El Plan Nacional de Ciberseguridad de EE. UU. Promete Salvaguardar el Sector Marítimo

El Plan Nacional de Ciberseguridad de EE. UU. Promete Salvaguardar el Sector Marítimo

El gobierno de los Estados Unidos publicó el 5 de enero de 2021, un plan de ciberseguridad para asegurar el sector marítimo de la nación contra las amenazas de seguridad cibernética que podrían poner en peligro la seguridad nacional.

El entorno cibernético marítimo

Con la Organización Marítima Internacional (OMI) mandato “para garantizar que los riesgos cibernéticos se aborden adecuadamente en los sistemas de gestión de seguridad existentes” y el número creciente de ataques cibernéticos contra organizaciones marítimas y de envío, la ciberseguridad de las organizaciones marítimas y de envío es una prioridad máxima. De hecho, los ciberataques a los sistemas de tecnología operativa (OT) de la industria marítima Están reportados haber aumentado un 900% en los últimos tres años.

El sector marítimo y naviero juega un papel vital en la economía nacional y mundial; 90% del comercio mundial se transporta por mar, mientras que en EE. UU. contribuye alrededor de $ 5,4 billones al producto interno bruto nacional. Por lo tanto, los ataques cibernéticos contra la infraestructura nacional crítica, como la industria marítima, pueden tener efectos paralizantes en la economía nacional.

Las organizaciones marítimas dependen cada vez más de TI y OT para maximizar la confiabilidad y la eficiencia del comercio marítimo. Estos sistemas habilitados cibernéticamente ayudan a la navegación de embarcaciones, las comunicaciones, la gestión de ingeniería a bordo, la gestión de carga, la seguridad, la seguridad física y el control ambiental. Sin embargo, la proliferación de sistemas orientados a Internet en todo el sector marítimo está introduciendo riesgos desconocidos y expandiendo la superficie de amenazas. El ciberataque NotPetya de 2017 fue una llamada de advertencia de los efectos desastrosos, que paralizaron la industria marítima mundial durante más de unos pocos días.

Relacionado:  Certificación recomendada para principiantes en ciberseguridad: Las 5 mejores opciones

Los objetivos del Plan

De acuerdo con la declaración del Asesor de Seguridad Nacional Robert C. O’Brien “[t]El Plan Nacional de Ciberseguridad Marítima unifica los recursos, las partes interesadas y las iniciativas de ciberseguridad marítima para mitigar agresivamente las amenazas y vulnerabilidades del ciberespacio marítimo actuales y a corto plazo, al tiempo que complementa la Estrategia Nacional para la Seguridad Marítima. El Plan identifica acciones prioritarias del gobierno para cerrar las brechas y vulnerabilidades de ciberseguridad marítima en los próximos cinco años”.

El Plan de Ciberseguridad Marítima ayudaría al gobierno federal a “reducir los posibles riesgos catastróficos para nuestra seguridad nacional y prosperidad económica” heredados por la dependencia de las organizaciones del sector marítimo de las tecnologías emergentes, dijo O’Brien. Para lograr este objetivo, el Plan define tres objetivos:

  • Riesgos y Normas
  • Intercambio de información e inteligencia
  • Crear una fuerza laboral de ciberseguridad marítima

Lista de acciones prioritarias

El Plan incluye una lista priorizada de acciones para ayudar a los actores gubernamentales y privados a cumplir con los objetivos anteriores. El Consejo de Seguridad Nacional (NSC) supervisará el cumplimiento de estas prioridades y reevaluará el plan al menos una vez cada cinco años.

