Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-026 Market-specific product requirements
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-031 Training Data Governance
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-110 Esquema Nacional de Seguridad
      • General
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
        • OP.ACC Control de acceso
        • OP.EXP Explotación
          • OP.EXP.1 Inventario de activos
          • OP.EXP.10 Protección de los registros de actividad
          • OP.EXP.11 Protección de las claves criptográficas
          • OP.EXP.2 Configuración de seguridad
          • OP.EXP.3 Gestión de la configuración
          • OP.EXP.4 Mantenimiento
          • OP.EXP.5 Gestión de Cambios - Procedimiento Formal ENS
          • OP.EXP.6 Protección frente a código dañino
          • OP.EXP.7 Gestión de incidentes
          • OP.EXP.8 Registro de la actividad de los usuarios
          • OP.EXP.9 Registro de la gestión de incidentes
        • OP.EXT Servicios externos
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
        • OP.MON Monitorización del sistema
      • MP Medidas de protección
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-600 Equality Planning
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • BSI Non-Conformities
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.EXP Explotación
  • OP.EXP.2 Configuración de seguridad

OP.EXP.2 Configuración de seguridad

Documentos de referencia​

  • Guías CCN-STIC:
    • Serie CCN-STIC-500 - Guías para Entornos Windows
    • Serie CCN-STIC-600 - Guías para otros Entornos
    • Guía CCN-STIC-824 - Informe del Estado de Seguridad
    • Guía CCN-STIC-827 - Gestión y uso de dispositivos móviles
  • ISO/IEC 27000
  • NIST SP 800-53 rev4:
    • [CM-2] Baseline Configuration
    • [CM-6] Configuration Settings
    • [CM-7] Least Functionality
    • [SI-5] Security Alerts, Advisories, and Directives
  • Otras referencias:
    • SANS - CIS Critical Security Controls - Version 6.1
      • CSC.3 - Secure Configurations for Hardware and Software
      • CSC.9 - Limitation and Control of Network Ports
      • CSC.18 - Application Software Security
      • FDCC - Federal Desktop Core Configuration http://nvd.nist.gov/fdcc/index.cfm
    • USGCB - The United States Government Configuration Baseline http://usgcb.nist.gov/
    • Manageable Network Plan
      • Milestone 7: Manage Your Network, Part II (Baseline Management)

Guía de implantación​

  1. Todos los sistemas deben ser configurados de forma sistemática antes de entrar en producción. El organismo debe elaborar unos pocos perfiles de configuración para las diferentes actividades a que pueden ser dedicados, siendo típicos los siguientes:
  • usuarios normales (uso administrativo)
  • atención a clientes
  • gestión de proveedores (incluidos bancos)
  • desarrollo
  • operadores y administradores (técnicos de sistemas)
  • responsable de seguridad (consola de configuración)
  • auditoría

  1. La medida se instrumenta por medio de una lista de verificación (checklists) que se debe aplicar sistemáticamente a cada equipo antes de entrar en producción.

  2. En todos los perfiles de usuario, excepto en los de administrador, se debe bloquear la opción de que éste pueda cambiar la configuración del sistema o pueda instalar nuevos programas o nuevos periféricos (drivers).

  3. La configuración de seguridad debe incluir un perfil básico de auditoría de uso del equipo.

Guías CCN-STIC aplicables​

La configuración de seguridad de los activos de la organización se realiza de acuerdo con las guías CCN-STIC correspondientes a cada tecnología:

Guía CCN-STICTítuloAplicación
CCN-STIC-887Guía de configuración segura para AWSConfiguración de todos los servicios AWS (IAM, VPC, S3, ECS, KMS, CloudWatch, etc.)
CCN-STIC-885Guía de configuración segura para Google WorkspaceConfiguración de correo, almacenamiento, administración de usuarios
CCN-STIC-899Guía de configuración segura para macOSHardening de equipos de los empleados
CCN-STIC-807Criptología de empleo en el ENSAlgoritmos y protocolos criptográficos permitidos
CCN-STIC-804Guía de implantación del ENSMarco general de implantación
CCN-STIC-827Gestión y uso de dispositivos móvilesPolítica de dispositivos portátiles

El Responsable de Seguridad verifica periódicamente que se publiquen nuevas versiones de estas guías y actualiza las configuraciones en consecuencia.

Implementación en la organización​

Medidas técnicas ENS implementadas​

La organización tiene implementadas las siguientes medidas técnicas ENS, que deben estar presentes y operativas en todos los sistemas del alcance:

Medida técnicaDescripciónEstadoHerramienta/Método
Política de contraseñas (GPO)Contraseñas ≥12 caracteres, complejidad obligatoria, historial de 12, caducidad 90 días, bloqueo tras 3 intentosImplementadaGoogle Workspace Admin + AWS IAM policies
Autenticación multifactor (MFA)MFA obligatorio para todos los accesos, tanto de usuarios estándar como administradoresImplementadaGoogle Workspace 2FA + AWS MFA
Agente SIEM (Wazuh)Agente de monitorización de seguridad instalado en todos los endpoints, recopilación centralizada de eventosImplementadaWazuh Agent → Wazuh Cloud Manager
EDR (Endpoint Detection and Response)Protección avanzada de endpoints con detección de amenazas en tiempo realImplementadaWatchGuard EPDR (catálogo CCN)
Cifrado en reposoTodos los datos almacenados cifrados con AES-256ImplementadaAWS KMS + FileVault (macOS)
Cifrado en tránsitoTLS 1.3 obligatorio en todas las comunicacionesImplementadaAWS Certificate Manager + CloudFront
Firewall de aplicaciones web (WAF)Protección contra ataques web (OWASP Top 10)ImplementadaAWS WAF
Protección DDoSProtección contra ataques de denegación de servicioImplementadaAWS Shield

