OP.AAC.3 Segregación de funciones y tareas
Objetivo
Establecer la segregación de funciones y tareas en el sistema Legit Health Plus para prevenir errores, impedir el abuso de privilegios y garantizar que las actividades críticas requieran la participación de múltiples personas, cumpliendo con los requisitos del ENS, MDR y las mejores prácticas de seguridad para dispositivos médicos.
Alcance
Este procedimiento aplica a:
- Todas las funciones y roles dentro del sistema Legit Health Plus
- Procesos críticos de diagnóstico m�édico y gestión de datos de pacientes
- Actividades de desarrollo, despliegue y mantenimiento del software
- Funciones de administración, configuración y auditoría
- Gestión de algoritmos de IA/ML y modelos diagnósticos
- Procesos de validación clínica y certificación regulatoria
Guía de implantación
- La segregación de funciones tiene dos objetivos:
- prevenir errores
- impedir el abuso de privilegios por parte de los usuarios autorizados
-
Debe documentarse un esquema de funciones y tareas en el que se contemplen las que son incompatibles en una misma persona. La incompatibilidad debe garantizar que para llevar a cabo un proceso o actividad crítica siempre se requieren al menos 2 personas.
-
Debe establecerse un procedimiento de asignación de personas a funciones y tareas a personas que garantice que no se viola el esquema anterior, ni cuando se asignan responsabilidades inicialmente, ni cuando se actualizan.
-
Hay que evitar que las personas que trabajan en la operación diaria del sistema participen en el desarrollo de aplicaciones (desarrolladores) o en su configuración (administradores).
- nadie puede autorizarse a sí mismo
- los desarrolladores no pueden modificar datos de explotación
- los desarrolladores no pueden pasar software a explotación
- los desarrolladores no pueden configurar software en explotación
- los operadores ni desarrollan software ni pueden modificar los desarrollos
- los usuarios ni desarrollan ni pueden modificar los desarrollos
- los usuarios ni configuran ni pueden modificar la configuración
-
Hay que evitar que las personas que trabajan en la auditoría o supervisión participen en cualquier otra función.
-
Deberá prestarse una especial atención a los roles asociados a cuentas de administración del sistema (administración de equipos, de aplicaciones, de comunicaciones, de seguridad), fragmentando las funciones administrativas entre varias personas cuando la categoría del sistema lo requiera. En todo caso el número de personas con derechos de administración debe ser lo más reducido posible sin menoscabo de la usabilidad del sistema.
Implementación en Legit Health Plus
Matriz de Segregación de Funciones
Funciones Incompatibles
| Función Principal | Funciones Incompatibles | Justificación |
|---|---|---|
| Desarrollo de Software | Despliegue a Producción, Administración de Producción | Prevenir cambios no autorizados |
| Administración de Sistemas | Auditoría, Desarrollo, Aprobación de Cambios | Evitar auto-aprobación |
| Diagnóstico Clínico | Administración de Pacientes Propios, Modificación de Algoritmos | Conflicto de intereses |
| Auditoría | Cualquier función operativa | Independencia del auditor |
| Gestión de Modelos IA | Validación Clínica, Aprobación Regulatoria | Separación desarrollo-validación |
| Control de Calidad | Desarrollo, Despliegue | Independencia de QA |
| Gestión de Incidentes | Administración de Logs, Desarrollo | Preservar evidencia |
Procesos Críticos con Doble Control
| Proceso | Rol 1 | Rol 2 | Tipo de Control |
|---|---|---|---|
| Despliegue a Producción | DevOps Engineer | QA Lead + Security | Aprobación secuencial |
| Modificación de Algoritmos IA | ML Engineer | Clinical Validator | Desarrollo + Validación |
| Acceso a Datos Masivos | Data Analyst | Privacy Officer | Solicitud + Aprobación |
| Cambios en Configuración Crítica | System Admin | Security Officer | Ejecución + Supervisión |
| Eliminación de Datos de Pacientes | Clinical Admin | DPO | Solicitud + Confirmación |
| Actualización de Certificados | Security Admin | Infrastructure Lead | Generación + Instalación |
Modelo de Roles y Responsabilidades
Estructura Organizacional
Implementación Técnica de Segregación
Control de Segregación en el Sistema
Roles Mutuamente Excluyentes
Los siguientes pares de roles NO pueden ser asignados simultáneamente a un mismo usuario:
| Rol 1 | Rol 2 | Justificación |
|---|---|---|
| Developer | Production Admin | Separar desarrollo de operación en producción |
| ML Engineer | Clinical Validator | Separar creación de algoritmos de su validación clínica |
| System Admin | Auditor | Separar administración de sistemas de auditoría |
| Data Analyst | Privacy Officer | Separar análisis de datos de control de privacidad |
| Security Admin | Developer | Separar configuración de seguridad de desarrollo |
| Clinical User | Patient Admin | Separar uso clínico de administración de pacientes |
Procesos con Control Dual
Los siguientes procesos críticos requieren aprobación de múltiples personas:
| Proceso | Quién Puede Iniciar | Quién Debe Aprobar | Aprobaciones Mínimas |
|---|---|---|---|
| Despliegue a Producción | Developer, DevOps | QA Lead, Security Officer | 2 |
| Actualización de Algoritmo | ML Engineer | Clinical Validator, Regulatory Officer | 2 |
| Eliminación de Datos de Paciente | Clinical Admin | DPO, Clinical Director | 2 |
| Cambio de Configuración de Seguridad | Security Admin | CISO, Infrastructure Lead | 1 |
Procedimientos de Validación
PRO-SEG-001
Validación de Asignación de Roles**
Objetivo: Verificar que la asignación de un nuevo rol a un usuario no viola las reglas de segregación de funciones.
