OP.ACC.7 Acceso remoto

Objetivo

Establecer los controles y procedimientos para el acceso remoto seguro al sistema Legit Health Plus, garantizando la protección de datos clínicos y funciones diagnósticas cuando se accede desde ubicaciones externas, cumpliendo con ENS, MDR y normativas de ciberseguridad para dispositivos médicos.

Alcance

Este procedimiento aplica a:

• Acceso remoto de profesionales sanitarios desde consultas externas
• Telemedicina y teleconsulta
• Acceso de administradores IT para mantenimiento remoto
• Conexiones desde dispositivos móviles (tablets, smartphones)
• Integraciones con sistemas hospitalarios externos
• Acceso de emergencia fuera del horario laboral
• Trabajo remoto del personal autorizado

Implementación en Legit Health Plus

Arquitectura de Acceso Remoto

Política de Acceso Remoto

Matriz de Acceso Remoto por Rol

Rol	Método Permitido	Recursos Accesibles	Restricciones	MFA Requerido
Médico (HCP)	VPN + VDI	Portal clínico, diagnósticos	Sin descarga de imágenes	Sí - TOTP
Admin IT	ZTNA + Bastion	Consola admin, logs	Sesión grabada	Sí - Hardware token
Soporte	RDP Gateway	Herramientas soporte	Solo lectura	Sí - SMS
API Client	mTLS	Endpoints autorizados	Rate limiting	Certificado cliente
Consultor	VDI temporal	Recursos específicos	Tiempo limitado	Sí - TOTP

Tecnologías de Acceso Remoto

1. VPN (Virtual Private Network)

Configuración de AWS Client VPN

Solución implementada: AWS Client VPN para acceso remoto seguro a la red corporativa

1. Configuración del Endpoint VPN

Parámetro	Valor	Descripción
Nombre del endpoint	legit-health-vpn	Identificador del servicio VPN
CIDR para clientes	10.100.0.0/16	Rango de direcciones IP asignadas a clientes VPN (65,534 direcciones disponibles)
Split tunnel	Deshabilitado (false)	Todo el tráfico del cliente debe pasar por la VPN (no solo tráfico corporativo)

Justificación split tunnel deshabilitado: Se requiere que todo el tráfico de internet del usuario pase por la VPN para aplicar políticas de seguridad completas, filtrado de contenido y prevención de fugas de datos, incluso cuando se accede a recursos externos.

2. Configuración de Autenticación

Parámetro	Valor	Descripción
Tipo de autenticación	certificate-and-directory	Certificado digital + directorio de usuarios (autenticación dual)
Directorio de usuarios	d-1234567890	ID de AWS Directory Service (integrado con Active Directory corporativo)
Cadena de certificados raíz	s3://certificates/root-ca.pem	Ubicación del certificado de la CA raíz para validación

Requisito de autenticación dual:

• Factor 1: Certificado digital X.509 instalado en el dispositivo del usuario
• Factor 2: Credenciales de usuario en el directorio corporativo (usuario/contraseña)

3. Reglas de Autorización por Grupos

Grupo de Usuarios	Red de Destino	VLAN	Acceso	Descripción
VPN-Healthcare-Professionals	10.0.10.0/24	VLAN 10 (CLINICAL)	Permitido	Profesionales sanitarios con acceso a sistemas clínicos y diagnósticos
VPN-IT-Admins	10.0.50.0/24	VLAN 50 (MANAGEMENT)	Permitido	Administradores IT con acceso a consolas de gestión y administración

Principio aplicado: Autorización basada en grupos de Active Directory. Solo los usuarios pertenecientes a grupos autorizados pueden acceder a las redes específicas.

Segregación de acceso: Los profesionales sanitarios NO pueden acceder a la VLAN de gestión (10.0.50.0/24), y los administradores IT deben usar cuentas separadas para acceder a la VLAN clínica.

4. Configuración de Seguridad

Parámetro	Valor	Descripción
Protocolo de transporte	TCP	Uso de TCP para mayor fiabilidad (vs UDP)
Puerto VPN	443	Puerto HTTPS estándar para evitar bloqueos en firewalls corporativos
Servidores DNS	10.0.0.2, 10.0.0.3	Servidores DNS internos para resolución de nombres corporativos
Logs de conexión	Habilitados	Registro completo de todas las conexiones VPN
Grupo de logs CloudWatch	/aws/vpn/connections	Ubicación centralizada de logs para monitoreo y auditoría

Justificación puerto 443: El uso del puerto 443 (HTTPS) permite que las conexiones VPN atraviesen la mayoría de firewalls corporativos y redes restrictivas sin problemas.

5. Información Registrada en Logs

Los logs de conexión VPN deben incluir:

• Timestamp de conexión y desconexión
• ID de usuario autenticado
• Dirección IP asignada al cliente
• Certificado utilizado
• Grupos de autorización aplicados
• Redes accedidas
• Volumen de datos transferidos
• Motivo de desconexión

Retención de logs: 2 años (requisito ENS para accesos remotos a CATEGORIA MEDIA)

2. Zero Trust Network Access (ZTNA)

Implementación ZTNA (Zero Trust Network Access) para Legit Health Plus

Principio fundamental: "Nunca confiar, siempre verificar" - Cada solicitud de acceso se evalúa individualmente sin importar el origen.

