Directrices sobre Ciberseguridad a bordo de Buques v.4 PDF

Chat with Document Download Quiz & Flashcards

Document Details

RenewedColosseum

Uploaded by RenewedColosseum

Tags

ciberseguridad transporte marítimo seguridad de buques gestión de riesgos

Related

Summary

Estas directrices proporcionan una guía para mejorar la seguridad cibernética a bordo de los buques. Se centra en el desarrollo de una estrategia de gestión del riesgo cibernético, incluyendo roles, responsabilidades, planes y procedimientos, y la relación entre armadores, agentes y proveedores.

Full Transcript

LAS DIRECTRICES CIBERSEGURIDAD A BORDO SOBRE DE LOS BUQUES Producido y respaldado por BIMCO, Cámara Naviera de América, Digital Containership Association, Asociación Internacional de Propietarios de Buques de Carga Seca (INTERCARGO), InterManage...

LAS DIRECTRICES CIBERSEGURIDAD A BORDO SOBRE DE LOS BUQUES Producido y respaldado por BIMCO, Cámara Naviera de América, Digital Containership Association, Asociación Internacional de Propietarios de Buques de Carga Seca (INTERCARGO), InterManager, Asociación Internacional de Propietarios Independientes de Petroleros (INTERTANKO), Cámara Naviera Internacional (ICS), Unión Internacional de Transporte Marítimo Seguros (IUMI), Foro Marítimo Internacional de Compañías Petroleras (OCIMF), Asociación de Constructores de Superyates (Sybass) y Consejo Mundial de Transporte Marítimo (WSC) v4 Directrices sobre seguridad cibernética a bordo de buques, versión 4 Condiciones de uso Los consejos y la información proporcionados en esta publicación pretenden ser únicamente una guía que debe utilizarse bajo el propio riesgo del usuario.No se otorgan garantías ni representaciones, ni se acepta ningún deber de diligencia o responsabilidad por parte de los autores, sus miembros o empleados de cualquier persona, empresa, corporación u organización (que haya estado relacionada de alguna manera con el suministro de información o datos). , o la compilación o cualquier traducción, publicación o suministro de esta publicación) por la exactitud de cualquier información o consejo proporcionado en esta publicación;o cualquier omisión de las pautas o por cualquier consecuencia que resulte directa o indirectamente del cumplimiento de la adopción o confianza en las pautas contenidas en esta publicación, incluso si es causada por la falta de ejercicio de un cuidado razonable por parte de cualquiera de las partes antes mencionadas. Contenido Introducción.......................................................................................................................................................... 1 1 Ciberseguridad y gestión de riesgos............................................................................................................... 3 1.1 Características de la ciberseguridad de la industria marítima................................................................................. 3 1.2 Participación de la alta dirección......................................................................................................................... 6 1.3 Roles, responsabilidades y tareas................................................................................................................................. 7 1.4 Diferencias entre sistemas IT y OT..................................................................................................... 7 1.5 Planes y procedimientos.................................................................................................................................................. 1.6 8 Relación entre armador y gestor del buque................................................................................................ 9 1.7 Relación entre el armador y el agente................................................................................................ 10 1.8 Relación con proveedores y otras partes externas................................................................................. 10 2 Identificar amenazas........................................................................................................................................... 12 2.1 Actores de amenazas....................................................................................................................................................... 2.2 12 Tipos de ciberamenazas......................................................................................................................................... 13 2.3 Etapas de un ciberincidente......................................................................................................................................... 14 2.4 Cuantificar la amenaza........................................................................................................................................... 15 3 Identificar vulnerabilidades................................................................................................................................. 17 3.1 Vulnerabilidades comunes......................................................................................................................................... 17 3.2 Documentación de sistemas IT y OT.......................................................................................................... 17 3.3 Sistemas vulnerables típicos.................................................................................................................................. 18 3.4 Interfaz barco-costa......................................................................................................................................... 19 3.5 Visitas a barcos............................................................................................................................................................. 3.6 20 Acceso remoto.................................................................................................................................................... 20 3.7 Mantenimiento del sistema y software......................................................................................................................... 21 4 Evaluación de la probabilidad................................................................................................................................. 22 4.1 La probabilidad como producto de la amenaza y la vulnerabilidad................................................................................. 4.2 22 Cuantificar la probabilidad.................................................................................................................................... 22 5 Evaluación de impacto................................................................................................................................. 23 5.1 El modelo de la CIA...................................................................................................................................................... 23 5.2 Cuantificar el impacto.......................................................................................................................................... 23 5.3 Equipos y sistemas técnicos “críticos”............................................................................................................. 24 6 Evaluación de riesgos......................................................................................................................................... 26 6.1 Relación entre los factores que influyen en el riesgo................................................................................................. 26 6.2 Las cuatro fases de una evaluación de riesgos.......................................................................................................... 26 6.3 Evaluaciones de riesgos de terceros................................................................................................................................. 29 7 Desarrollar medidas de protección.................................................................................................................. 30 7.1 Defensa en profundidad y amplitud................................................................................................................................. 7.2 30 Medidas técnicas de protección.................................................................................................................................. 31 7.3 Medidas de protección procesal......................................................................................................................... 34 8 Desarrollar medidas de detección.......................................................................................................................... 40 8.1 Detección, bloqueo y alertas.................................................................................................................................. 40 8.2 Detección de malware......................................................................................................................................... 40 9 Establecer planes de contingencia......................................................................................................................... 41 10 Responder y recuperarse de incidentes de seguridad cibernética......................................................................... 43 10.1 Respuesta efectiva.................................................................................................................................................. 43 10.2 Las cuatro fases de respuesta a incidentes.................................................................................................................. 43 10.3 Plan de recuperación..................................................................................................................................................... 10.4 45 Capacidad de recuperación de datos........................................................................................................................... 45 10.5 Investigación de incidentes cibernéticos................................................................................................................................. 10.6 Pérdidas derivadas de un45 incidente cibernético.......................................................................................................... 46 ANEXO 1 Sistemas, equipos y tecnologías de destino................................................................................. 48 ANEXO 2 Gestión del riesgo cibernético y sistema de gestión de la seguridad...................................................................... 50 ANEXO 3 Redes a bordo................................................................................................................................. 54 ANEXO 4 Glosario..................................................................................................................................................... 