Blog del CCI

lunes, 30 de mayo de 2016

Parallel lives and large dams

Explaining the difference between the role of a production engineer and a maintenance engineer is, by all means, unnecessary  -even offensive-  to those who work in the industrial field. However, given the varied composition of "The CCI Ecosystem", in which a not inconsiderable number of members may be unfamiliar with such area, makes it a non-trivial issue. If you are part of this second group, keep the idea that  -and excuse me for simplifying so much-,  from the standpoint of industrial control systems supporting a specific production process, an engineer in charge of the maintenance of such systems would be, let us say, a kind of programmer, in classic IT wording; a production engineer, in charge of the operation of that process, would be her user.

In practice, unlike what is usual in IT, where references to the concept of "shadow IT" would suddenly arise, is not unusual to find organizational designs in which control engineers (technicians) and operation engineers (users) share a common head: the plant’s (or the particular site’s) production manager. Without a doubt, a real incentive for alignment between the two groups and to make them all feel themselves as "The Business", sharing the common strategic objective of optimizing the production process.

Those who advocate for safeguarding that synchronization between the control of the process and the process itself demand, from ICS specialists, an implication beyond the purely technological aspects that allows them to know more deeply the industrial process they serve. That is, they demand from them a sort of evolution from their role as “programmers” to a new one as “functional analysts”, abusing the IT language again.

In parallel, it is conceivable that the above mentioned synchronization will also benefit from those responsible for operating the production process becoming aware of the cyber protection measures that safe operation will require. As we have pointed out many times, training will play a key role here again:  today we talk about dams  -remember Sayano-Shushenskaya’s-;  the Spanish National Committee on Large Dams (SPANCOLD) announces, at this time, the sixth edition of its "International Master in Dam Operation and Safety". Naturally, throughout the course legislation, hydrology, geology and geotechnics are widely discussed; but the only risks mentioned are the ones that have to do with preventing physical damages derived from those factors or from other as the aging of the facilities. In such a context, suitable to develop a safety instrumented systems discourse, one would also remind SPANCOLD the convenience of start incorporating to its master’s curriculum other aspects of risk like the current challenges of cybersecurity and/or obsolescence -concrete is not the only one aging- of those control systems that support the current operation of some of our dams.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Vidas paralelas y grandes presas

Explicar la diferencia entre la figura de un ingeniero de producción y un ingeniero de mantenimiento resulta, de todo punto, innecesario  -incluso ofensivo-  para quien desarrolla su labor profesional en el ámbito industrial. Sin embargo, dada la variada composición de “El Ecosistema CCI”, en el que un número de miembros nada despreciable puede no estar familiarizado con el citado ámbito, hace de ello un tema no baladí. Si Ud. se encuentra en ese segundo grupo, quédese con la idea  -y disculpe la simplificación-  de que, desde el punto de vista de los sistemas de control industrial que sustentan un determinado proceso productivo, un ingeniero a cargo del mantenimiento de tales sistemas sería algo así como un programador, en términos de la Informática clásica; un ingeniero de producción, a cargo la operación del referido proceso, sería su usuario.

En la práctica, y a diferencia de lo que suele ser norma en el ámbito de las Tecnologías de la Información, en el que rápidamente surgiría alguna referencia al concepto de “Informática en la sombra”, no es extraño encontrarse diseños organizativos en los que unos y otros, ingenieros de control (técnicos) e ingenieros de operación (usuarios), comparten un responsable común: el jefe de producción de la planta o de la instalación particular. Sin duda, todo un incentivo para el alineamiento entre ambos colectivos y para hacer que todos ellos se sientan “Negocio”, compartiendo el objetivo estratégico común de la optimización del proceso productivo.

Quienes abogan por preservar esa sincronización entre el control del proceso y el proceso mismo demandan, incluso, una implicación, aún mayor, de los especialistas en sistemas de control industrial, que vaya más allá de los aspectos meramente tecnológicos y que les permita conocer en mayor profundidad el proceso industrial al que sirven. Esto es, demandan de ellos una suerte de evolución desde el perfil de programadores al de analistas funcionales, abusando nuevamente del lenguaje TI.

