Documente Academic
Documente Profesional
Documente Cultură
RESUMEN .......................................................................................................................................................... 5
INTRODUCCIÓN ................................................................................................................................................ 6
CAPÍTULO I: GENERALIDADES ....................................................................................................................... 7
Alcance.............................................................................................................................................. 7
Objetivo general y específicos........................................................................................................... 7
1.2.1. Objetivo General ....................................................................................................................... 7
1.2.2. Objetivos Específicos ............................................................................................................... 7
Misión/Visión ..................................................................................................................................... 7
Referentes ......................................................................................................................................... 8
Marco Legal....................................................................................................................................... 8
Aprobación y clasificación ................................................................................................................. 8
Revisión y actualización .................................................................................................................... 8
CAPÍTULO II: SERVICIOS ESENCIALES E INTERDEPENDENCIAS ............................................................... 9
Servicios esenciales .......................................................................................................................... 9
Interdependencias sectoriales ......................................................................................................... 13
CAPÍTULO III: AMENAZAS, RIESGOS, VULNERABILIDADES E IMPACTO CIBERNÉTICO SECTORIAL ... 16
Amenazas de tecnologías de operación -TI- asociadas al sector TIC: ........................................... 16
Amenazas de tecnologías de la operación -TO- asociadas al sector TIC: ...................................... 17
Riesgos de tecnologías de la Información -TI- asociadas al sector TIC.......................................... 17
Riesgos de tecnologías de la operación -TO- asociadas al sector TIC ........................................... 18
Vulnerabilidades Cibernéticas TI asociadas al sector TIC. ............................................................. 19
Vulnerabilidades en tecnologías de la operación -TO- asociadas al sector TIC: ............................ 19
Gestión de incidentes ...................................................................................................................... 20
Gestión de Riesgos ......................................................................................................................... 22
Metodología de la ventana de AREM .............................................................................................. 22
CAPITULO IV. ESTRUCTURA SECTORIAL DE PROTECCIÓN Y DEFENSA DE INFRAESTRUCTURA
CRITICA CIBERNÉTICA – SECTOR TIC ......................................................................................................... 25
Directorio ......................................................................................................................................... 25
CAPITULO V. PLANEACIÓN ESTRATÉGICA SECTORIAL PARA LA PROTECCIÓN DE LA ICC ................ 26
Líneas Estratégicas, Acciones y Métricas ....................................................................................... 26
Estrategias de Comunicación y Divulgación ...................................... Error! Bookmark not defined.
CAPITULO VI. MONITOREO Y MEJORA CONTINUA .................................................................................... 27
Monitoreo ........................................................................................................................................ 27
Mejora Continua .............................................................................................................................. 27
GLOSARIO ....................................................................................................................................................... 28
3
CONCLUSIONES ............................................................................................................................................. 30
RECOMENDACIONES ..................................................................................................................................... 30
AGRADECIMIENTOS ....................................................................................................................................... 30
4
RESUMEN
Este documento es el plan estratégico del sector Tecnologías de la Información y las Comunicaciones -TIC-,
para la protección y defensa de su infraestructura critica cibernética, el cual se encuentra alineado con el marco
regulatorio y normativo vigente.
Dado que las comunicaciones han permitido mejorar la calidad de vida de las personas en el mundo, gracias a
la automatización de los procesos de las organizaciones a través de los sistemas de información y las redes
computacionales, es importante contar con un plan que permita la protección y defensa frente a los riesgos,
ataques e incidentes de seguridad digital que se puedan materializar y que puedan afectar la prestación de
servicios esenciales del sector TIC por parte de organizaciones públicas y privadas del país, estableciendo
lineamientos y directrices generales para el manejo de las infraestructuras criticas cibernéticas de forma
coordinada, articulada y colaborativa.
5
INTRODUCCIÓN
La globalización de las Tecnologías de la Información y las Comunicaciones -TIC-, así, como su dependencia
en la actualidad, se ha convertido en el soporte vital para el desarrollo de la Economía Digital, siendo justamente
la infraestructura tecnológica la que soporta las operaciones de los servicios que se prestan a través de los
canales digitales dispuesto para tal fin.
El Gobierno de Colombia es consciente de la importancia tan relevante que tienen las instalaciones, las redes,
los servicios, los sistemas de información, las redes de información y la infraestructura tecnológica, dado que
son vitales para asegurar la estabilidad, la eficiencia de la economía y el comercio a nivel nacional e
internacional, y son vitales para el desarrollo de la vida social, cultural y política. Las infraestructuras críticas
cibernéticas -ICC- del sector TIC también soportan servicios esenciales de las organizaciones y son críticas
para la nación.
Las infraestructuras criticas cibernéticas del sector TIC cuentan con interdependencias vitales, entre ellas, que
garantizan la operación y prestación de los servicios esenciales y permiten el funcionamiento adecuado de las
infraestructuras de información y comunicaciones del sector TIC.
Por lo anterior, a través del Comando Conjunto de Operaciones Cibernéticas de Colombia -CCOC-, el Ministerio
de Defensa Nacional -MDN- desarrolló el Plan Sectorial de Protección y Defensa para la Infraestructura Crítica
Cibernética de Colombia. Para el caso del Sector TIC, el Ministerio de Tecnologías de Información y las
Comunicaciones -MinTIC- ha liderado la construcción de su plan sectorial, contando con la experiencia de cada
entidad y organización que hacen parte de la mesa que se conformó para tal fin.
6
CAPÍTULO I: GENERALIDADES
Alcance
El plan sectorial está enfocado en aunar esfuerzos para el diseño de la estrategia de protección y defensa de
la infraestructura crítica cibernética nacional del sector de Tecnologías de la Información y las Comunicaciones
-TIC1- que permita a las organizaciones privadas, públicas o mixtas que la operan y mantienen con el fin de
prestar servicios TIC esenciales.
Establecer los lineamientos para proteger y defender la infraestructura crítica cibernética nacional del sector
TIC para generar la capacidad de resiliencia cibernética de las organizaciones privadas, públicas o mixtas2 que
la operan y mantienen, minimizando el impacto sufrido ante un incidente de ciberseguridad nacional,
permitiendo la recuperación de los servicios esenciales en el menor tiempo posible.
Verificar que los protocolos para el reporte e intercambio de información sobre eventos e incidentes de
seguridad digital en infraestructuras críticas cibernéticas nacionales del sector TIC se encuentren
actualizados.
Evitar la duplicidad de reportes y proponer nuevos reportes de intercambio de información sobre eventos
e incidentes de seguridad digital en infraestructuras críticas cibernéticas nacionales del sector TIC, cuando
los mismos no se encuentren ya establecidos por las autoridades sectoriales competentes.
Fomentar la adopción de buenas y mejores prácticas para la gestión de los riesgos de seguridad digital
en las organizaciones públicas, privadas o mixtas que hagan parte del sector TIC y que gestionen
infraestructuras criticas cibernéticas.
Misión/Visión
Visión: El sector TIC establecerá una estrategia de protección y defensa de su infraestructura crítica
cibernética nacional, alineada con la Política Nacional de Seguridad Digital y con sinergias para los demás
sectores con infraestructura crítica cibernética, que permita la capacidad de resiliencia para la prestación
de los servicios TIC esenciales para la sociedad.
1Según el artículo 6 de la Ley 1341 de 2009, las Tecnologías de la Información y las Comunicaciones -TIC- son el conjunto de recursos,
herramientas, equipos, programas informáticos, aplicaciones, redes y medios, que permiten la compilación, procesamiento,
almacenamiento, transmisión de información como: voz, datos, texto, vídeo e imágenes.
2 Siendo éstas, por ejemplo, los prestadores de redes y servicios de telecomunicaciones -PRST-, los operadores postales, los
7
Misión: El sector TIC implementará medidas razonables de protección y defensa de los activos de
información relacionados con su infraestructura crítica cibernética nacional para asegurar las operaciones
normales de los servicios TIC esenciales para la sociedad.
Referentes
El plan de protección y defensa de infraestructura crítica cibernética nacional del sector TIC se basa en las
líneas de acción establecidas por los Documentos CONPES 3701 de 2011 y CONPES 3854 de 2016, así como
en la legislación, normatividad y regulación sectorial vigente.
Marco Legal
La infraestructura crítica cibernética nacional del sector TIC, se rige bajo el siguiente marco normativo:
Ley 1341 de 2009 “por la cual se definen principios y conceptos sobre la sociedad de la información y
la organización de las Tecnologías de la Información y las Comunicaciones –TIC–, se crea la Agencia
Nacional de Espectro y se dictan otras disposiciones”
Decreto Único Reglamentario 1078 de 2015 “por medio del cual se expide el Decreto Único
Reglamentario del Sector de Tecnologías de la Información y las Comunicaciones”.
Modelo Integrado de Planeación y Gestión vigente (MIPG)3
Plan Nacional de Desarrollo vigente4
Plan Nacional de Gestión de Riesgos5
Resolución Compilatoria No. 5050 de 2016 de la Comisión de Regulación de Comunicaciones -CRC-6
Aprobación y clasificación
Las modificaciones a este plan serán aprobadas mediante mayoría simple por parte de las organizaciones
públicas, privadas o mixtas que operen infraestructuras criticas cibernéticas del sector TIC, y éstas serán
incorporadas por el MinTIC, en cabeza de su representante en la Mesa TIC establecida. La clasificación es
restringida.
Revisión y actualización
Este plan será revisado de forma anual o de forma extraordinaria si ocurre algún hecho que lo amerite.
3 El artículo 133 del Plan Nacional de Desarrollo 2014 - 2018, ordenó la integración del Sistema de Desarrollo Administrativo (1998) y el
Sistema de Gestión de la Calidad (2003) en uno solo: el Sistema de Gestión, el cual se debe articular con el Sistema de Control Interno
(2005). Para el nuevo Sistema de Gestión y su articulación con el de Control Interno, se actualiza el Modelo Integrado de Planeación y
Gestión, adoptado en 2012 mediante el Decreto 2482. http://www.funcionpublica.gov.co/web/mipg/inicio
4 El Plan Nacional de Desarrollo es el instrumento formal y legal por medio del cual se trazan los objetivos del Gobierno nacional
y presupuestos, mediante las cuales se ejecutan los procesos de conocimiento del riesgo, reducción del riesgo y manejo de desastres
en el marco de la planificación del desarrollo nacional.
6 La Resolución Compilatoria No. 5050 de 2016 de la CRC “Por la cual de compilan las Resoluciones de Carácter General vigentes
8
CAPÍTULO II: SERVICIOS ESENCIALES E INTERDEPENDENCIAS
Servicios esenciales
Se considera como servicio esencial al servicio necesario para el mantenimiento de las funciones sociales
básicas, la salud, la educación, la seguridad, el bienestar social y económico de una comunidad, o el eficaz
funcionamiento de las Instituciones del Estado y las Administraciones Públicas7.
Para proporcionar productos y servicios de TI de alta garantía para los sectores interesados, se identificaron
seis funciones necesarias para mantener o reconstituir redes (por ejemplo, Internet, redes locales y redes de
área amplia) y sus servicios asociados. Las funciones que son vitales para la prestación de los servicios
esenciales y la confianza del Estado. Estas funciones se distribuyen en una amplia red de infraestructura, se
administran de manera proactiva y, por lo tanto, pueden resistir y recuperarse rápidamente de la mayoría de
las amenazas.
Estas funciones del sector en cuanto a servicios de TI son proporcionadas por una combinación de entidades,
a menudo propietarios y operadores y sus respectivas asociaciones, que proporcionan hardware, software,
sistemas y servicios de TI. Los servicios de TI incluyen desarrollo, integración, operaciones, comunicaciones,
pruebas y seguridad.
9
El sector produce y proporciona tecnologías, servicios e infraestructura que brindan contenidos clave,
información y capacidades de comunicación que son esenciales o fundamentales para garantizar la
seguridad nacional y económica y la salud pública, la seguridad y la confianza.
El sector TIC en cuanto a servicios de comunicaciones proporciona productos y servicios que respaldan el
funcionamiento eficiente de la sociedad global actual basada en la información. Muchos de estos productos y
servicios son fundamentales o necesarios para las operaciones y servicios proporcionados por otros sectores
de infraestructura crítica. El sector reconoce que otros sectores consideran que sus servicios son críticos, y sus
prácticas reflejan esta comprensión. La naturaleza de las redes de comunicación incluye tanto la infraestructura
física (edificios, conmutadores, torres, antenas, etc.) como la infraestructura cibernética (software de
enrutamiento y conmutación, sistemas de soporte operativo, aplicaciones de usuario, etc.), lo que representa
un desafío integral para abordar todo el problema físico. - Infraestructura cibernética. El resultado ha sido el
establecimiento de una infraestructura de red robusta y resistente que proporciona servicios a nivel mundial con
éxito.
