Hay cosas que veo en cada proyecto y que no caben en un informe de auditoría. Decisiones que se toman por inercia. Roles que nadie quiere asumir. Conversaciones que se evitan porque tocarlas obligaría a cambiar algo.
La ciberseguridad industrial en España tiene un problema que no es técnico. Es de conversación. IT y OT llevan años sin entenderse, y cuando lo intentan, suele ser porque ha pasado algo. Dirección sabe que tiene que invertir, pero no entiende en qué ni por qué lo que protege una oficina no protege una planta. Los fabricantes de equipos industriales van a tener que cumplir con CRA, y la mayoría todavía no ha empezado a pensar en ello.
Y luego está el talento. Buscar a alguien que entienda de redes industriales, de protocolos de campo, de lo que significa parar una línea, y que además sepa de ciberseguridad, es buscar un perfil que casi no existe. No porque no haya gente capaz, sino porque no hemos construido el camino para formarla.
En esta sección voy a escribir sobre todo eso. Lo que no se dice en los congresos, las decisiones que se toman mal no por maldad sino por falta de contexto, y por qué proteger un entorno donde hay procesos físicos, personas y riesgo real no se parece en nada a proteger una oficina.
No son artículos técnicos. Son reflexiones de alguien que lleva años entre PLCs y firewalls, y que cree que al sector le hace falta más criterio y menos titulares.
Porque si no tenemos esta conversación ahora, la vamos a tener después de un incidente. Y entonces será otra conversación.
Esta entrada se actualizará a medida que publique contenido en esta categoría.