Riesgos y Normas

El gobierno de EE. UU. reconoce que, si bien los estándares y marcos de seguridad cibernética están ampliamente disponibles, las empresas marítimas y de envío a menudo carecen de los recursos o la experiencia para implementarlos de manera efectiva, lo que los deja abiertos a vulnerabilidades que pueden explotarse para interrumpir las operaciones. Para mitigar estos riesgos, se prevén las siguientes acciones:

  • Identifique brechas en las autoridades legales y elimine los conflictos entre roles y responsabilidades gubernamentales para la implementación de estándares de ciberseguridad marítima.
  • La Guardia Costera de EE. UU. analizará la guía de informes de seguridad cibernética entre 2016 y 2020 para identificar tendencias y vectores de ataque. El análisis aumentará la conciencia situacional del sector marítimo y disminuirá el riesgo cibernético marítimo.
  • Desarrollar e implementar requisitos de seguridad cibernética contractuales obligatorios para la infraestructura marítima crítica propiedad, arrendada o regulada por el gobierno para disminuir el riesgo de seguridad cibernética debido a los ataques a la cadena de suministro.
  • Desarrollar procedimientos para identificar, priorizar, mitigar e investigar los riesgos de seguridad cibernética en sistemas críticos a bordo y en tierra.
Relacionado:  ¿Cuándo es el Día Mundial de la Ciberseguridad? | Xarxa Punt TIC

Intercambio de información e inteligencia

El intercambio de información entre las partes interesadas marítimas públicas, privadas e internacionales que se basa en la transparencia y las asociaciones existentes es la clave para reforzar la resiliencia de la ciberseguridad marítima. Para promover el intercambio de información, el Plan dicta la implementación de las siguientes acciones:

  • Promover el compromiso nacional e internacional para facilitar el intercambio de información y las mejores prácticas para construir una coalición de defensores de la ciberseguridad marítima.
  • Compartir información e inteligencia de ciberseguridad marítima con la comunidad internacional.
  • Desarrollar y priorizar los requisitos de inteligencia marítima para guiar el modelado de riesgos y las evaluaciones de riesgos cibernéticos del adversario.

Crear una fuerza laboral de ciberseguridad marítima

La ciberseguridad es un campo altamente técnico que requiere especialistas en ciberseguridad competentes para monitorear y proteger los sistemas y activos de TI y OT. Sin embargo, la brecha de habilidades es una barrera importante para una postura de seguridad cibernética efectiva. Para cerrar esta brecha, el Plan propone lo siguiente:

  • Desarrollar trayectorias profesionales en seguridad cibernética, incentivos, requisitos de educación continua e incentivos de retención para crear una fuerza laboral cibernética marítima competente.
  • Colaborar con el sector privado para aumentar la experiencia en ciberseguridad marítima.
  • Equipos de campo de ciberprotección para apoyar el fortalecimiento de la resiliencia de la seguridad marítima federal.

Pensamientos concluyentes

“La adopción de estándares y mejores prácticas en la industria marítima de acuerdo con las directrices de la OMI es solo el primer paso” comenta Notis Iliopoulos Director GRC & Assurance en ADACOM. “El Plan Nacional de Ciberseguridad Marítima va un paso más allá, haciendo un mandato específico de país para el sector marítimo. En mi opinión, una implementación efectiva del Plan exige un enfoque holístico para la gestión de riesgos de seguridad”, agrega Iliopoulos.

Relacionado:  Cumbre de ciberseguridad en Santa Cruz de León - Noticias

La mayor dependencia del sector marítimo de los sistemas cibernéticos tiene implicaciones tanto en el dominio digital como en el físico y exige un enfoque completamente nuevo para mitigar los riesgos emergentes. “La convergencia de la seguridad física y digital, en términos de procesos, tecnología y roles, debe convertirse en la nueva era en la gestión de riesgos de seguridad no solo para el sector marítimo”, señala Iliopoulos. “Estoy feliz de ver que el sector Marítimo en realidad exige la implementación de la misma. Es posible que carezcamos de un marco holístico de gestión de riesgos de seguridad, pero el requisito de ‘compartir información e inteligencia’ hará que suceda”, concluye Iliopoulos.

Como señaló la Guardia Costera de EE. UU. en una advertencia de seguridad en 2019, «mantener una ciberseguridad efectiva no es solo un problema de TI, sino un imperativo operativo fundamental en el entorno marítimo del siglo XXI».

Publicaciones Similares