Blog del CCI

lunes, 25 de enero de 2016

Bureaucracy, objects of desire & system errors

The difference between compliance and security is part of an old debate. Management systems that seek to meet certain standards (to the point of being certified by accredited bodies, as a reward for such compliance) provide the organization with, particularly, order  -i.e., they serve to "bring order" -; but it usually is an administrative order which replaces or, at least, improves the customs institutionalized within the organization. However, these management systems are not an impenetrable wall that offers full guarantee of protection. (At least, not necessarily).

In this context, some recipes could help you to increase the value of cybersecurity management systems in an attempt to "promote new benefits of current practices" used in the implementation of such systems.

With, or without, the discipline management systems provide, the fact is that the technology supporting the activities of energy companies are still object of desire for all sorts of attackers. The repeated case of Ukrainian power plants is another example; the nth since, for the first time, these war games took advantage of the possibilities offered by cyberspace. For such a reason, and beyond administrative solutions, the electricity and O&G industries require wise, appropriately focused, investments to protect grid stations and pipelines. [By the way, perhaps TACIT (or TACIT-like) solutions help define such investments. Do not forget to try it!].

But as we have insisted from this column, when it comes to “cyber", it is not all attacks: lack of software quality, poor choice of physical equipment and system architectures, or obsolescence, also do their work. Problems provoked by such causes  -some of them actually unfortunate-  have been following the events of the Arianne 5 (1996), Comair (2004), Orly Airport (2015), etc.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Burocracia, objetos de deseo y errores del sistema

Las diferencias entre conformidad y seguridad forman ya parte de un viejo debate. Los sistemas de gestión que tratan de cumplir con ciertas normas (hasta el punto de ser certificados por entidades acreditadas, como premio a dicho cumplimiento) aportan a la organización, particularmente, en materia de orden  -sirven para “poner orden”-;  pero es éste un orden que suele ser de naturaleza documental y cuya misión es venir a sustituir o, al menos, a mejorar los usos y costumbres institucionalizados dentro de la organización (no siempre acertados). Sin embargo, esos mismos sistemas de gestión no constituyen un muro infranqueable que ofrezca plena garantía de protección. (Al menos, no necesariamente).

En ese contexto, les traemos, hoy, algunos consejos para elevar el valor de los sistemas de gestión de la ciberseguridad en un intento de “potenciar nuevos beneficios de las prácticas actuales” empleadas en la puesta en marcha de tales sistemas.

Con la disciplina que aportan los sistemas de gestión, o sin ella, el hecho es que las soluciones tecnológicas que soportan la actividad de las empresas del sector energético siguen siendo objeto de deseo para todo tipo de atacantes. El reiterado caso de las centrales eléctricas ucranianas constituye un nuevo ejemplo; el n-ésimo desde que estos juegos de guerra aprovechasen por primera vez las facilidades que ofrece el ciberespacio. Por esa razón, y más allá de soluciones administrativas, las industrias eléctrica, del petroleo y del gas requiren de atinadas inversiones, oportunamente orientadas a proteger redes, oleoductos y gasoductos. [Por cierto, tal vez, soluciones como TACIT contribuyan a definir tales inversiones. ¡No dejen de probarla!].

Pero, como hemos insistido desde este editorial, en la problemática “ciber” no todo son ataques: la falta de calidad del software, la mala elección de arquitecturas físicas de equipos y sistemas o su obsolescencia, también hacen su labor. Los problemas  -algunos desgraciados-  provocados por este tipo de causas han estado tras los incidentes del Arianne 5 (1996), de ComAir (2004), del aeropuerto de Orly (2015), etc.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 18 de enero de 2016

Certainty, hits & perspectives

There is nothing truer than to admit that responsibility for the protection of an organization’s assets belongs to all its stakeholders. Different governmental campaigns talk about “a shared responsibility”. Though, it is not less true to say that such accountability starts with those at the front of the organization (an idea insistently repeated from this column). The problem is that to reach this conviction, this assumption, is a cultural issue that little, if any, has to do with technology itself, as Prof. J. Cano, remember us today. He poses that a traditional discourse on the matter is the one based on fear, uncertainty and doubts. Maybe it is not the best discourse, but let me say that it has resulted efficient: it has helped to change minds!

Without aiming it [to frighten you] data offered by different informed sources  -today, we are bringing to you the ones from ICS-CERT and NTI-  contribute in a very understandable way to clarify the cyber threats that industrial organizations are currently facing.

In other sectors, like medical equipment, perspectives are no better. One year ago, not few forecasts announced the main role that healthcare was going to play during 2015 regarding cyberattacks. Fortunately, maybe it has not been the case; but the threat remains.

Even at domestic level, a realm apparently far from industry, field is being rapidly seed to suffer any kind of cyber problems: the first incidents are having to do with mere glitches; the following, perhaps, will take advantage of such weaknesses and lack of quality, to become cyberattacks that could leave us all frozen.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Certezas, aciertos y perspectivas

Nada es más cierto que reconocer que la responsabilidad sobre la protección de los activos de una organización es de todos cuantos tienen algún tipo de interés en la misma. Diferentes campañas institucionales hablan de una “responsabilidad compartida”. Sin embargo, no resulta menos cierto, igualmente, afirmar que dicha responsabilidad comienza en quienes están al frente de la organización (idea insistentemente reiterada desde esta tribuna). El problema está en que llegar a esa convicción, a esa asunción, es un tema cultural que poco, o nada, tiene que ver con la tecnología misma, como hoy nos recuerda el Prof. J. Cano. Él señala que un discurso tradicionalmente asentado es aquel basado en el miedo, la incertidumbre y las dudas. Tal vez no sea el más acertado, pero, hasta ahora, podría decirse que se ha mostrado eficaz: ha servido para remover conciencias.