Perfiles de configuración​

La organización define perfiles de configuración de seguridad para cada tipo de usuario, siguiendo el principio de mínimo privilegio:

  • Usuario clínico: Acceso a funcionalidades diagnósticas, sin capacidad de modificar configuraciones del sistema. MFA obligatorio, timeout de sesión, registro completo de acciones clínicas.
  • Administrador del sistema: Gestión de usuarios y configuraciones. Cambios críticos requieren doble autorización. Acceso restringido a datos clínicos. Registro detallado de comandos ejecutados.
  • Auditor/Inspector regulatorio: Acceso temporal de solo lectura a logs, configuraciones y documentación. Sin capacidad de modificación.
  • Integración API: Acceso limitado a endpoints específicos con autenticación fuerte (OAuth 2.0 + JWT), rate limiting y certificados TLS mutuos.

Baseline de configuración de seguridad​

La organización elabora y mantiene una configuración de seguridad baseline que se aplica sistemáticamente a cada equipo antes de entrar en producción. Esta configuración incluye:

  • Hardening del sistema operativo: ASLR, protección contra buffer overflow, SYN cookies, deshabilitación de servicios innecesarios
  • Firewall: Política de denegación por defecto, con apertura exclusiva de puertos necesarios
  • SSH: Deshabilitación de login root, límite de intentos de autenticación, restricción a grupos autorizados
  • Auditoría: Reglas de auditd para monitorizar cambios en archivos críticos del sistema
  • Cabeceras de seguridad HTTP: HSTS, X-Content-Type-Options, X-Frame-Options, CSP restrictiva
  • Cifrado: TLS 1.3 mínimo en tránsito, AES-256 en reposo, SCRAM-SHA-256 para autenticación de base de datos

Checklist de despliegue seguro​

Antes de poner cualquier sistema en producción, se verifica el cumplimiento de la lista de verificación que incluye:

  • Revisión de código de seguridad (SAST) y análisis de dependencias (SCA)
  • Certificados SSL/TLS válidos y gestión de secretos configurada
  • OS hardening aplicado, firewall configurado, servicios innecesarios deshabilitados
  • Variables de entorno seguras, modo debug deshabilitado, rate limiting implementado
  • Conexiones de base de datos cifradas, usuarios con privilegios mínimos, auditoría habilitada
  • SIEM integrado, alertas configuradas, logs centralizados

Revisión semestral de configuraciones​

Cada 6 meses, el Responsable del Sistema realiza una revisión formal de las configuraciones de seguridad de todos los activos del alcance. A diferencia de la revisión de permisos (OP.ACC.4), esta revisión no requiere capturas de pantalla sino una verificación documentada del cumplimiento del baseline.

Proceso:

  1. Verificación (Responsable del Sistema): Para cada activo, comprobar que la configuración actual coincide con el baseline aprobado. Revisar que las medidas técnicas ENS (GPO, MFA, Wazuh, EDR, cifrado) están operativas.
  2. Documentación (Responsable del Sistema): Completar la tabla de registro de revisión con el resultado de cada verificación.
  3. Aprobación (Responsable de Seguridad): Revisar el registro y aprobar o solicitar acciones correctivas.

Tabla de registro de revisión de configuraciones:

CampoDescripción
Fecha de revisiónFecha en que se realizó la revisión
Período revisadoSemestre al que corresponde (ej. 2026-S1)
RevisorPersona que realizó la verificación
AprobadorResponsable de Seguridad
Activos revisadosLista de activos verificados
Resultado por activoConforme / No conforme (con descripción de desviación)
Acciones correctivasCambios aplicados para resolver desviaciones
Próxima revisión programadaFecha prevista para la siguiente revisión
ObservacionesNotas adicionales

Proceso de revisión continua de configuración​

  1. Revisión trimestral programada: Escaneo automatizado, comparación con baseline, identificación de desviaciones
  2. Análisis de vulnerabilidades: CVE scanning, revisión de boletines de seguridad, priorización según CVSS y contexto clínico
  3. Remediación: Plan de acción con plazos según criticidad, testing en staging, despliegue controlado con rollback plan

Detección de desviaciones​

La organización implementa un sistema automatizado de detección de desviaciones que compara continuamente la configuración actual con el baseline aprobado. Las desviaciones se clasifican en:

  • Configuración faltante: Una configuración requerida no está presente
  • Desviación de configuración: Un valor difiere del baseline aprobado

Las desviaciones críticas generan alertas inmediatas al Responsable de Seguridad.

Métricas e indicadores​

  • Drift Rate: % de sistemas con desviaciones del baseline
  • Patch Compliance: % de sistemas con parches actualizados
  • Configuration Coverage: % de sistemas con baseline definido
  • MTTR: Tiempo medio de corrección de desviaciones
  • Audit Success Rate: % de auditorías sin hallazgos críticos

Integración con otros controles ENS​

  • OP.EXP.1: Configuración basada en criticidad de activos del inventario
  • OP.EXP.3: Gestión de la configuración del sistema
  • OP.EXP.5: Gestión de cambios en configuraciones
  • OP.EXP.7: Incidentes relacionados con configuraciones

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
ㅤ

Previous
OP.EXP.11 Protección de las claves criptográficas
Next
OP.EXP.3 Gestión de la configuración
  • Documentos de referencia
  • Guía de implantación
  • Guías CCN-STIC aplicables
  • Implementación en la organización
    • Medidas técnicas ENS implementadas
    • Perfiles de configuración
    • Baseline de configuración de seguridad
    • Checklist de despliegue seguro
    • Revisión semestral de configuraciones
    • Proceso de revisión continua de configuración
    • Detección de desviaciones
    • Métricas e indicadores
    • Integración con otros controles ENS
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)