Blog del CCI

lunes, 25 de abril de 2016

Survivors, directors dialogue and accountability

This month’s issue of “NACD Directorship”, the journal of the National Association of Corporate Directors, includes an interesting list of the most resilient corporations, so far, in America. It is twelve companies established between 1784 (The Bank of New York Mellon Corporation, the oldest firm within Fortune 500) and 1833 (McKesson Corporation). As part of such an exclusive group there are several industrial companies like E. I. du Pont de Nemours and Company (chemical sector), Colgate-Palmolive Company (manufacturing), Consolidated Edison Inc. (utilities) o CSX Corporation (transportation).

The list illustrated the “Director Dialogue” sessions that the Association recently organized in New York (NY), Chicago (IL) and Scottsdale (AZ), in which it was able to bring together some forty directors of many other companies to discuss about the topic “How to ensure organizational resiliency”.

An enviable example  -one more from the NACD-  of exercise to make “the business” understand the risks that threaten the feasibility of organizations  -today cybersecurity is ahead of them -  and their associated accountability.

However, the calm and shared reflection among peers may not be enough. In such cases, it becomes necessary to use other arguments: for instance, showing the business-enabling capability of cybersecurity when it contributes to prevent physical damage to people, the environment or the facilities, bearing in economic losses, if not truly catastrophic situations.

The adoption of best practices and the deployment of technologies that promote industrial control systems and network security will complement the initial awareness.

Technologies such as "smart OT", which promised reward does not always reach the end customer, the Association for the Conservation of Energy (ACE) warns. At best, they facilitate obtaining massive amounts of data that benefit, among other factors, production, maintenance and ultimately the business of industrial operators.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Supervivientes, diálogo de consejeros y rendición de cuentas

El número de este mes de “NACD Directorship”, la revista corporativa de la Asociación Nacional estadounidense de Consejeros de Empresa (NACD, por sus siglas en inglés) recoge una interesante lista de las corporaciones más resilientes, hasta la fecha, de los EEUU. Se trata de doce empresas constituidas entre los años 1784 (The Bank of New York Mellon Corporation, la firma más antigua de la lista Fortune 500) y 1833 (McKesson Corporation). Formando parte de ese exclusivo grupo se encuentran varias empresas industriales como E. I. du Pont de Nemours and Company (sector químico), Colgate-Palmolive Company (sector manufacturero), Consolidated Edison Inc. (sector energético) o CSX Corporation (sector transporte).

La lista sirvió para ilustrar las sesiones de “Diálogo de Consejeros” que la Asociación ha organizado recientemente en las ciudades de Nueva York (NY), Chicago (IL) y Scottsdale (AZ), en las que logró reunir a unos cuarenta consejeros de otras tantas empresas para discutir sobre el tema “Cómo garantizar la resiliencia de su organización”.

Un envidiable ejemplo  -uno más de la NACD-  de ejercicio para conseguir que “el negocio” entienda: los riesgos que se ciernen sobre la viabilidad de las organizaciones  -hoy la ciberseguridad se encuentra a la cabeza de ellos-;  y la responsabilidad última que a sus máximos representantes les corresponde en relación a la rendición de cuentas sobre la materia.

Sin embargo, la reflexión sosegada y compartida entre iguales puede resultar insuficiente. En tales casos, se hace necesario recurrir a otros argumentos. Mostrar el papel habilitador que la ciberseguridad tiene para el negocio cuando contribuye a evitar riesgos físicos para las personas, el medioambiente o el patrimonio, que devengan en pérdidas económicas, cuando no en situaciones verdaderamente catastróficas, se antoja un buen punto de partida.

La adopción de buenas prácticas y el despliegue de tecnologías que favorezcan la seguridad de las redes y los sistemas de control industrial complementarán esa toma de conciencia inicial.

Unas tecnologías, como las inteligentes (“smart OT”), cuya prometida recompensa no siempre llega al cliente final, advierten desde la Asociación para la Conservación de la Energía (ACE). A lo sumo facilitan la obtención de cantidades masivas de datos que benefician, entre otros factores, a la producción, al mantenimiento y, en definitiva, al negocio de los operadores industriales.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 18 de abril de 2016

Training, experiences and other recipes

During the last CCI’s Knowledge Teams meeting, held early this month, a colleague, friend and member of “The CCI Ecosystem” suggested  -prudently-  that, despite not seeming fashion, training and awareness still conform, from his view, the angle stone of any cybersecurity strategy.  From his view and from mine one. We could not agree more! So we said that day and so proof the articles that, as examples, we are bringing to you today.

Executives  -this time, energy sector’s ones-  seem to keep needing, as their cybersecurity experts say, a few layers of training that, no doubt, will help them to distinguish reliable e-mails from those that are not. Moreover, I would extend the training, not only to executives, but to their personal assistants and to anyone who helps them in the boring task of reviewing the e-messages they receive.

