Sector Ambiente y de Recursos Naturales Renovables (RRNN)

Plan Sectorial de Protección y Defensa para la

Infraestructura Crítica Cibernética de Colombia
Sector Ambiente y RRNN
PSPICCN V 1.0
Año 2018

La destrucción es la voluntad del hombre. Sin

embargo, la prevención también es la voluntad del
hombre. Es una decisión del hombre: escoger
entre la destrucción y la prevención.
1 Babu Rajan.
 CONTENIDO

RESUMEN ............................................................................................................. 6
INTRODUCCIÓN ................................................................................................... 7

1.1. Alcance.............................................................................................................. 10
1.2. Objetivo general y específicos ........................................................................... 13

1.2.1. Objetivo General......................................................................................... 13

1.2.2. Objetivos Específicos ................................................................................. 13

1.3. Principios ........................................................................................................... 14

1.3.1. Resiliencia Cibernética ............................................................................... 14

1.3.2. Colaboración Institucional ........................................................................... 14
1.3.3. Proporcionalidad ......................................................................................... 15

1.4. Misión/Visión ..................................................................................................... 16

1.4.1. Misión ......................................................................................................... 16

1.4.2. Visión ......................................................................................................... 16

1.5. Marco Legal ....................................................................................................... 16

1.6. Aprobación y clasificación.................................................................................. 19

1.6.1. Aprobación ................................................................................................. 19

1.6.2. Clasificación ............................................................................................... 19

1.7. Revisión y actualización..................................................................................... 19

2.1 Servicios Esenciales ........................................................................................... 20

2.1.2 Servicio de Meteorología aeronáutica .............................................................. 21

3.1. Riesgos Cibernéticos Sectoriales ...................................................................... 26

3.1.1. Vulnerabilidades Cibernéticas ......................................................................... 27

3.1.2 Análisis de amenazas y riesgos ....................................................................... 28

3.1.3. Vulnerabilidades ............................................................................................. 31
3.1.4 Impacto Cibernético Sectorial .......................................................................... 31

4.1. Sistema Sectorial de Protección y Defensa del Sector de Ambiente y RRNN .... 34

4.1.2. Roles, Funciones y Responsabilidades ........................................................... 35

5.1. Líneas Estratégicas, Acciones y Métricas .......................................................... 39

2
5.2. Estrategias de Comunicación y Divulgación ....................................................... 43
6.1. Monitoreo ........................................................................................................... 46
6.2. Mejora Continua ................................................................................................. 46

CONCLUSIONES ................................................................................................. 47
RECOMENDACION ............................................................................................. 49
ELABORACIÓN Y CONTRUCCIÓN DEL DOCUMENTO ..................................... 53

3
 LISTA DE FIGURAS

Figura 1. Sector ambiente y RRNN. ................................................................................. 20

Figura 2. Esquema de transmisión de datos hidrológicos y meteorológicos. .................... 25
Figura 3. Estructura de activos de información esenciales. .............................................. 27
Figura 4. Ventana de AREM. ........................................................................................... 29
Figura 5. Organigrama sector ambiente y RRNN. ............................................................ 38
Figura 6. Respuesta incidente infraestructura crítica cibernética. .................................... 45

4
 LISTA DE TABLAS

Tabla 1. Interdependencias Sectoriales. .......................................................................... 24

Tabla 2. Pilares de Seguridad de la Información. ............................................................. 27
Tabla 3. Ventana de AREM para el sector. ...................................................................... 30
Tabla 4. Matriz de Impacto............................................................................................... 32
Tabla 5. Clasificación de Riesgos. ................................................................................... 33
Tabla 6. Matriz de roles y responsabilidades. .................................................................. 35
Tabla 7. Definición de Roles. ........................................................................................... 36
Tabla 8. Directorio. .......................................................................................................... 37
Tabla 9. Riesgos Conocidos. ........................................................................................... 40
Tabla 10. Riesgos Latentes. ............................................................................................ 42
Tabla 11. Riesgos Emergentes. ....................................................................................... 43

5
 RESUMEN

En este documento se indica como el Sector de Ambiente y Recursos Naturales

(RRNN), identifica dentro de sus entidades cuál contiene Infraestructura Critica
Cibernética Nacional (ICC) y a su vez permita entender y tomar conciencia que todas
las entidades del sector somos Infraestructuras Criticas sectoriales.

El presente plan define los lineamientos generales que deben adoptar los diversos
actores dueños y operadores de las infraestructuras críticas cibernéticas del sector
ambiental, para ser utilizado como una herramienta que permitirá articular esfuerzos
de manera coordinada, sistemática y eficiente, con el fin de prevenir y reaccionar
ante la presencia de ataques cibernéticos que pongan en riesgo la continuidad y
disponibilidad de los servicios críticos del sector ambiental.

El sector proporciona la información climática referente a la hidrología y

meteorología, la cual es base fundamental para el sector transporte (aéreo, terrestre,
marítimo y fluvial).

Por otra parte, se describen los riesgos identificados, la vulnerabilidad y el impacto

que este tendría a nivel sectorial y nacional. Así mismo plantea acciones y
actividades de protección y defensa de la infraestructura crítica del sector, de
acuerdo con los roles, funciones y responsabilidades de cada uno de los actores.

Al final del documento se define la planeación estratégica sectorial para la protección

de la Infraestructuras Criticas Cibernéticas, basadas en líneas estratégicas, y en
actividades que se ejecutaran a mediano y largo plazo.

6
 INTRODUCCIÓN

Con base en el CONPES 3854 de 2016, que da lineamiento a la Política de

Seguridad Digital en Colombia, la cual busca aumentar la resiliencia cibernética y
ciberseguridad, el Comando Conjunto Cibernético de las Fuerzas Militares -
CCOCI dispone la creación de planes sectoriales, por lo cual el país se dividió en
trece sectores.

En nuestro país el Sector de Recursos Naturales - RRNN y Ambiente realiza un

aporte importante a la economía Nacional, producen información confiable,
consistente y oportuna, sobre el estado y las dinámicas de los recursos naturales
y del medio ambiente, que facilitan la definición y ajustes de las políticas
ambientales y la toma de decisiones por parte de los sectores público, privado y
la ciudadanía en general.

Los Recursos Naturales y el Ambiente juegan un papel fundamental, teniendo en

cuenta los acontecimientos a nivel nacional y mundial de los efectos del cambio
climático, la deforestación de grandes extensiones de tierra, debido a la ambición
del hombre de seguir explorando y explotando tras los recursos naturales.

La globalización y el uso masivo de las Tecnologías de la Información y las

Comunicaciones (TIC), han permitido optimizar y mejorar la ejecución de
actividades que benefician a todos los sectores del país, contribuyendo al
crecimiento económico, social e industrial; pero esto a su vez trae riesgos que
pueden afectar de manera directa su sostenibilidad y competitividad.

En Colombia, el uso e implementación de las TIC han desempeñado un papel muy

importante y positivo que ha hecho que sea indispensable y se dependa de ella
para el desarrollo de diferentes servicios esenciales de la Nación.

Así mismo, este uso no ha sido solo de manera positiva, también ha sido aplicado
con fines delictivos, para generar ataques y amenazas informáticas, con el objetivo
de afectar y desestabilizar las infraestructuras tecnológicas, sistemas de

7
información, economía del país, empresas, personas en particular hasta el punto
de poner en riesgo la seguridad nacional.

Debido a esto, el estado colombiano, mediante el CONPES 3701 de 2011 y el

CONPES 3854 de 2016, estableció a la Infraestructura Crítica Cibernética
Nacional (ICCN) como un activo nacional a ser protegido de las amenazas en el
ciberespacio, en aras de garantizar la sostenibilidad y prosperidad económica y
social del país. En este mismo camino, el Ministerio de Defensa de Colombia
admite que la protección de la soberanía y los ciudadanos depende en gran
medida de la lucha contra la delincuencia cibernética y de la defensa de la ICCN.

Por lo anterior, las entidades pertenecientes al sector ambiental decidieron

construir el Plan Sectorial de Protección y Defensa para la ICCN de Colombia,
Sector Ambiente y RRNN, que será la herramienta fundamental para orientar la
protección de la ICCN, a través de lineamientos, bajo un marco global de
actuación, que apoye la reacción coordinada de respuesta, ante eventos de
ataques cibernéticos tanto reales como potenciales. Para el sector de RRNN, se
estableció que el Instituto de Hidrología, Meteorología y Estudios Ambientales –
(en adelante IDEAM), por ser la institución que administra información sensible
para otros sectores del país, como lo es los datos de hidrología, meteorología y
alertas, es quien posee la infraestructura crítica del sector.

