OP.EXP.6 Protección frente a código dañino
Documentos de referencia
- Real Decreto 311/2022 - Anexo II, Medida OP.EXP.6
- T-024-007 - Procedimiento de gestión de antivirus y antimalware
- T-024-008 - Registro de detección de malware
- GP-013 - Gestión de Ciberseguridad
- ISO/IEC 27001:2022 - Control A.8.7 (Protección contra malware)
- FDA Cybersecurity Guidance - Sección sobre protección contra malware
Guía de implantación
Objetivo
Establecer las medidas de protección necesarias para prevenir, detectar y responder ante código dañino (malware) que pueda afectar a los sistemas de información de Legit Health, garantizando la integridad y disponibilidad del dispositivo médico Legit Health Plus.
Alcance
Este control aplica a:
- Todos los sistemas que procesan datos del dispositivo médico
- Estaciones de trabajo de desarrollo y producción
- Servidores de aplicaciones y bases de datos
- Dispositivos móviles corporativos
- Infraestructura cloud (AWS)
- Entornos de desarrollo, pruebas y producción
Responsabilidades
Responsable de Seguridad
- Definir la política de protección contra malware
- Seleccionar y aprobar soluciones antimalware
- Supervisar el cumplimiento de las medidas
- Coordinar la respuesta ante incidentes de malware
Equipo de Infraestructura
- Implementar y mantener soluciones antimalware
- Configurar actualizaciones automáticas
- Monitorizar alertas de seguridad
- Ejecutar análisis periódicos
Desarrolladores
- Cumplir con las políticas de seguridad en el código
- Realizar análisis de seguridad estático (SAST)
- Implementar validación de entrada de datos
- Evitar vulnerabilidades conocidas
Usuarios
- No desactivar protecciones antimalware
- Reportar comportamientos sospechosos
- No ejecutar software no autorizado
- Seguir las políticas de uso aceptable
Medidas de protección implementadas
Protección en endpoints
Solución antimalware empresarial:
- Implementación de Microsoft Defender for Endpoint en todas las estaciones Windows
- XProtect y Gatekeeper en sistemas macOS
- Protección en tiempo real activada permanentemente
- Análisis heurístico y basado en comportamiento
- Sandboxing para archivos sospechosos
Configuración Específica de Endpoint Protection:
| Configuración | Estado | Propósito |
|---|---|---|
| Protección en tiempo real | ACTIVADA | Escaneo continuo de archivos y procesos |
| Protección basada en la nube | ACTIVADA | Detección con inteligencia de amenazas cloud |
| Envío automático de muestras | ACTIVADO | Compartir muestras con Microsoft para análisis |
| Análisis de archivos descargados | ACTIVADO | Escanear todos los archivos descargados de internet |
| Protección contra ransomware | ACTIVADA | Detección y bloqueo de comportamiento de ransomware |
| Exclusiones | Solo rutas críticas documentadas | Minimizar exclusiones para máxima protección |
Política: No se permiten exclusiones sin aprobación del Security Officer. Todas las exclusiones deben estar documentadas en T-024-007.
Protección en servidores
AWS Security Services:
- Amazon GuardDuty para detección de amenazas
- AWS Shield para protección DDoS
- AWS WAF para protección de aplicaciones web
- Amazon Inspector para evaluación de vulnerabilidades
Configuración de servidores:
- ClamAV en servidores Linux
- Análisis programados diarios
- Cuarentena automática de archivos infectados
- Logs centralizados en CloudWatch
Protección del correo electrónico
Google Workspace Security:
- Filtrado avanzado de spam y phishing
- Análisis de archivos adjuntos
- Protección contra suplantación de identidad
- Sandboxing de URLs sospechosas
- Alertas de seguridad para administradores
Protección en el desarrollo
Pipeline CI/CD con Escaneos de Seguridad:
Análisis Automatizados en Cada Commit:
| Herramienta | Descripción | Propósito | Acción si Falla |
|---|---|---|---|
| dependency-check (OWASP) | Análisis de vulnerabilidades en dependencias | Detectar CVEs conocidos en librerías de terceros | Bloquear merge hasta resolución |
| sonarqube-analysis | Análisis estático de código (SAST) | Identificar vulnerabilidades en código fuente (injection, XSS, etc.) | Bloquear merge si severity CRITICAL |
| container-scan (Trivy) | Escaneo de imágenes Docker | Detectar vulnerabilidades en imágenes de contenedor | Bloquear deploy si HIGH/CRITICAL |
| secrets-detection (GitLeaks) | Detección de credenciales hardcodeadas | Prevenir commit de secrets (API keys, passwords) | Bloquear commit inmediatamente |
| license-compliance | Verificación de licencias de software | Asegurar compliance con licencias OSS | Alertar a legal si licencia incompatible |