Para el sector representa una gran cantidad de instalaciones y sitios que difieren según la función, el tamaño,
los principios operativos y los riesgos de seguridad. Las organizaciones que contribuyen a la planificación de
iniciativas para mantener las redes de comunicación del Estado lo suficientemente robustas para soportar
desastres naturales y provocados por el hombre, así como a los responsables de responder y restaurar esas
redes después del evento. Para tal fin se identificaron cinco segmentos en los cuales se pueden ver identificado
de forma global Sector en cuanto a la parte de comunicaciones.
A continuación, se proporciona una breve descripción de los cinco segmentos identificados mencionadas
anteriormente, de igual manera conteste SI o No si su empresa presta servicios dentro de alguno de los
siguientes segmentos:
2.1.1.2.1. Transmisión
Presta servicios de transmisión consisten en estaciones de radio y televisión (TV) gratuitas y por
suscripción, que ofrecen servicios de datos y servicios de datos de audio y video analógicos y
digitales. La radiodifusión ha sido el principal medio de brindar servicios de alerta de emergencia al
público durante seis décadas. Los sistemas de transmisión operan en tres bandas de frecuencia:
frecuencia media (MF (radio AM)), frecuencia muy alta (VHF (radio FM y TV)) y frecuencia ultra alta
(UHF (TV)). La transición completa a la televisión digital y la transición continua a la radio digital
brindan a las estaciones de transmisión capacidades mejoradas, incluida la capacidad de
multidifusión de múltiples programas en un solo canal. Las estaciones de radio y televisión también
transmiten contenido de transmisión y programación adicional a través de Internet.
2.1.1.2.2. Cable
Presta servicios de programación de video analógico y digital, servicio de telefonía digital y servicios
de banda ancha de alta velocidad. Los sistemas de cable utilizan una mezcla de fibra y cable coaxial
9
Tomado del plan específico del sector de comunicaciones – 2016, Homeland Security.
10
para proporcionar rutas de señal bidireccionales al cliente. Esta arquitectura de red híbrida de fibra /
coaxial (HFC) segmenta efectivamente el sistema de cable en varias redes de distribución paralelas.
La arquitectura HFC es beneficiosa para los clientes comerciales y residenciales porque mejora el
rendimiento de la señal y aumenta el ancho de banda disponible y la confiabilidad general de la red.
Aunque los diseños de red varían, la arquitectura de HFC en cualquier comunidad en particular se
basa típicamente en una topología de tres niveles, que incluye una cabecera, uno o más centros de
distribución y múltiples nodos de fibra.
2.1.1.2.3. Satélite
Esta es una plataforma lanzada en órbita para transmitir señales de voz, video o datos como parte
de una red de telecomunicaciones. Las antenas de la estación terrena transmiten señales al satélite,
que se amplifican y se envían de vuelta a la Tierra para su recepción por parte de otras antenas de
estación terrena. Los satélites utilizan una combinación de componentes terrestres y espaciales para
realizar muchos tipos de funciones, como la transmisión bidireccional de servicios de voz, video y
datos; recopilación de datos; detección de eventos; sincronización; y la navegación.
A continuación, se presentan los servicios esenciales que se identificaron para el sector TIC, los cuales cumplen
los criterios horizontales de criticidad en las variables definidas en la Guía para la Identificación de
Infraestructura Crítica Cibernética -ICC- de Colombia,10 los cuales se presentan a continuación:
10 Según la Guía para la Identificación de Infraestructura Crítica Cibernética -ICC- de Colombia, las tres (3) variables para identificación
son 1) el impacto social, valorado en función de la afectación de la población (incluyendo pérdida de vidas humanas), el sufrimiento
físico y la alteración de la vida cotidiana (se estima como el 0,5% de la población total colombiana), 2) el impacto económico, valorado
en función de la magnitud de las pérdidas económicas en relación con el Producto Interno Bruto de Colombia -PIB- (se estima como el
PIB diario o el 0,123% del PIB Anual), y 3) el impacto medioambiental, valorado en función de los años que tarda la recuperación del
medio ambiente (se estima como 3 años)
11
Impacto social 0,5 % Impacto económico PIB Impacto medioambiental
Población Nacional de un día ó 0.123% del
PIB Anual
250.000 personas 464.619.736,13 3 años
De acuerdo con lo mencionado anteriormente se identificaron los siguientes servicios como esenciales para el
sector clasificados de acuerdo con la normatividad vigente y se incluyen otros servicios.
Internet Fijo
Internet Móvil
Telefonía Móvil
Telefonía Fija
Servicios Postales
Servicios de aplicaciones y contenidos por suscripción
b. Servicios prestados por operadores o concesionarios del servicio de televisión: Incluyen los siguientes
servicios de televisión:
2.1.3. Interacción de las Tecnologías de la Información -TI- y las Tecnologías de Operación -TO- que
pueden influir en la prestación de servicios TIC esenciales.
11De acuerdo con el artículo 18, numeral 20 de la Ley 1341 de 2009 y el numeral 3.4 de la Resolución 001652 de 2008, el MinTIC pone
en conocimiento de la comunidad en general, la lista de dominios restringidos para el ccTLD .co"
12
La interdependencia de las TI y las TO, son fundamentales para la prestación de servicios TIC
esenciales, teniendo en cuenta, por ejemplo, sistemas definidos como SCADA12.
Dado que las comunicaciones, la conectividad e intercambio de información a nivel global se realiza
mediante el uso del Internet y a través de la misma Infraestructura Crítica de Información, la
dependencia con los sistemas de información y los servicios vinculados, así como el uso y
aprovechamiento de las tecnologías, son determinantes para soportar la efectiva prestación de
servicios TIC esenciales en los diferentes sectores del país.
En cuanto al uso de las tecnologías críticas de sistemas de información, comunicación y control que
se utilizan en los procesos de protección de infraestructuras críticas cibernéticas nacionales por parte
de los sectores que las gestionan, se deben tener en cuenta y priorizar aquellos asociados con:
a. Los sistemas de control que permiten monitorear y controlan alguna parte o servicio (por ejemplo,
sistemas de control específicos en la producción, transporte y distribución de gas natural, red eléctrica,
entre otras), más aún si tenemos en cuenta que:
Los múltiples operadores de aquellos sectores que estén catalogados como ICC pueden
requerir interconexión de sus sistemas críticos con diferentes operadores.
