República de Colombia

Plan Sectorial de Protección y Defensa para la Infraestructura Crítica

Cibernética de Colombia – Sector TIC
PSPICCN V 1.0
Año 2018

“Las personas deberían estar familiarizadas con la estrategia,

aquellos que la entienden sobrevivirán, aquellos que no perecerán.”.
Sun Tzu
 Tabla de Contenido

RESUMEN .......................................................................................................................................................... 5
INTRODUCCIÓN ................................................................................................................................................ 6
CAPÍTULO I: GENERALIDADES ....................................................................................................................... 7
Alcance.............................................................................................................................................. 7
Objetivo general y específicos........................................................................................................... 7
1.2.1. Objetivo General ....................................................................................................................... 7
1.2.2. Objetivos Específicos ............................................................................................................... 7
Misión/Visión ..................................................................................................................................... 7
Referentes ......................................................................................................................................... 8
Marco Legal....................................................................................................................................... 8
Aprobación y clasificación ................................................................................................................. 8
Revisión y actualización .................................................................................................................... 8
CAPÍTULO II: SERVICIOS ESENCIALES E INTERDEPENDENCIAS ............................................................... 9
Servicios esenciales .......................................................................................................................... 9
Interdependencias sectoriales ......................................................................................................... 13
CAPÍTULO III: AMENAZAS, RIESGOS, VULNERABILIDADES E IMPACTO CIBERNÉTICO SECTORIAL ... 16
Amenazas de tecnologías de operación -TI- asociadas al sector TIC: ........................................... 16
Amenazas de tecnologías de la operación -TO- asociadas al sector TIC: ...................................... 17
Riesgos de tecnologías de la Información -TI- asociadas al sector TIC.......................................... 17
Riesgos de tecnologías de la operación -TO- asociadas al sector TIC ........................................... 18
Vulnerabilidades Cibernéticas TI asociadas al sector TIC. ............................................................. 19
Vulnerabilidades en tecnologías de la operación -TO- asociadas al sector TIC: ............................ 19
Gestión de incidentes ...................................................................................................................... 20
Gestión de Riesgos ......................................................................................................................... 22
Metodología de la ventana de AREM .............................................................................................. 22
CAPITULO IV. ESTRUCTURA SECTORIAL DE PROTECCIÓN Y DEFENSA DE INFRAESTRUCTURA
CRITICA CIBERNÉTICA – SECTOR TIC ......................................................................................................... 25
Directorio ......................................................................................................................................... 25
CAPITULO V. PLANEACIÓN ESTRATÉGICA SECTORIAL PARA LA PROTECCIÓN DE LA ICC ................ 26
Líneas Estratégicas, Acciones y Métricas ....................................................................................... 26
Estrategias de Comunicación y Divulgación ...................................... Error! Bookmark not defined.
CAPITULO VI. MONITOREO Y MEJORA CONTINUA .................................................................................... 27
Monitoreo ........................................................................................................................................ 27
Mejora Continua .............................................................................................................................. 27
GLOSARIO ....................................................................................................................................................... 28

3
CONCLUSIONES ............................................................................................................................................. 30
RECOMENDACIONES ..................................................................................................................................... 30
AGRADECIMIENTOS ....................................................................................................................................... 30

4
 RESUMEN

Este documento es el plan estratégico del sector Tecnologías de la Información y las Comunicaciones -TIC-,
para la protección y defensa de su infraestructura critica cibernética, el cual se encuentra alineado con el marco
regulatorio y normativo vigente.

Dado que las comunicaciones han permitido mejorar la calidad de vida de las personas en el mundo, gracias a
la automatización de los procesos de las organizaciones a través de los sistemas de información y las redes
computacionales, es importante contar con un plan que permita la protección y defensa frente a los riesgos,
ataques e incidentes de seguridad digital que se puedan materializar y que puedan afectar la prestación de
servicios esenciales del sector TIC por parte de organizaciones públicas y privadas del país, estableciendo
lineamientos y directrices generales para el manejo de las infraestructuras criticas cibernéticas de forma
coordinada, articulada y colaborativa.

Palabras clave: Riesgos, amenazas, vulnerabilidades, ataques, incidentes, Infraestructuras Críticas

Cibernéticas Nacionales -ICCN-, resiliencia, protocolo, sector TIC.

5
 INTRODUCCIÓN

La globalización de las Tecnologías de la Información y las Comunicaciones -TIC-, así, como su dependencia
en la actualidad, se ha convertido en el soporte vital para el desarrollo de la Economía Digital, siendo justamente
la infraestructura tecnológica la que soporta las operaciones de los servicios que se prestan a través de los
canales digitales dispuesto para tal fin.

El Gobierno de Colombia es consciente de la importancia tan relevante que tienen las instalaciones, las redes,
los servicios, los sistemas de información, las redes de información y la infraestructura tecnológica, dado que
son vitales para asegurar la estabilidad, la eficiencia de la economía y el comercio a nivel nacional e
internacional, y son vitales para el desarrollo de la vida social, cultural y política. Las infraestructuras críticas
cibernéticas -ICC- del sector TIC también soportan servicios esenciales de las organizaciones y son críticas
para la nación.

Las infraestructuras criticas cibernéticas del sector TIC cuentan con interdependencias vitales, entre ellas, que
garantizan la operación y prestación de los servicios esenciales y permiten el funcionamiento adecuado de las
infraestructuras de información y comunicaciones del sector TIC.

Por lo anterior, a través del Comando Conjunto de Operaciones Cibernéticas de Colombia -CCOC-, el Ministerio
de Defensa Nacional -MDN- desarrolló el Plan Sectorial de Protección y Defensa para la Infraestructura Crítica
Cibernética de Colombia. Para el caso del Sector TIC, el Ministerio de Tecnologías de Información y las
Comunicaciones -MinTIC- ha liderado la construcción de su plan sectorial, contando con la experiencia de cada
entidad y organización que hacen parte de la mesa que se conformó para tal fin.

6
 CAPÍTULO I: GENERALIDADES

Alcance

El plan sectorial está enfocado en aunar esfuerzos para el diseño de la estrategia de protección y defensa de
la infraestructura crítica cibernética nacional del sector de Tecnologías de la Información y las Comunicaciones
-TIC1- que permita a las organizaciones privadas, públicas o mixtas que la operan y mantienen con el fin de
prestar servicios TIC esenciales.

Objetivo general y específicos

1.2.1. Objetivo General

Establecer los lineamientos para proteger y defender la infraestructura crítica cibernética nacional del sector
TIC para generar la capacidad de resiliencia cibernética de las organizaciones privadas, públicas o mixtas2 que
la operan y mantienen, minimizando el impacto sufrido ante un incidente de ciberseguridad nacional,
permitiendo la recuperación de los servicios esenciales en el menor tiempo posible.

1.2.2. Objetivos Específicos

 Proponer la caracterización, identificación y actualización de Infraestructuras Críticas Cibernéticas -ICC-

nacionales por parte de las organizaciones públicas, privadas o mixtas (siendo éstas, por ejemplo,
prestadores de redes y servicios de telecomunicaciones -PRST-, operadores postales, proveedores de
contenidos y aplicaciones, concesionarios, entre otros) que hacen parte del sector TIC.

 Verificar que los protocolos para el reporte e intercambio de información sobre eventos e incidentes de
seguridad digital en infraestructuras críticas cibernéticas nacionales del sector TIC se encuentren
actualizados.

 Evitar la duplicidad de reportes y proponer nuevos reportes de intercambio de información sobre eventos
e incidentes de seguridad digital en infraestructuras críticas cibernéticas nacionales del sector TIC, cuando
los mismos no se encuentren ya establecidos por las autoridades sectoriales competentes.

 Fomentar la adopción de buenas y mejores prácticas para la gestión de los riesgos de seguridad digital
en las organizaciones públicas, privadas o mixtas que hagan parte del sector TIC y que gestionen
infraestructuras criticas cibernéticas.

Misión/Visión

 Visión: El sector TIC establecerá una estrategia de protección y defensa de su infraestructura crítica
cibernética nacional, alineada con la Política Nacional de Seguridad Digital y con sinergias para los demás
sectores con infraestructura crítica cibernética, que permita la capacidad de resiliencia para la prestación
de los servicios TIC esenciales para la sociedad.

1Según el artículo 6 de la Ley 1341 de 2009, las Tecnologías de la Información y las Comunicaciones -TIC- son el conjunto de recursos,
herramientas, equipos, programas informáticos, aplicaciones, redes y medios, que permiten la compilación, procesamiento,
almacenamiento, transmisión de información como: voz, datos, texto, vídeo e imágenes.
2 Siendo éstas, por ejemplo, los prestadores de redes y servicios de telecomunicaciones -PRST-, los operadores postales, los

proveedores de contenidos y aplicaciones, concesionarios, entre otros.

7
 Misión: El sector TIC implementará medidas razonables de protección y defensa de los activos de
información relacionados con su infraestructura crítica cibernética nacional para asegurar las operaciones
normales de los servicios TIC esenciales para la sociedad.

Referentes

El plan de protección y defensa de infraestructura crítica cibernética nacional del sector TIC se basa en las
líneas de acción establecidas por los Documentos CONPES 3701 de 2011 y CONPES 3854 de 2016, así como
en la legislación, normatividad y regulación sectorial vigente.

Marco Legal

La infraestructura crítica cibernética nacional del sector TIC, se rige bajo el siguiente marco normativo:

 Ley 1341 de 2009 “por la cual se definen principios y conceptos sobre la sociedad de la información y
la organización de las Tecnologías de la Información y las Comunicaciones –TIC–, se crea la Agencia
Nacional de Espectro y se dictan otras disposiciones”
 Decreto Único Reglamentario 1078 de 2015 “por medio del cual se expide el Decreto Único
Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones”.
 Modelo Integrado de Planeación y Gestión vigente (MIPG)3
 Plan Nacional de Desarrollo vigente4
 Plan Nacional de Gestión de Riesgos5
 Resolución Compilatoria No. 5050 de 2016 de la Comisión de Regulación de Comunicaciones -CRC-6

Aprobación y clasificación

Las modificaciones a este plan serán aprobadas mediante mayoría simple por parte de las organizaciones
públicas, privadas o mixtas que operen infraestructuras criticas cibernéticas del sector TIC, y éstas serán
incorporadas por el MinTIC, en cabeza de su representante en la Mesa TIC establecida. La clasificación es
restringida.

Revisión y actualización

Este plan será revisado de forma anual o de forma extraordinaria si ocurre algún hecho que lo amerite.

3 El artículo 133 del Plan Nacional de Desarrollo 2014 - 2018, ordenó la integración del Sistema de Desarrollo Administrativo (1998) y el
Sistema de Gestión de la Calidad (2003) en uno solo: el Sistema de Gestión, el cual se debe articular con el Sistema de Control Interno
(2005). Para el nuevo Sistema de Gestión y su articulación con el de Control Interno, se actualiza el Modelo Integrado de Planeación y
Gestión, adoptado en 2012 mediante el Decreto 2482. http://www.funcionpublica.gov.co/web/mipg/inicio
4 El Plan Nacional de Desarrollo es el instrumento formal y legal por medio del cual se trazan los objetivos del Gobierno nacional

permitiendo la subsecuente evaluación de su gestión.

5 El Plan Nacional de Gestión de Riesgos establecido en la Ley 1523 de 2012 define los objetivos, programas, acciones, responsables

y presupuestos, mediante las cuales se ejecutan los procesos de conocimiento del riesgo, reducción del riesgo y manejo de desastres
en el marco de la planificación del desarrollo nacional.
6 La Resolución Compilatoria No. 5050 de 2016 de la CRC “Por la cual de compilan las Resoluciones de Carácter General vigentes

expedidas por la Comisión de Regulación Comunicaciones” está disponible en:

https://normograma.info/crc/docs/resolucion_crc_5050_2016.htm

8
 CAPÍTULO II: SERVICIOS ESENCIALES E INTERDEPENDENCIAS

Servicios esenciales

2.1.1. Servicio esencial

Se considera como servicio esencial al servicio necesario para el mantenimiento de las funciones sociales
básicas, la salud, la educación, la seguridad, el bienestar social y económico de una comunidad, o el eficaz
funcionamiento de las Instituciones del Estado y las Administraciones Públicas7.

Para proporcionar productos y servicios de TI de alta garantía para los sectores interesados, se identificaron
seis funciones necesarias para mantener o reconstituir redes (por ejemplo, Internet, redes locales y redes de
área amplia) y sus servicios asociados. Las funciones que son vitales para la prestación de los servicios
esenciales y la confianza del Estado. Estas funciones se distribuyen en una amplia red de infraestructura, se
administran de manera proactiva y, por lo tanto, pueden resistir y recuperarse rápidamente de la mayoría de
las amenazas.

Estas funciones del sector en cuanto a servicios de TI son proporcionadas por una combinación de entidades,
a menudo propietarios y operadores y sus respectivas asociaciones, que proporcionan hardware, software,
sistemas y servicios de TI. Los servicios de TI incluyen desarrollo, integración, operaciones, comunicaciones,
pruebas y seguridad.

2.1.1.1. Funciones del sector en cuanto a servicios de TI8

2.1.1.1.1. Suministra Productos y/o Servicios de TI

El sector lleva a cabo operaciones y servicios que se ocupan del diseño, desarrollo, distribución y
soporte de productos de TI (hardware y software) y servicios de soporte operativo que son esenciales
o críticos para garantizar la seguridad nacional y económica y la salud pública, la seguridad, y
confianza. Estos productos y servicios de hardware y software están limitados a aquellos. Es
necesario para mantener o reconstituir la red y sus servicios asociados.

2.1.1.1.2. Suministra Capacidades de Gestión de Incidentes

El sector desarrolla, proporciona y opera capacidades de gestión de incidentes para sí mismo y para
otros sectores que son esenciales o críticos para garantizar la seguridad nacional y económica y la
salud pública, la seguridad y la confianza.

2.1.1.1.3. Suministra servicios de nombres de dominio

El Sector proporciona y opera servicios de registro de dominio, dominio de nivel superior (TLD) /
infraestructuras de raíz y servicios de resolución que son esenciales o críticos para garantizar la
seguridad nacional y económica y la salud pública, la seguridad y la confianza.

2.1.1.1.4. Suministra servicios de gestión de identidades y/o confianza

El sector produce y proporciona tecnologías, servicios e infraestructura para garantizar la identidad,
autenticar y autorizar a las entidades y garantizar la confidencialidad, integridad y disponibilidad de
los dispositivos, servicios, datos y transacciones que son esenciales o críticos para la garantía de la
seguridad nacional. y seguridad económica y salud pública, seguridad y confianza.

2.1.1.1.5. Suministra servicios de gestión de contenidos, información y comunicaciones

7 Tomado de la Guía para la Identificación de Infraestructura Crítica Cibernética -ICC- de Colombia.

8
Tomado del plan específico del sector de tecnologías de información – 2016, Homeland Security.

9
 El sector produce y proporciona tecnologías, servicios e infraestructura que brindan contenidos clave,
información y capacidades de comunicación que son esenciales o fundamentales para garantizar la
seguridad nacional y económica y la salud pública, la seguridad y la confianza.

2.1.1.1.6. Suministra servicios de comunicaciones e interconectividad

El Sector (en estrecha colaboración con el Sector de Comunicaciones) proporciona y respalda
infraestructuras de red troncal de Internet, puntos de presencia, puntos de enlace, servicios de
acceso local y capacidades que son esenciales o fundamentales para garantizar la seguridad
nacional y económica y la salud pública, y confianza.

2.1.1.2. Funciones del sector en cuanto a servicios de Comunicaciones9

El sector TIC en cuanto a servicios de comunicaciones proporciona productos y servicios que respaldan el
funcionamiento eficiente de la sociedad global actual basada en la información. Muchos de estos productos y
servicios son fundamentales o necesarios para las operaciones y servicios proporcionados por otros sectores
de infraestructura crítica. El sector reconoce que otros sectores consideran que sus servicios son críticos, y sus
prácticas reflejan esta comprensión. La naturaleza de las redes de comunicación incluye tanto la infraestructura
física (edificios, conmutadores, torres, antenas, etc.) como la infraestructura cibernética (software de
enrutamiento y conmutación, sistemas de soporte operativo, aplicaciones de usuario, etc.), lo que representa
un desafío integral para abordar todo el problema físico. - Infraestructura cibernética. El resultado ha sido el
establecimiento de una infraestructura de red robusta y resistente que proporciona servicios a nivel mundial con
éxito.

Para el sector representa una gran cantidad de instalaciones y sitios que difieren según la función, el tamaño,
los principios operativos y los riesgos de seguridad. Las organizaciones que contribuyen a la planificación de
iniciativas para mantener las redes de comunicación del Estado lo suficientemente robustas para soportar
desastres naturales y provocados por el hombre, así como a los responsables de responder y restaurar esas
redes después del evento. Para tal fin se identificaron cinco segmentos en los cuales se pueden ver identificado
de forma global Sector en cuanto a la parte de comunicaciones.

A continuación, se proporciona una breve descripción de los cinco segmentos identificados mencionadas
anteriormente, de igual manera conteste SI o No si su empresa presta servicios dentro de alguno de los
siguientes segmentos:

2.1.1.2.1. Transmisión
Presta servicios de transmisión consisten en estaciones de radio y televisión (TV) gratuitas y por
suscripción, que ofrecen servicios de datos y servicios de datos de audio y video analógicos y
digitales. La radiodifusión ha sido el principal medio de brindar servicios de alerta de emergencia al
público durante seis décadas. Los sistemas de transmisión operan en tres bandas de frecuencia:
frecuencia media (MF (radio AM)), frecuencia muy alta (VHF (radio FM y TV)) y frecuencia ultra alta
(UHF (TV)). La transición completa a la televisión digital y la transición continua a la radio digital
brindan a las estaciones de transmisión capacidades mejoradas, incluida la capacidad de
multidifusión de múltiples programas en un solo canal. Las estaciones de radio y televisión también
transmiten contenido de transmisión y programación adicional a través de Internet.

2.1.1.2.2. Cable
Presta servicios de programación de video analógico y digital, servicio de telefonía digital y servicios
de banda ancha de alta velocidad. Los sistemas de cable utilizan una mezcla de fibra y cable coaxial

9
Tomado del plan específico del sector de comunicaciones – 2016, Homeland Security.

10
 para proporcionar rutas de señal bidireccionales al cliente. Esta arquitectura de red híbrida de fibra /
coaxial (HFC) segmenta efectivamente el sistema de cable en varias redes de distribución paralelas.
La arquitectura HFC es beneficiosa para los clientes comerciales y residenciales porque mejora el
rendimiento de la señal y aumenta el ancho de banda disponible y la confiabilidad general de la red.
Aunque los diseños de red varían, la arquitectura de HFC en cualquier comunidad en particular se
basa típicamente en una topología de tres niveles, que incluye una cabecera, uno o más centros de
distribución y múltiples nodos de fibra.

2.1.1.2.3. Satélite
Esta es una plataforma lanzada en órbita para transmitir señales de voz, video o datos como parte
de una red de telecomunicaciones. Las antenas de la estación terrena transmiten señales al satélite,
que se amplifican y se envían de vuelta a la Tierra para su recepción por parte de otras antenas de
estación terrena. Los satélites utilizan una combinación de componentes terrestres y espaciales para
realizar muchos tipos de funciones, como la transmisión bidireccional de servicios de voz, video y
datos; recopilación de datos; detección de eventos; sincronización; y la navegación.

2.1.1.2.4. Conexión Inalámbrica

Inalámbrico se refiere a la telecomunicación en la que las ondas electromagnéticas (en lugar de algún
tipo de cable) transportan la señal a través de una parte o la ruta de comunicación completa. Las
tecnologías inalámbricas consisten en teléfonos celulares, puntos de acceso inalámbrico (WiFi),
servicios de comunicación personal, radio de alta frecuencia, servicio inalámbrico sin licencia y otros
servicios de radio comerciales y privados para brindar servicios de comunicación.

2.1.1.2.5. Conexión por Cable

Consiste en redes de conmutación de circuitos y paquetes a través de medios de transporte de cobre,
fibra y coaxiales. Incluye datos privados de la empresa y redes de telefonía, el núcleo central de
Internet y la PSTN.

2.1.2. Servicios esenciales del sector TIC

A continuación, se presentan los servicios esenciales que se identificaron para el sector TIC, los cuales cumplen
los criterios horizontales de criticidad en las variables definidas en la Guía para la Identificación de
Infraestructura Crítica Cibernética -ICC- de Colombia,10 los cuales se presentan a continuación:

1. El impacto social: Valorado en función de la afectación de la población (incluyendo pérdida de vidas

humanas), el sufrimiento físico y la alteración de la vida cotidiana. Valorado en función de la población
total colombiana: 49.827.269 de habitantes. Fuente: DANE
2. El impacto económico: Valorado en función de la magnitud de las pérdidas económicas en relación
con el Producto Interno Bruto de Colombia (PIB). PIB: 377.739.622.866. Fuente: Banco Mundial.
3. Impacto medioambiental: Valorado en función de los años que tarda la recuperación del medio
ambiente.

Los siguientes son los valores mínimos definidos:

10 Según la Guía para la Identificación de Infraestructura Crítica Cibernética -ICC- de Colombia, las tres (3) variables para identificación
son 1) el impacto social, valorado en función de la afectación de la población (incluyendo pérdida de vidas humanas), el sufrimiento
físico y la alteración de la vida cotidiana (se estima como el 0,5% de la población total colombiana), 2) el impacto económico, valorado
en función de la magnitud de las pérdidas económicas en relación con el Producto Interno Bruto de Colombia -PIB- (se estima como el
PIB diario o el 0,123% del PIB Anual), y 3) el impacto medioambiental, valorado en función de los años que tarda la recuperación del
medio ambiente (se estima como 3 años)

11
 Impacto social 0,5 % Impacto económico PIB Impacto medioambiental
Población Nacional de un día ó 0.123% del
PIB Anual
250.000 personas 464.619.736,13 3 años

De acuerdo con lo mencionado anteriormente se identificaron los siguientes servicios como esenciales para el
sector clasificados de acuerdo con la normatividad vigente y se incluyen otros servicios.

a. Servicios prestados por prestadores de redes y servicios de telecomunicaciones, operadores postales o

proveedores de aplicaciones y contenidos: Estos servicios Incluyen los siguientes servicios de
comunicaciones de:

 Internet Fijo
 Internet Móvil
 Telefonía Móvil
 Telefonía Fija
 Servicios Postales
 Servicios de aplicaciones y contenidos por suscripción

b. Servicios prestados por operadores o concesionarios del servicio de televisión: Incluyen los siguientes
servicios de televisión:

 Televisión abierta nacional radiodifundida

 Televisión abierta regional
 Televisión abierta local con y sin ánimo de lucro
 Televisión cerrada por suscripción por cable
 Televisión cerrada por suscripción satelital
 Televisión cerrada por suscripción comunitaria

c. Otros servicios TIC:

 Servicios de Radiodifusión Sonora

 Proveedores de contenidos y aplicaciones en línea.
 Servicios de Tecnologías de Información: Incluye todos los servicios de TI asociados a la
conectividad, seguridad y puestos de trabajo que son prestados por las entidades públicas y
organizaciones mixtas o privadas del sector TIC.
 Servicios de resolución de nombres de Dominio: (Administrador de nombre de dominio del país,
registradores de nombres de dominios), proveedores de servicios DNS, que se encuentren bajo la
normatividad vigente (Resolución 284 de 2008 y Resolución 1652 De 2008)11
 Servicios de infraestructura y contenido en línea (Data Center, Hosting, Collocation, Nube, XaaS)
 Servicios de gestión de identidad y certificación/confianza
 Servicios de gestión de incidentes de seguridad de la información.
 Servicios de seguridad y privacidad

2.1.3. Interacción de las Tecnologías de la Información -TI- y las Tecnologías de Operación -TO- que
pueden influir en la prestación de servicios TIC esenciales.

11De acuerdo con el artículo 18, numeral 20 de la Ley 1341 de 2009 y el numeral 3.4 de la Resolución 001652 de 2008, el MinTIC pone
en conocimiento de la comunidad en general, la lista de dominios restringidos para el ccTLD .co"

12
  La interdependencia de las TI y las TO, son fundamentales para la prestación de servicios TIC
esenciales, teniendo en cuenta, por ejemplo, sistemas definidos como SCADA12.

 Dado que las comunicaciones, la conectividad e intercambio de información a nivel global se realiza
mediante el uso del Internet y a través de la misma Infraestructura Crítica de Información, la
dependencia con los sistemas de información y los servicios vinculados, así como el uso y
aprovechamiento de las tecnologías, son determinantes para soportar la efectiva prestación de
servicios TIC esenciales en los diferentes sectores del país.

 En cuanto al uso de las tecnologías críticas de sistemas de información, comunicación y control que
se utilizan en los procesos de protección de infraestructuras críticas cibernéticas nacionales por parte
de los sectores que las gestionan, se deben tener en cuenta y priorizar aquellos asociados con:

a. Los sistemas de control que permiten monitorear y controlan alguna parte o servicio (por ejemplo,
sistemas de control específicos en la producción, transporte y distribución de gas natural, red eléctrica,
entre otras), más aún si tenemos en cuenta que:

 Los múltiples operadores de aquellos sectores que estén catalogados como ICC pueden
requerir interconexión de sus sistemas críticos con diferentes operadores.
 Los fabricantes, las empresas de mantenimiento y los integradores de sistemas pueden
requerir acceso remoto las 24 horas al día / los 7 días a la semana, a los sistemas de control
y sistemas físicos controlados para optimizar sus procesos.

b. Prestación colaborativa de servicios críticos (por ejemplo, como sucede en los sistemas financieros y
logísticos en servicios como el SWIFT).

Interdependencias sectoriales

Relación de dependencia recíproca entre las organizaciones públicas, privadas o mixtas que gestionan
infraestructuras críticas cibernéticas en el sector TIC, y las demás organizaciones que integran otros sectores
económicos del país.

2.3.1. Interdependencias sectoriales del Sector TIC

 Dependencias propias (de entrada): Son servicios que un sector recibe de otros sectores.

A continuación, se presentan las dependencias con los sectores, los cuales nos proveen insumos para el
funcionamiento de la infraestructura tecnológica del sector TIC, como, por ejemplo, la energía, transporte de
insumos y para el mantenimiento de las redes de comunicaciones, suministro eléctrico, combustible para las
plantas de respaldo eléctrico, protección por parte de la fuerza pública en caso de conflicto.

Sectores Dependencias propias

Gobierno
Seguridad y defensa
TIC
Electricidad X
Financiero
Educación
Hidrocarburos, minas y gas X
Industria, Comercio y Turismo

12 SCADA, acrónimo de Supervisory Control And Data Acquisition (Supervisión, Control y Adquisición de Datos).

13
 Ambiente
Salud y protección social
Agua
Transporte
Agricultura y Alimentación
Fuente: Elaboración propia

 Dependencias ajenas (de salida): Servicios que se proporcionan a otros sectores.

En la siguiente tabla se muestran los servicios esenciales del sector TIC que proporcionan a los demás sectores.
Servicios de
Tecnologías
de
Información: Servicios de
Incluye resolución
todos los de nombres
servicios de de Dominio: Servicios de
Servicios Servicios
Servicios TI asociados (Administra infraestruct
prestados de gestión
de a la dor de ura y
por de
Servicios aplicacion conectividad nombre de contenido
Servicio operadores incidentes
Esenciales Interne Internet Telefoní Telefoní es y , seguridad y dominio del en línea
s o de
TIC por t Fijo Móvil a Móvil a Fija contenidos puestos de país, (Data
Postales concesionari seguridad
sector por trabajo que registradore Center,
os del de la
suscripció son s de Hosting,
servicio de informació
n prestados nombres de Colocation,
televisión n
por las dominios), Nube, XaaS)
entidades proveedores
públicas y de servicios
organizacion DNS
es mixtas o
privadas del
sector TIC
Gobierno X X X X X X X X X X X
Seguridad y
X X X X X X X X X X X
defensa
TIC X X X X X X X X X X X
Electricidad X X X X X X X X X X X
Financiero X X X X X X X X X X X
Educación X X X X X X X X X X X
Hidrocarburo
s, minas y X X X X X X X X X X X
gas
Industria,
Comercio y X X X X X X X X X X X
Turismo
Ambiente X X X X X X X X X X X
Salud y
protección X X X X X X X X X X X
social
Agua X X X X X X X X X X X
Transporte X X X X X X X X X X X
Agricultura y
X X X X X X X X X X X
Alimentación
Fuente: Elaboración propia

Por lo anterior, el sector TIC es transversal a todos los sectores económicos por soportar con su infraestructura
tecnológica las operaciones de los servicios que se prestan a través de los demás sectores, con dependencias
propias y ajenas, como se hace mención en el apartado anterior, las cuales pueden contar con un nivel de
importancia dependiendo de dónde se presten el o los servicios de cada entidad. A continuación, mostramos el
cuadro de interdependencias del sector TIC:
Hidrocarburo,

Alimentación
Agricultura y
minas y gas
Seguridad y

Electricidad

Comercio y

Transporte
protección
Financiero

Educación

Ambiente
Industria,
Gobierno

SECTOR
Turismo
defensa

Salud y

social

Agua
TIC

Gobierno
Seguridad y defensa
TIC
Electricidad
Financiero
Educación

14
Hidrocarburos, minas y gas
Industria, Comercio y Turismo
Ambiente
Salud y protección social
Agua
Transporte
Agricultura y Alimentación
Fuente: Elaboración propia

15
 CAPÍTULO III: AMENAZAS, RIESGOS, VULNERABILIDADES E IMPACTO CIBERNÉTICO SECTORIAL

El presente capitulo tiene como finalidad identificar las amenazas que pueden afectar las tecnologías de
información que aplican a las infraestructuras críticas cibernéticas nacionales que hacen parte del sector TIC,
mediante la metodología de la ventana de AREM13 proporcionada por el Comando Conjunto Cibernético -
CCOC- de las Fuerzas Militares de Colombia.

Para tal fin se presenta un listado de amenazas, como ejemplo, para que las organizaciones propendan por
mantener actualizado, teniendo en cuenta las características propias de sus sistemas de información, su
contexto de operación y su Sistema de Gestión de Seguridad de la Información -SGSI-, en caso de contar con
el mismo.

Los listados presentados a continuación son tomados de la Guía de infraestructura crítica cibernética -ICC- para
el sector estratégico de Tecnologías de la Información y las Comunicaciones, realizada como documento de
apoyo del Modelo de Gestión de Riesgos de Seguridad Digital del MinTIC en el año 2017.

Amenazas de tecnologías de operación -TI- asociadas al sector TIC:

Algunas de las amenazas sobre tecnologías de la información -TI- que pueden identificarse en infraestructuras
críticas cibernéticas nacionales que hacen parte del sector TIC, tomados de los estándares NIST 800-82 e ISO
27005:2011, se relacionan a continuación:

 Denegación de servicio dirigido o distribuido a grupos de direcciones IP o portales con información que
soporta varios clientes;
 Ataque a las aplicaciones (secundarias, transaccionales, de primera línea, centrales, de segunda línea,
interconexiones y aliados);
 Puertas traseras y malware instalado por defecto por fabricantes;
 Robo de credenciales, de cuentas de la entidad y de sus usuarios;
 Ataque a sistemas de pago y atención al cliente;
 Ataque a sistemas de control industrial, donde se incluyen comunicaciones inalámbricas o cableadas
por cualquier medio;
 Ataque remoto a sistemas de control industrial como resultado de mayor conectividad con protocolos
estándar, sistemas operativos estándar y gestión de sistemas legado;
 Acceso remoto a información sobre configuración, gestión, bases de datos y mantenimiento de
diferentes sistemas de control que son entregados y administrados por la entidad;
 Ataque en interfaces de programación de aplicaciones -API- y servicios en línea que proporcione el
servicio de comunicaciones como: facturación, cambio en servicios o planes;
 Ataque a teléfonos móviles e instalación de malware: SMS, llamadas, formularios falsos, robo de
información, aplicaciones móviles;
 Intercepción de comunicaciones de los usuarios finales del servicio de comunicaciones o Internet;
 Hacking de redes inalámbricas configuradas con protocolos débiles;
 Sitios proporcionados al cliente y comprometidos con malware hospedado;
 Ataque a equipos internos, acceso remoto para entrar a las interfaces de control humana -HMI- con
posibilidad de monitorear y cambiar los sistemas que proporcionan servicio al cliente y almacenan su
información;
 Generación de pagos con los recursos de la entidad;
 Robo de identidad;
 Robo de claves;

13 AREM (acrómimo de amenzas y riegos emergentes).

16
  Crimen como servicio;
 Mayor acceso a conocimiento técnico de sistemas para la prestación de los servicios de banda ancha,
móvil o fibra;
 Ataque a la nube (pública, privada, híbrida) proporcionada como servicio o adquirida por clientes
independientes;
 Protección de datos almacenados y gestionados en la nube;
 Fallos en nuevos productos de comunicaciones;
 Dependencia de marcas de tecnología extranjera o con enfoques diferentes;
 Phishing.

Amenazas de tecnologías de la operación -TO- asociadas al sector TIC:

Algunas de las amenazas sobre tecnologías de la operación -TO- que pueden identificarse en
infraestructuras críticas cibernéticas nacionales que hacen parte del sector TIC son los siguientes:

 Cambios organizacionales o en el sector;

 Protestas de trabajadores;
 Sistemas centrales desactualizados (inadaptados para la innovación digital y móvil);
 Fallo de los centros de control y proveedores de servicios de información;
 Fraude por uso indebido de permisos y aprovechamiento de vulnerabilidades técnicas y
procedimentales;
 Falta de evaluaciones de riesgos anuales;
 Automatización y dinamismo en análisis de datos, inteligencia artificial o robótica;
 Coexistencia y cooperación entre bases de datos, bodegas de datos, sistemas legados;
 Equipos de empleados y proveedores en la red interna Bring Your Own Device (BYOD);
 Ransomware, como víctima y como pasarela de pago hacia actividades criminales;
 Personal y contratistas sin capacitación técnica, habilidades y políticas;
 Combinación de tecnologías legadas complejas y tecnologías sofisticadas modernas que evolucionan
rápidamente;
 Riesgos de actividades subcontratadas, terceros aliados o cadenas de suministro (con acceso a
sistemas internos);
 Fallos en atracción, retención y desarrollo del talento;
 Tecnologías para el Internet de las cosas -IoT-, retos en privacidad y manejo de datos personales;
 Fenómenos naturales y del entorno:
o Rayos, inundaciones, terremotos que afecten la infraestructura tecnológica y de
comunicaciones, rupturas de cables submarinos, rupturas de fibra óptica por obras civil y
terrorismo, interferencia del espectro;
o Efectos del cambio climático que afecten la infraestructura y sistemas de control existentes.
 Efectos regulatorios y de cumplimiento:
o Incumplimiento normativo y regulatorio;
o Nueva o cambios en la regulación:
 Regulación local;
 Regulación internacional;
 Reguladores solicitando más información automatizada para buscar patrones.

Riesgos de tecnologías de la Información -TI- asociadas al sector TIC

Los riesgos sobre tecnologías de la información -TI- que pueden identificarse en infraestructuras críticas
cibernéticas nacionales que hacen parte del sector TIC son los siguientes:

17
 3.3.1. Falla en la definición de los requerimientos de desempeño y de tiempo para los elementos de red,
servidores o aplicaciones;
3.3.2. Falla en la identificación de requerimientos de disponibilidad por parte de los fabricantes y de la
entidad;
3.3.3. Ausencia de requerimientos de la gestión del riesgo, al no considerar la protección de la vida
humana y luego la del proceso;
3.3.4. Riesgos por efectos físicos: los elementos controlan el mundo físico de manera directa,
instalaciones adecuadas para proteger los activos de TI;
3.3.5. Afectación por errores en la operación del sistema: los cambios y parches realizados sin
supervisión, autorización o en ambiente de pruebas;
3.3.6. Posible limitante para ejecutar funciones de seguridad;
3.3.7. Uso de protocolos propietarios y estándares: uso de redes propias y dedicadas sin controles de
seguridad;
3.3.8. Posible falta de control de cambios que afecten la integridad del sistema de control que se
mantiene;
3.3.9. Posible degradación de los servicios esenciales por sistemas operativos no soportados por el
fabricante, falta de licenciamiento o versiones obsoletas de software;
3.3.10. Posible paro de la operación por dependencia de un único proveedor de servicios;
3.3.11. Falta de calidad en los servicios por causa del tiempo de vida de equipos de comunicación limitado,
servidores sin actualización de hardware, y almacenamiento sin capacidad, entre otros.
3.3.12. Posible demora en acceso a la infraestructura por causa de ubicaciones remotas y difíciles de
acceder a los elementos de TI.

Riesgos de tecnologías de la operación -TO- asociadas al sector TIC

Algunos de los riesgos sobre tecnologías de la operación -TO- que pueden identificarse en infraestructuras
críticas cibernéticas nacionales que hacen parte del sector TIC son los siguientes:

3.4.1. Falla en la disponibilidad de las operaciones y servicios prestados por la entidad a causa del
malware o virus informático y código malicioso, entre otros;
3.4.2. Multas y costos a causa de fallas por errores humanos en los sistemas de información ICC;
3.4.3. Afectación de los servicios prestados por la entidad por causa de malas configuraciones en los
sistemas, configuraciones por defecto o de fábrica;
3.4.4. Violación de seguridad perimetral en las ICC por causa de fallas en el monitoreo de los sistemas
de control;
3.4.5. Extensión en el tiempo de recuperación de un servicio por causa de la falta de documentación de
la infraestructura, procesos o flujos de información de la ICC;
3.4.6. Pérdida de información de la entidad por causa de procesos inadecuados de respaldo y
recuperación;
3.4.7. Pérdida de acceso a las ICC por causa de un ciberataque que afecte los sistemas de
autenticación que rigen la administración de los equipos de ICC;
3.4.8. Problemas de disponibilidad, confiabilidad y seguridad industrial de las ICC;
3.4.9. Falla en las competencias del personal que soporta y administra las ICC;
3.4.10. Exposición a temas legales por causa de falla en la disponibilidad, confidencialidad o integridad
de las ICC;
3.4.11. Posible incumplimiento de requisitos regulatorios;
3.4.12. Afectación de la imagen corporativa y reputacional por causa de la degradación en la prestación
de los servicios de ICC;
3.4.13. Fallas de energía por degradación en los sistemas de respaldo de energía
3.4.14. Corte de suministro de energía, UPS, baterías o alimentadores de antenas, radios o dispositivos
de comunicación.

18
 Vulnerabilidades Cibernéticas TI asociadas al sector TIC.

Algunas de las vulnerabilidades sobre tecnologías de la información -TI- que pueden identificarse en
infraestructuras críticas cibernéticas nacionales que hacen parte del sector TIC son las siguientes:

3.5.1 Versiones que no son soportadas de hardware, sistema operativo, bases de datos y en general
asociadas a la TI/TO;
3.5.2 Instalación de aplicaciones y software que dependen de versiones obsoletas de marcos de
referencia para base de datos, servidores web y de contexto sin actualizaciones;
3.5.3 Configuración de sistemas de información o control con parámetros débiles, por defecto o que
generen exposición;
3.5.4 Configuraciones por defecto de los sistemas operativos o aplicaciones entregadas como servicio
a la ciudadanía;
3.5.5 Redes inalámbricas entregadas como servicio con contraseñas débiles de acceso o protocolos
identificados como vulnerables;
3.5.6 Uso de software libre con vulnerabilidades no identificadas;
3.5.7 Sistemas operativos sin parches aplicados;
3.5.8 Uso de protocolos inseguros para comunicación y administración de infraestructura;
3.5.9 Dispositivos sin políticas de seguridad aplicadas;
3.5.10 Archivos de configuración expuestos en Internet;
3.5.11 Archivos con metadatos internos expuestos en Internet;
3.5.12 Publicación de servicios innecesarios y vulnerables en equipos que tienen publicación en Internet;
3.5.13 Aplicaciones aprovisionadas como servicio, con vulnerabilidades de Cross Site Scripting (XSS),
Cross Site Request Forgery (CSRF), inyección SQL e inyección;
3.5.14 Sistemas de autenticación a través de protocolos inseguros;
3.5.15 Transmisión de datos visibles y sin ningún tipo de cifrado;
3.5.16 Software de base de datos sin configuraciones de seguridad;
3.5.17 Servidores web fuera de soporte con versiones obsoletas;
3.5.18 Redes de datos y voz sin segmentación;
3.5.19 Configuraciones de despliegue de políticas en directorio activo con contraseñas visibles en
archivos de configuración.

Vulnerabilidades en tecnologías de la operación -TO- asociadas al sector TIC:

Algunas de las vulnerabilidades sobre tecnologías de la operación -TO- que pueden identificarse en
infraestructuras críticas cibernéticas nacionales que hacen parte del sector TIC son los siguientes:

3.6.1 Desconocimiento de plataformas especializadas cuyo control solo lo tiene un especialista, el

proveedor o fabricante y se confía en que su gestión es suficiente;
3.6.2 Debilidad ocasionada por el grado de avance de los activos y que ofrece bajas características de
seguridad;
3.6.3 Personal de la organización con competencias fuera de lo mínimo requerido;
3.6.4 Contratación de personal para operar servicios de tecnología sin revisión de antecedentes
disciplinarios;
3.6.5 Falta de verificación de conducta de los colaboradores de la institución mediante el uso de
vacaciones mandatarias, rotación de trabajo o separación de funciones;
3.6.6 Adquisición de nuevas tecnologías sin la respectiva evaluación de riesgos;
3.6.7 Uso de servicios tecnológicos sin la debida evaluación y pruebas previas;
3.6.8 Cambios en servicios o en infraestructura sin procedimiento de control de cambios;
3.6.9 Ambientes de desarrollo y producción instalados sobre la misma infraestructura y sin separarse;

19
 3.6.10 Falta de revisión de políticas de firewall;
3.6.11 Uso no autorizado de datos personales;
3.6.12 Falta de supervisión en mantenimientos realizados sobre la infraestructura tecnológica y de
comunicaciones entregada a clientes o en la cual se prestan servicios;
3.6.13 Falta de revisión de plan de capacidad de la infraestructura tecnológica entregada a los clientes;
3.6.14 Falta de desarrollo, comunicación, aplicación y actualización de procedimientos operativos y de
control sobre las operaciones del negocio; por ejemplo:
3.6.14.1 Procedimientos de gestión de activos;
3.6.14.2 Procedimientos de gestión de incidentes;
3.6.14.3 Procedimientos de gestión de la capacidad;
3.6.14.4 Procedimientos de gestión de cambios;
3.6.14.5 Procedimientos de gestión de configuraciones;
3.6.14.6 Procedimientos de monitoreo, supervisión y control.

Gestión de incidentes

Para la gestión de incidentes del sector de ICC del sector TIC, el reporte de incidentes será reportado al
colCERT, dando cumplimiento a los establecido por la regulación vigente. Por parte del comité de seguridad
digital, se establecerán los mecanismos que se hallan acordado entre el colCERT y el sector TIC. Las
organizaciones que pertenezcan al sector TIC se alinearán con lo dispuesto en el Anexo C del estándar ISO/IEC
27035-2 (2016) - Estándar para la Gestión de Incidentes de Seguridad de la Información y aquellas versiones
posteriores de la misma. Los incidentes de seguridad de la información en el sector TIC deberán considerar los
siguientes factores para la clasificación de la severidad de incidentes de seguridad de la Información:

1) Importancia del sistema de información.

2) Pérdida de negocio.
3) Impacto social.

Muy Serios (Clase IV)

• Incidentes muy serios son aquellos que:

• actuan en sistemas de información especialmente importantes, y
• resultan en pérdidas de negocio especialmente grave, o
• conducen a pérdidas sociales especialmente importantes

Serio (Clase III)

• Los incidentes serios son aquellos que:

• actuan sobre sistemas de información especialmente importantes o sistemas de información importantes, y
• resultan en una pérdida negocio grave, o
• conducen a un impacto social importante.

Menos serios (Clase II)

• Incidentes menos serios son aquellos que:

• actuan sobre sistemas de información importantes o sistemas de información ordinarios, y
• resultan en una pérdida de negocio considerable, o
• conducen a un impacto social considerable.

Pequeño (Clase I)

• Incidentes pequeños son aquellos que:

• actuan sobre los sistemas de información ordinarios importantes y
• resultan en una pérdida de negocio menor o ninguna pérdida comercial, o
• provocan un impacto social menor o ningún impacto social
• Generalmente hay consecuencias insignificantes o ninguna y no se requiere ninguna acción.

Fuente: Anexo C - Estándar ISO/IEC 27035-2:2016

Para la clasificación de la severidad de incidentes de seguridad de la Información en el sector TIC se

tendrá en cuenta lo siguiente:

 Importancia del sistema de información

20
 La importancia de los sistemas de información afectados por los incidentes de seguridad de la
información se determina considerando la relevancia de las operaciones comerciales de la
organización respaldadas por los sistemas de información. La importancia podría expresarse en
relación con la seguridad nacional, el orden social, el desarrollo económico y el interés público, y
la dependencia del negocio en los sistemas de información. Este enfoque clasifica la importancia
del sistema de información en tres (3) grandes niveles: sistema de información especialmente
importante, sistema de información importante y sistema de información ordinario.

 Pérdida de Negocio o Pérdida Comercial:

Es la pérdida de negocios de la organización causada por incidentes de seguridad de la

información y se determina considerando la gravedad del impacto de la interrupción del negocio
debido al daño del hardware, software, funciones y datos de los sistemas de información. La
gravedad del impacto puede depender del costo de recuperación del negocio a niveles de
operación normales u otros efectos negativos de los incidentes de seguridad de la información,
incluidas la pérdida de beneficios o costos de oportunidad. Este enfoque clasifica la pérdida de
negocios en cuatro (4) grandes niveles:

a) Pérdida de negocio especialmente grave: significaría parálisis generalizada de la

organización, al punto de perder la capacidad de operación empresarial, o daños muy graves
a la confidencialidad, la integridad y la disponibilidad de datos comerciales importantes.
Significaría un costo enorme de recuperación del negocio a niveles normales y de eliminación
de los efectos negativos. Una organización no podría soportar este nivel de pérdida de
negocio.

b) Pérdida de negocio grave: significaría la interrupción de las operaciones comerciales durante

un período prolongado o una parálisis comercial localizada, capaz de influir seriamente en la
capacidad comercial o un daño grave a la confidencialidad, integridad y disponibilidad de los
datos comerciales importantes. Significaría un alto costo de recuperación de negocio a
niveles normales y de eliminación de los efectos negativos. Una organización podría soportar
este nivel de pérdida comercial.

c) Pérdida de negocio considerable: significaría la interrupción de las operaciones comerciales

hasta el punto de influir considerablemente en la capacidad comercial o un daño considerable
a la confidencialidad, integridad y disponibilidad de datos comerciales importantes.
Significaría un costo considerable para recuperar el funcionamiento normal del negocio y
eliminar los efectos negativos. Una organización podría soportar completamente este nivel
de pérdida comercial.

d) Pérdida comercial menor: significaría la interrupción de las operaciones comerciales por un

corto período de tiempo en la medida en que influya en la capacidad comercial o un impacto
menor en la confidencialidad, integridad y disponibilidad de datos comerciales importantes.
Significaría un costo menor para recuperar el negocio a la operación normal y eliminar los
efectos negativos.

 Impacto social:

Es el impacto en la sociedad causado por incidentes de seguridad de la información y se determina

considerando la escala y el grado del impacto en la seguridad nacional, el orden social, el

21
 desarrollo económico y el interés público. Este enfoque clasifica el impacto social en cuatro (4)
niveles:

a) Impacto social especialmente importante: es aquel que implicaría efectos adversos que
abarcarán la mayoría de las áreas de uno o más departamentos o provincias, amenazando
en gran medida la seguridad nacional, causando disturbios sociales, generando
consecuencias extremadamente adversas para el desarrollo económico y/o dañando
gravemente el interés público.

b) Impacto social importante: es aquel que implicaría efectos adversos que abarcarán la mayoría
de las áreas de una o más ciudades, amenazando la seguridad nacional, causando pánico
social, produciendo consecuencias adversas significativas en el desarrollo económico y/o
perjudicando el interés público.

c) Impacto social considerable: es aquel que implicaría efectos adversos que abarcarían áreas
parciales de una o más ciudades, con una amenaza limitada para la seguridad nacional, con
alguna perturbación del orden social, con consecuencias adversas para el desarrollo
económico o que influyen en el interés público.

d) Impacto social menor: es aquel que significaría efectos adversos en un área parcial de una
ciudad y pocas posibilidades de amenazar la seguridad nacional, el orden social, el desarrollo
económico y el público.

Gestión de Riesgos

Las entidades pertenecientes al sector TIC deben implementar una metodología de gestión de riesgos que esté
acorde con la naturaleza de su organización y que se encuentre alineada con las exigencias normativas
vigentes.

Metodología de la ventana de AREM

Para la identificación de otros riesgos que son considerados como amenaza para la infraestructura crítica
cibernética del sector TIC y de los cuales no se cuentan con controles dentro de la gestión de riesgos de cada
organización, se propone utilizar la ventana de AREM.

La ventana de AREM14 es un Instrumento metodológico, el cual debe ser aplicado por un analista de riesgos
recolectando y analizando, durante un tiempo, material suficiente de tendencias visibles y emergentes sobre
nuevas y posibles amenazas o vectores de ataque, las cuales valora y prioriza de acuerdo con su nivel de
impacto en la organización, novedad del ataque y capacidad de respuesta actual de la empresa. Basado en
este resultado, se establece una lista de posibles amenazas.

Para tal fin, se deben identificar las amenazas y riesgos ubicándolos en cada uno de los siguientes cuadrantes:

14Metodología desarrollada por el PhD. Jeimy José Cano M. (2017) La ventana de AREM. Una estrategia para anticipar los riesgos y
amenazas en ciberseguridad empresarial. ISACA Journal. 5. Recuperado de: https://www.isaca.org/Journal/archives/2017/Volume-
5/Pages/the-arem-window-spanish.aspx.

22
 Fuente: CCOC

 Conocidos: La amenaza se ha conversado o comunicado dentro de la organización y se conoce de

su existencia.
 Latente: Se ha enterado de la existencia de la amenaza y no sabe si la organización tiene alguna
estrategia de mitigación.
 Focales: La amenaza ya se visto o materializado en la industria particular a la que pertenece la
empresa.
 Emergente: Nunca había escuchado de tal amenaza.

De acuerdo con el contexto anterior, se identificaron para el sector TIC los siguientes riesgos, de los cuales
algunos nombres presentados son nombres dados a grupos de riesgos que se identificaron para cada una de
las categorías.

1. Acceso no autorizado a computadoras, datos, servicios y aplicaciones;

2. Acceso no autorizado a dispositivos terminales;
3. Acceso no autorizado a medios de almacenamiento;
4. Accesos no autorizados a las redes de IoT;
5. Ataques de denegación de servicio;
6. Ciberataques;
7. Ciberataques con inteligencia artificial;
8. Ciberataques en Hardware;
9. Ciberataques patrocinados por estados;
10. Ciberterrorismo;
11. Cifrado cuántico15;
12. Código malicioso;
13. Comportamiento de los empleados16;
14. Criptohijacking;
15. Daño reputacional;
16. Desvío / reenrutamiento de mensajes;

15 Cifrado cuántico: es quizá la amenaza más grave en el ecosistema de seguridad digital al que nos enfrentaremos en el futuro, en
particular el problema es que a medida que la computación cuántica se convierte en una realidad (el roadmap de desarrollo para la
computación cuántica prevé su utilización comercial masiva en los próximos 10 años, hoy en día ya están disponibles computadores
cuánticos de 50 qubits), el problema es que un computador cuántico lo suficientemente capaz (4000 qubits) de romper todos los
algoritmos de cifrado con llave pública(RSA, SHA, AES, etc) utilizados hoy en día para compras en línea, establecer passwords,
certificados en Internet, etc.
16 El comportamiento de los empleados: se describe como la pérdida o daño de información a manos de los empleados de una empresa,

independientemente si es por lucro propio o por descontento con la empresa.

23
17. Deterioro de los medios de almacenamiento;
18. Enmascaramiento de la identidad del usuario;
19. Errores de mantenimiento;
20. Errores de transmisión y comunicación;
21. Errores de usuario;
22. Escuchas ilegales;
23. Fallas de los sistemas de respaldo;
24. Fallas de suministro (potencia, aire acondicionado);
25. Fallas y vulnerabilidades del software;
26. Fallo del software;
27. Fraude Bancario;
28. Fuga de información;
29. Ingeniería inversa para explotar vulnerabilidades;
30. Interceptaciones de comunicaciones;
31. Modificación no autorizada de la información;
32. Modificaciones a la radiación electromagnética;
33. Puertas traseras;
34. Robo;
35. Sobrecarga de tráfico;
36. Suplantación;
37. Rootkits en browsers;
38. API maliciosamente modificadas;
39. Infraestructura maliciosamente modificada.

Cuadro. Resultado consolidado de la aplicación de la ventana de AREM para el sector TIC

CONOCIDOS LATENTES FOCALES EMERGENTES

1. Acceso no autorizado a
13. Comportamiento de los 2. Acceso no autorizado a 7. Malware basado en
computadoras, datos,
empleados dispositivos terminales inteligencia artificial
servicios y aplicaciones.
3. Acceso no autorizado a 4. Accesos no autorizados 9. Ciberataques
14. Criptohijacking
medios de almacenamiento. a las redes de IoT patrocinados por estados
5. Ataques de denegación 8. Ciberataques en
15. Daño reputacional 10. Ciberterrorismo
de servicio. Hardware
6. Ciberataques 27. Fraude Bancario 15. Daño reputacional 11. Cifrado cuántico
30. Interceptaciones de 16. Desvío / reenrutamiento
12. Código malicioso. 37. Rootkits en browsers
comunicaciones de mensajes
16. Desvío / reenrutamiento 38. API maliciosamente
28. Fuga de información
de mensajes modificadas
17. Deterioro de los medios 29. Ingeniería inversa para 39. Infraestructura
de almacenamiento. explotar vulnerabilidades maliciosamente modificada 3
18. Enmascaramiento de la
33. Puertas traseras
identidad del usuario.
19. Errores de
mantenimiento.
20. Errores de transmisión y
comunicación.
21. Errores de usuario.
22. Escuchas ilegales.
23. Fallas de los sistemas
de respaldo.
24. Fallas de suministro
(potencia, aire
acondicionado).
25. Fallas y vulnerabilidades
del software.
26. Fallo del software.
28. Fuga de información

24
 31. Modificación no
autorizada de la información.
32. Modificaciones a la
radiación electromagnética.
34. Robo
35. Sobrecarga de tráfico.
36. Suplantación
Fuente: Elaboración propia

Del análisis anterior, se propone lo siguiente para la ventana de AREM del sector TIC:

Lo que conoce el sector Lo que desconoce el sector

Lo que conoce 1, 3, 5, 6, 12, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 28, 31,
13, 14, 15, 27, 30
el entorno 32, 34, 35,36

Lo que
desconoce el 2, 4, 8, 15, 16, 28, 29, 33 7, 9, 10, 11, 37, 38, 39
entorno
Fuente: Elaboración propia

CAPITULO IV. ESTRUCTURA SECTORIAL DE PROTECCIÓN Y DEFENSA DE INFRAESTRUCTURA

CRITICA CIBERNÉTICA – SECTOR TIC

De acuerdo con el Decreto 1499 de 2017, la Seguridad Digital es una Política de Desarrollo Administrativo, lo
que garantiza que el tema sea implementado por las entidades del Estado y permanezca en el tiempo. Adicional
a lo establecido en el mencionado decreto, el CONPES 3854 y el Borrador del Plan de Protección de
Infraestructuras Críticas tienen definido unos roles y responsabilidades.

Actualmente se encuentra vigente el Acuerdo 002 del 5 de junio de 2018 que crea el comité de seguridad digital.

Directorio

A continuación, se propone un directorio del Esquema Sectorial de Defensa y Protección de la ICC para facilitar
el contacto de las entidades que conforman el Sector TIC.

Entidad Datos de contacto

Ministerio de Tecnologías de la Información y Edificio Murillo Toro Cra. 8a entre calles 12 y 13, Bogotá, Colombia - Código
las Comunicaciones - MinTIC Postal 11171, +57(1) 344 34 60 - Línea Gratuita: 01-800-0914014
Calle 93 # 17-45, Pisos 4, 5 y 6. Bogotá D.C, (57+1) 6000030 Fax: (57+1)
Agencia Nacional del Espectro -ANE-
600009
Superintendencia de Industria y Comercio – Carrera 13 No. 27 – 00, (57 1) 587 00 00Fax: (57 1) 587 02 84 Contact
SIC- center: (571) 592 04 00
Autoridad Nacional de Televisión – ANTV- Calle 72 No. 12-77, PBX: 7957000 - Fax: 7957000 ext. 1107
Diagonal 25 G # 95 A 55 Bogotá - Código postal:110911 Tel. contacto y
Red Postal de Colombia - 4-72
horario: (57-1) 4722000 - Nacional: 01 8000 111 210
Tel: +57 (1) 747-0944, Calle 72 No.10-70, Torre A, Oficina 804, Av Chile
ASOMOVIL
Centro Comercial y Financiero
ANDESCO PBX; +57 1 616 76 11, Calle 93 Nº 13 24 piso 3, Bogotá, Colombia
Cámara Colombiana de Informática y
Teléfono: +57 1 7563456, Carrera 11A No. 93-67 Oficina 401
Telecomunicaciones - CCIT
Cámara Colombiana de Comercio Electrónico
Tels: +57 (1) 300 4537 / +57 (320) 425 8673
- CCCE
Asociación de Operadores de Tecnologías de
Información y Comunicaciones de Colombia - Teléfono: (1) 704 3091- 320 409 46 18, Dirección: Cra 18 # 93 - 25 of 302
ASOTIC
ASUCOM Teléfono: 7522134, Dirección: Carrera 13A No. 102-41

25
 Cámara de entidades de televisión,
comunicación y recreación "Comunicar
Federación Colombiana de Transportadores
de Carga por Carretera - COLFECAR
Confederación Colombiana de Consumidores
Confederación de Vocales de Control -
CONFEVOCOLTIC:
.CO INTERNET S.A.S
Teléfono: 6065222, Cra. 16 # 76-42 Of. 703, Edif. Lago 76, Bogotá,
Colombia.
PBX: (571) 3595520 - FAX: (571) 3546455, info@colfecar.org.co
Av Calle 24 # 95A - 80 Oficina 406 Edificio Colfecar Bussiness Center
Dorado, Bogotá, Colombia
+ 57 1 2840391, Transversal 6 # 27-10 piso 5, Bogotá, Colombia.
Carrera 10 No 20-39, Of 216 Bogotá – Colombia.
contacto@confevocoltics.org
Teléfonos: 3218161577 - 3146386675
Calle 100 8A-49 Torre B Oficina 507
World Trade Center, Bogota, COLOMBIA
+57 (1) 616 99 61
Soporte@COInternet.com.CO

CAPITULO V. PLANEACIÓN ESTRATÉGICA SECTORIAL PARA LA PROTECCIÓN DE LA ICC

A continuación, se proponen algunas estrategias y acciones para llevar a cabo la protección y defensa de las
infraestructuras críticas cibernéticas nacionales del sector TIC, en aras de fortalecer su seguridad y desarrollar
la resiliencia de éstas, así como dar cumplimiento a los objetivos establecidos en el presente plan.

Líneas Estratégicas, Acciones y Métricas

Para el desarrollo y fortalecimiento de la protección y defensa de las ICC del sector TIC, se proponen tres (3)
líneas estratégicas, a ser desarrolladas por el sector TIC.

