Guía de seguridad cibernética para navieras

Escrito por

El transporte internacional de mercancías se enfrenta cada vez a más ataques informáticos y dentro del mismo, armadores y gestores de buques, encargados del transporte marítimo, ocupan una posición especialmente frágil en muchos ámbitos.

Por ello que la industria naviera, ampliamente representada por BIMCO (Consejo Marítimo Internacional y del Báltico), CSA (Cámara de Navegación Americana), DCSA (Asociación de Contenedores Digitales), INTERCARGO (Asociación Internacional de Propietarios de Buques de Carga Seca), INTERTANKO (Asociación Internacional de Propietarios de Buques Cisterna Independientes), InterManager, ICS (Cámara Naviera Internacional), IUMI (Unión Internacional de Seguros Marítimos), OCIMF (Foro Marítimo Internacional de Compañías Petroleras), Sybass (Asociación de Constructores de Superyates) y el WSC (Consejo Mundial de Navegación) edita y publica unas directrices respecto a la seguridad informática o cibernética a bordo de los buques, que revisa y actualiza de manera periódica.

El documento, que no se actualizaba desde el 2018, acaba de hacerlo recientemente a una cuarta versión donde se definen estrategias, medidas y procedimientos que permiten mejorar la seguridad cibérnetica de los buques marítimos, que podemos resumir en estos puntos:

  • Concienciación de los riesgos de seguridad y comerciales que se presentan debido a la falta de medidas de seguridad cibernética.

  • Protección de la infraestructura informática de a bordo y de los equipos conectados.

  • Sistema de autenticación y autorización de los usuarios, para garantizar el acceso adecuado a la información necesaria.

  • Protección de los datos que se utilizan en el entorno del buque, asegurando que tenga una protección adecuada basada en la sensibilidad de la información.

  • Gestión de privilegios de los usuarios, para asegurarse de que solo tienen acceso y privilegios sobre la información para la que están autorizados.

  • Gestión de la comunicación entre el barco y la costa.

  • Desarrollo e implementación de un plan de respuesta a incidentes cibernéticos basado en una evaluación de riesgos en tiempo real.

La guía nos lleva a través de diez capítulos y cinco anexos, desde la concienciación y la teoría, a la práctica y los procedimientos necesarios en cada una de las áreas y situaciones probables. Citando la introducción de la propia guía:

El propósito de estas directrices es mejorar la seguridad de la gente de mar, el medio ambiente, la carga y los buques. Las directrices tienen por objeto contribuir a la elaboración de una estrategia adecuada de gestión del riesgo cibernético de conformidad con los reglamentos pertinentes y las mejores prácticas a bordo de un buque, centrándose en los procesos de trabajo, el equipo, la capacitación, la respuesta a los incidentes y la gestión de la recuperación.

Guía de seguridad cibernética para navieras

Índice de la guía de seguridad cibernética para navieras

  1. Introducción

    1. Seguridad cibernética y gestión de riesgos

    2. Características de la seguridad cibernética de la industria marítima

    3. Participación del personal directivo superior

    4. Roles, responsabilidades y tareas

    5. Diferencias entre los sistemas IT y OT

    6. Planes y procedimientos

    7. Relación entre el propietario y el administrador del barco

    8. Relación entre el propietario del barco y el agente marítimo

    9. Relación con los proveedores y otras partes externas

  2. Identificación de las amenazas

    1. Los actores de la amenaza

    2. Tipos de amenazas cibernéticas

    3. Etapas de un incidente cibernético

    4. Cuantificar la amenaza

  3. Identificación de las vulnerabilidades

    1. Vulnerabilidades comunes

    2. Documentación de los sistemas de TI y OT

    3. Sistemas vulnerables típicos

    4. Interfaz de barco a tierra

    5. Visitas de barcos

    6. Acceso remoto

    7. Mantenimiento del sistema y del software

  4. Evaluación de la probabilidad

    1. La probabilidad como producto de la amenaza y la vulnerabilidad

    2. Cuantificación de la probabilidad

  5. Evaluación del impacto

    1. El modelo de la CIA

    2. Cuantificación del impacto

    3. Equipo y sistemas técnicos "críticos"

  6. Evaluación del riesgo

    1. Relación entre los factores que influyen en el riesgo

    2. Las cuatro fases de una evaluación de riesgos

    3. Evaluaciones del riesgo de terceros

  7. Desarrollo de medidas de protección

    1. Defensa en profundidad y en amplitud

    2. Medidas técnicas de protección

    3. Medidas de protección de procedimiento

  8. Desarrollo de medidas de detección

    1. Detección, bloqueo y alertas

    2. Detección de malware

  9. Establecimiento de planes de contingencia

    1. Responder y recuperarse de los incidentes de seguridad cibernética

    2. Respuesta efectiva

    3. Las cuatro fases de la respuesta al incidente

    4. Plan de recuperación

    5. Capacidad de recuperación de datos

    6. Investigando los incidentes cibernéticos

    7. Pérdidas derivadas de un incidente cibernético

    8. Sistemas, equipo y tecnologías de objetivo

    9. La gestión del riesgo cibernético y el sistema de gestión de la seguridad

    10. Las redes de a bordo

    11. Glosario

    12. Colaboradores de la revisión más reciente de esta publicación

Como se puede intuir a través de este índice, se trata de una guía de directrices muy completa, resultando en un recurso muy importante para todo el sector transitario marítimo internacional.

Descargar la Guía de directrices sobre la seguridad cibernética a bordo de los buques (version 4, enero 2021).

Anterior

Participamos en la nueva edición de la revista de FETEIA-OLTRA
Siguiente

Zona privada: rumbo al autoservicio