Los fabricantes, las empresas de mantenimiento y los integradores de sistemas pueden
requerir acceso remoto las 24 horas al día / los 7 días a la semana, a los sistemas de control
y sistemas físicos controlados para optimizar sus procesos.
b. Prestación colaborativa de servicios críticos (por ejemplo, como sucede en los sistemas financieros y
logísticos en servicios como el SWIFT).
Interdependencias sectoriales
Relación de dependencia recíproca entre las organizaciones públicas, privadas o mixtas que gestionan
infraestructuras críticas cibernéticas en el sector TIC, y las demás organizaciones que integran otros sectores
económicos del país.
Dependencias propias (de entrada): Son servicios que un sector recibe de otros sectores.
A continuación, se presentan las dependencias con los sectores, los cuales nos proveen insumos para el
funcionamiento de la infraestructura tecnológica del sector TIC, como, por ejemplo, la energía, transporte de
insumos y para el mantenimiento de las redes de comunicaciones, suministro eléctrico, combustible para las
plantas de respaldo eléctrico, protección por parte de la fuerza pública en caso de conflicto.
12 SCADA, acrónimo de Supervisory Control And Data Acquisition (Supervisión, Control y Adquisición de Datos).
13
Ambiente
Salud y protección social
Agua
Transporte
Agricultura y Alimentación
Fuente: Elaboración propia
En la siguiente tabla se muestran los servicios esenciales del sector TIC que proporcionan a los demás sectores.
Servicios de
Tecnologías
de
Información: Servicios de
Incluye resolución
todos los de nombres
servicios de de Dominio: Servicios de
Servicios Servicios
Servicios TI asociados (Administra infraestruct
prestados de gestión
de a la dor de ura y
por de
Servicios aplicacion conectividad nombre de contenido
Servicio operadores incidentes
Esenciales Interne Internet Telefoní Telefoní es y , seguridad y dominio del en línea
s o de
TIC por t Fijo Móvil a Móvil a Fija contenidos puestos de país, (Data
Postales concesionari seguridad
sector por trabajo que registradore Center,
os del de la
suscripció son s de Hosting,
servicio de informació
n prestados nombres de Colocation,
televisión n
por las dominios), Nube, XaaS)
entidades proveedores
públicas y de servicios
organizacion DNS
es mixtas o
privadas del
sector TIC
Gobierno X X X X X X X X X X X
Seguridad y
X X X X X X X X X X X
defensa
TIC X X X X X X X X X X X
Electricidad X X X X X X X X X X X
Financiero X X X X X X X X X X X
Educación X X X X X X X X X X X
Hidrocarburo
s, minas y X X X X X X X X X X X
gas
Industria,
Comercio y X X X X X X X X X X X
Turismo
Ambiente X X X X X X X X X X X
Salud y
protección X X X X X X X X X X X
social
Agua X X X X X X X X X X X
Transporte X X X X X X X X X X X
Agricultura y
X X X X X X X X X X X
Alimentación
Fuente: Elaboración propia
Por lo anterior, el sector TIC es transversal a todos los sectores económicos por soportar con su infraestructura
tecnológica las operaciones de los servicios que se prestan a través de los demás sectores, con dependencias
propias y ajenas, como se hace mención en el apartado anterior, las cuales pueden contar con un nivel de
importancia dependiendo de dónde se presten el o los servicios de cada entidad. A continuación, mostramos el
cuadro de interdependencias del sector TIC:
Hidrocarburo,
Alimentación
Agricultura y
minas y gas
Seguridad y
Electricidad
Comercio y
Transporte
protección
Financiero
Educación
Ambiente
Industria,
Gobierno
SECTOR
Turismo
defensa
Salud y
social
Agua
TIC
Gobierno
Seguridad y defensa
TIC
Electricidad
Financiero
Educación
14
Hidrocarburos, minas y gas
Industria, Comercio y Turismo
Ambiente
Salud y protección social
Agua
Transporte
Agricultura y Alimentación
Fuente: Elaboración propia
15
CAPÍTULO III: AMENAZAS, RIESGOS, VULNERABILIDADES E IMPACTO CIBERNÉTICO SECTORIAL
El presente capitulo tiene como finalidad identificar las amenazas que pueden afectar las tecnologías de
información que aplican a las infraestructuras críticas cibernéticas nacionales que hacen parte del sector TIC,
mediante la metodología de la ventana de AREM13 proporcionada por el Comando Conjunto Cibernético -
CCOC- de las Fuerzas Militares de Colombia.
Para tal fin se presenta un listado de amenazas, como ejemplo, para que las organizaciones propendan por
mantener actualizado, teniendo en cuenta las características propias de sus sistemas de información, su
contexto de operación y su Sistema de Gestión de Seguridad de la Información -SGSI-, en caso de contar con
el mismo.
Los listados presentados a continuación son tomados de la Guía de infraestructura crítica cibernética -ICC- para
el sector estratégico de Tecnologías de la Información y las Comunicaciones, realizada como documento de
apoyo del Modelo de Gestión de Riesgos de Seguridad Digital del MinTIC en el año 2017.
