OP.EXP.6 Protección frente a código dañino
Documentos de referencia
- Real Decreto 311/2022 - Anexo II, Medida OP.EXP.6
- T-024-007 - Procedimiento de gestión de antivirus y antimalware
- T-024-008 - Registro de detección de malware
- GP-013 - Gestión de Ciberseguridad
- ISO/IEC 27001:2022 - Control A.8.7 (Protección contra malware)
- FDA Cybersecurity Guidance - Sección sobre protección contra malware
Guía de implantación
Objetivo
Establecer las medidas de protección necesarias para prevenir, detectar y responder ante código dañino (malware) que pueda afectar a los sistemas de información de la organización, garantizando la integridad y disponibilidad de la plataforma.
Alcance
Este control aplica a:
- Todos los sistemas que procesan datos del dispositivo médico
- Estaciones de trabajo de desarrollo y producción
- Servidores de aplicaciones y bases de datos
- Dispositivos móviles corporativos
- Infraestructura cloud (AWS)
- Entornos de desarrollo, pruebas y producción
Responsabilidades
Responsable de Seguridad
- Definir la política de protección contra malware
- Seleccionar y aprobar soluciones antimalware
- Supervisar el cumplimiento de las medidas
- Coordinar la respuesta ante incidentes de malware
Equipo de Infraestructura
- Implementar y mantener soluciones antimalware
- Configurar actualizaciones automáticas
- Monitorizar alertas de seguridad
- Ejecutar análisis periódicos
Desarrolladores
- Cumplir con las políticas de seguridad en el código
- Realizar análisis de seguridad estático (SAST)
- Implementar validación de entrada de datos
- Evitar vulnerabilidades conocidas
Usuarios
- No desactivar protecciones antimalware
- Reportar comportamientos sospechosos
- No ejecutar software no autorizado
- Seguir las políticas de uso aceptable
Lista blanca de software autorizado
La organización mantiene una lista explícita del software autorizado para uso por los empleados. Solo el software incluido en esta lista puede estar instalado en los equipos corporativos. El EDR se configura para detectar y alertar sobre la ejecución de software no autorizado.
Alcance
Esta lista cubre el software de uso e infraestructura de los empleados. Los componentes SOUP/bibliotecas del producto (NumPy, PyTorch, Docker, etc.) se gestionan en el inventario de activos (OP.EXP.1) y en el registro de componentes certificados (OP.PL.5).
| Categoría | Software autorizado | Versión | Propósito |
|---|---|---|---|
| Sistema operativo | macOS | Última estable | SO de los equipos corporativos |
| Navegadores | Google Chrome, Safari, Firefox | Última estable | Navegación web y acceso a aplicaciones |
| Comunicación | Google Meet, Slack | Última estable | Videoconferencia y mensajería interna |
| Correo y productividad | Google Workspace (Gmail, Drive, Docs, Sheets) | SaaS | Correo, almacenamiento, documentación |
| Editores de código | Visual Studio Code, Cursor | Última estable | Desarrollo de software |
| Control de versiones | Git, GitHub Desktop | Última estable | Gestión de código fuente |
| Terminal y CLI | Terminal (macOS), iTerm2, Warp | Última estable | Administración y desarrollo |
| Herramientas de desarrollo | Docker Desktop, Node.js, Python | Última estable | Entornos de desarrollo |
| Seguridad | Wazuh Agent, WatchGuard EPDR | Última estable | Monitorización y protección de endpoints |
| Gestión de contraseñas | Google Password Manager | SaaS | Gestión segura de credenciales |
Proceso para solicitar software no incluido:
Si un empleado necesita utilizar software que no figure en la lista blanca, debe seguir el procedimiento de autorizaciones (ORG.4), que incluye:
- Solicitud justificada al Responsable del Servicio.
- Evaluación de seguridad por el Responsable de Seguridad (verificación de origen, licencia, reputación, vulnerabilidades conocidas).
