Blog del CCI

lunes, 29 de febrero de 2016

Misuses, counter-attacks and being up-to-date

On May, 13th, 2008, I had the opportunity to introduce for the first time in Spain, as a novelty, what just some twenty days after would become the first  -and, could be said, almost the last up today-  international standard dealing with BoD’s accountability for the use of technology in their organizations.

[ISO 38500 was released, in its first edition, on early June, 2008]

I recall that after my speech, and given the ‘overseer’ role the new standard was going to assign to directors, one attendant asked me: “And who is going to ‘oversee’ the ‘overseer’?”.

I also remember that during my answer I advocated for giving a certain margin of trust to regulators.

Today, eight years later, these same regulators seem to keep interested  -I hope that even more than in 2008-  in making companies accountable for the [negative] consequences of the use of technology. More precisely, BAD use.

Current cyberspace’s strategic interest and, particularly, that of the critical information infrastructures that populate it, can be, as a relevant cause, behind regulators’ concern about how businesses adopt counter-measures to avoid, or to minimize, the effects of any cyber incident. Among these measures, ‘counter-hacking’ seems to be gaining relevance; or, at least, it seems to be matter of debate.

Dissemination and awareness improvement could be taken into account, too, as part of the above mentioned counter-measures: CCI has released a series of sound recommendations to face the effects of certain high-impact threats on industrial automation and control systems. ISA, via its Spain’s Section, has released a new guide explaining some of the technologies that integrate those control systems.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Malos usos, contrataques y estar al día

El 13 de mayo de 2008 tuve la oportunidad de presentar en España, como primicia, la que apenas veinte días después se convertiría en la primera  -y, casi podría decirse que última, hasta la fecha-  norma internacional en la que se iba a hablar de la responsabilidad de los consejos de administración en relación al uso que las organizaciones hacían de la tecnología.

[ISO 38500 fue publicada, en su primera edición, en la primera semana de junio de 2008].

Recuerdo que tras mi alocución, y dado el papel de ‘vigilantes’ que la nueva norma iba a asignar a los consejeros, una persona del público me preguntó: “¿Y quien va a ‘vigilar’ a los ‘vigilantes’?”.

Recuerdo, igualmente, que en mi respuesta abogué por conceder un margen de confianza, para ese menester, a los organismos reguladores.

Hoy, ocho años después, esos mismos organismos reguladores parece que siguen interesados  -quiero pensar que aún más que entonces-  en velar porque las empresas se responsabilicen de las consecuencias [en este caso, negativas] del uso de la tecnología. Más exactamente de su MAL uso.

El interés estratégico que hoy tiene el ciberespacio y, en particular, las infraestructuras de información críticas que lo pueblan, pueden estar, como causa relevante, tras ese interés de los organismos de control por que las empresas y organizaciones establezcan las contramedidas pertinentes para evitar, o minimizar, los efectos de cualquier incidente de raiz cibernética. Entre esas medidas, la del contra-ataque, parece estar adquiriendo cierto protagonismo; o, cuando menos, parece estar siendo motivo de un acalorado debate.

La formación y la concienciación bien pueden ser tenidas en cuenta, también, como parte de esas contramedidas: CCI ha publicado esta semana unas interesantes recomendaciones para amortiguar los efectos de ciertas graves amenazas sobre los sistemas de control industrial. ISA, a través de su Sección Española, ha hecho lo propio con una nueva guía que explica algunas de las tecnologías que conforman esos sistemas de control.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 22 de febrero de 2016

Prices down, bubbles and ineffectiveness

That Business Senior Management must give priority attention to the problems arising from the use and application of "digital" in their organizations is something that this editorial insists on every week. Once other basic, key, parameters have been assured  -i.e., to be able to develop entrepreneurship in a context of political stability and under a legal framework that offers guarantees-,  today's organizational dependence of IT (respectively, OT) brings  -should bring-  the possibility of a cyber incident to the first line of concern for all those with an interest in the organization. These include executives, as well as investors. Not surprisingly, the concern of the latter has a clear ability to affect the concern of the first: impairment of a company on the stock market (concern of the first) is a direct consequence of the loss of confidence by the market (reflecting the concern of the latter), after learning that this may have suffered any major cyber incident.