Algunas de las amenazas sobre tecnologías de la información -TI- que pueden identificarse en infraestructuras
críticas cibernéticas nacionales que hacen parte del sector TIC, tomados de los estándares NIST 800-82 e ISO
27005:2011, se relacionan a continuación:
Denegación de servicio dirigido o distribuido a grupos de direcciones IP o portales con información que
soporta varios clientes;
Ataque a las aplicaciones (secundarias, transaccionales, de primera línea, centrales, de segunda línea,
interconexiones y aliados);
Puertas traseras y malware instalado por defecto por fabricantes;
Robo de credenciales, de cuentas de la entidad y de sus usuarios;
Ataque a sistemas de pago y atención al cliente;
Ataque a sistemas de control industrial, donde se incluyen comunicaciones inalámbricas o cableadas
por cualquier medio;
Ataque remoto a sistemas de control industrial como resultado de mayor conectividad con protocolos
estándar, sistemas operativos estándar y gestión de sistemas legado;
Acceso remoto a información sobre configuración, gestión, bases de datos y mantenimiento de
diferentes sistemas de control que son entregados y administrados por la entidad;
Ataque en interfaces de programación de aplicaciones -API- y servicios en línea que proporcione el
servicio de comunicaciones como: facturación, cambio en servicios o planes;
Ataque a teléfonos móviles e instalación de malware: SMS, llamadas, formularios falsos, robo de
información, aplicaciones móviles;
Intercepción de comunicaciones de los usuarios finales del servicio de comunicaciones o Internet;
Hacking de redes inalámbricas configuradas con protocolos débiles;
Sitios proporcionados al cliente y comprometidos con malware hospedado;
Ataque a equipos internos, acceso remoto para entrar a las interfaces de control humana -HMI- con
posibilidad de monitorear y cambiar los sistemas que proporcionan servicio al cliente y almacenan su
información;
Generación de pagos con los recursos de la entidad;
Robo de identidad;
Robo de claves;
16
Crimen como servicio;
Mayor acceso a conocimiento técnico de sistemas para la prestación de los servicios de banda ancha,
móvil o fibra;
Ataque a la nube (pública, privada, híbrida) proporcionada como servicio o adquirida por clientes
independientes;
Protección de datos almacenados y gestionados en la nube;
Fallos en nuevos productos de comunicaciones;
Dependencia de marcas de tecnología extranjera o con enfoques diferentes;
Phishing.
Algunas de las amenazas sobre tecnologías de la operación -TO- que pueden identificarse en
infraestructuras críticas cibernéticas nacionales que hacen parte del sector TIC son los siguientes:
Los riesgos sobre tecnologías de la información -TI- que pueden identificarse en infraestructuras críticas
cibernéticas nacionales que hacen parte del sector TIC son los siguientes:
17
3.3.1. Falla en la definición de los requerimientos de desempeño y de tiempo para los elementos de red,
servidores o aplicaciones;
3.3.2. Falla en la identificación de requerimientos de disponibilidad por parte de los fabricantes y de la
entidad;
3.3.3. Ausencia de requerimientos de la gestión del riesgo, al no considerar la protección de la vida
humana y luego la del proceso;
3.3.4. Riesgos por efectos físicos: los elementos controlan el mundo físico de manera directa,
instalaciones adecuadas para proteger los activos de TI;
3.3.5. Afectación por errores en la operación del sistema: los cambios y parches realizados sin
supervisión, autorización o en ambiente de pruebas;
3.3.6. Posible limitante para ejecutar funciones de seguridad;
3.3.7. Uso de protocolos propietarios y estándares: uso de redes propias y dedicadas sin controles de
seguridad;
3.3.8. Posible falta de control de cambios que afecten la integridad del sistema de control que se
mantiene;
3.3.9. Posible degradación de los servicios esenciales por sistemas operativos no soportados por el
fabricante, falta de licenciamiento o versiones obsoletas de software;
3.3.10. Posible paro de la operación por dependencia de un único proveedor de servicios;
3.3.11. Falta de calidad en los servicios por causa del tiempo de vida de equipos de comunicación limitado,
servidores sin actualización de hardware, y almacenamiento sin capacidad, entre otros.
3.3.12. Posible demora en acceso a la infraestructura por causa de ubicaciones remotas y difíciles de
acceder a los elementos de TI.
Algunos de los riesgos sobre tecnologías de la operación -TO- que pueden identificarse en infraestructuras
críticas cibernéticas nacionales que hacen parte del sector TIC son los siguientes:
3.4.1. Falla en la disponibilidad de las operaciones y servicios prestados por la entidad a causa del
malware o virus informático y código malicioso, entre otros;
3.4.2. Multas y costos a causa de fallas por errores humanos en los sistemas de información ICC;
3.4.3. Afectación de los servicios prestados por la entidad por causa de malas configuraciones en los
sistemas, configuraciones por defecto o de fábrica;
3.4.4. Violación de seguridad perimetral en las ICC por causa de fallas en el monitoreo de los sistemas
de control;
3.4.5. Extensión en el tiempo de recuperación de un servicio por causa de la falta de documentación de
la infraestructura, procesos o flujos de información de la ICC;
3.4.6. Pérdida de información de la entidad por causa de procesos inadecuados de respaldo y
recuperación;
3.4.7. Pérdida de acceso a las ICC por causa de un ciberataque que afecte los sistemas de
autenticación que rigen la administración de los equipos de ICC;
3.4.8. Problemas de disponibilidad, confiabilidad y seguridad industrial de las ICC;
3.4.9. Falla en las competencias del personal que soporta y administra las ICC;
3.4.10. Exposición a temas legales por causa de falla en la disponibilidad, confidencialidad o integridad
de las ICC;
3.4.11. Posible incumplimiento de requisitos regulatorios;
3.4.12. Afectación de la imagen corporativa y reputacional por causa de la degradación en la prestación
de los servicios de ICC;
3.4.13. Fallas de energía por degradación en los sistemas de respaldo de energía
3.4.14. Corte de suministro de energía, UPS, baterías o alimentadores de antenas, radios o dispositivos
de comunicación.
18
Vulnerabilidades Cibernéticas TI asociadas al sector TIC.
Algunas de las vulnerabilidades sobre tecnologías de la información -TI- que pueden identificarse en
infraestructuras críticas cibernéticas nacionales que hacen parte del sector TIC son las siguientes:
3.5.1 Versiones que no son soportadas de hardware, sistema operativo, bases de datos y en general
asociadas a la TI/TO;
3.5.2 Instalación de aplicaciones y software que dependen de versiones obsoletas de marcos de
referencia para base de datos, servidores web y de contexto sin actualizaciones;
3.5.3 Configuración de sistemas de información o control con parámetros débiles, por defecto o que
generen exposición;
3.5.4 Configuraciones por defecto de los sistemas operativos o aplicaciones entregadas como servicio
a la ciudadanía;
3.5.5 Redes inalámbricas entregadas como servicio con contraseñas débiles de acceso o protocolos
identificados como vulnerables;
3.5.6 Uso de software libre con vulnerabilidades no identificadas;
3.5.7 Sistemas operativos sin parches aplicados;
3.5.8 Uso de protocolos inseguros para comunicación y administración de infraestructura;
3.5.9 Dispositivos sin políticas de seguridad aplicadas;
3.5.10 Archivos de configuración expuestos en Internet;
3.5.11 Archivos con metadatos internos expuestos en Internet;
3.5.12 Publicación de servicios innecesarios y vulnerables en equipos que tienen publicación en Internet;
3.5.13 Aplicaciones aprovisionadas como servicio, con vulnerabilidades de Cross Site Scripting (XSS),
Cross Site Request Forgery (CSRF), inyección SQL e inyección;
3.5.14 Sistemas de autenticación a través de protocolos inseguros;
3.5.15 Transmisión de datos visibles y sin ningún tipo de cifrado;
3.5.16 Software de base de datos sin configuraciones de seguridad;
3.5.17 Servidores web fuera de soporte con versiones obsoletas;
3.5.18 Redes de datos y voz sin segmentación;
3.5.19 Configuraciones de despliegue de políticas en directorio activo con contraseñas visibles en
archivos de configuración.
