Blog del CCI

lunes, 28 de marzo de 2016

Holes, counterbalances & real estate

That "digital" is not seen yet with all the attention it deserves from individuals at the forefront of organizations is evident, if one notices the large number of headlines featuring technological fiascos.

We have not given names for a while ...

In 2012, Mark Thompson, the highest-paid public employee of the UK  -then Director General of the public broadcaster BBC-  left the station with a hole of one hundred million pounds buried in a project, DMI (Digital Media Initiative), which would catapult the veteran BBC into the digital age. His successor in office, Lord Anthony-William "Tony" Hall, canceled the project just one year later; laying-off, incidentally, the until then CTO of the company, John Linwood, who, with that decision, was appointed the solely accountable.

Everything points to that coating the digital context in which companies run today with a layer of “cyber” varnish  -i.e., approaching "digital" from a perspective that considers the consequences of misusing it-  can make more tangible the seriousness of this matter. Cross our fingers!

While this awareness occurs, problems continue to grow, threats are increasing and others manage to materialize cyberattacks that are more and more coordinated and dangerous.

As a counterweight, our good friend and member of "The CCI Ecosystem" Aarón Flecha, brings us today a number of keys to minimizing those risks. And, in the same way, we, at CCI, will be releasing this week a new practical guide which will let you implement an Industrial Cybersecurity Management System. System that in each particular organization, must involve all concerned ones, starting with top management and ending with the last interested.

We say goodbye in a European perspective, referencing the situation created in ENISA, regarding its Heraklion office. Another corporate decision that, perhaps, should have thought twice when it was made a decade ago.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

PS: Without leaving the European perspective, let our condolences go for the victims of the attacks in Brussels last Tuesday, March 22nd, 2016.

Agujeros, contrapesos e inmuebles

Que “lo digital” no acaba de ser visto con toda la atención que merece por parte de los individuos al frente de las organizaciones es evidente, si uno repara en el gran número de fiascos de raíz tecnológica que atestiguan los titulares de prensa.

Hace tiempo que no damos nombres …

En 2012, Mark Thompson, el empleado público mejor pagado del Reino Unido  -por entonces Director General de la cadena pública BBC-  dejó la emisora con un agujero de cien millones de libras esterlinas enterrados en un proyecto, DMI (Digital Media Initiative), que iba a catapultar a la veterana BBC hacia la era digital. Su sucesor en el cargo, Lord Anthony-William “Tony” Hall, cancelaría el proyecto justo un año después; llevándose, de paso, por delante al, hasta ese momento, Director de Tecnología, John Linwood, a quien, con esa decisión, hacía único responsable.

Todo apunta a que revestir el contexto digital en el que hoy se mueven las empresas de una capa de barniz “ciber”, esto es, acercarse a “lo digital” desde una perspectiva que contemple las consecuencias de su mal uso, puede hacer más tangible la seriedad de esta materia. ¡Crucemos los dedos!

Mientras esa toma de conciencia se produce, los problemas siguen creciendo, las amenazas van en aumento y hay quien logra materializar unos ciberataques que se muestran cada vez más coordinados y peligrosos.

Como contrapeso, nuestro buen amigo y miembro de “El Ecosistema CCI”, Aarón Flecha, nos acerca, hoy, una serie de claves para minimizar esos riesgos. Y, en la misma línea  -la de tratar de servir de ayuda-,  desde CCI, presentaremos esta semana una nueva guía práctica que permitirá poner en marcha sistemas de gestión de la Ciberseguridad Industrial. Unos sistemas que, en cada organización particular, habrán de involucrar a todos los afectados, comenzando por la alta dirección y terminando en el ultimo interesado.

Nos despedimos en clave europea, con una referencia a la situación creada en ENISA, respecto de su oficina cretense. Otra decisión corporativa que, tal vez, debería haberse pensado dos veces cuando hace una década se tomó.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

PD: Sin abandonar esa clave europea a la que me refería en el último párrafo, vaya nuestro recuerdo para las víctimas de los atentados de Bruselas del pasado martes, 22 de marzo de 2016.

lunes, 21 de marzo de 2016

Appointments, percentages & old challenges

Certainly, from a socio-political viewpoint, President Obama will be remembered by a myriad of things  -good and bad, depending on the one who judges them-.  In the technology domain, two are the milestones that define  -or are going to define-  the start and the end of his double term. On March, 5th, 2009, just six weeks after becoming President of the United States of America, he named who was going to become the first ever Federal CIO of the North American country. The nominated one would be Vivek Kundra. Now, in 2016, the Obama Administration has given itself three months to designate who will be, formally, its first ever Federal CISO.

Maybe they are not other thing that mere political gestures  -in fact, there were other people in charge of such topics, despite their business cards did not say explicitly “Federal CIO” nor “Federal CISO”-;  but, like every presidential gesture, they could serve as an incentive for other administrations and companies. (On September, 27th, 2013, Spain named its first ever CIO, Domingo-Javier Molina-Moscoso).

