Navegando hacia la ciberseguridad: Mantén tu puerto protegido
Los puertos protegidos desempeñan un papel crucial en el comercio global, la seguridad nacional y el bienestar ciudadano. Por ello, es esencial garantizar su seguridad. En esta publicación, exploraremos los principales instrumentos en los que nos podemos apoyar para lograrlo. En este sentido, abordaremos primero la protección de las instalaciones portuarias y, después, nos extenderemos a la protección del puerto entero. Lo haremos siguiendo un modelo de gestión del riesgo basado en la evaluación y priorización de riesgos, y subsiguiente implantación de medidas de seguridad integral para conseguir un puerto protegido. 1. Evaluación de Protección de las Instalaciones Portuarias (EPIP) La EPIP es el primer paso que debemos dar para garantizar la protección de nuestro puerto. En ésta, evaluamos las amenazas y vulnerabilidades específicas de las instalaciones portuarias individuales. Esto implica identificar posibles riesgos y debilidades en la seguridad de esas instalaciones concretas, de las que derivan una serie de medidas recomendables para la instalación. Con ello como base, podemos elaborar PPIPs para mantener la integridad y la operatividad de la instalación. Generalmente, la EPIP se elabora por la Autoridad Portuaria competente y se revisa, como mínimo, cada 5 años. 2. Planes de Protección de las Instalaciones Portuarias (PPIP) Los PPIP son documentos estratégicos basados en los resultados de la EPIP y están diseñados para garantizar la seguridad de nuestras instalaciones portuarias individuales. Para ello, definimos medidas de protección concretas y específicas para afrontar los riesgos identificados, tanto de naturaleza procedimental, como técnica. Podemos dividir estos procedimientos y medidas de acuerdo con tres niveles: Nivel 1: Medidas mínimas de protección en todo momento. Nivel 2: Medidas de protección adicionales a implementar cuando aumente el riesgo de que ocurra un suceso que afecte a la protección marítima. Nivel 3: Más medidas concretas de protección durante un periodo de tiempo limitado cuando sea probable o inminente un suceso que afecte a la protección marítima, aunque no sea posible determinar el blanco concreto. Asimismo, en nuestro PPIP identificamos los medios de coordinación con autoridades y agencias de seguridad. Así podremos dar una respuesta pronta y efectiva ante las amenazas que nos encontremos. El Oficial de Protección de Instalación Portuaria que designemos elabora el PPIP y lo revisa cada 5 años, si no ha habido cambios sustanciales antes. Después, debemos enviarlo a través de SecurePort a la Autoridad Portuaria competente para que lo apruebe. 3. Evaluación de Protección de los Puertos (EPP) La EPP, al igual que la EPIP, es una evaluación de los riesgos y vulnerabilidades, pero amplía su alcance y se enfoca a la seguridad de todo el puerto. Por tanto, en ésta debemos incluir: Las peculiaridades de las distintas partes del puerto. Las zonas adyacentes al puerto que tengan una incidencia en la protección del puerto. La integración de las EPIPs que se encuentren dentro de los límites del puerto. En cualquier caso, debemos tener en cuenta que, si las amenazas provienen de dichas zonas adyacentes, tendremos que coordinarnos con los titulares y administraciones competentes en esas zonas para hacer la EPP. La responsabilidad de elaborar la EPP recae sobre la Autoridad Portuaria competente cada un máximo de 5 años. Después, ésta la remite al Ministerio del Interior para su aprobación. 4. Plan de Protección del Puerto (PPP) Para redactar el PPP nos basaremos en la EPP y estableceremos medidas concretas para proteger el puerto en su totalidad. Por tanto, incluiremos: Las peculiaridades de las distintas partes del puerto. La integración de los PPIPs que se encuentren dentro de los límites del puerto. Igual que en el caso de los PPIPs, deberemos dividir los procedimientos y medidas de protección de acuerdo con los tres niveles mencionados. Asimismo, identificaremos procedimientos de coordinación con otros planes de seguridad o emergencia del puerto, para asegurar una respuesta rápida y efectiva. El PPE debe elaborarse por la Autoridad Portuaria competente con una frecuencia mínima de 5 años. Mantén tu puerto protegido con Global Technology Ahora que ya sabes qué instrumentos te pueden ayudar a mantener tu puerto protegido o instalación portuaria, ¿cómo podemos ayudarte desde Global Technology? Nuestro equipo de GRC está especializado en el diseño integral de la seguridad marítimo-portuaria. Te apoyamos en la realización de EPIP, PPIP, EPP y PPP para garantizar que cumples con todas las disposiciones legales y reglamentarias pertinentes. ¿Pero cómo puedes cerciorarte de que tu puerto está protegido, desde una perspectiva más práctica? Un enfoque de seguridad integral, que incluya tanto el