Paralelamente, cabe pensar que también contribuirá a mantener la sincronización a que hacen referencia los anteriores párrafos el hecho de que los responsables de operar el proceso productivo tomen conciencia de las medidas de ciberprotección que requerirá una operación segura del mismo. Como hemos señalado muchas veces, en este sentido la formación habrá de jugar un papel clave: hoy hablamos de presas  -recuerde el caso de la presa Sayano–Shushenskaya-;  el Comité Nacional Español de Grandes Presas (CNEGP) anuncia, en este momento, la sexta edición de su “Máster Internacional en Explotación y Seguridad de Presas y Balsas”. Naturalmente, a lo largo del curso se habla ampliamente de legislación, de hidrología, geología y geotecnia; pero la única seguridad que se menciona es la que tiene que ver con la prevención de riesgos físicos derivados de dichos factores o de otros tales como el envejecimiento de las propias instalaciones. En un terreno como éste, abonado para desarrollar un discurso de los sistemas instrumentados de seguridad, cabría recordar al CNEGP la conveniencia de comenzar a incorporar a su programa académico otros aspectos del riesgo como los actuales desafíos derivados de la ciberseguridad y/o de la obsolescencia  -no sólo el hormigón envejece-  de los equipos de control en los que descansa la operativa de algunas de nuestras presas y balsas.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 23 de mayo de 2016

Lack of information, dreams and efficiency

You may not be interested in war, but war is interested in you” (attributed to Leon Trotsky) was the quote I used to start my speech at CCI’s “6th Int’l Industrial Cybersecurity Congress”, held in Santiago (Chile) last week. The quote hid a criticism of those directors and officers which usually shirk their accountability for the use [and the consequences of such use] that their organizations make of "digital".

However, my speech continued to recognize cases of other corporate leaders who do seem to have entered powerfully in the 21st century; I mean that they remain fit to continue leading some organizations that are in the process of cybernetic conversion. They are the same D&O’s who demand more cybersecurity information than they actually receive. Are you surprised? Perhaps do you always offer enough information to your bosses?

The poet Pablo Neruda  -references to Chile in this edition are inescapable-  wrote: “It is forbidden not to smile at problems, not to fight for what you want, to abandon all because of fear, not to realize your dreams”. Apply it all! Your bosses willing to know more is not a problem. In fact, was not it what you were asking for, too? Do not fear. Please them and, thus, make their dreams  -and yours-  true.

A well-informed management should get a better understanding of the perils the organization is facing, should put itself ahead of such problems and should give you the appropriate tools to try to mitigate them [with management’s help].

Make them see how vulnerable the critical infrastructures their companies operate are, today! Involve them in identifying the perils threatening sectors as energy  -‘ransomware’ could be an actually didactic example-! Help them to know how cybersecurity can enable the adoption of smart technologies that contribute to make industrial plants more efficient!

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Falta de información, sueños y eficiencia

Puede que Ud. no esté interesado en la guerra; pero la guerra sí está interesada en Ud.”. Con esa cita, atribuida a Leon Trotsky, arrancaba mi intervención en el “VI Congreso Internacional de Ciberseguridad Industrial” que CCI celebró en la ciudad de Santiago (Chile) la pasada semana. La cita escondía una crítica a aquellos directivos  -consejeros y ejecutivos-  que, habitualmente, eluden su responsabilidad en materia de rendición de cuentas sobre el uso [y sobre las consecuencias del uso] que en sus organizaciones se hace de “lo digital”.

Sin embargo, mi discurso continuó reconociendo los casos de otros líderes corporativos que sí parecen haber llegado en plenas facultades al siglo XXI; esto es, que se mantienen aptos para seguir al frente de unas organizaciones que se encuentran en pleno proceso de transformación cibernética. Son los mismos directivos que demandan más información sobre seguridad de la que reciben. ¿Se sorprende? ¿Acaso ofrece Ud. siempre suficiente información a “sus mayores”?