PRO-ZTNA-001: Evaluación de Solicitud de Acceso según Zero Trust

Objetivo: Evaluar una solicitud de acceso remoto calculando una puntuación de confianza basada en múltiples factores y determinar si se concede o deniega el acceso.

Modelo de puntuación de confianza:

Factor Evaluado	Peso	Puntuación Máxima	Descripción
1. Identidad del usuario	20%	0.2	Verificación exitosa de la identidad del usuario
2. Confianza del dispositivo	30%	0.3	Evaluación de seguridad del dispositivo (ver PRO-ZTNA-001-A)
3. Contexto de ubicación	20%	0.2	Evaluación del riesgo geográfico de la conexión
4. Comportamiento del usuario	20%	0.2	Análisis de patrones de comportamiento históricos
5. Sensibilidad del recurso	-	-	Ajusta umbral requerido según criticidad

Total puntuación posible: 1.0 (100%)

Umbrales de acceso:

• Recursos estándar: Puntuación mínima requerida = 0.8 (80%)
• Recursos críticos: Puntuación mínima requerida = 0.95 (95%)

Pasos de evaluación:

1. Inicializar puntuación de confianza:

   • Establecer puntuación inicial = 0.0
   • Establecer umbral por defecto = 0.8 (80%)

2. Verificar identidad del usuario:

   • Autenticar al usuario mediante MFA
   • Validar certificado digital (si aplica)
   • Verificar estado activo de la cuenta
   • Si verificación exitosa: Sumar 0.2 puntos a la puntuación
   • Si falla verificación: No sumar puntos (posible denegación)

3. Validar dispositivo:

   • Ejecutar evaluación de confianza del dispositivo (PRO-ZTNA-001-A)
   • Obtener puntuación de dispositivo (0.0 a 1.0)
   • Cálculo: Sumar (puntuación_dispositivo × 0.3) a la puntuación total
   • Ejemplo: Si dispositivo obtiene 0.7, sumar 0.7 × 0.3 = 0.21 puntos

4. Evaluar contexto de ubicación:

   • Analizar ubicación geográfica de la conexión
   • Calcular riesgo de ubicación (0.0 = sin riesgo, 1.0 = máximo riesgo)
   • Cálculo: Sumar (1 - riesgo_ubicación) × 0.2 a la puntuación
   • Ejemplo: Si riesgo = 0.3, sumar (1 - 0.3) × 0.2 = 0.14 puntos

5. Verificar comportamiento del usuario:

   • Analizar patrones históricos de acceso del usuario
   • Detectar anomalías en horarios, frecuencia, recursos accedidos
   • Obtener puntuación de comportamiento (0.0 a 1.0)
   • Cálculo: Sumar (puntuación_comportamiento × 0.2) a la puntuación
   • Ejemplo: Comportamiento normal = 1.0, sumar 1.0 × 0.2 = 0.2 puntos

6. Validar sensibilidad del recurso solicitado:

   • Clasificar recurso: PÚBLICO, INTERNO, CONFIDENCIAL, CRÍTICO
   • Si recurso es CRÍTICO: Elevar umbral requerido a 0.95 (95%)
   • Si recurso NO es crítico: Mantener umbral en 0.8 (80%)

7. Tomar decisión de acceso:

   Si puntuación ≥ umbral requerido (ACCESO CONCEDIDO):

   • Estado: "granted" (concedido)
   • Registrar puntuación de confianza alcanzada
   • Aplicar restricciones de sesión según puntuación:
     • Restricciones más estrictas si puntuación es baja-media (0.8-0.85)
     • Restricciones estándar si puntuación es alta (>0.85)
   • Determinar nivel de monitorización:
     • Enhanced (mejorado): Si puntuación < 0.9 (monitoreo continuo intensivo)
     • Standard (estándar): Si puntuación ≥ 0.9 (monitoreo normal)
   • Conceder acceso con restricciones aplicadas

   Si puntuación < umbral requerido (ACCESO DENEGADO):

   • Estado: "denied" (denegado)
   • Registrar puntuación de confianza alcanzada
   • Motivo: "Puntuación de confianza insuficiente"
   • Proporcionar recomendaciones de remediación:
     • Actualizar dispositivo si puntuación de dispositivo es baja
     • Verificar ubicación si hay riesgo geográfico
     • Contactar con administrador si comportamiento es anómalo
   • Registrar intento de acceso denegado en auditoría

Resultado: Decisión de acceso (concedido/denegado) con puntuación de confianza, restricciones aplicadas y nivel de monitorización

Ejemplos de puntuación:

Ejemplo 1 - Acceso concedido:

• Identidad verificada: +0.2
• Dispositivo corporativo actualizado (1.0): +0.3
• Ubicación oficina España (riesgo 0.0): +0.2
• Comportamiento normal (1.0): +0.2
• Total: 0.9 → Acceso concedido, monitoreo estándar

Ejemplo 2 - Acceso denegado:

• Identidad verificada: +0.2
• Dispositivo personal no gestionado (0.4): +0.12
• Ubicación desconocida (riesgo 0.8): +0.04
• Comportamiento normal (1.0): +0.2
• Total: 0.56 → Acceso denegado (< 0.8)

Ejemplo 3 - Acceso denegado a recurso crítico:

• Identidad verificada: +0.2
• Dispositivo corporativo (0.9): +0.27
• Ubicación oficina (riesgo 0.0): +0.2
• Comportamiento normal (1.0): +0.2
• Total: 0.87 → Acceso denegado (recurso crítico requiere 0.95)

PRO-ZTNA-001-A: Evaluación de Confianza del Dispositivo

Objetivo: Calcular una puntuación de confianza para un dispositivo basándose en su estado de seguridad.

Modelo de penalizaciones:

Criterio de Evaluación	Penalización	Estado Requerido
Dispositivo gestionado por la empresa	-0.3	Debe estar bajo gestión MDM/MAM corporativa
Cumplimiento de políticas de seguridad	-0.3	Debe cumplir todas las políticas (antivirus, firewall, cifrado)
Parches del sistema operativo	-0.2	No debe tener parches pendientes
Antivirus actualizado	-0.2	Definiciones de antivirus deben estar actualizadas

Puntuación inicial: 1.0 (100%)

Método de cálculo:

1. Iniciar con puntuación máxima: score = 1.0
2. Verificar gestión corporativa del dispositivo:
   • Si el dispositivo NO está gestionado (MDM/MAM): Restar 0.3 puntos
   • Si está gestionado: No aplicar penalización
   • Justificación: Dispositivos no gestionados no pueden ser controlados remotamente
3. Verificar cumplimiento de políticas:
   • Si NO cumple con las políticas de seguridad: Restar 0.3 puntos
   • Si cumple: No aplicar penalización
   • Políticas verificadas: Antivirus activo, firewall habilitado, cifrado de disco
4. Verificar parches del sistema:
   • Si hay parches pendientes (count > 0): Restar 0.2 puntos
   • Si no hay parches pendientes: No aplicar penalización
   • Justificación: Sistemas sin parches son vulnerables a exploits conocidos
5. Verificar actualización de antivirus:
   • Si el antivirus NO está actualizado: Restar 0.2 puntos
   • Si está actualizado: No aplicar penalización
   • Criterio: Definiciones actualizadas en las últimas 24 horas
6. Garantizar puntuación mínima:
   • Si la puntuación es negativa: Establecer en 0.0
   • Puntuación final: Valor entre 0.0 y 1.0

Resultado: Puntuación de confianza del dispositivo (0.0 a 1.0)

Ejemplos:

Dispositivo corporativo completamente actualizado:

• Gestionado: Sí → No penalización
• Cumple políticas: Sí → No penalización
• Parches: 0 pendientes → No penalización
• Antivirus: Actualizado → No penalización
• Puntuación: 1.0 (confianza máxima)

Dispositivo personal con algunas deficiencias:

• Gestionado: No → -0.3
• Cumple políticas: Sí → No penalización
• Parches: 2 pendientes → -0.2
• Antivirus: Actualizado → No penalización
• Puntuación: 0.5 (confianza media)

Dispositivo sin seguridad básica:

• Gestionado: No → -0.3
• Cumple políticas: No → -0.3
• Parches: 5 pendientes → -0.2
• Antivirus: No actualizado → -0.2
• Puntuación: 0.0 (sin confianza)

Uso en evaluación ZTNA: Esta puntuación se multiplica por 0.3 (30% del peso total) en PRO-ZTNA-001 para contribuir a la decisión final de acceso.

3. Virtual Desktop Infrastructure (VDI)

Configuración de Pools de Escritorios Virtuales

Solución implementada: Escritorios virtuales en AWS WorkSpaces / Azure Virtual Desktop para acceso remoto a entorno corporativo

Pool 1: Clinical VDI Pool (Entorno Clínico)

Configuración de Infraestructura:

Parámetro	Valor	Descripción
Nombre del pool	Clinical-VDI-Pool	Identificador del pool de escritorios clínicos
Imagen base	ami-clinical-desktop-v2	AMI con software clínico pre-instalado y configurado
Tipo de instancia	t3.large	2 vCPUs, 8 GB RAM
Sesiones máximas	100	Número máximo de escritorios virtuales simultáneos
Timeout de inactividad	1800 segundos (30 minutos)	Desconexión automática tras 30 min sin actividad

Recursos Asignados por Escritorio:

Recurso	Asignación	Descripción
CPU	2 vCPUs	Procesadores virtuales para aplicaciones clínicas
Memoria	8 GB	RAM para ejecución fluida de aplicaciones médicas
Almacenamiento	50 GB	Disco virtual para archivos de sesión (no persistente)

Aplicaciones Disponibles:

1. Legit Health Clinical Portal - Portal principal de acceso a funciones diagnósticas
2. Image Viewer - Visualizador de imágenes dermatológicas
3. Report Generator - Generador de informes clínicos

Restricciones de Seguridad:

Función	Estado	Justificación
Portapapeles	Deshabilitado	Prevenir copia de datos de pacientes fuera del entorno
Transferencia de archivos	Deshabilitada	Evitar exfiltración de información clínica
Impresión	Habilitada	Permitir impresión de informes en impresoras corporativas autorizadas
Redirección USB	Deshabilitada	Bloquear conexión de dispositivos USB externos

Justificación de restricciones: Proteger datos de pacientes según RGPD y MDR, evitando fuga de información sensible mientras se mantiene funcionalidad necesaria para práctica clínica.