entorno lógico como el físico nos ayudará a reducir tanto la probabilidad como el impacto de sufrir ataques e incidentes. Por tanto, una tecnología eficaz, eficiente y adaptada a nuestras necesidades específicas puede incrementar de manera significativa nuestra seguridad. No obstante, no debemos olvidar que la tecnología no es infalible y que, en ocasiones, podemos dejar sin darnos cuenta puertas abiertas que los actores maliciosos no dudarán en aprovechar. Por tanto, también es necesario analizar la fortaleza de nuestras medidas de seguridad, y vigilar constantemente nuestros sistemas y activos. Desde Global Technology podemos ayudarte a mejorar la ciberseguridad de tu puerto desde la prevención, la detección temprana y la respuesta efectiva, todo ello asegurando el cumplimiento normativo. Para eso, nuestros expertos en Auditoría y pentesting te ayudarán a conocer el estado real de tus defensas. Por otro lado, nuestro equipo de Ciberprotección te ayudará a identificar qué herramientas de ciberseguridad se adaptan más a tus necesidades y las operarán para disminuir el riesgo de que sufras un ataque. Y, en caso de que un actor malicioso consiga romper tus defensas, nuestro SOC lo detectará gracias a su monitorización 24/7 y entrará en acción para mitigar los daños. Todo ello lo completamos acompañándote y apoyándote desde GRC para cumplir con la normativa aplicable a la seguridad y privacidad de la información, con base en estándares internacionales reconocidos a nivel global. Itxaso Iturriaga
El reto y la importancia de la ciberseguridad en las instalaciones portuarias
Cuando hablamos de seguridad en entornos de puertos, como es el caso de puertos marítimos, en primer lugar seguramente pensaremos en la seguridad física. Obviamente esta es fundamental, pero no es la única. Cada vez más, y desde que las propias instalaciones portuarias se han ido conectando a internet y de ella dependen sus operaciones, la seguridad cibernética y ciberseguridad son extremadamente relevantes. Esto es así porque como infraestructuras críticas, están en el punto de mira de todo tipo de amenazas de seguridad digital. Es muy suculento para los atacantes tratar de paralizar, por ejemplo, mediante un ransomware los sistemas de un puerto y exigir un elevado rescate económico a cambio de devolver el control sobre ellos. Saben que las operaciones en este tipo de instalaciones no pueden detenerse ni un minuto. Las innovaciones tecnológicas de los puertos han mejorado los procesos, pero, como todo lo que está conectado, también ha abierto una ventana a la vulnerabilidad. Y no solamente debido al creciente número de ataques. Existe asimismo una normativa específica que se aplica a este tipo de instalaciones, la cual exige a las Autoridades Portuarias contar con una estrategia adecuada de ciberseguridad en sus puertos. Así son los ciberataques a instalaciones portuarias Para hacernos una idea de qué tipo de ataques están afectando a estas infraestructuras estratégicas no tenemos que irnos muy lejos. Por ejemplo, en septiembre de 2018 el Puerto de Barcelona sufrió un ciberataque que puso en jaque varios de sus servidores internos. La misma entidad reconocía que preveían que algunas entregas de mercancías podrían sufrir retrasos. Según apuntan diferentes fuentes, tardaron por lo menos seis días en recuperarse del todo. El incidente salpicó a algunas de las empresas que trabajan con el puerto, como fue el caso de la naviera danesa Moller-Maersk. Esta compañía también sufrió en 2017 un ciberataque, que se calcula que le costó entre 171 y 256 millones de euros, además de afectarles negativamente durante dos semanas. De hecho, si echamos la vista atrás, en los últimos años las cuatro principales compañías de transporte marítimo de mercancías han sido víctimas de ataques cibernéticos. Uno de los últimos afectando a las infraestructuras de la compañía francesa CMA CGM en China. La propia Organización Marítima Internacional (IMO) también ha sufrido en sus carnes un ataque informático. El organismo dependiente de Naciones Unidas ha sido víctima de un ataque sofisticado contra sus sistemas que ha afectado a su página web y a servicios internos de comunicación. Tan solo unas muestras que reflejan que, efectivamente, estos sistemas están siendo objeto de ciberataques, las consecuencias son muy graves, y poner las medidas adecuadas es una necesidad y una prioridad. Retos y buenas prácticas en la gestión de riesgos Según explica el Consejo Nacional de Seguridad Marítima en su “Guía de buenas prácticas para la gestión de riesgos de ciberseguridad en buques e instalaciones portuarias”, la creciente interacción del entorno marítimo con el ciberespacio son considerados “espacios globales comunes”, y son objeto de atención en la Estrategia de Seguridad Nacional de 2017 como en la Estrategia de Seguridad Marítima Nacional de 