OP.AAC.4 Proceso de gestión de derechos de acceso
Objetivo
Establecer el proceso integral de gestión del ciclo de vida de los derechos de acceso en Legit Health Plus, desde la solicitud inicial hasta la revocación, garantizando que los accesos se otorgan según la necesidad legítima, se mantienen actualizados y se revocan oportunamente, cumpliendo con ENS, MDR y normativas de ciberseguridad para dispositivos médicos.
Alcance
Este procedimiento aplica a:
- Gestión de derechos de acceso para todos los usuarios del sistema
- Administración de privilegios especiales y cuentas administrativas
- Control de acceso a datos clínicos y algoritmos diagnósticos
- Gestión de permisos para APIs e integraciones
- Procesos de revisión y recertificación de accesos
- Procedimientos de emergencia y acceso temporal
Guía de implantación
-
En la estructuración de los derechos de acceso se deben en cuenta las necesidades de cada usuario según su función en la organización y las tareas que tiene encomendadas.
-
La necesidad de acceso debe venir por escrito de parte del responsable de la información o proceso al que va a concedérsele acceso.
-
El reconocimiento de la necesidad de acceso debe ser reasegurado periódicamente, extinguiéndose cuando no se demuestre positivamente que la necesidad perdura.
-
Deberá prestarse una especial atención a las cuentas de administración del sistema (administración de equipos, de aplicaciones, de comunicaciones, de seguridad), estableciendo procedimientos ágiles de cancelación y mecanismos de monitorización del uso que se hace de ellas.
Implementación en Legit Health Plus
Ciclo de Vida de Derechos de Acceso
Categorías de Derechos de Acceso
Clasificación por Criticidad
| Categoría | Descripción | Ejemplos | Controles Especiales |
|---|---|---|---|
| Crítico | Acceso a funciones que afectan seguridad del paciente | Modificación algoritmos IA, configuración sistema | MFA + Aprobación dual + Auditía completa |
| Privilegiado | Acceso administrativo al sistema | Admin sistemas, gestión usuarios | MFA + Supervisión + Sesión grabada |
| Sensible | Acceso a datos personales de salud | Historiales clínicos, diagnósticos | MFA + Justificación + Log detallado |
| Estándar | Acceso operativo normal | Uso clínico rutinario | Autenticación fuerte + Audit básica |
| Limitado | Acceso restringido o temporal | Consultores, auditores | Tiempo limitado + Supervisión |
Proceso de Solicitud y Aprobación
Workflow de Solicitud
Matriz de Aprobación de Solicitudes de Acceso
Según el tipo de acceso solicitado, se aplican diferentes requisitos de aprobación y validación:
| Tipo de Acceso | Aprobadores Requeridos | SLA (horas) | Justificación Requerida | Requisitos Adicionales |
|---|---|---|---|---|
| Crítico | Manager Directo + CISO + Director Clínico | 24 | Sí | Evaluación de riesgos obligatoria |
| Privilegiado | Manager Directo + CISO | 12 | Sí | Formación de seguridad previa |
| Sensible | Manager Directo + DPO | 8 | Sí | Formación GDPR obligatoria |
| Estándar | Manager Directo | 4 | No | - |
| Limitado | Sponsor + Equipo Seguridad | 2 | Sí | Duración máxima: 30 días |
PRO-ACC-001: Creación de Solicitud de Acceso
Objetivo: Registrar y validar una nueva solicitud de acceso a recursos del sistema.
Pasos:
- Capturar información de la solicitud:
- Generar ID único para la solicitud
- Registrar ID del solicitante
- Anotar fecha y hora de la solicitud
- Registrar tipo de acceso solicitado
- Listar recursos a los que se solicita acceso
- Recopilar justificación del negocio
- Establecer estado inicial: "PENDIENTE"
- Inicializar lista de aprobaciones: vacía
- Calcular deadline SLA según tipo de acceso
- Ejecutar validaciones automáticas:
- Validar segregación de funciones: Verificar que el acceso solicitado no viole reglas de segregación (ver OP.AAC.3)
- Verificar prerequisitos: Confirmar que el usuario cumple requisitos previos (formaciones, certificaciones) según el tipo de acceso
- Si alguna validación falla: RECHAZAR automáticamente con notificación
- Iniciar proceso de aprobación:
- Identificar aprobadores requeridos según matriz de aprobación
- Enviar notificaciones a aprobadores
- Registrar solicitud en sistema de workflow
- Notificar al solicitante del estado
Resultado: Solicitud creada y en proceso de aprobación
PRO-ACC-002: Provisionamiento Automático de Acceso
Objetivo: Provisionar el acceso de forma automática una vez aprobada la solicitud.