The firm Slaughter & May provided, in March 2015, some unquestionable data: in the case of Heartland Payment Systems, the company lost 46.3% of its value, just three days after disclosing a security breach on their computer systems, on January, 20th, 2009; a figure that would reach 49.54% one month later. More recently, AOL, another firm within Slaughter & May’s radar, reported a new security breach on April, 28th, 2014. Three days later, AOL’s price had fallen by 1.7%. A month later, the loss came to 23.56%.

However, the price of attacked companies is not the only falling. These days a downtrend is seen also among the group of companies offering cybersecurity. Some talk of a bubble, by analogy with what happened on the Internet fifteen years ago. Others are more optimistic. Robert Herjavec, founder of security firm Herjavec Group, recently asked about this issue, stated: "I don't think cybersecurity is overheated, I think the market of start-ups getting funded is overheated. I think there is an inconsistency in the market for the next three to five years, because there are too many niche companies chasing too few dollars".

Meanwhile, hackers seem to be the ones getting the money; though there is disparity in opinions regarding this, too. Hackers whose actions on industrial control systems have an unstable counterweight: the measures in response to cyber incidents caused in this environment does not seem to count with appropriate maturity, yet. In fact, in some cases there is a total lack of planned response.
Other times, even when plans to deal with crisis situations exist, the lack of coordination between the affected parties  -born, probably, due to a bad internal communication-  makes these plans prove equally irrelevant.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Cotizaciones bajistas, burbujas e inoperancia

Que la alta dirección de las empresas ha de prestar una atención prioritaria a los problemas derivados del uso y aplicación de “lo digital” en sus organizaciones, es algo en lo que este editorial insiste semana tras semana. Garantizados otros condicionantes básicos, clave, como poder desarrollar la actividad empresarial en una coyuntura de estabilidad política y bajo un marco jurídico que ofrezca garantías, la actual dependencia tecnológica de cualquier organización sitúa  -debería hacerlo-  la posibilidad de sufrir un incidente cibernético en la primera línea de las preocupaciones de quienes tienen algún interés en aquella. Ello incluye a sus directivos; pero no deja fuera, ni mucho menos, a sus inversores. No en vano, la preocupación de los segundos tiene una clara capacidad de afectar a la preocupación de los primeros: el deterioro del valor de una sociedad en bolsa (preocupación de los primeros) es consecuencia directa de la pérdida de confianza del mercado (reflejo de la preocupación de los segundos), tras conocerse que aquella haya podido sufrir cualquier ciberincidente grave.

La firma Slaughter & May ofrecía, en marzo de 2015, unos datos irrefutables: en el caso de Heartland Payment Systems, esta sociedad perdía, a los tres días de conocerse una brecha de seguridad en sus sistemas informáticos, el 20 de enero de 2009, un 46,3% de su valor; cifra que ascendía al 49,54% al cumplirse un mes del incidente. Más recientemente, AOL, otra de las firmas analizadas por Slaughter & May, comunicaba el 28 de abril de 2014 una nueva brecha de seguridad. Tres días después, la cotización de AOL había descendido un 1,7 %. Un mes después, la pérdida llegaba al 23,56%.

No obstante, la cotización de las empresas atacadas no es la única que baja. En estos días se aprecia una tendencia bajista, también, entre el colectivo de empresas que ofrecen servicios de ciberseguridad. Hay quien habla de una burbuja, por analogía con lo ocurrido en Internet hace quince años. Otros se muestran más optimismas. Robert Herjavec, fundador de Herjavec Group, preguntado recientemente sobre esta cuestión sentenciaba: "No creo que la ciberseguridad esté saturada, creo que el mercado de las 'start-up' que buscan financiación está saturado. Creo que habrá un desequilibro en los próximos tres a cinco años, en el sentido de que habrá muchas empresas de nicho intentando repartirse el poco dinero que habrá disponible".

Mientras tanto, quienes parecen llevarse el dinero  -en esto hay también disparidad de opiniones-  son los hackers. Unos hackers cuyas acciones sobre los sistemas de control industrial tienen un inestable contrapeso: las medidas de repuesta a ciberincidentes causados en este entorno no parecen contar, aún, con la madurez adecuada. De hecho, en algunos casos, ese tipo de respuesta ni siquiera ha sido planteada.

