COBIERNO

DE COLOMBIA

RESoLUcroNNo.S 56 gDE2018

I
"Por la cual se modifrca el artículo 5.1.2.3 del Capítulo del Título V de la Resolución CRC
5050 de 2016 en mater¡a de gest¡ón de seguridad en redes de telecomunicactones y se
dicbn otras disposiciones"

LA COMISIóN DE REGULACIóN DE COMUNICACIONES

En ejercicio de sus facultades legales, especialmente las conferidas por la Ley 1341 de 2009, y

CONSIDERANDO

Que de conformidad con lo dispuesto en el artÍculo 4 de la Ley 1341 de 2009, es función del Estado
intervenir en el sector de las Tecnologías de la Información y las Comunicaciones -TIC-, para
promover condiciones de seguridad del servic¡o al usuario final, incentivando acciones de prevención
de fraudes en la red, así como la seguridad informática y de redes.

Que este mismo artículo señala que la intervención del Estado en el sector de las TIC, tiene como
una de sus finalidades proteger los derechos de los usuarios, velando por la calidad, eficienc¡a y
adecuada provis¡ón de los servicios.

Que de conformidad con lo dispuesto en el numeral 3 del artículo 22 de la Ley 1341 de 2009, por la
cual se definen principios y conceptos sobre la sociedad de la ¡nformación y la organización de las
Tecnologías de la Información y las Comunicaciones, la Comisión de Regulación de C-omunicac¡ones
esta facultada para expedir toda la regulación de carácter general y particular en las materias
relacionadas, entre otros, con los parámetros de calidad de los servicios, la cual le es aplicable a
todos los proveedores de redes y servic¡os de telecomun¡caciones.

Que el aftículo 53 de la Ley 1341 de 2009 en su numeral 9, entre otros, consagra el derecho de los
usuarios a "rec¡bir protecc¡ón en cuanto a su información perconaL y que le sea garant¡zada la
inviolabilidad y el secreto de las comunicaciones y protecc¡ón contra la publicidad indebid4 en el
marco de la Const¡tuc¡ón Polít¡ca y la Ley".

Que las anteriores dispos¡c¡ones guardan armonía con las normas expedidas en el marco de la
Comunidad And¡na de Naciones, en padicular la Dec¡sión 638 de 2006 que obliga a garantizar el
derecho de los usuarios a "la pr¡vac¡dad e ¡nv¡olab¡lidad de sus telecomun¡cac¡ones, as¡ como al
manten¡m¡ento de la reserua de todos los datos personales v¡nculados al seru¡c¡o adquirido y que han
s¡do sum¡n¡strados a terceros, salvo en los supuestos de excepción que prevea su normat¡va interna".

Que el Título II de fa Resoluc¡ón CRC 5050 de 2016, "Rég¡men de Protección de los Derechos de los
Usuarios de Seruhios de Comun¡actbnes'l establece en el capítulo 1 como uno de los derechos de
los usuar¡os el de recibir Drotección de la información que cursa a través de la red del operador, quien
debe garantizar la inv¡olab¡l¡dad de las comunicaciones.

Que ef Título V de la Resolución cRc 5050 de 2016, "Régimen de al¡dad para los seru¡c¡os de
Comun¿act:ones'i contempla en el Capítulo 1 disposiciones en mater¡a de segur¡dad de redes, según
el marco de referencia de seguridad de la UIT establec¡do en las recomendaciones de la ser¡e UIT-T

ú
 Continuac¡ón de la Resolución No. 5 5 6 9¿" ;11 DrC 2018 Hoja No. 2 de I
X.800, con el fin de garant¡zar la seguridad de las redes, la integridad de los servicios, y evitar la
interceptación, interrupción, e interferencia en la prestación de los serv¡cios.

