OP.CONT.4 Medios alternativos
Documentos de referencia
- ISO/IEC 27000:
- 27031:2011 - Guidelines for information and communication technology readiness for business continuity
- 27002:2013:
- 17.1.1 - Planning information security continuity
- 17.1.2 - Implementing information security continuity
- NIST SP 800-53 rev4:
- [CP-2] Contingency Plan
- [CP-6] Alternate Storage Site
- [CP-7] Alternate Processing Site
- [CP-8] Telecommunications Services
- Otras referencias:
- ISO 22301:2019 - Security and resilience — Business continuity management systems
- NIST SP 800-34 Rev.1 - Contingency Planning Guide for Federal Information Systems
- FDA Cybersecurity in Medical Devices: Quality System Considerations
Guía de implantación
- Se establecerán medios alternativos que permitan mantener el nivel de seguridad requerido cuando los mecanismos de protección habituales no puedan aplicarse.
Los medios alternativos contemplarán aspectos como:
- Mecanismos de comunicación alternativos en caso de fallo del principal
- Procedimientos manuales cuando no estén operativos los automatizados
- Ubicaciones alternativas para el personal clave cuando la principal no esté disponible
- Medios alternativos para el intercambio de información
Implementación en Legit Health Plus
Marco de medios alternativos
El sistema de medios alternativos de Legit Health Plus está diseñado para proporcionar capacidades de respaldo que permitan mantener operaciones críticas cuando los sistemas primarios no están disponibles, garantizando continuidad asistencial y cumplimiento regulatorio.
Principios de diseño de alternativas
- Diversidad tecnológica: Evitar puntos únicos de fallo mediante tecnologías diferentes
- Separación geográfica: Recursos alternativos en ubicaciones físicas distintas
- Degradación controlada: Funcionalidad reducida pero servicios críticos mantenidos
- Activación automática: Conmutación sin intervención manual donde sea posible
- Validación médica: Todas las alternativas validadas para uso clínico
Categorización de medios alternativos
Alternativos automáticos (Tier 1)
- RTO: < 5 minutos
- Activación: Automática mediante failover
- Funcionalidad: 90-100% del servicio normal
- Ejemplos: Failover de base de datos, balanceadores de carga
Alternativos manuales rápidos (Tier 2)
- RTO: 5-30 minutos
- Activación: Manual con procedimientos automatizados
- Funcionalidad: 70-90% del servicio normal
- Ejemplos: Cambio de región cloud, activación de instancias standby
Medios degradados (Tier 3)
- RTO: 30-60 minutos
- Activación: Manual con intervención técnica significativa
- Funcionalidad: 30-70% del servicio normal
- Ejemplos: Modo solo lectura, procedimientos manuales
Infraestructura alternativa
Sitios de procesamiento alternativo
Región primaria: AWS eu-west-1 (Irlanda)
Configuración de Infraestructura Primaria:
- Región: eu-west-1 (Irlanda)
- Zonas de Disponibilidad: eu-west-1a, eu-west-1b, eu-west-1c
- Instancias:
- Servicio de diagnóstico: 3x c5.xlarge
- Base de datos primaria: db.r5.large
- Frontend web: 2x t3.medium
- Almacenamiento: S3 Standard + EBS gp3
- Red: VPC 10.0.0.0/16
Región alternativa: AWS eu-central-1 (Frankfurt)
Configuración Alternativa:
- Región: eu-central-1 (Frankfurt)
- Zonas de Disponibilidad: eu-central-1a, eu-central-1b
- Instancias:
- Servicio de diagnóstico: 2x c5.large (standby)
- Réplica de base de datos: db.r5.large (read-replica)
- Frontend web: 1x t3.medium (standby)
- Almacenamiento: S3 Standard-IA + Replicación cross-region
- Red: VPC 10.1.0.0/16
Activación de la Alternativa:
| Aspecto | Detalle |
|---|---|
| Trigger | Fallo completo de región primaria |
| Tiempo RTO | 15-20 minutos |
| Procedimiento | Script automatizado + validación manual |
| Funcionalidad | 85% del servicio normal |
Sitio de contingencia híbrido (On-premise + Cloud)
Sitio de Contingencia Madrid:
- Ubicación: Oficinas centrales Madrid
- Configuración:
- Mini-cluster: 3x Intel NUC i7
- Storage: Synology NAS 24TB RAID-6
- Network: Fibra 1Gbps + 4G backup
- UPS: 15 minutos de autonomía
Capacidad: Solo servicios críticos básicos
Funcionalidad Disponible:
| Servicio | Disponible | Notas |
|---|---|---|
| Consulta de estudios previos | ✓ | Totalmente funcional |