2013, destacando que “una de las Líneas de Acción Estratégicas de esta última es, precisamente, “la mejora de la ciberseguridad en el ámbito marítimo”. En esta guía basan esta estrategia de ciberseguridad en las máximas de identificar, proteger, detectar, responder y recuperar. Según el informe “Buenas prácticas de ciberseguridad en el sector marítimo” de ENISA, algunos de los principales desafíos a los que se enfrentan los puertos para implementar medidas de seguridad digital adecuadas comienzan por la falta de concienciación y cultura digital del propio ecosistema portuario, al tratarse de un entorno tradicional en el que se han ido “agregando” capacidades tecnológicas rápidamente. Por otro lado, se señalan como retos la falta de presupuesto así como de personas que puedan llevar a cabo e implementar las diferentes estrategias de ciberseguridad. Y no menos importante: la propia complejidad de toda la infraestructura portuaria, que sumada a esa transformación digital acelerada de los puertos aumenta los peligros a los que se exponen. Acciones a nivel nacional Y es que la dependencia de los sistemas informáticos es cada vez mayor, pero no siempre el proceso de transformación hacia la digitalización de estas infraestructuras va aparejada con la seguridad. Sin embargo, durante los últimos años se han puesto en marcha distintas iniciativas a nivel nacional para atender esta situación, lo que supone una muestra de la importancia de todo esto. En 2019, El Centro Nacional de Infraestructuras y Ciberseguridad y Puertos del Estado presentaron una Guía de Redacción del Plan de Protección Específico complementario al Plan de Protección del Puerto que integra los distintos planes concernientes a la protección marítima. El documento servirá para que las Autoridades Portuarias puedan elaborar sus respectivos Planes de Protección Específicos para cada puerto que haya sido considerado crítico. En junio de 2020 se publicó la ya mencionada “Guía de buenas prácticas para la gestión de riesgos de ciberseguridad en buques e instalaciones portuarias” por parte del Consejo Nacional de Seguridad Marítima. A nivel estatal se han venido desarrollando asimismo diferentes iniciativas. Una de las últimas ha sido el ejercicio MARSEC 20 de Ciberseguridad, un seminario online y una simulación práctica llevada a cabo en aguas de Cartagena y organizado por la Fuerza de Acción Marítima. Diversas instituciones, como Puertos del Estado, Centro Criptológico Nacional, el Mando Conjunto de Ciberdefensa o INCIBE han participado en estos ejercicios el pasado mes de noviembre, con el objetivo de concienciar sobre la necesidad de mejorar las capacidades de ciberseguridad en el entorno marítimo. En definitiva, contar con una estrategia definida, políticas de seguridad y protocolos establecidos para mitigar los riesgos y amenazas de seguridad es fundamental. Contar con la cultura digital necesaria para detectar esta necesidad y realizar una evaluación previa son los primeros pasos necesarios para abordar estos retos con la mayor eficacia. NOTA: hemos preparado esta infografía que recoge los aspectos más importantes de un modo más visual. Global TechnologySomos una compañía especializada en Seguridad, Ciberseguridad e
Seguridad en Instalaciones Portuarias
Toda instalación portuaria debe disponer, para la adecuada protección de todas sus instalaciones, bienes y personas que en ella trabajen, de un Plan de Protección convenientemente aprobado por la Autoridad Portuaria. Para la elaboración de dicho plan es requisito indispensable el haber realizado previamente una Evaluación de la Protección de la Instalación Portuaria (EPIP) cuyos resultados se incorporarán como parte integrante y necesaria del plan. En este artículo desglosaremos cuál es el proceso de elaboración de ambos documentos. Para la redacción tanto de la evaluación como del plan se utiliza la herramienta SecurePort, aplicación informática aprobada por resolución del Secretario General de Transportes del Ministerio de Fomento y que se basa en metodologías de análisis y mitigación de riesgos. EVALUACIÓN DE PROTECCIÓN DE LA INSTALACIÓN PORTUARIA La EVALUACIÓN DE PROTECCIÓN DE LA INSTALACIÓN PORTUARIA (EPIP) será realizada por la Autoridad Portuaria gestora del puerto donde este ubicada dicha IP y podrá autorizar a una Organización de Protección Reconocida (OPR) para que la realice. La EPIP podría abarcar más de una Instalación Portuaria cuando el explotador, la ubicación, el funcionamiento, el equipo y el proyecto de estas instalaciones sean semejantes. Con la aprobación de la EPIP obtendremos: Identificación bienes e infraestructuras importantes a proteger Identificación de las posibles amenazas para esos bienes e infraestructuras y la probabilidad de que se materialicen para poder establecer las medidas de protección correspondientes. Priorizar la Identificación, selección