Otras veces, aun existiendo planes para hacer frente a las situaciones de crisis, la falta de coordinación entre los afectados  -nacida, probablemente, de una mala comunicación interna-  hace que dichos planes resulten, igualmente, inoperantes.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 15 de febrero de 2016

Accountability, new scenarios & blurring borders

Unfortunately, it is not something that we are accustomed to in these latitudes; but, undoubtedly, if there is a clear and sharp expression of good governance in an organization it is that which, if necessary, results in genuine accountability. For sure, you recall that from this column  -we have not done it for a while; but give it time-  we have quoted some notable cases of accountability, embodied in resignations of presidents and CEOs (perhaps not all of them fruit of sincerity or conviction; but simply forced by circumstances or by a board of directors who has acted as guarantor of the legitimate interests of their constituents).  Anyway, all the cases have exemplified standard cyber consequences.

The fact is that we are facing a change of scenario: think, for example, in the oil sector. Until recently, the kind of problems any oil company faced  -we keep our focus on accountability-  usually had to do with incidents and, particularly, very serious accidents affecting people, assets and the environment; and lastly the company’s reputation (remember the cases of “Exxon Valdez”, “Prestige” or “Deepwater Horizon”). Today there is a series of new problems, derived from the growing use of IT at corporate level and OT in fields, rigs, ships, refineries and pipelines. Regarding the latter, I will come back other day to detail the Bellingham (Washington, USA) case.

Let me say just a couple of things: facts like those of Bellingham, or other similar cases, are, in general, a consequence of any kind of threat, both internal or external, born from an error, negligence, failure or, even, sabotage.

Facts like the ones lived in Bellingham come also to recall that the border between safety and security is becoming more and more blurring.

Today this comment has focused mainly in the oil sector; but others, like the healthcare industry, are not away from the same perils.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Rendición de cuentas, nuevos escenarios y fronteras difusas

Lamentablemente, no es algo a lo que estemos muy acostumbrados en estas latitudes; pero, sin lugar a dudas, si hay una expression clara y nítida del buen gobierno de una organización es la que, llegado el caso, se traduce en una sincera rendición de cuentas (‘accountability’, la llaman los angloaparlantes). Recordará  -hace meses que no lo hacemos; pero dele tiempo al tiempo-  que desde esta tribuna hemos citado algunos casos notables de rendición de cuentas, materializados en dimisiones de presidentes y consejeros delegados (tal vez, no todas ellas sinceras o fruto del propio convencimiento; sino, simplemente, obligadas por las circunstancias o por un consejo de administración que ha actuado en calidad de garante de los legítimos intereses de sus representados). En todo caso, se ha tratado de ejemplos de libro de consecuencias de las problemáticas ‘ciber’.

Y es que estamos ante un cambio de escenario: piense, por ejemplo, en el sector petrolero. Hasta hace escasos años, los problemas a los que una empresa en este sector se enfrentaba  -seguimos con el foco puesto en la rendición de cuentas-  guardaban, generalmente, relación con incidentes y, especialmente, accidentes, de consecuencias gravísimas para las personas, el patrimonio o el medioambiente, que afectaban, en última instancia a la imagen de la compañía (recuerde los casos del “Exxon Valdez”, el “Prestige” o la plataforma “Deepwater Horizon”). Hoy a estos problemas se suman los derivados del creciente grado de informatización a nivel corporativo y automatización de las operaciones de campo en pozos, plataformas, barcos, refinerías y oleoductos. En relación a estos últimos, dejaré para otro día el caso de los acontecimientos de Bellingham (Washington, EEUU).

Permítame decirle, únicamente, que hechos como los de Bellingham, u otros similares, son, por lo general, fruto de la materialización de alguna amenaza, interior o exterior, nacida de algún error, negligencia, fallo e, incluso, sabotaje.

Hechos como los de Bellingham vienen, también, a recordar que la línea que separa la protección de personas, patrimonio o medioambiente, de la protección de los sistemas informáticos de control es cada vez más borrosa.