---

Pool 2: Admin VDI Pool (Entorno Administrativo)

Configuración de Infraestructura:

Parámetro	Valor	Descripción
Nombre del pool	Admin-VDI-Pool	Identificador del pool de escritorios administrativos
Imagen base	ami-admin-desktop-v2	AMI con herramientas de administración IT
Tipo de instancia	t3.xlarge	4 vCPUs, 16 GB RAM (mayor capacidad para tareas admin)
Sesiones máximas	10	Número limitado para administradores IT autorizados
Grabación de sesión	Habilitada	Todas las sesiones administrativas se graban completamente

Aplicaciones Disponibles:

1. AWS Console - Consola de administración de AWS
2. System Admin Tools - Herramientas de administración de sistemas
3. Log Analyzers - Analizadores de logs y herramientas de auditoría

Control de Seguridad Especial:

Grabación de sesión obligatoria:

• Todas las acciones realizadas en escritorios administrativos se graban en video
• Las grabaciones se almacenan en S3 con cifrado
• Retención: 5 años (para auditorías ENS)
• Acceso a grabaciones: Solo Security Team y auditores autorizados
• Propósito: Auditoría completa de acciones privilegiadas

Diferencias clave entre pools:

Característica	Clinical Pool	Admin Pool
Usuarios	Profesionales sanitarios (HCP)	Administradores IT
Capacidad	t3.large (2 CPU, 8GB)	t3.xlarge (4 CPU, 16GB)
Sesiones	100 máximo	10 máximo
Impresión	Habilitada	Configuración específica
Grabación	No requerida	Obligatoria
Aplicaciones	Software clínico	Herramientas administrativas
Acceso a datos	Datos de pacientes	Sistemas y configuraciones

Monitoreo de VDI:

• Uso de CPU y memoria por sesión
• Número de sesiones activas vs. capacidad
• Duración promedio de sesiones
• Aplicaciones más utilizadas
• Incidentes de seguridad por pool

Controles de Seguridad para Acceso Remoto

Data Loss Prevention (DLP)

Política DLP	Descripción	Acción	Aplicación
PHI Detection	Bloquear transferencia de datos de pacientes	Bloquear + Alertar	Todos los canales
Image Protection	Prevenir descarga de imágenes médicas	Watermark + Log	VDI, Web
Code Protection	Impedir acceso a código fuente	Denegar	VPN, ZTNA
Database Access	Restringir consultas masivas	Limitar + Audit	API, SQL
Screen Capture	Deshabilitar captura de pantalla	Bloquear	VDI, RDP

Configuración de Endpoint Detection and Response (EDR)

Políticas de Seguridad para Endpoints Remotos

Solución EDR implementada: CrowdStrike Falcon / Microsoft Defender for Endpoint para dispositivos con acceso remoto

Configuración de Políticas EDR para Dispositivos Remotos

1. Monitorización (Monitoring)

Componente Monitoreado	Estado	Descripción
Monitoreo de procesos	Habilitado	Supervisión continua de todos los procesos en ejecución
Monitoreo de red	Habilitado	Análisis de todo el tráfico de red entrante y saliente
Integridad de archivos	Habilitado	Detección de modificaciones no autorizadas en archivos del sistema
Monitoreo de registro	Habilitado	Vigilancia de cambios en el registro de Windows

Propósito: Detectar actividad maliciosa mediante monitorización continua de múltiples vectores de ataque.

2. Prevención (Prevention)

Protección	Estado	Descripción
Bloqueo de procesos maliciosos	Habilitado	Detención automática de procesos identificados como malware
Prevención de robo de credenciales	Habilitado	Protección contra técnicas de dumping de credenciales (mimikatz, etc.)
Protección contra ransomware	Habilitado	Bloqueo de cifrado no autorizado de archivos
Protección contra exploits	Habilitado	Mitigación de vulnerabilidades conocidas y exploits 0-day

Propósito: Prevención proactiva de amenazas antes de que causen daño al sistema o robo de datos.

3. Respuesta Automática (Response)

Acción de Respuesta	Estado	Descripción
Cuarentena automática	Habilitada	Aislamiento automático de archivos sospechosos
Aislamiento de red	Habilitado	Desconexión del dispositivo de la red si se detecta compromiso
Terminación de procesos	Habilitada	Cierre forzado de procesos maliciosos
Reversión de cambios	Habilitada	Rollback automático de modificaciones maliciosas en el sistema

Propósito: Respuesta inmediata y automatizada ante amenazas detectadas para contener el impacto.