A majority of such messages, when attackers succeed, end by becoming ransomware infections. The regular practice of backing our most valuable information up can prevent us from such situations. Nonetheless, other 21 recommendations will contribute also, if they are adopted, to disturb the hijacker’s job.

But there is no better learning approach  -for executives and for everyone-  that the one based on one's practical experience. In that sense, the last exercises organized by NERC have served to detect weaknesses in the mechanism that NERC itself is providing to help the energy sector.

Finally, make yours, too, the recommendations on industrial network protection that Paul Studebaker brings to you today, if you will to enter the upcoming ‘smart OT’ universe with guarantee.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading (particularly the brand new “Study on Colombia’s Industrial Cyber Security”, with which CCI keeps broadening its vision of the international industrial cybersecurity landscape)!

Entrenamiento, vivencias y otras recetas

En el transcurso del último encuentro de los equipos de conocimiento de CCI, celebrado hace tan solo unos días, un compañero, amigo y miembro de nuestro “Ecosistema” sugería  -en un tono que destilaba cierta prudencia-  que, a pesar de parecer no estar de moda, la formación y la concienciación seguían constituyendo, a su juicio, la piedra angular de toda estrategia de ciberseguridad. A su juicio y al nuestro. ¡No podemos estar más de acuerdo! Así lo declaramos aquel día y así lo corroboran los artículos que, a modo de ejemplo, les acercamos en la entrega de hoy.

Los ejecutivos  -en esta ocasión los del sector energético-  parecen seguir necesitando, según sus responsables de seguridad cibernética, unas capas de entrenamiento que les ayuden a distinguir los mensajes de correo-e fidedignos de los que no lo son. Me atrevería a extender la convocatoria, no sólo a los ejecutivos, sino a sus asistentes particulares y a cuantas personas les acompañan en la tediosa labor de revisar los mensajes electrónicos que a ellos van dirigidos.

Gran parte de tales mensajes  -cuando los atacantes tienen éxito-  terminan deviniendo en infecciones de ‘ransomware’; ese código informático, dañino, que secuestra nuestra información, cifrándola, y cuya liberación sólo se produce previo pago del pertinente rescate. La práctica regular de realizar copias de respaldo puede evitarnos más de un susto ante tal coyuntura. No obstante, otras veintiún recomendaciones contribuirán también, si se ponen en marcha, a dificultar la labor de los secuestradores.

Sin embargo, no hay mejor aprendizaje  -para los directivos y para el resto de nosotros-  que aquel que se basa en la vivencia práctica. En ese sentido, los últimos simulacros patrocinados por la estadounidense NERC han servido para detectar debilidades en los propios mecanismos de ayuda que NERC pone a disposición del sector energético. ¡De todo se aprende!

Finalmente, le sugiero, además, que haga suyas las recomendaciones sobre protección de redes industriales que nos deja Paul Studebaker, si desea entrar con garantías de éxito en el nuevo universo de las ‘smart OT’ que ya está llamando a la puerta.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura (incluida la del flamante “Estudio sobre la Ciberseguridad Industrial en Colombia” con el que CCI sigue ampliando su visión del panorama internacional en lo que a esta disciplina se refiere)!

lunes, 11 de abril de 2016

Dangerous predictions

When the then Secretary of Defense of the United States, Mr. Leon E. Panetta, coined the term “cyber Pearl Harbor” on October, 11th, 2012, during his address before Business Executives for National Security (BENS)’s audience, in New York, for sure, some of the attendants   -a good number of them members of American boards of directors-  started to ask themselves how cybersecure their firms were.

That evening, Mr. Panetta told his audience that events like those happened that same Summer against Saudi Arabia’s Aramco and/or Qatar’s RasGas were able to occur on American soil. This way he was revealing a new dimension of cyberattacks: one implying that interest in hacking went beyond traditional cyber-criminals to reach nation-states willing to include cyber as part of their foreign policy’s hidden agenda.

But going back, again, to the possibility of suffering a “cyber Pearl Harbor”, it is not only Mr. Panetta’s idea: just two years after the 2012’s BENS dinner, strategy think tank Pew Research Center, in its 2014 report “Digital life in 2025. Cyber Attacks Likely to Increase”, brought some insights on the likelihood of seeing a widespread-harming cyberattack within the decade to come.

Other two years have almost gone since Pew Research Center’s “prediction” and we [fortunately] have not yet seen such a large scale “cyber Katrina”. Nonetheless, more and more we keep realizing how vulnerable are those [computerized] things to which we trust our wellbeing (medical equipment being the more natural example). And, at the same time, we keep contemplating how some cyber threats  -i.e., ransomware-  do nothing but spreading even through national critical infrastructures.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Las predicciones peligrosas

Cuando el entonces Secretario de Defensa de los EEUU, Sr. D. Leon E. Panetta, acuñó la expresión “cíber Pearl Harbor”, el 11 de octubre de 2012, durante la alocución que dirigió a la audiencia de Business Executives for National Security (BENS), en Nueva York, con toda seguridad, algunos de los asistentes  -en buen número, consejeros de empresas estadounidenses-  comenzaron a preguntarse cuán protegidas estarían sus organizaciones.