58 ANEXO 5 Colaboradores de la revisión más reciente de esta publicación.............................................................................. 61 LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE Contenido LOS BUQUES V4 Introducción El objetivo de estas directrices es mejorar la seguridad de la gente de mar, el medio ambiente, la carga y los buques.Las directrices tienen como objetivo ayudar en el desarrollo de una estrategia adecuada de gestión del riesgo cibernético de acuerdo con las regulaciones y mejores prácticas pertinentes a bordo de un barco, centrándose en los procesos de trabajo, el equipo, la formación, la respuesta a incidentes y la gestión de la recuperación. El transporte marítimo depende cada vez más de soluciones digitales para realizar las tareas cotidianas.Los rápidos avances en la tecnología de la información, la disponibilidad de datos, la velocidad de procesamiento y transferencia de datos presentan a los armadores y otros actores de la industria marítima mayores posibilidades de optimización operativa, ahorro de costos, mejoras de seguridad y un negocio más sostenible.Sin embargo, estos avances dependen en gran medida de una mayor conectividad, a menudo a través de Internet, entre servidores, sistemas de TI y sistemas OT1, lo que aumenta las posibles vulnerabilidades y riesgos cibernéticos. Las directrices explican por qué y cómo se deben gestionar los riesgos cibernéticos en el contexto del envío.Se enumera la documentación de respaldo requerida para realizar una evaluación de riesgos y se describe el proceso de evaluación de riesgos con una explicación del papel que desempeña cada componente del riesgo cibernético.Esta publicación destaca la importancia de evaluar la probabilidad y la amenaza, además del impacto y las vulnerabilidades, al realizar una evaluación de riesgos cibernéticos.Finalmente, esta publicación ofrece consejos sobre cómo responder y recuperarse de incidentes cibernéticos. Los enfoques para la gestión del riesgo cibernético serán específicos de la empresa y del barco, pero deben guiarse por los requisitos de las regulaciones y directrices nacionales, internacionales y del estado del pabellón pertinentes.En 2017, la Organización Marítima Internacional (OMI) adoptó la resolución MSC.428(98) sobre Gestión del riesgo cibernético marítimo en el sistema de gestión de la seguridad (SMS).La resolución estableció que un SMS aprobado debería considerar la gestión del riesgo cibernético de acuerdo con los objetivos y requisitos funcionales del Código ISM (Gestión de la seguridad internacional).Además, alienta a las administraciones a garantizar que los riesgos cibernéticos se aborden adecuadamente en el SMS a más tardar en la primera verificación anual del Documento de Cumplimiento (DoC) de la compañía después del 1 de enero de 2021. El mismo año, la OMI desarrolló directrices2 que brindan recomendaciones de alto nivel sobre asuntos marítimos. Gestión de riesgos cibernéticos para proteger el transporte marítimo de amenazas y vulnerabilidades cibernéticas actuales y emergentes.Como también se destaca en las directrices de la OMI, la gestión eficaz del riesgo cibernético debe comenzar en el nivel directivo superior.La alta dirección debe incorporar una cultura de gestión del riesgo cibernético en todos los niveles y departamentos de una organización y garantizar un régimen de gobernanza del riesgo cibernético holístico y flexible, que esté en funcionamiento continuo y se evalúe constantemente mediante mecanismos de retroalimentación eficaces. Además de la resolución de la OMI, en el desarrollo de estas directrices también se ha tenido en cuenta el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. Versión 1.1 (abril de 2018).El Marco de Ciberseguridad del NIST ayuda a las empresas con su enfoque de las evaluaciones de riesgos ayudándolas a comprender un enfoque eficaz para gestionar los riesgos cibernéticos potenciales tanto interna como externamente.Como resultado de la aplicación del Marco, se desarrolla un “perfil” que puede ayudar a identificar y priorizar acciones para reducir los riesgos cibernéticos.El perfil también se puede utilizar como herramienta para alinear decisiones políticas, comerciales y tecnológicas para gestionar los riesgos.Los perfiles de marco de muestra están disponibles públicamente para la transferencia marítima de líquidos a granel, en alta mar y 1 Los sistemas de tecnología operativa (OT) incluyen hardware y software que monitorean y/o controlan dispositivos físicos, procesos y eventos.Los sistemas de tecnología de la información (TI) incluyen hardware y software que gestiona datos (es decir, los sistemas de TI no controlan dispositivos, procesos o eventos físicos). 2 MSC-FAL.1/Circ.3: Directrices sobre la gestión del riesgo cibernético marítimo. LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE 1 LOS BUQUES V4 operaciones de buques de pasaje3.Estos perfiles fueron creados por la Guardia Costera de los Estados Unidos y el Centro Nacional de Excelencia en Ciberseguridad del NIST con aportes de las partes interesadas de la industria.Los perfiles del NIST se pueden utilizar junto con estas directrices para ayudar a la industria a evaluar, priorizar y mitigar sus riesgos cibernéticos. También hay directrices disponibles de otras asociaciones, como la “Guía de implementación de DCSA para seguridad cibernética en buques v1.0” de la Digital Container Shipping Association (DCSA).Las pautas de la DCSA se basan en un análisis de la versión 3 de estas pautas y el marco del NIST.Si bien el público objetivo de las directrices de la DCSA es la industria de contenedores, otros segmentos del transporte marítimo también pueden considerar que vale la pena leerlas. La Asociación Internacional de Sociedades de Clasificación (IACS) ha emitido una “Recomendación sobre ciberresiliencia (núm. 166)”.Esta recomendación consolida las 12 recomendaciones anteriores de la IACS relacionadas con la ciberresiliencia (núms. 153 a 164) y se aplica al uso de sistemas informáticos, que proporcionan funciones de control, alarma, monitoreo, seguridad o comunicación interna que están sujetas a los requisitos de una sociedad de clasificación.La recomendación de la IACS se aplica únicamente a los buques de nueva construcción, pero también puede servir como guía para los buques existentes.A su debido tiempo, se espera que la IACS desarrolle requisitos unificados, que también se aplicarán únicamente a las nuevas construcciones.Esta publicación no pretende proporcionar una base y no debe interpretarse como un llamado a una auditoría externa o una investigación del enfoque de cada compañía y barco respecto de la gestión de riesgos cibernéticos. 3 Se puede acceder a los perfiles del marco NIST para operaciones marítimas de transferencia de líquidos a granel, en alta mar y de pasajeros aquí: https://www.nist.gov/cyberframework. LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE 2 LOS BUQUES V4 1 Ciberseguridad y gestión de riesgos 1.1 Características de ciberseguridad de la industria marítima La ciberseguridad es importante debido a su efecto potencial en el personal, el barco, el medio ambiente, la empresa y la carga.La ciberseguridad se ocupa de la protección de TI, OT, información y datos contra el acceso no autorizado, la manipulación y la interrupción. Los incidentes cibernéticos pueden surgir como resultado de, por ejemplo: „ un incidente de seguridad cibernética que afecte la disponibilidad e integridad de OT, por ejemplo corrupción de datos cartográficos contenidos en un sistema de información y visualización de cartas electrónicas (ECDIS) „ un fallo involuntario del sistema que se produce durante el mantenimiento y la aplicación de parches del software, por ejemplo mediante el uso de una unidad USB infectada para completar el mantenimiento „ pérdida o manipulación de datos de sensores externos, críticos para el funcionamiento de un barco.Esto incluye pero no se limita a los sistemas globales de navegación por satélite (GNSS), de los cuales el sistema de posicionamiento global (GPS) es el más utilizado. „ fallo de un sistema debido a fallas y/o “errores” del software „ interacción de la tripulación con intentos de phishing, que es el vector de ataque más común por parte de los actores de amenazas, que podría provocar la pérdida de datos confidenciales y la introducción de malware en los sistemas a bordo. La industria marítima tiene una variedad de características que afectan su vulnerabilidad a los incidentes cibernéticos.Éstas incluyen: „ participación de múltiples partes interesadas en la operación y fletamento de un barco, lo que podría dar lugar a una falta de responsabilidad sobre la infraestructura de los sistemas de TI y OT y las redes del barco „ uso de sistemas de TI y OT heredados que ya no son compatibles y/o que dependen de sistemas operativos obsoletos „ uso de sistemas OT que no pueden parchearse ni ejecutar antivirus debido a problemas de aprobación de tipo „ barcos que interactúan en línea con partes en tierra y otras partes de la cadena de suministro global „ equipos de barco que son monitoreados y accedidos de forma remota, por ejemplo, por los fabricantes o apoyo proveedores „ el intercambio de información empresarial crítica, sensible a los datos y comercialmente sensible con proveedores de servicios en tierra, incluidos terminales marítimos y estibadores y también, cuando corresponda, autoridades públicas „ la disponibilidad y el uso de sistemas críticos controlados por computadora, que pueden no tener instalados los últimos parches o no estar debidamente protegidos, para la seguridad del barco y la protección del medio ambiente „ una cultura de gestión de riesgos cibernéticos que todavía tiene potencial de mejora, por ejemplo, a través de capacitación más formalizada, ejercicios y roles y responsabilidades clarificados. „ Con frecuencia, el sistema de automatización se compone de múltiples subsistemas de numerosos proveedores que los astilleros integran sin tener en cuenta los problemas cibernéticos. Estos elementos deben considerarse e incorporarse las partes relevantes a las políticas de seguridad cibernética y a los SMS de la empresa. El creciente uso de análisis integral de datos, barcos inteligentes y el “Internet industrial de las cosas” (IIoT) aumentará la cantidad de información disponible para los actores de amenazas y el posible ataque. LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE Ciberseguridad y gestión de riesgos 3 LOS BUQUES V4 superficie a los ciberdelincuentes.Esto requiere enfoques sólidos para la gestión del riesgo cibernético4. La gestión del riesgo cibernético debe ser una parte inherente de la cultura de seguridad y protección de una empresa, conducente a la operación segura y eficiente del buque, y debe implementarse en varios niveles de la empresa, incluida la alta dirección en tierra y el personal a bordo.La gestión del riesgo cibernético debería: „ identificar las funciones y responsabilidades de los usuarios, el personal clave y la dirección tanto en tierra como a bordo „ identificar los sistemas, activos, datos y capacidades que, si se interrumpen, podrían representar riesgos para las operaciones y la seguridad del barco „ implementar medidas técnicas y de procedimiento para protegerse contra un incidente cibernético, detectar oportunamente los incidentes y garantizar la continuidad de las operaciones „ un plan de contingencia que se aplica periódicamente. Algunos aspectos de la gestión del riesgo cibernético pueden incluir información comercialmente sensible o confidencial, por ejemplo, la evaluación del riesgo cibernético y sus inventarios de hardware y software y mapas de red asociados.Por tanto, las empresas deberían considerar proteger esta información de forma adecuada y, en la medida de lo posible, no incluir información sensible en sus SMS. 4 Lloyd's Register, Qinetiq y Universidad de Southampton, Global Marine Technology Trends 2030. LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE Ciberseguridad y gestión de riesgos 4 LOS BUQUES V4 Identificar amenazas Comprender las amenazas externas a la ciberseguridad del barco.Comprender la amenaza a la seguridad cibernética interna que representan el uso inadecuado y las malas prácticas de seguridad cibernética. Identificar Responder y vulnerabilidades recuperarse de incidentes de Desarrollar inventarios de sistemas a bordo con enlaces de seguridad cibernética comunicaciones directos e Responder y recuperarse de la indirectos. cibernética incidentes de seguridad utilizando Comprender las consecuencias de el plan de una amenaza a la seguridad cibernética en contingencia.Evaluar el estos impacto de la eficacia sistemas.Comprender las del plan de respuesta y capacidades y limitaciones reevaluar las amenazas de las medidas de y ENFOQUE DE protección existentes. vulnerabilidades. GESTIÓN DE RIESGOS CIBERNÉTICOS Evaluar la exposición al Establecer riesgo planes de Determinar la probabilidad de respuesta que las vulnerabilidades sean explotadas por amenazas externas.Determinar la Desarrollar planes de probabilidad de contingencia para responder vulnerabilidades expuestas eficazmente a los riesgos usoporinadecuado.Determine cibernéticos identificados. el impacto en la seguridad de cualquier individuo o combinación de Desarrollar vulnerabilidades que se yprotección medidas de exploten. detección Reducir la probabilidad de vulnerabilidades siendo explotado a través de la protección medidas.Reducir el impacto potencial de una vulnerabilidad que se esté explotando. Figura 1: Enfoque de gestión del riesgo cibernético según lo establecido en las directrices. El desarrollo, implementación y mantenimiento de un programa de gestión de riesgos cibernéticos de acuerdo con el enfoque de la figura 1 no es una tarea fácil.Por lo tanto, es importante que la alta dirección se mantenga comprometida durante todo el proceso para garantizar que la protección y los planes de contingencia estén equilibrados para gestionar los riesgos dentro de un límite aceptable.Factores como el impacto, la probabilidad, las vulnerabilidades, las amenazas, la capacidad, la oportunidad y la intención de los actores maliciosos están interrelacionados (ver figura 2) y todos son relevantes al evaluar el riesgo.De ello se deduce que si cualquiera de los factores es bajo o incluso cero, lo mismo se aplicará eventualmente al riesgo.Es importante enfatizar que la evaluación de riesgos no es una actividad única.Debe repetirse a intervalos regulares para evaluar si las amenazas, vulnerabilidades, probabilidades, impactos y riesgos han cambiado, y si las medidas de control siguen siendo apropiadas. LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE Ciberseguridad y gestión de riesgos 5 LOS BUQUES V4 Intención (ver cap. 2) Impacto (ver cap. 5) Oportunidad Amenaza Riesgo (ver (ver cap. (ver cap. 2) cap. 6) 2) Probabilidad (ver cap. 4) Capacidad Vulnerabilidad (ver cap. 2) (ver cap. 3) Figura 2: La relación entre los diferentes factores que influyen en el riesgo.Las líneas representan la multiplicación, es decir, la “Probabilidad” se multiplica por el “Impacto” para producir el “Riesgo”. 1.2 Participación de la alta dirección La gestión del riesgo cibernético debería implicar de forma continua a la alta dirección de una empresa, en lugar de, por ejemplo, únicamente al oficial de protección del buque o al director de TI.Hay varias razones para esto: „ Algunos riesgos cibernéticos tienen un amplio potencial destructivo para la seguridad del personal y el medio ambiente, así como para el desempeño y la reputación de la empresa.Por lo tanto, los riesgos cibernéticos no son simplemente desafíos de seguridad, sino desafíos comerciales que requieren la participación del liderazgo. „ Las iniciativas para mejorar la seguridad cibernética pueden afectar los procedimientos y operaciones comerciales estándar al hacerlos más lentos y/o costosos.Por lo tanto, es una decisión de la alta dirección evaluar y asignar los recursos necesarios para establecer la mitigación del riesgo hasta un nivel aceptable de riesgo residual. „ Las iniciativas que aumentan la conciencia cibernética pueden cambiar la forma en que la empresa interactúa con los sindicatos, los clientes, los proveedores y las autoridades, e imponer nuevos requisitos a la cooperación entre las partes.Es una decisión de la alta dirección impulsar estos cambios en las relaciones y cuál es la mejor manera de hacerlo. Las respuestas a las siguientes preguntas pueden utilizarse como base para informar e involucrar a la alta dirección sobre la importancia de abordar los riesgos cibernéticos a bordo de los buques: „ ¿Qué activos están en riesgo?„ ¿Cuál es el impacto potencial de un incidente cibernético para la empresa, los clientes, los socios y ¿partes interesadas?„ ¿Quién tiene la responsabilidad final de la gestión del riesgo cibernético?„ ¿Están los sistemas OT y su entorno de trabajo protegidos contra el acceso no autorizado y ¿cambios?„ ¿Existe acceso remoto a los sistemas OT y, de ser así, cómo se monitorea y protege?„ ¿Están protegidos los sistemas de TI y se supervisa y gestiona el acceso? „ ¿Qué mejores prácticas de gestión de riesgos cibernéticos se están utilizando?„ ¿Cuál es el nivel de capacitación en materia de riesgos cibernéticos del personal que opera los sistemas de TI y OT? Con base en las respuestas, la empresa debe describir y delegar autoridad según corresponda, y asignar los recursos necesarios para desarrollar y mantener soluciones adecuadas en función de los resultados de la evaluación de riesgos. LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE Ciberseguridad y gestión de riesgos 6 LOS BUQUES V4 1.3 Roles, responsabilidades y tareas La gestión eficaz del riesgo cibernético se basa en una asignación clara de responsabilidades y tareas dentro de la empresa.La gestión de riesgos cibernéticos es una parte integral de la gestión y operación de buques, y diferentes empleados tienen diferentes roles, responsabilidades y tareas.Además, en algunas empresas, algunas funciones, responsabilidades y tareas se subcontratan a terceros. Las diversas responsabilidades y tareas deben asignarse a las descripciones de trabajo y/o descripciones de roles que se encuentran en el SMS.Dado que la planificación y ejecución de la gestión de riesgos cibernéticos involucra a toda la empresa;Puede ser útil durante el proceso de mapeo aclarar quién es la persona responsable y quién debe apoyar a esa persona.Por ejemplo, un director de TI de un buque bien puede ser la parte responsable de la gestión del riesgo cibernético en los buques, pero depende del apoyo de otros directivos y personal de toda la empresa, por ejemplo, personal de seguridad, personal de seguridad, personal de formación, personal de adquisiciones, personal marítimo. Personal de recursos humanos, tripulación, etc. A menudo, la asignación de responsabilidades y tareas funcionará mejor si está alineada con la cadena de mando normal.Por ejemplo, al asignar la responsabilidad del cumplimiento de los procedimientos de gestión de riesgos cibernéticos a bordo de un buque, a menudo tendrá sentido nombrar al Capitán o al Ingeniero Jefe. Tarea Aporte cibernético Evaluación de Evaluación de Gestión de Formación de la a la política de riesgos riesgos tripulación en cibernéticos en infraestructura seguridad/proteccióncibernéticos gestión de en sistemas los sistemas TI de buques informáticos de riesgos Rol/persona OT de buques los buques cibernéticos Director Responsable general Responsable de Secundario Secundario TI de la empresa Responsable de TI del Secundario Responsable Responsable Responsable barco Responsable de Secundario Secundario Secundario Secundario Secundario seguridad Gerente de Secundario Secundario Adquisiciones Gerente de la Secundario Secundario Secundario Secundario flota Director de Secundario Secundario Formación Responsable de Secundario Responsable RRHH marino Figura 3: Ejemplo (no exhaustivo) de mapeo de roles, responsabilidades y tareas en una matriz.Los títulos de trabajo y el alcance y las responsabilidades del trabajo asociado variarán de una empresa a otra.Los responsables de TI y OT deben alinear y coordinar la estrategia de gestión de riesgos cibernéticos de la empresa. 1.4 Diferencias entre sistemas IT y OT Mientras que los sistemas de TI gestionan datos y respaldan funciones comerciales, OT es el hardware y software que monitorea/controla directamente los dispositivos y procesos físicos y, como tal, son una parte integral del barco y deben funcionar independientemente de los sistemas de TI a bordo.Sin embargo, los sistemas se pueden conectar a la red de TI para monitorear el rendimiento, soporte remoto, etc. A veces se hace referencia a estos sistemas como pertenecientes al Internet industrial de las cosas (IIOT).En tales casos, se debe garantizar que la interfaz esté suficientemente protegida por un cortafuegos como mínimo y que se pueda LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE Ciberseguridad y gestión de riesgos 7 LOS BUQUES V4 Las vulnerabilidades en los sistemas OT no están expuestas en la red de TI.Esto es importante porque no siempre es posible o factible garantizar un nivel de parche adecuado en los sistemas OT. TI cubre el espectro de tecnologías para el procesamiento de información, incluido software, hardware y tecnologías de comunicación.Tradicionalmente, OT y TI han estado separadas, pero con Internet, OT y TI se están acercando a medida que se integran sistemas históricamente independientes.La interrupción del funcionamiento de los sistemas OT puede suponer un riesgo significativo para la seguridad del personal a bordo, la carga, daños al medio marino e impedir el funcionamiento del barco.Del mismo modo, el fallo de determinados sistemas informáticos, por ejemplo la falta de acceso inmediato al manifiesto de mercancías peligrosas, también podría dar lugar a situaciones