Rodrigo Testón es Cybersecurity GRC, Auditor Interno Norma ISO9K-14K-27K-28K-45K, Consultor Sistemas de Gestión y Security Specialist.
El próximo 14 de julio, Chile cumplirá 19 años desde que publicó en el diario oficial la ratificación y cumplimiento por ley, del Código Internacional para la Protección de Buques e Instalaciones Portuarias (ISPS), el cual estipula una serie de prescripciones obligatorias aplicables para buques e instalaciones portuarias, indicando que la implantación de sus disposiciones requerirá de una continua y eficaz cooperación y entendimiento entre buques, personal portuario, intereses de la carga, administradores de puertos, autoridades nacionales y todas aquellas que tengan responsabilidades en el ámbito de la protección.
Asimismo, recalca en la importancia que si los procedimientos, planes evaluaciones, simulacros y relacionados implantados no ofrecen un nivel adecuado de protección, tendrán que someterse a evaluación y modificarse; definiendo que los sectores naviero y portuario (la industria marítima y a la cadena logística subyacente) y, las autoridades nacionales y locales (el Estado como órgano rector y a los organismos fiscalizadores sectoriales dependientes) deberán asumir responsabilidades adicionales (en caso necesario) para su cumplimiento, con el objetivo de permitir la cooperación, la detección y prevención de actos que supongan una amenaza para la protección del sector del transporte marítimo y, por ende, a todos los relacionados directa o indirectamente con él, en todas sus dimensiones.
Es por ello que la relevancia de las prescripciones obligatorias del código para el caso de las Instalaciones Portuarias, exigen la realización de una Evaluación de Protección y un Plan de Protección, donde se recalca la importancia de la identificación de los bienes e infraestructura que es importante proteger (Parte “A”, apartado 15 y Parte “B”, apartado N° 15.3.5), considerando los nuevos desafíos digitales que enfrentan las instalaciones en materias de ciberseguridad, los sistemas y redes informáticos se encuentran dentro de los bienes considerados para proteger; por ello, en la nomenclatura se diferencia de la seguridad, siendo esta última, encasillada con su concepto rector que es safety, para efectos de prevención de riesgos laborales (sin dejar de ser transversales), HSE, HSQE, HSSE, entre otros acrónimos identificatorios utilizados en las diversas industrias.
Por otro lado, los ciberataques que se han dejado sentir en la industria marítima a nivel mundial (y en otras industrias de servicios esenciales), son eventos que a nivel estadístico permiten establecer una señal e indican una tendencia que deben tener en consideración las instituciones y las organizaciones público-privadas, para que a lo menos inicie la planificación de la gestión del conocimiento y la inversión en infraestructura digital, siendo importante destacar que el grado de conocimiento, dominio y habilidades, que posean los Oficiales de Protección de Instalaciones Portuarias (OPIP) quienes son los responsables del liderazgo de los equipos de protección al interior de las instalaciones portuarias, marcarán la diferencia, el antes y el después, durante la gestión de crisis que deban atravesar las organizaciones, posterior a las acciones sobre los objetivos de interés, que materialicen los actores maliciosos, sobre activos tangibles e intangibles, que van desde el control de acceso, hasta la interfaz buque-puerto, pasando por en los ambientes IT y OT, comprometiendo literalmente a la totalidad de un “universo viviente” y sus infraestructuras que los integran: servicios de cadenas logísticas, instalaciones portuarias, trabajadores portuarios, contratistas, administraciones, stakeholders, buques de empresas navieras, agencias de naves, autoridades fiscalizadoras, entre los más destacados.
Las organizaciones son tan fuertes como su eslabón más débil, siendo este cliché tan claro y relevante como su validez al materializar estas letras. El conocimiento y habilidades en materias de ciberseguridad, que permitan al OPIP cultivar una especialización técnica, en lugar de continuar siendo un generalista de múltiples habilidades rutinarias, crearía la oportunidad de posicionarlo definitivamente en identificación, detección y protección del riesgo cibernético marítimo.
Como ya fuera analizado en la Organización Marítima Internacional (OMI), además ya es un responsable crítico a nivel organizacional para garantizar la protección de las instalaciones portuarias, gestionando la evaluación y plan de protección, ejecutando inspecciones y manteniendo los registros de las interacciones al interior de las dependencias y mejorando el grado de concientización de la totalidad del personal interno como externo, que no cumple dichas funciones de protección.
El perfil del Oficial de Protección no lo distancia de cursos introductorios relacionados en la materia, ahora existentes incluso en modalidad online 100% remota (algunos incluso gratis) que, sin ser exigibles actualmente en la norma marítima le permitirán ir cultivando conocimientos básicos y continuar con etapas intermedias y avanzadas, de acuerdo con sus responsabilidades y el grado de madurez del entorno portuario.
Los resultados potenciales permitirían a las organizaciones portuarias aumentar habilidades, la eficiencia y el rendimiento del OPIP e inclusive, acercando a los equipos de TI al área de Protección, donde el CISO de la organización ahora deberá cumplir con las nuevas responsabilidades definidas en la Circular Marítima Directemar O-75/006, que exigirán mayor transversalidad y nuevos desafíos de gestión, donde se aplicaría lo aprendido, proyectándolo en los diversos escenarios que impone la administración del riesgo de la ciberseguridad en los procesos marítimo-portuarios.