IT Management - Gestión de la ciberseguridad en el Port de Barcelona
IT Management
Gestión de la ciberseguridad en
el Port de Barcelona
Departamento Análisis Penteo | Noviembre 2017
1
IT Management - Gestión de la ciberseguridad en el Port de Barcelona
Introducción
El Port de Barcelona es una infraestructura clave
en el territorio nacional que genera un valor
añadido bruto (VAB) de 2.300 M€ (un 1,4% de
todo el VAB de Cataluña) y un total de 32.000
puestos de trabajo. Por sus instalaciones pasan
un total de 2,24 millones de contenedores TEU y
3,96 millones de pasajeros, entre cruceros y
ferris. El territorio se estructura en 4 áreas
divididas por su funcionalidad: puerto de la
energía, puerto ciudad, puerto logístico y
puerto comercial, ocupando una extensión de
1.082 ha. e incluyendo hasta un total de 35
terminales destinadas a diversos fines.
En los últimos años, y fruto de su Plan
Estratégico, el Port ha experimentado un
crecimiento en su territorio creando nuevos
muelles, diques o mejorando los accesos,
especialmente el ferroviario, al conectar varias
redes de transporte terrestres y marítimas, y
reforzando el concepto de Puerto en Red. Estos
esfuerzos han supuesto un crecimiento del
14,5% en el tráfico de contenedores y del
6,7% en movimiento de pasajeros respecto al
último año, números que le posicionan entre
los 10 primeros puertos más importantes de
Europa. Entre enero y septiembre de 2017 el
crecimiento del Port se ha acelerado. Así,
durante los nueve primeros meses de este año el
tráfico de contenedores del enclave se ha
incrementado un 31%, mientras que el
movimiento de pasajeros también sigue
aumentando, en este caso a un ritmo del 3%.
El Port de Barcelona es pionero en la aplicación
de soluciones tecnológicas. En la actualidad,
disponen de multitud de servicios inteligentes: la
gestión del alumbrado, la automatización de las
entradas y salidas, la monitorización del tráfico
interno de los vehículos, varios proyectos de
sensorización en el territorio, etc. que le han
convertido en un lugar inteligente, o lo que
todos conocemos como un “Smart Port”.
Desde hace años, el 90% de las gestiones en el
Port se pueden realizar de forma telemática,
evolucionando al concepto de “Puerto sin
papeles”. Tienen disponibles una amplia gama
de aplicaciones como Port Dashboard, Port Link,
o OpenData, o iniciativas como, Port Challenge o
Port Innova, que permiten el desarrollo de
proyectos innovadores para la modernización
del puerto.
IT Management: En los Penteo IT Management se analizan experiencias de éxito de clientes destacados
en su sector, con el objetivo de proporcionar al mercado una visión independiente sobre el valor que
pueden aportar diferentes soluciones, servicios o metodologías. Se exponen valoraciones provenientes de la
evaluación de los datos proporcionados por el proveedor, la experiencia del cliente y el análisis de las
alternativas existentes realizado por los profesionales de Penteo.
“El compromiso adquirido con la tecnología
e innovación nos ha permitido convertirnos
en un Smart Port”. Catalina Grimalt,
Subdirectora General de Organización y
Recursos Internos.
2
Propiedad Penteo. Prohibido su reproducción y venta. Noviembre 2017
IT Management - Gestión de la ciberseguridad en el Port de Barcelona
Descripción de la necesidad
Como hemos visto, El Port de Barcelona
dispone de un entorno tecnológico cada vez
más amplio y complejo, tanto por los nuevos
servicios que ya están en producción como por
aquellos proyectos que están en fase de
desarrollo y estarán disponibles en el corto plazo.
