EDITABLE PBIP 10.

5 Riesgos Cibernéticos marítimos (Ciberseguridad)

10.5 Riesgos cibernéticos marítimos (ciberseguridad).

Políticas de tecnología de Información (Ti)

Objetivo:

Establecer los lineamientos para el control y buen uso de los sistemas de cómputo, programas
(software), servicios informáticos (internet, correo electrónico, etc.), integridad de la información
electrónica, sistema de copiado e impresión, telefonía fija, celular y demás bienes informáticos
pertenecientes a Arrow Marine Logistics Services S de R.L. de C.V.

Responsabilidades:

Ti es responsable de:

 Mantenimiento del equipo de cómputo para lograr que la operación sea congruente con
los horarios establecidos.
 Coordinar la instalación y cambios físicos de equipos de cómputo, garantizando que
reúnan los requerimientos confiables de seguridad para evitar accidentes y fallas
constantes.
 Cumplir con los planes de instalación y medidas de seguridad
 La operación de los sistemas de acuerdo con lo establecido por la presente política
 La instalación, puesta en marcha, mantenimiento y disponibilidad continua del software
requerido para la función del computador y paquetes de apoyo para el desarrollo de
sistemas
 Mantener a los equipos de cómputo con las últimas actualizaciones de Windows, parches
de seguridad y antivirus.
 Periódicamente, por espacio no mayor a 6 meses se realizará una limpieza física a toda la
infraestructura de equipo de cómputo.

Asignación y uso de equipos de computo

 Todo empleado que requiera para sus labores un equipo de cómputo, éste deberá contar con
las siguientes características:
 Sistema operativo Windows
 Herramientas Administrativas: Office, Nitro Pro (versión lectura y edición de archivos de
PDF)
 Antivirus
 Asignación de cuenta para correo electrónico y acceso al sistema de Microsip y
Requisiciones
 Acceso a impresoras
 El personal debe hacer uso adecuado de los recursos informáticos (Computadora, Impresoras,
programas de desarrollo interno, correo, software con licenciamiento, internet) y el personal
de sistemas debe monitorear que se cumpla esta política.
EDITABLE PBIP 10.5 Riesgos Cibernéticos marítimos (Ciberseguridad)

Además, todo el personal deberá informar al área de Sistemas sobre cualquier falla,
desperfecto o mal uso del equipo de cómputo, para su adecuado seguimiento.
El uso de internet queda reservado solo para las actividades de trabajo que así lo requieran.

Correo Electrónico (E-MAIL)

Alta de Cuentas de Correo Electrónico

El coordinador del área, gerente o director mediante el formato solicitarán el servicio de

correo electrónico para el usuario correspondiente. Este formato una vez requisitado y
firmado se enviará al área de TI, la cual verificará la disponibilidad de cuentas.

Baja o modificación a cuentas de correo electrónico

El coordinador del área, gerente o director avisara mediante correo electrónico al área de TI, si
un usuario ya no labora en la empresa. El área de TI procederá con la cancelación del servicio y
responder que se ejecutó el procedimiento por la misma vía.

Lineamientos Generales para el uso electrónico

Queda prohibido utilizar el correo electrónico para cualquier propósito comercial, financiero o
personal ajeno a las funciones propias de AMLS.
Queda prohibido enviar información por correo electrónico, cuentas, o cualquier medio
electrónico, clasificada como confidencial o que, sin serlo, el usuario no tenga atribuciones
que permitan su uso y divulgación, atente contra los derechos de autor, sea falsa difamatoria
u ofensiva.
Queda prohibido el uso del correo electrónico e internet para fine políticos y religiosos dentro
y fuera de AMLS.

Políticas de uso del Servicio de Internet

Se hará in monitoreo periódico de los archivos y registros de acceso. En caso de detectarse

comportamientos considerados inadecuados, según este reglamento, podría ampliarse el
alcance y la frecuencia de los controles implementados; llegado el caso, se notificará al
responsable de la oficina a la que pertenece el empleado y al departamento de recursos
humanos.

Los servicios de internet son una herramienta de trabajo y el uso inapropiado tendrá como
consecuencia la cancelación de estos servicios y las medidas aplicables en función de las faltas
cometidas.

AMLS, mediante el área de TI ofrece el internet al personal autorizado.

Lineamientos Generales para el uso de Servicios de Internet

La utilización de estos recursos por personas ajenas a AMLS queda terminantemente prohibida
EDITABLE PBIP 10.5 Riesgos Cibernéticos marítimos (Ciberseguridad)

Deberá comunicarse a TI cualquier deficiencia o funcionamiento anómalo que se observe

Esta estrictamente prohibido cualquier uso con fines comerciales, políticos, particulares o
cualquier otro que no sea laboral que dio origen a la habilitación del servicio.
Todo usuario deberá comunicar al área de TI cualquier incumplimiento con estas normas que
sea de su conocimiento
No exceder los servicios para los cuales se autorizó el uso de la computadora y el acceso a
internet
No intentar apoderarse de las claves de acceso de otros usuarios, acceder y/o modificar
archivos de otro usuario.