5.1.1. Línea estratégica 1: Elaborar el Plan de Seguridad del Operador de Infraestructura Crítica
Cibernética del sector TIC

El plan de seguridad del operador es un documento que define los lineamientos de seguridad que deben adoptar
los diversos dueños y operadores de las infraestructuras críticas y se debe tener en cuenta lo siguientes:

a) Lineamientos para la política de seguridad de los operadores críticos, la relación de servicios esenciales
prestados.
b) Lineamientos para la gestión y análisis de riesgos (amenazas físicas y lógicas), modelo de gestión y el
criterio que se va a utilizar para la aplicación de medidas de seguridad adecuadas
c) Catalogar los operadores de ICC del sector TIC, se hará una encuesta para identificar la
criticidad de cada uno de acuerdo con la clasificación de los servicios.

5.1.2. Línea estratégica 2: Plan de Protección Específico del Operador de Infraestructura Crítica
Cibernética del sector TIC

Posterior a la elaboración del Plan de Seguridad del Operador de Infraestructura Crítica Cibernética del sector
TIC, cada uno de los operadores deberá construir su plan de protección teniendo en cuenta los lineamientos
identificados en el plan de seguridad del operador.

a) Elaborar el plan de protección de cada operador utilizando los lineamientos del Plan de Seguridad del
Operador de Infraestructura Crítica Cibernética del sector TIC, este plan se elabora con el propietario de la
ICC y será apoyado por el sector CCOCI.

26
b) Elaborar un manual operativo que les permita establecer los procesos y procedimientos, para el
restablecimiento de los servicios críticos.

5.1.3. Línea estratégica 3: Elaborar el Plan de Apoyo Operativo de Infraestructura Crítica Cibernética del
sector TIC.

a) Elaborar el plan de apoyo operativo operador utilizando los lineamientos que emita el CCOCI, este plan
se elabora con cada uno de los propietarios de la ICC y será apoyado por el sector CCOCI.
b) Aprobación del plan por cada uno de los representantes legales.

CAPITULO VI. MONITOREO Y MEJORA CONTINUA

Monitoreo

El Monitoreo se realizará por la organización / entidad que se encargue de recibir y consolidar la información
de los reportes de incidentes de acuerdo con el marco regulatorio vigente. La revisión y actualización del plan
de protección y defensa de las ICC del sector TIC será coordinado por el CCOC, de acuerdo con los
lineamientos emitidos para el efecto.

Mejora Continua

El plan estará en continua revisión por parte de las organizaciones / entidades que conformen el comité
sectorial, con el fin de mejorar y fortalecer continuamente la gestión del plan, a fin de preservar la resiliencia de
la ICC del sector TIC, así como la confidencialidad, integridad y disponibilidad de los activos de información.

Una vez sean identificadas las acciones de mejora, éstas se comunicarán a las organizaciones / entidades que
conformen el comité, con el fin de que sean incluidas en el plan de mejoramiento continuo de cada organización.

27
 GLOSARIO

El presente glosario es tomado de los documentos y guías que se han desarrollado en el CCOC, además de
los estándares internacionales y marco normativo con el cual se rige el sector TIC.

 Activo IT/OT: Cualquier componente con tecnología de información o tecnología de operación que
soporte una infraestructura cibernética.
 Comando Conjunto Cibernético (CCOC): Es una Unidad Militar Conjunta (Ejército, Armada y Fuerza
Aérea), que tiene como función principal prevenir, detectar, orientar, contener, decidir, responder y
recuperar ante amenazas cibernéticas que afecten la sociedad, la soberanía nacional, independencia,
integridad territorial, el orden constitucional y los intereses nacionales, todo esto, soportado en un
marco jurídico y/o la Constitución Nacional.
 Ciberespacio: Es el ambiente, tanto físico como virtual, compuesto por sistemas computacionales,
programas y aplicaciones (software), redes de telecomunicaciones incluido el Internet, datos e
información y la infraestructura física asociada que es utilizada para la interacción entre usuarios,
entre máquinas y entre máquinas y usuarios. Fuente: Adaptación Resolución CRC.
 Ciberdefensa: Es el empleo de las capacidades militares ante amenazas o actos hostiles de
naturaleza cibernética que afecten la sociedad, la soberanía nacional, la independencia, la integridad
territorial, el orden constitucional y los intereses nacionales. Fuente: Ministerio de Defensa.
 Ciberseguridad: Es el conjunto de recursos, políticas, conceptos de seguridad, salvaguardas de
seguridad, directrices, métodos de gestión del riesgo, acciones, investigación y desarrollo, formación,
prácticas idóneas, seguros y tecnologías que pueden utilizarse buscando la disponibilidad, integridad,
autenticación, confidencialidad y no repudio, con el fin de proteger a los usuarios y los activos de la
organización en el ciberespacio. Fuente: Adaptación definición ITU.
 Cibercrimen/Ciberdelincuencia: Conjunto de actividades ilegales asociadas con el uso de las
tecnologías de la información y las comunicaciones, como fin o como medio, que atenten contra la
integridad, disponibilidad y confidencialidad de la información, los datos y los sistemas informáticos.
Fuente: Ministerio de Defensa.
 Comité Ejecutivo de ICC: Lo integran el comandante del Comando Conjunto Cibernético (CCOC),
un representante de la industria y un representante de la academia. Fuente: CCOC - Comité
Coordinador Nacional de ICC: Grupo interdisciplinario de expertos nacionales con conocimientos en
Tecnologías de Información y Comunicaciones (TIC) o Tecnologías de Operación (TO),
Ciberseguridad, Ciberdefensa y gestión de proyectos cuya responsabilidad es liderar la identificación
de infraestructura Critica Cibernética de Colombia. Fuente: CCOC.
 Comités Sectoriales de ICC: Integrados por las empresas representativas de cada sector, con la
responsabilidad de liderar y ejecutar las actividades derivadas del Comité Coordinador Nacional de
ICC. Fuente: CCOC
 Criterios horizontales de criticidad: Criterios únicos a nivel país para determinar si una
infraestructura estratégica es considerada crítica. Adaptación Ley 8/2011-Gobierno de España.
 Infraestructura Cibernética (IC): Son las infraestructuras soportadas por Tecnologías de
Información y Comunicaciones (TIC) o Tecnologías de Operación (TO).
 Infraestructura Crítica Cibernética (ICC): Es el conjunto de computadores, sistemas
computacionales, redes de telecomunicaciones, datos e información, cuya destrucción o interferencia
puede debilitar o impactar en la seguridad de la economía, salud pública, o la combinación de ellas,
en una nación. Fuente: Resolución CRC 3067 de 2011, artículo 1.8, numeral 18.
 PRSTM: Proveedor de Redes y Servicios de Telecomunicaciones Móviles (incluye a los OMV).
Fuente: Resolución CRC 3128 de 2011, artículo 2, Modificada por la Resolución CRC 4813 de 2015.
 Riesgo operacional: Es aquel que puede ocasionar pérdidas resultantes de la falta de adecuación o
fallas en los procesos internos, de la actuación del personal o de los sistemas o bien aquellas que
sean producto de eventos externos. Fuente: Comité de Basilea.

28
 Servicio Esencial: El servicio necesario para el mantenimiento de las funciones sociales básicas, la
salud, la educación, la seguridad, el bienestar social y económico de una comunidad, o el eficaz
funcionamiento de las Instituciones del Estado y las Administraciones Públicas. Adaptación Ley
8/2011-Gobierno de España. Fuente: Guía para la Identificación de Infraestructura Crítica Cibernética
(ICC) de Colombia

29
 CONCLUSIONES

La protección, defensa y resiliencia de las infraestructuras críticas cibernéticas nacionales -ICC- del sector TIC
requiere de la participación y actuación de todas las múltiples partes interesadas, así como de un trabajo
articulado a través de una estructura definida y encabezada por el MinTIC junto con las organizaciones,
operadores y propietarios de ICC, con el apoyo de expertos y entidades encargadas de la recuperación y
desarrollo de la Nación.

La identificación de los niveles de alerta requerirá de una permanente vigilancia de las amenazas en el
ciberespacio y de la comunicación efectiva, entre todas las partes de la estructura de protección y defensa de
las ICC del sector TIC.

RECOMENDACIONES

La Estructura Nacional de Protección y Defensa de infraestructuras críticas cibernéticas nacionales del sector
TIC deberá difundir a todo nivel el presente plan e iniciar, a partir de su publicación, la comunicación del nivel
de alerta y la ejecución de las acciones planteadas, tanto a mediano como a largo plazo; a través de los recursos
y capacidades existentes.

AGRADECIMIENTOS

El MinTIC de Colombia ofrece un agradecimiento a todas las instituciones, empresas y organizaciones del
sector público y privado, por su compromiso y colaboración brindada en la construcción del Plan Sectorial de
Protección de la Infraestructura Critica del Sector TIC, en su primera versión.

30