Tomando lecciones de El Faro para evaluar el riesgo cibernético

© aetb / Adobe Stock

La fecha límite de enero de 2021 para que los armadores y gerentes incorporen la gestión del riesgo cibernético en los sistemas de gestión de la seguridad operacional existentes está más cerca de lo que muchos creen, especialmente dado el perfil complejo que presenta el riesgo y la necesidad de un procedimiento bien detallado para ayudar a proteger los activos y negocios marinos. El hecho de que no se aborden adecuadamente los riesgos cibernéticos es mucho mayor que el simple hecho de que un buque podría ser detenido por las autoridades del Estado del puerto si se descubría que no estaba en conformidad. Es bueno que se presenten los riesgos que plantea un ciberespacio para el interés marítimo, pero es importante que recordemos que es solo uno de los muchos riesgos que enfrentamos. Al examinar las fallas pasadas relacionadas con los riesgos tradicionales, podemos comprender mejor cómo hemos subestimado o normalizado los riesgos que están presentes en nuestro entorno. Con el reciente lanzamiento del Informe final de NTSB sobre el hundimiento de El Faro , he dedicado tiempo a revisar el informe y a repasar mis propias experiencias. Me entristece ver muchas similitudes en las condiciones presentes tanto para la pérdida de El Faro como para la de Marine Electric en 1983. Varias declaraciones y hallazgos en el Informe NTSB afectan numerosas operaciones a bordo, no solo el clima pesado que fue el caso con el El Faro. Las operaciones a bordo impactadas incluirán las próximas salvaguardas y procedimientos de Seguridad Cibernética.

El Informe NTSB tiene los siguientes pasajes con respecto a los Sistemas de Gestión de Seguridad de los buques:

"Sistema de administración segura. De acuerdo con el código ISM, es responsabilidad de la empresa -el propietario u otra organización que haya asumido la responsabilidad de la operación de un barco- establecer un SMS para sus buques. De acuerdo con la sección 1.2.2 del código, el SMS debe "evaluar todos los riesgos identificados para sus buques, personal y el medio ambiente y establecer salvaguardias adecuadas". De esta manera, el código (sección 7) ordena que la "empresa debe establecer procedimientos". , planes e instrucciones, incluidas listas de verificación, según corresponda, para operaciones clave a bordo relacionadas con la seguridad del personal, el buque y la protección del medio ambiente. "Además, el código exige que la empresa" identifique posibles situaciones de emergencia a bordo y establezca procedimientos para responder para ellos ".

También:

"Resumen. Simplemente tener un SMS no es suficiente para evitar catástrofes. Es necesario contar con personal dedicado asignado para brindar a los capitanes orientación y procedimientos efectivos. Una sólida capacitación y auditoría aseguran que se sigan la guía y los procedimientos. Las AD deben participar activamente en el mantenimiento del SMS y deben monitorear sus naves asignadas a lo largo de cada viaje ".

El Informe NTSB también contiene las siguientes recomendaciones:

• NTSB recomienda a la Guardia Costera de los EE. UU. En la Recomendación de seguridad M-17-40 que: Revise e implemente la capacitación de los inspectores de la Guardia Costera y los inspectores de la sociedad de clasificación acreditados para garantizar que estén adecuadamente calificados y respaldados para realizar inspecciones de buques efectivas, precisas y transparentes. cumplir con todos los requisitos legales y reglamentarios.
  
• NTSB recomienda al American Bureau of Shipping en Safety Recommendation M-17-62 que: Mejore la capacitación de sus topógrafos para garantizar que estén adecuadamente calificados y respaldados para realizar encuestas efectivas, precisas y transparentes de buques, cumpliendo con todos los requisitos legales y reglamentarios.
  
• NTSB recomienda a TOTE Services, Inc. en la Recomendación de Seguridad M-17-69 que: Realice una auditoría externa, independiente de su organización o sociedad de clases, de todo su sistema de gestión de seguridad para garantizar el cumplimiento del código de Gestión de Seguridad Internacional y corregir las deficiencias .
  

Estos pasajes y las tres recomendaciones derivadas del incidente de El Faro deben recordarse al planear los próximos Procedimientos de SMS de Seguridad Cibernética y los problemas que surgirán al redactar, implementar y auditar procedimientos efectivos.

Si bien el sistema de gestión de seguridad del buque es la mejor plataforma para que resida el programa de seguridad cibernética, no podemos pasar por alto el hecho de que este es un riesgo no tradicional. No podemos abordar nuestros procedimientos y el proceso de auditoría de la misma manera que tenemos la mayoría de nuestros riesgos operativos dentro del SMS. El vertiginoso mundo de la ciberseguridad y el riesgo que presenta se encuentran de muchas maneras en oposición directa a nuestro entorno marítimo tradicional y a los riesgos que hemos enfrentado durante generaciones. No puedes escucharlo o verlo como un riesgo tradicional. Pero continuamente está incursionando en la forma en que operamos y administramos los buques diariamente. Ese hecho no va a cambiar y los riesgos asociados con el uso de esta tecnología no van a desaparecer. Desafortunadamente, ese es el enfoque de riesgo que muchos dentro de la comunidad marítima abordan la ciberseguridad. Esto debe cambiar, porque la naturaleza del riesgo cibernético es tal que podría tener impactos catastróficos en toda nuestra industria. La naturaleza de los puertos y las rutas marítimas es tal que el destino de una empresa afecta la suerte de todos.

Algunas de las preguntas clave que debemos hacernos incluyen:

• ¿Cuáles son los niveles requeridos de apoyo a bordo y en tierra que estas nuevas tecnologías requieren en el corto y el corto plazo?
  
• ¿Se han evaluado adecuadamente los costos y los riesgos adicionales de una tecnología en particular?
  
• ¿Los beneficios superan los riesgos? ¿El resultado final? ¿Tiene sentido?

A medida que nos acercamos a la fecha límite Cyber ​​de IMO de 2021, es importante tener en cuenta el objetivo de nuestros sistemas de gestión de seguridad y garantizar que nuestros procedimientos de ciberseguridad sean prácticos, funcionales y efectivos. También es importante que analicemos el papel que los auditores y el apoyo en tierra tienen en la implantación efectiva de estas políticas. Como lo expresó la NTSB en el informe de El Faro: el mero hecho de tener un SMS no es suficiente para evitar catástrofes. Es necesario contar con personal dedicado asignado para brindar a los capitanes orientación y procedimientos efectivos. Una sólida capacitación y auditoría aseguran que se sigan la guía y los procedimientos.

Hasta ese punto, la necesidad de auditorías de ciberseguridad independientes para garantizar que los procedimientos sean adecuados es una desviación de nuestros criterios normales de auditoría de SMS. Sin embargo, dada la naturaleza de este riesgo y el impacto potencial de la falla para proteger adecuadamente a un buque, se justifica un nuevo enfoque. Un punto clave que planteamos en Allianz Global Corporate & Specialty con nuestros asegurados es el hecho de que la ciberseguridad es una carrera sin un final. A medida que avancemos en el uso de la tecnología para abordar las preocupaciones y los desafíos del transporte marítimo, la necesidad de plataformas de ciberseguridad proactiva y personalizable seguirá creciendo. El primer paso en este proceso es identificar su exposición actual. Si bien los riesgos cibernéticos continúan evolucionando y evolucionando, no podemos perder de vista los riesgos tradicionales que enfrentan los buques y los marineros. Quizás la lección más importante de la pérdida de la SS El Faro es que aprendemos de nuestro pasado colectivo para proteger nuestro futuro.


(Según lo publicado en la edición de abril de 2018 de Maritime Reporter & Engineering News )