INFRAESTRUCTURA

CRÍTICA CIBERNÉTICA

CN . José William Hernandez Murillo

Jefe de Estado Mayor CCOC

25 Febrero de 2016

www.cgfm.mil.co
 INFRAESTRUCTURAS CRÍTICAS

CIBERDEFENSA
Es el empleo de las capacidades militares ante amenazas o actos hostiles de naturaleza
cibernética que afecten la sociedad, la soberanía nacional, la independencia, la integridad
territorial, el orden constitucional y los intereses nacionales. Fuente: Ministerio de Defensa.

CIBERSEGURIDAD
Es el conjunto de recursos, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices,
métodos de gestión del riesgo, acciones, investigación y desarrollo, formación, prácticas idóneas, seguros
y tecnologías que pueden utilizarse buscando la disponibilidad, integridad, autenticación, confidencialidad y
no repudio, con el fin de proteger a los usuarios y los activos de la organización en el ciberespacio.
Fuente: Adaptación definición ITU.

INFRAESTRUCTURA CRÍTICA CIBERNÉTICA

Son las infraestructuras estratégicas soportadas por Tecnologías de Información y Comunicaciones (TIC) o
Tecnologías de Operación (TO), cuyo funcionamiento es indispensable, por lo que su perturbación o destrucción
tendría un grave impacto sobre los servicios esenciales”. Fuente: Ministerio de Defensa.

www.cgfm.mil.co
 QUINTO DOMINIO

Espacio

Aire
Ciberespacio
Tierra

Mar

www.cgfm.mil.co
 AMENAZAS CIBERNÉTICAS
Características Origen
Interna

Amenaza

Externa

Fuente: Guía de Estrategia Nacional de Ciberseguridad de la ITU- Origen

Fuente: Guía de Estrategia Nacional de Ciberseguridad de la ITU- Características

Impacto Fuentes
Ciberterrorismo Cibercrimen Espionaje Militar

Espionaje Económico y
Ciberguerra Político

Fuente: Guía de Estrategia Nacional de Ciberseguridad de la ITU - Fuentes

4
Fuente: Guía de Estrategia Nacional de Ciberseguridad de la ITU- Impacto

www.cgfm.mil.co
 INFRAESTRUCTURAS CRÍTICAS

“Los necesarios para el mantenimiento de las funciones sociales básicas , la

salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz
funcionamiento de las Instituciones del Estado y las Administraciones Públicas”.

www.cgfm.mil.co
 Infraestructura Crítica

Fuente: http://www.oecd.org/investment/investment-policy/40700392.pdf
www.cgfm.mil.co
 Sectores Estratégicos

www.cgfm.mil.co
 Estados Unidos
Hay 16 sectores de infraestructura crítica, cuyos activos, sistemas y redes, ya sea físico o virtual, se considera
tan vital para los Estados Unidos de que su incapacitación o destrucción tendría un efecto debilitante sobre la
seguridad , la seguridad económica nacional , la salud pública nacional, la seguridad , o cualquier combinación
de los mismos .

www.cgfm.mil.co
 Estados Unidos
Hay 16 sectores de infraestructura crítica, cuyos activos, sistemas y redes, ya sea físico o virtual, se considera
tan vital para los Estados Unidos de que su incapacitación o destrucción tendría un efecto debilitante sobre la
seguridad , la seguridad económica nacional , la salud pública nacional, la seguridad , o cualquier combinación
de los mismos .

