Blog del CCI

lunes, 26 de septiembre de 2016

Countries, absences and opportunities

We were advertising it for months (from this "Newsletter"). Finally, a few days ago we had the opportunity to attend the “1st European Cyber Security for Transport Sector Conference” held in Berlin (Germany) and organized by our friends of Prospero Events Group.

Several transportation subsectors were represented: road (including automakers) and railroad, maritime and aviation (mainly airports).

Also a good number of countries were present. Counting the speakers alone, there were delegates from the UK and France, which in fact co-chaired both conference’s sessions (day 1 and day 2); Germany and The Netherlands with four participants each; and Belgium represented by three talks/speakers. But where was Spain? The fact is that, not taking into account CCI’s participation, it was represented by one speaker (one from a transport operator) along with Sweden and Greece.

Moreover, where were Spain’s big transportation players in subsectors like the ones mentioned above: railroad, air traffic, etc.?

One of the key messages of the conference was the need for sharing information and experiences among sectors and subsectors. Everyone at the conference agreed with the idea that if you don’t share your information someone else will share it for you. Therefore, let’s start to take advantage of forums like the one Prospero provided. You all have a new opportunity at CCI’s “7th International Industrial Cybersecurity Congress” next week.

Meanwhile, know how other countries (and other companies from such countries) keep promoting their own cyber preparedness. Take a look at our news from France and Iran! Meet the last trends in ICS (i.e., PLCs and communication protocols) cybersecurity research. And keep diving in the transformation smart OT are bringing to the automation landscape.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Países, ausencias y oportunidades

Estuvimos anunciándolo durante meses (desde este "Boletín"). Finalmente, hace unos días tuvimos la oportunidad de asistir a la “I Conferencia Europea sobre Ciberseguridad en el Sector Transporte” celebrada en Berlín (Alemania) y organizada por nuestros amigos de Prospero Events Group.

Estuvieron representados diversos subsectores del sector transporte: el del transporte por carretera (incluido algún fabricante de automóviles) y el del ferrocarril; el marítimo y el aéreo (básicamente, el aeroportuario).

Un buen número de países también estuvieron presentes. Contando sólo a los ponentes, los hubo del Reino Unido y de Francia, quienes, de hecho, co-presidieron las dos sesiones de la conferencia (el día 1 y el día 2); Alemania y Holanda con cuatro participantes cada una; y Bélgica representada por tres charlas/ponentes. Pero, ¿dónde estuvo España? El hecho es que, sin tener en cuenta la participación de CCI, estuvo representadada, únicamente, por un ponente (uno procedente de un operador), como también ocurrió con Suecia y Grecia.

Es más, ¿dónde estuvieron los grandes actores españoles de subsectores como los mencionados: ferrocarril, tráfico aereo, etc.?

Uno de los mensajes clave de la conferencia fue la necesidad de compartir información y experiencias entre sectores y subsectores. Todos los asistentes coincidieron en la idea de que si tú no compartes tu información, alguien lo hará por ti. Por tanto, comencemos a aprovechar foros como el que ofreció Prospero. Tiene Ud. una nueva oportunidad en el “VII Congreso Intenacional de Ciberseguridad Industrial” que le acercará CCI la próxima semana.

Mientras tanto, conozca cómo siguen promoviendo su ciberpreparación otros países (y otras empresas de esos países) ¡Eche un vistazo a nuestras noticias sobre Francia e Irán! Conozca las últimas investigaciones en materia de ciberseguridad de SCI (por ejemplo, la relative a PLCs y a protocolos de comunicación). Y siga buceando en la transformación que las ‘smart OT’ están aportando a la automatización industrial.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 19 de septiembre de 2016

Premieres, elections and stumble twice on the same stone

On September, 8th, a series of news took place around us (I mean news of our interest). Some of them were actually banal, I confess, but there was room for some historic milestones, too.

