225-Documento Soporte
| Emisor | Comisión de Regulación de las Comunicaciones |
Revisión del marco regulatorio para la gestión de
riesgos de seguridad digital
Capital Intelectual
Noviembre de 2017
Análisis y propuesta
Revisión del marco regulatorio para la gestión de
riesgos de seguridad digital
Cód. Proyecto: 9000-71-13
Página 2 de 121
Actualizado: 22/11/2017
Revisado por:
Coordinación de Capital Intelectual
Revisado: 23/11/2017
Revisión No. 0
Formato aprobado por: Relacionamiento con Agentes: Fecha de vigencia: 22/08/2017
CONTENIDO
INTRODUCCIÓN ................................................................................................................ 3
1. ANTECEDENTES ...................................................................................................... 14
2. VULNERABILIDADES Y AMENAZAS GLOBALES Y LOCALES .................................... 18
2.1. Reportes de amenazas globales .................................................................................................... 20
2.2. Amenazas y Vulnerabilidades en Colombia ..................................................................................... 29
2.3. Impactos económicos de los ataques sobre ciberseguridad ............................................................. 39
3. CONTEXTO INTERNACIONAL DE MARCOS REGULATORIOS PARA LA GESTIÓN
DE RIESGOS SEGURIDAD DIGITAL ........................................................................ 43
3.1. Unión Europa .............................................................................................................................. 43
3.2 República Popular de China .......................................................................................................... 47
3.3 Estados Unidos de Norte América ................................................................................................. 50
3.4 Brasil ......................................................................................................................................... 53
3.5 Resumen tendencias del benchmarking internacional ..................................................................... 56
4. EVALUACIÓN DE ESTÁNDARES Y MEJORES PRÁCTICAS DE SEGURIDAD DIGITAL
............................................................................................................................... 57
4.1 Sistemas de gestión de seguridad de la información (ISO 27002 e ITU-T X.1051) ............................. 60
4.2 Recomendaciones Internet Society para ISPs ................................................................................. 66
5. EVALUACIÓN DEL ESTADO DE IMPLEMENTACIÓN DE MODELOS DE SEGURIDAD
EN LOS PRST ......................................................................................................... 80
5.1 Previsiones vigentes .................................................................................................................... 80
5.2 Recomendaciones de la serie UIT X.800 ........................................................................................ 81
5.3 Estado de implementación ........................................................................................................... 86
6 CONCLUSIONES Y RECOMENDACIONES ................................................................ 91
6.1 Aspectos asociados a las redes de los PRST ................................................................................... 91
6.2 Aspectos asociados con el Ministerio de las Tecnologías de la Información y las Comunicaciones. ....... 97
6.3 Recomendaciones a colCERT/CCP/CCOC ....................................................................................... 98
7 PARTICIPACIÓN DEL SECTOR .............................................................................. 100
ANEXO 1. ENCUESTA: DIAGNÓSTICO SEGURIDAD DIGITAL CRC ................................ 104
Revisión del marco regulatorio para la gestión de
riesgos de seguridad digital
Cód. Proyecto: 9000-71-13
Página 3 de 121
Actualizado: 22/11/2017
Revisado por:
Coordinación de Capital Intelectual
Revisado: 23/11/2017
Revisión No. 0
Formato aprobado por: Relacionamiento con Agentes: Fecha de vigencia: 22/08/2017
ÍNDICE DE ILUSTRACIONES
Ilustración 1 Institucionalidad CONPES 3701 -2011 ........................................................................ 15
Ilustración 2 Modelo de gestión sistemática y cíclica de riesgos de seguridad digital ........................ 17
Ilustración 3 Mayores fuentes de preocupación de los profesionales de la seguridad en relación con los
ciberataques ................................................................................................................................ 22
Ilustración 4 Causas de Incidentes de seguridad digital en el sector privado .................................... 22
Ilustración 5 Malware más frecuente ............................................................................................. 23
Ilustración 6 Autenticación de dos factores a través de SMS en portales y servicios de Internet ........ 38
Ilustración 7 Porcentaje de la pérdida de ingresos organizativa como resultado de un ataque ........... 39
Ilustración 8 Porcentaje de clientes perdidos por empresa debido a ataques .................................... 41
Ilustración 9 Porcentaje de oportunidades empresariales pérdidas como resultado de un ataque ...... 42
Ilustración 10 Procesos definidos en el Artículo 13 bis .................................................................... 46
Ilustración 11 Grupos de trabajo del consejo de Seguridad de Comu nicaciones, Confiabilidad e
Interoperabilidad 2016 ................................................................................................................. 52
Ilustración 12 Modelo CTIP (Critical Infraestructure Protection) desarrollado por ANATEL y CPqD ..... 54
Ilustración 13 Centro de monitoreo de infraestructuras críticas ANATEL .......................................... 55
Ilustración 14 Resumen medidas de seguridad benchmarking internacional ..................................... 56
Ilustración 15 Líneas de acción del programa Deploy 360 ............................................................... 60
Ilustración 16 Relación entre la Recomendación UIT-T X.1052 y otras recomendaciones de gestión de
la seguridad de la información ...................................................................................................... 62
Ilustración 17 Proceso de gestión de riesgos de la recomendación UIT-T X.1055 ............................. 64
Ilustración 18 Proceso de gestión de activos UIT-T X.1057 ............................................................. 65
Ilustración 19 Despliegue de IPV6 en Colombia (Octubre 2017) ...................................................... 68
Ilustración 20 Porcentaje de uso de IPv6 en usuarios finales en Colombia ....................................... 69
Ilustración 21 Validación DNSSEC para Colombia ........................................................................... 74
Ilustración 22 Aplicación de las dimensiones de seguridad a las capas de seguridad ......................... 84
Para continuar leyendo
Solicita tu prueba