attention to the topics that we deal with every week. Firstly, a reference  -today, pretty clear-  to Boards of Directors, as the one Spencer Stuart, the headhunting firm, brings to us with its article “Cybersecurity: The Board’s Role”.

Secondly, some musings by INCIBE  -the Spanish Institute is being really fruitful this weeks with regard the number of articles it is posting on its blog-  on one of the paradigms supporting the so called “Industrie 4.0”: i.e., cloud computing and its benefits for implementing Industrial Control Systems.

And, finally, a couple of references regarding vulnerabilities of, and threats on, those same ICS. (Some of them one-decada-old, but in full force).

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Presión, cazatalentos y debilidades en nuevos y viejos paradigmas

España lleva años soportando un grado de presión normativa y regulatoria superior a la media de los países que integran la Organización para la Cooperación y el Desarrollo Económico, tal y como recogía, hace ya una década, la propia OCDE en su informe “Product Market Regulation in OECD Countries 1998-2003”, publicado el 1 abril de 2005. Sin embargo, esa ingente cantidad de normas y regulaciones de diferente signo, que le ha valido a España el sobrenombre de “el país de las cien mil normas”, no parece quedar reflejada con la misma intensidad cuando del particular ámbito de la Ciberseguridad Industrial se trata. Con el fin de analizar este escenario, CCI se planteó hace meses abordar el estudio cuyos resultados publicaba, el pasado 5 de noviembre, bajo el título "Mapa Normativo de la Ciberseguridad Industrial en España. Edición 2015".

No obstante, detenernos en ese nuevo hito documental del Centro, no ha impedido que prestemos la habitual atención a los temas que nos ocupan semana tras semana. Para empezar, una referencia  -hoy, muy directa-  a los consejos de administración, como la que nos ofrece la firma de búsqueda de directivos Spencer Stuart, con su artículo “Cybersecurity: The Board’s Role” (Ciberseguridad: El Papel del Consejo [de Administración]).

A continuación, unas reflexiones de INCIBE  -el Instituto está siendo, también, muy fructífero últimamente, en lo que se refiere a las entradas de su “blog”-  sobre uno de los paradigmas que vienen a sustentar la Industria 4.0: la computación en la nube y su aprovechamiento desde el punto de vista de los sistemas de control industrial.

Y, finalmente, un par de referencias sobre vulnerabilidades de, y amenazas hacia, esos mismos sistemas de control industrial. ¡Algunas de ellas, datadas hace una década, mantienen la plena vigencia!

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 2 de noviembre de 2015

Doubts, expectations & recipes

No doubt, it may seem hard to wonder at this point  -well entered into the third millennium, as we are-;  but it is not less true that happenings invite to wonder it more and more: is it time to surrender? Is it time to leave “digital”? Actually, is it worth for organizations to keep suffering the cyber misfortunes that some of them are suffering, as a consequence of willing to keep playing in today’s connected world? We want to think yes; we want to think that even under such circumstances it is worth. In fact, it seems that there is no alternative, yet, if one wants to keep being innovator, competitive, etc. But, at the same time, it is not strange that more than one  -being a tech-believer, or not- be wondering to do it [to leave it]. (Just remember the program “Clean Slate” that we mentioned a few months ago, in the issue number 88 of our “Newsletter”. A program by DARPA aimed to “re-found” Computing as we know it today, to make it safer).

The truth is that before such an overall panorama, with news constantly referring to cyber incidents, announces like the ones Fundación Borredá is bringing today comfort. The first conclusions of its recent study  -not released yet-  on cyber security in Spain’s companies seem optimistic. Goodness!

Anyway, be cautious. Complacency usually is not a good advisor; so have your homework done and follow the recommendation Korn Ferry is doing to the electricity sector: provide you with talent  -in a moment of lack of it-  both, in security and technology, in business acumen and communication skills. Provide yourself and all who have something to say on cyber security within your organization (start with directors)! Get them ready for any eventuality they might have to face! Moreover with the sales prices that those tools able to take advantage of your industrial control systems’ vulnerabilities have in the black market.

Ah, and as a part of your preparedness, do not forget to comply with legal requirements in matter of [cyber] prevention and protection! Fernando Sevillano gives us a series of recipes to get it done.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Dudas, esperanzas y recetas

Sin duda, la pregunta puede resultar muy dura a estas alturas  -entrados, como estamos, en el tercer milenio-;  pero no es menos cierto que los acontecimientos invitan a uno a formulársela cada vez más: ¿es hora de tirar la toalla? ¿Es hora de abandonar “lo digital”? Realmente, ¿a las organizaciones les compensa seguir sufriendo las [ciber]desdichas que algunas sufren, como consecuencia de querer seguir formando parte del actual mundo conectado? Queremos creer que sí, que aún en esas circunstancias les compensa. De hecho, no parece que haya, ya, otra alternativa, si pretendemos seguir siendo innovadores, competitivos, etc.; pero tampoco extraña que más de uno  -creyente, o no, en la tecnología-  se lo plantee. (Recuerde, si no, iniciativas como el programa “Borrón y cuenta nueva”, que reseñamos hace meses, en el número 88 de este “Boletín”. Programa que abordó la agencia DARPA con la idea de “re-fundar” la Informática, tal y como la conocemos en la actualidad, para hacerla más segura).

Lo cierto es que ante un panorama general, con constantes noticias sobre ciberincidentes, anuncios como el que nos trae la Fundación Borredá, reconfortan. Las primeras conclusiones de su reciente estudio  -aún pendiente de publicación-  sobre la ciberseguridad en las empresas españolas parecen optimistas. ¡Menos mal!

No obstante, no se confíe. La autocomplacencia no suele ser buena consejera; así que haga sus deberes y siga la recomendación de Korn Ferry para el sector eléctrico: dótese de talento  -en un momento en que escasea-,  tanto en seguridad y tecnología, cuanto en visión de negocio y habilidades comunicativas. ¡Dótese Ud. y dote a todos cuantos tengan algo que decir en materia de ciberseguridad en su organización (empezando por sus consejeros)! ¡Nunca se sabe los malos momentos que tendrán que afrontar! Máxime con los precios de saldo a los que se encuentran las herramientas para sacar partido de las debilidades de los sistemas de control industrial que sustentan la actividad productiva de su organización.

¡Ah, y como parte de esa preparación, no descuide el cumplimiento con los requisitos legales en materia de [ciber] prevención y protección! Fernando Sevillano nos ofrece una serie de recetas para lograrlo.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!