www.cgfm.mil.co
 Estados Unidos

www.cgfm.mil.co
 Canadá

www.cgfm.mil.co
 Canadá

www.cgfm.mil.co
 Australia

www.cgfm.mil.co
 España
Las Infraestructuras Críticas según el Plan Nacional de Protección de
Infraestructuras Críticas se pueden dividir en 12 sectores estratégicos:
1. Centrales y redes de energía
2. Tecnologías de la información y las comunicaciones
3. Sistema Financiero y Tributario (por ejemplo, banca, valores e
inversiones)
4. Sector sanitario
5. Espacio
6. Instalaciones de Investigación
7. Alimentación
8. Agua (embalses, almacenamiento, tratamiento y redes)
9. Transportes (aeropuertos, puertos, instalaciones intermodales,
ferrocarriles y redes de transporte público, sistemas de control del
tráfico)
10. Industria Nuclear
11. Industria Química
12. Administración (servicios básicos, instalaciones, redes de información,
activos, y principales lugares y monumentos nacionales).

www.cgfm.mil.co
 GUÍA
INFRAESTRUCTURA
CRÍTICA CIBERNÉTICA
PARA COLOMBIA
MY. Milena Elizabeth Realpe Díaz
Jefe de Prospectiva CCOC

Ing. Samuel Gonzalo Pinzón Barrios

(ECOPETROL)

25 Febrero de 2016

www.cgfm.mil.co
 ICC EN COLOMBIA

colCERT

Heterogeneidad
Identificación, priorización y
Complejidad catalogación de las
infraestructuras críticas.
Interdependencia

Ciberdefensa de las
infraestructuras críticas

Sectores Estratégicos
CCOC

www.cgfm.mil.co
 AMENAZAS A LA ICC

CIBERESPACIO

TERRORISMO

ESPIONAJE

SABOTAJE
GUERRA

CRIMEN

CIBERDEFENSA ARMAS
www.cgfm.mil.co
 GRUPO INTERSECTORIAL

Secreto
www.cgfm.mil.co
 Gobierno
13 - Sectores Colombia
Agricultura – Seguridad y
Alimentación Defensa ACTIVOS CRÍTICOS
NACIONALES BASADO EN
GESTION DE RIESGOS

Transporte TIC

Información de Seguridad
CATÁLOGO INFRAESTRUCTURA y Defensa Nacional
CRITICA CIBERNÉTICA
2017
Junio-2016 Agua Electricidad

Salud y
Protección Financiero
Social

Ambiente Educación

Fase I Industria,
Minero -
Comercio y
Fase II Turismo
Energético

Fase III

www.cgfm.mil.co
 Colombia

Gobierno Seguridad y Defensa TIC Electricidad Financiero

Educación Minero-Energético Industria, Comercio Ambiente Salud y Protección

y Turismo Social

Agua Transporte Agricultura y

Alimentación

www.cgfm.mil.co
 Línea de Tiempo

Consolidación, Catalogación y Priorización por

parte del CCOC Catálogo Firma de
Consolidación Nacional ICC convenios
de acuerdo a enviado a
formatos por Documento Documento Documento UGG-MDN
cada Sector Sectores Sectores Sectores Notificación Inicio desarrollo
Entrega Estratégicos Estratégicos Estratégicos Catálogo Catálogo Oficial a Planes de
Información a de Colombia de Colombia de Colombia Nacional ICC Nacional ICC propietarios protección y
CCOC V1 V2 Versión Final para revisión Versión Final de ICC Defensa

Ene-Abril Mayo Junio Julio Agos Sep Oct Nov Dic

Aplicación Modelo Nacional de Gestión de

Elaboración, revisión Elaboración, revisión y aprobación Modelo Riesgos
y aprobación nuevo Nacional de Gestión de Riesgos
CONPES

www.cgfm.mil.co
 Documentación ICC

Sectores de Infraestructuras Críticas: Un documento que describe los sectores

estratégicos de Colombia, que cuentan con al menos un servicio esencial que depende
de infraestructura de Tecnología de Información o Comunicaciones o Tecnología de
Operación ara su correcto funcionamiento.