That day, for the first time, CCI was present in Barcelona (Spain) to hold the 15th edition of its regular conference “The Voice of the Industry”. Interesting speakers and attendants, who had the opportunity to talk, hear and discuss jointly under the motto “Benefits of cybersecurity for the industrial enterprise” (name given to the whole session).

That day, Hotel H10 Casanova used for the first time the room hosting our event, after remodeling both materials and design (which made our staying much more comfortable, in deed).

And that day, once our session was closed, given the different time zone, the Obama Administration, via a blog co-authored and posted by its federal CIO, Tony Scott, disclosed the name of the largely announced first federal CISO: US Air Force Brigadier General (retired) Gregory J. Touhill, who will report to Scott from now on and who will drive cybersecurity across the US Government.

Preparing the federal agencies against a black swan cyberattack, taking care of US Government critical information infrastructures’ vulnerabilities and protecting the promise of the IoT in a smart connected administration will be part of Mr. Touhill’s agenda.

Nonetheless, this appointment could come with an inherent problem: tenure. How long will Mr. Touhill’s mandate last, in view of the upcoming US presidential elections in November? Maybe, because of this, Touhill’s political appointment has come hand-by-hand with the appointment of Grant Schneider as his deputy, in a more non-political/non-temporal role, some analysts have said.

We can’t say goodbye today without underlying a last important event we have been aware of in recent dates. History tends to repeat itself. The city of San Bruno, CA (USA), has been witness of a series of events like the ones lived in Bellingham, WA (USA) a decade ago. A pipeline owned and operated by Pacific Gas and Electric (PG&E) exploded  -like in the Olympics Pipeline Co. case- in 2010. Now a federal jury’s conclusions have just been known.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Estrenos, elecciones y tropezar dos veces con la misma piedra

El pasado 8 de septiembre, se produjeron una serie de novedades a nuestro alrededor (me refiero a novedades de nuestro interés). Algunas de ellas, he de confesar, que fueron absolutamente banales; pero también hubo hueco para algún que otro hito histórico.

Ese día, y por primera vez, CCI acudió a Barcelona (España) a celebrar la XV edición de su conferencia periódica “La Voz de la Industria”. Interesantes ponentes e interesantes asistentes, quienes [todos] tuvieron la oportunidad de hablar, oír y dialogar entre sí, bajo el lema “Beneficios de la ciberseguridad para la empresa industrial” (título elegido para la sesión).

Ese día, el Hotel H10 Casanova estrenaba el salón que acogió nuestro evento, tras una profunda remodelación, tanto en materiales, cuanto en diseño (lo que, de hecho, hizo nuestra estancia mucho más agradable).

Y ese día, una vez finalizada nuestra sesión, dada la diferencia horaria, la administración Obama, a través de un artículo firmado por su CIO federal, Tony Scott, desvelaba el nombre del largamente anunciado primer CISO federal: el General de Brigada (retirado) de las Fuerzas Aéreas de los EEUU Gregory J. Touhill, quien, a partir de ahora, se situará a las órdenes del propio Scott y quien dirigirá la ciberseguridad a lo largo y ancho de la administración estadounidense.

Preparar las agencias federales frente a cisnes negros cibernéticos, adoptar las medidas pertinentes frente a las vulnerabilidades en las infraestructuras de información críticas del gobierno federal y proteger la promesa de la IoT en una administración inteligente y conectada, formarán parte de la agenda del Sr. Touhill.

Sin embargo, este nombramiento podría adolecer de un problema congénito: la permanencia. ¿Cuánto tiempo permanecerá el Sr. Touhill en ese puesto, a la vista de las elecciones presidenciales de noviembre? Tal vez, por eso, el nombramiento politico del Sr. Touhill ha venido acompañado del de Grant Schneider como su segundo, un puesto menos político y menos temporal, han declarado algunos analistas.

