El 12 de febrero de 2014, el Instituto Nacional de Estándares y Tecnología NIST lanzó la primera versión del Marco de Mejora de la Ciberseguridad de infraestructuras críticas o Cybersecurity Framework CSF ​​[1].
El Marco de Ciberseguridad CSF tiene por objeto permitir a las organizaciones independientemente del sector, tamaño, nivel de riesgo de ciberseguridad, o nivel de madurez de sus medidas de ciberseguridad aplicar los principios y las mejores prácticas de gestión de riesgos para la mejora de la seguridad y resistencia ante incidentes de sus infraestructuras críticas.
El CSF se basa en un conjunto de estándares de ciberseguridad, directrices y mejores prácticas para permitir a los proveedores de infraestructuras críticas lograr la capacidad de recuperación frente a los incidentes de ciberseguridad.

Basándose en estas normas, directrices y mejores prácticas, el CSF ofrece una taxonomía y un mecanismo común a las organizaciones para que puedan:

  • Analizar su situación de ciberseguridad actual.
  • Definir el nivel objetivo de ciberseguridad.
  • Identificar y priorizar las oportunidades de mejora en el contexto de un proceso continuo y repetible.
  • Evaluar el progreso hacia el nivel de ciberseguridad requerido.
  • Comunicarse entre las partes interesadas internas y externas sobre riesgos de la ciberseguridad.

El CSF tiene por objeto complementar, no reemplazar, el proceso de gestión de riesgos de una organización y programa de ciberseguridad.

Se espera que las organizaciones puedan utilizar sus procesos actuales y aprovechar el marco de ciberseguridad CSF para identificar oportunidades para fortalecer y comunicar su gestión de riesgos de ciberseguridad mientras se alinea con las mejores prácticas de la industria.
Alternativamente, una organización sin un programa de ciberseguridad existente puede utilizar el marco de referencia CSF para establecerlo.

 
En marzo 2014, la Guardia Costera de Estados Unidos USCG publicó un mensaje sobre ciberseguridad y el Sistema de Transporte Marítimo.

En este mensaje se destacaron varias ideas clave [2]:

  • Las vulnerabilidades relacionadas con la ciberseguridad son una parte cada vez mayor de la exposición al riesgo total del Sistema de Transporte Marítimo (MTS).
  • Las amenazas de ciberseguridad a las infraestructura críticas siguen creciendo y representan uno de los más graves problemas de seguridad nacional que debemos enfrentar.
  • Se recomienda trabajar con socios de la industria y el gobierno para identificar, evaluar y tratar los riesgos de ciberseguridad.
  • El Instituto Nacional de Estándares y Tecnología NIST ha publicado recientemente el Marco de Ciberseguridad CSF.
  • La Guardia Costera USCG alienta firmemente a los operadores de buques y responsables de la protección de las instalaciones portuarias a revisar voluntariamente el CSF para determinar cómo podría ayudarles a mejorar su situación en ciberseguridad.
  • Los operadores de buques e instalaciones portuarias no están obligados a incorporar los riesgos de ciberseguridad en sus evaluaciones de seguridad o planes de seguridad en este momento, pero pueden hacerlo de forma voluntaria.
  • Los capitanes de los Puertos deben animar a los operadores de buques y de las instalaciones portuarias para que realicen un inventario de sus sistemas críticos, identificar a los que podrían estar sujetos a incidentes de ciberseguridad en el Transporte Marítimo.

El Plan de Sistemas Sectorial del Transporte define la ciberseguridad como la prevención de los daños, uso no autorizado y la restauración de la información y los sistemas de comunicación para asegurar su confidencialidad, integridad y disponibilidad [3].

En julio de 2015, la Guardia Costera USCG publicó su estrategia de ciberseguridad la cual identifica tres prioridades fundamentales para la defensa del dominio marítimo [4]:

  • Defender el ciberespacio – Asegurarse de que las capacidades de la Guardia Costera son eficaces y eficientes mediante la construcción y mantenimiento de redes de información de la Guardia Costera que sean seguras y resistentes a fallos.
  • Habilitar operaciones – Detectar, disuadir, desactivar y derrotar a los adversarios potenciales mediante el desarrollo y el aprovechamiento de un conjunto diverso de capacidades y responsabilidades en ciberseguridad.
  • Proteger infraestructuras críticas a través de una unidad de esfuerzos para proteger las infraestructuras marítimas de los ataques, desastres y los accidentes.

Aunque las dos primeras prioridades se refieren principalmente a recursos propios del USCG, la tercera incluye los sistemas de infraestructura y transporte marítimos comerciales críticos.

La infraestructura crítica Marítima y las MTS se consideran vitales para la economía de la nación. El MTS incluye transporte marítimo, transporte de cabotaje a lo largo de las costas y del interior, y los puertos de la nación y terminales.

Los sistemas de información permiten que el sistema mundial de comercio opere con una rapidez y eficiencia sin precedentes. Sin embargo, estos mismos sistemas crean también nuevas vulnerabilidades potenciales.

Aunque los operadores de buques y de las instalaciones portuarias no están obligados a incorporar los riesgos de ciberseguridad en sus evaluaciones de seguridad o planes de seguridad, en mi opinión, dadas los altos impactos potenciales a la vida humana, las operaciones y el medio ambiente, todos los planes de seguridad y de Sistemas de Gestión de Seguridad SMS debe considerar los riesgos de ciberseguridad y cómo responder a incidentes de ciberseguridad.

Para obtener ideas sobre cómo incorporar los riesgos de ciberseguridad en las operaciones marítimas se pueden consultar los artículos de este blog Ciberseguridad marítima usando los códigos PBIP e IGS y Análisis de riesgos de ciberseguridad en buques.

Referencias: