Confidencialidad de la EPIP, el PPIP y la Matriz MAAR: cómo evitar incumplimientos PBIP/ISPS y reducir el riesgo (enfoque ISO 31000)

Si usted es OPIP, ya lo sabe: una fuga de información de protección no es un “problema documental”. Es un riesgo operativo que puede terminar en hallazgos en auditoría PBIP, pérdida de control de medidas, y peor aún: información crítica en manos de delincuencia organizada para facilitar intrusión, contaminación de carga, sabotaje u otras amenazas.

Este artículo le entrega un marco práctico para mantener la confidencialidad de la Evaluación de Protección de la Instalación Portuaria (EPIP), el Plan de Protección de la Instalación Portuaria (PPIP) y la Matriz de Riesgos/MAAR, con fundamento en el Código PBIP/ISPS y la lógica de ISO 31000 (tratamiento del riesgo).

¿El Código PBIP/ISPS exige “protección especial” para la EPIP y el PPIP?

Sí. El Código PBIP/ISPS establece la obligación de evitar el acceso no autorizado y la divulgación no autorizada de material confidencial de protección asociado a evaluaciones y planes. En términos operativos, esto significa que la EPIP, el PPIP y los anexos que permitan inferir vulnerabilidades y medidas deben ser tratados como información sensible.

Norma PBIP/ISPS que sustenta la confidencialidad

• Parte A – 4.1 (Responsabilidades del Gobierno Contratante): asegurar medidas para evitar divulgación/acceso no autorizado de material confidencial sobre evaluaciones y planes (buques e instalaciones portuarias).
• Parte A – 16.7: el plan se protegerá contra acceso o divulgación no autorizados.
• Parte A – 16.8.6: el PPIP debe incluir procedimientos y prácticas para salvaguardar información confidencial en papel o formato electrónico.
• Aprobación del PPIP: en todas las etapas se deben tomar medidas oportunas para garantizar la confidencialidad del contenido del plan.

¿Por qué la Matriz MAAR también queda clasificada?

La matriz (incluida la MAAR u otras matrices de riesgo) suele ser parte integral de la EPIP o su insumo directo. Por lo tanto, su divulgación puede aumentar el riesgo, porque revela información “explotable” por adversarios.

Qué suele revelar una matriz de riesgos “operacional”

• Puntos débiles del perímetro y zonas de menor control.
• Fallas o limitaciones de control de acceso (peatonal/vehicular/carga).
• Capacidades de respuesta limitadas (tiempos, personal, cobertura CCTV, redundancia).
• Escenarios críticos y “ventanas” para intrusión o manipulación de carga.
• Medidas compensatorias (y cuándo se activan), lo cual permite planear evasiones.

En consecuencia, divulgar la MAAR puede facilitar la materialización de amenazas (p. ej. intrusión, contaminación de carga, sabotaje, terrorismo), al reducir la incertidumbre del agresor sobre vulnerabilidades y controles.

El “por qué” desde ISO 31000: confidencialidad como tratamiento del riesgo

ISO 31000 no es una norma “de seguridad” sino de gestión del riesgo. Aun así, su lógica encaja perfectamente: cuando usted analiza y evalúa riesgos, debe implementar opciones de tratamiento para modificar el riesgo. En protección, la gestión de la información es un tratamiento crítico.

Cómo lo explica ISO 31000 en términos prácticos

1. Tratamiento del riesgo: si un documento contiene vulnerabilidades, mantenerlo bajo control reduce la probabilidad de que un adversario lo explote (baja la exposición y puede reducir el riesgo residual).
2. Mejor información disponible: el análisis debe basarse en información de calidad. Si la EPIP/PPIP se filtra, se crea un riesgo secundario: el adversario obtiene información superior para planear ataques.
3. Comunicación y consulta (selectiva): ISO 31000 promueve comunicar y consultar, pero no obliga a divulgar información sensible. En riesgos deliberados (amenazas intencionales), se aplica el principio need-to-know.
4. Registro y reporte: usted puede reportar a dirección con una versión sanitizada (sin datos explotables) y mantener la versión completa con acceso restringido.

