Seguritecnia 463

26 SEGURITECNIA Abril 2019 Seguridad Portuaria que nos impelerá a conocer los ries- gos y vulnerabilidades, así como defi- nir las contramedidas necesarias para mitigarlos. De hecho, la nueva guía publicada por el CNPIC y Puertos del Estado se encarga de recalcar que las autoridades portuarias han de tomar buena cuenta de estos apartados e incluso que los actualicen si ha trans- currido cierto tiempo entre la evalua- ción y el consecuente plan. Por supuesto, podríamos seguir abundando en el tema desarrollando las mismas cuestiones contempladas en el conocido Real Decreto 1617/2017 y apoyándonos también en normati- vas como el Esquema Nacional de Se- guridad o la Directiva NIS entre otras. Estos y cualquier otro que trate el tema de ciberseguridad no harán más que animarnos a profundizar en el ámbito de esta especialidad e incluirla en todos nuestros planes. Conclusiones Como conclusiones, no quisiéramos dejar de apuntar las siguientes: La economía de los puertos de- pende de su tráfico y de las empre- sas concesionarias. Solo los puertos que ofrezcan una seguridad global, con inclusión de un robusto sistema de ciberseguridad, serán suficiente- mente atractivos para sus clientes. Disponemos de suficientes medios e indicaciones en los planes de se- guridad reglamentarios y en toda la normativa vigente como para que se contemplen en ellos todas las necesidades de ciberseguridad que estimemos convenientes y que son absolutamente imprescindibles. No hay excusa para no abordar la ciberseguridad como se merece. Solo habremos cumplido con nues- tra obligación cuando en el necesa- rio anexado del PPE apenas se tenga que completar algunos párrafos de ciberseguridad, propios de su es- pecial objetivo, para que la ciber- seguridad quede garantizada en el puerto o instalación, sea o no califi- cada como crítica. S sarrollar estas capacidades en nuestro plan. Si nos fijamos bien, tenemos sufi- cientes herramientas que nos permiti- rán conseguirlo. La normativa Viendo la normativa que disponemos actualmente, podríamos fijarnos no solo en sus presuntas carencias, sino en las múltiples y variadas alusiones que no solo nos deberían obligar, sino al menos impulsar a tomar una acción que estaría perfectamente avalada por todas estas normas. Ya de un primer vistazo nos debe- mos fijar en el Código PBIP (Protec- ción de Buques e Instalaciones Por- tuarias). Esta norma prescribe que en las evaluaciones deben considerarse, entre otros, los sistemas radioeléc- tricos y de telecomunicaciones, in- cluidos los sistemas y redes infor- máticos , lo cual está perfectamente recogido en el modelo usado en la plataforma Secureport, en algunos de sus puntos. Pero hay que aceptar que se trata el tema de las TIC en gene- ral y que solo se expresa, a modo casi de añadido “…incluidos sistemas y re- des informáticas”. Aceptado. Lo que no hace es constreñirnos en su deta- lle y extensión , permitiendo que nos explayemos a nuestro gusto y, ¿por qué no?, que incluyamos los resul- tados de un análisis de riesgos ciber un servicio esencial, lo que tampoco ex- cluye obviamente la protección del pa- trimonio y los demás activos. En esta aparente dicotomía, se podría entender que los planes PIC deberán entrar en te- mas necesarios que no hayan tratado los otros planes; pero ello no debería excluir a priori que en los planes de se- guridad portuaria se hiciese dejación de la necesaria obligatoriedad de tratar en profundidad un tema tan importante para la seguridad global como puede ser el de la ciberseguridad. Ahora, de nuevo, Puertos de Estado y CNPIC (Centro Nacional de Protección de Infraestructuras y Ciberserguriad) se lanzan a fondo. Con una envidiable ac- ción conjunta y consiguiendo un claro y exitoso avance cualitativo, se han es- forzado en armonizar ambos sistemas –lo que ya estaba preconizado en la normativa PIC– y añaden al PPP, en for- mato anexo, las “carencias” de las que aquel adolecía. Lo que no deja de sor- prender es que una importante caren- cia del PPP es precisamente la corres- pondiente al ámbito informático y es- pecialmente a la ciberseguridad. Entonces, podríamos decir que pro- blema resuelto. Ya tenemos análisis de riesgos de ciberseguridad en el PPP. ¿Pero qué sucede con los puertos e ins- talaciones portuarias que no tienen el marchamo de “críticas”?, ¿no necesitan análisis de ciberseguridad? Pues claro que sí. Y además no es un arco de iglesia. Aceptemos que los planes y análi- sis efectuados apoyándose en la plata- forma de Secureport no son muy pro- lijos en temas de ciberseguridad y, ade- más, no se puede decir que los usuarios se hayan esforzado hasta ahora mucho en esta cuestión. No obstante, nada nos impide ni nos ha impedido nunca de- No es concebible ya instalar ningún sistema de seguridad que no se base en la informática y, por tanto, deba ser cibersegurizado