Por tal motivo el Ministerio de Ambiente y Desarrollo Sostenible por ser cabeza de
sector y algunas entidades como lo son la Autoridad Nacional de Licencias
Ambientales (en adelante ANLA), Parques Nacionales Naturales de Colombia,
Corporación Autónoma Regional de Cundinamarca (en adelante CAR), Instituto
de Investigación de Recursos Biológicos Alexander Von Humboldt y la Secretaria
Distrital de Ambiente de Bogotá (en adelante SDA), han venido trabajando en
equipo y de manera articulada en la construcción del citado Plan Sectorial del
ICCN.

Este plan contiene los roles y responsabilidades generales de cada uno de los
actores involucrados en el sector, así como el detalle de clasificación de alertas,
escalamiento, proceder y respuesta en eventos de Ciberseguridad contra las ICC,

8
fundamentados en los principios y alineados a unos objetivos nacionales en
materia de protección y resiliencia.

De tal manera, es necesario que todos los actores del esquema de protección de
ICC conozcan lo establecido en el presente plan y continúen aunando esfuerzos
para elaborar e implementar planes como este; así como realizar los mejores
esfuerzos para su cumplimiento y por ende mejorar la seguridad digital de las ICC
que operan.

9
 CAPÍTULO I: GENERALIDADES

1.1. Alcance

El Plan Nacional de Protección y Defensa de la ICCN para el sector ambiente y

recursos naturales tiene como alcance definir, aplicar, revisar y mejorar las medidas
de protección y resiliencia a corto, mediano y largo plazo, estableciendo un esquema
para la coordinación activa y articulando las capacidades estratégicas, tácticas y
operativas de las entidades del sector en la protección y defensa de las
infraestructuras críticas cibernéticas.

1.1.1 Términos y Definiciones

Palabras clave. Alertas, estructura, Infraestructuras Críticas Cibernéticas

Nacionales (ICCN), resiliencia, protocolo.

 Amenazas avanzadas persistentes (APT). La definición ampliamente

aceptada de amenaza persistente avanzada es que se trata de un ataque
selectivo de ciberespionaje o cibersabotaje llevado a cabo bajo el auspicio o la
dirección de un país, por razones que van más allá de las meramente
financieras/delictivas o de protesta política. No todos los ataques de este tipo
son muy avanzados y sofisticados, del mismo modo que no todos los ataques
selectivos complejos y bien estructurados son una amenaza persistente
avanzada.

La motivación del adversario, y no tanto el nivel de sofisticación o el impacto, es

el principal diferenciador de un ataque APT de otro llevado a cabo por
ciberdelincuentes o hacktivistas. [documento en línea]. Disponible desde
Internet en: https://bit.ly/2Rs1lif

 Botnet. Se conocen como aquella computadora conectada a Internet que ha

sido comprometida por un cracker de seguridad, un virus de computadora o un
troyano. En general, una máquina comprometida es solo una de muchas en una
"red de bots", y se utilizará para realizar tareas maliciosas de un tipo u otro bajo

10
 dirección remota. La mayoría de los propietarios de computadoras zombie no
saben que su sistema se está utilizando de esta manera. Debido a que el vector
tiende a estar inconsciente, estas computadoras se comparan metafóricamente
con un zombi. [documento en línea]. Disponible desde Internet en:
https://bit.ly/1kSaZsV

 Ciberterrorismo. Es aquel acto criminal perpetrado por el uso de computadoras

y capacidades de telecomunicaciones, que resulta en violencia, destrucción y /
o interrupción de los servicios para crear temor al causar confusión e
incertidumbre dentro de una población determinada, con el objetivo de influir en
un gobierno o población para que se ajuste a un Agenda particular política,
social o ideológica. [documento en línea]. Disponible desde Internet en:
https://bit.ly/2CYe6xc

 Exploit. Es la debilidad en los procedimientos de seguridad del sistema, en el

diseño del sistema, implementación o controles internos que podrían ser
explotados para violar la política de seguridad de un sistema. [PCI DSS]

 Malware. Es un programa que se inserta en un sistema, generalmente de forma

encubierta, con la intención de comprometer la confidencialidad, integridad o
disponibilidad de los datos, aplicaciones o sistema operativo de las víctimas o
de molestar o interrumpir a la víctima. [NIST-SP800-94: 2007] [NIST-SP800-83:
2005].

 Ransomware. Es una forma de fraude en Internet que utiliza software malicioso

(software malintencionado) que engaña o engaña a los usuarios para que
paguen dinero por la eliminación falsa o simulada de software malicioso o afirma
que se deshace del software malicioso, pero en su lugar introduce software
malicioso a la computadora. [documento en línea]. Disponible desde Internet
en: https://bit.ly/2SEIxO0

 Rootkit. Es una herramienta que sirve para ocultar actividades ilegítimas en un

sistema. Una vez que ha sido instalado, permite al atacante actuar con el nivel
de privilegios del administrador del equipo. Está disponible para una amplia

11
gama de sistemas operativos. [documento en línea]. Disponible desde Internet
en: https://bit.ly/2OlVPMf

12
1.2. Objetivo general y específicos

1.2.1. Objetivo General

Optimizar los niveles de protección de las infraestructuras criticas cibernéticas a

través de la coordinación y articulación de los organismos e instituciones del sector;
con el fin de reducir el riesgo, minimizar las vulnerabilidades, mejorar la prevención,
preparación, respuesta, generación de conocimiento y fortalecer la resiliencia e
investigación cibernética del sector Ambiente y Recursos Naturales.

1.2.2. Objetivos Específicos

 Estructurar una mesa de trabajo permanente conformada por el jefe de TI,

oficial de seguridad de la información o un representante del equipo de
seguridad de cada entidad del Sector, que defina las actividades y acciones
preventivas y/o correctivas relacionadas con incidentes de seguridad en las
Infraestructuras Críticas Cibernéticas.

 Gestionar los riesgos asociados a las Infraestructuras Críticas Cibernéticas

del Sector, teniendo en cuenta las siguientes etapas, identificación de
activos, análisis, valoración y tratamiento de riesgos.

 Crear mecanismos de comunicación sectorial que permitan una interacción

permanente para generar una base de conocimiento que facilite prevenir
futuros ataques, todo esto en coordinación con la estrategia nacional para
reducir las vulnerabilidades de las infraestructuras críticas cibernéticas.

 Mejorar la capacidad de resiliencia cibernética del Sector, apoyados en

mecanismos de seguimiento y mejora continua con base a la materialización
de incidentes registrados y reportados, que garanticen la continuidad de
operación del Sector.

13
1.3. Principios

1.3.1. Resiliencia Cibernética

Promover la seguridad y la resiliencia para las ICCN en el entorno operativo, que

respalde los intereses del sector ambiente y RRNN y contribuya a la protección y
desarrollo de la población colombiana. La protección y defensa de las ICCN estará
dimensionada bajo dos enfoques y acompañará todo el ciclo de vida de las ICCN.

De un lado la seguridad, debiendo considerar las formas más efectivas para

prevenir, identificar, interrumpir y mitigar las ciberamenazas y de otro lado
considerando los requisitos de resiliencia de las ICCN.1

1.3.2. Colaboración Institucional

Colaboración y participación integrada de los organismos gestores de la protección,

entidades territoriales y propietarios de las ICCN, a fin de optimizar el grado de
seguridad y resiliencia de estas y la gobernabilidad e institucionalidad en esta
materia. Todos los niveles del Gobierno y el sector público-privado deberán aportar
sus experiencias y estrategias en la solución de los problemas de seguridad de las
ICCN y en su capacidad de recuperación. La colaboración dependerá de la
interiorización de cada uno de los integrantes del esquema nacional, en un conjunto
de características: El compromiso, el establecimiento de relaciones de confianza, la
comunicación clara, la flexibilidad y adaptabilidad, fundamentarán la colaboración
interinstitucional.

A su vez y en relación con los riesgos que tienen consecuencias locales, resulta
imprescindible ejecutar iniciativas y contar con la colaboración a nivel regional o local
para complementar y apoyar el esfuerzo nacional por fortalecer la protección,
defensa y resiliencia de las ICCN.2

1
Plan Nacional de Protección y Defensa para la Infraestructura Crítica Cibernética de Colombia - PNPICCN V 1.0
(2017)

2 Plan Nacional de Protección y Defensa para la Infraestructura Crítica Cibernética de Colombia - PNPICCN V 1.0
(2017)

14
1.3.3. Proporcionalidad

Respeto a los derechos fundamentales consagrados en la constitución, en la función

y deber del Estado de garantizar los derechos de los ciudadanos; asegurando la
proporcionalidad en las medidas de protección adoptadas y el fortalecimiento de la
legislación en materia de protección y defensa de las ICC de interés nacional.