Beyond gestures, last Barack Obama’s movement in the technology realm, seems to re-affirm the believing that, today, cybersecurity is already a corporate leadership priority, despite it, as MIT’s Prof. Peter D. Weill says, is not, so far, more than “an excessively defensive perspective”. And  -let me add-  an additional proof of the greater concern about “cyber” that one can see within the Public Sector [in comparison with that of the corporate one]. (Quoting ENISA, one out of four countries has, or is in the way of having, a cybersecurity strategy. I would not advance the same figure in the case of private companies).

As Spain is deciding to follow, again, the stream boosted by the USA and names its first ever national CISO, the European country follows advancing in the development of its critical national infrastructure protection policy with the launch of a new Plan.

Among the challenges that CNI operators will have to keep facing, even with the new Plan, cyberattack attribution, growing smart grid capacities  -and related cyber-weakness-  and IT/OT convergence stand out.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Nombramientos, porcentajes y viejos retos

Seguramente, en el ámbito socio-político, el Presidente Obama será recordado por multitud de cosas  -buenas y malas, a juicio de quien, en cada caso, las valore-.  En el plano tecnológico, dos son los hitos que han marcado  -o van a marcar-  el inicio y el final de su doble mandato. El 5 de marzo de 2009, apenas seis semanas después de tomar posesión de la Presidencia de los EEUU, nombraba al que formalmente iba a convertirse en primer CIO federal del país norteamericano. El elegido para el puesto sería Vivek Kundra. Ahora, en pleno 2016, la Administración Obama se ha dado un plazo de tres meses para designar al que será, formalmente, su primer CISO federal.

Tal vez no se trate más que de gestos políticos  -lo cierto es que ya había otras personas, anteriormente, responsabilizándose de estos temas, a pesar de que sus tarjetas de visita no llevaran explícitamente el nombre de “Federal CIO”, ni de “Federal CISO”-;  pero, como todo gesto presidencial, podrían servir de incentivo para otras administraciones y empresas. (El 27 de septiembre de 2013, España nombraría como CIO de la Administración General del Estado  -el primero-,  a Domingo Javier Molina Moscoso).

Más allá de los gestos, el ultimo movimiento de Barack Obama en el ámbito tecnológico, parece reafirmar la creencia de que, hoy día, la ciberseguridad es ya una prioridad a nivel directivo, aunque ello, citando al Prof. Peter D. Weill, del MIT, no sea, de momento, más que “una perspectiva demasiado defensiva”. Y  -permítame añadir-  una prueba más de la mayor preocupación que parece haber por “lo ciber” en el ámbito público [en comparación con el que parecen tener las empresas]. (Según datos de ENISA, aproximadamente, uno de cada cuatro países ya dispone, o está en vías de disponer, de una estrategia de ciberseguridad. No me atrevería a avanzar ese mismo porcentaje para el caso de las empresas).

Mientras España se decide a seguir, de nuevo, la corriente impulsada por EEUU en materia cibernética y nombra a su primer CISO nacional, el país europeo sigue avanzando en el desarrollo de su política de protección de infraestructuras críticas con el lanzamiento de un nuevo Plan nacional.

Entre los retos a que habrán de seguir enfrentándose los operadores de este tipo de infraestructuras, aún con el nuevo Plan, destacan el problema de la atribución de la autoría de los ciberataques, las crecientes capacidades  -y, con ellas, la creciente ciberdependencia-  de las redes inteligentes y las relaciones entre sus áreas de TI y de TO.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 14 de marzo de 2016

Criticisms, recipes & shortening terms

Boards of Directors, Directors and CEOs have been featured, for months  -and they will keep being-,  in this column. Almost always being criticized. We have criticized their lack of knowledge/awareness regarding “cyber”  -the last case we have known of has been that of FBI’s Mr. Comey, due to his lack of ability to give technical explanations before the Congress-.  We have criticized their decisions. Or we have posed the consequences for them and their companies from some notorious cyber-scandals. But critic always has enjoyed a constructive spirit. Because of that, we are again going back to them, today, with a brief set of management recipes (mainly Cyber Security management recipes).

Speaking recipes, few better than “don’t put all your eggs into the same basket”: a true wakeup call to diversify your supply chain and to comprehensively assess which cyber-preventive practices your providers, 3rd- or 4th-party, are following.

Of course, there are always alternate preferences. Nation-States seem to have opted by offensive prevention, instead. Let’s hope the new version of CSET does not hide any surprise!