- Autorización formal antes de la instalación.
- Inclusión en la lista blanca si se aprueba para uso general.
Medidas de protección implementadas
Protección en endpoints
Solución antimalware empresarial:
- XProtect y Gatekeeper en sistemas macOS (protección nativa)
- WatchGuard EPDR (producto del catálogo CCN, implantado en todos los endpoints)
- Protección en tiempo real activada permanentemente
- Análisis heurístico y basado en comportamiento
- Control de ejecución de software no autorizado mediante WatchGuard EPDR
Configuración Específica de Endpoint Protection:
| Configuración | Estado | Propósito |
|---|---|---|
| Protección en tiempo real | ACTIVADA | Escaneo continuo de archivos y procesos |
| Protección basada en la nube | ACTIVADA | Detección con inteligencia de amenazas cloud |
| Envío automático de muestras | ACTIVADO | Compartir muestras con el proveedor de EDR para análisis |
| Análisis de archivos descargados | ACTIVADO | Escanear todos los archivos descargados de internet |
| Protección contra ransomware | ACTIVADA | Detección y bloqueo de comportamiento de ransomware |
| Exclusiones | Solo rutas críticas documentadas | Minimizar exclusiones para máxima protección |
Política: No se permiten exclusiones sin aprobación del Responsable de Seguridad. Todas las exclusiones deben estar documentadas en T-024-007.
Protección en servidores
AWS Security Services:
- Amazon GuardDuty para detección de amenazas
- AWS Shield para protección DDoS
- AWS WAF para protección de aplicaciones web
- Amazon Inspector para evaluación de vulnerabilidades
Configuración de servidores:
- ClamAV en servidores Linux
- Análisis programados diarios
- Cuarentena automática de archivos infectados
- Logs centralizados en CloudWatch
Protección del correo electrónico
Google Workspace Security:
- Filtrado avanzado de spam y phishing
- Análisis de archivos adjuntos
- Protección contra suplantación de identidad
- Sandboxing de URLs sospechosas
- Alertas de seguridad para administradores
Protección en el desarrollo
Pipeline CI/CD con Escaneos de Seguridad:
Análisis Automatizados en Cada Commit:
| Herramienta | Descripción | Propósito | Acción si Falla |
|---|---|---|---|
| dependency-check (OWASP) | Análisis de vulnerabilidades en dependencias | Detectar CVEs conocidos en librerías de terceros | Bloquear merge hasta resolución |
| sonarqube-analysis | Análisis estático de código (SAST) | Identificar vulnerabilidades en código fuente (injection, XSS, etc.) | Bloquear merge si severity CRITICAL |
| container-scan (Trivy) | Escaneo de imágenes Docker | Detectar vulnerabilidades en imágenes de contenedor | Bloquear deploy si HIGH/CRITICAL |
| secrets-detection (GitLeaks) | Detección de credenciales hardcodeadas | Prevenir commit de secrets (API keys, passwords) | Bloquear commit inmediatamente |
| license-compliance | Verificación de licencias de software | Asegurar compliance con licencias OSS | Alertar a legal si licencia incompatible |
Frecuencia: Ejecutado automáticamente en cada commit y pull request
Quién Revisa: Responsable del Servicio + Responsable de Seguridad (para fallos críticos)
Análisis de dependencias:
- npm audit para vulnerabilidades en JavaScript
- pip-audit para Python
- Actualizaciones automáticas de dependencias críticas
- Revisión manual de cambios en dependencias
Procedimientos operativos
Actualización de firmas
Frecuencia:
- Firmas de virus: Cada 4 horas
- Motor antimalware: Mensual o según criticidad
- Inteligencia de amenazas: Tiempo real
Proceso:
- Descarga automática de actualizaciones
- Validación de integridad de firmas
- Aplicación en horario de menor impacto
- Verificación post-actualización
- Registro en T-024-008
Análisis programados