Este crecimiento tecnológico implica también
una mayor importancia en el ámbito de la
ciberseguridad, para poder garantizar el
correcto funcionamiento de los nuevos servicios
digitalizados. Hace unos años, la ciberseguridad
en el puerto era un elemento que se trataba de
una manera descentralizada para cada activo o
proceso, sin tener una visión completa. Sin
embargo, este crecimiento y la conectividad del
entorno ha derivado en la necesidad de cambio
en este concepto, tomándolo ahora como un
ámbito global e integral que cubra todas las
áreas y activos del puerto en conjunto. La
transformación digital en cualquier organización
implica un mayor riesgo frente a amenazas como
consecuencia de un entorno cada vez más
expuesto al exterior, acentuándose en el caso
del puerto por todo el territorio y servicios que
gestiona. La ciberseguridad, por tanto, ha pasado
a ser un pilar fundamental de este crecimiento
para el puerto en todos los aspectos, a nivel
lógico, físico, legal y organizativo.
Existe, por tanto, la necesidad de protección
frente a estas amenazas que puedan repercutir
negativamente en las operaciones de los
sistemas informáticos, así como en la
confidencialidad por el robo o la integridad
de información sensible, lo que implicaría
también un efecto negativo en su reputación.
Este hecho, unido a la necesidad de una gestión
y una organización de la ciberseguridad desde
un punto de vista integral hacían necesaria la
implantación de una Oficina Técnica de
Seguridad TIC (OTS) y la gestión del servicio
relacionado.
.
Para conseguir una solución óptima a este
desafío, en el puerto necesitaban un proveedor
que cumpliera con los siguientes objetivos:
Ayudar a definir la estrategia y
organización de la seguridad TIC.
Definir y actualizar las políticas y
normativas en materia de ciberseguridad.
Perfeccionar las medidas de seguridad
ya existentes en el puerto para mitigar el
riesgo de amenazas externas, e
incrementar el nivel de seguridad de los
servicios, procesos, aplicaciones y
entornos IT.
Proporcionar el soporte necesario en las
auditorías externas y la gestión de
comunicación entre el puerto y los
diversos organismos a los que tiene que
reportar.
Proporcionar soporte en materia de
seguridad en los nuevos proyectos de
desarrollo y mantenimiento que surgen
por la evolución de los sistemas de
información y que dan servicio a todo el
entorno del puerto.
Sensibilizar y concienciar al personal de
la importancia de la ciberseguridad.
Resolver las incidencias de un servicio
continuado garantizando los niveles de
servicio ANS acordados.
Dar soporte al desarrollo de planes y
medidas de contingencia para una
rápida recuperación en caso de ataques
que afecten a sus sistemas críticos.
La adjudicación de este proyecto se realizó a
través un concurso público en el que
participaron diversas organizaciones de notable
relevancia en el ámbito de la ciberseguridad.
Ackcent fue el ganador de esta licitación,
dando respuesta a todos los objetivos
anteriormente mencionados y mostrando un
valor añadido y diferencial respecto a otros
proveedores como:
Eliminar el coste añadido derivado a la
Criterios de selección
“La ciberseguridad en las
organizaciones ha evolucionado de un
enfoque descentralizado para cada
activo a una visión global e integral”.
Javier Sala, Director en Penteo
El Port necesitaba un proveedor con una
propuesta sólida y completa para cualquier
ámbito y servicio de ciberseguridad.
3
Propiedad Penteo. Prohibido su reproducción y venta. Noviembre 2017
IT Management - Gestión de la ciberseguridad en el Port de Barcelona
externalización de trabajadores en sus
oficinas.
Ser un proveedor especialista cuya única
línea de negocio es la ciberseguridad, ya
que se valoraba positivamente el
conocimiento y experiencia técnica al ser
una práctica en continua evolución.
Ser flexible y adaptarse a las
necesidades y proyectos bajo demanda
que pudieran surgir a lo largo de toda la
colaboración.
Emplear multitud y variedad de recursos
para la sensibilización de los usuarios
para todo tipo de usuarios, desde una capa
más directiva a una más operacional.
Ackcent es una compañía especialista en
ciberseguridad que ya fue identificada y
posicionada en el Universo Penteo de
Proveedores de Servicios de Ciberseguridad,
con un gran crecimiento estos últimos años. En
este informe, en el que se entrevistó a multitud
de empresas entre las que estaban también
varios de sus clientes, fueron valorados con una
satisfacción general muy alta. Las principales
fortalezas que también identificaron sus clientes
fueron:
La flexibilidad para adaptarse a los
proyectos y necesidades del cliente.