Los responsables de la protección y defensa de las ICCN se comprometerán a

desarrollar lineamientos estratégicos que propendan por la seguridad de las
infraestructuras críticas cibernéticas y el cumplimiento de los deberes sociales del
Estado y sus particulares, actuando en concordancia con los derechos
fundamentales de la sociedad colombiana.

Así mismo se considera imperativo construir las bases jurídicas para logra la
estabilidad y gobernanza del modelo de protección y defensa de las ICCN y la
regulación de las actividades de los actores del Esquema Nacional.3

3 Plan Nacional de Protección y Defensa para la Infraestructura Crítica Cibernética de Colombia - PNPICCN V 1.0
(2017)

15
1.4. Misión/Visión

1.4.1. Misión

Establecer los lineamientos, estrategias y un modelo organizacional para la

protección y defensa de la infraestructura crítica cibernética del sector ambiente y
recursos naturales, que permita reducir el riesgo, minimizar las vulnerabilidades,
mejorar la prevención, preparación, respuesta, generación de conocimiento y
fortalecimiento de la resiliencia e investigación cibernética del sector.

1.4.2. Visión

Proyectar y afianzar para el sector ambiente y recursos naturales una

infraestructura crítica cibernética segura y resiliente, basada en la identificación de
amenazas y la mitigación del riesgo, junto con planes eficientes de protección y
defensa, guías de buenas prácticas y procesos estandarizados en materia de
ciberseguridad, a partir del desarrollo de capacidades y herramientas para
identificar, proteger, responder y recuperarse frente a eventos que le afecten al
sector, apoyados en el marco jurídico necesario para alcanzar su protección integral,
garantizando así la prestación de los servicios esenciales.

1.5. Marco Legal

A continuación, se listan los lineamientos legales que aplican al sector ambiente y

recursos naturales:

 CONPES 3670 de 2010. Lineamientos de política para la continuidad de los

programas de acceso y servicio universal a las tecnologías de la información
y las comunicaciones.

 CONPES 3854 de 2016. Política Nacional de Seguridad Digital.

16
 Ley 1266 de 2008 (Habeas Data). Contempla las disposiciones generales
en relación con el derecho de habeas data y se regula el manejo de la
información contenida en bases de datos personales, en especial la
financiera, crediticia, comercial, de servicios y la proveniente de terceros
países y se dictan otras disposiciones.

 Ley 1273 de 2009 (Delitos Cibernéticos). Por medio de la cual se modifica

el código penal, se crea un nuevo bien jurídico tutelado denominado “de la
protección de la información y de los datos y se preservan integralmente los
sistemas que utilicen las TIC”.

 Ley 1474 de 2011 (Uso de medios tecnológicos). Esta norma permite la

utilización de medios tecnológicos en los trámites y procedimientos
judiciales, en las diligencias, práctica de pruebas y notificaciones de las
decisiones.

 Ley 1581 de 2012 (Habeas Data). Por la cual se dictan disposiciones

generales para la protección de datos. Esta ley busca proteger los datos
personales registrados en cualquier base de datos que permite realizar
operaciones, tales como recolección, almacenamiento, uso, circulación o
supresión por parte de entidades de naturaleza pública y privada, sin
embargo, a los datos financieros se les continúa aplicando la Ley 1266 de
2008, excepto los principios.

 Decreto 1727 de 2009 (Habeas Data). Se determina la forma en la cual los

operadores de los bancos de datos de información financiera, crediticia,
comercial, de servicios y la proveniente de terceros países, deben presentar
la información de los titulares de la información.

 Decreto 1704 de 2012 (Interceptación legal de comunicaciones). Este

Decreto determina que la interceptación legal de comunicaciones es un
mecanismo de seguridad pública que busca optimizar la labor de
investigación de los delitos que adelantan las autoridades y organismos de
inteligencia.

17
 De esta manera, se determina que los proveedores que desarrollen su
actividad comercial en el territorio nacional, deben implementar y garantizar
en todo momento la infraestructura tecnológica necesaria que provea los
puntos de conexión y de acceso a la captura del tráfico de las
comunicaciones que cursen por sus redes, para que los organismos con
funciones permanentes de policía judicial cumplan, previa autorización del
fiscal general de la nación, con todas las labores inherentes a la
interceptación de las comunicaciones requeridas.

 Decreto 1078 de 2015. Por el cual se expide el Decreto único reglamentario

del sector de las tecnologías de la información y las telecomunicaciones.

 Decreto 2573 de 2014 (Gobierno en Línea). Por el cual se establecen los

lineamientos generales de la estrategia de gobierno en línea, se reglamenta
parcialmente la Ley 1341 de 2009 y se dictan otras disposiciones.

 Declaración sobre la protección de infraestructura crítica ante las

amenazas emergentes (Aprobado durante la quinta sesión plenaria,
celebrada el 20 de marzo de 2015). Declaración en donde, entre otros, la
secretaría ejecutiva del CICTE de la OEA desarrolla un proyecto de
asistencia técnica que, permita a estos la elaboración de un listado de su
infraestructura crítica y su clasificación, basados en sus respectivos activos,
sistemas, redes y funciones esenciales, para hacer posible la mejor
evaluación de vulnerabilidades, brechas, amenazas, riesgos e
interdependencia.

18
1.6. Aprobación y clasificación

1.6.1. Aprobación

El Plan Nacional de Protección y Defensa para la Infraestructura Crítica Cibernética

de Colombia para el sector, será aprobado mediante acta firmada por los
representantes de cada una de las instituciones que lo conforman y en cabeza del
líder del sector perteneciente al Ministerio de Ambiente y Desarrollo Sostenible.

1.6.2. Clasificación

La clasificación del plan será de carácter público y tendrá el nivel de

DESCLASIFICADO, con los tópicos de interés particular para la sociedad
colombiana.

1.7. Revisión y actualización

El plan será revisado anualmente y cualquier cambio en este, obligará a la

actualización de este y de los demás planes que estén por debajo de este.

La actualización, gestión y custodia del Plan Nacional de Protección y Defensa para

la infraestructura crítica cibernética del sector ambiente y recursos naturales, estará
a cargo del Ministerio de Ministerio de Ambiente y Desarrollo Sostenible en conjunto
con las instituciones que conforman el sector.

19
 CAPÍTULO II: SERVICIOS ESENCIALES E INTERDEPENDENCIAS

Figura 1. Sector ambiente y RRNN.

Fuente: MADS.

2.1 Servicios Esenciales

El transporte, las comunicaciones, la electricidad, el suministro de agua son servicios

esenciales para el desarrollo de una vida digna en la sociedad actual, y se prestan
tanto por las administraciones públicas como por empresas privadas y todos los
ciudadanos tienen derecho a su recepción en condiciones de calidad.

Las diferentes entidades que conforman el sector ambiente y recursos naturales son
instituciones públicas de apoyo técnico y científico al Sistema Nacional Ambiental,
que generan conocimiento, producen información confiable, consistente y oportuna,
sobre el estado y las dinámicas de los recursos naturales y del medio ambiente, que
facilitan la definición y ajustes de las políticas ambientales y la toma de decisiones por
parte de los sectores público, privado y la ciudadanía en general.

Dentro de los servicios esenciales del sector ambiente y recursos naturales se tienen
los descritos a continuación:

20
2.1.1 Servicios de Información hidrometereológica

La hidrometeorología es la ciencia (estrechamente ligada a la meteorología, la

hidrología y la climatología) que estudia el ciclo del agua en la naturaleza. Abarca el
estudio de las fases atmosférica (evaporación, condensación y precipitación) y
terrestre (intercepción de la lluvia, infiltración y derramamiento superficial) del ciclo
hidrológico y especialmente de sus interrelaciones4.

El servicio de información hidrometereológica comprende la observación,

procesamiento y análisis del comportamiento de los elementos hídricos,
fundamentalmente las descargas de los ríos y los volúmenes almacenados en
embalses naturales y artificiales, así como de los factores meteorológicos5.

2.1.2 Servicio de Meteorología aeronáutica

La meteorología es una disciplina científica y técnica que se encarga de estudiar y

predecir los diversos fenómenos que se producen en la atmósfera, para comprender
por un lado su funcionamiento, composición, estructura y evolución, y por otro lado
para tener importantes predicciones muy útiles para diferentes actividades humanas
como la agricultura, la aeronáutica, la navegación, predicción de enfermedades,
prevención de incendios etc.6.

