DIRECTRICES SOBRE CIBERSEGURIDAD A BORDO DE LOS BUQUES

DIRECTRICES SOBRE CIBERSEGURIDAD A BORDO DE LOS BUQUES

Version 4

Producido y apoyado por BIMCO, Chamber of Shipping of America, Digital Containership Association, International Association of Dry Cargo Shipowners (INTERCARGO), InterManager, International Association of Independent Tanker Owners (INTERTANKO), International Chamber of Shipping (ICS), International Union of Marine Insurance (IUMI), Oil Companies International Marine Forum (OCIMF), Superyacht Builders Association (Sybass) y World Shipping Council (WSC)

Contenido

Introducción

1 Ciberseguridad y gestión de riesgos

1.1 Características de la ciberseguridad en el sector marítimo

1.2 Participación de la alta dirección

1.3 Funciones, responsabilidades y tareas

1.4 Diferencias entre los sistemas de TI y OT

1.5 Planes y procedimientos

1.6 Relación entre el armador y el gestor del buque

1.7 Relación entre el armador y el agente

1.8 Relación con los proveedores y otras partes externas

2 Identificar las amenazas

2.1 Actores de la amenaza

2.2 Tipos de ciberamenazas

2.3 Etapas de un ciberincidente

2.4 Cuantificar la amenaza

3 Identificar las vulnerabilidades

3.1 Vulnerabilidades comunes

3.2 Documentación de los sistemas TI y OT

3.3 Sistemas vulnerables típicos

3.4 Interfaz buque-costa

3.5 Visitas al buque

3.6 Acceso remoto

3.7 Mantenimiento del sistema y del software

4 Evaluación de la probabilidad

4.1 La probabilidad como producto de la amenaza y la vulnerabilidad

4.2 Cuantificación de la probabilidad

5 Evaluación del impacto

5.1 El modelo CIA

5.2 Cuantificación del impacto

5.3 Equipos y sistemas técnicos "críticos

6 Evaluación del riesgo

6.1 Relación entre los factores que influyen en el riesgo

6.2 Las cuatro fases de una evaluación de riesgos

6.3 Evaluación de riesgos por parte de terceros

7 Desarrollar medidas de protección

7.1 Defensa en profundidad y en amplitud

7.2 Medidas técnicas de protección

7.3 Medidas de protección procedimental

8 Desarrollar medidas de detección

8.1 Detección, bloqueo y alertas

8.2 Detección de malware

9 Establecer planes de contingencia

10 Responder y recuperarse de los incidentes de ciberseguridad

10.1 Respuesta eficaz

10.2 Las cuatro fases de la respuesta a un incidente

10.3 Plan de recuperación

10.4 Capacidad de recuperación de datos

10.5 Investigar los ciberincidentes

10.6 Pérdidas derivadas de un ciberincidente

ANEXO 1 Sistemas, equipos y tecnologías objetivo

ANEXO 2 Gestión del ciberriesgo y sistema de gestión de la seguridad

ANEXO 3 Redes a bordo

ANEXO 4 Glosario

ANEXO 5 Colaboradores de la última revisión de esta publicación

Introducción

El objetivo de estas directrices es mejorar la seguridad y la protección de la gente de mar, el medio ambiente, la carga y los buques. Las directrices pretenden ayudar a desarrollar una estrategia adecuada de gestión de riesgos cibernéticos de acuerdo con la normativa pertinente y las mejores prácticas a bordo de un buque, centrándose en los procesos de trabajo, los equipos, la formación, la respuesta a los incidentes y la gestión de la recuperación.

El transporte marítimo depende cada vez más de las soluciones digitales para la realización de las tareas cotidianas. La rápida evolución de las tecnologías de la información, la disponibilidad de datos, la velocidad de procesamiento y la transferencia de datos ofrecen a los armadores y a otros agentes del sector marítimo mayores posibilidades de optimización operativa, ahorro de costes, mejora de la seguridad y un negocio más sostenible.

Sin embargo, estos avances se basan en gran medida en el aumento de la conectividad, a menudo a través de Internet, entre los servidores, los sistemas de TI y los sistemas de OT, lo que aumenta las posibles vulnerabilidades y riesgos cibernéticos.

Los sistemas de tecnología operativa (OT) incluyen el hardware y el software que supervisan y/o controlan los dispositivos, procesos y eventos físicos.

Los sistemas de tecnología de la información (TI) incluyen el hardware y el software que gestiona los datos (es decir, los sistemas de TI no controlan los dispositivos físicos, los procesos o los eventos).