Sin pretenderlo [asustar], los datos ofrecidos por diferentes observatorios y otras fuentes de referencia  -hoy, como ejemplo, les acercamos las cifras de ICS-CERT y de la NTI-  contribuyen de una manera muy gráfica a poner los puntos sobre las íes en lo que se refiere al vigente estado de amenaza al que se enfrentan las organizaciones industriales.

En otros ámbitos, como el del equipamiento médico, las perspectivas no son mucho más alentadoras. Hace ahora un año, no pocos pronósticos anunciaban el protagonismo que, en materia de ciberataques iba a tener en 2015 el sector sanitario. Tal vez, afortunadamente, aún no haya sido así; pero la amenaza permanece.

Incluso un ámbito aparentemente más alejado de la industria, como es el doméstico, está siendo rápidamente abonado para sufrir todo tipo de problemas de naturaleza cibernética: los primeros incidentes están teniendo que ver con meros fallos de los equipos; los siguientes, tal vez, aprovechen esas debilidades y la falta de calidad, para adoptar la forma de ciberataques que podrán llegar a dejarnos helados.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 11 de enero de 2016

Visits, unions & assessments

Year out, year in, but challenges remain the same. In an era of shareholder cult  -no doubt, the most relevant customer for a public company-,  many directors will be visited in 2016  -some of them, the most unfortunate ones, re-visited-  by all sort of cyber incidents affecting their customers; and, therefore, their (and their businesses’) reputations. Apart from other consequences.

As digitization expands, more and more businesses (and whole sectors) become, let’s say, ‘cyber weaker’. One of such sectors, transportation, could be a relevant victim of cyberattacks this year. Bored of pursuing classical industries  -classicism given by their recurrent position as targets in recent times-  hackers could be turning their view to almost [cyber] virgin territories.

Current modernization of railway infrastructures makes a wide variety of information and control systems being part of such an appeal realm. Here in Madrid (Spain), we know well what having the city paralyzed means, after the whole subway network was halted on June, 29th-30th, 2010. It was just five and a half years ago when there’s nobody, apart from local unions, watching to the subway as a protest tool. Think now, what could be done in a cybersabotage scenario with these same trains and passengers.

Fortunately, 2016 brings good news, too. A nation-wide industrial labs network (RNLI) has been recently launched in Spain (maybe to prevent events like the ones suggested before) and, in Germany, DAkkS, the national accreditation body is going to start accrediting local certification bodies interested in performing ISASecure conformity assessments.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Visitas, sindicatos y evaluaciones

Los años pasan, los retos permanecen. En la era del culto al accionista  -sin duda, el ‘cliente’ más importante para una empresa cotizada-  muchos consejeros, en 2016, recibirán  -incluso, algunos, los menos afortunados, la recibirán ‘de nuevo’-  la visita de todo tipo de ciberincidentes. ‘Visitas’ que, presumiblemente, afectarán a sus clientes y, consecuentemente, a su propia reputación (y a la de sus empresas). Además de provocar otras inesperadas consecuencias.

A medida que la digitalización se expande, cada vez más organizaciones (y sectores completos) se hacen, digamos, ‘más ciber débiles’. Uno de dichos sectores, el del transporte, en el que reparamos hoy, podría ser, este año que acabamos de estrenar, una víctima relevante de los ciberataques. Aburridos de dirigir sus ataques siempre a los mismos sectores/empresas  -que han sido objetivo recurrente en los últimos tiempos-  los atacantes podrían volver la mirada hacia territorios casi vírgenes, desde el punto de vista cibernético, como el del transporte.

La constante modernización de las infraestructuras ferroviarias hace que una amplia variedad de sistemas de información y de control formen parte de ese apetitoso territorio. Aquí, en Madrid (España), sabemos bien lo que supone tener la ciudad paralizada después de un inesperado bloqueo de la red de metro, como el que tuvo lugar los días 29 y 30 de junio de 2010. Ocurrió hace tan solo cinco años y medio, en un momento en el que nadie, aparte de un grupo de sindicalistas, había reparado en un metro convertido en una herramienta de presión y de protesta. Piense lo que podría hacerse en un scenario de cibersabotaje [como los conocidos a partir del caso Stuxnet, casualmente hecho público, también, en 2010] con esos mismos trenes y pasajeros.

Afortunadamente, 2016 también se presenta con buenas noticias. En España se ha lanzado recientemente una red nacional de laboratorios industriales  -tal vez para evitar eventos como los sugeridos más arriba-  y, en Alemania, DAkkS, el organismo nacional de acreditación, va a comenzar a acreditar a las entidades certificadoras interesadas en desarrollar, sobre los sistemas de control industrial, evaluaciones de conformidad con el esquema ISASecure.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!