MP.AUX - Protección de Medios Auxiliares
Objeto y alcance
Objeto
Este procedimiento establece las medidas de protección para los medios auxiliares utilizados en el sistema de información de Legit Health, conforme a los requisitos de categoría MEDIA del Esquema Nacional de Seguridad (Real Decreto 311/2022).
Alcance
Este procedimiento aplica a todos los medios auxiliares que soportan o complementan el funcionamiento del sistema, incluyendo:
- Equipamiento de respaldo y continuidad
- Dispositivos de almacenamiento temporal
- Medios de comunicación auxiliares
- Herramientas de administración y mantenimiento
- Dispositivos de prueba y desarrollo
Referencias normativas
- Real Decreto 311/2022, Anexo II, Medidas de seguridad
- CCN-STIC 804 - Guía de implantación del ENS
- ISO/IEC 27001:2022, Control A.7.10 (Storage media)
- ISO/IEC 27002:2022, Sección 7.10 (Storage media)
Roles y responsabilidades
Responsable de Seguridad
- Definir y mantener actualizada la política de medios auxiliares
- Aprobar los tipos de medios auxiliares autorizados
- Supervisar el cumplimiento de este procedimiento
- Autorizar excepciones documentadas
Administradores de Sistemas
- Gestionar el inventario de medios auxiliares
- Aplicar las medidas de protección definidas
- Realizar el borrado seguro de medios
- Mantener registros de uso y disposición
Usuarios
- Utilizar únicamente medios auxiliares autorizados
- Notificar pérdida o robo de medios
- Seguir los procedimientos de uso seguro
- No introducir medios no autorizados
Clasificación de medios auxiliares
Por criticidad
Como sistema de categoría MEDIA, aplicamos controles proporcionales al nivel de riesgo de un PROVEEDOR de servicios de apoyo, no de un prestador directo del servicio sanitario.
3.1.1. Medios críticos
- Dispositivos de backup con datos de producción
- Tokens de autenticación y certificados
- Dispositivos con claves criptográficas
3.1.2. Medios sensibles
- Equipos de desarrollo con código fuente
- Dispositivos de prueba con datos anonimizados
- Herramientas de administración remota
3.1.3. Medios de uso general
- Dispositivos de presentación
- Medios de documentación técnica
- Equipamiento de formación
Por tipo de información
| Tipo de medio | Clasificación | Medidas requeridas |
|---|---|---|
| Backup con datos sanitarios | CONFIDENCIAL | Cifrado AES-256, acceso restringido |
| Código fuente | SENSIBLE | Control de versiones, acceso autorizado |
| Documentación técnica | USO INTERNO | Marcado, distribución controlada |
| Material formativo | PÚBLICO | Medidas básicas |
Medidas de protección [NIVEL MEDIO]
Control de inventario
4.1.1. Registro de medios
Mantenemos un inventario actualizado con:
- Identificador único del medio
- Tipo y capacidad
- Clasificación de seguridad
- Propietario/responsable
- Ubicación actual
- Fecha de alta/baja
4.1.2. Etiquetado
Todo medio auxiliar debe estar etiquetado con:
- Identificador único
- Clasificación de seguridad
- Propietario
- Fecha de última revisión
Protección física
4.2.1. Almacenamiento seguro
- Medios críticos: Armarios ignífugos con cerradura
- Medios sensibles: Armarios con llave en área controlada
- Medios generales: Almacenamiento ordenado y controlado
4.2.2. Transporte
- Uso de contenedores seguros para medios críticos
- Registro de movimientos entre ubicaciones
- Cifrado obligatorio para medios con datos
- Procedimiento de cadena de custodia
Protección lógica
4.3.1. Cifrado
- Obligatorio para medios con datos sanitarios
- Recomendado para medios con información sensible