4. Reporting y Análisis (Reporting)

Capacidad	Estado	Descripción
Alertas en tiempo real	Habilitadas	Notificaciones inmediatas al SOC ante detecciones
Threat hunting	Habilitado	Búsqueda proactiva de indicadores de compromiso (IOCs)
Recopilación forense	Habilitada	Captura automática de evidencias para investigación

Propósito: Visibilidad completa y capacidad de investigación de incidentes de seguridad.

---

PRO-EDR-001: Aplicación de Política de Seguridad para Dispositivo Remoto

Objetivo: Aplicar y validar la política de seguridad EDR en un dispositivo antes de permitir acceso remoto.

Pasos:

1. Verificar instalación del EDR:
   • Consultar inventario de dispositivos para verificar presencia del agente EDR
   • Si EDR NO está instalado:
     • Estado: "blocked" (bloqueado)
     • Motivo: "EDR not installed"
     • DENEGAR acceso remoto
     • Notificar al usuario: "Debe instalar el agente EDR corporativo antes de conectarse"
     • Proporcionar instrucciones de instalación
     • Finalizar proceso
   • Si EDR está instalado: Continuar con siguiente verificación
2. Verificar actualización del EDR:
   • Comprobar versión del agente EDR instalado
   • Comparar con versión mínima requerida
   • Si EDR NO está actualizado:
     • Forzar actualización automática del agente
     • Esperar confirmación de actualización exitosa
     • Verificar que el agente funciona correctamente post-actualización
   • Si la actualización falla:
     • Denegar acceso temporal
     • Abrir ticket de soporte para resolución manual
   • Si EDR está actualizado: Continuar con siguiente paso
3. Aplicar política según tipo de conexión: Si tipo de conexión = VPN:
   • Aplicar restricciones específicas para VPN (PRO-EDR-001-A)
   • Configurar políticas de tráfico VPN
   • Habilitar DLP para prevenir fuga de datos
   • Activar filtrado de contenido Si tipo de conexión = ZTNA (Zero Trust):
   • Aplicar controles Zero Trust (PRO-EDR-001-B)
   • Configurar políticas de acceso granular
   • Habilitar evaluación continua de confianza
   • Aplicar segmentación micro-perimetral
4. Iniciar monitorización mejorada:
   • Activar modo de monitorización intensiva para el dispositivo
   • Incrementar frecuencia de telemetría al SIEM
   • Habilitar alertas de baja severidad (normalmente filtradas)
   • Registrar todas las actividades del usuario
   • Duración: Mientras dure la sesión remota + 1 hora posterior
5. Confirmar aplicación exitosa:
   • Validar que todas las políticas se han aplicado correctamente
   • Verificar conectividad del agente EDR con el servidor central
   • Confirmar recepción de telemetría
   • Estado: "allowed" (permitido)
   • Nivel de monitorización: "enhanced" (mejorado)
6. Registrar evento:
   • Documentar aplicación de política en log de auditoría
   • Incluir: Device ID, tipo de conexión, timestamp, políticas aplicadas
   • Enviar notificación al SOC

Resultado: Acceso permitido con monitorización mejorada, o acceso denegado con motivo específico

Tiempo de procesamiento: < 30 segundos (incluyendo posible actualización automática del EDR)

---

PRO-EDR-001-A: Restricciones para Conexión VPN

Controles aplicados:

• Forzar todo el tráfico por VPN (split tunnel deshabilitado)
• Activar DLP para detectar exfiltración de datos
• Habilitar filtrado DNS para bloquear dominios maliciosos
• Aplicar políticas de firewall de salida restrictivas
• Requerir re-autenticación cada 8 horas

PRO-EDR-001-B: Controles Zero Trust para ZTNA

Controles aplicados:

• Evaluación continua de postura de seguridad del dispositivo
• Acceso granular por aplicación (no acceso completo a red)
• Re-evaluación de confianza cada 15 minutos
• Terminación automática de sesión si confianza cae bajo umbral
• Restricciones dinámicas basadas en comportamiento

Gestión de Dispositivos Móviles (MDM)

Políticas MDM para Acceso Remoto

Configuración	iOS/iPadOS	Android	Windows	macOS
Cifrado obligatorio	Sí	Sí	BitLocker	FileVault
PIN/Biometría	Face ID/Touch ID	Fingerprint	Windows Hello	Touch ID
Jailbreak/Root detection	Sí	Sí	N/A	Sí
App management	Managed apps	Work profile	AppLocker	Gatekeeper
VPN automática	Per-app VPN	Always-on VPN	Auto-connect	On-demand
Remote wipe	Completo o selectivo	Work profile only	Completo	Completo

Procedimientos

PRO-AAC-018: Solicitud de Acceso Remoto

1. Evaluación de Necesidad
   • Justificación del acceso remoto
   • Definición de recursos necesarios
   • Duración del acceso requerido
   • Evaluación de riesgos
2. Aprobación
   • Manager directo aprueba necesidad
   • Seguridad valida controles
   • DPO revisa implicaciones de privacidad
   • Documentación en R-TF-110-023
3. Provisionamiento
   • Creación de perfil VPN/ZTNA
   • Configuración de MFA adicional
   • Instalación de certificados
   • Configuración de DLP/EDR
4. Activación
   • Prueba de conectividad
   • Verificación de controles
   • Formación al usuario
   • Firma de acuerdo de uso