El Catalogo Nacional de Infraestructuras Críticas

La documentación contenida en el Catálogo Nacional de Infraestructuras Estratégicas
(se trata de información completa, actualizada y contrastada sobre la totalidad de las
infraestructuras estratégicas en el territorio nacional, su ubicación, titularidad, servicio
que presta, nivel de seguridad que precisan, etcétera), será calificada como SECRETA,
dada la alta sensibilidad para la seguridad y defensa nacional de la información
contenida en dicho Catálogo.

www.cgfm.mil.co
 Guía IICC-CCOC

Basado en:
Framework for Improving Critical
Infrastructure Cybersecurity. NIST.
Febrero 2014.

www.cgfm.mil.co
 Guía IICC-CCOC

www.cgfm.mil.co
 Diagrama de Conceptos

www.cgfm.mil.co
 Diagrama de Conceptos

www.cgfm.mil.co
 Actividades de ICC

www.cgfm.mil.co
 Servicios Esenciales

www.cgfm.mil.co
 Taxonomía

www.cgfm.mil.co
 Criterios de Criticidad

www.cgfm.mil.co
 CASO PRACTICO
Sector Recursos Minero -
Energéticos
Ing. Samuel Gonzalo Pinzón Barrios
(ECOPETROL S.A.)

25 Febrero de 2016

www.cgfm.mil.co
 Actividades – Paso a Paso

No. Nombre Responsable Descripción

Identificar los servicios esenciales, según definición
1 Cada Sector Generar el listado de servicios esenciales vs.
de la sección 4. Glosario.
sectores/subsectores estratégicos empleando el
Identificar los sectores y subsectores estratégicos
2 Cada Sector formato descrito en la sección 6.2.
que soportan los servicios esenciales.
Identificar empresas/organizaciones que cuentan Coordinador del
General el listado de empresas que prestan servicios
3 con infraestructura estratégica cibernética basados Sector / Empresas
esenciales.
en los servicios esenciales para el país. del Sector
Identificar la infraestructura estratégica cibernética Coordinador del Generar el listado de infraestructura estratégica
4 dentro de cada empresa/organización identificada, Sector / Empresas cibernética, empleando la taxonomía descrita en la
que soporta los servicios esenciales. del Sector sección 6.3.
Aplicar la tabla de variables de criticidad a la
Diligenciar el catálogo de infraestructura crítica
infraestructura estratégica cibernética identificada Coordinador del
cibernética descrito en la sección 6.4, empleando los
5 en el punto 4, considerando una afectación tal que Sector / Empresas
criterios horizontales de criticidad descritos en la
impida la prestación del servicio por causa de la del Sector
sección 6.5.
materialización de una amenaza cibernética.
Analizar y depurar la información enviada por los
Consolidar el listado de infraestructura crítica CCOC
6 sectores y en caso requerido solicitar aclaraciones o
cibernética. Mesa Nacional
correcciones.
Consolidar la información enviada por los sectores
Generar catálogo de infraestructura crítica CCOC
7 para generar el catálogo de infraestructura crítica
cibernética. Mesa Nacional
cibernética del País.

www.cgfm.mil.co
 Actividades – Paso a Paso

SERVICIOS ESENCIALES
1
Sector Sector
Sector Estratégico 1
Estratégico 2 Estratégico n
2
Sector Subsector
Subsector SubsectorServicio esencial Justificación
Estratégico Estratégico Explicación del por qué es
Subsector 1.1 Descripción … Empresas del Sector 3
esencial (Máximo 80 palabras)
Sector 1 de
Catálogo Subsector 1.2
Infraestructura Subsector 1.3
Crítica Subsector 2.1
Sector 2
Cibernética Subsector 2.2

Sector n … …

Adaptado de: Methodologies for the identification of Critical Information Infrastructure assets and services –
ENISA; Ley 8/2011, de 28 de abril por la que se establecen medidas para la protección de las infraestructuras
críticas y Decreto 704/2011, de 20 de mayo por el que se aprueba el Reglamento de protección de las
infraestructuras críticas en España.

www.cgfm.mil.co
 Marco Conceptual

SERVICIOS ESENCIALES
1
Sector Sector
Sector Estratégico 1
Estratégico 2 Estratégico n
2
Subsector Subsector
Estratégico Estratégico
Empresas del Sector 3
Infraestructura Estratégica
Catálogo de
Infraestructura Infraestructura Estratégica Cibernética 4
Crítica
Cibernética