Pasos:
- Obtener roles actuales del usuario
- Revisar matriz de exclusión: Para cada conjunto de roles mutuamente excluyentes:
- Verificar si el nuevo rol pertenece al conjunto
- Si pertenece, verificar si el usuario ya tiene algún rol del mismo conjunto
- Si existe conflicto: RECHAZAR la asignación con mensaje explicativo
- Si no hay conflictos: Aprobar la asignación
- Registrar la validación en logs de auditoría
Resultado: Asignación aprobada o rechazada con justificación
PRO-SEG-002: Inicio de Proceso con Control Dual
Objetivo: Gestionar procesos críticos que requieren aprobación de múltiples personas.
Pasos:
- Validar proceso: Verificar que el proceso está definido en la lista de procesos con control dual
- Verificar autorización del iniciador:
- Obtener roles del usuario iniciador
- Confirmar que tiene al menos uno de los roles autorizados para iniciar
- Si no está autorizado: RECHAZAR con error de permisos
- Crear workflow de aprobación:
- Generar ID único para el workflow
- Registrar: proceso, iniciador, fecha/hora, aprobaciones requeridas
- Establecer estado: "PENDIENTE"
- Inicializar lista de aprobaciones: vacía
- Notificar a aprobadores requeridos
- Retornar ID del workflow para seguimiento
Resultado: Workflow creado y en espera de aprobaciones
Configuración de Entornos Segregados
| Entorno | Propósito | Roles con Acceso | Restricciones |
|---|---|---|---|
| Development | Desarrollo de código | Developers, ML Engineers | Sin datos reales de pacientes |
| Testing | Pruebas de QA | QA Team, Clinical Validators | Datos anonimizados |
| Staging | Pre-producción | DevOps, Security Team | Espejo de producción, acceso limitado |
| Production | Sistema en vivo | Ops Team, Support (limitado) | Solo personal autorizado |
| DR/Backup | Recuperación | Infrastructure Team | Acceso de emergencia |
Controles Compensatorios
Para organizaciones pequeñas donde la segregación completa no es posible:
Matriz de Controles Compensatorios
| Situación | Riesgo | Control Compensatorio |
|---|---|---|
| Una persona con múltiples roles | Abuso de privilegios | Auditoría detallada + Supervisión externa |
| Desarrollador con acceso a producción | Cambios no autorizados | Logs inmutables + Revisión periódica |
| Admin con acceso total | Modificación de evidencia | SIEM externo + Alertas automáticas |
| Falta de personal para dual control | Errores no detectados | Automatización + Validación diferida |
Procedimientos
PRO-AAC-007: Asignación de Roles
- Solicitud de Rol
- Formulario R-TF-110-009 con justificación
- Aprobación del supervisor directo
- Revisión de compatibilidad
- Validación de Segregación
- Sistema verifica automáticamente incompatibilidades
- Revisión manual para casos especiales
- Documentación de excepciones si aplica
- Aprobación
- CISO aprueba roles críticos
- Manager aprueba roles estándar
- Registro en matriz de roles
- Implementación
- Configuración en sistema de identidades
- Notificación al usuario
- Actualización de documentación
PRO-AAC-008: Control Dual de Procesos Críticos
- Iniciación
- Usuario inicia proceso en sistema
- Sistema identifica requisito de dual control
- Creación de ticket de aprobación
- Notificación
- Alerta automática a aprobadores
- Incluye detalles del cambio solicitado
- Establece deadline según criticidad
- Revisión y Aprobación
- Aprobadores revisan independientemente
- Cada uno documenta su decisión
- Sistema verifica quórum requerido
- Ejecución
- Solo tras aprobaciones completas
- Log detallado de todas las acciones
- Notificación de completado
PRO-AAC-009: Revisión de Segregación
- Auditoría Trimestral
- Extracción de matriz de roles actual
- Identificación de violaciones potenciales
- Análisis de acumulación de privilegios
- Análisis de Riesgos
- Evaluación de controles compensatorios
- Identificación de puntos débiles
- Propuesta de mejoras
- Remediación
- Corrección de violaciones identificadas
- Implementación de controles adicionales
- Actualización de políticas
Responsabilidades
Chief Information Security Officer (CISO)
- Definir política de segregación de funciones
- Aprobar excepciones documentadas
- Supervisar cumplimiento general
- Reportar a dirección sobre riesgos
Managers de Área
- Proponer estructura de roles de su equipo
- Garantizar segregación en sus procesos
- Participar en revisiones periódicas
- Justificar necesidades especiales
Equipo de Seguridad
- Implementar controles técnicos
- Monitorizar violaciones de segregación
