OP.CONT.1 Análisis de impacto
☑️Aplicación de la medida
De acuerdo al ANEXO II, 2 Selección de medidas de seguridad, la medida de seguridad OP.CONT.1 Análisis de impacto sí aplica dada la categoría de seguridad del sistema.
Documentos de referencia
- ISO/IEC 27000:
- 27031:2011 - Guidelines for information and communication technology readiness for business continuity
- 27002:2013:
- 17.1.1 - Planning information security continuity
- 17.1.2 - Implementing information security continuity
- NIST SP 800-53 rev4:
- [CP-2] Contingency Plan
- [CP-4] Contingency Plan Testing
- [RA-3] Risk Assessment
- Otras referencias:
- ISO 22301:2019 - Security and resilience — Business continuity management systems
- NIST SP 800-34 Rev.1 - Contingency Planning Guide for Federal Information Systems
- FDA Cybersecurity in Medical Devices: Quality System Considerations
Guía de implantación
- Se realizará un análisis de impacto en la continuidad de negocio (BIA) que identifique los procesos de negocio, funciones y servicios críticos, y evalúe las dependencias e interrelaciones entre diferentes procesos de negocio y entre éstos y los servicios de soporte.
Ejemplo de los aspectos que deberá cubrir:
- Impacto operativo: interrupciones potenciales en las actividades del negocio
- Impacto económico: coste de las pérdidas de información, disponibilidad, tiempo de servicio o productividad
- Marco legal: incumplimientos normativos, multas, sanciones, pérdida de licencias o acceso
- Consideraciones humanitarias: efectos sobre personas
Implementación en Legit Health Plus
Sistema categorizado como MEDIA según ENS
Como sistema de categoría MEDIA según el Real Decreto 311/2022, Legit Health actúa como PROVEEDOR de servicios de apoyo sanitario, no como prestador directo del servicio público. Esta categorización implica:
- RTO objetivo: 4 horas (no crítico para el servicio público)
- RPO objetivo: 1 hora (datos en tránsito, no almacenamiento permanente)
- Impacto de indisponibilidad: PERJUDICIAL pero no GRAVE
- El servicio sanitario puede continuar sin nuestras herramientas
Alcance del análisis de impacto
El análisis de impacto para el dispositivo médico Legit Health Plus Clase IIa, considerando su categorización MEDIA como proveedor, evalúa específicamente:
Servicios clínicos críticos
- Diagnóstico dermatológico automatizado: Análisis de imágenes mediante IA
- Scoring de severidad: Cálculo de índices ALEGI, DLQI
- Seguimiento longitudinal: Monitorización de evolución clínica
- Interfaz clínica: Visualización de resultados diagnósticos
- Integración EMR/HIS: Intercambio con sistemas hospitalarios
Procesos de soporte esenciales
- Autenticación y autorización: Control de acceso médico
- Auditoría clínica: Trazabilidad de diagnósticos
- Backup de datos clínicos: Preservación de información médica
- Vigilancia post-comercialización: Reporte de incidentes médicos
Metodología de análisis de impacto
Identificación de activos críticos
Servicio Clínico Principal: Diagnóstico Dermatológico IA
Características del Servicio:
| Atributo | Valor | Descripción |
|---|---|---|
| Nombre del servicio | Diagnóstico Dermatológico IA | Servicio de apoyo diagnóstico mediante inteligencia artificial |
| Código de servicio | SRV-DIAG-001 | Identificador único del servicio en el catálogo |
| Categoría ENS | MEDIA - Proveedor de apoyo | Clasificación según Esquema Nacional de Seguridad |
| RTO (Recovery Time Objective) | 4 horas | Tiempo máximo aceptable de interrupción (acorde a categoría MEDIA) |
| RPO (Recovery Point Objective) | 1 hora | Pérdida máxima aceptable de datos (datos en tránsito) |
| Nivel de criticidad | Media - Apoyo diagnóstico, no determinante | El servicio apoya pero no determina el diagnóstico clínico final |
Justificación de Objetivos:
- RTO 4 horas: Acorde a categoría ENS MEDIA para servicios de apoyo. Los profesionales sanitarios pueden continuar diagnóstico con métodos tradicionales durante este período.