| Captura nuevas imágenes | ✓ | Almacenamiento local |
| Diagnóstico IA | ❌ | Sin GPU suficiente |
| Integración EMR | ❌ | Conectividad limitada |
Casos de Uso:
- Fallo simultáneo de ambas regiones AWS
- Problemas de conectividad generalizada
- Escenarios de fuerza mayor (pandemia, catástrofe)
Medios de comunicación alternativos
Comunicaciones internas del equipo
Primario: Slack + Microsoft Teams
Configuración de Comunicación Primaria:
- Plataforma: Slack + MS Teams
- Canales Críticos:
- #incidents: Gestión de incidentes
- #on-call: Equipo de guardia 24/7
- #executive: Management y decisiones
- Integraciones:
- PagerDuty: Alertas automáticas
- CloudWatch: Dashboards de monitorización
- GitHub: Notificaciones de deployments
Alternativo 1: WhatsApp Business + Telegram
| Aspecto | Detalle |
|---|---|
| Trigger | Fallo de Slack/Teams > 10 minutos |
| Plataforma | WhatsApp Business API |
Grupos de WhatsApp:
- Crisis Management: CTO, CMO, DevOps Lead
- Technical Response: Todo el equipo técnico
- External Comms: PR, Legal, Customer Success
Ventajas:
- Disponible en móviles siempre
- Funciona con conectividad limitada
- Interfaz familiar para todos
Limitaciones:
- Sin integraciones automatizadas
- Menos formal para comunicaciones críticas
- Privacidad limitada
Alternativo 2: SMS en cascada + Llamadas telefónicas
| Aspecto | Detalle |
|---|---|
| Trigger | Fallo comunicaciones digitales > 30 minutos |
| Método | SMS Cascade + Conference Calls |
Cascada de SMS:
- Línea 1: CTO → CMO → DevOps Lead → Development Team
- Línea 2: ISO → Legal → Customer Success → Support Team
- Templates predefinidos para diferentes tipos de crisis
Conference Bridge:
- Proveedor: Zoom Phone + backup Cisco Webex
- Número Fijo: +34 91 XXX XXXX
- PIN Crisis: [CONFIDENCIAL]
- Capacidad: 100 participantes
Procedimiento de Activación:
- CTO envía SMS inicial con bridge details
- Cada receptor confirma con 'OK + nombre'
- Join conference call en 15 minutos
- Roll call y briefing de situación
Comunicaciones externas (clientes y autoridades)
Primario: Email + Portal web + Llamadas directas Alternativo: SMS masivo + Redes sociales + Medios tradicionales
Comunicación Externa Alternativa:
SMS Masivo:
- Proveedor: Twilio SendGrid
- Alcance: Contactos técnicos de 150+ hospitales
- Template: "URGENTE: Legit Health Plus - Interrupción del servicio. Estamos trabajando en la resolución. ETA: [XX:XX]. Más info: status.legit.health"
Redes Sociales:
- Twitter: @LegitHealth_ES
- LinkedIn: Legit Health Company Page
- Uso: Solo para crisis de alta visibilidad pública
Medios Tradicionales:
- Contacto de Prensa: PR Agency + CMO
- Activación: Solo si crisis > 4 horas o impacto mediático
- Templates: Preparados para diferentes escenarios
Procedimientos alternativos manuales
Diagnóstico manual sin IA
Cuando el servicio de diagnóstico automatizado no está disponible, se activan procedimientos manuales que mantienen la continuidad asistencial:
Protocolo de diagnóstico manual
Activación: Fallo del servicio IA > 15 minutos Responsable: Dermatólogo de guardia + Equipo técnico
Paso 1: Captura y almacenamiento de imágenes
- Captura normal: Usar interfaz web estándar
- Metadatos mínimos:
- ID paciente
- Fecha y hora
- Localización anatómica
- Notas clínicas del profesional
- Almacenamiento temporal: Local + sincronización diferida
Paso 2: Evaluación clínica directa
- Triage médico:
- Urgente: Posible melanoma, lesiones inflamatorias severas
- Normal: Seguimiento rutinario, lesiones benignas aparentes
- Diferible: Controles preventivos, lesiones claramente benignas
- Documentación manual:
- Descripción clínica detallada
- Índices ALEGI/DLQI estimados (basado en experiencia)
- Recomendaciones de tratamiento
- Plan de seguimiento
Paso 3: Marcado para revisión posterior
- Tag especial: "MANUAL-REVIEW-REQUIRED"
- Prioridad: Basada en evaluación médica inicial
- Timeline: Revisión IA dentro de 24h de restauración del servicio
Paso 4: Comunicación con paciente
"Su estudio ha sido evaluado por nuestro equipo médico especializado. Debido a mantenimiento técnico temporal, el análisis automatizado se completará en las próximas 24 horas para confirmación adicional."