PRO-AAC-019: Conexión Remota Segura

1. Pre-conexión
   • Verificar actualizaciones del dispositivo
   • Confirmar red segura (no WiFi público)
   • Cerrar aplicaciones no necesarias
2. Establecimiento de Conexión
   • Iniciar cliente VPN/ZTNA
   • Autenticación multifactor
   • Verificación de posture del dispositivo
   • Aceptación de banner legal
3. Durante la Sesión
   • Monitoreo continuo de seguridad
   • Aplicación de políticas DLP
   • Timeout de inactividad
   • Grabación si aplicable
4. Desconexión
   • Cierre ordenado de aplicaciones
   • Limpieza de caché local
   • Desconexión de VPN
   • Confirmación de logout

PRO-AAC-020: Respuesta a Incidentes de Acceso Remoto

1. Detección
   • Alertas de comportamiento anómalo
   • Intentos de acceso no autorizado
   • Violaciones de política DLP
   • Detección de malware
2. Contención Inmediata
   • Terminación de sesión remota
   • Bloqueo de cuenta si necesario
   • Aislamiento de red del dispositivo
   • Revocación de certificados
3. Investigación
   • Análisis de logs de conexión
   • Revisión de grabaciones
   • Forensia del endpoint
   • Determinación de impacto
4. Recuperación
   • Remediación del dispositivo
   • Cambio de credenciales
   • Actualización de políticas
   • Reporte de incidente

Responsabilidades

Equipo de Infraestructura

• Mantener infraestructura VPN/ZTNA
• Gestionar certificados y PKI
• Monitorear disponibilidad
• Aplicar parches y actualizaciones

Equipo de Seguridad

• Definir políticas de acceso remoto
• Monitorear eventos de seguridad
• Responder a incidentes
• Auditar cumplimiento

Service Desk

• Soporte a usuarios remotos
• Troubleshooting de conectividad
• Reseteo de credenciales
• Escalamiento de problemas

Usuarios Remotos

• Cumplir políticas de seguridad
• Proteger dispositivos y credenciales
• Usar solo redes seguras
• Reportar problemas inmediatamente

Registros y Evidencias

Documentación Requerida

Registro	Descripción	Retención	Ubicación
R-TF-110-023	Solicitudes de acceso remoto	3 años	ServiceNow
R-TF-110-024	Logs de conexiones VPN	1 año	CloudWatch
R-TF-110-025	Incidentes de acceso remoto	5 años	JIRA
R-TF-110-026	Auditorías de cumplimiento	3 años	SharePoint

Formato de Log de Acceso Remoto

Contenido Requerido en Registros de Auditoría de Acceso Remoto

Cada evento de acceso remoto debe registrar la siguiente información completa para cumplir con los requisitos de auditoría de ENS para CATEGORIA MEDIA:

Información del Evento:

• Tipo de evento: REMOTE_ACCESS, VPN_CONNECT, VPN_DISCONNECT, ZTNA_SESSION, VDI_LOGIN, etc.
• Timestamp (fecha y hora): Momento exacto del evento en formato ISO 8601 (ej: 2024-01-20T18:45:00Z)
• Tipo de conexión: VPN, ZTNA, VDI, RDP_GATEWAY, BASTION, mTLS

Información del Usuario:

• ID del usuario: Identificador único del usuario (ej: LH-HCP-dr-garcia)
• Tipo de identidad: HCP, ITP, ADMIN, CONSULTANT, SUPPORT, API_CLIENT
• Roles y permisos: Roles asignados y nivel de acceso concedido

Información de Origen:

• Dirección IP de origen: IP pública desde donde se conecta (ej: 83.45.123.67)
• País de origen: País de la IP de origen (ej: ES - España)
• Geolocalización: Ciudad y región si está disponible
• ISP/Proveedor: Proveedor de internet utilizado

Información del Dispositivo:

• ID del dispositivo: Identificador único del dispositivo (ej: device-abc123)
• Tipo de dispositivo: laptop, desktop, tablet, smartphone
• Sistema operativo: Versión completa (ej: Windows 11, macOS 13.2, iOS 16.5)
• Dispositivo gestionado: Sí/No - Si está bajo control MDM corporativo
• Estado de cumplimiento: Compliant/Non-compliant - Si cumple políticas de seguridad
• Agente EDR: Instalado y actualizado (CrowdStrike, Defender, etc.)