y clasificación de las medidas para minimizar las amenazas y modificación de procedimientos para aumentar la eficacia y reducir la vulnerabilidad a la que puede estar sometido. Identificación de puntos vulnerables relacionados con: El factor humano Las infraestructuras Políticas y procedimientos En ella se deben identificar las características especiales de la instalación portuaria y las posibles amenazas que han llevado a la necesidad de nombrar un OPIP y realizar un PPIP. Debe contemplar medidas para conservar los registros de todo suceso o amenaza para la protección, así como las auditorias, formación, simulacros, etc., para dar conformidad al cumplimiento de las mismas. FASES: Recogida de datos: Reunión con Gerencia/ Dirección y el OPIP designado Obtención de información de procedimientos Definición de estructura organizativa Análisis de antecedentes en la instalación Descripción física, sistemas implantados, normas y procedimientos actuales, recursos humanos, etc. Calculo del riesgo en Secureport: Definición de bienes e infraestructuras a proteger Amenazas: agrupables en 5 categorías: Daños directos a la Instalación Portuaria Daños directos a personas Daños directos al buque o a las operaciones Intrusión (accesos no autorizados) Contrabando (introducción de bienes prohibidos) Probabilidad/vulnerabilidad/consecuencias de los sucesos= Riesgo Información obtenida a través de la herramienta Secureport: Los datos de la evaluación, que consta de 3 partes: Datos de identificación de la instalación portuaria Descripción de la instalación portuaria Datos verificados sobre los sistemas de gestión de la evaluación existente en la instalación portuaria: Situación y emplazamiento Descripción física general Descripción de las actividades que se realizan en la instalación portuaria Número y condición de las personas que utilizan la instalación portuaria, indicando las zonas en las que se encuentran habitualmente. La condición se refiere a: personal propio de operación, personal de seguridad, pasajeros en tránsito, terceros, etc. Bienes e infraestructuras existentes en cada instalación, que deban ser objeto de protección especial. Sistemas de protección físicos existentes. Sistemas de control de accesos existentes. Tipología estructural utilizada en los principales elementos de la instalación portuaria. Sistemas de protección del personal existentes en la instalación portuaria. Normas y procedimientos de operación existentes en la instalación portuaria (se anexarán a la EPIP como anejo) Sistemas radioeléctricos y de telecomunicaciones, incluidos los sistemas y redes informáticas (incluir información en anejos, si se precisa). Infraestructuras del transporte que afecten a la instalación portuaria (incluir información en anejos, si se precisa). Servicios públicos que se desarrollen en la instalación portuaria Terrenos e instalaciones colindantes a la instalación portuaria, con indicación de las actividades y usos que se realizan en ellos (incluir en anejos planos de planta). Zonas colindantes a la instalación portuaria que pudieran ser utilizadas para acciones ilícitas contra ella (incluir planos en anejo si se precisa). Medidas de protección existentes, incluidos los sistemas de identificación. Procedimientos y medidas de protección existentes relativos a la infraestructura y los servicios portuarios. Medidas para proteger el equipo radioeléctrico y de telecomunicaciones, la infraestructura y los servicios portuarios, incluidos los sistemas y redes informáticos. Acuerdos existentes con compañías privadas de seguridad que ofrezcan servicios de protección marítima en tierra y en las aguas del puerto. Incompatibilidades entre los procedimientos y medidas de seguridad y los de protección. Incompatibilidades entre las tareas asignadas en la instalación portuaria y las tareas de protección. Limitaciones de personal o de ejecución. Análisis técnico de la evaluación de la protección de la instalación portuaria Conclusiones de la evaluación de la protección de la instalación portuaria Informe de la evaluación Plan de la EPIP completa La EPIP es parte integrante y esencial del proceso de elaboración y actualización del PPIP, por lo que su correcta elaboración facilitará la elaboración de un Plan ajustado a las necesidades específicas de la IP correspondiente. Por último, se elabora un informe resumen de como se ha llevado a cabo la evaluación y se describe cada punto vulnerable detectado durante la evaluación y una descripción de las medidas que podrían aplicarse para contrarrestar cada uno de esos puntos vulnerables. Este informe se protegerá contra el acceso o la divulgación no autorizados. Las EPIPs se revisarán periódicamente al menos cada cinco años de la realización de las evaluaciones o de la ultima versión. Bien entendido que deberá ser revisada siempre que se registre un suceso que afecte a la protección de la instalación portuaria cuyos riesgos no hayan sido previamente evaluados o se detecte un incumplimiento grave o un cambio importante de las amenazas de sucesos que afecten a la protección. PLAN DE PROTECCIÓN DE LA INSTALACIÓN PORTUARIA (PPIP) Una vez aprobada la EPIP, se pasa a la redacción del PLAN DE PROTECCIÓN DE LA INSTALACIÓN PORTUARIA (PPIP) para asegurar la aplicación de medidas destinadas a proteger la
