Introducción guía OMI ciber riesgo

El comité de seguridad marítima de la Organización Marítima Internacional OMI aprobó en Mayo 2016 la guía de gestión de ciber riesgos marítimos.

Con la publicación de esta guía de aplicación voluntaria la OMI reconoce formalmente la existencia de riesgos de ciberseguridad en el sector marítimo entendiendo como tales los eventos adversos en tecnologías de la información que pueden derivar en impactos operacionales y de seguridad en las organizaciones y buques.

Es conocido que la gestión de riesgos es fundamental para la operación segura del transporte marítimo y ha estado enfocada hasta ahora principalmente en la seguridad física (código PBIP de OMI) y de operaciones (código IGS de OMI). Sin embargo, existe cada vez mayor dependencia de las tecnologías de la  información para las operaciones de las organizaciones de transporte marítimo y sus buques.

A modo de ejemplo, algunos sistemas relevantes en los buques que podrían ser comprometidos por un ciber-ataque son los sistemas de navegación en el puente, comunicaciones del buque, gestión de la carga, control de propulsión y sistemas administrativos.

En este contexto y con el objetivo de proteger al sector marítimo de los ciber-riesgos, la OMI considera necesaria la incorporación en la gestión de riesgos de las compañías y buques los riesgos de ciberseguridad.

Para realizar la gestión de riesgos de ciberseguridad, la OMI propone un enfoque basado en cinco elementos funcionales: Identificar, Proteger, Detectar, Responder y  Recuperar. Estos elementos funcionales deberían ser implantados y ejecutados de modo continuo y concurrente.

Para la gestión del ciber-riesgo la guía OMI hace referencia a los requisitos de los estados miembros, administraciones marítimas y buenas prácticas reconocidas, entre las cuales menciona:

  • Guía de la ciberseguridad a bordo de buques de BIMCO, CLIA, ICS, INTERCARGO e INTERTANKO.
  • Estándar de seguridad en tecnologías de la información ISO 27001.
  • Marco de ciberseguridad de NIST CSF.

 

Guía OMI ciber riesgo y BIMCO

En primer lugar, OMI menciona la guía BIMCO. Esta guía se publicó en Enero de 2016 y presenta, en mi opinión, el primer enfoque sistemático para la gestión de riesgos de ciberseguridad en buques mediante cuatro procesos: comprender las ciber amenazas, evaluar el ciber riesgo, reducir el ciber riesgo y desarrollar planes de contingencia.

La guía BIMCO menciona una selección de controles que considera particularmente relevantes para la ciberseguridad a bordo de buques:

  • Limitación y control de puertos de red, protocolos y servicios.
  • Configuración de dispositivos de red como cortafuegos, enrutadores y conmutadores.
  • Configuración segura de hardware y software
  • Protección de navegación web y correo electrónico.
  • Comunicaciones por satélite y radio.
  • Defensas contra el malware.
  • Capacidad de recuperación de datos.
  • Control de redes inalámbricas.
  • Seguridad en las aplicaciones (gestión de parches).
  • Diseño de red seguro.
  • Seguridad física.
  • Defensas perimetrales.

La guía BIMCO indica también controles procedimentales que se refieren a los planes y procedimientos para el uso de los sistemas de a bordo por la tripulación. Algunos ejemplos mencionados son formación y concienciación, mantenimiento de software y actualizaciones, actualizaciones de anti-virus y uso de privilegios de administrador.

 

Guía OMI ciber riesgo e ISO 27000

En segundo lugar,  la guía OMI menciona el estándar ISO 27001 de gestión de ciberseguridad.

La familia de estándares de ciberseguridad ISO 27000 es aplicable a todo tipo de organizaciones y constituyen guías reconocidas en el sector de la ciberseguridad. Su anexo A de objetivos y controles de ciberseguridad tiene  una trayectoria de más de 20 años que comenzó con la publicación por BSI de la norma BS7799 en el año 1995 y actualmente constituye la norma ISO 27002. Los controles de ciberseguridad descritos no están enfocados a Infraestructuras Críticas ni al sector marítimo pero sin duda son guías muy útiles ya describen controles que, con los matices adecuados en función del riesgo, pueden ser aplicables en cualquier empresa.

 

Guía OMI ciber riesgo y NIST CSF

Por último la guía OMI menciona el marco de ciberseguridad de NIST Cybersecurity Framework CSF.

La guía NIST CSF se publicó en 2014 por el Instituto Nacional de Estándares y Tecnologías de Estados Unidos y es de libre consulta y aplicación. En mi opinión, presenta un enfoque muy adecuado para la gestión de la ciber seguridad en Infraestructuras Críticas IICC y por tanto aplicable con los matices correspondientes al sector del transporte marítimo.

De hecho, los cinco  elementos funcionales que presenta la OMI para la gestión del riesgo “Identicar, Proteger, Detectar, Responder, Recuperar” son los indicados en la guía NIST CSF.

El objetivo del marco de ciberseguridad de NIST CSF es ayudar a las organizaciones en los siguientes aspectos:

  • Describir la situación actual en ciberseguridad.
  • Definir la situación requerida como objetivo en ciberseguridad.
  • Identificar y priorizar oportunidades de mejora mediante un proceso continuo.
  • Evaluar el progreso de la organización hacia el objetivo en ciberseguridad.
  • Comunicar a las partes interesadas dentro y fuera de la organización los riesgos relevantes en ciberseguridad.

En el marco de ciberseguridad NIST CSF podemos encontrar, para cada uno de los cinco elementos funcionales de la guía OMI las categorías y subcategorías de controles de ciberseguridad que podemos utilizar para aplicar cada elemento funcional. Cada control se identifica con un código; por ejemplo, “Realizar mantenimiento y reparaciones controladas” se identifica como PR.MA-1 lo que indica que se corresponde con el elemento funcional “Proteger”, categoría de control “Mantenimiento” y subcategoría “1”.

Guía OMI ciber riesgo - NIST CSF funciones y categorías

Fig. NIST CSF funciones y categorías

A continuación, muestro a modo de ejemplo algunos controles (subcategorías) aplicables a los cinco elementos funcionales:

  • Identificar: realizar inventario de activos y su clasificación según nivel de criticidad. Identificar y documentar amenazas y vulnerabilidades que pueden afectar a nuestros activos.
  • Proteger: controlar accesos físico y lógico a nuestros activos, mantenimiento y reparaciones controladas.
  • Detectar: monitorizar redes y eventos de ciberseguridad, detectar código malicioso.
  • Responder: ejecutar planes de respuesta ante eventos de ciberseguridad, contener y mitigar incidentes.
  • Recuperar: ejecutar planes de recuperación durante o después de eventos de ciberseguridad, comunicar a partes interesadas, identificar y documentar lecciones aprendidas.

 

Conclusión

A modo de conclusión, opino que la publicación de la guía OMI es un reconocimiento formal de la existencia de ciber-riesgos en el sector marítimo y una llamada de atención a las compañías del sector, especialmente navieras y operadores de buques, para la incorporación de la gestión del ciber-riesgo.

Aunque la guía OMI como tal es genérica y presenta recomendaciones de alto nivel, hace referencia a buenas prácticas como BIMCO, ISO27001 y NIST CSF que las empresas del sector marítimo deberían consultar y comenzar a incorporar en su gestión del riesgo.

 

Referencias