Controles mínimos que un OPIP puede implementar hoy (checklist)

La auditoría no se gana con “poner confidencial” en la portada. Se gana con controles efectivos y evidenciables: permisos, trazabilidad, custodia y disciplina en transmisión.

Checklist operativo de confidencialidad (EPIP/PPIP/MAAR)

• Clasificación: marcar carátula y pie de página (ej. “CONFIDENCIAL – PBIP/ISPS”).
• Necesidad de Conocer: lista nominal/por rol de quién accede (y por qué).
• Control de copias: copias numeradas, registro de entrega, prohibición de reproducción sin autorización.
• Control de versiones: versión vigente, control de cambios, retiro de obsoletos.
• Custodia física: archivo bajo llave; control de llaves; restricción de salas/armarios.
• Custodia digital: repositorio con permisos, autenticación multifactor (MFA), cifrado, bloqueo de impresión/descarga si aplica.
• Transmisión segura: evitar adjuntos en canales no controlados; usar enlaces con caducidad y contraseñas por canal separado.
• Proveedores/OPR: Acuerdo de confidencialidad/cláusulas, alcance, prohibición de copias, devolución al finalizar.
• Retención y destrucción: plazos definidos; destrucción segura con registro.
• Conciencia del personal: inducción breve y periódica: “qué se puede compartir y qué no”.

Tabla práctica: clasificación recomendada de documentos de protección

Errores típicos que terminan en hallazgos PBIP

Fallas frecuentes

• Enviar el PPIP/EPIP por correo/WhatsApp sin cifrado ni control de reenvío.
• Imprimir anexos operacionales sin control de copias y dejarlos en oficinas compartidas.
• Guardar versiones en computadores personales sin permisos, sin cifrado o sin MFA.
• No retirar copias obsoletas tras una actualización del PPIP.
• Entregar matrices completas a comités amplios cuando basta un resumen sanitizado.

Cómo corregirlos (acciones inmediatas)

• Implementar un repositorio único controlado (permisos/MFA) y retirar copias dispersas.
• Crear un “paquete sanitizado” para dirección (sin ubicaciones, ni brechas, ni anexos técnicos).
• Establecer procedimiento de transmisión segura y prohibición de canales no controlados.
• Numerar copias físicas, registrar entrega, y asegurar destrucción de obsoletos.

Guía ASI Ltda.: el plan del OPIP para pasar auditorías y reducir el riesgo

En ASI Ltda. convertimos esta obligación en un plan ejecutable: clasificación → control de acceso → custodia → transmisión → versiones → destrucción. Esto alinea PBIP/ISPS con el enfoque de ISO 31000: tratamiento del riesgo y mejora continua.

Preguntas frecuentes (FAQ)

¿El PPIP puede compartirse con todo el personal de la instalación?

No en su versión completa. El principio práctico es need-to-know. El personal recibe procedimientos aplicables a su rol, pero no necesariamente anexos ni detalles explotables.

¿Puedo entregar la EPIP completa a un comité amplio de seguridad o calidad?

Lo recomendable es entregar un resumen sanitizado (riesgos por categorías y decisiones), manteniendo la EPIP completa bajo acceso restringido.

¿Qué evidencia suele pedir una auditoría PBIP sobre confidencialidad?

Típicamente: clasificación, control de copias, control de versiones, permisos de acceso, procedimientos de salvaguarda, registros de entrega/devolución y trazabilidad de cambios.

¿La matriz de riesgos “siempre” es confidencial?

La matriz operacional que revela vulnerabilidades, brechas y medidas concretas debe ser tratada como confidencial. Puede existir una versión ejecutiva “sanitizada”.

Cierre: el estándar es claro

Para el OPIP, la confidencialidad de EPIP/PPIP/MAAR no es un requisito “de archivo”: es un control de protección. Aplicado con disciplina, evita hallazgos PBIP, reduce el riesgo residual y protege la operación portuaria.

Próximo paso: Inscribirse al Curso OMI 3.21 (OPIP)