MP.EQ Protección de los equipos
Esta sección establece las medidas de protección para equipos en el contexto de dispositivos médicos, siguiendo el Esquema Nacional de Seguridad (ENS) y las directrices de ciberseguridad para dispositivos médicos.
Aplicabilidad según categoría del sistema
| Medida | Básica | Media | Alta |
|---|---|---|---|
| mp.eq.1 - Puesto de trabajo despejado | ✓ | ✓ | ✓ |
| mp.eq.2 - Bloqueo de puesto de trabajo | ✓ | ✓ | ✓ |
| mp.eq.3 - Protección de equipos portátiles | - | ✓ | ✓ |
| mp.eq.4 - Medios alternativos | - | - | ✓ |
MP.EQ.1 Puesto de trabajo despejado [APLICA: BÁSICA, MEDIA, ALTA]
Objetivo
Garantizar que los puestos de trabajo donde se gestionan dispositivos médicos y datos de pacientes mantengan la confidencialidad y disponibilidad de la información, aplicando políticas de escritorio limpio.
Documentos de referencia
- T-024-006 Cybersecurity Risk Management Plan
- Real Decreto 311/2022 - Anexo II, mp.eq.1
- Guía CCN-STIC 804 - Guía de implantación del ENS
- ISO 27001:2022 - A.11.2.9 Clear desk and clear screen policy
Guía de implantación
Implementación para dispositivos médicos
Medidas obligatorias:
-
Política de escritorio limpio
- Los puestos de trabajo con acceso a sistemas de dispositivos médicos no deben mostrar información sensible cuando no estén atendidos
- Documentación física de pacientes debe guardarse en armarios cerrados
- Pantallas deben orientarse para evitar visualización no autorizada
-
Control de información sensible
- Datos de pacientes solo visibles cuando sea necesario para la tarea
- Historiales clínicos digitales con acceso controlado por rol
- Informes de dispositivos médicos con clasificación de confidencialidad
-
Gestión de medios extraíbles
- USB, CDs y otros medios removibles bajo control estricto
- Registro de uso de medios para transferencia de datos médicos
- Cifrado obligatorio para datos de pacientes en medios portátiles
Controles técnicos:
- Salvapantallas con bloqueo automático después de 5 minutos de inactividad
- Cierre automático de sesiones de sistemas críticos después de 15 minutos
- Notificaciones visuales de información confidencial en pantalla
Evaluación del cumplimiento:
- Auditorías trimestrales de puestos de trabajo
- Verificación del cumplimiento de políticas de escritorio limpio
- Revisión de registros de acceso a información de pacientes
Responsabilidades:
- Usuario: Aplicar la política de escritorio limpio
- Responsable del área: Supervisar el cumplimiento
- Seguridad: Realizar auditorías y formación
Registros generados:
- R-110-014: Checklist de auditoría de puestos de trabajo
- R-110-015: Incidencias de incumplimiento detectadas
MP.EQ.2 Bloqueo del puesto de trabajo [APLICA: BÁSICA, MEDIA, ALTA]
Objetivo
Implementar mecanismos automáticos y manuales de bloqueo para prevenir el acceso no autorizado a sistemas de dispositivos médicos y datos de pacientes.