El equipo de trabajo, no solo por su
capacidad y expertise a nivel técnico, sino
también a nivel personal, debido a la cercanía
y el trato con ellos.
esta fase era detectar e identificar posibles
amenazas externas, así como vulnerabilidades
existentes en las instalaciones y sistemas
informáticos para mitigar los riesgos y el
impacto ante posibles ataques.
El marco de trabajo utilizado fue el estándar
para la seguridad de la información ISO/IEC
27001 y tenía el objetivo de establecer,
implantar, mantener y mejorar un Sistema de
Gestión de la Seguridad de la Información. La
auditoría inicial analizó la ciberseguridad en el
puerto en todos los ámbitos siguientes:
Como resultado del assesment y la consultoría
realizada, se obtuvo el Plan de Ciberseguridad
recogiendo aproximadamente 50 iniciativas
relacionadas con el proceso de implantación
de la OTS y de mejora continua del servicio.
Se han priorizado por la complejidad de su
implementación y el impacto que tendrán en
materia de seguridad en el puerto, y aunque el
plan era al comienzo muy ambicioso, el
cumplimiento de las iniciativas avanza
notablemente.
El resultado final ha sido la creación de una
Oficina Técnica de Seguridad TIC (OTS),
encargada de la gestión y gobierno de todos
los ámbitos en materia de ciberseguridad y
cumplimiento normativo. El servicio incluye 3
niveles de servicio acordados, N1: operación y
monitorización, N2: ingenieros y consultores de
ciberseguridad y N3: apoyo especializado. Este
servicio incorpora procesos de mejora continua
(CSI) basado en la metodología PDCA (Plan, Do,
Check, Act).
Solución y proyecto detallado
La colaboración tiene una duración de 2 años
con la posibilidad de 2 prórrogas adicionales
de un año cada una. La fecha de comienzo fue
el pasado mes de junio de 2016 y se compone
de dos fases principales:
FASE 1 - Assesment inicial y puesta en marcha
de la OTS
Esta primera fase engloba todas las auditorías
iniciales y hacking ético que han permitido
conocer de una forma precisa el estado actual
de las infraestructuras, servicios y sistemas
informáticos del Port de Barcelona. Se buscaba
definir también una serie de iniciativas y políticas
para el control y la gestión de la ciberseguridad
de una manera integral, englobando todo el
conjunto de activos del puerto. Otro objetivo de
El objetivo de la primera fase fue conocer el
estado de la ciberseguridad en el puerto y
definir un roadmap de iniciativas para su
evolución
4
Propiedad Penteo. Prohibido su reproducción y venta. Noviembre 2017
IT Management - Gestión de la ciberseguridad en el Port de Barcelona
FASE 2 - Explotación y transformación de la
OTS
Una vez definidos los requisitos necesarios para
la creación de la Oficina Técnica de Seguridad
TIC, el objetivo de esta fase era su explotación y
evolución. El modelo de servicio propuesto por
Ackcent se dividió en servicios recurrentes y
proyectos bajo demanda.
Entre los servicios recurrentes destacan la
aplicación diaria de las actividades en materia de
ciberseguridad, como pueden ser la gestión de
alertas e incidentes, la identificación y corrección
de vulnerabilidades o la gestión de eventos y
logs de seguridad (SIEM), así como
ciberseguridad en IoT debido a la monitorización
de la actividad en todo el territorio del puerto.
Todas estas actividades se coordinan desde el
SOC 24x7 de Ackcent que incluye la
monitorización 24x7, la gestión y correlación de
logs para detectar intentos de intrusión,
comportamientos anómalos o incidentes de
seguridad que pudieran afectar al Port, además
del seguimiento mediante informes y cuadros de
mando personalizados para el servicio.
Además de la inteligencia desarrollada a partir de
la modelización de patrones y personalización de
alertas específicas para los sistemas de
información del Port, una ventaja es el acceso a
una plataforma con una base de datos de
incidencias proveniente de más de 1.200 redes
y más de 100 PB de datos recogidos de todo
tipo de sistemas y aplicaciones que se actualiza
en tiempo real, y que permite extraer
inteligencia adicional al tener una gran
visibilidad global.