- Algoritmo mínimo: AES-256
- Gestión segura de claves según MP.INFO.5
4.3.2. Control de acceso
- Autenticación requerida para medios críticos
- Registro de accesos (logs)
- Segregación por roles
- Revisión periódica de permisos
Gestión del ciclo de vida
Adquisición y alta
- Evaluación de necesidad: Justificación documentada
- Aprobación: Por Responsable de Seguridad
- Configuración inicial:
- Borrado seguro inicial
- Aplicación de configuración de seguridad
- Etiquetado y registro en inventario
- Asignación: A responsable específico
Uso operativo
5.2.1. Normas de uso
- Uso exclusivo para fines autorizados
- Prohibición de almacenar datos personales no autorizados
- Actualización regular de medidas de seguridad
- Verificación periódica de integridad
5.2.2. Mantenimiento
- Revisiones trimestrales de seguridad
- Actualización de firmware/software
- Pruebas de recuperación (para backups)
- Rotación según política establecida
Baja y destrucción
5.3.1. Borrado seguro [NIVEL MEDIO]
Según tipo de medio y clasificación:
| Tipo de medio | Método de borrado | Estándar |
|---|---|---|
| Discos magnéticos | Sobrescritura 3 pasos | DoD 5220.22-M |
| SSD/Flash | Secure Erase + verificación | NIST SP 800-88 |
| Cintas | Desmagnetización | NSA/CSS 9-12 |
| Ópticos | Destrucción física | DIN 66399 P-4 |
5.3.2. Certificación de destrucción
Documento que incluye:
- Identificación del medio
- Método utilizado
- Fecha y hora
- Responsable de la destrucción
- Testigo (para medios críticos)
- Verificación del proceso
Reutilización
Antes de reutilizar cualquier medio:
- Borrado seguro completo
- Verificación de borrado
- Reclasificación si procede
- Nueva asignación documentada
- Actualización del inventario
Medios específicos por función
Medios de backup
6.1.1. Requisitos específicos
- Cifrado obligatorio (AES-256)
- Almacenamiento en ubicación separada
- Pruebas mensuales de recuperación
- Rotación según esquema GFS (Grandfather-Father-Son)
- Retención según GP-087 (Gestión de Backups)
6.1.2. Protección adicional
- Copias off-site para continuidad
- Verificación de integridad (checksums)
- Control de versiones
- Documentación de contenido
Dispositivos USB y removibles
6.2.1. Política de uso
- PROHIBIDOS dispositivos personales
- Solo dispositivos corporativos autorizados
- Registro obligatorio antes del primer uso
- Escaneo antimalware automático
6.2.2. Controles técnicos
- Bloqueo por defecto de puertos USB
- Lista blanca de dispositivos autorizados
- Cifrado automático (BitLocker/FileVault)
- DLP (Data Loss Prevention) activo
Medios de desarrollo y prueba
6.3.1. Entornos aislados
- Segregación de redes
- Datos anonimizados/sintéticos
- Sin acceso a producción
- Limpieza periódica de datos
6.3.2. Control de código
- Repositorios Git centralizados
- Prohibición de copias locales no controladas
- Escaneo de secretos en código
- Backup automático de repositorios
Gestión de incidentes
Pérdida o robo
Procedimiento inmediato:
- Notificación (< 1 hora): Al Responsable de Seguridad
- Evaluación del contenido y riesgo
- Bloqueo remoto si es posible
- Denuncia si procede
- Análisis de impacto en protección de datos
- Comunicación a afectados si necesario
- Informe y lecciones aprendidas
Compromiso de integridad
Si se detecta alteración no autorizada:
- Aislamiento inmediato del medio
- Análisis forense si crítico
- Restauración desde backup verificado
- Investigación de causa raíz
- Refuerzo de controles
Registro y seguimiento
Mantenemos registro de:
- Todos los incidentes relacionados con medios
- Acciones tomadas