El poeta Pablo Neruda  -las referencias a Chile en esta edición resultan ineludibles-  escribió: “Queda prohibido no sonreir a los problemas, no luchar por lo que quieres, abandonarlo todo por miedo, no convertir en realidad tus sueños”. ¡Aplíqueselo! Que sus jefes quieran saber más no es un problema. De hecho, ¿no era eso, también, lo que Ud. pedía? No tema. Complázcalos y haga, de ese modo, realidad sus sueños  -los de ellos y los suyos-.

Una dirección bien informada debería comprender mejor los problemas que afronta la organización, debería colocarse al frente de los mismos y debería dotarlo a Ud. de las herramientas pertinentes para tratar de mitigarlos, con su [de ella] ayuda.

¡Hágales ver cuán vulnerables son, hoy, las infraestructuras críticas que sus empresas operan! ¡Involúcrelos en la identificación de las amenazas que pueden sufrir sectores como el energético  -la amenaza del ‘ransomware’ puede resultar de lo más didáctico-! ¡Ayúdelos a conocer cómo la ciberseguridad puede habilitar la adopción, con garantía, de tecnologías inteligentes que contribuyan a hacer que las plantas industriales funcionen más eficientemente!

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 16 de mayo de 2016

Citizen behavior, generational shift and cultural inconsistency

I am now reading, from what appears to be a sunny Autumn morning in Santiago de Chile, a story that my good friend and colleague Manolo Palao has just sent to me. It is about the launch of a new platform called "Live a secure Internet"; a joint initiative by the independent Spanish Consumers and Users Organization (OCU) and Google, to which a series of governmental organizations have joined, too: the Spanish Agency of Consumer Affairs, Food Security and Nutrition (AECOSAN), the Spanish Data Protection Agency (AEPD) and Spain’s National Cybersecurity Institute (INCIBE). With said support, the platform aims to become a reference point for a number of actions that will try to increase awareness among citizens about their behavior on the Internet.

Full of advice aimed at sharpening the wisdom of users on several fronts (how they connect; how they use their devices; how they safeguard their virtual accounts/passwords and other personal data; and, how and from where they shop, and do other bank transactions, online), the initiative is based on three principles: the central role Internet plays, today, in Society; the [apparently] growing concern for privacy; and inaction  -despite the above-  that users themselves appear to show when taking precautions during their Net browsing.

It would seem that every effort is going to be directed to train less stupid citizens with respect to security. Naturally, not missing a specific section aimed at children. In this regard, I must confess that some of us still remain hopeful in the new generations -our companies’ future workforce-. Others, as Manolo reminded me last Tuesday during the discussion we had about the future of digital security at ATI's “Novática” 40th Anniversary event, still feel that “it is not sufficient guarantee that people  -young people-  have great skill in the use of technology, so that the same skill translates into caution that such use requires”.

The discussion naturally is served! Meanwhile, we will continue to see a lack of consistency in the security culture of many companies. We will continue to surprise ourselves by the fact that precisely the most technologically skilled employees are not necessarily the most prudent in the use of digital. We will continue to witness cyber dangers that threaten every year our sector. And, like any other citizen, we will see how subscription rates, ubiquitous advertising and intrusive surveillance threaten the development of the Internet of Things (and  -we could think-,  by extension, the Industrial Internet of these same things).

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Comportamiento ciudadano, salto generacional e inconsistencia cultural

Leo, desde la que parece que va a ser una soleada mañana otoñal en Santiago de Chile, una noticia que me envía mi buen amigo y colega Manolo Palao. Se trata de una referencia sobre la puesta en marcha de la plataforma “Vive un Internet seguro”; iniciativa conjunta de la Organización [española] de Consumidores y Usuarios (OCU) y de la multinacional estadounidense Google, a la que también se han sumado varias agencias gubernamentales locales: la Agencia Española de Consumo, Seguridad Alimentaria y Nutrición (AECOSAN), la Agencia Española de Protección de Datos (AEPD) y el Instituto Nacional de Ciberseguridad de España (INCIBE). Con los citados apoyos, la plataforma pretende constituirse en punto de referencia para una serie de actuaciones que tratarán de remover las conciencias de los ciudadanos sobre sus comportamientos en Internet.