peligrosas.Por ejemplo, en situaciones en las que un contenedor a bordo de un barco se incendia, la información sobre el contenido de los contenedores adyacentes es fundamental para una extinción adecuada del incendio. Puede haber diferencias importantes entre quién maneja la compra y gestión de los sistemas OT y los sistemas de TI en un barco.Los administradores de TI no suelen participar en la compra de sistemas OT y pueden tener o no un conocimiento profundo de la ciberseguridad.La compra de dichos sistemas debería involucrar a alguien que conozca el impacto en los sistemas a bordo, pero que probablemente solo tenga conocimientos limitados de software y gestión de riesgos cibernéticos.Por lo tanto, es importante dialogar con una persona con conocimientos de seguridad cibernética para garantizar que se consideren los riesgos cibernéticos durante el proceso de compra de OT.La actualización del software OT requiere una verificación exhaustiva de la compatibilidad y una aprobación de clase, a diferencia del software de TI, que normalmente se actualiza de forma rutinaria.Para obtener una visión general de los posibles desafíos y ayudar a establecer las políticas y los procedimientos necesarios para el mantenimiento del software, puede ser una ventaja para el responsable de la ciberseguridad a bordo del barco tener un inventario de los sistemas OT. 1.5 Planes y procedimientos La Resolución MSC.428(98) de la OMI identifica una necesidad urgente de crear conciencia sobre las amenazas y vulnerabilidades de los riesgos cibernéticos para respaldar un transporte marítimo seguro y protegido, que sea operativamente resiliente a los riesgos cibernéticos.Por lo tanto, todas las partes interesadas marítimas deberían trabajar para proteger el transporte marítimo de las amenazas y vulnerabilidades cibernéticas actuales y emergentes.La resolución afirma además que el SMS debería considerar la gestión del riesgo cibernético de acuerdo con los objetivos y requisitos funcionales del Código IGS. La 101.ª sesión del Comité de Seguridad Marítima de la OMI (el informe de esta reunión se encuentra en el documento MSC 101/24 de la OMI) “...acordó que los aspectos de la gestión de riesgos cibernéticos, incluidos los aspectos de seguridad física de la ciberseguridad, deberían abordarse en la Seguridad del Buque Planes (SSP) bajo el Código PBIP;sin embargo, esto no debe considerarse como que requiere que una empresa establezca un sistema de gestión de seguridad cibernética independiente que funcione en paralelo con el Sistema de Gestión de Seguridad (SMS) de la empresa”. En la misma reunión, la OMI también “...confirmó que la resolución MSC.428(98) sobre Gestión de riesgos cibernéticos marítimos en SMS establece los requisitos de la OMI para que las Administraciones garanticen que los riesgos cibernéticos se aborden adecuadamente en los SMS existentes (como se define en el ISM). Código), verificado mediante un Documento de Cumplimiento y Certificado de Gestión de Seguridad visado, y que en el Plan de Protección del Buque se debe hacer referencia a los procedimientos de gestión de riesgos cibernéticos que se encuentran en el SMS”. Para una empresa, una forma sencilla de organizar los procedimientos requeridos por la OMI podría ser reflejar lo siguiente en el Plan de protección del buque (SPS): „ procedimientos relacionados con el acceso físico a áreas con sistemas de TI y OT „ una referencia a los procedimientos de seguridad cibernética del SMS. Se debe considerar la redacción de la referencia de manera que no requiera ser actualizada cada vez que se modifica, agrega o elimina un procedimiento relacionado con la seguridad cibernética en el SMS, ya que los cambios en el SPS normalmente requerirían la aprobación del Estado del pabellón o del Estado del pabellón. Organización reconocida autorizada para ello por el Estado del pabellón. LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE Ciberseguridad y gestión de riesgos 8 LOS BUQUES V4 En consecuencia, los procedimientos restantes sobre gestión de riesgos cibernéticos deben reflejarse en el SMS, excluyendo al mismo tiempo la información sensible, como la documentación del sistema descrita en la sección 3.2 de las presentes directrices, que podría ser explotada por actores maliciosos fuera de la empresa. El SMS ya incluye procedimientos para reportar accidentes o situaciones peligrosas y define niveles de comunicación y autoridad para la toma de decisiones.Si es necesario, dichos procedimientos deben modificarse para reflejar la comunicación y la autoridad en caso de un incidente cibernético.El Capitán debe tener un recurso definido al que recurrir en caso de un incidente cibernético y el SMS debe incluir un plan de respuesta bien diseñado para contingencias cibernéticas (consulte el capítulo 9). En el anexo 2 de estas directrices se puede encontrar orientación adicional sobre cómo incorporar la gestión de riesgos cibernéticos en el SMS de la empresa. Los procedimientos de SMS deben considerar los riesgos que surgen del uso de TI y OT a bordo, teniendo en cuenta los códigos, directrices y estándares recomendados aplicables.Se puede considerar que los procedimientos que abordan, por ejemplo, los riesgos comerciales también se incluyen en el SMS y no en un documento separado. La empresa debe considerar si es necesario realizar evaluaciones de riesgos específicas de cada buque en función de si determinados buques o grupos de buques están configurados de forma única en términos de configuración de TI/OT dentro de su flota.Los factores a considerar incluyen, entre otros, el grado en que se utilizan TI y OT a bordo, la complejidad de la integración del sistema y la naturaleza de las operaciones.De manera similar, se debe considerar si se pueden organizar procedimientos en el SMS para cubrir la flota de la compañía, o si se requieren procedimientos específicos para buques específicos. La evaluación de riesgos cibernéticos y la documentación de los sistemas IT y OT descrita en el apartado 3.2 se consideran información sensible.Si bien no existe una regulación que describa cómo se debe almacenar esta información, la recomendación es que se almacene y controle de manera similar a la Evaluación de protección del buque y el Plan de protección del buque. 1.6 Relación entre armador y gestor del buque El titular del Documento de Cumplimiento (DoC) es el responsable último de garantizar la gestión de los riesgos cibernéticos a bordo.Si el buque está bajo gestión de un tercero, se recomienda que el administrador del buque llegue a un acuerdo con el propietario del buque. Ambas partes deben hacer hincapié en la división de responsabilidades, la alineación de expectativas, el acuerdo sobre instrucciones específicas para el gerente y la posible participación en las decisiones de compra, así como en los requisitos presupuestarios. Además de los requisitos ISM, dicho acuerdo debería tener en cuenta la legislación aplicable adicional, como el Reglamento General de Protección de Datos de la UE (GDPR) o regulaciones cibernéticas específicas en otros estados costeros, según corresponda.Los gerentes y propietarios deberían considerar el uso de estas pautas como base para una discusión abierta sobre la mejor manera de implementar un régimen eficiente de gestión de riesgos cibernéticos. Los acuerdos entre administradores y armadores de buques sobre gestión de riesgos cibernéticos deben realizarse por escrito y firmarse. LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE Ciberseguridad y gestión de riesgos 9 LOS BUQUES V4 1.7 Relación entre el armador y el agente La importancia de esta relación ha colocado al agente5 como una parte interesada designada, interactuando de manera continua y simultánea con armadores, operadores, terminales, proveedores de servicios portuarios y autoridades de control del estado del puerto a través del intercambio de información sensible, financiera y de coordinación portuaria.La relación va más allá de la de un proveedor.Puede adoptar diferentes formas y, especialmente en el comercio de tramp, los armadores requieren un representante local (un agente marítimo independiente) que actúe como una extensión de la empresa. Los estándares de calidad para los agentes son importantes porque, como todas las demás empresas, los agentes también pueden ser blanco de ciberdelincuentes, por ejemplo, en relación con la entrega de equipos de TI u OT al barco.Los delitos cibernéticos, como el fraude electrónico y las designaciones falsas de buques, y las amenazas cibernéticas como el ransomware y la piratería informática, exigen estrategias cibernéticas mutuas y relaciones cibermejoradas entre los propietarios de buques y los agentes para mitigar dichos riesgos cibernéticos. INCIDENTE: Incidente de ransomware entre agentes y armadores Un armador informó que las redes comerciales de la compañía estaban infectadas con ransomware, aparentemente a partir de un archivo adjunto de correo electrónico de phishing.La fuente del ransomware provino de dos agentes navales involuntarios, en puertos distintos y en ocasiones distintas.Los barcos también se vieron afectados, pero los daños se limitaron a las redes comerciales, mientras que la navegación y las operaciones de los barcos no se vieron afectadas.En un caso, el propietario pagó el rescate6. La importancia de este incidente es que la armonización de la ciberseguridad en las relaciones con socios comerciales y fabricantes de confianza es fundamental para todos los integrantes de la cadena de suministro.Los esfuerzos individuales para fortalecer el propio negocio pueden ser valientes y bien intencionados, pero también pueden ser insuficientes.Las partes de la cadena de suministro deben trabajar juntas y compartir información según corresponda para mitigar el riesgo cibernético. 1.8 Relación con proveedores y otras partes externas Las empresas deben evaluar los procesos de seguridad física y gestión de riesgos cibernéticos de su interacción con proveedores de servicios, vendedores y otras partes externas, incluidas las autoridades públicas. La falta de seguridad física y/o cibernética en un proveedor, vendedor o proveedor de servicios puede resultar en una violación de los sistemas de TI corporativos y/o corrupción de los sistemas OT/TI del barco.Por lo tanto, la empresa debería considerar celebrar acuerdos y contratos con proveedores/vendedores/proveedores de servicios que definan los requisitos y expectativas cibernéticos, según corresponda.Las empresas también deberían evaluar los procesos de gestión de riesgos cibernéticos para contratos nuevos y existentes.Existen estándares ampliamente reconocidos (por ejemplo, Control de organización de servicios (SOC) 2 tipo 2), pero la empresa también puede definir sus propios estándares. Los procesos evaluados durante la investigación de proveedores e incluidos en los requisitos del contrato pueden involucrar: „ gestión de seguridad, incluida la gestión de subproveedores „ seguridad operativa/de fabricación „ ingeniería y arquitectura de software „ gestión de activos y ciberincidentes „ seguridad del personal „ protección de datos e información. 