- Impacto evaluado
- Medidas correctivas implementadas
- Seguimiento hasta cierre
Formación y concienciación
Programa de formación
8.1.1. Formación inicial
- Política de medios auxiliares
- Procedimientos de uso seguro
- Clasificación de información
- Proceso de notificación de incidentes
8.1.2. Formación continua
- Actualizaciones anuales
- Alertas de seguridad
- Buenas prácticas
- Casos prácticos y simulacros
Material de referencia
Disponible en intranet:
- Guía rápida de clasificación
- Procedimiento de borrado seguro
- Contactos de emergencia
- FAQ sobre medios auxiliares
Auditoría y cumplimiento
Controles periódicos
9.1.1. Revisiones trimestrales
- Verificación del inventario
- Muestreo de etiquetado
- Comprobación de permisos
- Estado de cifrado
9.1.2. Auditoría anual
- Cumplimiento completo del procedimiento
- Eficacia de las medidas
- Análisis de incidentes
- Benchmarking con estándares
Indicadores (KPIs)
| Indicador | Objetivo | Frecuencia |
|---|---|---|
| % medios inventariados | 100% | Mensual |
| % medios cifrados (críticos) | 100% | Mensual |
| Tiempo medio borrado seguro | < 24h | Trimestral |
| Incidentes por pérdida/robo | < 2/año | Anual |
| % personal formado | > 95% | Anual |
Mejora continua
- Revisión anual del procedimiento
- Incorporación de lecciones aprendidas
- Actualización según cambios normativos
- Adaptación a nuevas tecnologías
Excepciones y dispensas
Proceso de excepción
- Solicitud formal con justificación
- Evaluación de riesgos
- Medidas compensatorias propuestas
- Aprobación por Comité de Seguridad
- Registro y seguimiento
- Revisión periódica de vigencia
Excepciones temporales
Máximo 30 días para:
- Proyectos especiales
- Situaciones de emergencia
- Pruebas de concepto
- Auditorías externas
Documentación relacionada
Procedimientos ENS
- GP-110: Esquema Nacional de Seguridad
- MP.INFO: Protección de la información
- MP.SI: Soportes de información
- OP.CONT: Continuidad del servicio
- OP.MON: Monitorización del sistema
Otros documentos
- GP-087: Gestión de Backups
- GP-013: Gestión de Incidentes
- R-TF-013-002: Análisis de Riesgos
- Política de Seguridad de la Información
Anexos
Anexo I: Plantilla de inventario de medios
| Campo | Descripción | Ejemplo |
|---|---|---|
| ID | Identificador único | MED-2025-001 |
| Tipo | Tipo de medio | USB 32GB |
| Marca/Modelo | Fabricante y modelo | Kingston DT100 |
| Número serie | S/N del dispositivo | KB123456789 |
| Clasificación | Nivel de seguridad | SENSIBLE |
| Propietario | Responsable asignado | Juan Pérez |
| Ubicación | Localización actual | Armario A-3 |
| Fecha alta | Fecha de registro | 01/09/2025 |
| Estado | Activo/Baja/Perdido | Activo |
| Cifrado | Sí/No + método | Sí - BitLocker |
| Última revisión | Fecha última auditoría | 01/08/2025 |
Anexo II: Checklist de borrado seguro
- Identificación correcta del medio
- Backup de datos si necesario
- Selección del método apropiado
- Ejecución del borrado
- Verificación del borrado
- Documentación del proceso
- Actualización del inventario
- Archivo del certificado
- Disposición final del medio
Anexo III: Métodos de borrado por categoría MEDIA
Según CCN-STIC 804 para categoría MEDIA:
| Clasificación información | Método mínimo | Verificación |
|---|---|---|
| CONFIDENCIAL | Sobrescritura 3 pasos | Obligatoria |
| SENSIBLE | Sobrescritura 1 paso | Recomendada |
| USO INTERNO | Formateo seguro | Opcional |
| PÚBLICO | Borrado simple | No requerida |
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003, JD-004
- Approver: JD-001