- RPO 1 hora: Minimizar pérdida de diagnósticos en proceso. Las imágenes y resultados se sincronizan cada hora.
- Criticidad Media: El dispositivo es una herramienta de apoyo al diagnóstico. El profesional sanitario mantiene la decisión diagnóstica final, por lo que la indisponibilidad temporal no impide la atención clínica.
Dependencias Críticas del Servicio:
| Componente | Identificación | Descripción | Criticidad |
|---|---|---|---|
| Modelo de IA | LHP-AI-DERM-v2.3 | Modelo de machine learning para clasificación dermatológica | Crítica - Sin modelo no hay diagnóstico IA |
| Base de datos | Imágenes clínicas PostgreSQL | Base de datos de imágenes dermatológicas y resultados | Crítica - Contiene datos de pacientes |
| Infraestructura | AWS EC2 c5.xlarge | Instancia de computación para inferencia del modelo | Crítica - Ejecuta el modelo de IA |
| Red | VPC privada con NAT Gateway | Red virtual privada con salida controlada a internet | Crítica - Conectividad segura |
Relación de Dependencias:
Servicio Diagnóstico IA (SRV-DIAG-001)
│
├─→ Modelo IA (LHP-AI-DERM-v2.3)
│ └─ Almacenado en S3
│
├─→ Base de Datos (PostgreSQL RDS)
│ ├─ Imágenes clínicas
│ ├─ Resultados de diagnósticos
│ └─ Metadatos de pacientes
│
├─→ Infraestructura (AWS EC2 c5.xlarge)
│ ├─ 4 vCPUs
│ ├─ 8 GB RAM
│ └─ 100 GB SSD
│
└─→ Red (VPC privada)
├─ Subnet privada (10.0.1.0/24)
├─ NAT Gateway para actualizaciones
└─ Security Groups restrictivos
Análisis de Puntos Únicos de Fallo (SPOF):
- Modelo de IA: Si el modelo no está disponible o falla, el servicio completo se interrumpe
- Mitigación: Modelo replicado en S3 con versionado habilitado
- Base de datos: Si PostgreSQL falla, se pierden datos de diagnósticos en curso
- Mitigación: RDS Multi-AZ con failover automático + backups cada hora
- Instancia EC2: Si la instancia falla, el servicio se interrumpe
- Mitigación: Auto Scaling Group con mínimo 2 instancias + Load Balancer
- Red VPC: Si la VPC pierde conectividad, el servicio es inaccesible
- Mitigación: VPC con múltiples subnets en diferentes Availability Zones
Matriz de impacto temporal
| Servicio | 0-30 min | 31-60 min | 1-4 horas | 4-24 horas | >24 horas | Justificación MEDIA |
|---|---|---|---|---|---|---|
| Diagnóstico IA | Mínimo | Bajo | Medio | Alto | Crítico | Servicio de apoyo, no crítico |
| Scoring Severidad | Mínimo | Mínimo | Bajo | Medio | Alto | Herramienta complementaria |
| Seguimiento Clínico | Mínimo | Mínimo | Mínimo | Bajo | Medio | No afecta atención inmediata |
| Integración EMR | Mínimo | Mínimo | Bajo | Medio | Alto | Hospital mantiene operativa |
Análisis de impacto clínico
Impacto operativo clínico
- 0-30 minutos:
- Sin impacto significativo en diagnóstico
- Profesionales sanitarios pueden usar métodos alternativos
- No afecta urgencias dermatológicas inmediatas
- 31-60 minutos:
- Demora en consultas ambulatorias
- Posible acumulación de casos pendientes
- Necesidad de reorganización temporal de consultas
- 1-4 horas:
- Impacto significativo en flujo de trabajo clínico
- Retraso en diagnósticos de rutina
- Necesidad de activar protocolos manuales alternativos
- 4-24 horas:
- Impacto crítico en servicio dermatológico
- Riesgo de retraso en diagnósticos importantes
- Necesidad de derivación a otros centros
- >24 horas:
- Inaceptable para dispositivo médico
- Compromete continuidad asistencial
- Potencial riesgo para seguridad del paciente
Evaluación de dependencias críticas
