OP.EXP.2 Configuración de seguridad
Documentos de referencia
- Guías CCN-STIC:
- Serie CCN-STIC-500 - Guías para Entornos Windows
- Serie CCN-STIC-600 - Guías para otros Entornos
- Guía CCN-STIC-824 - Informe del Estado de Seguridad
- Guía CCN-STIC-827 - Gestión y uso de dispositivos móviles
- ISO/IEC 27000
- NIST SP 800-53 rev4:
- [CM-2] Baseline Configuration
- [CM-6] Configuration Settings
- [CM-7] Least Functionality
- [SI-5] Security Alerts, Advisories, and Directives
- Otras referencias:
- SANS - CIS Critical Security Controls - Version 6.1
- CSC.3 - Secure Configurations for Hardware and Software
- CSC.9 - Limitation and Control of Network Ports
- CSC.18 - Application Software Security
- FDCC - Federal Desktop Core Configuration http://nvd.nist.gov/fdcc/index.cfm
- USGCB - The United States Government Configuration Baseline http://usgcb.nist.gov/
- Manageable Network Plan
- Milestone 7: Manage Your Network, Part II (Baseline Management)
- SANS - CIS Critical Security Controls - Version 6.1
Guía de implantación
- Todos los sistemas deben ser configurados de forma sistemática antes de entrar en producción. El organismo debe elaborar unos pocos perfiles de configuración para las diferentes actividades a que pueden ser dedicados, siendo típicos los siguientes:
- usuarios normales (uso administrativo)
- atención a clientes
- gestión de proveedores (incluidos bancos)
- desarrollo
- operadores y administradores (técnicos de sistemas)
- responsable de seguridad (consola de configuración)
- auditoría
-
La medida se instrumenta por medio de una lista de verificación (checklists) que se debe aplicar sistemáticamente a cada equipo antes de entrar en producción.
-
En todos los perfiles de usuario, excepto en los de administrador, se debe bloquear la opción de que éste pueda cambiar la configuración del sistema o pueda instalar nuevos programas o nuevos periféricos (drivers).
-
La configuración de seguridad debe incluir un perfil básico de auditoría de uso del equipo.
Guías CCN-STIC aplicables
La configuración de seguridad de los activos de la organización se realiza de acuerdo con las guías CCN-STIC correspondientes a cada tecnología:
| Guía CCN-STIC | Título | Aplicación |
|---|---|---|
| CCN-STIC-887 | Guía de configuración segura para AWS | Configuración de todos los servicios AWS (IAM, VPC, S3, ECS, KMS, CloudWatch, etc.) |
| CCN-STIC-885 | Guía de configuración segura para Google Workspace | Configuración de correo, almacenamiento, administración de usuarios |
| CCN-STIC-899 | Guía de configuración segura para macOS | Hardening de equipos de los empleados |
| CCN-STIC-807 | Criptología de empleo en el ENS | Algoritmos y protocolos criptográficos permitidos |
| CCN-STIC-804 | Guía de implantación del ENS | Marco general de implantación |
| CCN-STIC-827 | Gestión y uso de dispositivos móviles | Política de dispositivos portátiles |
El Responsable de Seguridad verifica periódicamente que se publiquen nuevas versiones de estas guías y actualiza las configuraciones en consecuencia.
Implementación en la organización
Medidas técnicas ENS implementadas
La organización tiene implementadas las siguientes medidas técnicas ENS, que deben estar presentes y operativas en todos los sistemas del alcance:
| Medida técnica | Descripción | Estado | Herramienta/Método |
|---|---|---|---|
| Política de contraseñas (GPO) | Contraseñas ≥12 caracteres, complejidad obligatoria, historial de 12, caducidad 90 días, bloqueo tras 3 intentos | Implementada | Google Workspace Admin + AWS IAM policies |
| Autenticación multifactor (MFA) | MFA obligatorio para todos los accesos, tanto de usuarios estándar como administradores | Implementada | Google Workspace 2FA + AWS MFA |
| Agente SIEM (Wazuh) | Agente de monitorización de seguridad instalado en todos los endpoints, recopilación centralizada de eventos | Implementada | Wazuh Agent → Wazuh Cloud Manager |
| EDR (Endpoint Detection and Response) | Protección avanzada de endpoints con detección de amenazas en tiempo real | Implementada | WatchGuard EPDR (catálogo CCN) |
| Cifrado en reposo | Todos los datos almacenados cifrados con AES-256 | Implementada | AWS KMS + FileVault (macOS) |
| Cifrado en tránsito | TLS 1.3 obligatorio en todas las comunicaciones | Implementada | AWS Certificate Manager + CloudFront |
| Firewall de aplicaciones web (WAF) | Protección contra ataques web (OWASP Top 10) | Implementada | AWS WAF |
| Protección DDoS | Protección contra ataques de denegación de servicio | Implementada | AWS Shield |
Perfiles de configuración
La organización define perfiles de configuración de seguridad para cada tipo de usuario, siguiendo el principio de mínimo privilegio:
- Usuario clínico: Acceso a funcionalidades diagnósticas, sin capacidad de modificar configuraciones del sistema. MFA obligatorio, timeout de sesión, registro completo de acciones clínicas.