Algunas de las vulnerabilidades sobre tecnologías de la operación -TO- que pueden identificarse en
infraestructuras críticas cibernéticas nacionales que hacen parte del sector TIC son los siguientes:
19
3.6.10 Falta de revisión de políticas de firewall;
3.6.11 Uso no autorizado de datos personales;
3.6.12 Falta de supervisión en mantenimientos realizados sobre la infraestructura tecnológica y de
comunicaciones entregada a clientes o en la cual se prestan servicios;
3.6.13 Falta de revisión de plan de capacidad de la infraestructura tecnológica entregada a los clientes;
3.6.14 Falta de desarrollo, comunicación, aplicación y actualización de procedimientos operativos y de
control sobre las operaciones del negocio; por ejemplo:
3.6.14.1 Procedimientos de gestión de activos;
3.6.14.2 Procedimientos de gestión de incidentes;
3.6.14.3 Procedimientos de gestión de la capacidad;
3.6.14.4 Procedimientos de gestión de cambios;
3.6.14.5 Procedimientos de gestión de configuraciones;
3.6.14.6 Procedimientos de monitoreo, supervisión y control.
Gestión de incidentes
Para la gestión de incidentes del sector de ICC del sector TIC, el reporte de incidentes será reportado al
colCERT, dando cumplimiento a los establecido por la regulación vigente. Por parte del comité de seguridad
digital, se establecerán los mecanismos que se hallan acordado entre el colCERT y el sector TIC. Las
organizaciones que pertenezcan al sector TIC se alinearán con lo dispuesto en el Anexo C del estándar ISO/IEC
27035-2 (2016) - Estándar para la Gestión de Incidentes de Seguridad de la Información y aquellas versiones
posteriores de la misma. Los incidentes de seguridad de la información en el sector TIC deberán considerar los
siguientes factores para la clasificación de la severidad de incidentes de seguridad de la Información:
Pequeño (Clase I)
20
La importancia de los sistemas de información afectados por los incidentes de seguridad de la
información se determina considerando la relevancia de las operaciones comerciales de la
organización respaldadas por los sistemas de información. La importancia podría expresarse en
relación con la seguridad nacional, el orden social, el desarrollo económico y el interés público, y
la dependencia del negocio en los sistemas de información. Este enfoque clasifica la importancia
del sistema de información en tres (3) grandes niveles: sistema de información especialmente
importante, sistema de información importante y sistema de información ordinario.
Impacto social:
21
desarrollo económico y el interés público. Este enfoque clasifica el impacto social en cuatro (4)
niveles:
a) Impacto social especialmente importante: es aquel que implicaría efectos adversos que
abarcarán la mayoría de las áreas de uno o más departamentos o provincias, amenazando
en gran medida la seguridad nacional, causando disturbios sociales, generando
consecuencias extremadamente adversas para el desarrollo económico y/o dañando
gravemente el interés público.
b) Impacto social importante: es aquel que implicaría efectos adversos que abarcarán la mayoría
de las áreas de una o más ciudades, amenazando la seguridad nacional, causando pánico
social, produciendo consecuencias adversas significativas en el desarrollo económico y/o
perjudicando el interés público.
c) Impacto social considerable: es aquel que implicaría efectos adversos que abarcarían áreas
parciales de una o más ciudades, con una amenaza limitada para la seguridad nacional, con
alguna perturbación del orden social, con consecuencias adversas para el desarrollo
económico o que influyen en el interés público.
d) Impacto social menor: es aquel que significaría efectos adversos en un área parcial de una
ciudad y pocas posibilidades de amenazar la seguridad nacional, el orden social, el desarrollo
económico y el público.
Gestión de Riesgos
Las entidades pertenecientes al sector TIC deben implementar una metodología de gestión de riesgos que esté
acorde con la naturaleza de su organización y que se encuentre alineada con las exigencias normativas
vigentes.
Para la identificación de otros riesgos que son considerados como amenaza para la infraestructura crítica
cibernética del sector TIC y de los cuales no se cuentan con controles dentro de la gestión de riesgos de cada
organización, se propone utilizar la ventana de AREM.
La ventana de AREM14 es un Instrumento metodológico, el cual debe ser aplicado por un analista de riesgos
recolectando y analizando, durante un tiempo, material suficiente de tendencias visibles y emergentes sobre
nuevas y posibles amenazas o vectores de ataque, las cuales valora y prioriza de acuerdo con su nivel de
impacto en la organización, novedad del ataque y capacidad de respuesta actual de la empresa. Basado en
este resultado, se establece una lista de posibles amenazas.
Para tal fin, se deben identificar las amenazas y riesgos ubicándolos en cada uno de los siguientes cuadrantes:
14Metodología desarrollada por el PhD. Jeimy José Cano M. (2017) La ventana de AREM. Una estrategia para anticipar los riesgos y
amenazas en ciberseguridad empresarial. ISACA Journal. 5. Recuperado de: https://www.isaca.org/Journal/archives/2017/Volume-
5/Pages/the-arem-window-spanish.aspx.
22
Fuente: CCOC
De acuerdo con el contexto anterior, se identificaron para el sector TIC los siguientes riesgos, de los cuales
algunos nombres presentados son nombres dados a grupos de riesgos que se identificaron para cada una de
las categorías.
15 Cifrado cuántico: es quizá la amenaza más grave en el ecosistema de seguridad digital al que nos enfrentaremos en el futuro, en
particular el problema es que a medida que la computación cuántica se convierte en una realidad (el roadmap de desarrollo para la
computación cuántica prevé su utilización comercial masiva en los próximos 10 años, hoy en día ya están disponibles computadores
cuánticos de 50 qubits), el problema es que un computador cuántico lo suficientemente capaz (4000 qubits) de romper todos los
algoritmos de cifrado con llave pública(RSA, SHA, AES, etc) utilizados hoy en día para compras en línea, establecer passwords,
certificados en Internet, etc.
