OP.EXP.7 Gestión de incidentes
Documentos de referencia
- Real Decreto 311/2022 - Anexo II, Medida OP.EXP.7
- T-024-009 - Procedimiento de gestión de incidentes de seguridad
- T-024-010 - Plantilla de informe de incidente
- T-024-011 - Registro de incidentes de seguridad
- GP-006 - Acciones Correctivas y Preventivas (CAPA)
- GP-013 - Gestión de Ciberseguridad
- ISO/IEC 27035 - Gestión de incidentes de seguridad
- Directiva NIS2 - Artículos 20 y 23 (Notificaci�ón de incidentes)
Guía de implantación
Objetivo
Establecer un proceso sistemático para la detección, notificación, evaluación, respuesta y recuperación ante incidentes de seguridad que afecten a los sistemas de información de la organización, minimizando el impacto en la seguridad del dispositivo médico y garantizando el cumplimiento regulatorio.
Alcance
Este procedimiento aplica a:
- Todos los incidentes de seguridad de la información
- Incidentes que afecten al dispositivo médico
- Eventos de seguridad con impacto potencial
- Vulnerabilidades descubiertas internamente o reportadas
- Brechas de datos personales (RGPD)
- Incidentes reportables según NIS2
Definiciones
- Evento de seguridad: Ocurrencia identificada que indica una posible brecha de seguridad o fallo de controles
- Incidente de seguridad: Evento o serie de eventos que comprometen la confidencialidad, integridad o disponibilidad
- Incidente grave: Incidente con impacto significativo según criterios NIS2
- CERT: Computer Emergency Response Team
- IOC: Indicadores de Compromiso
- RTO: Recovery Time Objective
- RPO: Recovery Point Objective
Clasificación de incidentes
Por severidad
| Nivel | Criterio | Tiempo respuesta | Escalado |
|---|---|---|---|
| Crítico (P1) | Afecta funciones clínicas críticas, datos de >1000 pacientes, indisponibilidad total | < 15 min | Inmediato a Dirección y Responsable de Seguridad |
| Alto (P2) | Afecta funciones importantes, datos de 100-1000 pacientes, degradación severa | < 1 hora | Responsable de Seguridad y responsables de área |
| Medio (P3) | Impacto limitado, datos de <100 pacientes, degradación parcial | < 4 horas | Responsable seguridad |
| Bajo (P4) | Sin impacto directo en operaciones, vulnerabilidad potencial | < 24 horas | Equipo seguridad |
Por tipo (clasificación Guía CCN-STIC 817)
Los incidentes de seguridad se clasifican según las categorías definidas en la Guía CCN-STIC 817 y la Guía Nacional de Notificación y Gestión de Ciberincidentes de INCIBE:
| Categoría Guía 817 | Descripción | Ejemplos |
|---|---|---|
| Código dañino | Malware, ransomware, virus, troyanos, gusanos | Detección de ransomware en endpoint, infección por troyano |
| Disponibilidad | Interrupción o degradación de servicios | Ataque DDoS, caída de servicio por sabotaje |
| Compromiso de la información | Acceso no autorizado, exfiltración, modificación de datos | Fuga de datos de pacientes, acceso indebido a registros clínicos |
| Fraude | Uso no autorizado de recursos, suplantación de identidad | Phishing exitoso con robo de credenciales, uso fraudulento de cuentas |
| Intrusión | Acceso no autorizado a sistemas, explotación de vulnerabilidades | Escalada de privilegios, explotación de CVE, acceso por fuerza bruta |
| Contenido abusivo | Spam, difamación, contenido ilícito | Envío masivo de spam desde cuentas comprometidas |
| Política de seguridad | Incumplimiento de normas internas | Uso de software no autorizado, compartición de credenciales |
| Otros | Incidentes no clasificables en las categorías anteriores | Anomalías no identificadas, eventos sospechosos sin categorizar |
Nivel de peligrosidad (Guía 817)