- Administrador del sistema: Gestión de usuarios y configuraciones. Cambios críticos requieren doble autorización. Acceso restringido a datos clínicos. Registro detallado de comandos ejecutados.
- Auditor/Inspector regulatorio: Acceso temporal de solo lectura a logs, configuraciones y documentación. Sin capacidad de modificación.
- Integración API: Acceso limitado a endpoints específicos con autenticación fuerte (OAuth 2.0 + JWT), rate limiting y certificados TLS mutuos.
Baseline de configuración de seguridad
La organización elabora y mantiene una configuración de seguridad baseline que se aplica sistemáticamente a cada equipo antes de entrar en producción. Esta configuración incluye:
- Hardening del sistema operativo: ASLR, protección contra buffer overflow, SYN cookies, deshabilitación de servicios innecesarios
- Firewall: Política de denegación por defecto, con apertura exclusiva de puertos necesarios
- SSH: Deshabilitación de login root, límite de intentos de autenticación, restricción a grupos autorizados
- Auditoría: Reglas de auditd para monitorizar cambios en archivos críticos del sistema
- Cabeceras de seguridad HTTP: HSTS, X-Content-Type-Options, X-Frame-Options, CSP restrictiva
- Cifrado: TLS 1.3 mínimo en tránsito, AES-256 en reposo, SCRAM-SHA-256 para autenticación de base de datos
Checklist de despliegue seguro
Antes de poner cualquier sistema en producción, se verifica el cumplimiento de la lista de verificación que incluye:
- Revisión de código de seguridad (SAST) y análisis de dependencias (SCA)
- Certificados SSL/TLS válidos y gestión de secretos configurada
- OS hardening aplicado, firewall configurado, servicios innecesarios deshabilitados
- Variables de entorno seguras, modo debug deshabilitado, rate limiting implementado
- Conexiones de base de datos cifradas, usuarios con privilegios mínimos, auditoría habilitada
- SIEM integrado, alertas configuradas, logs centralizados
Revisión semestral de configuraciones
Cada 6 meses, el Responsable del Sistema realiza una revisión formal de las configuraciones de seguridad de todos los activos del alcance. A diferencia de la revisión de permisos (OP.ACC.4), esta revisión no requiere capturas de pantalla sino una verificación documentada del cumplimiento del baseline.
Proceso:
- Verificación (Responsable del Sistema): Para cada activo, comprobar que la configuración actual coincide con el baseline aprobado. Revisar que las medidas técnicas ENS (GPO, MFA, Wazuh, EDR, cifrado) están operativas.
- Documentación (Responsable del Sistema): Completar la tabla de registro de revisión con el resultado de cada verificación.
- Aprobación (Responsable de Seguridad): Revisar el registro y aprobar o solicitar acciones correctivas.
Tabla de registro de revisión de configuraciones:
| Campo | Descripción |
|---|---|
| Fecha de revisión | Fecha en que se realizó la revisión |
| Período revisado | Semestre al que corresponde (ej. 2026-S1) |
| Revisor | Persona que realizó la verificación |
| Aprobador | Responsable de Seguridad |
| Activos revisados | Lista de activos verificados |
| Resultado por activo | Conforme / No conforme (con descripción de desviación) |
| Acciones correctivas | Cambios aplicados para resolver desviaciones |
| Próxima revisión programada | Fecha prevista para la siguiente revisión |
| Observaciones | Notas adicionales |
Proceso de revisión continua de configuración
- Revisión trimestral programada: Escaneo automatizado, comparación con baseline, identificación de desviaciones
- Análisis de vulnerabilidades: CVE scanning, revisión de boletines de seguridad, priorización según CVSS y contexto clínico
- Remediación: Plan de acción con plazos según criticidad, testing en staging, despliegue controlado con rollback plan
Detección de desviaciones
La organización implementa un sistema automatizado de detección de desviaciones que compara continuamente la configuración actual con el baseline aprobado. Las desviaciones se clasifican en:
- Configuración faltante: Una configuración requerida no está presente
- Desviación de configuración: Un valor difiere del baseline aprobado
Las desviaciones críticas generan alertas inmediatas al Responsable de Seguridad.
Métricas e indicadores
- Drift Rate: % de sistemas con desviaciones del baseline
- Patch Compliance: % de sistemas con parches actualizados
- Configuration Coverage: % de sistemas con baseline definido
- MTTR: Tiempo medio de corrección de desviaciones
- Audit Success Rate: % de auditorías sin hallazgos críticos
Integración con otros controles ENS
- OP.EXP.1: Configuración basada en criticidad de activos del inventario
- OP.EXP.3: Gestión de la configuración del sistema
- OP.EXP.5: Gestión de cambios en configuraciones
- OP.EXP.7: Incidentes relacionados con configuraciones
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
- Approver: JD-001 General Manager