OP.EXP.6 Protección frente a código dañino
Documentos de referencia
- Real Decreto 311/2022 - Anexo II, Medida OP.EXP.6
- T-024-007 - Procedimiento de gestión de antivirus y antimalware
- T-024-008 - Registro de detección de malware
- GP-013 - Gestión de Ciberseguridad
- ISO/IEC 27001:2022 - Control A.8.7 (Protección contra malware)
- FDA Cybersecurity Guidance - Sección sobre protección contra malware
Guía de implantación
Objetivo
Establecer las medidas de protección necesarias para prevenir, detectar y responder ante código dañino (malware) que pueda afectar a los sistemas de información de Legit Health, garantizando la integridad y disponibilidad del dispositivo médico Legit Health Plus.
Alcance
Este control aplica a:
- Todos los sistemas que procesan datos del dispositivo médico
- Estaciones de trabajo de desarrollo y producción
- Servidores de aplicaciones y bases de datos
- Dispositivos móviles corporativos
- Infraestructura cloud (AWS)
- Entornos de desarrollo, pruebas y producción
Responsabilidades
Responsable de Seguridad
- Definir la política de protección contra malware
- Seleccionar y aprobar soluciones antimalware
- Supervisar el cumplimiento de las medidas
- Coordinar la respuesta ante incidentes de malware
Equipo de Infraestructura
- Implementar y mantener soluciones antimalware
- Configurar actualizaciones automáticas
- Monitorizar alertas de seguridad
- Ejecutar análisis periódicos
Desarrolladores
- Cumplir con las políticas de seguridad en el código
- Realizar análisis de seguridad estático (SAST)
- Implementar validación de entrada de datos
- Evitar vulnerabilidades conocidas
Usuarios
- No desactivar protecciones antimalware
- Reportar comportamientos sospechosos
- No ejecutar software no autorizado
- Seguir las políticas de uso aceptable
Medidas de protección implementadas
4.1 Protección en endpoints
Solución antimalware empresarial:
- Implementación de Microsoft Defender for Endpoint en todas las estaciones Windows
- XProtect y Gatekeeper en sistemas macOS
- Protección en tiempo real activada permanentemente
- Análisis heurístico y basado en comportamiento
- Sandboxing para archivos sospechosos
Configuración específica:
- Protección en tiempo real: ACTIVADA
- Protección basada en la nube: ACTIVADA
- Envío automático de muestras: ACTIVADO
- Análisis de archivos descargados: ACTIVADO
- Protección contra ransomware: ACTIVADA
- Exclusiones: Solo rutas críticas del sistema documentadas
4.2 Protección en servidores
AWS Security Services:
- Amazon GuardDuty para detección de amenazas
- AWS Shield para protección DDoS
- AWS WAF para protección de aplicaciones web
- Amazon Inspector para evaluación de vulnerabilidades
Configuración de servidores:
- ClamAV en servidores Linux
- Análisis programados diarios
- Cuarentena automática de archivos infectados
- Logs centralizados en CloudWatch
4.3 Protección del correo electrónico
Google Workspace Security:
- Filtrado avanzado de spam y phishing
- Análisis de archivos adjuntos
- Protección contra suplantación de identidad
- Sandboxing de URLs sospechosas
- Alertas de seguridad para administradores
4.4 Protección en el desarrollo
Pipeline CI/CD:
security-scan:
- dependency-check (OWASP)
- sonarqube-analysis
- container-scan (Trivy)
- secrets-detection (GitLeaks)
- license-compliance
Análisis de dependencias:
- npm audit para vulnerabilidades en JavaScript
- pip-audit para Python
- Actualizaciones automáticas de dependencias críticas
- Revisión manual de cambios en dependencias
Procedimientos operativos
5.1 Actualización de firmas
Frecuencia:
- Firmas de virus: Cada 4 horas
- Motor antimalware: Mensual o según criticidad
- Inteligencia de amenazas: Tiempo real
Proceso:
- Descarga automática de actualizaciones
- Validación de integridad de firmas
- Aplicación en horario de menor impacto