Correlación de planes de seguridad portuarios. «Encerrado con seis toros»
Ha pasado ya un año desde que abordamos, en el II Seminario de Seguridad Portuaria, el tema de la necesaria armonización de los distintos planes de seguridad que conforman el maremágnum de la seguridad portuaria. Es de suponer que todas las administraciones involucradas han ido realizando estudios y trabajos para resolver este puzle, pero hoy en día aún no tenemos nada concreto que haga vislumbrar una pronta solución. El enemigo acecha cada vez más cerca, y puede producirse en cualquier momento algo que nos obligue a tener que reaccionar de forma instantánea, efectiva, coherente y coordinada. Tendremos que activar de golpe todos los “planes de seguridad” portuarios de todo tipo que hemos ido pergeñando a lo largo de los tiempos. Cada uno de ellos será, seguramente, casi perfecto; todos responden a una necesidad perentoria; todos cumplen con los requisitos normativos que impelieron su creación y todos tienen el derecho y la obligación de existir. Los necesitamos a todos y cada uno de ellos. Pero ahora nos tenemos que preguntar: ¿qué pasará cuando se activen todos al mismo tiempo y se entrecrucen sus acciones? ¿funcionará como un todo coherente o chocaremos y nos daremos codazos, saliendo atropelladamente ante un enemigo estupefacto? En cualquier caso, sería mejor hacer los deberes cuanto antes y que no nos coja el toro. Para estar preparados tendremos que enfrentarnos al problema y empezar a lidiar todos los toros que se nos pongan por delante. Me temo que no será uno solo, sino muchos y muy resabiados. Como primera aproximación, tendremos al menos que elegir los seis más bravos y dejar el resto para más adelante. Ahora se trata de decantarse por una corrida clásica con tres diestros repartiéndose dos toros cada uno o, como dice el subtitulo más arriba, encerrarse en la plaza uno solo para luchar contra los seis, y no de uno en uno sino los seis al tiempo. La primera opción es la más fácil, de hecho parece que ya se ha resuelto aceptablemente la armonización por parejas de los seis planes de seguridad más relevantes: Plan de Protección de la Instalaciones Portuarias y Plan de Protección del Puerto. Plan de Autoprotección y Planes de Emergencia (interior y exterior). Plan de Seguridad del Operador y Planes de Protección Específicos. Como ya decíamos, dejemos de momento de lado otros planes de seguridad como los de contingencias ferroviarias, continuidad y recuperación, Plan Interior Marítimo o gestión medioambiental, entre otros. La jerarquización normativa ha facilitado que estas parejas sean totalmente compatibles entre sí. Y todo ello, a pesar de que en algunos casos haya habido que coordinar a administraciones de distinto ámbito y nivel (como son las estatales y autonómicas) o a distintos ministerios. Ahora, para lidiar con los seis, no hay necesidad de partir delante de un agobiante folio en blanco para empezar a construir la ansiada armonización. Sabemos lo que queremos conseguir, que es lo más importante, y hay algunas ideas y herramientas semi-ocultas entre la maraña de la prolija normativa que nos pueden ayudar. También sabemos lo que no queremos que suceda, aunque nos parezca que lo tenemos controlado, según se desprende de los resultados de nuestros ejercicios y evaluaciones. En realidad, se realizan ejercicios de gestión de emergencias con bastante asiduidad, pero éstos suelen plantearse sobre las premisas de un plan determinado y siguiendo sus directrices, con un organizador claro del ejercicio que sigue un único protocolo de comunicaciones y una cadena de decisiones sin que nadie lo cuestione ni interfiera. En un supuesto real e imprevisto, nos enfrentaríamos a una serie de acciones, transmisión de información, petición de apoyo y toma de decisiones iniciales que afectarán sin duda a diversas instituciones responsables. En los primeros –y cruciales– momentos tampoco estará nada claro la causa del incidente: accidente industrial, sabotaje, terrorismo… En ese momento, nos daremos cuenta de que tal vez nos dejamos parte de los deberes sin hacer. Varias personas, todas ellas responsables de “su” plan, se pondrán en marcha al mismo tiempo con toda celeridad, tratando de gestionar un mismo problema que afecta de alguna manera a todas las partes, aunque sea por distintos motivos y obedeciendo diferentes mandatos. Por suerte, algunas de esas personas tendrán una doble o triple gorra en temas de seguridad que facilitará en gran manera toda la coordinación necesaria. Pero, ¿acaso todos los planes llevan idénticos anexos, con la mismas normas operativas y los mismos procedimientos de coordinación con las Fuerzas y Cuerpos de Seguridad (FCS) y otros departamentos de emergencias? ¿Cuántas personas distintas llamarán al mismo tiempo a la Guardia Civil o cualquier otro estamento de las FCS nacionales o autonómicas? ¿Dónde ubicarán el centro de mando? ¿Quién dará la orden de cerrar los accesos y quién dará la orden, al mismo tiempo, de abrir todos los accesos?