Que la Organización para la Cooperación y el Desarrollo Económ¡co (OCDE), desarrolló en 2015 la

recomendación "Digital Secunty Risk Management for Econom¡c and Social Prosperitf' donde plantea
r

que¡ para aprovechar los beneficios asociados con el entorno d¡gital, las paftes ¡nteresadas deben
apartarse de abordar la seguridad digital únicamente desde una perspectiva técn¡ca aislada y deben
integrar la gestión de riesgos digitales en su proceso de toma de decisiones económicas y sociales.

Que el Documento CONPES 3854 de 2016 establec¡ó la Política Nacional de Seguridad Digital, donde
se reconoce Dlenamente la recomendación mencionada, y se establecen lineamientos y planes de
acción para fortalecer las capacidades de las múltiples partes interesadas para identificar, gestionar,
tratar y mitigar los riesgos de seguridad digital en sus actividades soc¡oeconómicas en el entorno
digital, en un marco de cooperación, colaboración y asistencia, considerando la protección del entorno
digital como un factor de importancia para preservar la seguridad de la Nac¡ón y su economía.

Que el citado CONPES 3854 de 2016 definió en su plan de acción que la CRC debía realizar una
revisión del marco normativo del sector TIC en materia de seguridad de las comunicaciones, en el
marco de sus competenc¡as, para apoyar el objetivo de crear las condic¡ones para que las múltiples
partes ¡nteresadas gestionen los riesgos de seguridad digital en sus act¡vidades socioeconómicas y
se genere confianza en el uso del entorno digital, en atención a lo cual la CRC incluyó dentro de su
Agenda Regulatoria 20U-2018 el proyecto denominado "Revis¡ón del marco regulator¡o para la
gest¡ón de r¡esgos de sqtur¡dad dig¡tal':

Que tomando como insumo los elementos antes expuestos, asícomo la adopción de mejores prácticas
internacionales en gestión de riesgos de seguridad digital, y el estado actual de las redes de los
Proveedores de Redes y Servicios de Telecomunicaciones, esta Comisión ¡dentificó la necesidad de
adaptar la regulación a las mejores prácticas en gestión de riesgos de seguridad de la información,
por lo que se requiere la mod¡ficación de las dispos¡c¡ones relacionadas con la seguridad de redes en
el CaDítulo 1 del Titulo V de la Resolución CRC 5050 de 2016.

Que la CRC, en cumplimiento de lo establecido en el aftículo 2.2.73.3.2 del Decreto 1078 de 2015,
publicó la propuesta regulatoria contenida en el documento denominado "Rev¡s¡ón del marco
regulator¡o para la gest¡ón de r¡esgos de segundad d¡g¡tal'así como el proyecto de resolución, "Por
el cual se mod¡frca el artículo 5.1.2.3 del Título V de la Resoluc¡ón CRC 5050 de 2016 en mater¡a de
gest¡ón de segur¡dad en redes de telecomun¡actAnes y se d¡ctan otns d¡spos¡c¡ones'i para
comentar¡os de los diferentes agentes ¡nteresados durante el lapso comprend¡do entre el 24 de
noviembre y el 19 de diciembre de 2077.

Que en desarrollo de la mencionada propuesta regulatoria, esta Comisión generó espacios de

discusión adicionales con las múltiples partes interesadas a través de mesas de trabajoP donde se
d¡scutieron las temáticas objeto de comentarios, y fueron escuchadas las diferentes posturas y
propuestas de los operadores y agentes del sector.

Que posteriormente, la CRC, con el objetivo de alcanzar un marco regulatorio para la gestión de
riesgos de seguridad digital simple y flexible, de fácil implementación y apl¡cación, que contr¡buya al
mejoramiento del ecosistema digital en Colombia, publicó una segunda versión del proyecto de
resolución para comentarios de las paftes interesadas, a paftir del 16 de mayo de 2018.