Hoy me he centrado en el sector petrolero; pero otros, como el sanitario, no son ajenos a los mismos peligros.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 8 de febrero de 2016

How each other is facing the big challenge

After more than two decades of, first, trying to understand and, then, to translate the role that those in charge of organizations have to play in technology  -for our interests, in 'cyber'-,  it is clear that one has seen changes, or have begun to see them, in a positive sense. When it comes to organizations-state, one of such changes, not negligible, but obvious, given the situation, is the main role that leaders of these states (those in charge of their governments, and governments themselves) are assuming on 'cyber' today. According to the latest census data updated by ENISA, the European Network and Information Security Agency, fifty-six countries now have a cybersecurity strategy (or are elaborating it). In round numbers, that figure means that at least one in four countries in the world has defined its strategy for cybersecurity.

So far the good news! The bad ones: I am afraid that we are not in a position to state that one in four companies  -these are in the millions, do not think only in the big ones!-  has begun to address the same challenge with equal determination. As an example, let me quote companies in the shipping sector, which includes a handful of firms in other industries such as oil and gas, with oil tankers, LNG carriers and other marine infrastructure (rigs), increasingly computerized and automated.

Maybe that's why efforts within the market do not stop and bodies such as ISA, the International Society of Automation, or ECIL, European Cybersecurity Industry Leaders, continue making proposals in the form of standards and recommendations aimed at improving cybersecurity, both their own and that of others.

Maybe that’s also why individual voices keep emerging that aim to achieve the same goal  -to improve awareness on the need for facing the cybersecurity challenge-. It is the case of Dr. Lillian Ablon, researcher whose profile I am bringing to you on this occasion.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

De cómo unos y otros se enfrentan al gran reto

Tras más de dos décadas de intentar comprender, primero, y trasladar, después, el papel que han de jugar en materia tecnológica  -para nuestros intereses, en materia ‘ciber’-  quienes están al frente de las organizaciones, es evidente que uno ha visto cambios, o ha comenzado a verlos, en sentido positivo. Cuando nos referimos a organizaciones-estado, uno de tales cambios, nada despreciable, pero evidente, dada la coyuntura, es el protagonismo sobre lo ‘ciber’ que hoy asumen los líderes de dichos estados; esto es, quienes están al frente de sus gobiernos y sus gobiernos mismos. Según los últimos datos actualizados del censo que mantiene ENISA, la Agencia Europea para la Seguridad de la Información y las Redes, cincuenta y seis países disponen hoy de una estrategia de ciberseguridad (o están elaborándola). En números redondos, ese dato supone que, al menos, uno de cada cuatro países del mundo ha definido su estrategia de ciberseguridad.

¡Hasta ahí las buenas noticias! Las malas: mucho me temo que no estamos en disposición de afirmar que una de cada cuatro empresas  -éstas se cuentan por millones, ¡no piense solo en las grandes!-  ha comenzado a afrontar con igual determinación el mismo reto. Como ejemplo, permítame citar las empresas del sector de transporte marítimo, el cual incluye un buen puñado de firmas de otros sectores industriales como el del petroleo y el gas, con sus petroleros, metaneros y otras infraestructuras marinas (plataformas), cada vez más informatizadas y automatizadas.

Tal vez por eso, los esfuerzos, dentro del mercado, no cesan y entidades como ISA, la Sociedad Internacional de Automatización, o la más reciente ECIL, Líderes Europeos de la Industria de la Ciberseguridad, continuan realizando propuestas en la forma de normas y recomendaciones, orientadas a mejorar la ciberseguridad, tanto propia, como de terceros.

Tal vez, también por eso, siguen surgiendo voces individuales que pretenden alcanzar esa misma meta  -concienciar sobre la necesidad de hacer frente al reto de la ciberseguridad-,  como la de la investigadora Lillian Ablon, cuyo perfil le acerco en esta ocasión.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 1 de febrero de 2016

Conscience, negligence and innocence

Considering the human factor as the weakest link in the security chain is as old as true. And the very fact, as undeniable as devastating. So teaches us the reality embodied in the examples brought by today's edition of our  "Newsletter". (Naturally, I am conscious that subscribing the above statements, here and now, brings nothing new, except that it never hurts to remember it. In that sense, everything is small!).

