La semana pasada tuve la oportunidad de participar, junto con mi compañero Sergio Zamarripa, en la conferencia final del proyecto CYSM. La jornada se desarrolló en un muy buen clima de colaboración donde pudimos compartir resultados, experiencias y opiniones sobre la seguridad en los puertos, los procesos logísticos y la cadena de suministro en general, tanto desde un punto de vista de la seguridad física como de la ciberseguridad. Nos gustaría dedicar la presente entrada para hablaros del citado proyecto y trasladaros algunas conclusiones, notas y comentarios sobre el evento.
¿Qué es el proyecto CYSM?
CYSM (Collaborative Cyber/Physical Security Management System) es un proyecto europeo cuyo objetivo principal es la mejora de la seguridad de la cadena de suministro a través del análisis de los riesgos físicos y relativos a la seguridad de la información. Para lograr este objetivo se ha trabajado en tres líneas principalmente:
- Amenazas de las infraestructuras críticas: análisis de las amenazas a las que están expuestas las infraestructuras críticas de los puertos, con independencia de su origen y su naturaleza. Por ejemplo: amenazas sobre la infraestructura física, recursos humanos, servicios y ciberamenazas.
- Metodología para la gestión de riesgo: desarrollar una metodología específica para la gestión del riesgo en las infraestructuras críticas.
- Sistema de gestión de la seguridad (sistema CYSM): desarrollar un sistema que permita a los operadores de los puertos disponer de información relativa a los riesgos. Más concretamente, tal y como se describió en la conferencia, el sistema CYSM se ha diseñado para que los operadores dispongan de un sistema que permita, entre otras cuestiones, evaluar la seguridad física y la ciberseguridad de forma integrada, construir escenarios de crisis y de prevención, analizar y gestionar amenazas y vulnerabilidades e incrementar la colaboración entre los participantes de la cadena de suministro mejorando la resolución colaborativa de problemas.
CYSM se ha desarrollado en el periodo 2013-2015 y ha contado con la colaboración de autoridades portuarias, universidades y empresas del sector privado, tanto nacionales como internacionales.
Nuestro granito de arena en la sesión de cierre
Bajo el título “Retos de seguridad de la información en las infraestructuras críticas de la cadena logística” se desarrolló la sesión final de la conferencia del CYSM. Ésta estaba estructurada en dos grandes bloques: por una parte, el primer bloque denominado “Seguridad física y ciberseguridad en los puertos” se centró en la divulgación de los resultados del proyecto CYSM. A continuación, el segundo bloque “Iniciativas de ciberseguridad” tenía como objetivo dar a conocer diversas iniciativas en el campo de la ciberseguridad aplicada a la cadena de suministro. Fue precisamente en este segundo bloque donde aportamos nuestro granito de arena dando a conocer AST*RISK.
No es nuestra intención profundizar en este aspecto por lo que simplemente adelantaremos que AST*RISK (por sus siglas en inglés, Advanced Supply Chain real time RISK analysis) es el nombre del proyecto cuyo objetivo y posterior resultado ha sido una herramienta para el análisis de riesgos en tiempo real de la cadena de suministro.
Comentarios y conclusiones
Resulta complicado resumir las conclusiones de una jornada que fue intensa y repleta de intervenciones. Sabiendo que nos dejamos muchas cosas en el tintero (Ej. muchos comentarios favorables acerca de las ponencias de los involucrados en la conferencia), nos gustaría trasladaros algunos de los comentarios, conclusiones y notas acerca de la sesión. Son los siguientes:
- La cadena de suministro es un sistema complejo debido a su composición y actividad (la productividad y seguridad depende de muchos factores, agentes, existe un marco regulatorio complejo: legislación internacional, legislación local, acuerdos entre participantes, etc.) que requiere soluciones específicas para la mejora de la seguridad y de la productividad.
- Existen una gran variedad de sistemas y soluciones e iniciativas relativas a la seguridad en el entorno portuario. La integración de las mismas supone un factor clave para la mejora de la seguridad.
- Queda patente la importancia que tienen las cadenas de suministro en la sociedad actual. Este hecho hace que los puertos sean claros candidatos para ser considerados infraestructuras críticas.
- Se evidencia la necesidad de disponer de herramientas que automaticen la gestión de riesgos. Asimismo, es fundamental que los resultados de las mismas sean fácilmente interpretables y supongan una ayuda para la toma de decisiones (tratamiento de riesgos).
- Es necesario disponer de metodologías para la gestión del riesgo adecuadas al contexto de la cadena de suministro. Si bien es cierto que los enfoques tradicionales permiten tener una visión de alto nivel y analizar los riesgos a medio / largo plazo, se considera necesario disponer de información relativa al nivel de riesgo que proporcione una visión más próxima a la operativa diaria.
- Existe una fuerte dependencia de los sistemas de información. Este hecho no sólo es importante en relación a la ciberseguridad, sino que guarda también relación con la seguridad física de la cadena de suministro. A su vez, la seguridad física puede repercutir igualmente en la ciberseguridad.
- Resaltar la importancia de la difusión de resultados / colaboración de los implicados. La propia conferencia sirvió como ejemplo de este hecho.
- Tanto el sector público como el privado avanzan desarrollando iniciativas que se complementan y que en ocasiones convergen. Dada esta situación, tal y como expusimos, cabe destacar la importancia de hablar un lenguaje común basado en los estándares más extendidos (ISO 27001, ISO 31000, ISO 28000, SCOR, etc.).
Agradecimientos y felicitaciones
Aunque pudimos felicitar personalmente a la mayor parte de los implicados, aprovechamos nuevamente para dar la enhorabuena a todos participantes, por los resultados obtenidos, por las intervenciones y por el éxito en la organización del evento. Por último, volvemos a agradecer la oportunidad de haber participado en el evento así como los comentarios recibidos. Ha sido un placer y esperamos que volvamos a coincidir pronto.
Un saludo.
[Sobre Samuel Segarra]