CTPAT, Customs Trade Partnership Against Terrorism

CTPAT es un programa de seguridad voluntario creado por la Aduana y Protección Fronteriza de los Estados Unidos (CBP) para mejorar la seguridad de la cadena de suministro internacional. El programa se enfoca en mejorar la seguridad en la cadena de suministro internacional mediante la cooperación entre las empresas y el gobierno.

Las empresas mexicanas que exportan a los Estados Unidos pueden beneficiarse de la certificación CTPAT. Entre los beneficios que una empresa puede recibir al cumplir con los requisitos del CTPAT se encuentran:

• Tiempos de espera más cortos en la frontera.
• Facilita la internacionalización de la empresa.
• Posible exención de los exámenes estratificados.
• Asignación de un especialista en seguridad de la cadena de suministro.
• Acceso a los materiales informativos del sitio web de CTPAT.

De acuerdo con el portal del CTPAT, las empresas que deseen obtener la certificación CTPAT en la modalidad Manufacturera Extranjera deben de cumplir con los siguientes requisitos:

1. Ser una Planta Manufacturera incorporada en México o Canadá.
2. Contar con un Número de Identificación de Empresa Manufacturera o Manufacturer Identification (MID) Number.
3. Designar a una persona de la compañía como “Oficial” quien será el principal responsable del programa CTPAT.
4. Comprometerse a mantener los criterios de seguridad de la cadena de suministros establecidos por CTPAT.
5. Proveer a CBP con un Perfil de Seguridad, en el cual se señale cómo la empresa cumple, mantiene y mejora sus políticas internas para alcanzar los criterios de seguridad.

Es importante mencionar que el programa CTPAT es totalmente voluntario y no requiere ningún costo, aunque generalmente las empresas mexicanas acuden a los servicios de un especialista externo que los guíe en el proceso de certificación.

Todo el proceso de certificación se lleva a cabo en línea a través del Portal de CTPAT, en donde se envía la solicitud al proveer sobre la información solicitada, así como el perfil de seguridad. La autoridad contará con 90 días para otorgar el estatus de “certificado” o rechazar la solicitud.

Para obtener la certificación CTPAT, se requiere que las empresas implementen controles de seguridad en su cadena logística. Los controles de seguridad incluyen medidas físicas, procedimientos y controles administrativos para proteger contra el riesgo de terrorismo y otros riesgos relacionados con la seguridad.

Cada miembro del CTPAT es responsable de establecer su propio sistema de grado de riesgo de seguridad basada en su modelo comercial. Los negocios utilizan varias metodologías para evaluar riesgos dentro de sus cadenas de suministro internacionales. Entre los criterios mínimos de seguridad se encuentran la seguridad de instrumentos de tráfico internacional, seguridad procesal, seguridad física, controles de acceso físico, seguridad de personal, capacitación de seguridad y conocimiento de amenazas y seguridad de tecnología informática.

CTPAT especifica 12 criterios agrupados en 3 áreas de enfoque, cada criterio cuenta a su vez con varios requerimientos específicos:

Primera área de enfoque: La seguridad empresarial

1. La visión de la seguridad y la responsabilidad

2. La evaluación del riesgo
3.  Socios comerciales

4. La ciberseguridad

Segunda área de enfoque: Seguridad del transporte

5. La seguridad de los medios de transporte y los Instrumentos de Tráfico Internacional
6. La seguridad del sellado
7. La seguridad de los procedimientos

8. La seguridad agrícola

Tercera área de enfoque: La seguridad física y de las personas

9. La seguridad física
10. Los controles del acceso físico
11. La seguridad del personal

12. La educación, la formación y la concientización

CTPAT considera la ciberseguridad primordial para salvaguardar los activos más preciados de la empresa y la define de la siguiente manera:

La ciberseguridad es la actividad o proceso que se enfoca en proteger las computadoras, las redes, los programas y los datos del acceso, el cambio y la destrucción no deseados o no autorizados. Es el proceso de identificar, analizar, evaluar y comunicar un riesgo cibernético y aceptarlo, evitarlo, traspasarlo o mitigarlo a un nivel aceptable, tomando en consideración los costos y beneficios involucrados.

Profundizando en esta disciplina, le asigna 13 criterios específicos:

    4.1 Políticas y procedimientos completos de ciberseguridad por escrito
    4.2 Protección suficiente de software y hardware
    4.3 Pruebas periódicas de la infraestructura de TI
    4.4 Políticas claras sobre la notificación de amenazas
    4.5 Identificar y actuar sobre el acceso no autorizado a TI
    4.6 Revisión anual de ciberseguridad
    4.7 Restricciones basadas en la descripción del trabajo y los deberes
    4.8 Cuentas asignadas individualmente para el acceso al sistema de TI
    4.9 Acceso remoto seguro
    4.10 Cumplimiento de la ciberseguridad de dispositivos personales
    4.11 Prevención de productos de tecnología falsificada
    4.12 Copia de seguridad periódica de los datos

    4.13 Protección de información confidencial de importación/exportación

Si tu empresa necesita certificarse en CTPAT es recomendable apoyarse con una empresa con consultores experimentados en el proceso de certificación. Puedes obtener más información en los siguientes enlaces:

• CTPAT - Minimum Security Criteria - Foreign Manufacturers (cbp.gov)
• Cursos CTPAT 2023, OEA, BASC e ISO 28 000 - SIL Consultores
• 13 Cybersecurity Requirements for CTPAT Compliance — Veroot (verootctpat.com)