5 La parte que representa al propietario y/o fletador del buque (el Mandante) en puerto.Si así se le indica, el agente es responsable ante el principal de organizar, junto con el puerto, un atracadero, todos los servicios portuarios y de mantenimiento pertinentes, atender los requisitos del capitán y la tripulación, autorizar el buque ante el puerto y otras autoridades (incluidas preparación y presentación de la documentación apropiada) junto con la liberación o recepción de carga en nombre del mandante (fuente: Convenio para facilitar el tráfico marítimo internacional (Convenio FAL). 6 Nada en estas directrices debe interpretarse como una recomendación del pago de un rescate. LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE Ciberseguridad y gestión de riesgos 10 LOS BUQUES V4 La evaluación de proveedores de servicios más allá de aquellos con quienes la empresa tiene una relación directa puede resultar desafiante, especialmente para empresas con muchos proveedores directos.Los proveedores externos que recopilan y gestionan datos de gestión de riesgos de proveedores pueden ser una opción a considerar. Las interacciones de un barco y su compañía con las autoridades públicas son complejas y abarcan muchas cuestiones que van desde la llegada del barco hasta los cambios de tripulación y la presentación anticipada de manifiestos de carga.También implican desafíos relevantes para el proceso de gestión del riesgo cibernético.Normalmente, estos desafíos no pueden abordarse de la misma manera que los que tiene la empresa con sus relaciones comerciales.Sin embargo, es importante que las conexiones de comunicación actuales y futuras con las autoridades públicas para el suministro y el intercambio de información obligatoriamente requerida se evalúen y evalúen como parte de la posición de seguridad cibernética de la empresa, y que cualquier preocupación de seguridad cibernética que surja de dichas conexiones se lleve a la atención de las autoridades pertinentes, según corresponda.Algunas de estas cuestiones se analizan más detalladamente en la sección 3.4. Se debe considerar lo siguiente con respecto a los fabricantes y terceros, incluidos vendedores, contratistas y proveedores de servicios: „ Voluntad y capacidad de los fabricantes y proveedores de servicios para implementar las mejores prácticas de ciberseguridad efectivas y rentables en sus productos y servicios, que se pueden demostrar de diferentes maneras, por ejemplo, siguiendo el Código de prácticas de riesgo cibernético de CIRM para proveedores de equipos electrónicos marinos. y Servicios y las directrices de implementación asociadas.7 „ Concientización y procedimientos de gestión de riesgos cibernéticos de fabricantes y proveedores de servicios: algunas empresas pueden carecer de capacitación y gobernanza en concientización cibernética en sus propias organizaciones, y esto puede representar más fuentes de vulnerabilidad, que podrían resultar en incidentes cibernéticos.Los vendedores y proveedores externos son cada vez más el objetivo de los actores de amenazas y han desempeñado un papel en incidentes cibernéticos muy publicitados a lo largo de los años.Estas empresas deben tener una política corporativa actualizada de gestión de riesgos cibernéticos, que incluya procedimientos de capacitación y gobernanza para sistemas de TI y OT accesibles. „ La madurez de los procedimientos de gestión de riesgos cibernéticos de un tercero: el propietario del buque debe consultar la gobernanza interna de la seguridad de la red cibernética y tratar de obtener una garantía de gestión de riesgos cibernéticos al considerar contratos y servicios futuros.Esto es particularmente importante cuando se cubre la seguridad de la red si el barco se va a conectar con un tercero, como una terminal marítima, una empresa de estiba o un proveedor de OT, para soporte y mantenimiento continuos. INCIDENTE: Un virus no reconocido en un ECDIS retrasa la navegación Un buque de nueva construcción a granel se retrasó su salida durante varios días porque su ECDIS estaba infectado por un virus.El barco fue diseñado para la navegación sin papel y no llevaba cartas en papel.El fallo del ECDIS parecía ser una interrupción técnica y el capitán y los oficiales del barco no lo reconocieron como un problema cibernético.Se pidió a un técnico del fabricante que visitara el barco y, después de dedicar un tiempo considerable a solucionar problemas, descubrió que ambas redes ECDIS estaban infectadas con un virus.El virus fue puesto en cuarentena y las computadoras del ECDIS fueron restauradas.Se desconocen la fuente y el medio de infección en este caso.El retraso en la navegación y los costos de reparación ascendieron a cientos de miles de dólares (EE.UU.). 7 El Código y las directrices se pueden encontrar en el sitio web del Comité Internacional Radio-Marítimo (CIRM): http://cirm.org/publications. LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE Ciberseguridad y gestión de riesgos 11 LOS BUQUES V4 2 Identificar amenazas 2.1 Actores de amenazas Al identificar amenazas, las empresas deben considerar cualquier aspecto específico de la capacidad, oportunidad e intención de ataque de los posibles actores de amenazas.Esto puede incluir el uso, por ejemplo, de una persona externa o interna como intermediario involuntario que lleva la amenaza sin saberlo, por ejemplo, en una memoria USB infectada.Una vez identificadas, las amenazas deben considerarse junto con las vulnerabilidades identificadas para evaluar la probabilidad de que se produzca un ataque o incidente.Junto con el impacto de un incidente determinado, la probabilidad de que ocurra el incidente produce el factor de riesgo. Las organizaciones y los individuos pueden constituir una amenaza intencional o incluso no intencional para la seguridad de la tripulación, el medio ambiente y el barco.La siguiente figura enumera ejemplos de actores de amenazas y sus posibles motivaciones y objetivos.La lista no es exhaustiva.Estos actores de amenazas tendrán distintos grados de habilidades y recursos para amenazar potencialmente la seguridad de los buques y la capacidad de una empresa para realizar sus negocios: Grupo Motivación Actores „ No hay ningún motivo malicioso, pero aún así terminan causando daños no accidentales intencionados por mala suerte, falta de conocimiento o falta de atención, por ejemplo, al insertar un USB infectado en sistemas de TI u OT integrados. Activistas (incluidos „ venganza „ empleados interrupción de descontentos) operaciones „ atención de los medios „ daño a la reputación criminales „ ganancia financiera „ espionaje comercial „ espionaje industrial Oportunistas „ el desafío „ ganancia reputacional „ ganancia financiera Estados „ ganancia política/ideológica, por ejemplo, alteración (in)controlada de las Organizaciones economías y de la infraestructura nacional crítica patrocinadas por el Estado „ espionaje „ Terroristas ganancia financiera „ espionaje comercial „ espionaje industrial „ ganancia comercial Figura 4: Motivación y objetivos de los actores de amenazas. LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE IDENTIFICAR 12 LOS BUQUES V4 AMENAZAS 2.2 Tipos de ciberamenazas En general, existen dos categorías de amenazas cibernéticas que pueden afectar a empresas y barcos: „ ataques no dirigidos, en los que los sistemas y datos de una empresa o un barco son uno de muchos posibles objetivos „ ataques dirigidos, donde los sistemas y datos de una empresa o un barco son el objetivo previsto o uno de múltiples objetivos. Es probable que los ataques no dirigidos utilicen herramientas y técnicas disponibles en Internet, que pueden utilizarse para localizar, descubrir y explotar vulnerabilidades generalizadas que también pueden existir en una empresa y a bordo de un barco.Ejemplos de algunas herramientas y técnicas que pueden usarse en estas circunstancias incluyen: „ Malware.Software malicioso, que está diseñado para acceder o dañar una computadora sin el conocimiento del propietario.Existen varios tipos de malware, incluidos troyanos, ransomware, spyware, virus y gusanos.El ransomware cifra los datos de los sistemas hasta que se paga un rescate.El malware también puede aprovechar deficiencias y problemas conocidos en software empresarial desactualizado o sin parches.El término "explotar" generalmente se refiere al uso de un software o código, que está diseñado para aprovechar y manipular un problema en otro software o hardware de computadora.Este problema puede ser, por ejemplo, un error de código, una vulnerabilidad del sistema, un diseño inadecuado, un mal funcionamiento del hardware y/o un error en la implementación del protocolo.Estas vulnerabilidades pueden explotarse de forma remota o activarse localmente, por ejemplo, el usuario a menudo puede ejecutar un fragmento de código malicioso, a veces a través de enlaces distribuidos en archivos adjuntos de correo electrónico o a través de sitios web maliciosos.„ Pozo de agua.Establecer un sitio web falso o comprometer un sitio web genuino para explotarlo visitantes desprevenidos.„ Escaneo.Buscar al azar en grandes porciones de Internet vulnerabilidades que podrían ser explotado.„ Errores tipográficos.También llamado secuestro de URL o URL falsa.Se basa en errores como errores tipográficos cometidos por usuarios de Internet al ingresar la dirección de un sitio web en un navegador web.Si un usuario ingresa accidentalmente una dirección de sitio web incorrecta, puede ser dirigido a un sitio web alternativo y, a menudo, malicioso. „ Los ataques dirigidos pueden ser más sofisticados y utilizar herramientas y técnicas creadas específicamente para atacar a una determinada empresa o barco.Ejemplos de herramientas y técnicas que pueden usarse en estas circunstancias incluyen: Ingeniería social.Una técnica no técnica utilizada por posibles ciberatacantes para manipular a personas internas para que violen los procedimientos de seguridad, normalmente, pero no exclusivamente, a través de la interacción a través de las redes sociales. Fuerza bruta.Un ataque que intenta muchas contraseñas con la esperanza de finalmente adivinarlas correctamente.El atacante comprueba sistemáticamente todas las contraseñas posibles hasta encontrar la correcta. Relleno de credenciales.Usar credenciales previamente comprometidas o específicas de uso común contraseñas para intentar el acceso no autorizado a un sistema o aplicación. La denegación de servicio (DoS) impide que los usuarios legítimos y autorizados accedan a la información, normalmente inundando una red con datos.Un ataque distribuido de denegación de servicio (DDoS) toma el control de múltiples computadoras y/o servidores para implementar un ataque DoS. Suplantación de identidad.Enviar correos electrónicos a una gran cantidad de objetivos potenciales solicitando determinadas piezas de información sensible o confidencial.El correo electrónico también puede contener un archivo adjunto malicioso o solicitar que una persona visite un sitio web falso mediante un hipervínculo incluido en el correo electrónico. Spear-phishing.Es como el phishing, pero las personas reciben correos electrónicos personales, que a menudo contienen software malicioso o enlaces que descargan automáticamente software malicioso.En algunos casos, los mensajes SAT-C se han utilizado para establecer una sensación de familiaridad con un LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE IDENTIFICAR 13 LOS BUQUES V4 AMENAZAS dirección de correo electrónico del remitente malicioso. Subvertir la cadena de suministro.Atacar una empresa o un barco comprometiendo el equipo, software o servicios de soporte que se entregan a la empresa o al barco. Los ejemplos anteriores no son exhaustivos.Están evolucionando otros métodos de ciberataque, como hacerse pasar por un empleado legítimo en tierra de una compañía naviera para obtener información valiosa, que puede utilizarse para un ataque posterior.El número potencial y la sofisticación de las herramientas y técnicas utilizadas en los ataques cibernéticos continúan evolucionando y están limitados únicamente por el ingenio de las organizaciones e individuos que las desarrollan. 