Por Andrés Orrego Siebert
@PortalPortuario
Andrew Baskin, Vicepresidente de Política Global y Comercio de HudsonAnalytix, advirtió que, ante la posibilidad de ataques informáticos, la gestión de los riesgos en un ambiente de comunidad portuaria no depende solo de lo que hagan sus miembros de forma individual, sino de lo que realicen todos los integrantes en conjunto.
“Los sistemas de comunidad portuaria son muy útiles, crean mucha eficiencia, incrementan la competitividad, sin duda, pero eso incrementa también las conexiones informáticas que tenemos con otras organizaciones, por lo que un ataque o un ciberincidente que afecte a un miembro de la comunidad portuaria puede afectar a los demás miembros. Entonces tenemos que asegurar la ciberseguridad a nivel de comunidad portuaria, no solo a nivel organizacional”, señaló.
Baskin, quien será relator en el Foro Internacional “Transformación Digital: Retos y oportunidades post pandemia”, que es organizado por el Puerto de Barranquilla y PortalPortuario.cl, detalló que más del 75% de las organizaciones no cuenta con planes preventivos ni de acción frente a incidentes cibernéticos, mientras que los que sí lo tienen, no los ponen en práctica de manera regular.
Por eso, el abogado, que colabora en la dirección de HudsonCyber que es la unidad de manejo de riesgo cibernético de HudsonAnalytix, apuntó que así como en una comunidad portuaria la ciberseguridad depende de todos los actores que la integran, a nivel organizacional la responsabilidad es compartida y no solo debe recaer en la espalda del departamento de informática.
“Una de las cosas que muchas veces hacemos y que debemos cambiar en cómo pensamos la ciberseguridad es que no es un asunto puramente de la informática. Este es un asunto de la organización entera que comienza con los líderes, con el Consejo Directivo, con los gerentes más altos, porque hay muchas organizaciones que dicen: ‘Bueno, el equipo de informática lo tiene bajo control’, pero no es así, pues hay que incorporar a unidades y departamentos que no son de parte de informática. La ciberseguridad y manejo de riesgo cibernético le compete a toda la organización”, sostuvo.
“Los ataques a las navieras nos enseñan dos cosas. Uno es que la capacitación es importantísima, porque casi todo el personal de una organización se conecta de una manera u otra con algún equipo informático como una computadora, una laptop, un celular, un equipo móvil como un scanner y, por eso, hay que capacitar a todo el personal para usar la tecnología de manera segura, eso no es opción es casi obligatorio. La otra lección es que si Maersk, CMA CGM, MSC, Cosco, si todos ellos pueden ser víctimas o pueden sufrir un ciberataque, todos nosotros podemos sufrir un ciberataque, entonces, hay que tener un plan bien definido de cómo la organización respondería a un incidente cibernético”, profundizó Baskin.
Riesgo en puerto
Baskin especificó que, a nivel portuario, el mayor riesgo es la interconexión de sistemas informáticos y operativos, ya que un hacker no solo podría robar datos, sino afectar la operación de equipamientos si es que tuviera la habilidad o la oportunidad de hacerlo.
“Cuando hablamos de ciberseguridad, en el manejo de riesgo cibernético, a veces recibimos la pregunta de si una organización no debería seguir con este proceso de digitalización, pero no es así. La respuesta no es que hay que volver a ser cavernícola. Tenemos que considerar los riesgos que tenemos; por ejemplo, en nuestro sector, en el portuario, lo que estamos haciendo si vamos a digitalizar -más que todo- es interconectar nuestros sistemas informáticos con nuestros sistemas operativos y esto crea más riesgo de que un atacante pueda acceder a un sistema informático y después pueda acceder, si quiere o tiene la capacidad, y si hay suficientes conexiones dentro de la organización, a sistemas operativos”, comentó.
Por eso, Andrew Baskin afirmó que, al ser los puertos un nodo generador de datos, las empresas tienen el deber se protegerlos, ya que son valiosos para la organización y para quienes interactúan con ella.
Seguros
En su experiencia, y como parte de su trabajo de asesor en ciberseguridad para empresas del rubro portuario, Andre Baskin, dijo que las normas y los estándares en la materia están siendo dictados por las aseguradoras que establecen criterios a implementar antes de dar las coberturas.
“Estamos viendo más y más, no solo en los puertos, que las organizaciones buscan un seguro cibernético para poder transferir el riesgo de sufrir un ciberataque a una aseguradora pagando la cuota, pero eso implica que la organización tiene que llegar a cierto nivel de ciberseguridad o de manejo de riesgo cibernético para que la aseguradora se interese en dar esa cobertura y las aseguradoras están creando e implementando las normas para que un puerto o cualquier organización tienen que alcanzar para poder recibir este tipo de seguros”, indicó.
En este contexto, Andrew Baskin entregó algunas recomendaciones como el autodiagnóstico de brechas, elaboración de planes de acción e inversión en capacitación.
“Lo que recomendamos, más que todo, y en HudsonAnalytix ayudamos a muchas organizaciones y puertos en particular con eso, es realizar una autoevaluación inicial de las capacidades en ciberseguridad, porque -así- entendiendo cuáles son sus capacidades y cuáles son sus brechas u oportunidades para mejorar pueden decidir dónde invertir recursos para incrementar la ciberseguridad. Típicamente vemos que la capacitación el es paso más eficaz y más rentable al inicio, también la concientización situacional, entender el ámbito de posibles vulnerabilidades cibernéticas y desarrollar el plan de respuesta”, remarcó.
“Por lo general, vemos que los pasos económicos como son la capacitación, el desarrollo del plan de respuestas ante ataques cibernéticos no son muy costos, o sea, sí, cuestan algo, pero no son costosos en comparación a los beneficios que la organización recibe o las pérdidas que la organización puede evitar”, concluyó.
Si usted quiere participar del Foro Internacional “Transformación Digital: Retos y oportunidades post pandemia”, inscríbase de forma gratuita aquí.