- Verificación post-actualización
- Registro en T-024-008
5.2 Análisis programados
Calendario de análisis:
| Sistema | Frecuencia | Tipo | Horario |
|---|---|---|---|
| Endpoints | Semanal | Completo | Fines de semana |
| Servidores producción | Diario | Incremental | 02:00-04:00 |
| Bases de datos | Semanal | Completo | Domingos 03:00 |
| Repositorios código | Cada commit | Automático | CI/CD |
5.3 Respuesta ante detección
Procedimiento de respuesta inmediata:
-
Detección (T=0)
- Alerta automática al equipo de seguridad
- Registro en T-024-008
- Aislamiento automático del archivo
-
Evaluación (T+15 min)
- Análisis del tipo de malware
- Determinación del vector de infección
- Evaluación del impacto potencial
-
Contención (T+30 min)
- Aislamiento del sistema afectado
- Bloqueo de comunicaciones sospechosas
- Preservación de evidencias
-
Erradicación (T+2h)
- Eliminación del malware
- Parcheo de vulnerabilidades explotadas
- Análisis de sistemas relacionados
-
Recuperación (T+4h)
- Restauración desde backups limpios
- Verificación de integridad
- Monitorización intensiva
-
Lecciones aprendidas (T+24h)
- Análisis post-incidente
- Actualización de procedimientos
- Compartir IOCs con la comunidad
Controles específicos para dispositivo médico
6.1 Protección de integridad clínica
- Validación de algoritmos: Verificación de que el malware no ha alterado algoritmos de diagnóstico
- Checksum de modelos IA: Validación de integridad de modelos de machine learning
- Aislamiento de datos clínicos: Segregación de datos de pacientes en zonas protegidas
6.2 Continuidad del servicio médico
- Modo degradado seguro: Funcionamiento básico sin conexión a red
- Rollback automático: Reversión a última versión conocida segura
- Notificación a profesionales: Alerta inmediata a usuarios clínicos
Métricas e indicadores
KPIs de seguridad
| Métrica | Objetivo | Frecuencia medición |
|---|---|---|
| Tasa de detección de malware | < 0.1% sistemas/mes | Mensual |
| Tiempo medio de respuesta | < 30 minutos | Por incidente |
| Cobertura antimalware | 100% sistemas críticos | Semanal |
| Actualización de firmas | 100% en < 24h | Diario |
| Falsos positivos | < 5/mes | Mensual |
| Sistemas sin protección | 0 | Continuo |
Reporting
- Informe mensual: Estadísticas de detección y respuesta
- Informe trimestral: Análisis de tendencias y amenazas emergentes
- Informe anual: Evaluación de efectividad y mejoras propuestas
Formación y concienciación
Programa de formación
Para todo el personal:
- Identificación de correos phishing (trimestral)
- Buenas prácticas de navegación segura
- Uso seguro de dispositivos USB
- Procedimiento de reporte de incidentes
Para personal técnico:
- Análisis forense de malware
- Uso de herramientas de detección
- Respuesta a incidentes de seguridad
- Tendencias en amenazas actuales
Simulacros
- Phishing simulado: Mensual
- Ejercicio de respuesta a ransomware: Semestral
- Tabla top de pandemia de malware: Anual
Evidencias y registros
- T-024-007: Configuración documentada de antimalware
- T-024-008: Registro de todas las detecciones
- Logs de análisis: Almacenados 1 año mínimo
- Informes de incidentes: Según GP-006
- Certificados de formación: En expediente del empleado
Revisión y mejora continua
- Revisión mensual: Efectividad de detecciones
- Revisión trimestral: Actualización de políticas
- Revisión anual: Evaluación completa del sistema
- Auditoría externa: Según calendario ENS
Integración con otros controles
- OP.EXP.7: Gestión de incidentes de malware
- OP.ACC.5: Autenticación para prevenir acceso malicioso
- MP.SW.2: Desarrollo seguro para prevenir vulnerabilidades
- OP.EXP.8: Registro de actividad para detección
- OP.MON.1: Detección de intrusión complementaria
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003, JD-004
- Approver: JD-001