16 El comportamiento de los empleados: se describe como la pérdida o daño de información a manos de los empleados de una empresa,
23
17. Deterioro de los medios de almacenamiento;
18. Enmascaramiento de la identidad del usuario;
19. Errores de mantenimiento;
20. Errores de transmisión y comunicación;
21. Errores de usuario;
22. Escuchas ilegales;
23. Fallas de los sistemas de respaldo;
24. Fallas de suministro (potencia, aire acondicionado);
25. Fallas y vulnerabilidades del software;
26. Fallo del software;
27. Fraude Bancario;
28. Fuga de información;
29. Ingeniería inversa para explotar vulnerabilidades;
30. Interceptaciones de comunicaciones;
31. Modificación no autorizada de la información;
32. Modificaciones a la radiación electromagnética;
33. Puertas traseras;
34. Robo;
35. Sobrecarga de tráfico;
36. Suplantación;
37. Rootkits en browsers;
38. API maliciosamente modificadas;
39. Infraestructura maliciosamente modificada.
24
31. Modificación no
autorizada de la información.
32. Modificaciones a la
radiación electromagnética.
34. Robo
35. Sobrecarga de tráfico.
36. Suplantación
Fuente: Elaboración propia
Del análisis anterior, se propone lo siguiente para la ventana de AREM del sector TIC:
Lo que
desconoce el 2, 4, 8, 15, 16, 28, 29, 33 7, 9, 10, 11, 37, 38, 39
entorno
Fuente: Elaboración propia
De acuerdo con el Decreto 1499 de 2017, la Seguridad Digital es una Política de Desarrollo Administrativo, lo
que garantiza que el tema sea implementado por las entidades del Estado y permanezca en el tiempo. Adicional
a lo establecido en el mencionado decreto, el CONPES 3854 y el Borrador del Plan de Protección de
Infraestructuras Críticas tienen definido unos roles y responsabilidades.
Actualmente se encuentra vigente el Acuerdo 002 del 5 de junio de 2018 que crea el comité de seguridad digital.
Directorio
A continuación, se propone un directorio del Esquema Sectorial de Defensa y Protección de la ICC para facilitar
el contacto de las entidades que conforman el Sector TIC.
25
Cámara de entidades de televisión, Teléfono: 6065222, Cra. 16 # 76-42 Of. 703, Edif. Lago 76, Bogotá,
comunicación y recreación "Comunicar Colombia.
PBX: (571) 3595520 - FAX: (571) 3546455, info@colfecar.org.co
Federación Colombiana de Transportadores
Av Calle 24 # 95A - 80 Oficina 406 Edificio Colfecar Bussiness Center
de Carga por Carretera - COLFECAR
Dorado, Bogotá, Colombia
Confederación Colombiana de Consumidores + 57 1 2840391, Transversal 6 # 27-10 piso 5, Bogotá, Colombia.
Carrera 10 No 20-39, Of 216 Bogotá – Colombia.
Confederación de Vocales de Control -
contacto@confevocoltics.org
CONFEVOCOLTIC:
Teléfonos: 3218161577 - 3146386675
Calle 100 8A-49 Torre B Oficina 507
World Trade Center, Bogota, COLOMBIA
.CO INTERNET S.A.S
+57 (1) 616 99 61
Soporte@COInternet.com.CO
A continuación, se proponen algunas estrategias y acciones para llevar a cabo la protección y defensa de las
infraestructuras críticas cibernéticas nacionales del sector TIC, en aras de fortalecer su seguridad y desarrollar
la resiliencia de éstas, así como dar cumplimiento a los objetivos establecidos en el presente plan.
Para el desarrollo y fortalecimiento de la protección y defensa de las ICC del sector TIC, se proponen tres (3)
líneas estratégicas, a ser desarrolladas por el sector TIC.
5.1.1. Línea estratégica 1: Elaborar el Plan de Seguridad del Operador de Infraestructura Crítica
Cibernética del sector TIC
El plan de seguridad del operador es un documento que define los lineamientos de seguridad que deben adoptar
los diversos dueños y operadores de las infraestructuras críticas y se debe tener en cuenta lo siguientes:
a) Lineamientos para la política de seguridad de los operadores críticos, la relación de servicios esenciales
prestados.
b) Lineamientos para la gestión y análisis de riesgos (amenazas físicas y lógicas), modelo de gestión y el
criterio que se va a utilizar para la aplicación de medidas de seguridad adecuadas
c) Catalogar los operadores de ICC del sector TIC, se hará una encuesta para identificar la
criticidad de cada uno de acuerdo con la clasificación de los servicios.
5.1.2. Línea estratégica 2: Plan de Protección Específico del Operador de Infraestructura Crítica
Cibernética del sector TIC
Posterior a la elaboración del Plan de Seguridad del Operador de Infraestructura Crítica Cibernética del sector
TIC, cada uno de los operadores deberá construir su plan de protección teniendo en cuenta los lineamientos
identificados en el plan de seguridad del operador.
a) Elaborar el plan de protección de cada operador utilizando los lineamientos del Plan de Seguridad del
Operador de Infraestructura Crítica Cibernética del sector TIC, este plan se elabora con el propietario de la
ICC y será apoyado por el sector CCOCI.
26
b) Elaborar un manual operativo que les permita establecer los procesos y procedimientos, para el
restablecimiento de los servicios críticos.
5.1.3. Línea estratégica 3: Elaborar el Plan de Apoyo Operativo de Infraestructura Crítica Cibernética del
sector TIC.
a) Elaborar el plan de apoyo operativo operador utilizando los lineamientos que emita el CCOCI, este plan
se elabora con cada uno de los propietarios de la ICC y será apoyado por el sector CCOCI.
b) Aprobación del plan por cada uno de los representantes legales.
Monitoreo
El Monitoreo se realizará por la organización / entidad que se encargue de recibir y consolidar la información
de los reportes de incidentes de acuerdo con el marco regulatorio vigente. La revisión y actualización del plan
de protección y defensa de las ICC del sector TIC será coordinado por el CCOC, de acuerdo con los
lineamientos emitidos para el efecto.