Las directrices explican por qué y cómo deben gestionarse los ciberriesgos en el contexto del transporte marítimo. Se enumera la documentación de apoyo necesaria para llevar a cabo una evaluación de riesgos y se esboza el proceso de evaluación de riesgos con una explicación del papel que desempeña cada componente del ciberriesgo. Esta publicación destaca la importancia de evaluar la probabilidad y la amenaza, además del impacto y las vulnerabilidades, al realizar una evaluación de riesgos cibernéticos. Por último, esta publicación ofrece consejos sobre cómo responder y recuperarse de los ciberincidentes.

Los enfoques de la gestión de riesgos cibernéticos serán específicos de la empresa y del buque, pero deben guiarse por los requisitos de las regulaciones y directrices nacionales, internacionales y del estado de abanderamiento pertinentes.

En 2017, la Organización Marítima Internacional (OMI) adoptó la resolución MSC.428(98) sobre la gestión del ciberriesgo marítimo en el sistema de gestión de la seguridad (SMS). La resolución declaró que un SMS aprobado debe considerar la gestión de riesgos cibernéticos de acuerdo con los objetivos y requisitos funcionales del Código (de gestión de la seguridad internacional) ISM. Además, alienta a las administraciones a garantizar que los riesgos cibernéticos se aborden adecuadamente en el SGS a más tardar en la primera verificación anual del Documento de Cumplimiento (DoC) de la empresa después del 1 de enero de 2021. Ese mismo año, la OMI elaboró unas directrices que ofrecen recomendaciones de alto nivel sobre la gestión de los ciberriesgos marítimos para proteger el transporte marítimo de las ciberamenazas y vulnerabilidades actuales y emergentes. Como también se subraya en las directrices de la OMI, la gestión eficaz de los ciberriesgos debe comenzar a nivel de la alta dirección. La alta dirección debe integrar una cultura de gestión del ciberriesgo en todos los niveles y departamentos de una organización y garantizar un régimen de gobernanza del ciberriesgo holístico y flexible, que esté en funcionamiento continuo y se evalúe constantemente a través de mecanismos eficaces de retroalimentación.

Además de la resolución de la OMI, en la elaboración de estas directrices también se ha tenido en cuenta el Marco de Ciberseguridad del Instituto Nacional de Normas y Tecnología (NIST) de Estados Unidos, versión 1.1 (abril de 2018). El Marco de Ciberseguridad del NIST ayuda a las empresas en su enfoque de las evaluaciones de riesgos, ayudándolas a comprender un enfoque eficaz para gestionar los posibles riesgos cibernéticos tanto interna como externamente. Como resultado de la aplicación del Marco, se desarrolla un "perfil" que puede ayudar a identificar y priorizar las acciones para reducir los ciberriesgos. El perfil también puede utilizarse como herramienta para alinear las decisiones políticas, empresariales y tecnológicas para gestionar los riesgos.

Hay disponibles públicamente ejemplos de perfiles marco para las operaciones marítimas de transferencia de líquidos a granel, en alta mar y en buques de pasajeros. Estos perfiles fueron creados por la Guardia Costera de los Estados Unidos y el Centro Nacional de Excelencia en Ciberseguridad del NIST con la aportación de las partes interesadas del sector. Los perfiles del NIST pueden utilizarse junto con estas directrices para ayudar a la industria a evaluar, priorizar y mitigar sus riesgos cibernéticos.

También hay directrices disponibles de otras asociaciones, como la "Guía de implementación de la DCSA para la ciberseguridad en los buques v1.0" de la Asociación de Transporte Marítimo de Contenedores Digitales (DCSA). Las directrices de la DCSA se basan en un análisis de la versión 3 de estas directrices y del marco del NIST. Aunque el público objetivo de las directrices de la DCSA es el sector de los contenedores, también puede resultar interesante su lectura para otros segmentos del transporte marítimo.

La Asociación Internacional de Sociedades de Clasificación (IACS) ha publicado una "Recomendación sobre la resistencia cibernética (nº 166)". Esta recomendación consolida las 12 recomendaciones anteriores de la IACS relacionadas con la resiliencia cibernética (números 153 a 164) y se aplica al uso de sistemas informáticos que proporcionan funciones de control, alarma, supervisión, seguridad o comunicación interna que están sujetas a los requisitos de una sociedad de clasificación. La recomendación de la IACS se aplica únicamente a los buques de nueva construcción, pero también puede servir de orientación para los buques existentes. A su debido tiempo, se espera que la IACS desarrolle unos Requisitos Unificados, que también se aplicarán únicamente a los buques de nueva construcción. Esta publicación no pretende proporcionar una base para, y no debe ser interpretada como una llamada a la auditoría externa o a la verificación del enfoque individual de la compañía y del buque para la gestión del riesgo cibernético.

...