Frecuencia: Ejecutado automáticamente en cada commit y pull request
Quién Revisa: DevOps Lead + Security Officer (para fallos críticos)
Análisis de dependencias:
- npm audit para vulnerabilidades en JavaScript
- pip-audit para Python
- Actualizaciones automáticas de dependencias críticas
- Revisión manual de cambios en dependencias
Procedimientos operativos
Actualización de firmas
Frecuencia:
- Firmas de virus: Cada 4 horas
- Motor antimalware: Mensual o según criticidad
- Inteligencia de amenazas: Tiempo real
Proceso:
- Descarga automática de actualizaciones
- Validación de integridad de firmas
- Aplicación en horario de menor impacto
- Verificación post-actualización
- Registro en T-024-008
Análisis programados
Calendario de análisis:
| Sistema | Frecuencia | Tipo | Horario |
|---|---|---|---|
| Endpoints | Semanal | Completo | Fines de semana |
| Servidores producción | Diario | Incremental | 02:00-04:00 |
| Bases de datos | Semanal | Completo | Domingos 03:00 |
| Repositorios código | Cada commit | Automático | CI/CD |
Respuesta ante detección
Procedimiento de respuesta inmediata:
- Detección (T=0)
- Alerta automática al equipo de seguridad
- Registro en T-024-008
- Aislamiento automático del archivo
- Evaluación (T+15 min)
- Análisis del tipo de malware
- Determinación del vector de infección
- Evaluación del impacto potencial
- Contención (T+30 min)
- Aislamiento del sistema afectado
- Bloqueo de comunicaciones sospechosas
- Preservación de evidencias
- Erradicación (T+2h)
- Eliminación del malware
- Parcheo de vulnerabilidades explotadas
- Análisis de sistemas relacionados
- Recuperación (T+4h)
- Restauración desde backups limpios
- Verificación de integridad
- Monitorización intensiva
- Lecciones aprendidas (T+24h)
- Análisis post-incidente
- Actualización de procedimientos
- Compartir IOCs con la comunidad
Controles específicos para dispositivo médico
Protección de integridad clínica
- Validación de algoritmos: Verificación de que el malware no ha alterado algoritmos de diagnóstico
- Checksum de modelos IA: Validación de integridad de modelos de machine learning
- Aislamiento de datos clínicos: Segregación de datos de pacientes en zonas protegidas
Continuidad del servicio médico
- Modo degradado seguro: Funcionamiento básico sin conexión a red
- Rollback automático: Reversión a última versión conocida segura
- Notificación a profesionales: Alerta inmediata a usuarios clínicos
Métricas e indicadores
KPIs de seguridad
| Métrica | Objetivo | Frecuencia medición |
|---|---|---|
| Tasa de detección de malware | < 0.1% sistemas/mes | Mensual |
| Tiempo medio de respuesta | < 30 minutos | Por incidente |
| Cobertura antimalware | 100% sistemas críticos | Semanal |
| Actualización de firmas | 100% en < 24h | Diario |
| Falsos positivos | < 5/mes | Mensual |
| Sistemas sin protección | 0 | Continuo |
Reporting
- Informe mensual: Estadísticas de detección y respuesta
- Informe trimestral: Análisis de tendencias y amenazas emergentes
- Informe anual: Evaluación de efectividad y mejoras propuestas
Formación y concienciación
Programa de formación
Para todo el personal:
- Identificación de correos phishing (trimestral)
- Buenas prácticas de navegación segura
- Uso seguro de dispositivos USB
- Procedimiento de reporte de incidentes
Para personal técnico:
- Análisis forense de malware
- Uso de herramientas de detección
- Respuesta a incidentes de seguridad
- Tendencias en amenazas actuales
Simulacros
- Phishing simulado: Mensual
- Ejercicio de respuesta a ransomware: Semestral
- Tabla top de pandemia de malware: Anual
Evidencias y registros
- T-024-007: Configuración documentada de antimalware
- T-024-008: Registro de todas las detecciones
- Logs de análisis: Almacenados 1 año mínimo
- Informes de incidentes: Según GP-006
- Certificados de formación: En expediente del empleado
Revisión y mejora continua
- Revisión mensual: Efectividad de detecciones
- Revisión trimestral: Actualización de políticas
- Revisión anual: Evaluación completa del sistema
- Auditoría externa: Según calendario ENS
Integración con otros controles
- OP.EXP.7: Gestión de incidentes de malware
- OP.ACC.5: Autenticación para prevenir acceso malicioso
- MP.SW.2: Desarrollo seguro para prevenir vulnerabilidades
- OP.EXP.8: Registro de actividad para detección
- OP.MON.1: Detección de intrusión complementaria
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003, JD-004
- Approver: JD-001