Rodrigo Testón es Asesor Marítimo, Cybersecurity GRC, Auditor Interno Norma ISO9K-14K-27K-28K-45K, Consultor Sistemas de Gestión y Maritime Security
Los grupos de trabajo de diferentes países integrantes de la Organización Marítima Internacional (OMI), continúan desarrollando directrices con recomendaciones fundamentales para fortalecer la importancia de crear, desarrollar, mantener e identificar procesos para mejorar la ciberseguridad marítima, tanto a bordo de los buques e instalaciones portuarias que participan en la transferencia de cargas por mar, con el propósito de proteger los activos tangibles como digitales que participan en la cadena logística y así mitigar los potenciales efectos ante actores maliciosos.
Lo relevante en lo que importa, es que ya se integraron en el análisis los activos de Tecnologías de la Información y los activos de Tecnologías Operacionales, donde se reconoce y se resalta la importancia de ambas dimensiones, que para efectos de gestión y administración de equipos críticos, ya cruzan transversalmente capas y exigen medidas de protección adicionales para no comprometer la confiabilidad, integridad y disponibilidad de infraestructuras críticas.
Equipos cuyos grados de criticidad puedan ser impactados ante incidentes, software directamente relacionado con la operación e interacción al interior de la cadena y stakeholders y, no menos relevante, las implicancias sobre el factor humano, donde las personas que interactúan a todo nivel en las jerarquías organizacionales demandan mayor protagonismo en materias de difusión de awareness, capacitaciones y protocolos de gobierno, identificación, protección, detección, respuesta y recuperación, ante potenciales incidentes de ciberseguridad.
Estas medidas además aplican a las tecnologías de las comunicaciones y de la información, significando que la administración de la gestión de riesgos cibernéticos está presente desde que la nave pasa la primera espía al amarrar al muelle y se inicia el movimiento de la carga tanto a bordo como en tierra, previa coordinación entre la agencia de naves con la instalación portuaria, gestiones portuarias de planimetría, movimientos de grúas de carga, camiones, entre las más destacadas, todo lo anterior, tangible mediante comunicaciones entre el buque, stakeholders, clientes, autoridades fiscalizadoras, nombradas de trabajadores, en fin, una suma de recurso humano, infraestructura, activos digitales y a la espera de resultados dentro de la cantidad de turnos definidos para materializar procesos de gestión de operaciones portuarias, en instalaciones de categoría acorde a su grado de madurez, hasta el zarpe del buque a su puerto de destino.
Asimismo, en el documento OMI titulado “Revisión de las directrices sobre gestión del riesgo cibernético marítimo (MSC-FAL.1/CIRC.3/REV.2) e identificación de los próximos pasos para mejorar la ciberseguridad marítima”, se resalta la importancia que la gestión de los riesgos cibernéticos representa para las administraciones y la industria, al otorgar una base para una mejor comprensión y gestión de riesgos, orientando la hoja de ruta para abordar las amenazas y vulnerabilidades que deben ser analizadas simplemente para la protección sostenida de los activos, sin ser impositiva ni menos obligatoria.
Lo relevante es cómo será acogida e implementada para efectos de gobernanza, control y cumplimiento, sabiendo que en la actualidad siguen acrecentándose las amenazas emergentes de todo tipo, que han sabido trascender industrias, tecnologías y potencialmente coartando servicios esenciales.
Por otro lado, se ha acrecentado el interés por el desarrollo de tecnologías de software y hardware que incorporan el concepto de la creación empleando el principio de seguridad por diseño, permitiendo mayor resiliencia por capas y así negar y mitigar amenazas por medio de mayores barreras a la entrada, abarcando grados de protección acorde al ciclo de vida de los activos; como también tecnologías aplicadas en las diversas interacciones digitales para la gestión de credenciales, accesos, permisos físicos y digitales, administración documental y tantos otros relacionados, permitiendo acrecentar la continuidad, disponibilidad e integridad de las operaciones y confidencialidad de activos críticos para el modelo de negocio y sus interesados sectoriales y transversales.
La decisión en materias de protección será definida por los resultados, efectos y consecuencias que se generen ante eventos, incidentes o grados de mitigación y respuesta en lo que a interés motivado por las imposiciones de las administraciones gubernamentales, exigencias de stakeholders para seleccionar a sus partners estratégicos certificados en materias de protección de activos (estándares de la industria), la visión y gestión de la alta dirección ante el continuo avance tecnológico que ya emplea tecnologías de inteligencia artificial, junto a la próxima aparición en la escena de la computación cuántica que se dejará caer en los procesos y la capacidad organizacional de responder ante incidentes con las herramientas actualmente disponibles, permeando en la competitividad, cadena de valor y resultados financieros proyectados en los estados de resultados.
Chile, a través de la Dirección General del Territorio Marítimo y de Marina Mercante, ya se encuentra desarrollando las orientaciones y exigencias que sean adaptables y mediante un serio análisis, a la fecha se han reglamentado (circular marítima O-75/006) de manera sostenida el esfuerzo que exige la protección de los activos que apoyen a mantener la resiliencia operacional, siendo receptivo ante la brecha actualmente existente, donde la industria deberá evaluar su contexto organizacional y seguir pasos metodológicos que le permitan la implantación de sistemas de gestión acorde a su propia realidad y la interacción con su entorno directo, permitiéndole acortar espacios y generar sinergia competitiva que fomente las buenas prácticas.
Además, para que alcancen estándares sugeridos tales como la Norma ISO, directrices de ciberseguridad a borde de los buques e infraestructura, generadas por la industria (Ocimf, Intercargo, Bimco, NIST, IACS, IAPH, entre otras), siendo la referencia aceptada a la fecha para fomentar una solidez necesaria que no se limita a otras guías, sino que acerquen las oportunidades de la digitalización, reduzcan los costos, la carga administrativa y sean respuestas objetivas ante los desafíos que implica la constante evolución de la industria 4.0 y la actualización de nuevas tecnologías IT y OT. La decisión estratégica, literalmente se encuentra a un click de distancia.