Repleta de consejos orientados a agudizar la prudencia de los usuarios en varios frentes (cómo se conectan; qué uso hacen de sus dispositivos; cómo salvaguardan sus cuentas/contraseñas y otros datos personales; y, cómo y desde dónde realizan sus compras en línea y otras transacciones bancarias), la iniciativa se asienta sobre tres principios: el papel central que ocupa, hoy, Internet en la Sociedad; la [aparentemente] creciente preocupación por la intimidad; y la inacción  -a pesar de lo anterior-  que los propios usuarios parecen mostrar a la hora de tomar precauciones en sus paseos por la Red.

Diríase que todo el esfuerzo va a ir dirigido a formar ciudadanos menos estúpidos con respecto a la seguridad. Naturalmente, no falta un apartado específico dirigido a la infancia. En este sentido, he de confesar que algunos mantenemos la esperanza en las nuevas generaciones  -futura fuerza laboral de nuestras empresas-.  Otros, como nos recordaba el mismo Manolo el pasado martes durante el debate que mantuvimos sobre el futuro de la seguridad digital auspiciado por “Novática”, la revista corporativa de ATI, siguen opinando que “no es garantía suficiente que la gente  -los jóvenes-  tengan una gran destreza en el uso de la tecnología, para que esa misma destreza se traduzca en la debida prudencia que tal uso require”.

¡El debate, naturalmente, está servido! Mientras tanto, seguiremos asistiendo a una falta de consistencia en la cultura de seguridad de muchas empresas. Seguiremos sorprendiéndonos por el hecho de que, precisamente, los empleados más tecnológicamente habilidosos no son, necesariamente, los más prudentes en el uso de lo digital. Seguiremos siendo testigos de los ciberpeligros que amenazan, cada año, a nuestro sector. Y, como cualquier otro ciudadano, veremos cómo las tasas de suscripción, la publicidad ubicua y la vigilancia intrusiva ponen en riesgo el desarrollo de la Internet de las Cosas (y  -podemos pensar-,  por extensión, el de la Internet Industrial de esas mismas cosas).

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 9 de mayo de 2016

Cyber-physical confluences

That artificial realm made up of computing resources that William Gibson coined in 1981 with the name of “cyberspace”, is giving pass, today, to a new scenario in which the former starts to lose part of its ethereal nature to merge with the landscape of real: it is the “cyber-physical space”, a place in which actions performed in the virtual world have direct  -commonly serious-  consequences over the real one.

That said, if cyber-physical space materializes somewhere, clearly, it is in the domain of industrial automation and control systems; those ones used in the control and monitoring of [physical] production processes, common in manufacturing environments. (Despite being such systems also present in construction -i.e., smart buildings-,  information technology  -i.e., datacenters-,  medicine  -i.e., drug dispatching robots-,  etc.). Moreover, consequences of incidents  -being provoked or incidental-  happening in the new cyber-physical spaces, far from being new, are similar to those older ones affecting people, assets and environment, that the hand of mankind has caused always, even prior to the advent of the digital era.

Therefore, in these realms in which the confluence of physical and cyber spaces is more and more threatened, organizations should prioritize adequately the management of risk. A first way to do so would be by taking out the coverage of a cyber insurance policy. Another one, by having always in mind the cybersecurity requirements of a specific industrial facility during its whole service life  -from its inception to its closure or substitution-.  And, finally, a third way, compatible with the two mentioned above, could be promoting awareness among cybersecurity stakeholders: INCIBE will try to keep doing so after closing a content generation service contract with a new provider; CCI, too, by launching a brand new paper series regarding smart operational technology.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Confluencias ciber-físicas

Ese ámbito artificial, creado por medios informáticos, que William Gibson bautizó en 1981 con el nombre de “ciberespacio”, está dejando paso, hoy, a un nuevo escenario en el que aquél comienza a perder parte de su naturaleza etérea para confundirse con el paisaje de lo real: es el “espacio ciber-físico”, un lugar en el que las actuaciones llevadas a cabo en el ámbito de lo virtual tienen consecuencias directas  -graves-  sobre el mundo real.