Prerequisito: La solicitud debe estar completamente aprobada por todos los aprobadores requeridos.
Pasos:
- Crear identidad en proveedor de identidad (IdP):
- Generar cuenta de usuario o actualizar existente
- Asignar roles apropiados según solicitud
- Configurar atributos de identidad
- Asignar permisos en sistemas destino:
- Aplicar permisos específicos en cada recurso solicitado
- Configurar niveles de acceso según clasificación
- Verificar que los permisos se aplicaron correctamente
- Configurar autenticación multifactor (MFA):
- Solo si el tipo de acceso es: Crítico, Privilegiado o Sensible
- Registrar dispositivo MFA del usuario
- Enviar instrucciones de configuración
- Verificar configuración correcta antes de activar acceso
- Programar revisión periódica:
- Establecer fecha de revisión según tipo de acceso
- Crear recordatorio para el manager
- Registrar en calendario de revisiones de acceso
- Notificar al usuario:
- Enviar correo de activación con credenciales (si aplica)
- Incluir instrucciones de primer uso
- Indicar responsabilidades y políticas de uso
- Proporcionar contactos de soporte
Resultado: Acceso provisionado y usuario notificado
Gestión de Cuentas Privilegiadas (PAM)
Arquitectura PAM
Políticas de Cuentas Privilegiadas
| Política | Descripción | Implementación |
|---|---|---|
| Just-In-Time (JIT) | Acceso privilegiado solo cuando necesario | Máximo 8 horas, requiere justificación |
| Zero Standing Privileges | Sin privilegios permanentes | Todos los accesos admin son temporales |
| Session Recording | Grabación de sesiones privilegiadas | AWS Session Manager con almacenamiento S3 |
| Credential Rotation | Rotación automática de credenciales | Cada 30 días o tras cada uso |
| Break-Glass | Acceso de emergencia | Proceso documentado con alertas inmediatas |
Revisión y Recertificación de Accesos
Calendario de Revisiones
| Tipo de Acceso | Frecuencia | Revisor | Acción si no Justificado |
|---|---|---|---|
| Crítico | Mensual | CISO + Manager | Revocación inmediata |
| Privilegiado | Bimensual | Security Team + Manager | Revocación en 24h |
| Sensible | Trimestral | DPO + Manager | Revocación en 48h |
| Estándar | Semestral | Manager | Revocación en 7 días |
| Temporal | Al vencimiento | Sponsor | Eliminación automática |
Proceso de Recertificación
PRO-ACC-003: Inicio de Campaña de Recertificación
Objetivo: Iniciar una campaña periódica de revisión y recertificación de accesos para verificar que siguen siendo apropiados.
Duración de campaña: 14 días
Pasos:
- Crear campaña de recertificación:
- Generar ID único para la campaña
- Registrar fecha de inicio (fecha actual)
- Establecer fecha de fin (14 días desde inicio)
- Definir alcance de la campaña (tipo de accesos a revisar)
- Establecer estado: "ACTIVA"
- Identificar accesos a revisar:
- Consultar base de datos de accesos
- Filtrar según alcance de la campaña
- Aplicar criterios de periodicidad (ver tabla de frecuencias de revisión)
- Generar lista completa de accesos que requieren revisión
- Agrupar revisiones por responsable:
- Identificar el manager o responsable de cada usuario
- Agrupar todos los accesos del mismo responsable
- Preparar paquetes de revisión por manager
- Enviar solicitudes de revisión:
- Para cada manager identificado:
- Enviar correo con lista de accesos a revisar
- Incluir detalles de cada acceso (usuario, recursos, fecha última revisión)
- Proporcionar enlace a herramienta de revisión
- Indicar fecha límite de la campaña
- Especificar consecuencias de no responder
- Para cada manager identificado:
- Registrar inicio de campaña:
- Guardar campaña en sistema de seguimiento
- Generar recordatorios automáticos
- Iniciar monitoreo de progreso
Resultado: Campaña iniciada y notificaciones enviadas a todos los responsables
PRO-ACC-004: Procesamiento de Decisión de Recertificación
Objetivo: Procesar y ejecutar la decisión tomada por el responsable durante la recertificación de accesos.
