La resolución MSC.428 (98) de la Organización Marítima Internacional (OMI) persigue que todas las navieras desarrollen al menos un plan de ciberseguridad y de respuesta frente a ciberamenazas, como parte del Manual de Gestión de la Seguridad de cada buque, a más tardar en la primera verificación anual del Documento de Cumplimiento de la compañía después del 1 de enero de 2021.

Este requerimiento se recoge en el número de abril de la revista mensual de Anave, en el que se realiza un análisis de la normativa a cargo del director de Ciberseguridad Industrial de S2 Group. Óscar Navarro, y el director de división de Software y Nuevas Tecnologías en Aeromarine, Juan A. Mojón. Ambos señalan que las exigencias normativas y la adecuada valoración del riesgo existente y el posible impacto sobre el negocio son dos líneas que confluyen para impulsar al sector a tomar medidas.

Los expertos señalan que las razones principales del aumento de los ciberataques son la evolución tecnológica y la digitalización de los procesos de a bordo. Por ello, seguir la recomendación de la OMI permitirá establecer los procedimientos necesarios para conocer los activos a proteger, las vulnerabilidades y las amenazas a las que están expuestos, e instruir a los tripulantes sobre cómo proceder en cada caso, propiciando de esta manera una cultura de ciberseguridad en la flota.

Radiografía del estado de protección del buque

A partir de aquí, la primera línea de trabajo debe ser necesariamente llevar a cabo un análisis que permita obtener una imagen del estado de protección del buque. Para ello, Navarro y Mojón proponen integrar la ciberseguridad en el ciclo de vida completo del buque, comenzando por la definición de especificaciones de ciberseguridad de aplicación durante el proyecto, la construcción, la compra de equipos, la contratación de servicios…

Otro elemento fundamental es la monitorización de actividad anómala, tanto en el uso de los equipos de a bordo, como en las redes de comunicaciones in- ternas y externas. Por último, los expertos aconsejan integrar las evaluaciones periódicas de ciberseguridad en los procesos de auditoría para garantizar que los controles implantados, tanto técnicos como procedimentales, sean operativos, adecuados a las amenazas existentes y se apliquen correctamente.

En el nuevo escenario, el riesgo creciente de sufrir un ciberataque y su impacto potencial en el negocio, no pueden ser ignorados. Así lo establecen la realidad constatada en los ataques sufridos por empresas navieras y otros organismos del sector y los avances normativos, que fijan el horizonte para todos los participantes del sector. Las medidas propuestas van desde la adopción de soluciones tecnológicas hasta el aumento de las habilidades de las tripulaciones.

En cualquier caso, la ciberseguridad debe afrontarse como un elemento más de las operaciones, integrándola en los procesos de negocio e implementando los cambios organizativos necesarios para garantizar la rentabilidad de las inversiones y su efectividad en el tiempo. El coste de la ciberseguridad debe evaluarse contra el impacto económico potencial de un solo incidente, realizando los análisis de riesgos necesarios que permitan poner en contexto estas inversiones y comparándolas con el coste de la no-seguridad.

Fuente: Naucher Global