La meteorología aeronáutica es la especialidad de la meteorología que se ocupa del

estudio de ésta en relación con la aviación o, en general, con la aeronáutica; consiste
en elaborar, recopilar, publicar y distribuir la información de manera oportuna, veraz,
confiable y así contribuir a la seguridad operacional, regularidad y eficiencia de la
navegación aérea. Es el insumo que utilizan los pilotos para realizar sus cartas de
vuelo7.

4 ¿Qué es la hidrometeorología? [documento en línea]. Disponible desde Internet en: https://bit.ly/2QeYjNZ

5 Lopez, K.S. (2017). Estudio hidrológico para el diseño de obras de protección contra inundaciones del río
chinautla, aldea santa cruz, Chinautla, Guatemala. (Tesis de pregrado). [documento en línea]. Disponible desde
Internet en: https://bit.ly/2OjJF6D
6 ¿Qué es la meteorología? [documento en línea]. Disponible desde Internet en: https://bit.ly/2QiZrAw
7 Meteorología aeronáutica. [documento en línea]. Disponible desde Internet en: https://bit.ly/2Oknxc4

21
El IDEAM actualmente presta servicios de información en meteorología aeronáutica
a veintisiete (27) aeropuertos ubicados en distintas ciudades de Colombia, la cual
permite la planeación de los vuelos minimizando los riesgos que se pueda presentar
por las condiciones meteorológicas. Dentro de la información que es usada, se tiene:

 Dirección del viento

 Velocidad del viento
 Carta de vientos
 Lluvias
 Visibilidad
 Nubosidad
 Temperatura del aire
 Rayos
 Clima

2.1.3 Servicios de Alertas Meteorológicas

Este servicio tiene como finalidad advertir a los organismos del sistema nacional de
gestión de riesgos, grupos de interés y ciudadanía en general, sobre algún
fenómeno natural que puede impactar las vidas humanas. Estas alertas se clasifican
en tres severidades: alerta roja, naranja y amarilla, siendo la roja la más crítica y la
amarilla la más leve, clasificación que corresponde a los estándares definidos por la
Organización Meteorológica Mundial (OMM).

Los fenómenos naturales que se reportan son:

 Altas temperaturas
 Contaminación
 Creciente súbita
 Depresión tropical
 Deslizamiento
 Heladas
 Huracán

22
 Incendios
 Inundación lenta
 Mar de leva
 Oleaje y viento
 Onda tropical
 Pleamares
 Rayos
 Tiempo lluvioso
 Tormenta tropical
 Viento fuerte y oleaje en ascenso

Esta información se genera varias veces al día, todos los días, por lo cual se
considera crítico que los sistemas de información se encuentren operativos las 24
horas, los 365 días del año.

2.1.4 Interdependencias Sectoriales

En el siguiente cuadro se expresan las independencias que tiene el sector de

ambiente y recursos naturales con los demás sectores, es decir se indica de que
sectores depende el sector de Ambiente y RRNN para operar correctamente o
brindar sus servicios esenciales

Interdependencias Sectoriales

Interdependencia
Sector Ambiente Ambiente Descripción
- Otros Sectores

En todos los componentes del ciclo de los datos

hidrológicos y meteorológicos, para su registro
y construcción de productos, es necesario
Eléctrico X
contar con el suministro de energía. Aunque la
transmisión original se genera desde
estaciones que cuentan con un sistema de

23
 Interdependencias Sectoriales

Interdependencia
Sector Ambiente Ambiente Descripción
- Otros Sectores

energía propio (baterías), la transmisión y

recepción dependen de componentes que
utilizan energía eléctrica de la red pública. Así
mismo, el almacenamiento, procesamiento y
publicación de los datos también se realiza en
instalaciones que dependen de la energía
eléctrica para operar. Es importante acotar que
el IDEAM cuenta con una planta eléctrica, que
le permite algún nivel de independencia en caso
de ausencia del servicio de energía de la red
pública.
A través de la infraestructura de
telecomunicaciones que provee este sector, se
transmiten la mayoría de los datos de origen
TIC X
hidrológico y meteorológico. Para dicha
transmisión se utilizan diferentes canales, a
saber: satelital, Internet, GRPS (celular).

Tabla 1. Interdependencias Sectoriales.

Fuente: Autor

24
Figura 2. Esquema de transmisión de datos hidrológicos y meteorológicos.
Fuente: IDEAM.

25
 CAPÍTULO III: RIESGOS, VULNERABILIDADES E IMPACTO
CIBERNÉTICO SECTORIAL

El sector ambiental por el tipo de información vital que genera y al ser un segmento
importante del país es propenso a sufrir ataques cibernéticos. Es por esto que para la
construcción y desarrollo del Plan Sectorial de Protección y Defensa para la Infraestructura
Crítica Cibernética de Colombia del Sector Ambiente y RRNN, se debe tener en cuenta y
enfocar en la identificación, análisis de riesgos, vulnerabilidades e impacto cibernético que
este pueda generar.

Es importante, tener la claridad de la diferencia del riesgo cibernético de los otros riesgos,
ya que esta es básicamente su territorio de aplicación, pues los riesgos cibernéticos ocurren
en el ciberespacio, y además se propagan por las redes conectadas a internet.8

3.1 Riesgos Cibernéticos Sectoriales

Un riesgo cibernético para el sector ambiente y recursos naturales corresponde a la

probabilidad que una amenaza se materialice sobre una vulnerabilidad de un
servicio esencial como el servicio de información hidrometereológica, provocando
situaciones que pueden incluir la pérdida de equipos, el robo de datos, la intrusión
no autorizada para manipular datos y acciones que tengan como resultado la
afectación de uno o más componentes de los servicios9.

Los riesgos cibernéticos del sector se deben gestionar porque existe un alto grado
de afectación de muchos otros sectores usuarios de la información que genera el
sector de ambiente y recursos naturales, especialmente en los relacionados con
información hidrometereológica y sus alertas meteorológicas que son insumos para
los sectores transporte, industria, comercio y turismo, agricultura, etc.

8 El ciberespacio, describe cualquier red de servicio que se encuentre conectada a un sistema tecnológico. (Eling
& Shell, 2016)
9 Definición propia de autores

26
3.1.1. Vulnerabilidades Cibernéticas

Identificación de los activos críticos sectoriales: Se ha realizado de acuerdo con la

guía de ICCN

ENTIDAD ACTIVO/SERVICIO CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD

Pronóstico
IDEAM Meteorológico y Bajo Alto Alto
Alertas

Tabla 2. Pilares de Seguridad de la Información.

Fuente: Autor.

Sensores
Hidrometereológicos

Tecnología de
Servidores
Información

Infraestructura DRP

LAN

WAN
Activos de información

Comunicaciones Red GPRS

esenciales

Canal de Internet

Canal dedicado LAN

extendida

Aplicaciones

Bases de datos

Sistema operativo
Tecnología de
operación
Seguridad perimetral

Seguridad de la
información

Coordinador DRP

Figura 3. Estructura de activos de información esenciales.

Fuente: IDEAM.

27
3.1.2 Análisis de amenazas y riesgos

Para el desarrollo de este numeral se tendrá como línea base, la estrategia para
anticipar los riesgos y amenazas en ciberseguridad empresarial llamada ventana de
AREM (amenazas y riesgos emergentes) elaborado por el Dr. Jeimy J. Cano M.
donde según un aparte de las conclusiones del artículo10, “De igual forma, la ventana
de AREM es una forma de nunca subestimar las condiciones asimétricas de la
inseguridad de la información, sino más bien, de pensar en los detalles que implican
su entendimiento, la mente de los atacantes, las relaciones propias entre la
tecnología, los procesos y las personas, las vulnerabilidades latentes, que no
marginan el conocimiento de los actores de la organización, sino que potencian sus
reflexiones para crear un vitrina de aprendizaje y desaprendizaje que hablan de una
empresa resistente a la fallas no por excepción, sino por convicción.”

En síntesis, describe lo siguiente:

En el entorno cibernético las empresas saben que se exponen a riesgos conocidos

y desconocidos, a temáticas que deben resolver en tiempo real, por lo tanto, se hace
necesario comprender en detalle la incertidumbre estructural del entorno, de tal
forma que se establezcan alternativas concretas para anticipar riesgos claves,
donde la organización adelante las acciones relevantes que le permitan tener el
margen de un error calculado.

Por lo tanto, al revisar y analizar las prácticas y estándares de gestión de riesgos,

se encuentra que estas fueron concebidas y actualizadas siguiendo los lineamientos
de un contexto medianamente estable y poco cambiante. Frente a esta realidad, la
Ventana de AREM es un instrumento estratégico y táctico que permite una
actualización de los maduros marcos de gestión de riesgos, sacando la práctica de
su zona cómoda actual, devolviendo la dinámica del ejercicio de riesgos a la realidad
cambiante e inesperada como la actual.