Decisiones válidas: MANTENER, MODIFICAR, REVOCAR
Pasos:
- Validar decisión recibida:
- Verificar que la decisión es una de las tres opciones válidas
- Si la decisión no es válida: RECHAZAR con mensaje de error
- Verificar que el revisor es el responsable autorizado
- Ejecutar acción según decisión:
Si la decisión es MANTENER:
- Extender el acceso por el período definido según su tipo
- Actualizar fecha de última revisión
- Programar próxima revisión según frecuencia establecida
- Notificar al usuario que su acceso continúa activo Si la decisión es MODIFICAR:
- Crear solicitud de modificación de acceso
- Incluir justificación del responsable
- Mantener acceso actual hasta que se complete modificación
- Iniciar workflow de aprobación de modificación (PRO-ACC-001)
- Notificar al usuario sobre cambio pendiente Si la decisión es REVOCAR:
- Programar revocación del acceso
- Registrar justificación de la revocación
- Aplicar tiempo de gracia según tipo de acceso (ver tabla triggers de revocación)
- Notificar al usuario con antelación sobre revocación programada
- Crear tarea de revocación para equipo de seguridad
- Registrar decisión en auditoría:
- Guardar registro completo de la decisión
- Incluir: ID de revisión, decisión tomada, justificación, responsable, fecha/hora
- Actualizar estado de la revisión en la campaña
- Notificar a equipo de seguridad si procede
Resultado: Decisión procesada y acciones programadas o ejecutadas
Revocación y Desactivación
Triggers de Revocación
| Trigger | Tiempo de Acción | Proceso | Notificaciones |
|---|---|---|---|
| Terminación de empleo | Inmediato | Automatizado via HR system | HR, Manager, Security |
| Cambio de rol | 24 horas | Semi-automatizado | Manager, User, Security |
| Violación de política | Inmediato | Manual urgente | CISO, Legal, HR |
| Expiración temporal | Automático | Completamente automatizado | User, Sponsor |
| No recertificado | 48 horas | Automatizado con warning | Manager, User |
| Inactividad >90 días | 7 días warning | Automatizado | User, Manager |
Proceso de Desactivación
PRO-ACC-005: Revocación de Acceso de Emergencia
Objetivo: Revocar inmediatamente todos los accesos de un usuario en situaciones de emergencia (seguridad comprometida, terminación inmediata, incidente de seguridad).
Tiempo de ejecución objetivo: < 5 minutos
Autorización requerida: CISO o Director de Seguridad
Pasos (ejecutar en secuencia rápida):
- Desactivar cuenta en proveedor de identidad (IdP):
- Deshabilitar la cuenta del usuario inmediatamente
- Prevenir nuevos inicios de sesión
- Registrar ID de usuario y motivo de desactivación
- Revocar todas las sesiones activas:
- Cerrar todas las sesiones activas del usuario
- Invalidar todos los tokens de acceso (access tokens, refresh tokens)
- Forzar cierre de sesión global en todos los dispositivos
- Eliminar pertenencia a grupos y roles:
- Remover usuario de todos los grupos de seguridad
- Eliminar asignación de todos los roles
- Revocar permisos asociados
- Bloquear acceso VPN:
- Desactivar certificados VPN del usuario
- Revocar permisos de conexión remota
- Bloquear en firewall si es necesario
- Desactivar claves API:
- Identificar todas las API keys asociadas al usuario
- Deshabilitar o eliminar cada clave
- Registrar claves desactivadas
- Notificar a sistemas dependientes:
- Enviar notificación a sistemas integrados
- Alertar sobre revocación al equipo de seguridad
- Notificar a managers relevantes
- Incluir: ID usuario, motivo, timestamp
- Crear registro de auditoría completo:
- Documentar usuario revocado
- Registrar motivo de emergencia
- Anotar fecha/hora exacta
- Registrar responsable de la revocación
- Incluir todas las acciones tomadas
Resultado: Todos los accesos del usuario revocados y documentados
Post-revocación (dentro de 24 horas):
- Revisar logs de actividad del usuario previos a revocación
- Evaluar si se requiere investigación de seguridad
- Documentar lecciones aprendidas
- Actualizar procedimientos si es necesario
Procedimientos
PRO-AAC-010: Solicitud de Derechos de Acceso
- Iniciación de Solicitud
- Completar formulario R-TF-110-014 en sistema
- Especificar recursos necesarios
- Proporcionar justificación de negocio
- Indicar duración requerida
- Validación Automática
- Verificación de segregación de funciones
- Comprobación de prerequisitos (formación, etc.)
