En Manos Seguras: Mejores prácticas en seguridad portuaria como un todo
REPORTAJE
Por Lori Musser
Podría ser idealista, pero la seguridad portuaria como un todo es la meta. Los puertos quieren reducir las vulnerabilidades y mitigar las intrusiones e impactos de todo tipo. Es un reto en continuo cambio ya que las amenazas aparecen en nuevas y distintas formas. Por fortuna, las buenas prácticas pueden ayudar a un puerto a navegar a través de estos cambios.
De lo físico a lo ciber
Los puertos de hoy día reconocen que operan tanto en el ámbito físico como en el cibernético, con grandes interdependencias entre dominios. La seguridad portuaria siempre mejora cuando hay conocimiento sobre la situación en ambos ámbitos y sus traslapes: Las vulnerabilidades no se detienen ante puertas trancadas o las llamadas paredes de fuego (firewalls).
La seguridad portuaria fue elevada en los Estados Unidos luego de los trágicos eventos del 11 de septiembre de 2001, pero en ese momento muchas de esas mejoras tenían que ver con seguridad física. Menos de dos décadas después, la atención se volcó a la ciberseguridad. Los presupuestos de seguridad para cercas y cámaras y botas en el terreno siguen siendo fundamentales, pero más puertos están usando ahora tecnologías digitales, inteligencia artificial y métodos de ciberseguridad.
Un imperativo estratégico
Max Bobys es el vicepresidente y jefe de práctica de HudsonCyber. Indica que la ciberseguridad es imperativa para los puertos porque los riesgos cibernéticos “pueden afectar la reputación de un puerto, sus operaciones y desempeño financiero, así como su posición legal y/o de cumplimiento con la ley”.
Lo mismo puede decirse de la seguridad física. Es decir, la gerencia ejecutiva y los miembros de la junta directiva a menudo tienen obligaciones legales y reglamentarias propias de la supervisión para manejar todos los riesgos de seguridad de un puerto.
“Como la Junta Directiva de un puerto rinde cuentas ante los inversionistas y/o los contribuyentes sobre su viabilidad financiera y operativa, es su deber asegurar que existan los recursos adecuados para manejar una gran variedad de riesgos de ciberseguridad y de otros tipos”, dijo Bobys. Recomienda que las juntas directivas y comisiones de los puertos asuman responsabilidad por brindar la supervisión y gobernanza necesarias para velar por que la seguridad esté efectivamente integrada al marco general de gestión del riesgo en la organización.
La aprobación por parte del más alto nivel puede ayudar a impulsar más el éxito de las iniciativas de seguridad física y cibernética de los puertos.
La intersección entre la seguridad física y la cibernética
La seguridad física y la cibernética no se excluyen entre sí. Mark Dubina es el presidente entrante del Comité de Seguridad de AAPA y además es vicepresidente de seguridad de Port Tampa Bay. Dijo que la mejor seguridad portuaria abarca tanto la seguridad física como la ciberseguridad, y su convergencia.
Dubina dijo que el actual proyecto de regla del Servicio de Guardacostas de los Estados Unidos sobre el tema de ciberseguridad, de ser adoptado, pide cambios importantes a la forma en que muchos puertos dictan y ejecutan los planes de trabajo.
Estos cambios comienzan a través de los profesionales a cargo de estas amenazas. “Son pocos los casos donde el gerente de seguridad física y el gerente de ciberseguridad de un puerto son la misma persona. En la mayoría de los casos, estas funciones recaen sobre distintas personas dentro de una organización”, dijo Dubina. La solución en caso de silos de conocimiento desconectados es conectarlos.
“Una mejor práctica para facilitar esta convergencia es utilizar una metodología de evaluación conjunta”, dijo Dubina.