10 La Ventana de AREM. [documento en línea]. Disponible desde Internet en: https://bit.ly/2P5Wc2A

28
Para el desarrollo de la Ventana de AREM se requiere en un principio de la
identificación de las ciberamenazas y posteriormente en la clasificación de estas en
amenazas conocidas, latentes focales y emergentes, las cuales se explican a
continuación:

 Conocidos: La amenaza se ha conversado o comunicado dentro de la

organización y se conoce de su existencia.

 Latente: Se ha enterado de que tal amenaza existe y que no sabe si la

organización tiene alguna estrategia de mitigación.

 Focales: La amenaza ya se visto o materializo en la industria particular a la

que pertenece la empresa.

 Emergentes: Nunca había escuchado de tal amenaza11.

En la siguiente figura se evidencian los cuatro tipos de amenazas descritas

anteriormente:

Figura 4. Ventana de AREM.

Fuente: Dr. Jeimy J. Cano

11 Ventana de AREM – Dr. Jeimy J. Cano

29
 Lo que conoce Lo que desconoce
La organización La organización
Lo que conoce  Malware.  Ciberterrorismo.
el entorno  Fuga de  Ataques de Día
Información. Cero.
 Botnets.  Ciberespionaje.
 Ransomware (Pcs o  Ransomware (IOT,
servidores). móviles).
 Defacement.  DDoS.
 APT (Amenazas  Exploits(0-day).
persistentes  Cryptomalware
Avanzadas). (IA).
 Exploits conocidos  Vulnerabilidades en
 Seguridad HTML. IoT.
 Desarrollo de  Cryptomalware.
software inseguro.
 Conexiones de
acceso remoto
inseguras.
 Daños en la
infraestructura
eléctrica.
 Daño en la
infraestructura de
Telecomunicaciones
(Canales satelitales,
radioenlaces, etc.).

Lo que  Ataques a sistemas  Rootkits en PLC.

desconoce de Control Industrial.  Malware en
el entorno  Phishing dirigido. Sistemas de control
 Ataques Industrial.
Coordinados.  Computación en la
 Falla o Daño en los Niebla.
Servicios en la  USB Driverby.
Nube.  Interferencia
Electrónica.
 Rootkits en
Browsers.
 Malware con
Inteligencia
artificial.
 USBHarpoon.

Tabla 3. Ventana de AREM para el sector.

Fuente: Autor.

30
3.1.3. Vulnerabilidades

Las vulnerabilidades existentes en el sector están asociadas a los siguientes

aspectos informáticos:

 Diseño de la seguridad perimetral

 Políticas de seguridad deficiente e inexistente.

 Errores de programación.

 Existencia de “puertas traseras” en los sistemas informáticos.

 Descuido de los fabricantes.

 Configuración inadecuada de los sistemas informáticos.

 Desconocimiento y falta de sensibilización de los usuarios y de los

responsables de tecnología o informática.

 Disponibilidad de herramientas que facilitan los ataques.

 Limitación gubernamental de tecnologías de seguridad.

 Vulnerabilidad del día cero

3.1.4 Impacto Cibernético Sectorial

En la siguiente matriz de se prioriza de forma visual el impacto los riesgos

existentes identificados en el IDEAM, la única entidad del sector ambiente con
Infraestructura Critica Cibernética.

31
 MATRIZ DE IMPACTO
1 2 3 4 5
IMPACTO
3- 5 - Muy
1 - Leve 2 - Bajo 4 - Crítico
Moderado Crítico
PROBABILIDAD
5 5 - Casi Certeza
PROBABILIDAD

4 4 – Probable

3 3 – Posible R8

2 2 - Improbable R7 R1, R4 R3

1 1 – Raro R2 R6 R5

Tabla 4. Matriz de Impacto.

Fuente: IDEAM

32
 ACTIVO/ TIPO NIVEL DE
ENTIDAD Nro RIESGO CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD VULNERABILIDAD AMENAZA PROBABILIDAD IMPACTO
SERVICIO AMENAZA RIESGO

Pronóstico Deficiencia en protección

IDEAM R1 Meteorológico y BAJO ALTO ALTO antivirus Malware Conocidos 2- Improbable 4- Crítico Alto
Alertas
Pronóstico Deficiencia en las claves
Fuga de 3-
IDEAM R2 Meteorológico y BAJO ALTO ALTO de acceso
información
Conocidos 1- Raro
Moderado
Medio
Alertas
Pronóstico Deficiencia en los
5- Muy
IDEAM R3 Meteorológico y BAJO ALTO ALTO equipos de seguridad DDoS Latente 2- Improbable
Crítico
Crítico
Alertas (IDS e IPS)
Pronóstico Deficiencia en la
IDEAM R4 Meteorológico y BAJO ALTO ALTO configuración del Defacement Conocidos 2- Improbable 4- Crítico Alto
Alertas aplicativo
Pronóstico Deficiencia en protección
Ransomware (Pcs 5- Muy
IDEAM R5 Meteorológico y BAJO ALTO ALTO antivirus (host y
o Servidores)
Conocidos 1- Raro
Crítico
Alto
Alertas perimetral)
Pronóstico Deficiencia en el análisis
Ataques
IDEAM R6 Meteorológico y BAJO ALTO ALTO de eventos y logs
coordinados
Focales 1- Raro 4- Crítico Alto
Alertas
Pronóstico Deficiencia en protección
3-
IDEAM R7 Meteorológico y BAJO ALTO ALTO antivirus (host y Cryptomalware Conocidos 2- Improbable
Moderado
Medio
Alertas perimetral)
Pronóstico Actualización en Computación en la
5- Muy
IDEAM R8 Meteorológico y BAJO ALTO ALTO infraestructura de niebla (Fog Emergentes 3- Posible
Crítico
Crítico
Alertas Seguridad Computing)

Tabla 5. Clasificación de Riesgos.

Fuente: IDEAM.

Conclusión: Los riesgos cibernéticos del sector ambiente y recursos naturales asociados a los activos críticos, en caso de ser
afectados, pueden llegar a impactar de manera considerable especialmente a nivel de la aeronavegabilidad del país y en las
alertas tempranas que se dejarían de recibir cuando se trate de prevenir acerca fenómenos de origen hidrometeorológico por
creciente súbita de ríos e inundaciones, heladas, viento fuerte marítimo, oleaje en ascenso, incendios forestales, etc., que pongan
en riesgo la vida humana y el patrimonio.

33
 CAPITULO IV. ESTRUCTURA SECTORIAL DE PROTECCIÓN Y
DEFENSA DE LA INFRAESTRUCTURA CIBERNÉTICA

Los tópicos establecidos en el presente capítulo constituyen las directrices generales que
permiten hacer el seguimiento, análisis y evaluación de una amenaza sobre la
Infraestructura Critica Cibernética (ICC) del sector ambiental; así como la puesta en marcha
de acciones y la coordinación de los agentes del sistema en una situación de crisis
cibernética.

Estas acciones son iniciativas de protección ante situaciones de amenazas contra las
infraestructuras críticas; bajo la característica de ser graduales (a cada nivel superior de
activación le corresponden medidas adicionales) y temporales, en tanto se mantenga la
amenaza detectada contra la infraestructura. Todas estas medidas deberán ser
incorporadas finalmente a los instrumentos de planificación y operación, por los propietarios
y operadores de ICC del sector ambiental.

4.1. Sistema Sectorial de Protección y Defensa del Sector de Ambiente y RRNN

Este plan precisa que todas las infraestructuras críticas designen obligatoriamente
un responsable de seguridad de la Información o en su defecto en seguridad
informático o quien haga sus veces que servirá de enlace con el CCOCI y el Equipo
de Respuestas ante Emergencia Informáticas - CSIRT de Gobierno en caso de
emergencia.

También impulsa el intercambio de información entre las empresas y organismos

afectados por esta catalogación (sin olvidar la transparencia y la comunicación de
fallos y agujeros de seguridad entre las infraestructuras sensibles y las Fuerzas y
Cuerpos de Seguridad del Estado), así como define las medidas graduales que
pueden (y deben) poner en marcha las infraestructuras críticas en caso de sufrir un
ataque, divididas en cinco niveles de alerta distintos en función de la gravedad del
problema.

34
 4.1.2. Roles, Funciones y Responsabilidades

Cada uno de los integrantes del sector Ambiente y Recursos Naturales ejecutará
diferentes actividades de acuerdo con su rol, con lo que se busca de manera
organizada distribuir las responsabilidades en caso de un escenario de ataque a
las Infraestructuras Criticas Cibernéticas.