In

Adaptado de: Methodologies for the identification of Critical Information Infrastructure assets and services –
ENISA; Ley 8/2011, de 28 de abril por la que se establecen medidas para la protección de las infraestructuras
críticas y Decreto 704/2011, de 20 de mayo por el que se aprueba el Reglamento de protección de las
infraestructuras críticas en España.

www.cgfm.mil.co
 Marco Conceptual

SERVICIOS ESENCIALES
1
Sector Sector
Sector Estratégico 1
Estratégico 2 Estratégico n
2
Subsector Subsector
Estratégico Estratégico
Impacto socialInfraestructuraImpacto Impacto medioambiental
Empresas del Sector 3
Estratégica económico PIB de
Catálogo de un día ó 0.123% del PIB
0,5 % Población
Infraestructura Nacional Anual 4
Criterios horizontales de criticidad

Crítica
Cibernética Infraestructura
250.000 personas 464.619.736,13 3 años
Crítica
Cibernética
In

5 Infraestructura No Crítica Infraestructura Crítica

Adaptado de: Methodologies for the identification of Critical Information Infrastructure assets and services –
ENISA; Ley 8/2011, de 28 de abril por la que se establecen medidas para la protección de las infraestructuras
críticas y Decreto 704/2011, de 20 de mayo por el que se aprueba el Reglamento de protección de las
infraestructuras críticas en España.

www.cgfm.mil.co
 Marco Conceptual

SERVICIOS ESENCIALES
1
Sector Sector
Sector Estratégico 1
Estratégico 2 Estratégico n
2
Subsector Subsector
Estratégico Estratégico
Empresas del Sector 3
Infraestructura Estratégica
Catálogo de
Infraestructura 4
Criterios horizontales de criticidad

Crítica
Cibernética Infraestructura
Crítica 6
Cibernética
In
7

5 Infraestructura No Crítica Infraestructura Crítica

Adaptado de: Methodologies for the identification of Critical Information Infrastructure assets and services –
ENISA; Ley 8/2011, de 28 de abril por la que se establecen medidas para la protección de las infraestructuras
críticas y Decreto 704/2011, de 20 de mayo por el que se aprueba el Reglamento de protección de las
infraestructuras críticas en España.

www.cgfm.mil.co
 Caso práctico: Identificación de Infraestructura Crítica
ECOPETROL – Ejemplo ilustrativo

http://www.ecopetrol.com.co/especiales/mapa_infraestructura.htm
www.cgfm.mil.co
Caso práctico: Identificación de Infraestructura Crítica
ECOPETROL – Ejemplo ilustrativo

Sector

Subsector

Empresa

Nombre: Contacto Suplente:

Contacto Principal Correo Electrónico: Correo Electrónico:

Teléfono: Teléfono:

Una afectación tal que impida la prestación del servicio por causa de la
Infraestructura materialización de una amenaza cibernética en la ICC ocasionaría un
Crítica Cibernética impacto:
Subsector
(Use la taxonomía
de la sección 6.3)
Social Económico Medioambiental

Descripción general de la ICC. Incluya el número Incluya el % estimado Incluya el número de

Nombre Incluye: ¿qué soporta?, ubicación estimado de la de afectación en el PIB. años estimado de
(ciudad) población afectada. recuperación.

www.cgfm.mil.co
 Siguientes pasos …

Identificación
de Activos Riesgos
IT/OT

Activos
Críticos
IT/OT Gestión de
Verificación / Activos Acciones de
Mejora Tratamiento
Catálogo Infraestructura
Crítica Cibernética

Implementación

www.cgfm.mil.co
 GRACIAS
ccoc@ccoc.mil.co
Tel. SOC: 2660247
Celular Servicio: 313-
313-8413686
www.cgfm.mil.co