Progresivamente se van aportando al servicio
mayor eficacia y mejores tiempos de respuesta
gracias al proceso de automatización de la
actividad del SOC y su playbook, llegando a
definir procesos, respuesta a incidentes y
tareas automatizadas que no requieren de
intervención humana (SOC automation).
Por otra parte, están los proyectos bajo
demanda, que engloban aspectos relacionados
con la formación y sensibilización de los
usuarios ante la transformación digital, así
como el cumplimiento de requerimientos
técnicos puntuales que pueden ir surgiendo a lo
largo del proceso de ejecución de los proyectos.
Además, existen tareas relacionadas con
consultoría y arquitectura de la seguridad, o
con el cumplimiento de normativas tales
como ENS (Esquema Nacional de Seguridad) o
LPIC (Ley de Protección de Infraestructuras
Críticas), o el soporte necesario a la gestión de
la comunicación a los diversos organismos a los
que el puerto tiene que reportar. El alto nivel
técnico, la experiencia internacional del equipo
de Ackcent¹, y la adaptabilidad con el puerto les
ha proporcionado la capacidad de cubrir
satisfactoriamente la totalidad de los
proyectos que han ido surgiendo hasta la
fecha.
5
Propiedad Penteo. Prohibido su reproducción y venta. Noviembre 2017
¹Expertos en ciberseguridad de Ackcent formaron parte del Grupo Informal de Protección de Infraestructuras Críticas (GIPIC), creado por el Centro Nacional de Protección de
Infraestructuras Críticas (CNPIC) del Ministerio del Interior.
IT Management - Gestión de la ciberseguridad en el Port de Barcelona
Retos a tener en cuenta
Tiene una especial relevancia el trabajo
realizado en materia de Awareness respecto a
la formación y sensibilización de los usuarios.
Tradicionalmente, las amenazas relacionadas con
la ciberseguridad no reciben toda la atención e
importancia que requieren hasta que un ataque
provoca un impacto elevado. Existen estudios
que afirman que más del 80% de los ataques
en ciberseguridad vienen motivados por
factores humanos, por lo que la sensibilización
cobra especial relevancia dentro del desarrollo
tecnológico de cualquier infraestructura.
Mediante un simulacro de phising, Ackcent
consiguió captar la atención de los
empleados, que a raíz de esta amenaza se
mostraron muy comprometidos a incrementar
sus conocimientos y prácticas en temas de
seguridad. Además, a través de dinámicas,
talleres y actividades formativas, se ha logrado
que hasta 200 empleados de todos los niveles
jerárquicos del puerto (desde una capa más
directiva hasta una capa más operacional)
participen de una forma voluntaria en
actividades de formación en ciberseguridad.
El modelo de relación está basado en
recomendaciones ITILv3, y cuenta con tres
niveles diferenciados (operativo, táctico y
estratégico) con el objetivo de llevar un control
y supervisión del servicio. En este modelo de
gobierno cada nivel cuenta con objetivos, plazos
y documentación específica para permitir un
seguimiento alineado entre el servicio y las
necesidades de negocio de la el puerto.
En este tipo de proyectos tan complejos surgen
múltiples retos y barreras tanto desde el punto
de vista técnico, organizativo como de
implantación y posterior gestión del servicio.
Conocimiento del cliente, así como de
sus necesidades y líneas de negocio. Un
puerto es una infraestructura muy
específica, con unos estándares,
normativas y protocolos de actuación
diferentes a los de cualquier organización
privada, y por tanto, hay que conocerlos y
adaptar muy bien los proyectos y
servicios.
En consecuencia al punto anterior, es muy
importante la identificación de los
procesos críticos que garanticen un
funcionamiento óptimo de todos los
servicios de la OTS sin que ninguno de
ellos quede paralizado.
Complejidad del entorno del Port de
Barcelona, por el volumen elevado de
personal, actividades organizativas y
logísticas, número de proveedores e
interlocutores, e información sensible del
cliente a la hora de garantizar la
ciberseguridad de forma integral a todos
los activos que lo conforman.