Que mediante la Ley 170 de 1994r, Colombia se adhirió a la Organización Mundial del Comercio, y
teniendo en cuenta que d¡cha organización ha escogido a
la ISO (International Standard
Organ¡zation) como la entidad internacional responsable de la estandarización de normas técnicas y
que para el caso de la electrotecnia, la ISO cuenta con la IEC (Internat¡onal Electrotechnical
Comm¡ssion), la cual ha desarrollado la familia de estándares iSO/IEC 27000 dentro de la categoría

OCDE, (2015). Dg¡tal Security Risk Management for Econom¡c and Soc¡al prospeity. Recuperado de
htto://www.oecd.oro/sti/ieconor¡v/d¡q¡tafsecuritv-risk manaqernent.odf
Se efecluaron tres mesas de trabajo (2 de febrero de 2018,8 de febrero de 2018, y 15 de febrero de 2018) con ta
part¡cipac¡ón de: Colomb¡a Telecomunicaciones S.A. E.S.P,, Empresa de Telecomun¡caciones de Bogotá S.A. E.S.p.,
Colomb¡a l.,lóvil S.A. E.S.P., Virgin Mobile Colombia S.A.S., Comunicación Celular Comcel S,A,, DIRECTV Cotombia
Ltda., CCIT-NAP Colombia, IFX Networks Colombia, Fundac¡ón Karisma, Jeimy L Cano M., ¡4INTIC, cotCERT, y
Presidencia de la Republ¡ca.
"Por med¡o de la cual se aprueba el Acuerdo por el que se establece la 'Organ¡zac¡ón Mund¡al de Comercio (OMC)'i
suscnto en Marrakech (Marruecos) el 15 de abil de 1994, sus acuerdos mult¡laterales anexos y elAcuerdo Ptuilateral
anexo sobre la Carne de Boino"

v
 continuación de ¡a Resotuc¡ón No. 650I O" 11 DIC 2018 Hoja No. 3 de 8

de Tecnologías de la Información, para establecer una serie de mejores prácticas internacionares

para la adecuada gestión de los activos de informac¡ón a través de Sisiemas de
Gestión de Segur¡dad
de la Información.

Que dentro de los estudios realizados en el desarrollo de esta propuesta, se identificó el potencial
que ja ¡mplementación de sistemas de Gestión de Seguridad de la Información,
como los b"r.r¡to.
en el estándar IS0/IEC 27O0Lt t¡enen para mejorar las capacidades de gest¡ón de Seguridad Dig¡tal
de las múlt¡ples partes interesadas.

Que la implementación de dichos Sistemas de Gestión de Segur¡dad de la Información puede darse

en un marco de autorregulación, donde los proveedores de servicios de comun¡caciones desarro,,en
políticas. de gestión de seguridad de la información, de acuerdo con su contexto específico
de
operación y vulnerabilidades, sigu¡endo para ello un estándar reconocido como mejbr práctrca
¡nternacional.

Que esta aproximación permite a las múltiples partes interesadas la flexibilidad y adaptab¡l¡dad
requeridas en campos del conocimiento con un alto grado de innovación como lo es el de la segurioao
digital/ y que Ia misma requiere de s¡stemas y procesos efect¡vos de transparencia.

Que tomando como insumo los elementos antes expuestos, los estudios realizados, y ejerciendo la
func¡ón otorgada por el legislador a esta Comis¡ón en el numeral 19 de artículo 22 de ia iev 1341 de
2009, se identificó la necesidad de contar con información estadística sobre la frecuenáia de los
Inc¡dentes de Segur¡dad de la Información, su impacto y causas, para brindar el nivel de transparencta
requer¡do para monitorear la implementación de los sistemas de gestión de seguridad de ra
información, para el desarrollo de otras políticas públicas y regulatorias de seguridad d¡gital basadas
en hechos, y para permitir a las autoridades nacionales encargadas de la c¡berseguridad y
ciberdefensa los niveles de coordinación y asesoría previstos en el coNpES 3954 de 2016.