Integración manual con EMR/HIS
Procedimiento de intercambio manual de datos
El equipo técnico ejecuta un procedimiento de exportación manual cuando falla la integración automática con EMR/HIS:
Procedimiento de Exportación Manual:
- Crear directorio temporal
- Quien: Sistema automatizado
- Qué: Crear
/tmp/emr_manual_exportscon timestamp
- Exportar casos pendientes (últimas 4 horas)
- Quien: Administrador de base de datos / Sistema
- Qué: Extraer de la base de datos
legit_healthlos resultados con estado 'pending':- ID paciente
- Fecha del estudio
- Resultado del diagnóstico
- Puntuaciones ALEGI/DLQI
- Recomendaciones
- Formato: CSV con headers
- Generar archivo HL7 FHIR R4
- Quien: Script de conversión
- Qué: Convertir CSV a formato HL7 FHIR R4 bundle JSON compatible con EMR
- Output:
fhir_bundle_[TIMESTAMP].json
- Cifrar para transferencia
- Quien: Sistema
- Qué: Cifrado GPG con clave del destinatario (hospital-integration@legit.health)
- Seguridad: Solo el hospital destinatario puede descifrar
- Notificar a hospitales
- Quien: Sistema de notificaciones
- Qué: Enviar notificación con:
- Batch ID (timestamp)
- Número de registros exportados
- URL de descarga segura
- Canal: Email + API webhook
Timeline: 5-15 minutos para completar exportación manual
Ubicaciones alternativas para personal clave
Trabajo remoto completo
Configuración de oficina en casa para roles críticos
Configuración de Home Office para Roles Críticos:
Roles Aplicables:
- Crisis Manager (CTO)
- Medical Safety Officer
- DevOps Lead
- Customer Success Manager
Hardware Proporcionado:
- Laptop: MacBook Pro 16" M3 Max
- Monitor: Dell UltraSharp 27" 4K
- Webcam: Logitech Brio 4K
- Headset: Sennheiser MB Pro 2
- UPS: APC Back-UPS 600VA
- Mobile Hotspot: Verizon Jetpack 8800L
Conectividad:
- Fibra doméstica: >= 100 Mbps simétrico
- 4G/5G backup: Unlimited data plan
- VPN corporativa: Siempre activa
- Secure phone line: VoIP + PSTN backup
Seguridad:
- MFA obligatorio: Hardware tokens
- Endpoint protection: EDR (catálogo CCN) + XProtect
- Network monitoring: Zscaler
- Physical security: Caja fuerte para devices
Centro alternativo temporal
Coworking space preparado (Plan B)
Coworking Alternativo Madrid (Plan B):
- Ubicación: WeWork Castellana 77, Madrid
- Capacidad: 10 personas simultáneas
- Disponibilidad: 24×7 mediante acuerdo especial
Equipamiento Preposicionado:
- 5x Workstations completas
- Router empresarial con doble WAN
- Videoconferencing setup profesional
- Whiteboard y flip charts
- Caja fuerte para documentación sensible
Servicios Incluidos:
- Fibra 1Gbps dedicada
- Catering para sesiones largas
- Servicios de limpieza
- Seguridad 24×7
Activación:
| Aspecto | Detalle |
|---|---|
| Trigger | Oficina principal inaccesible > 2 horas |
| Tiempo Setup | 30 minutos |
| Procedimiento | Llamada a WeWork + activación remota equipos |
Oficina satélite Barcelona (Plan C)
Oficina Barcelona:
- Ubicación: 22@ District, Barcelona
- Tipo: Oficina satélite permanente (pequeña)
- Personal Base: 2 desarrolladores + 1 customer success
Escalado en Crisis:
- Capacidad Máxima: 8 personas
- Equipamiento Crisis: Almacenado en armario dedicado
- Tiempo Activación: 2 horas
Limitaciones:
- Sin acceso físico a hardware crítico
- Conectividad dependiente de ISP local
- Horarios de edificio (7:00-23:00)
Medios alternativos para intercambio de información
Transferencia de datos críticos
Alternativas a transferencias digitales normales
Método primario: HTTPS + API REST Alternativo 1: SFTP + VPN dedicada Alternativo 2: Física + cifrado
Casos de Uso para Transferencia Física Cifrada:
- Fallo prolongado de conectividad
- Requerimientos de alta seguridad
- Volúmenes muy grandes de datos
Procedimiento de Transferencia Física:
- Cifrado: AES-256 + GPG
- Almacenamiento: Discos SSD cifrados por hardware
- Transporte: Mensajería certificada
- Entrega: Doble firma + verificación de identidad
Proveedores y Tecnología:
| Componente | Proveedor/Solución |
|---|---|
| Mensajería | SEUR Empresas + DHL Express |
| Hardware | Samsung T7 2TB con cifrado por hardware |
| Seguimiento | GPS + blockchain proof-of-delivery |
Tiempos de Entrega Estimados:
| Ruta | Tiempo Estimado |
|---|---|
| Madrid-Barcelona | 4-6 horas |
| Madrid-Lisboa | 12-18 horas |
| Madrid-París | 18-24 horas |
