Rodrigo Testón es Cybersecurity GRC, Auditor Interno Norma ISO9K-14K-27K-28K-45K, Consultor Sistemas de Gestión y Security Specialist.
El 11 de noviembre pasado, los medios de comunicación australianos informaban acerca de un incidente de ciberseguridad que adoleció la infraestructura de 4 instalaciones portuarias (ubicadas en las ciudades de Sídney, Melbourne, Brisbane y Perth) del operador portuario global DP World, en dicho país.
Debido al alcance del impacto, declararon que “para salvaguardar a nuestros empleados, clientes y nuestras redes, hemos restringido el acceso terrestre a nuestras operaciones portuarias australianas mientras continuamos nuestras investigaciones”.
El 28 de noviembre de 2023, la multinacional basada en Australia, emitió una declaración corporativa de prensa con actualizaciones acerca del incidente de ciberseguridad, destacando que “la respuesta al incidente de DP World Australia jugó un papel crucial en su capacidad para identificar, proteger, detectar, responder y recuperarse del incidente de manera efectiva. El 20 de noviembre, unos siete días después de que se reiniciaran las operaciones portuarias y 10 días después de detectar por primera vez el incidente, DP World Australia había eliminado el 100% del retraso, que comprende unos 30.137 contenedores”.
Asimismo, indicaron que “a lo largo del incidente, DP World Australia ha estado trabajando estrechamente con el Coordinador de Seguridad Cibernética de Australia, el Centro de Seguridad Cibernética de Australia, la Policía Federal de Australia, el Departamento del Interior, los Ministros Clare O’Neil MP y Catherine King MP, la Oficina del Comisionado de Información de Australia y varios organismos estatales y territoriales. DP World Australia agradece todo el apoyo brindado hasta la fecha”.
Diez días, 30.137 contenedores, trabajadores portuarios, colaboradores de planta y toda una cadena logística que comprende alrededor de 40% del proceso australiano de transporte de mercancías por mar, comprometidos por lo que a la fecha indica, fueron los efectos que se dejaron sentir por un incidente de ciberseguridad, lo cual, exige preguntarnos cómo está la situación en las instalaciones de nuestro país en la materia, considerando las implicancias de simplemente hacer un símil numérico, extensión en días, personas laboralmente afectadas, carga retrasada, naves atracadas, seguros comprometidos (sin llegar a la evaluación de Ciberpólizas aplicables aún) y, contratos en todas las modalidades que nos permite aplicar el código de Comercio en su libro III y los Incoterms.
Actualmente, las organizaciones marítimas se encuentran atravesando y navegando desafíos normativos que comprenden una serie de nuevas responsabilidades para profesionales de instalaciones portuarias y equipos de protección, quienes son los responsables de la materialización del transporte, gestión, almacenamiento y generación de activos por sus servicios, condicionando y comprometiendo a una serie de factores humanos y de infraestructura crítica que día a día permiten sostener el modelo de negocios de la industria marítimo-portuaria.
Hoy avanzando bajo el compás de organismos internacionales (Organización Marítima Internacional, OMI, entre otros estándares de la industria) que, han invitado a aplicar la digitalización de procesos administrativos y complementar estrategias de desarrollo productivo y predictivo en las áreas de IT/OT, IIoT y relacionados, en los potenciales puerto inteligentes o denominados “Smart Ports“, donde confluyen ámbitos público-privados para la materialización de la plataforma multimodal de transferencia de carga.
Bajo este nuevo desafío tecnológico y digital, la pregunta que cabe a los clientes hacerse es si, de manera fehaciente, las organizaciones al interior de las instalaciones portuarias se encuentran preparadas ante estos nuevos escenarios disruptivos, considerando que, si extrapoláramos los datos de las consecuencias de Australia a nuestra realidad, para puertos nacionales competitivos y con manuales de tarifas disponibles en fuentes abiertas, los valores del impacto ascenderían para la misma cantidad de días en $194,2MUSD aproximadamente, y, si evaluamos acercarnos a un mes, la cifra bordea los $580MUSD, sin considerar el valor del impacto en los activos en materias operativas, financieras, legales, de reputación y ante los stakeholders.
Sumado a lo anterior, los costos por activación de seguros, Ciberpólizas (si las tienen) y otros relacionados que, actualmente para las empresas de cualquier rubro, son gravitantes al momento de hacer gestiones comerciales, alianzas estratégicas y adquisiciones financieras para el desarrollo y crecimiento del modelo de negocio, a nivel nacional e internacional, a raíz de este mismo escenario “ciber disruptivo”.
Acorde a las nuevas exigencias que Directemar definió en la circular marítima O-75/006, a contar del próximo 16 de junio de 2025, entrarán en vigor nuevas materias de protección para personas, activos, e infraestructuras tangibles e intangibles, para ambientes IT/OT, IIoT donde se generan responsabilidades transversales a las organizaciones pero sin embargo, al igual a lo sucedido en Australia, exigen protagonismo público-privado, donde infraestructuras críticas potencialmente afectadas deben mostrar liderazgo desde el primer momento.
Este es otro claro ejemplo de iniciativas internacionales que son parte de las armonizaciones de interés en ámbitos de protección de activos que, han emergido desde la Organización Marítima Internacional, resultado de variadas deliberaciones técnicas, apoyos transversales de interés de la industria, academia, gobiernos y representantes de ONG’s, preocupados por este nuevo “ladrillo” que finalmente, pesará en las espaldas de todos nosotros.