Que a efectos de surtir el trámite de abogacía de la competenc¡a ante la Superintendencia de Industna

y comerc¡o, la cRc remitióa a dicha Entidad el contenido de la propuesta regulator¡a, su respectivo
documento soporte, el cuestionario al que hace referenc¡a la Resolución número 44649 de ZO10 v los
comentarios recibidos de Ios agentes interesados. Frente a lo anterior, la Superintendenc¡a Delegada
para la Protección de la competencia, mediante radicado lg-z:.2288-3-0 del 30 de septiembre de
2018, manifestó su voluntad de no pronunciarse sobre este proyecto regulatorio.

Que una vez atendidas las observaciones recibidas durante todo el proceso de d¡scus¡ón del presente
proyecto, se elaboró el documento que contiene las razones por las cuales se aceptan o rechazan los
planteam¡entos expuestos, ei cual fue puesto a consideración del comité de comisionados de ra
Entidad y fue aprobado mediante Acta No. 1168 del 03 de septiembre de 2018, y posteriormente
presentado y aprobado por los miembros de ia Ses¡ón de Com¡sión el 21 de noviembre de 2018 seoún
consta en el Acta No. 368.

En virtud de lo expuesto,

RESUELVE

ARTÍCULO 1. DEFINICIONES. Ad¡c¡onar al Título I de la Resoluc¡ón CRC 5050 de 2016, ras

siguientes definic¡ones:

"Evento de seguridad de la información: presenca ¡dent¡frcada de una cond¡c¡ón

de un s¡stema, seru¡c¡o o red, que indba una pos¡ble v¡olac¡ón de la polít¡ca de segur¡dad
de la ¡nformac¡ón o la falla de las salvaguardas, o una situación desconoc¡da
prev¡amente que puede ser pert¡nente a la segur¡dad. (De acuerdo con lo dispuesto en
el estándar ISOIEC 27000:2016)

fncidente de seguridad de la información: un evento o ser¡e de eventos de

segur¡dad de la información no deseados o ¡nesperados, que tienen una probabildad
s¡gn¡f¡cat¡va de comprometer las operac¡ones del negoco y amenazar la seguridad de
la ¡nformac¡ón. (De acuerdo con lo d¡spuesto en el esüíndar fSOfiEC 27000:2016)

4
Med¡ante radicado número 2018302837 del 03 de septiembre de 2018.

fr
 continuación de la Resolución No. 556$ a" i1 1 DIC 2019 Hoja No.4 de I

sistema de Gestión de seguridad de b rnformación: parte del s¡stema de gestiÓn

ótáout, Oou¿a en un enfoq-ue hac¡a los r¡esgos globales de un negoco cuyo fin es
-"staOloer,
¡mplementar, operar, hacer segu¡mientq rev¡sar, mantener y mejorar la
seguridad de la ¡nformac¡ón." (De acuerdo con lo dispuesto en el estándar Iso/IEc
27000:2016)
el
ARTÍCULO 2. GESTIóN DE SEGURIDAD EN REDES DE TELECOMUNICACIONES. Modif¡cár
l
artículo 5.1,2.3 del Capítulo del Titulo V de la Resolución CRC 5050 de 2016' por las razones
expuestas en la parte motiva de la presente resolución, el cual quedará así:
,ARTÍCULO 5,7.2.3 GESTTóN DE SEGUR'DAD DE LA TNFORMACTóN EN REDES
DE TELECOMTTNIACIONES. Los proveedores de redes seru¡c¡os y , de
telecomun¡caciones deben atender los siguténtes cr¡ter¡os en los procesos de gestión de
segur¡dad de sus redes:

5.7.2.3,7. PoLirTCAs DE 1EGURTDAD DE LA rNFoRMAcróN: Los proveedores

de redes y seru¡c¡os de comun¡cac¡ones deberán adoptar una Polítia de segundad d9
la Informacftin que ¡mplemente un s¡stema de Gest¡ón de segur¡dad de la Informacón
(sGsI), tend¡ente a garantizar la confidencial¡da4 la integr¡dad, la d¡spon¡bl¡dad de los
seru¡éios de comun¡cac¡ones y la información manejada, procesada o almacenada
durante la Drestaccin de los m¡smot s¡guiendo para ello la famlia de estándares
ISOIEC 27000.