2.3 Etapas de un ciberincidente En 2019, transcurrieron una media de 279 días entre el momento en que se vulneró la red de una víctima y la contención de la vulneración.Sin embargo, la intrusión puede pasar desapercibida durante años.Esta cifra aumentó de 266 días en 20188. El tiempo necesario para preparar un ciberataque puede estar determinado por las motivaciones y objetivos del atacante, y la resiliencia de los controles técnicos y de procedimientos de riesgo cibernético implementados por la empresa, incluidos los que están a bordo de su buques.Al considerar los ataques cibernéticos dirigidos, las etapas generalmente observadas de un incidente son: „ Encuesta/reconocimiento.Se utilizan fuentes abiertas/públicas, como las redes sociales, para obtener información sobre un objetivo potencial (por ejemplo, una empresa, un barco o un marino) en preparación para un ciberataque.Se pueden utilizar redes sociales, foros técnicos y propiedades ocultas en sitios web, documentos y publicaciones para identificar vulnerabilidades técnicas, de procedimiento y físicas.El uso de fuentes abiertas/públicas puede complementarse con el seguimiento (análisis – rastreo) de los datos reales que fluyen hacia y desde una empresa o un barco. " Entrega.Los atacantes pueden intentar acceder a los sistemas y datos de la empresa y del barco.Esto se puede hacer desde dentro de la empresa o el barco o de forma remota a través de la conectividad a Internet.Ejemplos de métodos utilizados para obtener acceso incluyen: servicios en línea de la empresa, incluidos sistemas de seguimiento de carga o contenedores envío de correos electrónicos que contienen archivos maliciosos o enlaces a sitios web maliciosos al personal suministro de medios extraíbles infectados, por ejemplo, como parte de una actualización de software a bordo sistema crear sitios web falsos o engañosos, que fomenten la divulgación de la cuenta del usuario información por parte del personal." Incumplimiento.El grado en que un atacante puede violar el sistema de una empresa o de un barco dependerá de la importancia de la vulnerabilidad encontrada por el atacante y del método elegido para realizar el ataque.Cabe señalar que una infracción podría no dar lugar a cambios evidentes en el estado del equipo.Dependiendo de la importancia de la infracción, un atacante puede ser capaz de: realizar cambios que afecten el funcionamiento del sistema, por ejemplo interrumpir o manipular información utilizada por el equipo de navegación obtener acceso, tomar copias o alterar información operativamente importante, como listas de carga o datos comercialmente sensibles como manifiestos de carga y/o listas de tripulantes y pasajeros/visitantes. lograr el control total de un sistema, por ejemplo, un sistema de gestión de maquinaria. „ Pivote.Pivotar es la técnica de utilizar un sistema ya comprometido para atacar otros sistemas en la misma red.Durante esta fase de un ataque, un atacante utiliza el primer sistema comprometido para atacar sistemas que de otro modo serían inaccesibles.Un atacante normalmente apuntará a la parte más vulnerable del sistema de la víctima con el nivel más bajo de seguridad.Una vez que se obtiene el acceso, entonces 8 Informe de IBM sobre el costo de una vulneración de datos 2019. LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE IDENTIFICAR 14 LOS BUQUES V4 AMENAZAS el atacante intentará explotar el resto del sistema.Generalmente, en la fase de pivote, el atacante puede intentar: cargar herramientas, exploits y scripts en el sistema para ayudar al atacante en la nueva fase de ataque ejecutar un descubrimiento de sistemas vecinos con herramientas de escaneo o mapeo de red instalar herramientas permanentes o un registrador de claves para conservar y mantener el acceso al sistema ejecutar nuevos ataques al sistema. La motivación y los objetivos del atacante determinarán el efecto que tendrán en los sistemas y datos de la empresa o del barco.Un atacante puede explorar sistemas, ampliar el acceso y/o asegurarse de que puede regresar al sistema para: „ acceder a datos comercialmente sensibles o confidenciales sobre carga, tripulación, visitantes y pasajeros „ manipular listas de tripulación o pasajeros/visitantes, manifiestos de carga, planes de estiba o listas de carga.Esto puede posteriormente ser utilizado para permitir el transporte fraudulento de carga ilegal, o facilitar robos „ causar denegación total de servicio en sistemas comerciales y operativos „ permitir otras formas de delincuencia, por ejemplo, piratería, robo y fraude „ alterar el funcionamiento normal de los sistemas de la empresa y del barco, por ejemplo eliminando datos previos críticos llegada o descarga de información o sobrecarga de los sistemas de la empresa „ exigir un rescate por datos operativos o personales. 2.4 Cuantificación de la amenaza Consideraciones generales La amenaza es el producto de la capacidad, oportunidad e intención del actor de causar daño.El propósito de cuantificar la amenaza es ayudar a la cuantificación de la probabilidad, la cual forma parte de la evaluación del riesgo que es producto de la probabilidad y el impacto.En otras palabras, si la capacidad, oportunidad o intención de un actor de amenaza es cero o cercana a cero, la amenaza y, por tanto, el riesgo serán pequeños. Amenazas contra los sistemas OT A diferencia de otras áreas de seguridad, donde hay evidencia histórica disponible, la gestión del riesgo cibernético se vuelve más desafiante por la escasez de estadísticas sobre los incidentes y su impacto. Hay indicios de que los ataques dirigidos específicamente contra sistemas OT son menos comunes y, en muchos casos, no se publicitan.Es probable que las razones de esto sean, por ejemplo: „ La mayoría de los sistemas OT en la industria marítima todavía no están conectados a redes con acceso externo, es decir, la exposición a amenazas es baja y los ciberdelincuentes no tienen oportunidad de atacar.Hay excepciones, sin embargo, por ejemplo, muchos dispositivos de monitoreo (por ejemplo, dispositivos que monitorean el rendimiento del motor) están conectados a Internet y generalmente cuentan con controles mínimos de ciberseguridad, especialmente en comparación con los sistemas de TI o incluso de OT.Estos sistemas se conocen como Internet industrial de las cosas (IIoT) y se están integrando cada vez más a bordo de los barcos para proporcionar monitoreo remoto y conexión de sistemas para permitir una mayor automatización y eficiencia en las operaciones.Los actores de amenazas pueden escanear estos sistemas y utilizarlos como punto inicial de infiltración en la red de un barco, desde donde pueden pivotar como se describió anteriormente.Por lo tanto, es importante evaluar los riesgos para estos sistemas y no deben pasarse por alto. „ Los sistemas OT normalmente no tienen potencial directo para recompensar económicamente al ciberdelincuente.„ Atacar los sistemas OT implica riesgos para la seguridad de las víctimas, algo que puede constituir un desincentiva e incluso disuade a algunos ciberdelincuentes. LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE IDENTIFICAR 15 LOS BUQUES V4 AMENAZAS A pesar de lo anterior, no se deben subestimar los riesgos para los sistemas OT.Las amenazas planteadas, por ejemplo, por malware introducido a través de actualizaciones de software (ya sea en línea o mediante procesos manuales como, por ejemplo, memorias USB) o mediante el acceso no regulado o no autorizado por parte de la tripulación aún pueden materializarse y se sabe que causan interrupciones y tiempo de inactividad operativa. Amenazas contra los sistemas de TI Las amenazas contra los sistemas de TI son generalmente más fáciles de cuantificar porque hay mucha más evidencia en términos de accidentes, tanto en general como específicamente para la industria marítima.Por lo general, no se considera que la interrupción de los sistemas de TI sea la causa de un daño potencial a las personas, el medio ambiente, los activos o la carga, pero no se deben subestimar las amenazas contra los sistemas de TI.Ejemplos recientes de la industria marítima han ilustrado que los incidentes cibernéticos tienen el potencial de causar estragos en las operaciones de los buques y la gestión de la carga, provocando así importantes pérdidas financieras.Además, estos incidentes también pueden tener implicaciones en cascada para la seguridad de las personas, el medio ambiente, los activos y la carga, por ejemplo, cuando las interrupciones de los sistemas de TI provocan una falta de control de cargas perecederas o mercancías peligrosas. LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE IDENTIFICAR 16 LOS BUQUES V4 AMENAZAS 3 Identificar vulnerabilidades 3.1 Vulnerabilidades comunes Las siguientes son vulnerabilidades cibernéticas comunes, que se pueden encontrar a bordo de barcos existentes y en algunos barcos de nueva construcción9: „ sistemas operativos obsoletos y no compatibles „ software de sistema sin parches „ software antivirus y protección contra malware obsoletos o faltantes „ configuraciones de seguridad y mejores prácticas inadecuadas, incluida una gestión de red ineficaz y el uso de cuentas y contraseñas de administrador predeterminadas „ redes informáticas de a bordo, que carecen de medidas de protección de límites y segmentación redes „ equiposdeo sistemas críticos para la seguridad siempre conectados con la costa „ controles de acceso inadecuados a activos cibernéticos, redes, etc. para terceros, incluidos los contratistas y proveedores de servicios „ personal insuficientemente capacitado y/o capacitado para gestionar los riesgos cibernéticos „ planes y procedimientos de contingencia faltantes, inadecuados o no probados. 