Actualmente, las empresas navieras están enfrentándose al mismo desafío que ya experimentaron otros sectores industriales con la llegada de la Industria 4.0. Es decir, la necesaria convivencia en las instalaciones de equipos operativos (OT) conectados a sistemas de la información (IT), tanto dentro de un buque como con otros centros de trabajo.
Además, un ataque malicioso puede originarse en cualquier parte y extenderse al resto de ubicaciones de la empresa, por lo que es necesario hacer un plan de ciberseguridad integral de toda la organización, que garantice que no existen fisuras en ninguna instalación, que pudieran explotar los ciberdelincuentes.
Los centros productivos de una naviera son los buques y deben ser la prioridad absoluta en términos de ciberseguridad. Para garantizar su ciber-resiliencia se tendrán que establecer los mecanismos necesarios que eviten incidentes de seguridad internos o provenientes de otros centros infectados.
Por otra parte, el sector está viviendo una revolución legislativa que hace que la ciberseguridad tenga que estar presente en la mayoría de los buques, tanto en operación como en su construcción:
- En enero de 2021 entró en vigor la resolución MSC 428(98) que obliga a los buques a incluir un plan de ciberseguridad como parte de su ISM.
- En enero de 2024 entrará en vigor una nueva normativa de IACS (Regulaciones E26 y E27) que obligará a las nuevas construcciones de buques y plataformas marítimas, certificables por sociedad de clasificación pertenecientes a dicha organización, a incluir una cota de ciberseguridad.
Entonces, ¿Qué medidas debemos de implementar para garantizar la ciberseguridad en la flota y en el resto de centros de la naviera?
En este artículo describiremos el punto de partida de un sistema de gestión de la ciberseguridad en cualquier naviera: El Plan de Ciberseguridad.
En los dos próximos artículos evaluaremos como proteger las instalaciones de producción (barcos) y el resto de centros de trabajo (oficinas centrales, almacenes….)
Plan de ciberseguridad global
El desarrollo de un plan de ciberseguridad global permite a una organización conocer que activos tiene que proteger, como ha de hacerlo y que mecanismos ha de desarrollar para recuperarse de un ciberataque.
- El punto de partida es la realización de un análisis de los sistemas OT / IT de cada centro, es decir, un inventario de los activos que necesitan ser protegidos. Cada uno de estos activos ha de ser clasificado de acuerdo a su criticidad dentro de la instalación.
- Una vez que sabemos los activos a proteger en cada centro, es indispensable estudiarlos para encontrar sus vulnerabilidades y establecer contramedidas que los protejan frente a ciberataques. En este punto, es necesario aplicar medidas que garanticen el aislamiento y contención de posibles ciberataques, como son la segregación de redes o la denegación de acceso por defecto. De esta forma evitaremos que una acción maliciosa salte de un sistema a otro o incluso pueda infectar a otras instalaciones.
- El siguiente paso sería desarrollar los procedimientos necesarios (técnicos y de operación) que garanticen la correcta gestión de los equipos, teniendo en cuenta todas las situaciones que los puedan poner en riesgo, como, por ejemplo: conexiones a redes TCP/IP, controles remotos, procedimientos de instalación y actualización de software, etc.
- Una vez definidos los procedimientos a aplicar en cada centro, es necesario diseñar un plan de contingencia integral, que defina como recuperarnos de un posible ciberataque que afecte a nuestros activos, de forma que tengamos previstas las medidas para restablecer los sistemas más sensibles en el menor tiempo posible.
- Un punto esencial es crear guías de usuario que formen a los usuarios sobre cómo utilizar los activos, les mentalicen frente a los riesgos y generen una cultura de ciberseguridad en la empresa.
El Plan de ciberseguridad incluirá todos los sistemas de cada centro de trabajo y ha de desarrollarse como un estándar que pueda aplicarse en todas las instalaciones de la empresa. Este plan de ciberseguridad se ha de utilizar como marco normativo para la instalación de nuevos buques o centros de trabajo.
Existen muchas guías de buenas prácticas que pueden ayudar en este proceso. Una de las mejores es la de BIMCO, que ayuda a identificar los sistemas más sensibles, describe un procedimiento para la elaboración del plan de ciberseguridad y da directrices sobre como implementar redes TCP/IP a bordo.
Conclusiones
La ciberseguridad ha de tratarse globalmente estudiando todos los activos OT / IT de todos los buques, oficinas, almacenes y del resto de centros de trabajo de una naviera. Los centros que no sean seguros serán probablemente la puerta de entrada de los posibles incidentes de seguridad y, dependiendo de su interconexión, los responsables de la expansión de los mismos al resto de la organización.
El plan de ciberseguridad nos permite no solo identificar las vulnerabilidades de los sistemas que componen cada centro de producción o trabajo. También nos sirve de base para establecer procedimientos estándar de ciberseguridad y formar a todos los miembros de la organización.
El objetivo final es crear una cultura de ciberseguridad que ayude a implementar los cambios necesarios en el futuro que garanticen mantener la ciberresiliencia del negocio.
¿Necesita más información?- Contáctenos