Documentos de referencia
- T-024-007 Threat Modeling Assessment
- Real Decreto 311/2022 - Anexo II, mp.eq.2
- Guía CCN-STIC 804 - Guía de implantación del ENS
- MDR Anexo I, Capítulo II, 17.4 - Protección contra acceso no autorizado
Guía de implantación
Implementación para dispositivos médicos
Medidas obligatorias:
-
Bloqueo automático
- Activación automática tras 5 minutos de inactividad en sistemas críticos
- Activación automática tras 15 minutos en sistemas de soporte
- Mantenimiento de sesiones de aplicaciones médicas críticas durante el bloqueo
-
Bloqueo manual
- Combinación de teclas rápida (Ctrl+Alt+L o Windows+L)
- Botón de bloqueo visible en aplicaciones médicas
- Procedimientos de bloqueo de emergencia para situaciones críticas
-
Gestión de sesiones médicas
- Preservación del estado de aplicaciones médicas durante el bloqueo
- Notificaciones de alarmas médicas incluso con pantalla bloqueada
- Acceso rápido para personal médico autorizado en emergencias
Controles técnicos:
- Integración con Active Directory para políticas centralizadas
- Logs de eventos de bloqueo y desbloqueo
- Excepciones temporales para procedimientos médicos críticos
Configuraciones específicas:
- Sistemas de monitoreo de pacientes: bloqueo visual, alarmas activas
- Estaciones de trabajo clínicas: bloqueo total después de inactividad
- Sistemas administrativos: bloqueo estándar según política empresarial
Configuración por categoría ENS:
| Categoría | Tiempo de bloqueo | Método de desbloqueo |
|---|---|---|
| BÁSICA | 15 minutos | Contraseña |
| MEDIA | 10 minutos | Contraseña robusta |
| ALTA | 5 minutos | MFA obligatorio |
Excepciones autorizadas:
- Quirófanos durante intervenciones: extensión temporal autorizada
- Sistemas de emergencia: bloqueo visual manteniendo funcionalidad
- Monitores de constantes vitales: sin bloqueo, solo protección física
MP.EQ.3 Protección de los equipos portátiles [APLICA: MEDIA, ALTA]
Objetivo
Asegurar la protección física y lógica de equipos portátiles utilizados en el contexto de dispositivos médicos, incluyendo tablets, laptops y dispositivos móviles de diagnóstico.
Documentos de referencia
- T-024-009 Vulnerability Disclosure Procedures
- Real Decreto 311/2022 - Anexo II, mp.eq.3
- Guía CCN-STIC 804 - Guía de implantación del ENS
- FDA Cybersecurity Guidance - Mobile Medical Applications
Guía de implantación
Implementación para dispositivos médicos
Medidas obligatorias:
-
Protección física
- Cables de seguridad Kensington para equipos fijos temporales
- Armarios con cerradura para almacenamiento nocturno
- Registro de entrada y salida de equipos portátiles del hospital
-
Cifrado de datos
- Cifrado completo del disco (BitLocker, FileVault)
- Particiones separadas para datos de pacientes con cifrado adicional
- Claves de recuperación gestionadas centralmente por TI
-
Control de acceso remoto
- VPN obligatoria para acceso desde equipos portátiles
- Certificados digitales para autenticación de dispositivo
- Desactivación remota en caso de pérdida o robo
-
Gestión de dispositivos móviles (MDM)
- Configuración automática de políticas de seguridad
- Borrado remoto de datos médicos
- Control de aplicaciones instaladas y actualizaciones
Controles específicos para dispositivos médicos:
- Validación de integridad para aplicaciones médicas móviles
- Backup automático de datos críticos antes del desplazamiento
- Restricciones de red para prevenir exfiltración de datos
Protocolos de incidentes:
- Procedimiento de reporte inmediato en caso de pérdida
- Evaluación de impacto en datos de pacientes comprometidos
- Notificación a autoridades según GDPR si procede
Requisitos adicionales por categoría:
| Categoría | Requisitos adicionales |
|---|---|
| MEDIA | - Cifrado AES-128 mínimo - Inventario actualizado - Auditoría anual |
| ALTA | - Cifrado AES-256 - Geolocalización activa - Auditoría semestral - Contenedor seguro para apps |
MP.EQ.4 Otros dispositivos conectados [APLICA: ALTA]
Objetivo
Establecer controles de seguridad para dispositivos no tradicionales conectados a la red (IoT médico, wearables, sensores), garantizando que no comprometan la seguridad del sistema.
