Lo primero que hago cuando llego a una planta no es mirar la red
Cuando un consultor de ciberseguridad OT llega a una planta, lo primero no es conectarse a un switch. Hay que pedir los P&IDs y entender el proceso.
No audito sistemas que no he construido
La ciberseguridad OT no es IT con casco. Después de 20 años diseñando y arrancando sistemas de control industrial, cuento por qué el criterio de planta marca la diferencia entre un informe bonito y proteger de verdad una instalación.
Mitos OT: las frases que más se repiten y más daño hacen
«Nuestra red OT está aislada.» Lo escucho en casi cada proyecto. Y en casi cada proyecto, resulta que no lo está. Aquí desmonto los mitos que más daño hacen en ciberseguridad industrial.
Regulación y ciberseguridad industrial: lo que viene y lo que ya está aquí
NIS2 ya es obligatoria. CRA está en camino. Casi toda la información circula desde IT. Aquí traduzco la regulación para quien gestiona o protege un entorno industrial real.
Lo que encuentro cuando llego a una planta
Cada planta tiene su arqueología: capas de decisiones, equipos olvidados, redes sin documentar. Aquí cuento lo que encuentro cuando llego a una instalación industrial y empiezo a levantar la realidad.
Por qué IEC 62443 y no otra norma
IEC 62443 es la única norma pensada desde el proceso industrial. No voy a explicarla. Voy a contar lo que pasa cuando la aplicas a una planta real con 30 años de historia.
El sector industrial necesita una conversación que todavía no está teniendo
El sector industrial tiene conversaciones pendientes que no son técnicas. IT y OT sin entenderse, talento que no existe, regulación que llega sin preparación. Aquí escribo sobre lo que no cabe en un informe.