Pues bien, si en algún contexto se materializa, de forma clara, el espacio ciber-físico es en el ámbito de los sistemas de control industrial, aquellos sistemas de información empleados en el control y la supervisión de procesos [físicos] productivos, propios, a priori, de los entornos fabriles. (Aunque dichos sistemas están también presentes en la construcción  -edificios inteligentes-,  en las TI  -centros de proceso de datos-,  en la medicina  -robots expendedores de medicamentos o robots cirujanos-, etc.). Además, las consecuencias de los incidentes  -provocados o fortuitos-  que ocurren en los nuevos espacios ciber-fisicos, lejos de resultar novedosas, son similares a las viejas consecuencias para las personas, el patrimonio y el medioambiente, que la acción del hombre ha causado siempre, incluso antes de la irrupción de la era digital.

Por tanto, en estos ámbitos en los que la confluencia de los espacios físico y cibernético está, cada vez, más amenazada, las organizaciones deberían priorizar oportunamente la gestión de los riesgos asociados. Una forma de hacerlo será acogerse a las coberturas de una ciberpóliza. Otra, tener siempre presentes los requisitos de seguridad a lo largo de la vida de una instalación industrial, desde su concepción, hasta su abandono y cierre (desmantelamiento) o sustitución. Finalmente, una tercera vía, compatible con las anteriores, podría ser la de promover la concienciación en materia de ciberseguridad, entre los interesados/afectados: INCIBE tratará de seguir haciéndolo tras la renovación de su contrato de generación de contenidos con su nuevo proveedor; CCI, también, mediante el lanzamiento, en esta ocasión, de una nueva serie documental dedicada a las Tecnologías de Operación inteligentes.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

viernes, 6 de mayo de 2016

¿Por qué las Empresas necesitan un Ciberseguro?


La seguridad 100% no existe en ningún entorno de sistemas de información, sobre todo cuando el avance y proliferación de los ataques cibernéticos es exponencial, debido a que el número de amenazas y las motivaciones para crearlas ha aumentado exponencialmente.

Las organizaciones de cualquier tipo tienen hoy en día un alto grado dependencia de los sistemas TIC (Tecnologías de la Información y la Comunicación), los procesos de negocio corporativos dependen del buen rendimiento y disponibilidad de las aplicaciones informáticas, las cuales dependen a su vez del correcto funcionamiento de otros elementos como bases de datos, servidores y redes de comunicaciones. Además, el grado de conectividad a Internet en todo tipo de sectores es casi absoluto, de cara a ofrecer todo tipo de servicios de alto valor añadido para sus clientes y proveedores.

No obstante, según un estudio de Deloitte publicado en el diario ABC, más del 40% de las empresas no se cubren frente a los ciber-riesgos. Según la encuesta realizada por Deloitte entre 200 empresas españolas, el 42,42% no ha desarrollado la función de la seguridad de la información, porcentaje que desciende drásticamente cuando se contempla la seguridad en los sistemas de automatización industrial. Los ciberataques son el riesgo más temido por el 49,5% de las empresas encuestadas, en cambio casi el 40% no hace ningún simulacro para conocer sus vulnerabilidades y el 36,1% no sabe si ha sufrido algún tipo de ataque.

Asimismo, muchas de las organizaciones tienen además dependencias de terceros, como los proveedores de servicios en la nube en todas sus modalidades (IaaS, PaaS, SaaS), empresas de outsourcing (externalización) de sistemas y proveedores de Telecomunicaciones y Servicios de Internet (ISPs).