¿Quién delimitará el perímetro de seguridad? ¿Quién decidirá cortar el suministro eléctrico a la zona afectada y quién, al mismo tiempo, ordenará la puesta en marcha de los grupos auxiliares?¿Quién activará el plan de ciberseguridad y quién mandará bloquear las líneas de datos? ¿Quiénes sabrán que la emergencia está afectando a una presunta infraestructura crítica? Prevalencia Para cada plan se han realizado distintos análisis de riegos con –predeciblemente–diversos resultados, si no opuestos; al menos no serán idénticos. Se colegirán por tanto diferentes vulnerabilidades y, consecuentemente, diferentes contramedidas a implementar (aquí no hay que olvidar la importancia de las medidas “organizativas” que son las que más problemas nos pueden acarrear), siendo todas ellas igual de válidas según los motivos y valoraciones aducidos en cada tipo de análisis. No podemos tratar de tirar abajo todos los planes y hacer uno nuevo que valga para todo. Ello no es posible por diversas razones, entre las que destacarían los fines para los que se hace el plan y el alcance físico de éste, que no es igual para todos. Creo que la solución pasa por cotejar las diferencias, especialmente las organizativas y de gestión, y rehacerlas si es necesario para que sean totalmente armónicas. Por supuesto, puede que por distintas
El dilema de la Seguridad Integral en las infraestructuras portuarias
Puertos de mar, las mil y una puertas No pensemos por el subtítulo, al menos no del todo, que vamos a tratar aquí de la dulce ensoñación de los cuentos que Sherezade encadenó uno tras otro, y uno dentro de otro, hasta que después de mil y una noches en las que urdió múltiples y entrelazadas ideas, consiguió vencer a una muerte ya asumida por otros que se rendían ante algo que les parecía imposible de combatir. No obstante, tampoco descartemos del todo que el ingenio de Sherezade nos pueda servir para acercarnos a la resolución de nuestro dilema. Para nuestros propósitos, podemos decir que el puerto se concibe como un servicio para facilitar los intercambios de todo tipo entre el mar y la tierra. No en vano, el Código Internacional para la Protección de los Buques y de las Instalaciones Portuarias (PBIP) hace especial hincapié en los asuntos de seguridad del llamado “Interfaz buque-puerto”, como punto neurálgico de la actividad portuaria. Eso sí, por obvios motivos de competencias y oportunidad, el código deja para otro momento el tema de la seguridad del resto de las instalaciones portuarias, aunque la mayoría de estas interfieren de alguna forma en el resultado de la seguridad de las operaciones realizadas en el citado interfaz. Como tal servicio, se trata entonces de obtener la máxima rentabilidad del mismo, para lo que tenemos que plantear las bases del negocio de forma que resulte eficiente, sostenible y creciente. Para ello, la seguridad, en todos sus aspectos, es un factor que hoy día nadie con visión de negocio se atrevería a poner en duda como elemento clave de la gestión del mismo; tanto para la protección de los activos propios como para ofrecer a los clientes un ambiente fiable y seguro donde puedan realizar sus operaciones sin temor a sobresaltos y pérdidas que no se deben asumir. Sin duda, la seguridad en estos ambientes, vende. Así, el puerto marítimo, el medio en el que nos tendremos que mover, va a resultar bastante complicado de controlar. Es tan dinámico y abierto como una moderna y compleja ciudad, muy alejada de aquellas a las que se les podía cercar por altos muros y controlar con un puñado de puertas. Eso puede quedar para otras infraestructuras que, aunque no nos no quepa duda de que puedan poseer una complejidad interior igual o incluso mayor que la que pueda tener un puerto de mar, no son comparables al maremágnum interior y exterior existente en las zonas portuarias y a la enorme porosidad de los filtros que tratan de regular el incesante intercambio de estos dos fluidos. La simple visión de un puerto comercial de mediano tamaño nos muestra un complejo universo de entes moviéndose sin aparente control en un espacio abarrotado y a veces frenético, donde para los concesionarios y transportistas prima sobre todo la velocidad de las gestiones, para así conseguir abandonar cuanto antes la