Aquella noche, el Sr. Panetta dijo a su audiencia que sucesos como los ocurridos ese mismo verano en la empresa saudí Aramco o en la catarí RasGas eran susceptibles de repetirse en suelo estadounidense. De ese modo, revelaba una nueva dimensión de los ciberataques: una que implicaba que el interés por el “hacking” iba más allá de los ciberdelincuentes habituales, para alcanzar a los estados deseosos de incluir “lo cíber” en su agenda oculta de política exterior.

Pero retomando, nuevamente, la idea de sufrir un “cíber Pearl Harbor”, cabe decir que ésta no sólo forma parte del discurso del Sr. Panetta: justo dos años después de la cena de BENS en 2012, el gabinete estratégico Pew Research Center, en su informe de 2014 “La Vida Digital en 2025. Los Ciberataques Probablemente Aumenten”, ofrecía algunas ideas sobre la probabilidad de ser testigos de un ciberataque de consecuencias devastadoras en la próxima década.

Han transcurrido otros dos años desde la “predicción” del Pew Research Center y [afortunadamente] no hemos visto un “ciber Katrina” tal, a tamaña escala. Sin embargo, cada vez más, seguimos advirtiendo lo vulnerables que son las cosas [informatizadas] a las que confiamos nuestro bienestar (los equipamientos médicos constituyen el ejemplo más palpable). Y, al mismo tiempo, seguimos, también, contemplando cómo algunas ciberamenazas  -por ejemplo, el “ransomware”-  no hacen sino extenderse, incluso a la infraestructuras críticas nacionales.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 4 de abril de 2016

Broadmindedness, industries and connections

Cyber” is definitely worth! (at least for the bad guys). So it seems to derive from the figures some recent cyber blows have realized. Therefore, it is not strange at all to see how traditional underworld businesses are migrating to its digital counterpart; or, simply, how some traditional crime organizations are giving it up to embrace new, much more profitable, cybercrime activity.

CEOs who are being the victims of cyber-attacks, first hand, are not the only ones to realize the growing activity in the cyberspace. CISOs are also starting to understand that their mission have just spanned through a new realm: industrial automation, a field in which the novelty of a majority of corporate cybersecurity pros  -I mean those coming from IT, not from OT-  is going to be tested in the short- to mid-term.

Some of these cyber-executives today work in the food industry, a sector no so different from those of other industrial players, like Canadian utilities, when it comes to ICS (i.e., Operational Technology) cybersecurity. Even in the nuclear sector one could find similarities with the energy and food industries taking into account the disastrous consequences a major cyber event could cause in any of these industries for the general citizenship.

Whatever the sector you are involved in, take cybersecurity seriously by putting into force protection measures. And do it thinking that, despite Internet connections are the most typical attack surfaces, there could be also other “networks” contributing to grow cyberspace. Pay due attention to the so common in the industrial arena serial connections.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Amplitud de miras, sectores y conexiones

¡Lo “cíber”, definitivamente, merece la pena! (al menos para los malos). Así parecen indicarlo las cifras de algunos golpes recientes. Por tanto, no debería resultar extraño, en absoluto, ver cómo algunos tradicionales negocios sucios están migrando a su versión digital; o, simplemente, cómo algunos delincuentes tradicionales están abandonando sus negocios para dar la bienvenida a una actividad mucho más rentable: el ciberdelito.

Los directores generales de las empresas, quienes están sufriendo en primera persona las consecuencias de los ciberataques, no son los únicos que se están dando cuenta de la creciente actividad del ciberespacio. Los responsables de seguridad tecnológica también están comenzando a comprender que su misión acaba de ampliarse hacia un nuevo perímetro: el de la automatización industrial, un campo en el cual la poca experiencia de la mayoría de los profesionales de la ciberseguridad corporativa   -me refiero a los que proceden de las TI, no de las TO-  va a ponerse a prueba en el corto o medio plazo.

Algunos de estos ciberejecutivos trabajan, hoy, en el sector alimentario; un sector no muy diferente al de otros actores industriales, como las compañías energéticas canadienses, cuando se trata de la ciberseguridad de los sistemas de control industrial (esto es, de las Tecnologías de Operación). Incluso en el sector nuclear uno puede encontrar similitudes con la energía y la alimentación, teniendo en cuenta las consecuencias desastrosas que un gran incidente cibernético, en cualquiera de estos sectores industriales, podría causar entre la población.

Sea cual sea el sector en el Ud. trabaja, tómese la ciberseguridad en serio, poniendo en práctica las debidas medidas de protección. Y hágalo pensando que, a pesar de que las conexiones a través de Internet son la superficie de ataque más habitual, también hay otras “redes” que contribuyen a conformar el ciberespacio. Preste, por tanto, atención a unas conexiones tan comunes en el ámbito industrial como las conexiones serie.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!