• Un puerto inteligente tiene los
mismos desafíos tecnológicos de
una pequeña ciudad inteligente:
gestión de los servicios y territorio
como logística, energía, etc; gestión
de las personas: trabajadores,
ciudadanos, turistas; gestión con
diversos organismos públicos
(aduanas, Policía Portuaria, etc.),
gestión con las organizaciones
privadas que disponen de
concesiones en el puerto, etc.
• Además, el Smart Port se
encuentra en continuo crecimiento
tecnológico, por lo que el desarrollo
de todos estos proyectos implica el
aumento de posibles amenazas
externas y puntos de vulnerabilidad,
por lo que la ciberseguridad del
entorno tiene que crecer al mismo
nivel que la innovación tecnológica
del mismo.
La diversidad de proveedores, ya que el
6
Propiedad Penteo. Prohibido su reproducción y venta. Noviembre 2017
Hasta 200 empleados del puerto han
participado de forma voluntaria en todas las
actividades de formación propuestas
IT Management - Gestión de la ciberseguridad en el Port de Barcelona
puerto es un organismo público con la
obligación de no concentrar los proyectos
con un mismo proveedor, por lo que la
variedad es, normalmente, superior a la de
una organización privada.
Coordinación de múltiples agentes
externos como CCN-CERT y CNPIC, ya
que en caso de haber una incidencia están
obligados legalmente a reportar toda la
información relacionada a los ataques a
estos organismos.
Tras un año desde el inicio de la colaboración y
con la OTS ya desplegada, se pueden identificar
diversos factores clave que han ayudado a la
correcta implantación y posterior explotación de
los servicios acordados. Entre ellos destacan:
La experiencia previa del proveedor en
la implantación de servicios para la
definición de un Plan de Ciberseguridad
integral.
La adquisición de una herramienta
innovadora SIEM (Security Information
and Event Management) por parte de
Ackcent que usa para dar servicio en el
Port de Barcelona con el fin de tener la
visión en tiempo real de toda la actividad
de los sistemas del puerto y permitir una
correcta detección, priorización y gestión
de los incidentes.
La satisfacción del cliente con una
relación muy cercana desde el proceso
comercial que ha permitido alinear
correctamente las necesidades del puerto
con la propuesta presentada.
La implicación de todos los actores
implicados en el puerto, desde las áreas
de management hasta los proveedores
externos que trabajan en el puerto.
Sensibilización y formación de usuarios
como elemento esencial de la estrategia
global de ciberseguridad.
La creación de la Oficina Técnica de Seguridad
TIC (OTS) ha contribuido a una serie de mejoras
y beneficios relacionados con la seguridad y la
gestión de los servicios del Port de Barcelona.
El establecimiento de un Plan de
Ciberseguridad alineado con la estrategia
global del Port para los próximos 5 años,
incorporando una serie de nuevas
Beneficios obtenidos
7
Propiedad Penteo. Prohibido su reproducción y venta. Noviembre 2017
Factores clave de éxito
“El Port como operador crítico requiere
ir más allá en ciberseguridad con
planes de protección específicos para
la continuidad de las actividades
portuarias”. Mingo Olmos, Chief
Sales Officer de Ackcent
IT Management - Gestión de la ciberseguridad en el Port de Barcelona
normativas y políticas de seguridad que
mitigan el riesgo de amenazas externas y
mejoran la seguridad de los
procedimientos y entornos IT.
La mejora de la seguridad en los
sistemas y aplicaciones informáticas
gracias al ejercicio del assesment inicial y
los planes de remediación.
Soporte en materia de ciberseguridad
para los nuevos desarrollos o evolución
de la infraestructura y aplicaciones de
los diversos proveedores en el área IT, y así
evitar errores que puedan abrir brechas de
ciberseguridad.
Mayor grado de sensibilización de los
trabajadores en materia de
ciberseguridad gracias a un gran trabajo
de formación, simulacros y dinámicas en
los que se han visto involucrados un alto
porcentaje de empleados de la compañía.
