OP.EXP.7 Gestión de incidentes
Documentos de referencia
- Real Decreto 311/2022 - Anexo II, Medida OP.EXP.7
- T-024-009 - Procedimiento de gestión de incidentes de seguridad
- T-024-010 - Plantilla de informe de incidente
- T-024-011 - Registro de incidentes de seguridad
- GP-006 - Acciones Correctivas y Preventivas (CAPA)
- GP-013 - Gestión de Ciberseguridad
- ISO/IEC 27035 - Gestión de incidentes de seguridad
- Directiva NIS2 - Artículos 20 y 23 (Notificación de incidentes)
Guía de implantación
Objetivo
Establecer un proceso sistemático para la detección, notificación, evaluación, respuesta y recuperación ante incidentes de seguridad que afecten a los sistemas de información de Legit Health, minimizando el impacto en la seguridad del dispositivo médico y garantizando el cumplimiento regulatorio.
Alcance
Este procedimiento aplica a:
- Todos los incidentes de seguridad de la información
- Incidentes que afecten al dispositivo médico Legit Health Plus
- Eventos de seguridad con impacto potencial
- Vulnerabilidades descubiertas internamente o reportadas
- Brechas de datos personales (RGPD)
- Incidentes reportables según NIS2
Definiciones
- Evento de seguridad: Ocurrencia identificada que indica una posible brecha de seguridad o fallo de controles
- Incidente de seguridad: Evento o serie de eventos que comprometen la confidencialidad, integridad o disponibilidad
- Incidente grave: Incidente con impacto significativo según criterios NIS2
- CERT: Computer Emergency Response Team
- IOC: Indicadores de Compromiso
- RTO: Recovery Time Objective
- RPO: Recovery Point Objective
Clasificación de incidentes
4.1 Por severidad
| Nivel | Criterio | Tiempo respuesta | Escalado |
|---|---|---|---|
| Crítico (P1) | Afecta funciones clínicas críticas, datos de >1000 pacientes, indisponibilidad total | < 15 min | Inmediato a CEO y CISO |
| Alto (P2) | Afecta funciones importantes, datos de 100-1000 pacientes, degradación severa | < 1 hora | CISO y responsables área |
| Medio (P3) | Impacto limitado, datos de <100 pacientes, degradación parcial | < 4 horas | Responsable seguridad |
| Bajo (P4) | Sin impacto directo en operaciones, vulnerabilidad potencial | < 24 horas | Equipo seguridad |
4.2 Por tipo
- Malware/Ransomware: Código malicioso detectado
- Acceso no autorizado: Intrusión o elevación de privilegios
- Pérdida/Fuga de datos: Exposición de información confidencial
- Denegación de servicio: Interrupción de disponibilidad
- Ingeniería social: Phishing, vishing, pretexting
- Físico: Robo, pérdida de equipos, acceso físico no autorizado
- Configuración: Misconfiguraciones de seguridad
- Vulnerabilidad: Debilidad explotable identificada
Proceso de gestión de incidentes
5.1 Fase 1: Detección y notificación
Fuentes de detección:
- Sistemas de monitorización (SIEM, IDS/IPS)
- Alertas de seguridad automatizadas
- Reportes de usuarios
- Auditorías y análisis de logs
- Threat intelligence externa
- Notificaciones de terceros
Canal de notificación:
- Email: security@legithealth.com
- Teléfono emergencias: +34 XXX XXX XXX (24x7 para P1/P2)
- Portal interno: https://incident.legithealth.com
- Slack: #security-incidents
Información mínima requerida:
- Fecha y hora de detección
- Sistemas afectados
- Tipo de incidente sospechado
- Impacto observado
- Acciones tomadas
- Datos de contacto del notificador
5.2 Fase 2: Evaluación y clasificación
Proceso de triaje (máx. 30 minutos):
-
Verificación inicial
- Confirmar que es un incidente real (no falso positivo)
- Identificar sistemas y datos afectados
- Evaluar el alcance inicial
-
Clasificación
- Asignar severidad (P1-P4)
- Determinar tipo de incidente
- Evaluar impacto en el dispositivo médico
-
Activación del equipo
- Notificar al equipo de respuesta apropiado
- Escalar según matriz de severidad
- Iniciar registro en T-024-011
Equipo de respuesta a incidentes (IRT):
- Líder de incidente: Coordina la respuesta
- Analista de seguridad: Investigación técnica
- Administrador de sistemas: Acciones técnicas
- Legal/Compliance: Requisitos regulatorios
- Comunicaciones: Gestión de notificaciones
- Clinical Affairs: Para incidentes que afecten funciones clínicas
5.3 Fase 3: Contención
Contención inmediata:
- Aislamiento de sistemas comprometidos
- Bloqueo de cuentas sospechosas
- Restricción de acceso a la red
- Preservación de evidencias forenses
Contención a corto plazo:
- Parcheo de vulnerabilidades explotadas
- Cambio de credenciales afectadas
- Implementación de reglas de firewall temporales
- Backup de sistemas antes de cambios
Contención a largo plazo:
- Rebuild de sistemas comprometidos
- Segmentación de red adicional
- Implementación de controles permanentes
- Monitorización intensificada
5.4 Fase 4: Erradicación
Actividades de erradicación:
- Identificación de causa raíz
- Eliminación de malware y backdoors
- Cierre de vulnerabilidades explotadas
- Eliminación de cuentas comprometidas