3.2 Documentación de los sistemas IT y OT Para ayudar en cada paso de la evaluación de riesgos, los sistemas de TI y OT deben identificarse claramente con responsabilidades de gobernanza y propiedad documentadas dentro de un registro de activos, que se mantendrá actualizado según corresponda.El registro de activos debe incluir una valoración de activos, con el costo del activo y el costo de mantenimiento de ese activo.Recomendación de la IACS núm.166 sobre Resiliencia Cibernética es aplicable únicamente a las nuevas construcciones; sin embargo, puede servir como guía para el desarrollo de documentación que puede incluir: „ Inventario de dispositivos de comunicación „ inventario de dispositivos de comunicación de red „ mapa lógico de redes: Direcciones IP Direcciones no IP Puntos de acceso no Ethernet Escritorios y servidores Conectores y dispositivos de campo de comunicación „ inventario de software (en algunos casos este inventario es parte de un sistema de registro de software de barco) „ inventario de servicios de red para cada equipo. Hay herramientas disponibles para manejar el inventario de un sistema de TI, pero no se recomiendan para un sistema OT ya que la integridad del sistema OT podría verse afectada (a menos que las maneje un experto bien calificado en estrecha consulta con el maestro, el ingeniero jefe, etc.). 9 Con la publicación de la “Recomendación sobre ciberresiliencia (núm. 166)” de la IACS, los futuros buques de nueva construcción pueden ser menos vulnerables. LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE IDENTIFICAR 17 LOS BUQUES V4 VULNERABILIDADES 3.3 Sistemas vulnerables típicos La identificación de vulnerabilidades implica un análisis de las aplicaciones, sistemas y procedimientos para descubrir debilidades que podrían ser aprovechadas por amenazas potenciales.Puede ser facilitado por expertos internos y/o respaldado, según corresponda, por expertos externos con conocimientos de la industria marítima y sus procesos clave. INCIDENTE: Accidente del sistema integrado de puente de navegación en el mar Un barco con un sistema de puente de navegación integrado sufrió un fallo de casi todos los sistemas de navegación en el mar, en una zona de mucho tráfico y visibilidad reducida.El barco tuvo que navegar con un radar y cartas en papel de respaldo durante dos días antes de llegar al puerto para ser reparado.Se determinó que la causa del fallo de todas las computadoras del ECDIS se atribuyó a sistemas operativos obsoletos.Durante la escala portuaria anterior, un representante técnico del fabricante realizó una actualización del software de navegación en las computadoras de navegación del barco.Sin embargo, los sistemas operativos obsoletos no podían ejecutar el software y fallaban.Se requirió que el barco permaneciera en el puerto hasta que se pudieran instalar nuevas computadoras ECDIS, los inspectores de clasificación pudieran asistir y se hubiera emitido una notificación de casi accidente como lo requería la compañía.Los costes de los retrasos fueron elevados y corrieron a cargo del armador. Este incidente enfatiza que no todas las fallas informáticas son el resultado de un ataque deliberado y que el software obsoleto es propenso a fallar.Es posible que pruebas más sólidas y un mantenimiento proactivo del software en el barco hayan evitado que ocurriera este incidente. El objetivo de una evaluación de la red de un barco y sus sistemas y dispositivos es identificar cualquier vulnerabilidad que pueda comprometer o resultar en la pérdida de confidencialidad, integridad o disponibilidad de los datos y sistemas necesarios para operar el equipo, sistema, red o incluso el barco.Estas vulnerabilidades y debilidades podrían caer en una de las siguientes categorías: „ exposiciones temporales como defectos de software, sistemas obsoletos o sin parches „ diseño como gestión de acceso o interconexiones de red no administradas „ errores de implementación, por ejemplo, cortafuegos mal configurados „ errores de procedimiento o de otro tipo por parte del usuario. Los sistemas independientes serán menos vulnerables a los ciberincidentes externos en comparación con aquellos conectados a redes no controladas o conectados directamente a Internet.El diseño y la segregación de la red se explicarán con más detalle en el Anexo 3. Se debe tener cuidado de comprender cómo los sistemas críticos a bordo pueden conectarse a redes no controladas.Se debe tener en cuenta el elemento humano, ya que muchos incidentes se inician por acciones del personal.Los sistemas a bordo podrían incluir: „ Sistemas de gestión de carga y carga.Sistemas digitales utilizados para la carga, gestión. y el control de la carga, incluida la carga peligrosa, puede interactuar con una variedad de sistemas en tierra, incluidos puertos, terminales marítimas y estibadores.Dichos sistemas pueden incluir herramientas de seguimiento de envíos disponibles para los transportistas a través de Internet.Interfaces de este tipo hacen que los sistemas de gestión de carga y los datos de los manifiestos de carga y las listas de carga sean vulnerables a incidentes cibernéticos. „ Sistemas de puentes.El uso cada vez mayor de sistemas digitales de navegación en red, con interfaz a redes costeras para actualización y prestación de servicios, hace que dichos sistemas sean vulnerables a incidentes cibernéticos.Los sistemas puente que no están conectados a otras redes pueden ser igualmente vulnerables, ya que a menudo se utilizan medios extraíbles para actualizar dichos sistemas desde otras redes controladas o no controladas.Un incidente cibernético puede extenderse a la denegación o manipulación del servicio y, por tanto, puede afectar a todos los sistemas asociados con la navegación, incluidos ECDIS, GNSS, AIS, VDR y Radar/ARPA.„ Sistemas de gestión y control de potencia de propulsión y maquinaria.El uso de sistemas digitales. para monitorear y controlar la maquinaria a bordo, la propulsión y la dirección hace que dichos sistemas sean vulnerables a incidentes cibernéticos.La vulnerabilidad de estos sistemas puede aumentar cuando se utilizan junto con el monitoreo remoto basado en la condición y/o se integran con la navegación y LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE IDENTIFICAR 18 LOS BUQUES V4 VULNERABILIDADES Equipos de comunicaciones en barcos que utilizan sistemas de puentes integrados.„ Sistemas de control de acceso.Los sistemas digitales utilizados para respaldar el control de acceso para garantizar la seguridad física de un buque y su carga, incluida la vigilancia, la alarma de seguridad a bordo y los sistemas electrónicos de “personal a bordo”, son vulnerables a incidentes cibernéticos. „ Sistemas de atención y gestión de pasajeros.Los sistemas digitales utilizados para la gestión de propiedades, el embarque y el control de acceso pueden contener datos valiosos relacionados con los pasajeros.Los dispositivos inteligentes (tabletas, escáneres portátiles, etc.) son en sí mismos un vector de ataque, ya que, en última instancia, los datos recopilados se transmiten a otros sistemas. „ Redes públicas orientadas al pasajero.Las redes fijas o inalámbricas conectadas a Internet, instaladas a bordo para beneficio de los pasajeros, por ejemplo, los sistemas de entretenimiento para huéspedes, deben considerarse no controladas y no deben conectarse a ningún sistema crítico para la seguridad a bordo.„ Sistemas administrativos y de bienestar de la tripulación.Redes informáticas a bordo utilizadas para la administración. del barco o el bienestar de la tripulación son particularmente vulnerables cuando se proporciona acceso a Internet y correo electrónico.Los ciberatacantes pueden aprovechar esto para obtener acceso a los sistemas y datos integrados.Estos sistemas deben considerarse no controlados y no deben estar conectados a ningún sistema crítico para la seguridad a bordo.También se incluye en esta categoría el software proporcionado por las empresas de gestión o propietarios de buques. " Sistemas de comunicación.La disponibilidad de conectividad a Internet vía satélite y/u otras comunicaciones inalámbricas aumenta la vulnerabilidad de los barcos, y acontecimientos recientes indican que, por ejemplo, las señales VSAT son vulnerables a la explotación utilizando productos de bajo costo y disponibles en el mercado.Se deben considerar sistemas de comunicación con cifrado.Los mecanismos de ciberdefensa implementados por el proveedor de servicios deben considerarse cuidadosamente, pero no se debe confiar únicamente en ellos para proteger todos los sistemas y datos a bordo.En estos sistemas se incluyen enlaces de comunicación con las autoridades públicas para la transmisión de la información requerida sobre informes sobre buques y carga.Deben cumplirse estrictamente los requisitos de gestión de control de acceso y autenticación aplicables por parte de estas autoridades.También se incluyen capacidades a bordo para recopilar datos e interrogar a dispositivos y registradores de datos fijados a contenedores para su posterior transmisión a destinatarios designados en tierra (consulte también la sección a continuación sobre la interfaz entre barco y costa). Los sistemas a bordo antes mencionados consisten en equipos potencialmente vulnerables, que deben revisarse durante la evaluación.La evaluación de vulnerabilidad se puede ayudar respondiendo las siguientes preguntas para cada sistema: „ ¿El sistema es independiente o está conectado a otros sistemas?„ ¿El sistema está conectado externamente, ya sea directamente o a través de otros sistemas?„ ¿Tiene el sistema medidas efectivas integradas de mitigación de riesgos como, por ejemplo, cifrado?„ ¿El sistema requiere actualizaciones periódicas de software? „ ¿El funcionamiento del sistema implica conectar dispositivos extraíbles, por ejemplo para obtener información de diagnóstico? „ ¿Es fácil acceder físicamente al sistema? 3.4 Interfaz buque-costa Los barcos se están integrando cada vez más con las operaciones en tierra porque la comunicación digital se utiliza para realizar negocios, gestionar operaciones y mantener el contacto con las oficinas centrales.Además, los sistemas críticos de los buques, esenciales para la seguridad de la navegación, la energía y la gestión de la carga, se han digitalizado y conectado cada vez más a Internet para realizar una amplia variedad de funciones legítimas, tales como: „ supervisión del rendimiento del motor LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE IDENTIFICAR 19 LOS BUQUES V4 VULNERABILIDADES „ diagnóstico remoto „ gestión de mantenimiento y repuestos „ seguimiento y gestión de carga y contenedores, carga y descarga, y planificación de estiba „ gestión de grúas y bombas „ monitoreo de sistemas para el cumplimiento de regulaciones ambientales e informes „ monitoreo del desempeño del viaje. La lista anterior proporciona ejemplos de esta interfaz y no es exhaustiva.Los sistemas anteriores contienen, procesan e intercambian datos que pueden ser de interés para los ciberdelincuentes. Las tecnologías modernas pueden añadir vulnerabilidades a los barcos, especialmente si hay diseños de redes inseguros y acceso incontrolado a Internet.Además, el personal en tierra y a bordo puede desconocer cómo algunos fabricantes de equipos y proveedores de software mantienen el acceso remoto a los equipos a bordo y su sistema de red.El acceso remoto desconocido y no coordinado a un buque en funcionamiento debería tenerse en cuenta como parte importante de la evaluación de riesgos. Se recomienda que las empresas comprendan y documenten completamente, según corresponda, los sistemas OT e IT del barco y cómo estos sistemas se conectan e integran con la costa, incluidas las autoridades públicas, las terminales marítimas y los estibadores.Esto requiere una comprensión de todos los sistemas informáticos a bordo y de cómo la seguridad, las operaciones y los negocios, incluida la carga y la gestión de la carga, pueden verse comprometidos por un incidente cibernético. 