Gestión completa e ininterrumpida de la
seguridad del Port de Barcelona a través
del Centro de Operaciones de Seguridad
(SOC) 24x7 de Ackcent, no solo para dar
soporte a la detección y tratamiento de
incidentes de una manera reactiva, sino
también proactiva, mediante el análisis y
monitorización continua de sus activos
para la anticipación a posibles incidentes.
Gestión de las políticas y normativas de
seguridad definidas, además de la
coordinación con los diversos agentes
externos con los que tiene que
relacionarse el puerto en aspectos de
ciberseguridad.
La ciberseguridad en las organizaciones
se ha de desplegar desde un punto de
vista integral. Sería un error pensar en un
entorno descentralizado en el que se
securice cada activo (sistema, aplicación,
entorno, etc.) por separado.
Conclusiones
Es conveniente establecer una Oficina
Técnica de Seguridad (OTS) que nos
ayude a definir una estrategia, una
organización y un gobierno de la
seguridad. El dimensionamiento de la
OTS dependerá del tamaño de nuestra
organización, pero tiene que ser liderada,
al menos, por una persona para que se
cumpla con sus objetivos.
Es necesario realizar con frecuencia
assesments y auditorías que nos
indiquen los niveles de seguridad en
nuestra organización y nos hagan
conscientes sobre los riesgos que
estamos tomando.
Una elevada proporción de los ataques
provienen de brechas causadas por los
empleados, por lo que hay que
concienciar a la compañía sobre los
riesgos que implican ciertos
comportamientos de nuestro día a día.
La sensibilización requiere una buena
estrategia de comunicación (por
ejemplo, un simulacro de phising) para
captar la atención e interés de los
usuarios.
El papel que juega la ciberseguridad en
la transformación digital es esencial, ya
que el crecimiento tecnológico tiene
que ir alineado con el crecimiento en
seguridad, y así garantizar el correcto
funcionamiento de los nuevos servicios y
activos digitalizados que incorporemos
en nuestra organización.
La ciberseguridad es una práctica en
continuo cambio porque todos los días
aparecen nuevos ataques diferentes a los
anteriores, nuevos retos, nuevas
soluciones e incluso nuevos
requerimientos legales. Por ello el
modelo propuesto en este proyecto de
dividir el servicio en servicios
recurrentes y proyectos bajo demanda
se considera como una buena práctica.
8
Propiedad Penteo. Prohibido su reproducción y venta. Noviembre 2017
“La creación de la OTS nos ha
ayudado a pasar de simplemente
reaccionar ante los incidentes de
seguridad a prevenirlos”. Cristian
Medrano, Responsable OTS en El
Port de Barcelona
IT Management - Gestión de la ciberseguridad en el Port de Barcelona
Tu asesor TIC de confianza
que te proporciona el conocimiento y el apoyo
experto e independiente
Propiedad Penteo.
Esta publicación no puede ser reproducida sin permiso expreso de Penteo. La información que contiene este
informe se ha obtenido de fuentes consideradas fiables. Penteo no se responsabiliza de posibles errores, omisiones
o inexactitudes que pueda contener este informe, así como del uso que pueda hacerse de las recomendaciones u
opiniones que contiene. El contenido del informe está sujeto a cambios sin preaviso.
Penteo es el analista TIC independiente que lidera la mayor Comunidad de Conocimiento TIC de España, y
ofrece un servicio especialmente diseñado para Directivos con influencia o responsabilidad en las
decisiones TIC-Negocio, ayudándoles a garantizar el acierto de sus decisiones, compartiendo
conocimiento, asesorándoles y facilitándoles hacer networking. Y para proveedores TI, Penteo aporta
información del mercado sobre tendencias y posicionamientos, y proporciona apoyo experto con el que
maximizar el éxito en sus estrategias.
Desde hace más de 20 años damos servicio a más de 200 compañías e instituciones de primer nivel del
mercado español. Un servicio con el que minimizar riesgo, tiempo y coste, y extraer de las TICS y las
Tecnologías Digitales el máximo valor para el negocio.
Sobre Penteo
Nuestro valor diferencial
9
Propiedad Penteo. Prohibido su reproducción y venta. Noviembre 2017