- Validación de políticas organizacionales
- Proceso de Aprobación
- Routing automático a aprobadores
- Notificaciones con SLA
- Escalamiento si no hay respuesta
- Documentación de decisiones
- Provisionamiento
- Creación automatizada de accesos
- Configuración de controles adicionales
- Envío de credenciales seguras
- Confirmación de activación
PRO-AAC-011: Revisión Periódica de Accesos
- Preparación de Campaña
- Definir alcance y calendario
- Identificar revisores responsables
- Preparar reportes de acceso actual
- Ejecución de Revisión
- Distribución de listados a revisores
- Plazo de 14 días para completar
- Herramienta web para decisiones
- Justificación obligatoria para mantener
- Procesamiento de Resultados
- Aplicación automática de decisiones
- Generación de tickets para cambios
- Programación de revocaciones
- Reporting
- Informe de cumplimiento
- Métricas de la campaña
- Identificación de riesgos
- Recomendaciones de mejora
PRO-AAC-012: Gestión de Acceso Privilegiado
- Solicitud de Acceso Privilegiado
- Solo para tareas específicas
- Duración máxima 8 horas
- Requiere ticket de cambio o incidente
- Aprobación dual obligatoria
- Provisión Just-In-Time
- Activación temporal de privilegios
- Credenciales únicas por sesión
- MFA obligatorio
- Inicio de grabación de sesión
- Monitoreo de Sesión
- Supervisión en tiempo real
- Alertas de comportamiento anómalo
- Capacidad de terminación remota
- Post-Sesión
- Revocación automática de privilegios
- Rotación de credenciales
- Revisión de logs
- Archivo de grabación
Responsabilidades
Propietarios de Información
- Definir quién necesita acceso a sus recursos
- Aprobar solicitudes de acceso inicial
- Participar en revisiones periódicas
- Notificar cambios en requisitos
Managers
- Solicitar accesos para su equipo
- Validar necesidad continua de acceso
- Participar en campañas de recertificación
- Notificar cambios de personal inmediatamente
Equipo de Identidades y Accesos (IAM)
- Gestionar proceso de solicitudes
- Ejecutar provisionamiento técnico
- Coordinar campañas de recertificación
- Mantener documentación actualizada
Security Operations Center (SOC)
- Monitorear uso de privilegios
- Investigar anomalías de acceso
- Ejecutar revocaciones de emergencia
- Generar reportes de cumplimiento
Registros y Evidencias
Documentación Requerida
| Registro | Descripción | Retención | Ubicación |
|---|---|---|---|
| R-TF-110-014 | Solicitud de acceso | 7 años | ServiceNow |
| R-TF-110-015 | Aprobaciones de acceso | 7 años | ServiceNow |
| R-TF-110-016 | Registro de recertificaciones | 5 años | SharePoint |
| R-TF-110-017 | Log de accesos privilegiados | 3 años | AWS CloudWatch |
| R-TF-110-018 | Grabaciones de sesiones PAM | 1 año | AWS S3 |
Evidencias de Auditoría
Contenido de Registros de Auditoría para Eventos del Ciclo de Vida de Accesos
Cada evento relacionado con la gestión de accesos (concesión, modificación, revocación, revisión) debe generar un registro de auditoría completo que contenga la siguiente información:
Información General del Evento:
- Tipo de evento: Identificar el tipo específico de evento (acceso_concedido, acceso_modificado, acceso_revocado, acceso_revisado, acceso_renovado)
- ID de solicitud: Identificador único de la solicitud asociada (formato: REQ-YYYY-NNNNNN)
- Fecha y hora del evento: Timestamp exacto del evento
Información del Usuario:
- ID del usuario: Identificador único del usuario afectado
- Tipo de identidad: Clasificación del usuario (HCP, ITP, SVC, API, PAT)
- Departamento: Área organizacional del usuario
Información de Recursos:
- Recursos concedidos: Lista completa de recursos a los que se otorgó acceso
- Nivel de acceso: Permisos específicos para cada recurso (lectura, escritura, ejecución, administración)
- Clasificación de recursos: Nivel de sensibilidad (Crítico, Privilegiado, Sensible, Estándar, Limitado)
Información de Aprobaciones:
Para cada aprobador que participó en el proceso, registrar:
- ID del aprobador: Identificador único del aprobador
- Rol del aprobador: Función que autoriza su aprobación (Manager Directo, CISO, DPO, etc.)