- Investigar incidentes relacionados
- Mantener matriz de segregación
Auditoría Interna
- Verificar cumplimiento de políticas
- Evaluar efectividad de controles
- Identificar mejoras necesarias
- Mantener independencia completa
Registros y Evidencias
Documentación Requerida
| Registro | Descripción | Retención | Ubicación |
|---|---|---|---|
| R-TF-110-009 | Solicitud de asignación de rol | 5 años | SharePoint |
| R-TF-110-010 | Matriz de segregación actual | Permanente | Git + SharePoint |
| R-TF-110-011 | Log de procesos dual control | 3 años | AWS CloudWatch |
| R-TF-110-012 | Informe de auditoría de segregación | 5 años | SharePoint |
| R-TF-110-013 | Registro de excepciones aprobadas | 7 años | SharePoint |
Evidencias de Auditoría
Contenido de Registros de Auditoría para Procesos con Control Dual
Cada proceso que requiere control dual debe generar un registro de auditoría completo que contenga la siguiente información:
Información General del Proceso:
- Fecha y hora de inicio: Timestamp exacto cuando se inició el proceso
- Tipo de registro: Identificar como "proceso de control dual"
- Proceso específico: Nombre del proceso ejecutado (ej: despliegue a producción, actualización de algoritmo, eliminación de datos de paciente, cambio de configuración de seguridad)
Información del Iniciador:
- Usuario iniciador: Identificador único del usuario que inició el proceso
- Roles del iniciador: Roles que posee el usuario que autorizan el inicio
Información de Aprobadores:
Para cada aprobador requerido, registrar:
- Usuario aprobador: Identificador único del aprobador
- Decisión: Resultado de la aprobación (aprobado/rechazado)
- Fecha y hora de la decisión: Timestamp exacto de cada aprobación
- Comentarios: Justificación o notas del aprobador (si aplica)
Información de Ejecución:
- Fecha y hora de ejecución: Timestamp cuando se ejecutó el proceso tras obtener todas las aprobaciones
- Resultado: Estado final del proceso (éxito/fallo/parcial)
- Detalles del resultado: Información adicional sobre la ejecución
- Cambios realizados: Descripción de las modificaciones efectuadas
Trazabilidad:
- ID único del registro: Identificador para correlación y búsqueda
- Correlación con sistemas: Referencias a logs técnicos relacionados
- Evidencias adjuntas: Enlaces a documentación complementaria
Ejemplo ilustrativo de un registro completo:
Un despliegue a producción iniciado el 20/01/2024 a las 14:30 UTC por el desarrollador John Doe, que requirió y obtuvo aprobación de:
- QA Lead Jane Smith - Aprobado el 20/01/2024 a las 14:45 UTC
- Security Officer Bob Wilson - Aprobado el 20/01/2024 a las 14:50 UTC
El proceso se ejecutó exitosamente el 20/01/2024 a las 15:00 UTC.
Métricas y KPIs
Indicadores de Segregación
| Métrica | Objetivo | Frecuencia | Responsable |
|---|---|---|---|
| % Procesos con dual control | 100% críticos | Mensual | Security Team |
| Violaciones de segregación detectadas | 0 | Continuo | SIEM |
| Tiempo medio aprobación dual | <2 horas | Semanal | Process Owner |
| Excepciones activas | <5% usuarios | Trimestral | CISO |
| Cobertura de auditoría | 100% anual | Trimestral | Internal Audit |
| Efectividad controles compensatorios | >95% | Semestral | Risk Management |
Dashboard de Monitoreo
- Matriz de roles actual en tiempo real
- Procesos pendientes de aprobación dual
- Alertas de intentos de violación
- Tendencias de acumulación de privilegios
- Estado de controles compensatorios
Referencias Cruzadas
Documentos Internos Relacionados
- OP.AAC.1: Identificación - Base para asignación de roles
- OP.AAC.2: Requisitos de acceso - Permisos por rol
- OP.AAC.4: Gestión de derechos - Ciclo de vida de privilegios
- GP-013: Gestión de Ciberseguridad - Marco general
- T-024-006: Threat Model - Amenazas de insider
- R-TF-013-002: Risk Management - Riesgos de segregación
Cumplimiento Normativo
- ENS: [op.acc.3] Segregación de funciones y tareas
- ISO 27001: A.6.1.2 - Segregación de tareas
- MDR: Requisito 17.2 - Controles de seguridad
- FDA Guidance: Principio de menor privilegio
- SOC 2: CC6.1 - Separación de funciones incompatibles
- NIS2: Artículo 21 - Gestión de acceso privilegiado
Documentos de referencia
- Guías CCN-STIC:
- Guía CCN-STIC-801 - ENS Responsables y funciones
- ISO/IEC 27000
- 27002:2013:
- 6.1.2 - Segregación de tareas
- 27002:2013:
- NIST SP 800-53 rev4:
- [AC-5] Separation of Duties
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003, JD-004
- Approver: JD-001