Dependencias internas
Dependencias externas críticas
- Proveedores cloud (AWS/Azure):
- SLA: 99.99% disponibilidad
- Impacto fallo: Crítico - Sistema inaccesible
- Tiempo recuperación: 15-30 minutos
- Conectividad de red:
- Proveedores: Doble línea (Movistar/Vodafone)
- Impacto fallo: Alto - Sin acceso remoto
- Backup: Conexión 4G/5G automática
- Servicios de autenticación externa:
- Provider: Azure AD / Google Workspace
- Impacto fallo: Crítico - Sin acceso usuarios
- Alternativa: Autenticación local temporal
Análisis económico del impacto
Costes directos por hora de interrupción
- Pérdida productividad médica: €850/hora
- 10 dermatólogos × €85/hora promedio
- Factor eficiencia perdida: 60%
- Coste reorganización consultas: €300/hora
- Personal administrativo adicional
- Reagendamiento de citas
- Uso recursos alternativos: €200/hora
- Teledermatología externa
- Consultas presenciales adicionales
Total coste directo: €1.350/hora
Costes indirectos y reputacionales
- Penalizaciones SLA contractuales: €500-2.000/incidente
- Pérdida confianza clínica: Cuantificación difícil, impacto a largo plazo
- Coste regulatorio: Posible reporte a autoridades sanitarias
Marco temporal de recuperación
Objetivos de recuperación (RTO/RPO)
| Función Crítica | RTO | RPO | Justificación Clínica |
|---|---|---|---|
| Diagnóstico Principal | 30 min | 5 min | Continuidad asistencial |
| Base Datos Clínica | 15 min | 2 min | Integridad datos paciente |
| Autenticación | 10 min | 1 min | Acceso profesionales sanitarios |
| Auditoría | 60 min | 15 min | Cumplimiento regulatorio |
| Reporting | 4 horas | 30 min | Vigilancia post-mercado |
Clasificación de criticidad temporal
- Nivel 1 - Crítico: RTO ≤ 30 min
- Funciones diagnósticas principales
- Acceso a datos clínicos existentes
- Sistema de autenticación
- Nivel 2 - Importante: RTO ≤ 2 horas
- Funcionalidades administrativas
- Reportes regulatorios
- Integración con sistemas externos
- Nivel 3 - Estándar: RTO ≤ 8 horas
- Funciones de configuración
- Análisis estadísticos
- Herramientas de mantenimiento
Consideraciones regulatorias específicas
Requisitos MDR (Medical Device Regulation)
- Artículo 10.9: Mantenimiento disponibilidad del dispositivo
- Artículo 87: Reporte de incidentes graves dentro de 24h
- Anexo I, Requisito 17: Minimizar riesgos por fallos del sistema
Requisitos FDA
- FDA Cybersecurity Guidance: Plan de respuesta a incidentes
- QSR 21 CFR 820: Mantenimiento de registros de calidad
- 510(k) Submissions: Documentación de cambios significativos
Cumplimiento NIS2
- Artículo 21: Medidas de ciberseguridad incluyendo continuidad
- Artículo 23: Notificación de incidentes significativos
- Artículo 20: Análisis de riesgos de continuidad de negocio
Responsabilidades del análisis de impacto
Chief Medical Officer (CMO)
- Validación del impacto clínico identificado
- Aprobación de RTO/RPO para funciones médicas
- Autorización de protocolos alternativos de diagnóstico
Chief Technology Officer (CTO)
- Supervisión del análisis técnico de dependencias
- Validación de objetivos de recuperación técnica
- Coordinación con proveedores críticos
Information Security Officer (ISO)
- Análisis de riesgos de ciberseguridad en continuidad
- Validación de controles de seguridad en procedimientos de recuperación
- Coordinación con CERT-Salud para notificación de incidentes
Quality Assurance Manager
