Cuando iniciamos esta aventura sabíamos que nuestro enfoque tenía que ser netamente en ciberseguridad industrial, pues es lo que nos apasiona y es donde podemos aplicar toda nuestra experiencia y conocimiento. Sin embargo, nos encontrábamos con una comunidad muy incipiente a comparación de las ya establecidas en ciberseguridad de IT y con fuentes de información muy compleja o muy mezclada con los otros mundos de la ciberseguridad.
Así que empezamos a buscar fuentes de información, que fue donde surgió la idea de compartirlo, pero no sabíamos mucho como hacerlo o como generar ese espacio, pero empezamos a ver lo que se estaba usando en el medio y vimos Twitter, LinkedIn, discord y telegram.
Pero de todos telegram era el único que nos permitía, generar ese “reporte” diario de actualidad, que sea de fácil acceso y de fácil lectura, sin invadir la privacidad de nadie ni generar incomodidades como las que se generan con las listas de correos o los grupos de mensajería instantánea. Así que revisamos las posibilidades que tenía Telegram y nos encontramos con un ejemplo del mundo de TI que nos parecía lo más cercano a lo que deseábamos hacer https://t.me/cybersecuritytechnologies
Con el modelo claro, ahora teníamos que estructurar la información y fue donde nació la idea de las secciones de contenido, como las que planteamos en nuestro primer post. Pero sin duda el reto más difícil eran las fuentes de información, donde como expresamos anteriormente era complicado por las incipientes comunidades y por lo mezclada con fuentes de ciberseguridad en IT. Aquí es donde nace nuestro mapa mental.
Sin duda una parte fundamental son los diferentes CERT, para tener actualizadas las alertas de las vulnerabilidades, y en ese capitulo sin duda alguna INCIBE es una de nuestras fuentes fundamentales, sin desconocer desde luego la labor que durante cerca de 10 años ha hecho la CISA con el ICS-CERT Advisories.
Otra fuente fundamental de información son las comunidades, iniciando con el centro de ciberseguridad industrial (CCI) cuyo ecosistema lleva muchos años formando personas en ciberseguridad industrial en español y por las experiencias en Defcon sin duda era importante tener datos de la villa de ICS. La primera fuente es muy valiosa entrega diversas notas que hemos usados, la segunda es una comunidad que en los últimos años debido a la pandemia (eso esperamos) se ha visto muy poco movimiento, pero es importante por las cosas hemos visto que salen en dicha villa.
Para análisis de amenazas, gestión de seguridad , reportes y eventos, es importante seguir las empresas de tecnología que son enfocadas en seguridad industrial. Donde las más reconocidas son Nozomi Networks, Dragos, Claroty y Armis, que nos entregan análisis muy importantes de las amenazas que suceden en las grandes industrias.
Por último, para obtener datos de educación es importante tener en el mapa a SANS ICS y en Twitter o LinkedIN a las cuentas de personas que trabajan en el medio, para tener fuentes de experiencia y conocimiento reales. Eso nos permite buscar herramientas y aprender de riesgos y manejo de incidentes.