Speaking of conscience, that computing is a socio-technical discipline is something you become aware of very quickly; even when, still very young  -of course, I speak of my generation; our children are born with all kinds of programmable devices under the arm-  one takes (took) the first contact with computer programming. In those days, it took you few time to make yours the phrase (and, if not, there was always someone close to you saying it) "No, it's not that the computer has malfunctioned. It's done to perfection and has calculated what you asked. What’s wrong is the program, the instructions you have given him". This same idea was the one that Josu Franco, Vice President, Corporate Development, at Panda Security, reminded us a few weeks ago when at a round table he was questioned as follows: "Mr. Franco, then, do you believe that software quality (or rather, lack thereof) is the most decisive factor when it comes to cybersecurity?". Mr. Franco’s answer could not be clearer: "No, I think that what is really crucial is the person (or persons) who has been following the creation [design-build-test] of that code of questionable quality".

But, of course, not only in the creation of software intended for information or control systems there is a clear human intervention  -at least, so it has been until now mainly-:  What about its use; the use and operation of such systems? In that sense, the opinion of those in charge of cybersecurity is daunting, when they point to the mainstream behavior as the main threat to the systems they guard.

At the same time, it is not all negligence. Although it is in our willingness to do the right things right, we have to realize that sometimes simply we are deceived. If in doubt, know the opinion of the "DEF CON’s deadliest social engineer", young mathematician and professor Lillian Ablon, who was the first woman to "capture the flag" at the famous hacking conference’s social engineering competition.

A social engineering that materializes, most of the times, via "phishing", in its different and threatening variants. Ask FACC or the US Coast Guard!

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Consciencia, negligencia e inocencia

La consideración del factor humano como el eslabón más débil en la cadena de la seguridad es tan vieja, como cierta. Y el propio hecho, tan incuestionable, como devastador. Así nos lo muestra la realidad, materializada en los ejemplos que hemos elegido para la edición de hoy del “Boletín”. (Naturalmente, soy consciente de que suscribir las anteriores afirmaciones, aquí y ahora, no aporta nada nuevo; salvo que nunca está de más recordarlo. En ese sentido, ¡todo es poco!).

Hablando de consciencia, que la Informática es una disciplina socio-técnica es algo de lo que se es consciente muy pronto; incluso, cuando, aún siendo muy joven  -hablo de mi generación; nuestros hijos ya nacen con todo tipo de aparatos programables debajo del brazo-  uno toma (tomaba) el primer contacto con la programación de ordenadores. En aquellos días, tardabas poco en hacer tuya la frase (y, si no, siempre había alguien cerca que te la decía) “No, no es que el ordenador haya funcionado mal. Lo ha hecho a la perfección y ha calculado lo que le has pedido. Lo que está mal es el programa, las instrucciones que le has dado”. Es la misma idea que nos recordó hace escasas semanas Josu Franco, Vicepresidente de Desarrollo Corporativo de Panda Security, cuando en una mesa redonda en la que participaba fue interrogado en los siguientes términos: “Sr. Franco, entonces, ¿cree Ud. que la calidad del software (o, mejor, su carencia) es el factor más determinante en lo que respecta a los problemas de ciberseguridad?” La respuesta del Sr. Franco no pudo ser más clara: “No, creo que lo verdaderamente determinante es la persona (o personas) que ha habido tras la creación [diseño-construcción-prueba] de ese código de calidad cuestionable”.

Pero, desde luego, no sólo en la creación de programas informáticos con destino a sistemas de información/de control hay una clara intervención humana  -o, así, ha sido mayoritariamente hasta ahora-: ¿Qué hay de su uso; del uso y operación de tales sistemas? En ese sentido, la opinión de los responsables de ciberseguridad es desalentadora, cuando señalan a las conductas mayoritarias como la principal amenaza para los sistemas que custodian.

Al mismo tiempo, tampoco se puede afirmar que todo sea fruto de la negligencia. Aunque esté en nuestra voluntad hacer las cosas correctas, de forma correcta, hemos de pensar que, en ocasiones, simplemente, nos engañan. Si tiene alguna duda, conozca la opinión de la “ingeniera social más mortífera de la DEF CON”, la joven matemática y profesora Lillian Ablon, quien ha sido la primera mujer en “hacerse con la bandera” en la competición sobre ingeniería social de la famosa conferencia.

Una amenaza, la de la ingeniería social, que tiene una de sus más evidentes expresiones, por la vía del “phishing”, en sus diferentes y amenazadoras variantes. ¡Pregunten, si no, a la empresa FACC o a los guardacostas de los EEUU!

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!