Documentos de referencia
- Real Decreto 311/2022 - Anexo II, mp.eq.4
- Guía CCN-STIC 804 - Guía de implantación del ENS
- IEC 80001-1 - Application of risk management for IT-networks
Guía de implantación
Control de dispositivos IoT médicos
Medidas obligatorias para categoría ALTA:
-
Inventario y clasificación
- Registro completo de dispositivos IoT médicos
- Clasificación por criticidad y riesgo
- Mapeo de flujos de datos y comunicaciones
- Identificación de vulnerabilidades conocidas
-
Segmentación de red
- VLAN dedicada para dispositivos IoT médicos
- Firewall específico con reglas restrictivas
- Aislamiento de dispositivos no gestionados
- Comunicación controlada con sistemas críticos
-
Control de acceso y autenticación
- Cambio obligatorio de credenciales por defecto
- Autenticación fuerte para administración
- Certificados digitales cuando sea posible
- Deshabilitación de servicios innecesarios
-
Monitorización y detección de anomalías
- Análisis de comportamiento de dispositivos
- Detección de comunicaciones anómalas
- Alertas por cambios de configuración
- Integración con SIEM corporativo
Control de dispositivos USB y removibles:
-
Política de uso
- Lista blanca de dispositivos autorizados
- Bloqueo por defecto de puertos USB
- Registro de uso y transferencias
- Escaneo automático de malware
-
Cifrado obligatorio
- Todos los dispositivos USB deben estar cifrados
- Gestión centralizada de claves
- Imposibilidad de uso sin cifrado
-
Tipos de dispositivos controlados
- Memorias USB
- Discos duros externos
- Lectores de tarjetas
- Dispositivos de imagen médica portátiles
- Smartphones y tablets personales
Data Loss Prevention (DLP):
- Prevención de copia de datos sensibles a USB
- Marcado de agua en documentos confidenciales
- Alertas por intentos de exfiltración
- Cuarentena automática de transferencias sospechosas
Evaluación de eficacia
Indicadores clave de rendimiento (KPIs)
| Medida | Indicador | Objetivo MEDIA | Objetivo ALTA |
|---|---|---|---|
| mp.eq.1 | % cumplimiento escritorio limpio | > 90% | > 95% |
| mp.eq.2 | Tiempo medio de bloqueo automático | < 10 min | < 5 min |
| mp.eq.3 | % portátiles con cifrado activo | 100% | 100% |
| mp.eq.4 | Dispositivos IoT no autorizados detectados | 0 | 0 |
Auditoría y revisión
Frecuencia de auditoría:
- Categoría BÁSICA: Anual
- Categoría MEDIA: Semestral
- Categoría ALTA: Trimestral
Elementos a auditar:
- Cumplimiento de políticas de escritorio limpio
- Configuración de bloqueo automático
- Estado de cifrado de dispositivos
- Inventario de dispositivos conectados
- Logs de acceso y uso de USB
Formación y concienciación
Plan de formación:
- Inducción para nuevo personal
- Actualización anual obligatoria
- Simulacros de seguridad trimestrales
- Boletines de concienciación mensuales
Contenidos específicos:
- Política de escritorio limpio
- Uso seguro de dispositivos portátiles
- Procedimientos de bloqueo
- Gestión de dispositivos USB
- Respuesta ante pérdida o robo
Responsabilidades
| Rol | Responsabilidades |
|---|---|
| Usuario | - Aplicar política de escritorio limpio - Bloquear puesto al ausentarse - Reportar pérdida de equipos |
| Administrador de sistemas | - Configurar bloqueo automático - Gestionar cifrado - Mantener inventario |
| Responsable de seguridad | - Definir políticas - Auditar cumplimiento - Gestionar incidentes |
| Responsable del servicio | - Aprobar excepciones - Asignar equipos - Supervisar cumplimiento |
Registros asociados
- R-110-014: Auditoría de puestos de trabajo
- R-110-015: Inventario de equipos portátiles
- R-110-016: Registro de dispositivos USB autorizados
- R-110-017: Incidentes de seguridad en equipos
- R-110-018: Formación en protección de equipos
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003, JD-004
- Approver: JD-001