Comunicación segura con autoridades regulatorias
Canales alternativos para notificaciones críticas
Canales de Comunicación con AEMPS (Agencia Española de Medicamentos):
| Prioridad | Canal |
|---|---|
| Primario | Portal electrónico AEMPS |
| Alternativa 1 | Email certificado + teléfono |
| Alternativa 2 | Fax + confirmación telefónica |
| Alternativa 3 | Entrega física en oficinas |
Plantillas Preparadas para Notificaciones:
- Notificación de incidente < 24h
- Interrupción de servicio > 4 horas
- Notificación de brecha de datos
- Reporte de mal funcionamiento del dispositivo
Canales de Comunicación con INCIBE (Instituto Nacional de Ciberseguridad):
| Prioridad | Canal |
|---|---|
| Primario | Portal LUCIA + INES |
| Alternativa 1 | Email a incidencias@incibe.es |
| Alternativa 2 | Teléfono 24×7: +34 917 042 222 |
| Alternativa 3 | Plataforma Carmen (backup) |
Escalado Automático de Comunicaciones con INCIBE:
- 1 hora sin confirmación → Llamada telefónica
- 2 horas sin respuesta → Escalado a supervisor
- 4 horas sin contacto → Contacto directo con CNCS (Centro Nacional de Criptología)
Procedimientos de activación de medios alternativos
Matriz de activación automática vs manual
| Tipo de Fallo | Alternativa | Activación | RTO | Decisor |
|---|---|---|---|---|
| DB Principal | Read replica | Automática | 5 min | Sistema |
| Región completa | Segunda región | Manual | 20 min | CTO |
| Servicio IA | Modo manual | Semi-auto | 10 min | CMO |
| Conectividad | 4G/5G backup | Automática | 2 min | Sistema |
| Oficina principal | Remoto/Coworking | Manual | 60 min | CTO |
| Todo el cloud | On-premise | Manual | 120 min | CTO+CMO |
Scripts de activación automatizada
Activación de región alternativa
Responsable: Sistema automatizado + CTO (aprobación manual)
Cuándo se Ejecuta: Fallo completo de región primaria (eu-west-1) detectado por sistema de monitorización
Objetivo: Activar infraestructura completa en región alternativa (eu-central-1) para mantener continuidad del servicio
Pasos del Procedimiento Automatizado:
- Verificar Estado de Región Alternativa
- Confirmar que la infraestructura standby está operativa
- Validar disponibilidad de recursos necesarios
- Promoción de Base de Datos
- Promocionar read replica a base de datos primaria
- Esperar confirmación de disponibilidad (tiempo estimado: 10-15 minutos)
- Validar sincronización completa de datos
- Escalado de Aplicaciones
- Activar instancias de aplicación en región alternativa
- Escalar a capacidad operativa completa
- Verificar health checks de todos los servicios
- Actualización de DNS
- Redirigir tráfico hacia la nueva región
- Actualizar Route53 para apuntar a nueva infraestructura
- Verificar propagación de cambios DNS
- Test de Conectividad End-to-End
- Verificar conectividad completa entre componentes
- Validar acceso desde clientes externos
- Confirmar integración con sistemas de terceros
- Activación de Monitorización
- Configurar alertas en nueva región
- Establecer dashboards de monitorización
- Iniciar logging centralizado
- Notificación de Éxito
- Notificar al equipo técnico del cambio de región
- Documentar tiempo de activación y componentes migrados
- Registrar evento en sistema de incidencias
Tiempo Total Estimado: 18-20 minutos
RTO Objetivo: 20 minutos
Validación de Éxito: Sistema reporta todas las verificaciones como exitosas y genera reporte de activación con timestamp y duración
Testing y validación de medios alternativos
Programa de testing específico
Testing mensual de alternativas
Programa de Pruebas Mensuales de Medios Alternativos:
| Semana | Test | Duración | Participantes/Impacto |
|---|---|---|---|
| 1 | Database failover a read replica | 30 minutos | Zero downtime |
| 2 | Comunicaciones alternativas (WhatsApp) | 15 minutos | Todo el equipo |
| 3 | Trabajo remoto completo | 4 horas | Equipos críticos desde casa |
| 4 | Procedimientos manuales de diagnóstico | 2 horas | Equipo médico (validación) |
Validación de capacidad alternativa
Métricas de performance de alternativas
Medición de Rendimiento de Medios Alternativos vs Primarios:
La organización mide sistemáticamente el rendimiento de cada medio alternativo comparado con los sistemas primarios para validar que cumplen los objetivos de continuidad.