Instalación y Uso de Software

Los programas disponibles en AMLS podrán ser utilizados únicamente en las computadoras
asignadas para las que tienen licencia. Está prohibido efectuar copias de dichos programas
Queda estrictamente prohibido bajar o copiar software de la red, sin la debida autorización
por parte del coordinador del área respectiva y del parea de TI.
Queda estrictamente prohibido bajar o copiar software de la red, sin la debida autorización
por parte del coordinador del área respectiva de TI, los cuales solo lo autoriza en
circunstancias que se consideren sean seguras y no infrinjan la ley.

Seguridad de la información

Todos los accesos a programas principales y sesiones de Windows estarán protegidos

mediante un mecanismo de usuario y contraseña.
Diariamente se realizan respaldos automáticos a las bases de datos y documentos que se
encuentren en los directorios de trabajo asignados, en caso de contar con un directorio de
archivos distinto deberá reportar el departamento de Sistemas de su existencia para
programar su respaldo.
Los usuarios deberán abstenerse de divulgar o compartir sus datos de acceso a los programas
y sesiones de Windows.
El uso de dispositivos en los puertos de un equipo de cómputo USB o CD deben ser
previamente autorizados por el área de Sistemas. Esta medida tiene 3 objetivos:

Evitar ataques de virus en los equipos y el servidor

Evitar extracciones no autorizadas
Evitar la carga de archivos ajenos a la labor de gestión.

A todos los equipos se les realizará una revisión de virus periódicamente.

PTO-017 Procedimiento para prevenir un ataque cibernético

10.5.1 Objetivo: Identificación, protección, detección, respuesta y recuperación contra el

acceso, la interconexión y el establecimiento de redes de los sistemas vulnerables del buque.
EDITABLE PBIP 10.5 Riesgos Cibernéticos marítimos (Ciberseguridad)

10.5.2 Alcance: Este procedimiento es de observación por el capitán del buque “XXXXXX”
10.5.3 Ámbito de aplicación: Aplica del Buque “XXXX”
10.5.4 Fundamento Jurídico: Sección A/8.9.1 del Código PBIP
10.5.5 Personal participante: Capitán/OPB, Oficial de cubierta y Timonel de guardia y resto del
personal.
10.5.6 responsable(es): El Capitán/OPB son responsables de implementarlo y toda la
tripulación de cumplirlo.

10.5.7 Desarrollo del procedimiento y/o medidas:

Las medidas de protección que se aplicarán para proteger la información electrónica, así como
para evitar sabotaje de la información serán las siguientes:

Medidas de seguridad.

Tanto la protección cibernética como la seguridad cibernética son importantes debido a su

posible efecto sobre el personal, el barco, el medio ambiente, la empresa y la carga. La
seguridad cibernética se ocupa de la protección de TI, información y datos frente a accesos,
manipulaciones e interrupciones no autorizados. La seguridad cibernética cubre los riesgos de
pérdida de disponibilidad o integridad d ellos datos críticos de seguridad. Los incidentes de
seguridad cibernética pueden surgir como resultado de:

A) Un incidente de protección cibernética, que afecta la disponibilidad y la integridad de TO,

por ejemplo, la corrupción de los datos de gráficos almacenados en un Sistema electrónico
de visualización e información de gráficos (ECDIS)
B) Un fallo que ocurre durante el mantenimiento y parches del software.
C) Pérdida o manipulación de datos de sensores externos, críticos para la operación de un
barco, esto incluye, pero no se limita a los Sistemas de Satélites de Navegación Global
(GNSS).

Si bien las causas de un incidente de seguridad cibernética pueden ser diferentes de un

incidente de protección cibernética, la respuesta efectiva a ambos se basa en la
capacitación y la concientización.

Tipos de ataques cibernéticos.

Hay motivos para que las organizaciones y los individuos exploten las vulnerabilidades
cibernéticas. Los siguientes ejemplos dan alguna indicación de las amenazas planteadas y
las posibles consecuencias para las compañías y los barcos que operan:

Grupo Motivación Objetivo

Activistas (incluyendo Daño de reputación Destrucción de datos
empleados descontentos) Interrupción de Publicación de datos
EDITABLE PBIP 10.5 Riesgos Cibernéticos marítimos (Ciberseguridad)

operaciones.
Criminales Ganancia financiera
Espionaje comercial
Espionaje Industrial
sensibles.
Atención de los medios.
Denegación de acceso al
servicio o sistema dirigido
Venta de datos robados
Rescatar datos robados
Operación del sistema de
rescate.
Arreglando e transporte
fraudulento de la carga.
Reunir inteligencia para
crímenes más sofisticados,
ubicación exacta de la
carga, transporte de barcos
y planes de manejo, etc.