En la ¡mptementac¡ón de d¡cho SGSI, los proveedores de redes y serv¡cios de

comun¡cac¡ones podrán, de manera autónoma, determ¡nar el alcance y las cond¡c¡ones
de func¡onamiento del sGSI, teniendo en cuenta las característtcas prop¡as de su re4
su contexto de operación y sus r¡esgos'

La política adoptada deberá ser compatible con la ident¡ficac¡ón, almacenam¡ento y

,eport" d. infot ución de incidentes de seguridad de la informactón de que tratan los
Numerales 5.1.2.3.2. y 5.1.2'3'3' del presente artículo.

5.7,2.3.2. INCIDENTES DE SEGURTDAD DE LA TNFORMACúóN. Los proveedores

de serv¡c¡os de telecomun¡cacones deberán ¡dent¡ficar, almacenar como min¡mo por un
año y tener a d¡spos¡c¡ón de las autoridades pert¡nentes la información sobre los
¡nc¡dentes de segur¡dad de la ¡nformac¡ón.

La ¡nformac¡ón sobre el Incidente de Segur¡dad de la Información debe tnclu¡r:

Seruttto Número de Duractón Categoría del de

Inc¡dente afedado uSuanos inc¡dente seveidad del
afectados ¡nc¡dente

Fecha det incidenE: En este campo deberá ¡nd¡carse la fecha de ¡n¡c¡o del
¡nciCente.
Se¡vicio afectado: En este campo deberá ¡nd¡carse el o los seru¡cios afectados
por el ¡ncidente de ¡nd¡spon¡b¡lidad:
a. Internet FiJ:o.
b. Internet Móv¡(.
c Telefonía fija.
d, Telefonía Móvil.

Númerc de usuarios externos afectados: En este campo, para telefonia

frja e Internet fijq debe ¡nd¡carse el número de suscr¡ptores afectados.

Para Internet y telefonía móvil, deberá ¡ndicarse el número potenc¡al de

usuar¡os afectados de acuerdo con el uso normal de la infraestructura afectada.

I
continuac¡ón de ta Resotución No. [ 5 9¿" tl1 l,ii' Hoja No. 5 de 8

Duración: En este ampo debe ¡nd¡carse el tiempo en horas de duración del

¡nc¡dente de segundad de la ¡nformactán.

5. Categoría del incidente: En este campo debe ¡nd¡carse la categoría del

nc¡dente de segur¡dad de la nformacon, el operador debe ¡nd¡car una de las
s¡gu¡entes categorías de causas raíz:

a, Denegac¡ón de servb¡o: Denegac¡ón de serv¡c¡o (DoS) y Denegación de

seru¡c¡o d¡str¡bu¡da (DD1S) son una categoría ampl¡a de ¡nciCentes con
carader¡st¡as en común, Estos ¡nc¡dentes causan que un s¡stema,
serub¡o o red no opere a su capactdad prev¡sta, usualmente causando
la denegación completa del acceso a los usuar¡os legít¡mos.

b. Acceso no autorEado: esta ategoría de ¡nc¡dentes cons¡ste en ¡ntentos

no autonzados para acceder o hacer un mal uso de un s6tema, seru¡c¡o
o red.

c. Malware: esta categoría tdent¡f¡ca un programa o parte de un programa

nsertado en otro con la ¡ntenc¡ón de mod¡f¡car su comportamiento
or¡g¡naL generalmente para real¡zar act¡v¡dades mal¡c¡osas como robo
de ¡nformac¡ón, robo de ¡dentida4 destrucción de información y
recursos/ denegación de seruiciq correo no deseado, etc.

d. Abuso: esta categoría de ¡nc¡dentes ¡dent¡fica la v¡olaccin de las

polítbas de segundad del s¡stema de ¡nformac¡ón de una organización.
No son ataques en el sent¡do estn',cto de la palabra, pero a menudo se
¡nforman como ¡ncdentes y requieren ser gest¡onados.