- Fecha y hora de aprobación: Timestamp exacto de cada aprobación
- Decisión: Aprobado o rechazado
- Comentarios: Justificación o notas del aprobador (si aplica)
Información de Provisionamiento:
- Fecha y hora de provisionamiento: Timestamp cuando se provisionó el acceso efectivamente
- Sistemas afectados: Lista de sistemas donde se aplicaron los permisos
- Método de provisionamiento: Automático o manual
- Responsable de provisionamiento: Persona o sistema que ejecutó el provisionamiento
Información de Vigencia:
- Fecha de inicio: Cuando el acceso se activa
- Fecha de expiración: Cuando el acceso expirará automáticamente (si aplica)
- Próxima revisión programada: Fecha en que debe recertificarse el acceso
- Duración: Período total de validez del acceso
Trazabilidad:
- ID único del evento: Para correlación y búsqueda
- Correlación con logs técnicos: Referencias a registros en sistemas subyacentes
- Cambios relacionados: Enlaces a modificaciones previas o posteriores del mismo acceso
Ejemplo ilustrativo de un registro completo:
Concesión de acceso a datos de pacientes y ejecución de diagnósticos para el profesional sanitario John Doe (solicitud REQ-2024-001234), aprobada por:
- Manager Jane - Aprobado el 15/01/2024 a las 10:00 UTC
- CISO Bob - Aprobado el 15/01/2024 a las 11:00 UTC
El acceso fue provisionado el 15/01/2024 a las 12:00 UTC, con vigencia hasta el 15/07/2024 y revisión programada para el 15/04/2024.
Métricas y KPIs
Indicadores de Gestión de Accesos
| Métrica | Objetivo | Frecuencia | Responsable |
|---|---|---|---|
| Tiempo medio de provisionamiento | <4 horas estándar, <24h crítico | Semanal | IAM Team |
| % Solicitudes aprobadas automáticamente | >70% | Mensual | Process Owner |
| Tasa de recertificación completada | 100% en plazo | Trimestral | Compliance |
| Accesos no utilizados >90 días | <5% | Mensual | IAM Team |
| Tiempo de revocación tras baja | <1 hora | Por evento | HR + IAM |
| Sesiones PAM sin incidentes | >99% | Mensual | SOC |
Dashboard de Gestión
- Estado de solicitudes en curso
- Accesos próximos a expirar
- Campañas de recertificación activas
- Uso de accesos privilegiados
- Tendencias de solicitudes por tipo
- Alertas de accesos anómalos
Referencias Cruzadas
Documentos Internos
- OP.AAC.1: Identificación - Base para gestión de derechos
- OP.AAC.2: Requisitos de acceso - Definición de permisos
- OP.AAC.3: Segregación - Restricciones de asignación
- GP-013: Ciberseguridad - Marco general de seguridad
- T-024-007: Post-Market Surveillance - Monitoreo de accesos
- R-TF-013-002: Risk Management - Riesgos de acceso indebido
Cumplimiento Normativo
- ENS: [op.acc.4] Proceso de gestión de derechos de acceso
- ISO 27001: A.9.2 - Gestión de acceso de usuarios
- MDR: Requisito 17.4 - Protección contra acceso no autorizado
- GDPR: Artículo 25 - Protección de datos por diseño
- FDA Cybersecurity: Gestión de autenticación y autorización
- NIS2: Artículo 21 - Medidas de ciberseguridad
Documentos de referencia
- ISO/IEC 27000
- 27002:2013:
- 9.2.2 - Provisión de acceso de usuario
- 9.2.3 - Gestión de privilegios de acceso
- 9.2.5 - Revisión de los derechos de acceso de usuario
- 9.2.6 - Retirada o reasignación de los derechos de acceso
- 9.4.1 - Restricción del acceso a la información
- 27002:2013:
- NIST SP 800-53 rev4:
- [AC-3] Access Enforcement
- [AC-24] Access Control Decisions
- [CM-5] Access Restrictions for Change
- Otras referencias:
- Manageable Network Plan
- Milestone 5: Control Your Network (User Access)
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003, JD-004
- Approver: JD-001