Oportunistas El reto Superar las defensas de la

seguridad cibernética.
Ganancia financiera.
Estados Organizaciones Ganancia política Espionaje Adquirir conocimiento
patrocinadas por el estado Disrupción a las economías
Terroristas y crítica.
Infraestructura nacional.

Los grupos anteriores son activos y tienen las habilidades y los recursos para amenazar la
seguridad de los buques y la capacidad de una empresa para levar a cabo sus negocios.

En general, existen dos categorías de ataques cibernéticos, que pueden afectar a

empresas y barcos:

a) Ataques no dirigidos, donde los sistemas y datos de una compañía o de un barco son
uno de los muchos objetivos potenciales
b) Ataques dirigidos, donde la compañía o los sistemas y datos de un baro son el objetivo
previsto.

Afectaciones en equipos y sistemas.

Es probable que los ataques no dirigidos utilicen las herramientas y técnicas disponibles en
internet, que se pueden usar para localizar, descubrir y explotar vulnerabilidades generalizadas
que también pueden existir en una empresa y a bordo de un barco. Los ejemplos de algunas
herramientas y técnicas que se pueden usar en estas circunstancias incluyen:

a) Malware: Software malicioso diseñado para acceder o dañar una computadora sin el
conocimiento del propietario.
b) Phishing: Envión de correo electrónicos a una gran cantidad de objetivos potenciales que
solicitan información particular o confidencial. Dicho correo electrónico también puede
EDITABLE PBIP 10.5 Riesgos Cibernéticos marítimos (Ciberseguridad)

solicitar que una persona visite un falso Sitio Web utilizando un hipervínculo incluido en el
correo electrónico
c) Walter holding: Establecer un sitio web falso o comprometer un sitio web genuino para
explotar a los visitantes.
d) Escaneo: Atacar grandes porciones de internet al azar.

Los Sistemas que pueden ser afectados son:

a) Sistemas de Comunicación
b) Sistemas de navegación en Puente

10.5.8 Procedimiento (plan emergente) para prevenir ataques cibernéticos

Medidas que prevenir ataques cibernéticos

Es importante proteger los sistemas y datos críticos con múltiples de medidas de

protección, que tienen en cuenta la función del personal, los procedimientos y la
tecnología para:

a) Aumenta la probabilidad de que se detecte un incidente cibernético

b) Aumenta el esfuerzo y los recursos necesarios para proteger la información, los datos
o la disponibilidad de los sistemas de TI y TO.

Los sistemas TO conectados a bordo deben requerir más de una medida de protección
técnica y/o de procedimiento. Las defensas perimetrales, como los cortafuegos, son
importantes para evitar la entrada inoportuna a los sistemas, pero esto puede no ser
suficiente para hacer frente a amenazas internas.

Este enfoque de defensa en profundidad fomenta una combinación de:

a) Protección de redes, incluida la segmentación efectiva.

b) Acceso y controles de usuario.
c) Configuración de dispositivos de red firewalls, routers y switches.
d) Detección, bloqueo y alertas.
e) Comunicaciones por satélite y radio.
f) Detección de malware.
g) Configuración segura para hardware y software.
h) Protección de correo electrónico y navegador web.
i) Capacidad de recuperación de datos.

Acciones de respuesta en caso ser objeto de un ataque cibernético.

En el caso de un ataque cibernético, la respuesta deberá ser rápida y eficaz. Las actuaciones
dependerán del tipo de ataque en concreto, pero en general, asegurarse de que:
EDITABLE PBIP 10.5 Riesgos Cibernéticos marítimos (Ciberseguridad)

a) Contener el ataque aislando los dispositivos infectados.

b) Eliminar las posibles causas, para asegurarnos de que el ataque no se vuelva a reproducir.
c) Determinamos el alcance del ataque, teniendo en cuenta tanto los equipos y dispositivos,
como la posible información que haya sido sustraída.
d) Asegurar la continuidad del servicio, para limitar lo más posible las consecuencias sobre el
negocio.

La respuesta frente a un ataque tiene que articularse a lo largo de 3 niveles:

a) Técnico: para restablecer el servicio desde el punto de vista operativo,

b) Legal: para evaluar las posibles implicaciones legales frente a clientes, proveedores o las
necesidades de notificación a las autoridades.
c) Gestión de crisis: para llevar a cabo una comunicación eficaz de lo ocurrido frente a
clientes y medios de comunicación y reducir el impacto sobre la reputación de la empresa.