RECURSOS
ROLES / RESPONSABILIDADES
Secretaria
*Ministerio Distrital
de CAR de
IDEAM PARQUES ANLA HUMBOLDT
Ambiente y Cundinamarca Ambiente
D.S. de
AMENAZAS Bogotá
Reportar al CCOC,
CSIRT y la Cabeza
de Sector Gobierno
y entidades
I R I I I I I
adscritas en caso
de un ataque
cibernético.

Dar respuesta a
incidente
Cibernético con el
apoyo de la mesa
de trabajo RA R RI RI RI RI RI
compuesta por la
Cabeza del sector y
entidades adscritas.

Generar una
estrategia de
comunicación al
sector a fin de dar
RA C C C C C C
lineamientos en
Seguridad de la
Información.

Identificar los
riesgos, amenazas
y vulnerabilidades
RA R RI RI RI RI RI
Cibernéticas a la
ICC.

Realizar un
monitoreo
permanente a la
A R
ICC con el fin de
detectar posibles
amenazas.

Tabla 6. Matriz de roles y responsabilidades.

Fuente: Autor.

35
 ROL DESCRIPCIÓN

R Responsible Responsable Es el que se encarga de hacer la tarea o actividad.

Es la persona que es responsable de que la tarea esté

hecha. No es lo mismo que la R, ya que no tiene
A Accountable Persona a cargo porqué ser quien realiza la tarea, puede delegarlo en
otros. Sin embargo, si es quien debe asegurarse de
que la tarea sea haga, y se haga bien.

Los recursos con este rol son las personas con las
C Consulted Consultar que hay consultar datos o decisiones con respecto a
la realización de una actividad o proceso.

A estas personas se las informa de las decisiones que

se toman, resultados que se producen, estados del
I Informed Informar
servicio, grados de ejecución y en general el estado
de las tareas.

Tabla 7. Definición de Roles.

Fuente: RACI.

4.1.3 Directorio

Se presenta las entidades del sector ambiental en cabeza del Ministerio de

Ambiente y Desarrollo Sostenible. Es importante aclarar que el sector ambiental
en Colombia es muy amplio si se tiene en cuenta que lo componen todas las
entidades del Sistema Nacional Ambiental – SINA, como son las Corporaciones
Autónomas Regionales, los institutos de investigación y todas las autoridades
ambientales del país.

36
 Entidad
Dirección Nombre Contacto Correo electrónico Portal Teléfono Ciudad

*Ministerio de
Ambiente Calle 37 Oficina TIC [email protected] 3323400 Bogotá
y Desarrollo # 8 - 40 Minambiente www.Minambiente.gov.co ext.1292
Sostenible

Instituto de
Hidrología,
Meteorología Calle 25D Oficina de www.ideam.gov.co 3527160 Bogotá
y Estudios # 96B - 70 Informática [email protected] ext. 1351
Ambientales - Ideam
IDEAM

Autoridad
Nacional de Gestión de
Calle 37 Tecnologías Y [email protected]
Licencias www.anla.gov.co 2540111
Ambientales - # 8 - 40 Seguridad de la
ext. 2186 Bogotá
Información
ANLA

Parques Grupo de [email protected]

Calle 74 www.parquesnacionales.gov.c
Nacionales Tecnología o
Naturales de # 11 – 81 Parques 2522400 Bogotá
Colombia Nacionales
Instituto de
Investigación 3202767
[email protected]
de Recursos Calle 28a # Área de
Biológicos 15 - 09 tecnología www.humboldt.org.co Ext. 7122 Bogotá
Alexander Von
Humboldt
Corporación
Autónoma
[email protected]
Regional Av. La Oficina TIC
de Esperanza # www.car.gov.co 5801111 Bogotá
Cundinamarca 62 - 49 ext.1419
- CAR

Secretaria Departamento de [email protected] www.ambientebogota.gov.co 3778899 Bogotá

Distrital de Av. Caracas Planeación y
Ambiente de # 54 - 38 Sistemas de Ext. 8885
Bogotá -SDA Información
ambiental

Tabla 8. Directorio.
Fuente: Autor.

* Es de aclarar que el sector en su totalidad lo conforma todas las entidades del SINA (Sistema
Nacional Ambiental) todas las CARs, los Institutos de Institutos de Investigación, Secretarías y
Departamentos Ambientales, pero por temas de logística solo se trabajó con las entidades con sede
en Bogotá.

37
4.1.4 Organigrama

En el siguiente organigrama se estructura como se identificó al sector ambiente y

recursos naturales, el Ministerio de Ambiente figura como cabeza de sector y la
única entidad que se identificó con ICC, fue el IDEAM, quien en caso de algún
ataque cibernético reportaría al CCOCI, al CSIRT Gobierno e informaría al Ministerio
de Ambiente, es de aclarar que el sector ambiente en el país es mucho más amplio,
solo se encuentran identificadas las entidades que tienen su sede en la ciudad
Bogotá y que de manera voluntaria han venido participando en este proyecto.

Cabeza de Sector

Entidad con ICC

Entidades del SINA

Entidad del Distrito Capital Encargada del tema ambiental

Figura 5. Organigrama sector ambiente y RRNN.

Fuente: Autor.

38
 CAPITULO V. PLANEACIÓN ESTRATÉGICA SECTORIAL PARA
LA PROTECCIÓN DE LA ICC

5.1. Líneas Estratégicas, Acciones y Métricas

Para el desarrollo y fortalecimiento de la protección y defensa de las ICCN del sector,

se desarrollarán tres líneas estratégicas, las cuales se fundamentan en un conjunto
de actividades a ser ejecutadas en el mediano plazo (2019-2022) y largo plazo
(2022-2026), teniendo en cuenta la siguiente información:

De acuerdo con el instrumento “Ventana de AREM”, es preciso definir:

 Línea Estratégica para los Riesgos Conocidos: se tendrá en cuenta la

“Verificación de controles existentes” teniendo en cuenta que el marco de
referencia para la planificación, implementación, gestión y mejoramiento
continuo de los controles preventivos y/o correctivos que permiten disminuir
el riesgo que llamamos “conocidos” de acuerdo a la “Ventana de AREM”, es
el Modelo de Seguridad y Privacidad de Seguridad de la Información MSPI
que a su vez se apoya en las normas ISO 27001:2013 y la NIST, el cual es
revisado y evaluado periódicamente internamente y por los entes de control.

CONOCIDOS CONTROLES
Malware  Instalación Antivirus
 Sensibilizaciones contra la ingeniería social,
Phishing, etc.
 La segregación de red impide que el malware se
mueva en la organización.
 Parchar vulnerabilidades / Actualizaciones del SO y
herramientas.
 Monitoreo

Fuga de  Conocer la información que gestiona la

Información organización
 Clasificación de los activos de información.
 Determinar el grado de seguridad.
 Cifrar la información confidencial corporativa.
 Acuerdos de confidencialidad

Botnets  Solución especializada de Seguridad.

 Actualizaciones del SO y herramientas.
 Monitoreo

39
  HIDS/HIPS – Host based Intrusion detection
system/ Host based intrusion detection system

Ransomware (Pcs  Solución especializada de Seguridad.

o servidores  Actualizaciones del SO y herramientas.
 Monitoreo

Defacement)  Arquitectura de Seguridad

 Gestión de sesiones
 Autenticación
 Copia de seguridad del contenido.

 Parchar vulnerabilidades en las

APT (Amenazas aplicaciones/herramientas
persistentes  Parchar vulnerabilidades / Actualizaciones del SO
 IDS/IPS –Intrusion detection system/ intrusión
Avanzadas)
detection system

Seguridad HTML  WAF

 Seguridad en entornos de desarrollo
 Pruebas de seguridad de sistemas
 Análisis y especificación de los requisitos de
Malas prácticas de seguridad.
desarrollo de  Procedimientos de control de cambios en los
sistemas
software.
 Procedimientos de control de cambios en los
sistemas
 Código seguro basado en OWASP

 Parchar vulnerabilidades en las

Cryptomalware aplicaciones/herramientas
 Parchar vulnerabilidades / Actualizaciones del SO
Conexiones de  Conexiones Seguras VPN
acceso remoto.
Daños en la  Sistema de Unidades de Poder suplementario
infraestructura (UPS)
 Planta de Suministro Eléctrico
eléctrica.

Tabla 9. Riesgos Conocidos.

Fuente: Autor.

40
 Línea Estratégica para los Riesgos Latentes / Focalizados: se tendrán
en cuenta las “Medidas de Mitigación” las cuales consisten en que la
organización conoce la amenaza, pero no se tiene un control o estrategia de
mitigación, o que la amenaza tiene como objetivo una industria particular;
para este tipo de riesgos se consideran 3 etapas principales para su
mitigación:

 Mantenimiento y mejoramiento de los controles conocidos.