Un gran número de organizaciones tienen un departamento de seguridad informática, que puede depender del departamento de sistemas de información, de la dirección corporativa de riesgos, continuidad de negocio o de las propias direcciones generales. Los responsables de estos departamentos, o CISOs, tienen una gran experiencia y han logrado en la mayoría de los casos un alto nivel de seguridad al haber aplicado políticas de seguridad corporativas, implantado tecnologías de seguridad perimetral de todo tipo (Cortafuegos, Sistemas de Detección y Prevención de Intrusiones (IDS/IPS), Pasarelas de filtrado de tráfico web y de correo electrónico, Sistemas de Prevención de Fugas de Datos (DLP), etc.) y sistemas internos de seguridad (gestión de identidades y autenticación única (SSO), cifrado de datos en reposo y en movimiento, anti-malware en PCs, sistemas de gestión de dispositivos móviles (MDM), etc.). Además en muchas de estas organizaciones se ha realizado un gran esfuerzo para cumplir con normativas como PCI-DSS (cuando se emplean medios electrónicos de pago), ISO 20000, ISO 27001, ISO 22301, ANSI/ISA 99, ahora IEC 62443 (cuando existen sistemas de control industrial), etc.

Sin embargo, como decíamos, la seguridad 100% no existe en ningún entorno, sobre todo cuando el avance y proliferación de los ataques cibernéticos, insistimos en este punto, es exponencial, debido a que el número de amenazas y las motivaciones para crearlas ha aumentado también exponencialmente.

Una de las principales amenazas es el cibercrimen y la ciberdelincuencia, cuyos integrantes están además muy conectados con redes de delincuencia organizada, sobre todo en países del Este, donde podemos comprar datos de una tarjeta de crédito robada o las credenciales de acceso a un sitio web de banca online, que podrían ser de cualquier persona en el mundo, por unos pocos Euros.

Por otro lado está el espionaje industrial y entre países, el ciber-terrorismo y el hactivismo. Organizaciones como Anonymous han causado estragos con sus ataques a muchas empresas y organizaciones. Por otro lado, son conocidos los ataques contra sistemas de Supervisión, Control y Adquisición de Datos (SCADA) de sistemas industriales en infraestructuras críticas, robos electrónicos masivos organizados a Bancos, la Denegación de Servicio (DoS y DDoS) de sitios web de múltiples empresas, el robo masivo de datos sensibles de clientes, etc. La lista es interminable. Y todas estas organizaciones descubren constantemente métodos y estrategias para traspasar las medidas de seguridad implantadas por las organizaciones.

Además hay que tener en cuenta las nuevas regulaciones de protección de datos. En España tenemos en vigor desde el año 1999 la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal), donde la Agencia Española de Protección de Datos (AEPD) puede llegar a imponer multas de hasta 600.000 Euros por incidente. Más a tener en cuenta es el nuevo Reglamento General de Protección de Datos de la Comisión Europea que puede imponer multas de hasta 20 millones de euros o el 4% de su volumen de negocios total anual de las compañías.

Por otro lado, hoy en día, el nuevo mundo de IoT (Internet de las Cosas), el denominado Smart OT por el CCI, dentro del cual se encuadran la Smart Grid o el Smart Factory, así como la llamada Transformación Digital, donde miles de millones de objetos informarán de su posición e identidad a través de conexiones inalámbricas mediante RFID, Bluetooth, NFC, etc., añade nuevas posibilidades para que los ciberdelincuentes puedan llevar a cabo ciberataques contra las empresas y organizaciones de todo tipo.

En el caso concreto de España, tras EE UU y Reino Unido, somos el país que sufre más ciberataques, según un artículo publicado por el diario El País. Con más de 70.000 ciberincidentes, España fue el año pasado el tercer país del mundo, tras Estados Unidos y Reino Unido, que más ataques cibernéticos sufrió, según comentó el ministro de Asuntos Exteriores, José Manuel García-Margallo, a principio de este año. El ministro no detalló la gravedad de estos ataques, sus orígenes o destinatarios, pero ha dicho que afectaron tanto a la Administración como a ciudadanos particulares y empresas, incluidas las responsables de gestionar infraestructuras críticas. Así mismo el ministro anunció que España está elaborando un Plan Nacional de Ciberseguridad.