zona portuaria en busca de ávidos e impacientes clientes que no están dispuestos a aceptar muchas excusas sobre problemas de estiba, burocracia aduanera o controles de seguridad. En el plano estrictamente físico, a un puerto podemos dotarle de un cerramiento bastante completo, aunque con las lógicas soluciones de continuidad que plantea la lámina de agua y otras zonas que luego comentaremos. Pero resulta inviable, desde todos los aspectos comerciales, convertirlo en una burbuja impenetrable en la que sus accesos puedan ser controlados con cierta eficacia. Además, podrían existir otros accesos que ni siquiera son conocidos o no se reflejan en los planes de seguridad y sobre los que no siempre se dispone de la capacidad de actuar de una forma coherente y eficaz. Puerto y ciudad En este espacio portuario, nos encontramos con un sistema estructural que no ha sido concebido como un todo homogéneo, sino normalmente pegado a espacios urbanos que han ido creciendo al mismo tiempo, empujándose mutuamente, aunque de forma simbiótica en cuanto a sus intereses comunes, y que no pueden prescindir uno del otro sin que ambos se deteriorasen enormemente. El puerto en general solo puede crecer vegetativamente hacia el mar, a veces incluso ganándole grandes áreas de nuevo terreno, posibilitando así un crecimiento empresarial que no siempre será posible de absorber por las infraestructuras y servicios de los barrios que lo abrazan al otro lado de la frontera y que pueden llegar a asfixiar a estas nuevas concesiones. Necesitará, por tanto, buscar salidas suficientemente permeables para sobrevivir a la presión de este entorno y acabará encontrando las necesarias válvulas de escape, por lo que será mejor que los responsables de operaciones y seguridad traten de ayudar a aliviar esa presión, con toda la flexibilidad necesaria, antes que perder totalmente el control de los accesos. Pero, aun controlando las fronteras, no se podría garantizar el control de este complejo territorio, compuesto de múltiples y diversos espacios con muy diferentes necesidades en cuestiones de seguridad, sin tener en cuenta las “puertas interiores” que se suman a las fronterizas, y tratar de reforzar las defensas de las zonas catalogadas como de mayor peligrosidad o especial importancia, mediante un sistema de anillos concéntricos de seguridad. Estos accesos suelen disponer también de unos eficaces sistemas de control pero, igual que sucede con los accesos exteriores, es muy común limitarse a la línea de separación con el resto de las otras zonas, dejando un poco de lado la línea colindante con la lámina de agua. Las puertas del mar La obviedad de las puertas físicas, tan claramente perceptibles, nos puede hacer olvidar la existencia de otras puertas más extensas, amplias y accesibles que permiten el acceso al interfaz de forma bastante subrepticia y que, a pesar de su enorme extensión, no parece que se les preste la atención que merecen. Así, además del espacio fronterizo terrestre, sobre el que se suelen enfocar prioritariamente los planes de seguridad, revisten gran importancia los espacios de contacto de los muelles con el mar que, aparte de lo relacionado con la seguridad del interfaz buque-puerto ya nombrado, pueden convertirse
El Puerto de Tarragona: Seguridad integral y alineación con el negocio
OPINIÓN 29/10/2013 Fuente @Seguritecnia Los puertos, como punto neurálgico y estratégico de la actividad comercial, han considerado la seguridad de los buques, las mercancías y las personas un elemento esencial para el buen desarrollo de los negocios, condición ‘sine qua’ non para que prospere el entorno e ‘hinterland’ del puerto. ENRIQUE POLANCO, SOCIO JOSEP LLUIS DIEZ, DIRECTOR DE GLOBAL SECURITY DIR.SEGURIDAD INTEGRAL Y Y CONSULTOR DE SEGURIDAD DOMINIO PÚBLICO DEL GLOBAL E INTELIGENCIA PUERTO DE TARRAGONA Y nuestro Derecho así se ha encargado de recogerlo desde tiempos históricos, como constata el Usatge de Barcelona de 1064 –“Omnes quippe naves Barchinonam venientes…” (“Que todos los buques que vengan o salgan del Puerto de Barcelona, por todos los días y por todas las noches, estén en paz y tregua, bajo la protección y defensa del Conde de Barcelona, desde el Cabo de Creus hasta el Puerto de Salou.”)