 Ejecución de los planes de concientización y sensibilización de las
amenazas latentes y focalizadas.
 Monitoreo de las herramientas de control.

LATENTES CONTROLES
Ciberterrorismo  Contraseñas fuertes
 Utilizar protocolos de seguridad
 Comprobar la autenticidad de enlaces y perfiles
 Denunciar con las autoridades

Ataques de Día  Política de actualizaciones periódicas de la

infraestructura tecnológica (SO, Aplicaciones,
Cero
Equipos activos)
 Aislamiento del activo de información detectado
con vulnerabilidad de Día Cero
 HIDS/HIPS – Host based Intrusion detection
system/ Host based intrusión detection system

Ciber espionaje  Cifrar la información confidencial corporativa.

Ransomware (IOT,  Firewall
móviles)  Servidor Proxy / Filtro Web
 Filtro de SPAM
 Segmentación de la Red
 Segmentación de Máquinas Virtuales
 Sistemas de Detección de Intrusiones de Red
(NIDS)
 Protección de Dispositivos Electrónicos en la
Red
 Parchar vulnerabilidades / Actualizaciones del
SO
 Antivirus
 Inhabilitar Puertos USB
 HIDS/HIPS – Host based Intrusion detection
system/ Host based intrusión detection system

41
DDoS  Desactivar todos los puertos que no sean
necesarios
 Instalar y configurar Web Application Firewalls-
WAF

Exploits  Instalación Antivirus

 Sensibilizaciones contra la ingeniería social,
Phishing, etc.
 Segmentación de redes.
 Parchar vulnerabilidades / Actualizaciones del
SO y herramientas.
 Monitoreo

Cryptomalware (IA)  Antivirus

Daño en la  Canales redundantes
infraestructura de  Cifrar la información
Telecomunicaciones
(Canales satelitales,
radioenlaces, etc.)

Vulnerabilidades en  Restricción de privilegios

IoT.  Soporte/actualizaciones sobre los aplicativos
IOT
Tabla 10. Riesgos Latentes.
Fuente: Autor.

 Línea Estratégica para los Riesgos Emergentes: se tendrán en cuenta las

“Medidas de Contención” la cuales hacen referencia al tipo de amenazas que
nunca se habían escuchado, por lo tanto se desconoce el entorno y la
organización; como medidas de contención se considera indispensable que
dentro de la adquisición de las herramientas de Ciberdefensa o
Ciberseguridad se privilegien productos líderes dentro de su nicho de
servicio o producto; esto permite generar confianza basada en la premisa de
que al detectar una amenaza desconocida los proveedores líderes pondrán
su experticia y recursos en función de identificar la amenaza e implementar
la o las medidas de detección y contención. Es importante destacar que es
posible que para la contención de nuevas amenazas sea necesario renovar
o adquirir nuevas herramientas de Ciberdefensa y Ciberseguridad.

42
 EMERGENTES CONTROLES
Rootkits en PLC  Creación de claves complejas de acceso a los PLC
 Activación de doble factor de autenticación
 Monitoreo de los accesos y privilegios en el PLC

Malware en Sistemas  Antivirus para sistemas de control industrial

de control Industrial
Computación en la  Monitoreo y evaluación de las herramientas de la
Niebla computación en la niebla.
USB Driverby  Controles en restricción de uso de USB
 Antivirus con detección de USB Driverbyón de USB
Driverby
 HIDS/HIPS – Host based Intrusion detection system/
Host based intrusión detectión system

 Contar con centros alterno en categoría TIER III o

TIER IV.
Interferencia  Fuertes controles de acceso a la infraestructura
Electrónica. informática para evitar ataques de interferencia
electrónica

Tabla 11. Riesgos Emergentes.

Fuente: Autor.

Es importante destacar que la financiación para la adquisición de los controles

descritos en cada uno de los cuadrantes para contrarrestar las amenazas
(conocidos, latentes, focales y emergentes), se encuentra supeditado los recursos
que suministre la nación.

5.2. Estrategias de Comunicación y Divulgación

El presente plan debe ser difundido a todo nivel en el esquema de protección y

defensa de las ICCN del sector, teniendo en cuenta los procedimientos establecidos,
de acuerdo con su nivel de clasificación. A su vez, se deberán efectuar campañas de
difusión e información sobre los niveles de alerta y los protocolos de actuación
correspondientes; estos a su vez, entrarán en vigencia a partir de la publicación del
plan, a través de los medios electrónicos (página web) de los que dispongan las
autoridades encargadas de la Ciberseguridad y Ciberdefensa.

43
Las siguientes estrategias deben ser desarrolladas bajo un acuerdo de
confidencialidad, el cual compromete a los integrantes de la mesa de trabajo en
abstenerse de divulgar, parcial o totalmente la información confidencial del Instituto.

5.2.1. Estructurar mesa de trabajo

Definir un cronograma semestral con las actividades a desarrollar en torno a la

protección de la infraestructura critica del IDEAM, el cual abarque:
 Actualización de amenazas de la ventana de AREM.
 Seguimiento de controles que protegen la ICC.
 Socializar el instructivo de incidentes de seguridad del Instituto.
 Divulgar y analizar los incidentes presentados en los diferentes institutos del
sector y evaluar el riesgo de materializarse en la ICC.
 Revisar la gestión de riesgo de la ICC.
 Aportes para aumentar la resiliencia cibernética.

5.2.2. Controles de seguridad en la ICC

Se socializará a la mesa de trabajo del sector ambiente y recursos naturales, la lista

de controles implementados en la infraestructura crítica del IDEAM, con el objetivo
de que los integrantes de la mesa de trabajo puedan aportar en el afinamiento de
los mismos, o dado el caso que se concluya la necesidad de implementar nuevos
controles para el aumento de la resiliencia cibernética que obedezca al apetito de
riesgo de la entidad; se dejará por escrito para la evaluación y posible incorporación
dentro del plan de compras de la entidad.

5.2.3. Incidentes de seguridad en la ICC

Al materializarse un incidente de seguridad en la ICC, se debe seguir el siguiente

proceso para su socialización, detección, análisis, contención, erradicación,
restauración y actividades post-incidente:

44
Figura 6. Respuesta incidente infraestructura crítica cibernética.
Fuente: Ideam.

45
 CAPITULO VI. MONITOREO Y MEJORA CONTINUA

6.1. Monitoreo

Será responsabilidad de cada una de las entidades que conforma el sector de RRNN
y del Ambiente apropiar recursos para el debido monitoreo y control de sus servicios
esenciales y a su vez definirá cuales de estos serán monitoreados por el CCOC y el
Equipo de Respuestas ante Emergencia Informáticas - CSIRT GOB, También se
puede utilizar el término CSIRT (Computer Security Incident Response Team, Equipo
de Respuesta ante Incidencias de Seguridad Informáticas) para referirse al mismo
conceptoal igual la institución mantendrá informado al Ministerio de Ambiente y
Desarrollo Sostenible de los ataques, con el fin de que este último socialice al sector
completo, el tema de las mejores prácticas y los frecuentes casos de uso a fin de que
se interioricen en cada una de las diferentes autoridades ambientales de las diferentes
regiones del país

6.2. Mejora Continua

Con base en los lineamientos de la Política Digital, el Modelo Integrado de Planeación

y Gestión y los estándares internacionales cada entidad deberá implementar su propio
Sistema de Gestión de Seguridad de la Información, el cual se integrará con los
demás sistemas (Calidad, Ambiental, Salud y seguridad en el trabajo, etc.…) los
cuales requieren que de manera periódica sean revisados bien sea por medio de
auditorías internas o externas tal cual como lo determine cada una de las diferentes
entidades.

Esto conllevara a una mejora continua en los temas de Seguridad de la Información,

además se debe tener en cuenta a los sectores que llevan el liderato en el país como
lo son energético, hidrocarburos y el bancario entre otros

46
 CONCLUSIONES

 A través de mesas de trabajo mensuales con la participación de los representantes

del equipo de seguridad de cada entidad del Sector, se definieron las actividades y
acciones preventivas y/o correctivas relacionadas con incidentes de seguridad en
las Infraestructuras Críticas Cibernéticas, que permitieron la elaboración y
construcción del Plan Sectorial de Protección y Defensa para la ICCN de Colombia,
Sector Ambiente y RRNN.

 La protección y resiliencia de las ICC requiere de la continua participación, actuación

y trabajo articulado por parte de todos los actores intervinientes del sector ambiental.