Hoy no puedo despedirme sin subrayar un ultimo suceso importante, del que hemos tenido noticia en los últimos días. La Historia se repite. La ciudad de San Bruno (California, EEUU) ha sido testigo de una serie de hechos como los vividos en Bellingham (Washington, EEUU) y de los que ya hemos ido dando cuenta desde esta tribuna en diversas ocasiones. Una tubería propiedad de, y operada por, Pacific Gas and Electric (PG&E) explotó en 2010  -como ya ocurriera en el caso de la Olympics Pipeline Co. una década atrás-.  Ahora un jurado federal da a conocer sus conclusiones sobre el nuevo caso.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 12 de septiembre de 2016

Figures, time and competitiveness

Getting back to the figures from Cybersecurity Ventures we managed earlier this month, one could conclude that every impact-dollar would require 17 investment-cents; i. e., for the overall cyber impact of $6 Trillion, $1 Trillion cyber investment would be needed by 2021.

A recent report by IDC Research -the Framingham, MA (USA)-based market analysis firm-  predicts a global digital technology spending of some $2.7 trillion, for the same period. (Spending led by three sectors  -financial services, manufacturing and healthcare-,  all of them top players in the cyber game).

Should those figures were true, it would mean that, proportionally, an extraordinary 37%  -i.e., more than 1 in 3 dollars-  of the technology budget would be dedicated to security. Does this fit your numbers, too?

Anyway, it is difficult to advance how much of such investing endeavor will go to preventing measures and how much to corrective ones. The truth is that the earlier you consider security, the cheaper it will be. And, moreover, the earlier you invest, the deeper the results, too. So, let’s hope that a relevant amount of the figures above will be spent in the early stages of the cyber life-cycle; i.e., in minimizing software weakness (improving software quality), in increasing people’s awareness (strengthening passwords and counter-measuring phishing), and the like. For sure, your results will measure much better!

Last but not least, not all should be fear in the digital age. Benefits will necessarily surpass perils in the cyber landscape. Smart manufacturing comes unstoppable to optimize competitiveness.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

Cifras, tiempos y competitividad

Volviendo a las cifras de Cybersecurity Ventures que manejábamos a principios de mes, uno podría concluir que cada euro de impacto require 17 céntimos de inversion; esto es, para contrarrestar un ciberimpacto global, esperado para 2021, de 5,3 billones de euros, serían necesarios 0,89 billones de euros de inversión.

Un reciente informe de IDC Research  -la firma de análisis con sede en Framingham, MA (EEUU)-  predice un gasto global en tecnologías digitales, para el mismo período, de unos 2,4 billones de euros. (Gasto a la cabeza del cual se sitúan tres sectores  -servicios financieros, fabricación industrial y sanidad-,  todos ellos destacados protagonistas en materia “cíber”).

Si dichas cifras fueran ciertas, significaría que, proporcionalmente, un extraordinario 37%  -esto es, más de uno de cada tres euros-  del presupuesto de tecnología estaría dedicado a la seguridad. ¿Coincide esto, también, con los números que Ud. maneja?

Sea como sea, resulta difícil avanzar cuánto de ese esfuerzo inversor se destinará a medidas preventivas y cuánto a medidas correctivas. La verdad es que cuanto antes contemple la seguridad, más barata le saldrá. Y, lo que es más, cuanto antes invierta [en seguridad], más profundos serán los resultados. Esperemos, por tanto, que una cantidad considerable de las cifras señaladas se gaste en las etapas más tempranas del ciclo de vida de lo “cíber”; es decir, en atajar las debilidades del software (mejorando su calidad), en acrecentar la conciencia de la gente (fortaleciendo sus contraseñas y contrarrestando su vulnerabilidad frente al “phishing”), etc. ¡Sin duda, podrá ver cómo la medida de sus resultados arroja unos valores mucho mejores!

En último lugar, pero no por ello menos importante, piense que no todo habrá de ser miedo en el panorama digital. Los beneficios superarán a los peligros. La fabricación inteligente llega imparable para ayudarle a fortalecer su competitividad. 