Mejora Continua
El plan estará en continua revisión por parte de las organizaciones / entidades que conformen el comité
sectorial, con el fin de mejorar y fortalecer continuamente la gestión del plan, a fin de preservar la resiliencia de
la ICC del sector TIC, así como la confidencialidad, integridad y disponibilidad de los activos de información.
Una vez sean identificadas las acciones de mejora, éstas se comunicarán a las organizaciones / entidades que
conformen el comité, con el fin de que sean incluidas en el plan de mejoramiento continuo de cada organización.
27
GLOSARIO
El presente glosario es tomado de los documentos y guías que se han desarrollado en el CCOC, además de
los estándares internacionales y marco normativo con el cual se rige el sector TIC.
Activo IT/OT: Cualquier componente con tecnología de información o tecnología de operación que
soporte una infraestructura cibernética.
Comando Conjunto Cibernético (CCOC): Es una Unidad Militar Conjunta (Ejército, Armada y Fuerza
Aérea), que tiene como función principal prevenir, detectar, orientar, contener, decidir, responder y
recuperar ante amenazas cibernéticas que afecten la sociedad, la soberanía nacional, independencia,
integridad territorial, el orden constitucional y los intereses nacionales, todo esto, soportado en un
marco jurídico y/o la Constitución Nacional.
Ciberespacio: Es el ambiente, tanto físico como virtual, compuesto por sistemas computacionales,
programas y aplicaciones (software), redes de telecomunicaciones incluido el Internet, datos e
información y la infraestructura física asociada que es utilizada para la interacción entre usuarios,
entre máquinas y entre máquinas y usuarios. Fuente: Adaptación Resolución CRC.
Ciberdefensa: Es el empleo de las capacidades militares ante amenazas o actos hostiles de
naturaleza cibernética que afecten la sociedad, la soberanía nacional, la independencia, la integridad
territorial, el orden constitucional y los intereses nacionales. Fuente: Ministerio de Defensa.
Ciberseguridad: Es el conjunto de recursos, políticas, conceptos de seguridad, salvaguardas de
seguridad, directrices, métodos de gestión del riesgo, acciones, investigación y desarrollo, formación,
prácticas idóneas, seguros y tecnologías que pueden utilizarse buscando la disponibilidad, integridad,
autenticación, confidencialidad y no repudio, con el fin de proteger a los usuarios y los activos de la
organización en el ciberespacio. Fuente: Adaptación definición ITU.
Cibercrimen/Ciberdelincuencia: Conjunto de actividades ilegales asociadas con el uso de las
tecnologías de la información y las comunicaciones, como fin o como medio, que atenten contra la
integridad, disponibilidad y confidencialidad de la información, los datos y los sistemas informáticos.
Fuente: Ministerio de Defensa.
Comité Ejecutivo de ICC: Lo integran el comandante del Comando Conjunto Cibernético (CCOC),
un representante de la industria y un representante de la academia. Fuente: CCOC - Comité
Coordinador Nacional de ICC: Grupo interdisciplinario de expertos nacionales con conocimientos en
Tecnologías de Información y Comunicaciones (TIC) o Tecnologías de Operación (TO),
Ciberseguridad, Ciberdefensa y gestión de proyectos cuya responsabilidad es liderar la identificación
de infraestructura Critica Cibernética de Colombia. Fuente: CCOC.
Comités Sectoriales de ICC: Integrados por las empresas representativas de cada sector, con la
responsabilidad de liderar y ejecutar las actividades derivadas del Comité Coordinador Nacional de
ICC. Fuente: CCOC
Criterios horizontales de criticidad: Criterios únicos a nivel país para determinar si una
infraestructura estratégica es considerada crítica. Adaptación Ley 8/2011-Gobierno de España.
Infraestructura Cibernética (IC): Son las infraestructuras soportadas por Tecnologías de
Información y Comunicaciones (TIC) o Tecnologías de Operación (TO).
Infraestructura Crítica Cibernética (ICC): Es el conjunto de computadores, sistemas
computacionales, redes de telecomunicaciones, datos e información, cuya destrucción o interferencia
puede debilitar o impactar en la seguridad de la economía, salud pública, o la combinación de ellas,
en una nación. Fuente: Resolución CRC 3067 de 2011, artículo 1.8, numeral 18.
PRSTM: Proveedor de Redes y Servicios de Telecomunicaciones Móviles (incluye a los OMV).
Fuente: Resolución CRC 3128 de 2011, artículo 2, Modificada por la Resolución CRC 4813 de 2015.
Riesgo operacional: Es aquel que puede ocasionar pérdidas resultantes de la falta de adecuación o
fallas en los procesos internos, de la actuación del personal o de los sistemas o bien aquellas que
sean producto de eventos externos. Fuente: Comité de Basilea.
28
Servicio Esencial: El servicio necesario para el mantenimiento de las funciones sociales básicas, la
salud, la educación, la seguridad, el bienestar social y económico de una comunidad, o el eficaz
funcionamiento de las Instituciones del Estado y las Administraciones Públicas. Adaptación Ley
8/2011-Gobierno de España. Fuente: Guía para la Identificación de Infraestructura Crítica Cibernética
(ICC) de Colombia
29
CONCLUSIONES
La protección, defensa y resiliencia de las infraestructuras críticas cibernéticas nacionales -ICC- del sector TIC
requiere de la participación y actuación de todas las múltiples partes interesadas, así como de un trabajo
articulado a través de una estructura definida y encabezada por el MinTIC junto con las organizaciones,
operadores y propietarios de ICC, con el apoyo de expertos y entidades encargadas de la recuperación y
desarrollo de la Nación.
La identificación de los niveles de alerta requerirá de una permanente vigilancia de las amenazas en el
ciberespacio y de la comunicación efectiva, entre todas las partes de la estructura de protección y defensa de
las ICC del sector TIC.
RECOMENDACIONES
La Estructura Nacional de Protección y Defensa de infraestructuras críticas cibernéticas nacionales del sector
TIC deberá difundir a todo nivel el presente plan e iniciar, a partir de su publicación, la comunicación del nivel
de alerta y la ejecución de las acciones planteadas, tanto a mediano como a largo plazo; a través de los recursos
y capacidades existentes.
AGRADECIMIENTOS
El MinTIC de Colombia ofrece un agradecimiento a todas las instituciones, empresas y organizaciones del
sector público y privado, por su compromiso y colaboración brindada en la construcción del Plan Sectorial de
Protección de la Infraestructura Critica del Sector TIC, en su primera versión.
30