El Plan de Seguridad de las Instalaciones de un puerto se basa en evaluaciones sobre su capacidad de disuadir y mitigar amenazas. La metodología de evaluación conjunta define las responsabilidades y resalta la interdependencia de las disciplinas. Las reglas para lograr acceso a áreas sensibles de TI pueden ser definidas por el gerente de TI/ciberseguridad, pero la aplicación de esas reglas típicamente depende de infraestructura de seguridad física. Y la denuncia de posibles actividades criminales casi siempre requiere planificación previa entre el oficial de seguridad física de las instalaciones y el encargado de TI/ciberseguridad.
En Port Tampa Bay se requieren evaluaciones conjuntas para lograr la acreditación por parte de la National Maritime Law Enforcement Academy. “El programa fue respaldado por el CEO, Paul Anderson, y puesto en marcha por los departamentos de TI y de Seguridad trabajando juntos”, dijo Dubina.
Mejorando todo tipo de seguridad portuaria
El gobierno de los EE.UU. apoya la seguridad portuaria de diversas formas. Las agencias federales, como la Agencia de Ciberseguridad y Seguridad de la Infraestructura del Departamento de Seguridad Nacional, han generado una serie de productos para ayudar a los grupos de interés en el área de infraestructura crítica.
El Servicio de Guardacostas de los EE.UU. es la agencia a la cual acudir. Encabeza el desarrollo de normativas, guías y políticas, buscando realizar la seguridad marítima y actualizar los recursos. El Servicio de Guardacostas realiza anualmente inspecciones de seguridad cibernética y física en todos los puertos.
Estas inspecciones son importantes para identificar puntos débiles y para celebrar logros. En enero de 2024, el Puerto de Baltimore de la Maryland Port Administration anunció que, por decimoquinto año consecutivo, recibió la máxima evaluación de seguridad por parte del Servicio de Guardacostas en sus seis terminales marinas públicas, propiedad del Estado: las terminales marítimas de Dundalk, Seagirt, North Locust Point, South Locust Point (incluyendo la terminal de pasajeros de cruceros), Fairfield y Masonville.
Estas inspecciones aseguran el cumplimiento con las regulaciones federales de seguridad y examinan minuciosamente el Plan de Seguridad de Instalaciones del puerto y su Anexo sobre Ciberseguridad. La reciente instalación de cercas y de iluminación en mástiles altos, el reforzamiento de portones y mallas periféricas, rotulación adicional y otros equipos de seguridad física, junto con mayores iniciativas de ciberseguridad y control de acceso y la red de televisión por circuito cerrado de la MPA han ampliado el programa robusto y efectivo de seguridad con que cuenta la MPA. “Asegurar prudentemente a un gran puerto es un esfuerzo en equipo y esa es la maravilla que tenemos en la Maryland Port Administration”, dijo la Directora de Seguridad de la MPA, Kathleen M. Pickett. Añadió, “Trabajamos en estrecha colaboración con la Policía de la Autoridad de Transportes de Maryland y con Allied Universal para asegurar sin contratiempos la protección de todos quienes trabajan en y visitan el Port of Baltimore.”
El criterio de “todas las manos a cubierta”
Sin colaboración, las fuerzas de seguridad en puertos estarían bajo mucha presión.
Kathleen Pickett asumió el puesto de Directora de Seguridad para la MPA a mediados de 2023. Luego de una carrera de tres décadas en mantenimiento del orden, policía militar y correcciones, ella asigna gran valor a la colaboración, pero no sólo con otros encargados del orden y personal de primera respuesta.
“Hay mucho que decir sobre la creación de buenas relaciones con los compañeros y arrendatarios en tu puerto. En veces significa quedarte después de horas laborales para asistir a sus graduaciones o ceremonias de premiación. Quizás signifique responder el teléfono un sábado para escucharlos externar sus frustraciones sobre algún otro arrendatario o un proceso/procedimiento”, dijo Pickett.
Ella cree firmemente en estar ahí para la gente en cualquier capacidad. “No puedes verlo todo y no puedes estar en varios sitios a la vez. Contar con compañeros leales en toda tu comunidad portuaria, dispuestos a dejarte saber cuándo algo no está bien, es un enorme activo. Ciertamente creo que, si estás presente para la gente, ellos estarán ahí para ti”, dijo.