 Mediante la implementación del instrumento “Ventana de AREM” se pudo realizar la

identificación de activos, análisis, valoración y tratamiento de riesgos de la ICC del
Sector Ambiente y RRNN.

 Es de vital importancia que las organizaciones deben invertir en cómo proteger sus
activos de información y sus infraestructuras Criticas Cibernéticas, para esto se
debe invertir no solo en el hardware, sino en el recurso humano, para lo cual se
debe trabajar en la formación de normas internacionales como la ISO 27001, que
exista un verdadero apoyo y apropiación de la alta dirección en las diferentes
organizaciones, se deben general campañas de sensibilización a todo el personal y
obviamente cada año en la proyección del plan de acción apropiar recursos para
realizar estas actividades.

 Con base en la elaboración de un directorio de entidades y la definición de roles y

responsabilidades en el Sector Ambiente y RRNN, se pudo crear un mecanismo de
comunicación sectorial que permita una interacción permanente para generar una
base de conocimiento la cual facilite prevenir futuros ataques, todo esto en
coordinación con la estrategia nacional para reducir las vulnerabilidades de las
infraestructuras críticas cibernéticas.

 Se espera que las entidades también realicen actividades de innovación e

investigación y no esperar que sean las cabezas de sector en quienes recaiga esta

47
responsabilidad, así mismo los lineamientos de las entidades que llevan el liderazgo
en este tema como lo son el Comando Conjunto Cibernético de la Fuerzas Militares
– CCOC y el CSIRT Gobierno en Cabeza de la Presidencia y el MINTIC, a fin de
implementar las recomendaciones y mejores prácticas en cada una de las entidades
tanto del sector público como privado.

48
 RECOMENDACION

A fin de que lo consignado en este documento tenga éxito es fundamental que se

implemente en una Política de Estado en lo relacionado con la seguridad de las
Infraestructuras Criticas cibernéticas, sumado a que la alta dirección de cada una de las
diferentes entidades entienda la importancia de invertir tanto en su capital humano como
técnico, teniendo en cuenta que estamos a la orden del día a recibir ataques de cualquier
parte del mundo a fin de secuestrar, averiar o controlar la información de cada una de
nuestra empresas y de esta manera afectar no solo la economía del sector sino de un país
entero, teniendo en cuenta que conformamos un eslabón de una cadena que debe estar
plenamente articulada.

49
 GLOSARIO

• ACTIVO: Todo lo que tiene valor para la organización. Hay muchos tipos de activos
y entre ellos se cuentan:

 La información

 El software, como los programas informáticos;

 Los físicos, como las computadoras;

 Los servicios;

 Las personas y sus calificaciones, conocimientos y experiencias; y

 Los intangibles, como la reputación y la imagen12.

• CIBERESPACIO: Se describe como cualquier red de servicio que se

encuentre conectada a un sistema tecnológico. (Eling & Schnell, 2016)

• SERVICIO ESENCIAL: Que es un servicio esencial Según la ley colombiana,

se considera como “servicio público toda actividad organizada que tienda a
satisfacer necesidades de interés general en forma regular y continua, de
acuerdo con un régimen jurídico especial, bien que se realice por el Estado
directa o indirectamente, o por personas privadas”. Quien definió la
esencialidad de un servicio público fue la Corte Constitucional, en su
sentencia C- 450 de 1995.

• AMENAZA: Todo elemento o acción capaz de atentar contra la seguridad de

la información13.

• APT (Advanced Persistent Threat): La amenaza persistente avanzada, es

un conjunto de procesos informáticos sigilosos y continuos, a menudo
orquestados por humanos, dirigidos a penetrar la seguridad informática de

12 Activos de Información. [documento en línea]. Disponible desde Internet en: https://bit.ly/2CZs3ei

13 Amenaza. [documento en línea]. Disponible desde Internet en: https://bit.ly/2kkxr2e

50
 una entidad especifica utilizando software malicioso para explotar
vulnerabilidades en los sistemas con fines delictivos14.

• CONFIDENCIALIDAD: la información llegue solamente a las personas

autorizadas15.

• DISPONIBILIDAD: es la necesidad de asegurar que el propósito comercial

del sistema puede ser accesible para aquellos que necesitan usarlo16.

• DOS (Deny of Service): el ataque de denegación de servicio tiene como

objetivo imposibilitar el acceso a los servicios y recursos de una organización
durante un periodo definido en el tiempo17.

• HIDROMETEREOLOGÍA: es la ciencia (estrechamente ligada a la

meteorología, la hidrología y la climatología) que estudia el ciclo del agua en
la naturaleza. Abarca el estudio de las fases atmosférica (evaporación,
condensación y precipitación) y terrestre (intercepción de la lluvia, infiltración
y derramamiento superficial) del ciclo hidrológico y especialmente de sus
interrelaciones18.

• INTEGRIDAD: confirma el aseguramiento y precisión de los sistemas de

información previniendo las modificaciones de usuarios o sistemas no
autorizados19.

• MALWARE: término genérico para varios tipos diferentes de código malicioso

la cual parece desempeñar una función útil o deseable, pero que en realidad
obtiene acceso no autorizado a los recursos del sistema o engaña a un
usuario para que ejecute otra lógica malintencionada20.

14 APT. [documento en línea]. Disponible desde Internet en: https://bit.ly/2P92kXR

15 Confidencialidad. MAGERIT. Versión 3. España: Dirección General de Modernización Administrativa. 2012, p.9.
16 Disponibilidad. [documento en línea]. Disponible desde Internet en: https://bit.ly/2jA7bib
17 DOS. [documento en línea]. Disponible desde Internet en: https://bit.ly/2QeGv5O
18 ¿Que es Hidrometeorología?. [documento en línea]. Disponible desde Internet en: https://bit.ly/2AIIGZO
19 Integridad. CISSP. 6 ed. United States: American Express, 2013, p.23.
20 Malware. [documento en línea]. Disponible desde Internet en: https://bit.ly/2jA7bib

51
 • METEOROLOGÍA: es una disciplina científica y técnica que se encarga de
estudiar y predecir los diversos fenómenos que se producen en la atmósfera,
para comprender por un lado su funcionamiento, composición, estructura y
evolución, y por otro lado para tener importantes predicciones muy útiles para
diferentes actividades humanas como la agricultura, la aeronáutica, la
navegación, predicción de enfermedades, prevención de incendios etc.21.

• RIESGO: estimación del grado de exposición a que una amenaza se

materialice sobre uno o más activos causando daños o perjuicios a la
Organización22.

• RESILIENCIA: La resiliencia es la capacidad que tiene una persona o un

grupo de recuperarse frente a la adversidad para seguir proyectando el futuro.
En ocasiones, las circunstancias difíciles o los traumas permiten desarrollar
recursos que se encontraban latentes y que el individuo desconocía hasta el
momento.

• PSPICCN: Plan Sectorial de Protección y Defensa de las Infraestructuras Criticas

Cibernéticas Nacionales.

• MADS: Ministerio de Ambiente y Desarrollo Sostenible

• IDEAM: Instituto de Hidrología, Meteorología y Estudios Ambiénteles

• ANLA: Autoridad Nacional de Licencias Ambientales

• CAR: Corporación Autónoma Regional de Cundinamarca

• SDA: Secretaria Distrital de Ambiente

21 Meteorología. [documento en línea]. Disponible desde Internet en: https://bit.ly/2QiZrAw

22 Riesgo. MAGERIT. Versión 3. España: Dirección General de Modernización Administrativa. 2012. p.9.

52
 ELABORACIÓN Y CONSTRUCCIÓN DEL DOCUMENTO

En la elaboración y construcción de este documento participaron las siguientes entidades

del sector ambiental de Colombia:

 Parques Nacionales Naturales de Colombia

Ing. Oscar Luengas Gonzalez

 Autoridad Nacional de Licencias Ambientales – ANLA

Ing. Azalia Inés Parra Cuellar
Ing. Jorge Carrillo

 Instituto de Hidrología, Meteorología y Estudios Ambientales – IDEAM

Ing. Luis Alejandro Pinilla Peralta

 Corporación Autónoma Regional de Cundinamarca – CAR

Ing. Rodrigo Rodriguez Reyes

 Instituto Alexander Von Humboldt

Ing. Edwin Ríos

 Secretaria Distrital de Ambiente de Bogotá – SDA

Ing. Jesús Alcides Giraldo Murcia.

 Ministerio de Ambiente y Desarrollo Sostenible – MADS

Ing. José René Alvarado Amador

cabeza del sector, quien delego a la Oficina TIC para liderar este tema tan de vital
importancia.

Bogotá D.C; noviembre de 2018

53