Información de Autenticación:

• Método de autenticación: certificate+mfa, password+mfa, saml+mfa, biometric+mfa
• Tipo de MFA: totp, sms, push, hardware_token, biometric
• Puntuación de confianza (Trust Score): Valor entre 0.0 y 1.0 calculado por Zero Trust (ej: 0.85)
• Factores de riesgo: Nuevos dispositivos, ubicaciones inusuales, horarios anómalos

Información de Sesión:

• ID de sesión: Identificador único de la sesión (ej: vpn-sess-789)
• Duración de la sesión: Tiempo total en minutos (ej: 45 minutos)
• Datos transferidos: Volumen de datos en MB (ej: 125 MB)
• Dirección IP asignada (VPN): IP interna asignada al cliente VPN
• VLAN asignada: Segmento de red al que se conectó (CLINICAL, ADMIN, etc.)
• Recursos accedidos: Lista de sistemas y aplicaciones utilizados (ej: clinical_portal, imaging_system)

Eventos de Seguridad:

• Alertas EDR: Detecciones de seguridad durante la sesión (vacía si no hay incidentes)
• Intentos de acceso denegados: Recursos que se intentaron acceder sin autorización
• Anomalías detectadas: Comportamientos inusuales o sospechosos
• Violaciones DLP: Número de intentos de fuga de datos detectados (ej: 0 = ninguna violación)
• Acciones de respuesta: Cuarentenas, aislamientos de red, terminación de procesos

Información de Cumplimiento:

• Validación NAC: Resultado de validación de Network Access Control
• Verificaciones de postura: Antivirus, parches, cifrado, firewall
• Nivel de monitorización aplicado: standard, enhanced, forensic
• Grabación de sesión: Sí/No - Si la sesión fue grabada (obligatorio para admin)

Ejemplos de Registros:

1. Conexión VPN exitosa - Profesional sanitario:

• Tipo: REMOTE_ACCESS, Timestamp: 2024-01-20T18:45:00Z, Conexión: VPN, Usuario: LH-HCP-dr-garcia, IP origen: 83.45.123.67, País: ES, Dispositivo: device-abc123 (laptop, Windows 11, gestionado, compliant), Autenticación: certificate+mfa (TOTP), Trust score: 0.85, Sesión: vpn-sess-789, Duración: 45 min, Datos: 125 MB, Recursos: [clinical_portal, imaging_system], Eventos seguridad: [], Violaciones DLP: 0

2. Conexión ZTNA denegada - Dispositivo no conforme:

• Tipo: REMOTE_ACCESS, Timestamp: 2024-01-20T10:15:30Z, Conexión: ZTNA, Usuario: LH-ITP-jsmith, IP origen: 92.123.45.78, País: ES, Dispositivo: device-xyz456 (laptop, Windows 10, gestionado, NON-COMPLIANT), Motivo denegación: "Parches críticos pendientes: 8", Trust score: 0.62, Estado: DENIED, Remediación sugerida: "Instalar actualizaciones pendientes"

3. Sesión VDI administrativa con grabación:

• Tipo: REMOTE_ACCESS, Timestamp: 2024-01-20T14:30:00Z, Conexión: VDI, Usuario: LH-ADMIN-mlopez, IP origen: 178.34.56.89, País: ES, Dispositivo: device-admin-001 (laptop, macOS 13.5, gestionado, compliant), Autenticación: hardware_token+mfa, Trust score: 0.98, Pool: Admin-VDI-Pool, Sesión: vdi-sess-445, Duración: 120 min, Recursos: [AWS_Console, System_Admin_Tools], Grabación: SÍ (s3://recordings/session-445.mp4), Eventos seguridad: [], Violaciones DLP: 0

4. Intento de acceso desde ubicación sospechosa:

• Tipo: REMOTE_ACCESS, Timestamp: 2024-01-20T03:22:15Z, Conexión: VPN, Usuario: LH-HCP-aparicio, IP origen: 45.234.122.98, País: CN (China), Dispositivo: device-def789 (laptop, Windows 11, gestionado, compliant), Trust score: 0.45, Factores de riesgo: [ubicación_inusual, horario_anómalo], Estado: DENIED, Alerta SOC: GENERADA, Notificación usuario: ENVIADA

5. Desconexión por violación DLP:

• Tipo: REMOTE_ACCESS, Timestamp: 2024-01-20T16:50:45Z, Conexión: VPN, Usuario: LH-HCP-rperez, IP origen: 88.12.34.56, País: ES, Sesión: vpn-sess-890, Duración: 15 min, Violaciones DLP: 3 (intento descarga masiva de historiales clínicos), Acción: SESIÓN_TERMINADA, Dispositivo: AISLADO, Incidente: INC-DLP-2024-089 creado, Notificación: CISO + DPO, Estado usuario: SUSPENDIDO pendiente investigación

Almacenamiento y Retención:

• Sistema de almacenamiento: CloudWatch Logs / SIEM centralizado
• Logs de conexiones VPN: 1 año (según R-TF-110-024)
• Logs de sesiones administrativas: 5 años
• Logs de incidentes de seguridad: 5 años (según R-TF-110-025)
• Grabaciones de sesiones VDI administrativas: 5 años (cifradas en S3)
• Acceso a logs: Restringido a Security Team, SOC, DPO y auditores autorizados

Integración con SIEM:

• Todos los logs de acceso remoto se envían en tiempo real al SIEM
• Correlación automática con otros eventos de seguridad
• Alertas configuradas para patrones sospechosos:
  • Accesos desde países no autorizados
  • Múltiples intentos fallidos
  • Violaciones DLP
  • Trust score bajo (<0.6)
  • Conexiones fuera de horario laboral
  • Acceso a recursos no habituales