e, Recop¡lac¡ón de informacón de s¡stema: esta categoría de ¡nc¡dentes

¡ncluye las adiv¡dades asoctádas con la identificación de obiet¡vos
potenc¡ales y el anál¡s¡s de los serv¡cps que se ejecutan en esos
objet¡vos (ej, prob¡ng, p¡ng, scanning)

6. Nivel de severidad de incidente: En este campo, debe ¡nd¡carse el n¡vel de

sever¡dad del ¡nc¡dente de segufldad de la ¡nformac¡ón, ten¡endo en cuenta la
¡mportanc¡a del s¡stema de informactón ¡nvolucradq las potenc¡ales pérd¡das
de negocp y el pos¡ble ¡mpacto soctal, según lo d¡spuesto en el Anexo 5.g de
la presente Resoluc¡ón :

a. Muy Seno (Clase IV)

b. Ser¡o (Clase II,
c, Menos serio (Clase II)
d, Pequeño (Clase I)

5,I,2.3.3 REPORTE DE TNCIDENTES DE SEGURIDAD DE LA INFORMACTófl A

LAS AUTORúDADES. Cuando se presenten ¡nctdentes de segun',Cad de la ¡nformac¡ón,
los proveedores de redes y serub¡os de comun¡ac¡ones deberán env¡ar por medios
electrón¡cos, después del cterre del ¡nctdente, esto es después de su contenc¡ón,
erradicación o recuperación, un reporte al Grupo de Respuesta a Emergenc¡as
Cibernéttcas de Colombtá (colCERT) que incluya los elementos descr¡tos en el numeral
5.1.2.3.2 del presente artículq (fecha del inc¡dentq se¡v¡c¡o afectadq número de
usuarios afectados, duración, categoría de ¡nc¡dente) y una descr¡pc¡ón del inc¡dente,
así como de las acctbnes lleuadas a cabo por el proveedor para m¡tqar o resolver el
¡nc¡dente, en todo caso el t¡empo para el envío del reporte no podrá exceder los tres
(3) meses, subsecuentes a la fecha de deteccón del ¡nctdente.

S¡ el ¡nc¡dentefuera clasificado de severidad clase III "Ser¡o" o sevendad clase IV "luluy

Ser@'i según lo d¡spuesto en el Anexo 5,8 de la presente Resoluc¡ón, esto es, s¡ el
¡nc¡dente actúa sobre s¡stemas de ¡nformación ¡mportantes, resulta en pérdidas graves
para la organ¡zackin, o ¡mpl¡ca pérdtdas soc¡ales ¡mportantes, los proveedores de redes

N
 fiÁ'
No. td v i ;jrü 20'!8
continuación de la Resolución - - h Hoja No. 6 de B

y serv¡c¡os de comun¡cac¡ones deberán envíar un reporte al Grupo de Respuesta a

Emergencias c¡bernét¡cds de colomb¡a (colcERT) dentro de las 24 horas hábiles
subsécuentes a la detecaón del ¡nc¡dente, con la información d¡spon¡ble al momento
del reporte.

De manera voluntar¡a los proveedores de redes y serv¡cios de comun¡cac¡ones

podran
entregar ¡nformac¡ón ad¡cional reguerida por colcERT para la gest¡ón del ¡nc¡dente."

ARTÍCULO 3. CLASIFICACIóN Oe SfVfn¡OAD DE LOS INCIDENTES. Ad¡cionar el Anexo 5.8

a la Resolución CRC 5050 de 2016, el cual quedará así:

"ANEXO 5,8 CLASIFICACIóN DE.SEVERIDAD DE LOS TNCIDENTES DE

SEGURIDAD DE UI INFORMACION

Los ¡nc¡dentes de segurídad de la información deberán cons¡derar los s¡gu¡entes

factores para la clasificación de la severidad de inc¡dentes de seguridad de la
Informac¡ón:

1) ImDortanc¡a del s¡stemd de informaciÓn

2) Pérd¡da de negocto.
3) Impacto social

Estq de acuerdo con lo d¡spuesto en el estándar ISO/IEC 27035-2 (2016) en su

anexo C y aquellas vers¡ones poster¡ores de la m¡sma:

Fuente: Anexo C Est¿;ndar IS)IEC 27035 2:2016

Impoftancia del sistema de información: La ¡mportancia de los s¡stemas de

información afectados por los inc¡dentes de seguridad de la ¡nformac¡Ón se
determ¡na cons¡derando la relevanc¡a de las operaciones comerciales de la
organ¡zac¡ón respaldadas por los s¡stemas de información. La ímpoftancia podnb
expresarse en relación con la segur¡dad nac¡onal, el orden soc¡al, el desarrollo
económ¡co y el ¡nterés públicq y la dependencia del negocio en los sistemas de
tnformación. Este enfoque clasif¡ca la ¡mportancta del sistema de ¡nformacon en
tres grandes niveles: sstema de ¡nformac¡ón espec¡almente ¡mportante, sistema
de ¡nformac¡ón ¡mDortante v ststema de informac¡ón ord¡nario

r
Cont¡nuac¡ón de ta Resoluc¡ón ruo. 55 oe
11 Hoja No. 7 de 8

Pérdida de Negocio o pérdida Comercial: Es la pérd¡da de neaoc¡os de la

organización causada por ¡nctdentes de segufldad de la informacTón, esta se
d9t9rm¡na cons¡derando la gravedad del impacto de la ¡nterrupc¡ón del negoc¡o
deb¡Co al daño del hardware, softwarg func¡ones y datos de los sistemas de
información. La gravedad del impacto puede depender del costo de recuDeración
d:l rySocto a n¡veles de operación normales u otros efectos negat¡vos de los
¡nc¡dentes de seguridad de la información, ¡nclu¡das la pérdtda de benefrcios o
costos de oportun¡dad. Este enfogue clasifica la pérdida de negocros en cuatro
grandes n¡veles:

a) P_érd¡da de nEnct;c espec¡almente grave signficaría parálisis general¡zada de

la Tnpresa/ al punto de perder la capacrdad de operac¡ón empresar¡aL o
daños muy graves a la confrdenc¡at¡da4 la ¡ntegndad y la d¡spon¡b¡l¡dad de
datos comercales importantes. S¡gn¡ficaría un costo enorme de recuperación
del negoc¡o niveles normales y de el¡m¡nac¡ón de los efectos negat¡vos. l/na
organización no podnb soportar este n¡vel de pérd¡da de negoc¡o.

b) Pérd¡da de negoc¡o erave significaría la ¡nterrupdon de las operac¡ones

comerc¡ales durante un período prolongado o una parálist's comerc¡al
local¡zada capaz de ¡nflu¡r ser¡amente en la capacidad comercial o un daño
grave a la confidencal¡da4 ¡ntegr¡dad d¡spon¡btl¡dad de los datos
y
comerc¡ales ¡mportantes. S¡gn¡frcaría un alto costo de recuperacón de
negoc¡o a niveles normales y de el¡m¡nac¡ón dqlg€ negat¡vos. Lha
organ¡zac¡ón podría soportar este n¡vel de "bAos

c) Perd Ca de neaoc¡o cons¡derable stgn¡ficaría la dF las operacnnes^

comerc¡ales hasta el punto de ¡nflutr j :en la.3ryE¡14
comerc¡al o un daño cons¡derabe a la
disponibilidad de datos comerc¡ales
cons¡derable para recuperar el del negocio y eliminar
los efectos negat¡vos. Una podría soportar completamente este
n¡vel de pérd¡da comercbl,

d) Pérd¡da comerc¡al menor significaría la ¡nterrupc¡ón de las operac¡ones

comerctales por un corto período de t¡empo en la medrda en que influya en
la capactdad comerc¡al o un ¡mpacto menor en la confidencrálidad, ¡ntegr¡dad
y d¡spon¡b¡l¡dad de datos comerc¡ales mpoftantes. S¡gn¡ficaría un costo
menor para recuperar el negocio a la operac¡ón normal y eliminar los efedos
neqatuos.