And finally, there is still time for good news: the long time it takes to detect a cybersecurity breach is shortening.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Críticas, recetas y acortamiento de plazos

Consejos [de administración], consejeros y consejeros delegados (CEOs, por sus siglas en inglés) han venido disfrutando, durante meses  -y seguirán haciéndolo-,  de un amplio protagonismo en esta tribuna. Casi siempre ha sido para criticarlos. Para criticar su falta de conocimiento/conciencia en materia “ciber”  -el ultimo caso del que hemos tenido noticia ha sido el del Director del FBI, Sr. Comey, por sus dificultades para explicarse en el Congreso-;  para criticar sus decisiones; o para dar cuenta de las consecuencias que, para ellos y sus empresas, han tenido algunos notables ciberincidentes. Pero la crítica siempre ha gozado de un espíritu constructivo. Por eso, hoy volvemos, nuevamente, a ellos tendiéndoles, como siempre, la mano. Esta vez en la forma de unas breves recetas de gestión (al menos, de gestión de la Ciberseguridad).

Hablando de recetas, pocas mejores habrá que aquella de “no poner todos los huevos en la misma cesta”: una verdadera llamada de atención a favor de la diversificación de proveedores y de la exhaustiva “revisión” de las prácticas de ciberprevención que siguen aquellos, ya sean directos e indirectos.

Hay quien opta por otras medidas preventivas. Los estados parecen preferir la prevención ofensiva. ¡Confiemos en que la nueva versión de CSET no venga acompañada de ninguna sorpresa!

Antes de finalizar, aun queda tiempo para las buenas noticias: los prolongados tiempos que los ataques permanecen encubiertos  -cuando nuestros sistemas ya están comprometidos-  comienzan a acortarse.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 7 de marzo de 2016

Predicting the future, real-life risks and other visits

Last Friday, we  -CCI-  were invited to participate in an informative session about the future of technology that a known Madrid-based, English-speaking radio station broadcasts once a month, serving more than one million listeners. During the program, in which our discourse focused on the current, and future, challenges cybersecurity poses, we had also the opportunity to highlight the need for promoting accountability [for the use of technology] among those individuals populating Boards of Directors. The host of the program, Richard Vaughan, a well-known and reputed entrepreneur who gives name to the Group which owns the station, asked, not without certain surprise, what was our perception about the current level of assumption of such liability among the Directors community. He pointed out that, in his view, he did not think these individuals, among which he stands, were very convinced, today, to assume that responsibility as their own.  Our answer, already known, was in the same direction that today’s Newsletter’s first headline suggests: “The board of directors should be always involved in the company's cyber security” as it should be assuring its continuity and feasibility and, therefore, oversighting every kind of risk that threaten such feasibility. Among them, technology risk.

Although it is not the only one. Proof of it and of that the border between kinetic and non-kinetic is blurring, today we bring to you a couple of examples of incidents on industrial [critical] infrastructures which motivation does not seem, a priori, having been bound to the use of control systems; but which consequences are not so different from those produced by systems misuse.

Finally, let me invite you to visit a security operations center (SOC) where you will see how risks like the mentioned above are monitored.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Predecir el futuro, riesgos de la vida real y otras visitas

El pasado viernes fuimos  -CCI-  invitados a participar en el espacio divulgativo sobre el futuro de la tecnología que emite mensualmente una conocida emisora de habla inglesa, ubicada en Madrid, y que sirve diariamente a algo más de un millón de radioyentes. En el transcurso del programa, en el que nuestro discurso giró entorno a los retos que presenta (y presentará) la ciberseguridad industrial, tuvimos ocasión de exponer nuestro punto de vista sobre la necesidad de promover la rendición de cuentas, en materia tecnológica, entre quienes pueblan los consejos de administración de las empresas. El conductor del programa, Richard Vaughan, un conocido y respetado empresario que da nombre al grupo propietario de la emisora, preguntó, no sin cierta sorpresa, cuál era nuestra percepción sobre el grado actual de asunción de esa responsabilidad, entre la comunidad de consejeros. Él mismo señaló que, a su juicio, no creía que estos individuos, entre los que se encuentra, estuviesen muy convencidos, hoy en día, de asumir esa responsabilidad como suya. Nuestra respuesta, ya conocida, fue en la dirección que marca la noticia que abre la edición del “Boletín” de hoy: “El consejo de administración debe involucrarse siempre en la ciberseguridad de la empresa”, en tanto que ha de ser garante de la continuidad y viabilidad de la misma y, por tanto, de la supervisión de todo tipo de riesgo que amenace la referida viabilidad. Entre ellos, los riesgos tecnológicos.

Aunque esos no son los únicos. Prueba de ello y de que las fronteras entre lo “ciber” y lo real son, cada vez, menos claras, hoy le acercamos dos ejemplos de incidentes sobre infraestructuras industriales (críticas) cuya motivación no parece, a priori, haber estado relacionada con el uso de sistemas de control industrial; pero cuyas consecuencias no resultan muy diferentes de las que habría causado un mal uso de dichos sistemas.

Finalmente, le invitamos a que visite un centro de operaciones de seguridad (SOC, por sus siglas en inglés) donde podrá ver cómo se supervisan riesgos como los citados.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!