- Verificación de cumplimiento regulatorio del análisis
- Documentación en DHF del análisis de impacto
- Coordinación con organismos notificados si aplica
Procedimiento de revisión y actualización
Revisión periódica
- Frecuencia: Semestral o tras cambios significativos
- Triggers de revisión:
- Nuevas funcionalidades médicas
- Cambios en infraestructura crítica
- Incidentes de continuidad previos
- Cambios regulatorios relevantes
- Feedback de profesionales sanitarios
Metodología de actualización
- Recopilación de datos: Métricas de disponibilidad histórica
- Análisis de gaps: Comparación objetivos vs. realidad
- Validación clínica: Revisión con usuarios médicos
- Aprobación: Sign-off del comité de continuidad
- Comunicación: Distribución a stakeholders relevantes
Integración con gestión de riesgos
Mapeo con R-TF-013-002 (Registro de riesgos)
Riesgo de Continuidad R-C01: Interrupción Prolongada del Servicio Diagnóstico
Identificación del Riesgo:
| Atributo | Valor | Descripción |
|---|---|---|
| Código de riesgo | R-C01 | Identificador único en el registro de riesgos (R-TF-013-002) |
| Descripción | Interrupción prolongada del servicio diagnóstico | Indisponibilidad del servicio de diagnóstico dermatológico IA por más de 4 horas |
| Categorías | Product, Regulatory | Afecta al producto (funcionalidad) y tiene implicaciones regulatorias (MDR) |
| Tipo de riesgo | Continuidad de servicio | Relacionado con disponibilidad y recuperación |
Evaluación Inicial del Riesgo (Antes de Controles):
| Parámetro | Valor | Interpretación |
|---|---|---|
| Severidad inicial | 4 | Daño significativo - Interrupción prolongada afecta atención clínica |
| Probabilidad inicial | 2 | Poco probable - Arquitectura robusta hace fallos infrecuentes |
| RPN inicial | 8 | Riesgo medio-bajo (Severidad 4 × Probabilidad 2 = 8) |
Escala de severidad (1-5):
- 1: Negligible - Sin impacto clínico
- 2: Menor - Molestias temporales
- 3: Moderado - Retrasos en diagnóstico
- 4: Significativo - Interrupción prolongada del servicio
- 5: Catastrófico - Peligro para pacientes
Escala de probabilidad (1-5):
- 1: Remoto - Casi imposible
- 2: Poco probable - Puede ocurrir ocasionalmente
- 3: Posible - Puede ocurrir varias veces
- 4: Probable - Se espera que ocurra con frecuencia
- 5: Frecuente - Ocurre continuamente
Controles de Mitigación Implementados:
Clasificación según ISO 14971 - Jerarquía de Controles:
| Tipo de Control | Categoría ISO 14971 | Descripción del Control | Efectividad |
|---|---|---|---|
| A - Inherent Safety (Seguridad Inherente) | Diseño seguro por naturaleza | Arquitectura redundante multi-AZ (Multi Availability Zones) | Alta - Elimina punto único de fallo |
| B - Protective Measures (Medidas de Protección) | Protección en el sistema | Sistemas de backup automático cada hora | Media - Limita pérdida de datos |
| C - Information (Información para la Seguridad) | Procedimientos y formación | Procedimientos de respuesta a incidentes (OP.CONT.2) | Media - Reduce tiempo de respuesta |
Detalle de Controles:
Control A - Arquitectura Redundante Multi-AZ:
- Descripción: Despliegue en múltiples zonas de disponibilidad de AWS
- Componentes redundantes:
- Instancias EC2 en al menos 2 AZs diferentes
- Base de datos RDS Multi-AZ con failover automático
- Load Balancer distribuyendo tráfico entre AZs
- Modelo de IA replicado en S3 Multi-AZ
- Beneficio: Si una zona falla, otra zona asume automáticamente