3.5 Visitas a barcos Las visitas a barcos por parte de terceros que requieran una conexión a uno o más ordenadores a bordo también pueden dar lugar a la conexión del barco a tierra.Es común que técnicos, proveedores, funcionarios portuarios y de otro tipo, representantes de terminales marítimas, agentes, pilotos y otros técnicos aborden el barco y conecten dispositivos, como computadoras portátiles y tabletas.Algunos técnicos pueden requerir el uso de medios extraíbles para actualizar computadoras, descargar datos y/o realizar otras tareas.También se sabe que funcionarios de aduanas y funcionarios de control del Estado rector del puerto abordan un barco y solicitan el uso de una computadora para “imprimir documentos oficiales” después de haber insertado un medio extraíble desconocido. A veces no hay control sobre quién tiene acceso a los sistemas a bordo, por ejemplo, durante el dique seco, las paradas o al hacerse cargo de un barco nuevo o existente.En tales casos, es difícil saber si se ha dejado software malicioso en los sistemas integrados.Se recomienda que los datos confidenciales se eliminen del barco y se reinstalen al regresar al mismo y, como mínimo, debe haber una copia de seguridad de los datos.Siempre que sea posible, los sistemas deben analizarse en busca de malware antes de su uso.Los sistemas OT deben probarse para comprobar que funcionan correctamente. 3.6 Acceso remoto Algunos sistemas de TI y OT son accesibles de forma remota y pueden funcionar con una conexión a Internet continua para monitoreo remoto, recopilación de datos, funciones de mantenimiento, seguridad y protección.Estos sistemas pueden ser “sistemas de terceros”, mediante los cuales el contratista monitorea y mantiene los sistemas de forma remota.Estos sistemas podrían incluir un flujo de datos bidireccional y/o solo carga.Los sistemas y estaciones de trabajo con funciones de control, acceso o configuración remota podrían ser, por ejemplo: „ computadoras y estaciones de trabajo en el puente y la sala de máquinas en la red administrativa del barco „ carga como contenedores con sistemas de control de temperatura refrigerados o carga especializada que son rastreado remotamente LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE IDENTIFICAR 20 LOS BUQUES V4 VULNERABILIDADES „ sistemas de apoyo a las decisiones sobre estabilidad „ sistemas de seguimiento de la tensión del casco „ sistemas de navegación, incluida la carta de navegación electrónica (ENC), el registrador de datos de viaje (VDR), posicionamiento dinámico (DP) „ planificación de carga, estiba y gestión de carga „ monitoreo y control del motor, „ redes de seguridad y protección, como CCTV (circuito cerrado de televisión) „ sistemas especializados como operaciones de perforación, dispositivos de prevención de explosiones, sistemas de instalación submarina, Parada de Emergencia (ESD) para buques cisterna de gas, instalación y reparación de cables submarinos. El propietario u operador del buque debería conocer el alcance y la naturaleza de la conectividad del equipo y considerarlo como una parte importante de la evaluación de riesgos. 3.7 Mantenimiento del sistema y software Los sistemas, el software y el mantenimiento de TI y OT pueden subcontratarse a proveedores de servicios externos y es posible que la propia empresa no esté en condiciones de verificar el nivel de seguridad proporcionado por estos proveedores.Algunas empresas utilizan diferentes proveedores responsables de los controles de software y ciberseguridad.En tales casos, se debe solicitar a los proveedores que proporcionen detalles de las actualizaciones. INCIDENTE: Accidente del ordenador de navegación durante el pilotaje Un barco estaba bajo pilotaje cuando el ECDIS y las computadoras de rendimiento del viaje se estrellaron.Un piloto estaba en el puente.Las fallas informáticas crearon brevemente una distracción para los oficiales de guardia;sin embargo, el piloto y el capitán trabajaron juntos para centrar al equipo del puente en una navegación segura por medios visuales y radar.Cuando se reiniciaron las computadoras, era evidente que los sistemas operativos estaban desactualizados y no eran compatibles.El Capitán informó que estos problemas informáticos eran frecuentes (se refirió a los problemas como “gremlins”) y que se habían ignorado las repetidas solicitudes de servicio del propietario del buque. Es un caso claro de cómo un simple mantenimiento y atención al barco por parte de la dirección puede evitar contratiempos. LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE IDENTIFICAR 21 LOS BUQUES V4 VULNERABILIDADES 4 Evaluación de la probabilidad 4.1 La probabilidad como producto de la amenaza y la vulnerabilidad Existe una tendencia a evaluar los riesgos basándose únicamente en los impactos potenciales y las vulnerabilidades existentes.Sin embargo, como se explicó anteriormente, la probabilidad de que ocurra un evento de seguridad cibernética es producto de la amenaza y la vulnerabilidad.Esto también significa que si cualquiera de estos dos factores es casi inexistente, también lo será la probabilidad, y esto debe tenerse en cuenta al cuantificar la probabilidad. 4.2 Cuantificación de la probabilidad El SMS de una empresa normalmente contendrá una matriz de evaluación de riesgos, donde la probabilidad de un evento determinado se mide en una escala de cinco pasos.Usar la escala de probabilidad existente del SMS puede ser una ventaja porque usar el lenguaje y los conceptos existentes para describir los riesgos cibernéticos facilitará la comprensión en toda la empresa.Una estrategia y comprensión de gestión de riesgos empresariales alineadas son fundamentales para garantizar el apoyo de la alta dirección a estrategias efectivas de gestión de riesgos cibernéticos basadas en los resultados de la evaluación de riesgos.Un ejemplo de dicha escala se puede encontrar a continuación: Nivel Descripción de probabilidad 1 Nunca he oído hablar de ello en la industria.Cerca de ser algo inimaginable. 2 Se ha oído hablar de ello en la industria, pero muy raramente y como resultado de una cadena de muchos acontecimientos desafortunados. 3 El incidente probablemente se produjo en la propia empresa, pero en el contexto de equipos defectuosos o de errores sorprendentes cometidos por las personas involucradas. 4 Ocurre ocasionalmente en la propia compañía, generalmente en el contexto de equipos defectuosos o por errores de las personas involucradas (el tipo de errores que tienden a ocurrir a bordo de vez en cuando). 5 Ocurre con frecuencia al realizar el trabajo en cuestión. Figura 5: Ejemplo de escala de probabilidad de un SMS. En un mundo ideal, la cuantificación de la probabilidad estaría respaldada por el acceso a inteligencia sobre amenazas específica del sector del transporte basada en informes de incidentes.Sin embargo, dicha inteligencia sobre amenazas no está disponible de inmediato y, por lo tanto, vale la pena buscar otros sectores además del transporte marítimo, ya que los actores de amenazas con frecuencia reutilizan técnicas utilizadas anteriormente para atacar un sector para apuntar a otro sector.Además, a menudo valdrá la pena observar más de cerca la capacidad, la oportunidad y la intención de los factores de amenaza.Puede ser útil observar especialmente la intención, ya que la intención cero cuantificará una amenaza potencial determinada como teórica y, por lo tanto, producirá sólo una pequeña probabilidad cuando se yuxtaponga a (o se multiplique con) la vulnerabilidad. LAS DIRECTRICES SOBRE SEGURIDAD CIBERNÉTICA A BORDO DE Evaluación de la probabilidad 22 LOS BUQUES V4 5 Evaluación de impacto 5.1 El modelo de la CIA El modelo de confidencialidad, integridad y disponibilidad (CIA)10 proporciona un marco para evaluar el impacto de: „ pérdida de confidencialidad de la información, por ejemplo, acceso no autorizado y divulgación de información o datos sobre el barco, la tripulación, la carga y los pasajeros „ pérdida de integridad, que modificaría la información y los datos relacionados con la operación y gestión segura y eficiente del buque „ pérdida de disponibilidad debido a la destrucción de la información y los datos y/o la interrupción de los servicios/operación de los sistemas del barco. La importancia relativa de la confidencialidad, la integridad y la disponibilidad depende del uso de la información o los datos.Por el contrario, la evaluación de la vulnerabilidad de los sistemas OT a bordo de los buques, en particular los sistemas críticos para la seguridad, puede centrarse en la disponibilidad y/o la integridad en lugar de la confidencialidad. 5.2 Cuantificación del impacto El SMS de una empresa normalmente contendrá una matriz de evaluación de riesgos, donde el impacto de un evento determinado se mide en una escala de cinco pasos de impactos cada vez más graves en diferentes categorías, por ejemplo, seguridad del personal, seguridad del medio ambiente, seguridad de la carga, seguridad de los activos, continuidad del negocio. , impacto financiero y reputación de la empresa.Utilizar la escala de impacto existente del SMS puede ser una ventaja porque utilizar el lenguaje y los conceptos existentes para describir los riesgos relacionados con la cibernética facilitará la comprensión en toda la empresa.Si esta escala no se ha utilizado para describir los impactos derivados de los riesgos cibernéticos, puede ser necesario modificar la descripción verbal de cada uno de los niveles de impacto.El uso de dicha escala también permite a la empresa distinguir entre diferentes barcos de la flota según su importancia para las actividades generales de la empresa.Un ejemplo de dicha escala se puede encontrar a continuación: Nivel Descripción del impacto 1 Sin efectos sobre la salud/lesiones.Sin daños al medio ambiente, los activos, las finanzas o la reputación de la empresa. 2 Efectos/lesiones muy leves sobre la salud.Daño m

Use Quizgecko on...
Browser
Open
Browser
Browser