Métricas Medidas para Database Failover:
| Métrica | Valor Medido | Objetivo |
|---|---|---|
| RTO medido | 4.2 minutos | < 5 min |
| RPO medido | 0 segundos | 0 (sin pérdida) |
| Degradación de rendimiento | 5% | < 10% |
| Funcionalidad disponible | 100% | 100% |
Métricas Medidas para Region Failover:
| Métrica | Valor Medido | Objetivo |
|---|---|---|
| RTO medido | 18.5 minutos | < 20 min |
| RPO medido | 12 segundos | < 30 seg |
| Degradación de rendimiento | 15% | < 20% |
| Funcionalidad disponible | 85% | > 80% |
Métricas Medidas para Procedimientos Manuales:
| Métrica | Valor Medido | Aceptable |
|---|---|---|
| RTO medido | 8.0 minutos | < 10 min |
| Reducción de throughput | 70% menos | Esperado |
| Precisión mantenida | 95% | > 90% |
| Personal adicional necesario | 3x (triple) | Planificado |
Integración con plan de continuidad general
Coordinación con OP.CONT.2
Los medios alternativos se integran directamente con el plan de continuidad:
- Activación automática: Parte del failover automático definido en OP.CONT.2
- Escalado manual: Siguiendo la estructura de crisis management
- Comunicación: Usando los canales alternativos aquí definidos
- Métricas: RTO/RPO específicos para cada alternativa
Vinculación con análisis de impacto (OP.CONT.1)
Cada medio alternativo está dimensionado según:
- Criticidad de los servicios afectados
- Tiempo máximo aceptable de interrupción
- Coste/beneficio de mantener alternativas
- Requisitos regulatorios de continuidad
Consideraciones económicas
Coste de mantenimiento de alternativas
Costes Anuales de Mantenimiento de Medios Alternativos:
Infraestructura en Standby:
| Componente | Coste Anual |
|---|---|
| Región AWS secundaria | €24,000 (instancias reservadas) |
| Backup on-premise | €8,000 (hardware + mantenimiento) |
| Redundancia de red | €6,000 (dobles líneas) |
| Subtotal | €38,000 |
Alternativas de Comunicación:
| Servicio | Coste Anual |
|---|---|
| WhatsApp Business | €2,400 |
| Servicio SMS (Twilio) | €1,800 (créditos) |
| Puente de conferencias | €3,600 |
| Subtotal | €7,800 |
Preparación de Personal:
| Concepto | Coste |
|---|---|
| Equipamiento home office | €15,000 (inversión inicial) + €3,000/año (mantenimiento) |
| Espacios coworking | €12,000 (retainer + uso) |
| Programa de formación | €8,000 |
| Subtotal | €23,000/año + €15,000 inicial |
Análisis de Retorno de Inversión:
- Total anual: €84,800 (tras inversión inicial de €15,000)
- Coste por hora de downtime evitado: €97
- Coste estimado de incidente por hora: €1,350
- Punto de equilibrio (ROI breakeven): 63 horas de downtime evitado por año
- Equivalente mensual: ~5.25 horas de downtime evitado por mes
Referencias cruzadas
- OP.CONT.1: Análisis de impacto (justifica necesidad de alternativas)
- OP.CONT.2: Plan de continuidad (procedimientos de activación)
- OP.CONT.3: Testing (validación de alternativas)
- OP.EXP.1: Inventario (alternativas como activos)
- OP.MON.1: Monitorización (detección para activar alternativas)
- R-TF-013-002: Riesgos (alternativas como controles de mitigación)
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
- Approver: JD-001 General Manager