Y por si no tuviéramos suficiente, a todo esto hay que añadir los propios errores humanos (por negligencia o con dolo) de la persona que gestiona y opera los sistemas de información de las organizaciones que puede dar lugar a la parada de los sistemas, y por tanto del proceso de negocio asociado, con las pérdidas de beneficios correspondientes, a la destrucción de datos o a la fuga de datos sensibles.

Por todo lo anterior, considero que la contratación de una póliza de seguro para incidentes cibernéticos y fallos de los sistemas de información es una gran aportación de valor para las organizaciones, permitiendo transferir distintos tipos de riesgos cibernéticos para el negocio y añadir una capa de protección corporativa que aporte un nivel de cobertura adicional a la excelente labor desarrollada por parte de los CISOs, las áreas de Continuidad de Negocio y Recuperación ante Desastres y Departamentos de Gestión de Riesgos Corporativos.

Este tipo de seguros cubren (en algunos casos de forma opcional) aspectos como la responsabilidad frente a terceros por fuga de datos personales e información corporativa, las pérdidas de beneficios y costes de restauración de los datos por incidentes o fallos en los sistemas TIC, las multas de organismos reguladores, la gestión de Incidentes, la rehabilitación de la imagen pública, los servicios de consultoría forense y de restauración de sistemas y datos, los incidentes y fallos en sistemas de gestión de sistemas de control Industrial (SCADA), la asesoría técnica y legal, etc. Algunas de estas coberturas tienen límites y sub-límites y quedan reflejadas en los llamados condicionados (condiciones particulares y generales).

Efectivamente, en el caso concreto de este mercado de los ciberseguros, ENISA (European Union Agency for Network and Information Security) ha publicado un informe donde confirma que la Unión Europea confía en el fortalecimiento del mercado de las ciberaseguradoras para concienciar a las empresas. En este informe además se critica la distancia que separa a este sector en Europa con respecto a Estados Unidos. Además, según este informe, el potencial auge de las ciberaseguradoras podría contribuir a mantener los costes de seguridad TI en el sector privado y a devolver la racionalidad al sector público, actualmente sometido a importantes presiones presupuestarias. El profesor Udo Helmbrecht, director ejecutivo de ENISA, hizo hincapié en que existe la posibilidad de que las políticas europeas de seguridad cibernética y la legislación deben ser complementadas por un programa de prevención centrado en el mercado de seguros cibernético. Asimismo, añadió que además de proporcionar la seguridad de que la cobertura adecuada está disponible, un mercado desarrollado en esta área ayudaría a mejorar los niveles de seguridad cibernética para poner un coste real de incidentes cibernéticos y mostrar los beneficios de implementar buenas prácticas de seguridad. (Fuente: Euroalert.net).

Manuel Arrevola (marrevola@segmedia.es)
Business Development Management
SegMedia Seguros

lunes, 2 de mayo de 2016

The challenge of being an industrial cybersecurity professional

Deficiencies a young computer engineer became a steel one had to deal with in the first half of the 90s were many, when compared with those of today. [I naturally mean lack of resources and technical stuff. Personal shortcomings, certainly, are more numerous now than then].

To some, reading this may be boring  -giving that it has been repeated many times-; but this makes it no less true. It was a time when the fax was king of corporate communication. It was a time when the Internet barely existed and the use of e-mail was still incipient (leaving school to enter the workforce supposed, usually, a technological decline in several decades). AltaVista, the "popular" Internet searcher born at DEC’s labs, the company endowing all our process control facilities with hardware (VAX / VAXstation) and software (VMS / OpenVMS), did not yet exist. And besides, no one had a profile on a social network in which to contact any sector specialist nor in which to join a discussion forum where trying to solve their most pressing questions (for instance, those regarding which parameters to use in a skin-pass mill control algorithm).

But if any deficiency could be more palpable for a novice engineer, it was the lack of orientation and approach to addressing those complex automation and industrial control projects (especially, those implemented for new installations). PMBOK and PRINCE2 did not yet exist; and the latter's predecessor, PRINCE, had not yet left his native UK. As a result, the reference book in those days became one of the first editions of "Software Engineering. A Practitioner’s Approach" by Roger S. Pressman.