–, hasta la actualidad, en que la normativa sectorial marítimo-portuaria, recogida entre otras en el texto refundido de la Ley de Puertos del Estado y la Marina Mercante y en el Código Internacional para la Protección de los Buques y de las Instalaciones Portuarias, adoptado por la Organización Marítima Internacional, y en la normativa comunitaria y nacional de desarrollo, sin olvidar la de infraestructuras críticas, ha adaptado los requerimientos de protección a las nuevas amenazas y estructuras organizativas de gestión de los puertos. Alineación con el negocio Los puertos comerciales fundamentan hoy en día sus estrategias de desarrollo, entre otros pilares de no menor importancia, en el ofrecimiento a sus clientes de elevados niveles y estándares de seguridad integral, tanto en el ámbito medioambiental, de la prevención de riesgos laborales, como en el industrial (safety) o en el de la protección (security), que, cumpliendo con la legalidad vigente, posicionen en ventaja a dicho puerto frente a los puertos competidores, para atraer los flujos de buques y mercancías hacia sí. Así, la Autoridad Portuaria de Tarragona (APT) ha entendido que la seguridad es un elemento indispensable asociado al negocio portuario y que debe ser gestionada de forma integral y atendiendo a parámetros de eficiencia y responsabilidad. La integralidad de la gestión se basa en análisis de riesgos que comprendan todo tipo de amenazas, evitando la clásica ineficacia que se obtiene cuando no se contemplan todos los parámetros susceptibles de ser explotados por quienes tratan de apropiarse de lo ajeno o, simplemente, de dañar nuestros activos e intereses. Hoy en día no se puede pensar que un dispositivo de seguridad aislado, por muy eficaz que parezca ser, pueda por sí solo ser capaz de evitar un ataque o penetración si no está totalmente integrado en un Sistema Gestionado que consiga la complementariedad necesaria de todos los dispositivos, teniendo en cuenta especialmente la aislada, cuando no olvidada, ciberseguridad. El Sistema de Gestión de Seguridad Integral correlaciona amenazas físicas y de ciberseguridad. Ya han pasado los tiempos en que era suficiente comprar unas cuantas cámaras de vigilancia y contratar algún vigilante para pensar que teníamos cubiertas nuestras necesidades de seguridad. La intuición ha de dejar paso a la profesionalidad si queremos combatir con eficacia a unos enemigos perfectamente entrenados, conocedores de su “profesión” y capaces de usar todos los más modernos sistemas en su favor y explotar las debilidades de los nuestros. No hay sistema de El Sistema de Gestión de Seguridad Integral correlaciona amenazas físicas y de ciberseguridad. Seguridad que no haya sido implementado basándose en un holístico y objetivo análisis de riesgos, que sea capaz de pasar un mínimo test de penetración. El Departamento de Seguridad como gestor Sólo un Departamento de Seguridad con los medios y autoridad suficientes para gestionar el sistema como un todo homogéneo, y que cuente con el apoyo y cooperación transversal de los demás departamentos de la organización (Sistemas, Instalaciones, Recursos Humanos, Financiero, Legal…), dispondrá de la capacidad y conocimientos necesarios para abordar tamaña tarea.En el complejo pero imprescindible tema de la ciberseguridad, como pieza clave para conseguir estos objetivos, la Dirección de Seguridad Integral de la APT cuenta con el total apoyo y cooperación de la Dirección de Sistemas de la Información para aunar esfuerzos y conseguir entre todos que la citada ‘cibervulnerabilidad’ desaparezca y se consolide la impenetrabilidad de un sistema convergente capaz de oponerse a las más cruentas o sofisticadas amenazas. En el entorno portuario español, las autoridades portuarias, como titulares y gestoras de los puertos, asumen las funciones y competencias de velar en sentido amplio por la seguridad, vigilancia y policía del puerto (que engloba el dominio público portuario terrestre y marítimo), desarrollando dichas labores a través del Cuerpo de la Policía Portuaria, policía especial recogida en la Ley Orgánica 1/1992, de 21 de febrero, sobre Protección y Seguridad Ciudadana y en la Ley de Puertos del Estado y la Marina Mercante, y que en el derecho comparado encuentra parangón en las harbour police de los más importantes puertos del mundo; ello sin perjuicio de las competencias que corresponden por su normativa específica a otros Cuerpos y Fuerzas de Seguridad (como por ejemplo el de la custodia de los puertos o el del control fiscal que se atribuye a la Guardia Civil), y del cumplimiento del principio de colaboración mutua debido entre unos u otros Cuerpos policiales. La responsabilidad Los referidos servicios de seguridad, atribuidos a las autoridades portuarias por la Ley de Puertos, se han visto reforzados y ampliados por la asignación a las mismas del rol de autoridad de protección, lo que ha conllevado para toda la zona de servicio del puerto la necesaria elaboración de los correspondientes Planes de Protección, que deben ser confeccionados también por las concesionarias ubicadas en el puerto, en que se plasman, una vez analizados los riesgos y amenazas existentes, las medidas a aplicar destinadas a proteger las instalaciones, buques, personas y bienes frente a los riesgos de un suceso que afecte a la protección, y cuya máxima responsabilidad recae en los oficiales de protección, normalmente designados en el seno de la Alta Dirección en seguridad del puerto, en los