fmpacto social: Es el tmpacto en la soc¡edad causado por inc¡dentes de

segur¡dad de la ¡nformac¡ón, se determ¡na const;Cerando la escala y el grado del
mpacto en la segur¡dad nac¡onat el orden soc¡al, el desarrollo económico y el
¡nterés públ¡co. Este enfoque clas¡fia el ¡mpacto social en cuatro n¡veles:

a) Impacto soc¡al esoec¡almente importante es aquel que tmpl¡caría efectos

adversos que abarcarán la mayoría de las áreas de uno o más departamentos
o prov¡nc¡as, amenazando en gran medida la seguridad nacional, causando
dtsturbos sociales, generando consecuenc¡as extremadamente adversas
para el desarrollo económ¡co y/o dañando gravemente el ¡nterés públ¡co.

q fnpActo_SeelAljnpAúaDte es aquel que ¡mpl¡caría efedos adversos que

abarcarán la mayoría de las áreas de una o más ciudades, amenazando la
seguridad nacional, causando pánico social, produc¡endo consecuenctAs
adversas s¡gn¡f¡cat¡vas en el desarollo económ¡co y/o pe¡J'ud¡cando el ¡nterés
públ¡co.

c) Impado_socta!,eonsidemble es aguel gue ¡mpl¡caría efectos adversos que

abarcarían áreas parcnles de una o más c¡udade, con una amenaza l¡m¡tada
para la segundad nac¡onal, con alguna perturbación del orden social, con

fr
 continuac¡ón de la Resolución No. 5 5 6 ! ¿" 11 DrC 2018 Hoja No. 8 de 8

consecuenc¡as adversas para el desarrollo económico o que ¡nfluyen en el

¡nterés Públ¡co.

d) Impacto soc¡al menor es aquel gue s¡gn¡fiaría efedos adversos en un área

parc¡al de una c¡udad y pocas posibilidades de amenazar la segur¡dad
nacionaL et orden sociat, el desaffolto eonómico y el públ¡co'"

ARúCULO 4. SEGUIMIENTO A GESTIóN DE INCIDENTES. Los proveedores de servicios.de

comunicaciones deberán remitir a la CRC antes del 31 de mazo de 2020, la información sobre
y
incidentes de seguridad, correspondiente al periodo comprendido entre el 10 de enero el 31 de
diciembre de 2019, de acuerdo con lo definidoen el numeral 5.1.2.3.2 del artículo 5'1.2.3 del Capítulo
1 del Título V de la Resolución CRC 5050 de 2016.

ARTÍCULO 5. VIGENCIAS Y DEROGATORIAS, La presente Resolución rige en su totalidad a

oartir de la fecha de su oublicación en el Diario oficial, con excepción de lo d¡spuesto en los numerales
i.r.z.Jr v s.r.z.¡.¡ dLl artículo 5.1.2.3 del capítulo l del TÍtulo V de la Resolución cRc 5050 de
ZOfO, lor tuales entrarán en vigencia dieciocho (18) meses después de su publicación; se deroga
exoresamente el artículo 2.3 de la Resolución CRC 3067 de 2011'

Dada en Bogotá D.C. a los trí1 DJC 2n''s

PUBLÍQUESE Y

c.c. 3olr0l20r7 ACt.a 1124

C.C. 03/09/2018 Acta 1168
S.C. 21111/2018 Acta 368

Código:9000-7r-13 ^.
Revisado por: Cfaudia X¡mena Bustamante - Coordinadora de C.apilal lr'úelectual/€
Elaborado Dor: Felipe S¿rmienlo/ Viv¡ana Vanegas/ Alejandro Delgado/ Maria Mónfca EscallÓn