- Reducción de probabilidad: De 2 a 1 (50% reducción)
Control B - Sistemas de Backup Automático:
- Descripción: Copias de seguridad automáticas y frecuentes
- Configuración:
- Backups de base de datos cada hora (RPO 1 hora)
- Snapshots diarios de instancias EC2
- Versionado de modelo IA en S3
- Retención de backups: 30 días
- Beneficio: Recuperación rápida con pérdida mínima de datos
- Reducción de severidad: De 4 a 3 (reduce impacto de pérdida de datos)
Control C - Procedimientos de Respuesta a Incidentes:
- Descripción: Procedimientos documentados y practicados
- Incluye:
- OP.CONT.2: Plan de continuidad del negocio
- PRO-INC-001: Clasificación de incidentes
- PRO-INC-002: Escalación de incidentes críticos
- Contact tree para notificación de equipo
- Runbooks de recuperación automatizada
- Beneficio: Respuesta rápida y coordinada reduce tiempo de interrupción
- Reducción de RTO: De 8 horas a 4 horas objetivo
Evaluación Residual del Riesgo (Después de Controles):
| Parámetro | Valor Inicial | Valor Residual | Reducción |
|---|---|---|---|
| Severidad | 4 | 3 | -25% (backup reduce pérdida de datos) |
| Probabilidad | 2 | 1 | -50% (redundancia reduce fallos) |
| RPN | 8 | 3 | -62.5% (Severidad 3 × Probabilidad 1 = 3) |
Nivel de riesgo residual: BAJO (RPN = 3)
Aceptabilidad del riesgo:
- Estado: ACEPTABLE - Riesgo residual es bajo (RPN < 5)
- Justificación: Los controles implementados reducen tanto la probabilidad como el impacto a niveles aceptables para un dispositivo médico de Clase IIa
- Monitoreo continuo: Revisión trimestral de métricas de disponibilidad
- Revisión del riesgo: Anual o tras incidentes mayores
Referencias cruzadas:
- R-TF-013-002: Registro completo de gestión de riesgos
- OP.CONT.2: Plan de continuidad del negocio
- T-024-004: Plan de respuesta a incidentes
- GP-013: Gestión de la ciberseguridad
Vinculación con amenazas de ciberseguridad
- Threat Model TM-001: DDoS contra infraestructura médica
- Threat Model TM-003: Ransomware dirigido a datos clínicos
- Threat Model TM-007: Comprometido de credenciales privilegiadas
Herramientas de análisis
Dashboard de monitorización de impacto
PRO-CONT-BIA-001: Cálculo de Impacto en Tiempo Real
Objetivo: Calcular el impacto actual de una interrupción de servicio en términos económicos, clínicos y regulatorios.
Umbrales de Impacto Configurados:
| Umbral | Valor | Descripción |
|---|---|---|
| Umbral de impacto clínico | 30 minutos | Tiempo mínimo de interrupción antes de considerar impacto clínico significativo |
| Tasa de impacto económico | 1.350 €/hora | Coste estimado por hora de servicio interrumpido |
Cálculo del umbral económico:
- Consultas dermatológicas no realizadas: ~10 consultas/hora × 135 €/consulta = 1.350 €/hora
- No incluye costes indirectos (reputación, pérdida de pacientes, multas regulatorias)
Pasos para calcular impacto actual:
- Obtener duración de la interrupción:
- Consultar sistema de monitorización
- Calcular tiempo transcurrido desde inicio de la interrupción
- Resultado: Duración en minutos (ej: 45 minutos)
- Obtener usuarios clínicos afectados:
- Consultar sistema de sesiones activas al momento de la interrupción
- Identificar profesionales sanitarios que estaban usando el servicio
- Contar número de usuarios afectados
- Resultado: Número de usuarios (ej: 12 HCP)
- Calcular impacto económico:
- Fórmula: (Duración en minutos ÷ 60) × Tasa de impacto (1.350 €/hora)