Los puertos se construyen sobre relaciones entre miembros de las cadenas de suministro y muchos otros interesados. La seguridad depende de esas mismas relaciones.
El criterio de “todo peligro”
Cada año, las personas y las organizaciones que componen un puerto encuentran diferentes amenazas accidentales e intencionales. El ámbito de la seguridad portuaria no finaliza con seguridad física y ciberseguridad y sus áreas de traslape. Según Dubina, debería abarcar todas las amenazas que enfrenta la comunidad portuaria.
Por ejemplo, “Los eventos meteorológicos que ponen en peligro a las instalaciones portuarias y carga peligrosa requieren planificación de seguridad”, dice Dubina. Coordinar con el resto del personal de primera respuesta asegura que el personal del puerto está enterado de las capacidades y limitaciones locales. “Aunque los profesionales en seguridad realmente no apagarán un gran incendio ni contendrán un derrame peligroso, podrían encargarse de asegurar la escena de forma que protejan tanto al personal de seguridad como a los usuarios del puerto”, añadió Dubina.
En Florida, él da mucho crédito a los Grupos de Tareas Nacional Regional de Florida, que tienen su mandato por ley, por facilitar de manera activa y eficiente la participación de las diferentes agencias de orden público, incendios, manejo de emergencias, salud y los sectores públicos y privados clave.
Equipándonos para
amenazas emergentes Es de especial ayuda contar con una gama de agencias y servicios y sus diversas aptitudes y recursos relacionados con seguridad cuando aparecen amenazas no tradicionales.
Por ejemplo, una nueva preocupación para muchos puertos es planificar para mitigar los drones. Aunque muchos puertos utilizan plataformas de vigilancia aérea no tripuladas para inspecciones aéreas, fotografías y otros trabajos de campo, hay drones “externos” que también están ingresando a espacios portuarios. Desafortunadamente, su capacidad de vigilancia aérea y su poder de atacar o entregar cargamentos los convierte también en una potencial amenaza para los puertos, así como para cualquier infraestructura crítica. Los drones son capaces de accidentalmente o intencionalmente poner en peligro barreras físicas de seguridad.
Las autoridades portuarias y otros operadores de infraestructura crítica están descubriendo que su autoridad para combatir la actividad de drones dentro de su “espacio aéreo” podría estar limitada por ley.
Dubina dijo que es importante que cada puerto considere “planificar internamente sus capacidades de detección y/o aliarse con otras agencias de gobierno para entender” las autoridades y responsabilidades relativas a drones que tienen las diversas agencias locales, estatales y federales.
La claridad es fundamental al lidiar con nuevas amenazas y al permitir que los “encargados de seguridad portuaria comiencen el proceso de desarrollar estrategias para reportar y mitigar”, dijo Dubina.
Mirar la imagen completa
El paisaje de las amenazas continúa evolucionando. Las fuerzas de seguridad en todo el mundo se ven bombardeadas por nuevos y diferentes tipos de amenazas cada día. Los centros industriales y la gente, al igual que los puertos, siempre deberán estar preparados, ya sea que enfrenten intrusiones físicas, intromisiones cibernéticas u otros encuentros desagradables.
Siempre habrá gente que intente causar daño, pero las destrezas y las herramientas de seguridad portuaria continúan avanzando.
Trabajar duro para mirar la imagen completa es un buen camino a seguir. Dijo Pickett, “Yo intento mucho no saltar a conclusiones. Quiero escuchar la historia completa y recabar todos los hechos antes de sentarme con mi equipo a decidir una ruta a tomar”.
Las amenazas a la seguridad portuaria se presentan en diferentes formas y tamaños y, aunque siempre están cambiando, pueden ser enfrentadas y eliminadas cuando haya buenas prácticas bien establecidas.