¿Disponen los puertos españoles de un nivel de ciberseguridad suficientemente robusto? La respuesta creemos que es afirmativa. La mayoría de los puertos, y especialmente los de mayor importancia, se han percatado ya de que debían dotarse de esta capacidad estratégica y han puesto los medios para blindar de la mejor forma posible sus sistemas TIC, incluyendo los informáticos.
Pero estas “medidas de seguridad informática”, como las denomina la Ley de Seguridad Privada, son, según esa misma norma, solo una parte del conjunto de medidas que se deben implantar y que debieran estar imbricadas de tal forma que constituyeran un todo homogéneo muy difícil de traspasar. Y es tal vez en este tema de la imbricación donde nos deberíamos fijar para estudiar sus problemas y ver si estamos a la altura que se necesita. En una primera aproximación, trataremos de ver las relaciones de estas medidas ciber con otra que nos parece muy importante y sin la cual tal vez las demás se podrían convertir en un maremágnum de grandes capacidades, pero deslavazadas, inconexas y presentando por tanto un sinfín de brechas que harán las delicias de cualquier adversario. Esa medida es la organización y uno de sus máximos exponentes es el sistema de planificación de la seguridad, al que nos vamos a referir en este artículo de forma especial.
Cualquier análisis de riesgos que se precie de querer ser efectivo, responsable y pretender ir más allá del mero cumplimiento de un tedioso requisito (al que nos obliga la normativa en vigor o un avezado cliente) no puede obviar la necesaria convergencia de las disciplinas de seguridad y, especialmente, la que se ha convertido en la bestia negra de nuestros desvelos: la ciberseguridad.
Ya hemos dicho que en el tema de la convergencia, a la hora de realizar los análisis de riesgos y el poder concretar un conjunto de medidas que abarquen los cinco tipos que nos define la Ley de Seguridad Privada, es un aspecto irrenunciable que hay que tener siempre presente al preparar nuestros planes. Sin olvidar esto, y en un casi irresponsable pero conveniente ejercicio de ceteris paribus, nos centraremos en el tema de la ciberseguridad en el entorno portuario, dejando aparte por un rato a sus disciplinas hermanas.
No obstante, ¿podemos estar seguros de que en los ambientes marítimo-portuarios estamos tratando este tema con la importancia que se merece? No parece del todo que eso sea así, sino que en parte nos estamos quedando un poco cortos, siendo algo lentos y tal vez agazapándonos en un montón de disculpas que no siempre son tan reales como las queremos presentar: complejidad y lentitud de la Administración, falta de recursos económicos e intelectuales, pusilanimidad de decidir el ataque en beneficio de la mera defensa… Ni los antiguos maestros del Arte de la Guerra ni los modernos estrategas actuales ni tampoco los judocas o pugilistas difieren un ápice de la idea de que el éxito solo lo conseguirá quien disponga y mantenga la iniciativa. Dedicarse a parar golpes solamente conlleva a que las defensas caigan antes o después. No hay muro, barrera o firewall que no acabe siendo derribado.
Tomar la iniciativa
Como comentábamos antes, no hay tiempo para seguir esperando. El adversario no parece estar dispuesto a darnos cuartel. Tenemos que tomar la iniciativa antes de que sea demasiado tarde. El ritmo de los ataques, su virulencia y sus devastadores efectos crecen implacablemente cual amenazante Vesubio. Ya no se trata de las grandes e inolvidables derrotas históricas como Waterloo, Trafalgar, Balaclava o Kadesh, ahora tendremos que memorizar nuestra nueva historia con las ciberbatallas de Estonia (2007), Amberes (2011), Rotterdam (2013), WannaCry (2017), Maersk (2017) y otras muchas que han dejado cuantiosas pérdidas a su paso, potenciadoras de las crisis financieras, el paro y la pobreza.
Los enemigos nos están avisando sin pudor, tal vez incluso extrañados de nuestra falta de reacción. No pueden sino pensar que o somos extremadamente fuertes o nos hemos entregado a la fatalidad de la inevitable derrota. Pero no es ni debe ser así. A pesar de la aparente lentitud en la respuesta y la real indolencia de algunos, se están dando importantes pasos en la buena dirección, tanto por parte de las autoridades administrativas, como por la de particulares y empresas privadas, como luego comentaremos.
No debiéramos olvidar que la seguridad es siempre un apoyo al negocio y nunca debe ser un estorbo ralentizador de sus operaciones. Ahora bien, debido a la creciente inseguridad del entorno marítimo, los clientes de los puertos demandan cada vez más un mayor nivel de seguridad en sus instalaciones, incluidas la seguridad de las comunicaciones y de los sistemas informáticos.
Hoy en día, la seguridad no es solo una necesidad para garantizar las operaciones, sino una demanda del mercado que se convierte en un activo más que ofertar. Por fin parece que se va entendiendo y aceptando el concepto positivo del ROSI, el retorno de la inversión en seguridad. No creemos que nadie pueda dudar del retorno que está consiguiendo el puerto de Mombasa, en el inseguro océano Índico, con su multimillonaria inversión en seguridad de la que forma parte un PSIM integrado en un sistema global de gestión.
Solo los puertos que ofrezcan una seguridad global, incluido un robusto sistema de ciberseguridad, serán atractivos para sus clientes
En España tenemos también unos buenos ejemplos que nos deben servir de aliciente. Barcelona toma el liderazgo, impulsando el combate con la creación de la Oficina Técnica de Seguridad TIC, con la intención de aumentar la capacidad de ciber-resistencia del puerto. Valencia ha optado por el ataque en varios frentes y con el apoyo aliado de la Unión Europea, impulsando el proyecto Mitigate para poner sobre el terreno las herramientas capaces de gestionar los riesgos TIC de las infraestructuras portuarias. Tenerife ha sacado a licitación un jugosísimo paquete de servicios por cientos de miles de euros para dotarse de la capacidad de prevenir y tratar las amenazas cibernéticas.
Pero las iniciativas privadas no son suficientes en esta guerra asimétrica, en la que el adversario puede tener espurios apoyos de grandes empresas o incluso de beligerantes Estados. No podemos luchar solos.
¿Y qué está pasando en los estamentos oficiales?, ¿se está trabajando con celeridad y en la buena dirección? Pues a pesar de la reticente falta de fondos, la dificultad de conseguir personal cualificado y que el día solo tiene 24 horas, sí, se está luchando con denuedo, vocación y cierta eficacia.
Desde hace años hemos luchado por la convergencia y por dar a la ciberseguridad el puesto que le corresponde. En el mundo actual, y viendo lo que se nos viene encima, casi podríamos decir, sin ánimo de menoscabo de terceros, que su puesto debería asemejarse a un primus inter pares. No es concebible ya instalar ningún sistema de seguridad que no se base en la informática y por tanto deba ser cibersegurizado.
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo un resumen de este artículo.
¿Quieres leer el artículo completo?