- Ejemplo: (45 min ÷ 60) × 1.350 € = 1.012,50 €
- Resultado: Impacto económico estimado en euros
- Evaluar severidad clínica:
- Determinar nivel de impacto según duración de interrupción
- Criterios de severidad:
- MÍNIMO: < 30 minutos (bajo umbral clínico)
- BAJO: 30-60 minutos (demora en consultas)
- MEDIO: 1-4 horas (impacto en flujo de trabajo)
- ALTO: 4-24 horas (necesidad de activar plan de continuidad)
- CRÍTICO: > 24 horas (compromiso de atención clínica)
- Resultado: Nivel de severidad clínica
- Determinar si se requiere notificación regulatoria:
- Criterio: Duración > 240 minutos (4 horas)
- Si duración > 4 horas:
- Notificación requerida: SÍ
- Acción: Notificar a AEMPS (Agencia Española de Medicamentos y Productos Sanitarios)
- Plazo: Dentro de 72 horas
- Tipo de incidente: Incidente de seguridad según MDR Artículo 87
- Si duración ≤ 4 horas:
- Notificación requerida: NO
- Documentar internamente como incidente menor
- Generar resultado de impacto:
- Compilar todos los datos calculados:
- Duración: [X] minutos
- Usuarios afectados: [N] profesionales sanitarios
- Impacto económico: [X] €
- Severidad clínica: [NIVEL]
- Notificación regulatoria requerida: SÍ/NO
- Compilar todos los datos calculados:
Resultado: Informe completo de impacto en tiempo real con todas las métricas calculadas
Ejemplos de Cálculo:
Ejemplo 1 - Interrupción corta:
- Duración: 25 minutos
- Usuarios afectados: 5 HCP
- Impacto económico: (25 ÷ 60) × 1.350 = 562,50 €
- Severidad clínica: MÍNIMO (< 30 min)
- Notificación regulatoria: NO
Ejemplo 2 - Interrupción media:
- Duración: 120 minutos (2 horas)
- Usuarios afectados: 18 HCP
- Impacto económico: (120 ÷ 60) × 1.350 = 2.700 €
- Severidad clínica: MEDIO (1-4 horas)
- Notificación regulatoria: NO
Ejemplo 3 - Interrupción crítica:
- Duración: 300 minutos (5 horas)
- Usuarios afectados: 25 HCP
- Impacto económico: (300 ÷ 60) × 1.350 = 6.750 €
- Severidad clínica: ALTO (4-24 horas)
- Notificación regulatoria: SÍ (> 4 horas)
- Acción: Notificar AEMPS dentro de 72h + Activar plan de continuidad
Uso del cálculo:
- Dashboard en tiempo real para gestión de incidentes
- Decisión de activación de plan de continuidad
- Cumplimiento de obligaciones regulatorias MDR
- Métricas para análisis post-incidente
- Justificación de inversiones en redundancia
Simulador de escenarios de impacto
- Herramienta: Custom Python + Grafana
- Escenarios predefinidos:
- Fallo completo AWS región principal
- Ataque DDoS sostenido
- Comprometido base datos clínica
- Fallo en modelo IA diagnóstico
Reportes y documentación
Formato de reporte de análisis
Reporte BIA - Legit Health Plus
Fecha: [YYYY-MM-DD] Versión: [X.Y] Responsable: [CMO + CTO]
Resumen ejecutivo
- Servicios críticos identificados: [N]
- RTO objetivo promedio: [X] minutos
- Impacto económico máximo aceptable: €[X]/hora
- Nivel cumplimiento regulatorio: [Completo/Parcial]
Findings principales
- [Vulnerabilidad o mejora identificada]
- [Recommendation específica]
- [Acción requerida con timeline]
Próximas revisiones
- Fecha programada: [YYYY-MM-DD]
- Scope de revisión: [Descripción]
Referencias cruzadas
- T-024-003: Procedimiento de gestión de continuidad
- T-024-004: Plan de respuesta a incidentes
- R-TF-013-002: Registro de gestión de riesgos
- GP-013: Gestión de la ciberseguridad
- OP.CONT.2: Plan de continuidad del negocio
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003, JD-004
- Approver: JD-001