Cumplimiento Normativo:

• ENS Categoría Media: Logs de acceso 2 años mínimo
• RGPD: Trazabilidad de accesos a datos personales
• MDR: Auditoría de accesos a datos clínicos

Métricas y KPIs

Métrica	Objetivo	Frecuencia	Responsable
Disponibilidad VPN/ZTNA	>99.5%	Continuo	Infrastructure
Conexiones remotas exitosas	>95%	Diario	NOC
Tiempo medio de conexión	<30 seg	Continuo	Network Team
Incidentes de seguridad remota	<5/mes	Mensual	SOC
Dispositivos no conformes	<10%	Semanal	MDM Team
Violaciones DLP	0 críticas	Continuo	Security
Sesiones con grabación	100% admin	Diario	Compliance

Referencias Cruzadas

Documentos Internos

• OP.ACC.6: Acceso local (complementario)
• OP.ACC.5: Mecanismos de autenticación
• MP.COM.2: Protección de la confidencialidad
• MP.COM.3: Protección de la integridad y autenticidad
• T-024-009: Security Architecture
• GP-013: Marco de ciberseguridad

Cumplimiento Normativo

• ENS: [op.acc.7] Acceso remoto
• ISO 27001: A.6.2.2 - Teletrabajo
• MDR: Requisito 17.2 - Seguridad de acceso remoto
• NIST 800-53: AC-17 Remote Access
• FDA Cybersecurity: Secure remote access and monitoring
• NIS2: Artículo 21 - Gestión de acceso seguro

Documentos de referencia

• Guías CCN-STIC:
  • Guía CCN-STIC-827 - Gestión y uso de dispositivos móviles
• ISO/IEC 27000
  • 27002:2013:
    • 9.4.2 - Procedimientos seguros de inicio de sesión
    • 10.1.1 - Política de uso de los controles criptográficos
    • 13.1.1 - Controles de red
    • 13.1.2 - Seguridad de los servicios de red
    • 18.1.5 - Regulación de los controles criptográficos
• NIST SP 800-53 rev4:
• [AC-10] Concurrent Session Control
• [AC-17] Remote Access
• [AC-18] Wireless Access
• [AC-20] Use of External Information Systems
• [MA-4] Nonlocal Maintenance
• [SA-9] External Information System Services
• [SC-10] Network Disconnect
• Otras referencias:
  • http://www.whitehouse.gov/sites/default/files/omb/memoranda/fy2006/m06-16.pdf
  • http://www.sans.org/security-resources/policies/Remote_Access.pdf
  • http://www.sans.org/reading_room/whitepapers/vpns/remote-access-vpnsecurity-concerns-policy-enforcement_881

Guía de implantación

168. El acceso remoto es fuente de numerosos problemas porque no puede suponer el mismo nivel de controles de seguridad física que en las instalaciones corporativas. Por ello conviene tener reglas específicas respecto a qué se puede hacer y qué no se puede hacer desde un acceso remoto. E incluso dentro de lo que está autorizado, hay que esmerarse en el cuidado del proceso de identificación y autenticación para prevenir la suplantación de la identidad de un usuario autorizado.

169. Se exige establecer un mecanismo robusto de identificación y autenticación según [op.acc.6].

170. Prácticamente se exige establecer una red privada virtual (VPN), según [mp.com.2] y [mp.com.3].

171. Se debe redactar una política que rija lo que se puede hacer remotamente: qué aplicaciones se pueden usar, qué datos son accesibles y en qué condiciones estos datos pueden almacenarse en el dispositivo externo de acceso.

172. La política también debe establecer límites al tiempo que puede estar abierta una sesión y e imponer un tiempo máximo para cerrar sesiones inactivas.

173. Además de redactar la política, hay que imponerla. Esto es casi imposible si el dispositivo es del usuario (Bring your own device, BYOD) y en general si el usuario tiene derechos de administrador del equipo. Es por ello que se procurará que el equipo remoto sea propiedad del organismo, esté configurado por el organismo y el usuario no tenga derechos de administrador.

174. A fin de limitar lo que se puede hacer en remoto, se debe establecer un filtro, bien en el servidor, bien en el propio cliente.

175. Si las limitaciones se imponen en el servidor, haremos que el usuario acceda a un segmento de red separado del núcleo corporativo y entre el segmento de acceso remoto y el núcleo estableceremos un cortafuegos interno que sólo permita las aplicaciones y protocolos autorizados.

176. Si las limitaciones se imponen en el equipo cliente, instalaremos un cortafuegos personal, configurado por el organismo, que establezca las limitaciones correspondientes.

177. En ambos escenarios se debe considerar la oportunidad de instalar una función de prevención de fuga de datos (Data Loss Prevention, DLP) que monitorice los datos que viajan por la red.

178. En todos los casos se deben activar los registros de actividad y analizar regularmente que se cumple la política autorizada. Considere la oportunidad de un sistema de información de seguridad y administración de eventos (Security Information and Event Management, SIEM) que levante alertas ante comportamientos no autorizados.

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

• Author: Team members involved
• Reviewer: JD-003, JD-004
• Approver: JD-001