Today, more than two decades later, a new discipline, Cybersecurity, still leaves many engineers  -novice and veteran-  mystified. Its recent emergence in the industrial landscape has highlighted the shortcomings of more than one when she tries to apply it in the projects she faces. Aware of this, CCI addressed over a year ago the challenge of developing a new guide that offered some guidance and method to those involved in any phase of an industrial automation and control project. This week you will see the result.

Until that time, consider how the consequences of deficiencies, as the ones described here, have affected the Gundremmingen (Germany) nuclear power plant. See also how certain recipes can relieve  -even, avoid-  these misfortunes. And do not stop learning, either on ZigBee communications or on the trend that is revolutionizing and is going to revolutionize, even more, the industrial automation landscape: the advent of smart OT.

Deepen these and other topics in today’s issue. And enjoy reading!

Author: Miguel García-Menéndez

El reto de ser un profesional de la ciberseguridad industrial

Las carencias con las que había de desempeñarse un joven ingeniero informático metido a ingeniero siderúrgico en la primera mitad de la década de los 90 eran muchas, si las comparamos con las de hoy. [Naturalmente me refiero a carencias de medios y recursos técnicos. Las carencias personales, con toda seguridad, son más numerosas, ahora, que entonces].

A algunos, leer esto puede resultarles aburrido  -por lo muy repetido-,  pero ello no lo hace menos cierto. Se trataba de una época en la que el fax era el rey de la comunicación corporativa. En la que apenas existía Internet y el uso del correo-e era, aún, incipiente (dejar la universidad para adentrarse en el mundo laboral suponía, habitualmente, un retroceso tecnológico de varias décadas). AltaVista, el “popular” buscador nacido en los laboratorios de Digital Equipment Corporation, empresa que dotaba de hardware (VAX/VAXstation) y software (VMS/OpenVMS) todas nuestras instalaciones de control de procesos, aún no existía. Y, además, nadie disponía de un perfil en una red social en la que poder contactar con cualquier especialista del sector o en la que poder unirse a algún foro de discusión donde intentar resolver sus más acuciantes dudas (por ejemplo, sobre ciertos parámetros a aplicar en algún algoritmo de control de laminación en frío).

Pero si alguna carencia podía hacerse más palpable para un ingeniero novel, era la falta de orientación y método a la hora de abordar aquellos complejos proyectos de automatización y control industrial (sobre todo, los ejecutados para instalaciones nuevas). PMBoK y PRINCE2 aún no existían y, el antecesor de este ultimo, PRINCE, todavía no había abandonado su Reino Unido natal. Como consecuencia, el libro de cabecera en aquellos días pasó a ser una de las primeras ediciones de “Ingeniería del Software. Un Enfoque Práctico”, de Roger S. Pressman.

Hoy, más de dos décadas después, una nueva disciplina, la Ciberseguridad, sigue dejando a muchos ingenieros  -noveles y veteranos-  desconcertados. Lo novedoso de su irrupción en el ámbito industrial ha dejado en evidencia las carencias de más de uno a la hora de aplicarla en los proyectos a los que se enfrenta. Consciente de ello, CCI abordó hace más de un año el reto de elaborar una nueva guía que ofreciese cierta orientación y método a quienes se viesen envueltos en alguna de las fases de un proyecto de automatización y control industrial. Esta semana podrá ver Ud. el resultado.

Mientras llega ese momento, contemple cómo las consecuencias de carencias como las descritas han afectado a la central nuclear de Gundremmingen en Alemania. Vea, también, cómo ciertas recetas pueden aliviar  -incluso, evitar-  esas desdichas. Y no deje de aprender, ya sea sobre comunicaciones ZigBee o sobre la tendencia que está revolucionando y va a revolucionar, aún más, el panorama de la automatización industrial: la llegada de las tecnologías de operación inteligentes (del inglés, “smart OT”).

Profundice en estos y otros temas en nuestra entrega de hoy. ¡Y disfrute de la lectura!

Autor: Miguel García-Menéndez