- Limpieza de artefactos maliciosos
Verificación de erradicación:
- Análisis forense completo
- Scanning de vulnerabilidades
- Revisión de logs para confirmar limpieza
- Validación con herramientas especializadas
5.5 Fase 5: Recuperación
Plan de recuperación:
- Restauración de servicios por prioridad
- Verificación de integridad de datos
- Reactivación gradual de accesos
- Monitorización intensiva post-recuperación
Criterios de recuperación completa:
- Todos los servicios operativos
- Sin evidencia de persistencia del atacante
- Controles de seguridad mejorados implementados
- Métricas de rendimiento normalizadas
5.6 Fase 6: Lecciones aprendidas
Análisis post-incidente (dentro de 5 días):
- Cronología completa del incidente
- Efectividad de la respuesta
- Gaps identificados en controles
- Mejoras recomendadas
- Actualización de procedimientos
Informe final (T-024-010):
- Resumen ejecutivo
- Detalles técnicos
- Impacto y pérdidas
- Acciones tomadas
- Recomendaciones
- Métricas de respuesta
Notificaciones regulatorias
6.1 NIS2 (Entidad importante)
Notificación temprana (24 horas):
- Al CSIRT nacional
- Información básica del incidente
- Medidas iniciales tomadas
Notificación intermedia (72 horas):
- Evaluación de impacto
- Indicadores de compromiso
- Medidas de mitigación
Informe final (1 mes):
- Análisis detallado
- Causa raíz
- Medidas correctivas implementadas
6.2 RGPD (Brecha de datos personales)
A la AEPD (72 horas):
- Naturaleza de la brecha
- Categorías de datos afectados
- Número aproximado de afectados
- Medidas adoptadas
A los afectados (sin dilación indebida):
- Si existe alto riesgo para sus derechos
- Lenguaje claro y sencillo
- Recomendaciones de protección
6.3 Dispositivo médico (vigilancia)
A la AEMPS:
- Incidentes con impacto en seguridad del paciente
- Según procedimiento de vigilancia post-comercialización
- Timeline según MDR
Herramientas y recursos
7.1 Herramientas técnicas
Detección y análisis:
- AWS CloudTrail y GuardDuty
- Google Workspace Alert Center
- Elastic SIEM
- Wireshark para análisis de red
Respuesta y forense:
- Volatility (memoria)
- Autopsy (disco)
- YARA rules
- Isolation tools
7.2 Recursos externos
- INCIBE-CERT: Soporte nacional
- CCN-CERT: Para ENS
- Proveedores críticos: AWS Support, Google Support
- Forense externo: [Proveedor contratado]
Métricas e indicadores
KPIs de gestión de incidentes
| Métrica | Objetivo | Medición |
|---|---|---|
| MTTD (Mean Time To Detect) | < 1 hora para P1/P2 | Mensual |
| MTTR (Mean Time To Respond) | < 15 min para P1 | Por incidente |
| MTTC (Mean Time To Contain) | < 2 horas para P1 | Por incidente |
| Tasa de recurrencia | < 5% | Trimestral |
| Incidentes sin causa raíz | < 10% | Mensual |
| Cumplimiento SLA notificación | 100% | Por incidente |
Dashboard de incidentes
- Tiempo real: Estado actual de incidentes activos
- Tendencias: Evolución mensual por tipo y severidad
- Análisis: Vectores de ataque más comunes
- Mejoras: Efectividad de contramedidas implementadas
Formación y simulacros
9.1 Programa de formación
Todo el personal:
- Identificación y reporte de incidentes (anual)
- Canales de notificación
- Preservación de evidencias
Equipo de respuesta:
- Procedimientos de respuesta (semestral)
- Herramientas forenses (anual)
- Gestión de crisis (anual)
- Table-top exercises (trimestral)
9.2 Simulacros
Calendario anual:
| Trimestre | Tipo de simulacro | Alcance |
|---|---|---|
| Q1 | Ransomware | Sistemas críticos |
| Q2 | Brecha de datos | RGPD compliance |
| Q3 | DDoS | Disponibilidad servicios |
| Q4 | Insider threat | Acceso privilegiado |
Documentación y evidencias
- T-024-009: Procedimiento detallado
- T-024-010: Plantilla informes
- T-024-011: Registro de todos los incidentes
- Evidencias forenses: Cadena de custodia documentada
- Comunicaciones: Archivo de notificaciones regulatorias
- Post-mortem: Informes de lecciones aprendidas
Integración con otros procesos
- GP-006 (CAPA): Para acciones correctivas derivadas
- GP-013: Marco general de ciberseguridad
- OP.EXP.8 y 9: Registro de actividades e incidentes
- OP.CONT: Activación de plan de continuidad si necesario
- MP.S.2: Protección de servicios esenciales
Revisión y mejora
- Revisión mensual: Análisis de incidentes del mes
- Revisión trimestral: Actualización de procedimientos
- Revisión anual: Evaluación completa del proceso
- Después de P1/P2: Revisión extraordinaria inmediata
Contactos de emergencia
INTERNO:
- CISO: [Nombre] - [Teléfono] - [Email]
- CTO: [Nombre] - [Teléfono] - [Email]
- DPO: [Nombre] - [Teléfono] - [Email]
- CEO: [Nombre] - [Teléfono] - [Email]
EXTERNO:
- INCIBE-CERT: 017 / incidencias@incibe-cert.es
- CCN-CERT: soc@ccn-cert.cni.es
- AEPD: 901 100 099
- AEMPS: [Contacto vigilancia]
- AWS Support: [Account ID y contacto]
- Google Support: [Account ID y contacto]
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003, JD-004
- Approver: JD-001