Nos movemos en un contexto donde la certidumbre es un valor ansiado en sector empresarial. Recientes acontecimientos históricos ya nos remiten a que estamos continuamente expuestos a acontecimientos disruptivos que pocos años atrás no se daban. Si nos adentramos en el sector logístico las afectaciones se multiplican por efecto de la Incorporación de nuevas tecnologías IT-OT que por un lado nos permiten optimizar la gestión y control de la mercancía y de las flotas, pero por otro nos exponen a exposiciones de tipo “Cyber” que nos pueden comportar incidencia s y verdaderas interrupciones en la “Supply-Chain”.
Son relativamente recientes -2017- las afectaciones de ataques “wannacry” y “petia “ que afectaron a empresas como Fedex, Deutsche Bahn (ferroviario Alemania), o naviera Maersk, ampliamente relatada en los medios de comunicación en los que se vieron afectados los sistemas de control y maniobra automatizados (afectaciones en la ETAS digitales, retrasos en la llegada a puerto destino de diferentes buques..., pero también en 2018 sobre MUSK, y Sobre la Terminal de container de COSCO en Long Beach que causaron serias consecuencias en la operativa de la misma... Más recientemente en este mismo mayo 2019 hemos tenido constancia sobre la pérdida de control tanto del buque Viking-Sky en Noruega como de sus 2 motores de propulsión , todavía sobre investigación si la causa fue un ataque cyber sobre la compañía y sus activos.
Pero vayamos más allá y veamos otras-- algunas recientes-- afectaciones ; Imaginemos un ataque sobre el “device” y/o el “sistema transmisor digital” correspondiente que emite la temperatura interior de un container en mercancía refrigerada: la temperatura recibida y leída en central (centro de control) podría ser de 0ºc mientras la real 22ºC . El resultado en una transporte internacional (ya sea en terrestre o bien en container marítimo Reefer ) será que la mercancía llegará a destino deteriorada con las consiguientes indemnizaciones que nos reclamara cliente , aparte de la posibilidad de deshomologarnos como flotista en GDP si lo que transportamos –por ejemplo--son medicamentos a temperatura controlada.
Otro caso con consecuencias para la integridad de las personas sería aquel en que la entidad gestora de autopistas –fruto de ataque a su sistema (sensores de temperatura , transmisión digital, y paneles comunicación en ruta) de comunicación a los usuarios de la mismas (supongamos a un tráiler) no expone -cuando realmente hay helada—el propio rotulo “Riesgo de helada; conduzca con precaución”, pues en el centro de control recibimos una temperatura de 10 ªC en vez de al real del exterior que es de 0ªC, y el algoritmo hace que surja la información referenciada. Las consecuencias pueden ser nefastas para el tráiler que no ajusta la velocidad en tales circunstancias de helada en ruta.
Otro caso sería el cyberataque sobre el dispositivo emisor de gps; que comporta una alteración de la ubicación geográfica física real sobre la que recibe en el centro de control. La Consecuencia es que el Jefe de Trafico puede llegar a quedarse sin el control digital de la flota, y por consiguiente teniendo que recurrir a la comunicación directa con los choferes para dar instrucciones a los mismos. Como soluciones preventivas, y aunque las soluciones deberán diseñarse a medida de la arquitectura informática a proteger; disponemos de un buen decálogo de buenas prácticas como son: -cyber walls, -Antivirus –Antiransomware -Anti DDOS (contra ataque consiste en denegación de accesos), “Redundancias (de “assests TI”, y de telecomunicaciones ), seguimiento de normas IEC 62443, ISo27001, Servicios SOC especializados en avance de potenciales ataques... Pero una vez disponemos implementadas dichas medidas preventivas; soluciones buenas para hoy a las 12,03h no lo serán para mañana (u hoy mismo a las 15.05h)... por lo que es de vital importancia—para cada a uno de los escenarios de crisis, o hipótesis de caída de sistema-- disponer de los planes de contingencia adecuados. Serán de vital importancia en el mismo cuando se declara la contingencia, quien toma el mando supremo de la misma (cambio en organigrama hasta que se recupere la normalidad), el sistema de comunicaciones que estableceremos, las persones intervinientes durante el mismo, comité de crisis, etc.
Para llegar a todo ello la empresa deberá disponer de un programa de sensibilización de acontecimientos disruptivos, formación... programa de valuación de riesgos, mapa de riesgos, priorizar los mismos... definir los planes contingencia, y de –vital importancia—realizar simulaciones de situaciones de crisis. Esto nos convertirá en una empresa resiliente que tendrá un “Recovery time” óptimo para que la afectación al cliente y al funcionamiento de la empresa sea mínima. Solo de esta manera conseguiremos la certidumbre que el usuario y cliente logístico desea; que es el aseguramiento de que la mercancía llegará tal como salió de origen; en óptimas condiciones fisicoquímicas, en lugar prescrito y en el día y hora pactado.
Miguel Ángel Estruga Camacho
Ingeniero Industrial & Consultor Sénior en Maastricht Consultants
Coordinador Grupo de Trabajo Business Continuity de Colegio Ingenieros Industriales de Catalunya