Calendario de análisis:
| Sistema | Frecuencia | Tipo | Horario |
|---|---|---|---|
| Endpoints | Semanal | Completo | Fines de semana |
| Servidores producción | Diario | Incremental | 02:00-04:00 |
| Bases de datos | Semanal | Completo | Domingos 03:00 |
| Repositorios código | Cada commit | Automático | CI/CD |
Respuesta ante detección
Procedimiento de respuesta inmediata:
- Detección (T=0)
- Alerta automática al equipo de seguridad
- Registro en T-024-008
- Aislamiento automático del archivo
- Evaluación (T+15 min)
- Análisis del tipo de malware
- Determinación del vector de infección
- Evaluación del impacto potencial
- Contención (T+30 min)
- Aislamiento del sistema afectado
- Bloqueo de comunicaciones sospechosas
- Preservación de evidencias
- Erradicación (T+2h)
- Eliminación del malware
- Parcheo de vulnerabilidades explotadas
- Análisis de sistemas relacionados
- Recuperación (T+4h)
- Restauración desde backups limpios
- Verificación de integridad
- Monitorización intensiva
- Lecciones aprendidas (T+24h)
- Análisis post-incidente
- Actualización de procedimientos
- Compartir IOCs con la comunidad
Controles específicos para dispositivo médico
Protección de integridad clínica
- Validación de algoritmos: Verificación de que el malware no ha alterado algoritmos de diagnóstico
- Checksum de modelos IA: Validación de integridad de modelos de machine learning
- Aislamiento de datos clínicos: Segregación de datos de pacientes en zonas protegidas
Continuidad del servicio médico
- Modo degradado seguro: Funcionamiento básico sin conexión a red
- Rollback automático: Reversión a última versión conocida segura
- Notificación a profesionales: Alerta inmediata a usuarios clínicos
Métricas e indicadores
KPIs de seguridad
| Métrica | Objetivo | Frecuencia medición |
|---|---|---|
| Tasa de detección de malware | < 0.1% sistemas/mes | Mensual |
| Tiempo medio de respuesta | < 30 minutos | Por incidente |
| Cobertura antimalware | 100% sistemas críticos | Semanal |
| Actualización de firmas | 100% en < 24h | Diario |
| Falsos positivos | < 5/mes | Mensual |
| Sistemas sin protección | 0 | Continuo |
Reporting
- Informe mensual: Estadísticas de detección y respuesta
- Informe trimestral: Análisis de tendencias y amenazas emergentes
- Informe anual: Evaluación de efectividad y mejoras propuestas
Formación y concienciación
Programa de formación
Para todo el personal:
- Identificación de correos phishing (trimestral)
- Buenas prácticas de navegación segura
- Uso seguro de dispositivos USB
- Procedimiento de reporte de incidentes
Para personal técnico:
- Análisis forense de malware
- Uso de herramientas de detección
- Respuesta a incidentes de seguridad
- Tendencias en amenazas actuales
Simulacros
- Phishing simulado: Mensual
- Ejercicio de respuesta a ransomware: Semestral
- Tabla top de pandemia de malware: Anual
Evidencias y registros
- T-024-007: Configuración documentada de antimalware
- T-024-008: Registro de todas las detecciones
- Logs de análisis: Almacenados 1 año mínimo
- Informes de incidentes: Según GP-006
- Certificados de formación: En expediente del empleado
Revisión y mejora continua
- Revisión mensual: Efectividad de detecciones
- Revisión trimestral: Actualización de políticas
- Revisión anual: Evaluación completa del sistema
- Auditoría externa: Según calendario ENS
Integración con otros controles
- OP.EXP.7: Gestión de incidentes de malware
- OP.ACC.5: Autenticación para prevenir acceso malicioso
- MP.SW.2: Desarrollo seguro para prevenir vulnerabilidades
- OP.EXP.8: Registro de actividad para detección
- OP.MON.1: Detección de intrusión complementaria
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
- Approver: JD-001 General Manager