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

lunes, 5 de septiembre de 2016

Corporate estimations and personal values

In an interview I gave last Spring to an international TV station, the interviewer  -whom I had the opportunity to talk to about the past, present and future of cybersecurity-,  asked me how much money there was behind the cybercrime curtain. “$2 trillion by 2019” was my answer, quoting a [then] recent report by Juniper Research. Few months have gone since, but currently such number has been notably surpassed: Cybersecurity Ventures reports today that the total cost of worldwide cybercrime will amount up to three times that figure, by 2021.

It seems a good argument to make people understand the relevance of cyber. Meanwhile, facts keep showing us that it is not the only risk, but one which few industrial shops are able to escape from.

Iranians know them well! I have said “… them …”; well, I mean they know well both: 1) the cost of cyber issues (I am convinced they have their own numbers  -for sure, a positive Stuxnet effect-;  and 2) that nobody is safe. Proof of it, they have implemented a periodic cyber-inspection routine that has led them to the discovery of a couple of infected plants (again).

But countrywide concerns are not the only cyber-root causes industrial players should be aware of. Insider threat, a majority of the times, due to, unhappy and lonely employees (respectfully, former employees) or ambitious ones, is the biggest threat. That’s the why every professional’s ethics are also key! Therefore, given the Industrial Internet of Things era we are entering, recall not only to cultivate your technical skills and competencies, but your personal, inner, values.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

PS: Let me share with you, today, a personal  -maybe stupid-  milestone. With today’s issue I am finally surpassing those eighty-five newsletters my predecessor, CCI co-founder and, despite it all, good friend, Ignacio Paredes, released between June, 3rd, 2013, and January, 12th, 2015. Thank you, Nacho, for fitting such a firm basement. Warmest regards!

Estimaciones corporativas y valores personales

En el transcurso de una entrevista que me realizaron, la pasada primavera, para una cadena de television internacional, el entrevistador  -con el que tuve la oportunidad de hablar sobre el pasado, presente y futuro de la ciberseguridad-  me preguntó cuánto dinero se escondía tras el telón del ciberdelito. “Dos millones de millones [billones] de euros” fue mi repuesta, citando un [entonces] reciente informe de Juniper Research. Han pasado apenas unos meses desde aquello, pero actualmente dicho número ha sido superado ampliamente: Cybersecurity Ventures informa hoy de que el coste total, mundial, del ciberdelito alcanzará, para 2021, tres veces esa cifra.

Se antoja un buen argumento para hacer que la gente entienda la importancia de lo cíber. Mientras tanto, los hechos siguen mostrándonos que, si bien ese no es el único riesgo para las organizaciones, sí es uno del que pocas instalaciones industriales se ven capaces de huir.

¡Los iraníes los conocen bien! He dicho “… los conocen …”. Bueno, me refiero a que: 1) conocen el coste de los ciber problemas (estoy convencido de que disponen de sus propias cifras  -sin duda, una lección positiva de Stuxnet-); y 2) conocen, también, que nadie está a salvo. Prueba de ello, han puesto en marcha una serie de ciber-inspecciones periódicas, rutinarias, que les ha llevado a descubrir un par de plantas industriales infectadas (otra vez).

Pero las preocupaciones de carácter nacional no son las únicas cibercausas tras los problemas que inquietan a los operadores industriales. La amenaza interior, la mayoría de las veces debida a solitarios empleados (o ex-empleados) insatisfechos y/o ambiciosos, constituye la mayor amenaza. ¡Ese es el porqué de que la ética de cada profesional también sea un asunto clave! Por tanto, dada la era de la Internet industrial en la que nos adentramos, recuerde cultivar, no sólo sus habilidades y competencias técnicas, sino, también, sus valores personales más interiores.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

PD: Permítame compartir con Ud. un pequeño  -y seguramente estúpido-  hito personal. Con el de hoy, supero, por fin, los ochenta y cinco boletines que mi predecesor, co-fundador de este Centro y, sin embargo, buen amigo, Ignacio Paredes, publicó entre el 3 de junio de 2013 y el 12 de enero de 2015. Gracias por poner unos cimientos tan firmes, Nacho. ¡Un abrazo!