Además de la severidad operativa (P1-P4), cada incidente de seguridad recibe un nivel de peligrosidad según la Guía 817:
| Nivel de peligrosidad | Criterios | Notificación CCN-CERT |
|---|---|---|
| Crítica | Afecta a sistemas clasificados, exfiltración masiva de datos, APT confirmado | Obligatoria en <1 hora |
| Muy alta | Compromiso de datos personales sensibles, ransomware activo, brecha en servicio esencial | Obligatoria en <12 horas |
| Alta | Intrusión confirmada, código dañino en propagación, denegación de servicio prolongada | Obligatoria en <24 horas |
| Media | Intento de intrusión parcialmente exitoso, malware contenido, vulnerabilidad explotada | Recomendada en <48 horas |
| Baja | Escaneos de red, intentos fallidos de autenticación, spam | Opcional |
Gestión de evidencias de seguridad
Ante cualquier incidente de seguridad clasificado como peligrosidad Alta o superior, se deben preservar las siguientes evidencias:
- Logs de los sistemas afectados (CloudTrail, CloudWatch, Wazuh)
- Capturas de red relevantes
- Imágenes forenses de sistemas comprometidos
- Registros de acceso y autenticación
- Comunicaciones relacionadas con el incidente
- Timeline completo de eventos
Las evidencias se almacenan de forma segura y con cadena de custodia documentada, siguiendo los procedimientos de GP-006 (CAPA).
Integración con el procedimiento de CAPA (GP-006)
Los incidentes de seguridad se gestionan dentro del mismo sistema de CAPA de la organización, añadiendo los campos de clasificación de seguridad de la Guía 817. Para cada incidente de seguridad que genere una CAPA:
- Se registra la clasificación Guía 817 (tipo + peligrosidad) como campos adicionales del registro de CAPA.
- Se mantienen separadas las clasificaciones de calidad (propias del QMS) y las de seguridad (Guía 817), evitando confusiones entre ambos marcos.
- Se evalúa si procede notificación al CCN-CERT según el nivel de peligrosidad.
- Se documenta la gestión de evidencias de seguridad junto con la documentación de la CAPA.
Proceso de gestión de incidentes
Fase 1: Detección y notificación
Fuentes de detección:
- Sistemas de monitorización (SIEM, IDS/IPS)
- Alertas de seguridad automatizadas
- Reportes de usuarios
- Auditorías y análisis de logs
- Threat intelligence externa
- Notificaciones de terceros
Canal de notificación:
- Email: [dirección de correo del equipo de seguridad]
- Teléfono emergencias: [teléfono 24x7 para P1/P2]
- Portal interno: [URL del portal de incidentes]
- Canal de comunicación interno: [canal dedicado de seguridad]
Información mínima requerida:
- Fecha y hora de detección
- Sistemas afectados
- Tipo de incidente sospechado
- Impacto observado
- Acciones tomadas
- Datos de contacto del notificador
Fase 2: Evaluación y clasificación
Proceso de triaje (máx. 30 minutos):
- Verificación inicial
- Confirmar que es un incidente real (no falso positivo)
- Identificar sistemas y datos afectados
- Evaluar el alcance inicial
- Clasificación
- Asignar severidad (P1-P4)
- Determinar tipo de incidente
- Evaluar impacto en el dispositivo médico
- Activación del equipo
- Notificar al equipo de respuesta apropiado
- Escalar según matriz de severidad
- Iniciar registro en T-024-011
Equipo de respuesta a incidentes (IRT):
- Líder de incidente: Coordina la respuesta
- Analista de seguridad: Investigación técnica
- Administrador de sistemas: Acciones técnicas
- Legal/Compliance: Requisitos regulatorios
- Comunicaciones: Gestión de notificaciones
- Clinical Affairs: Para incidentes que afecten funciones clínicas
Fase 3: Contención
Contención inmediata:
- Aislamiento de sistemas comprometidos
- Bloqueo de cuentas sospechosas
- Restricción de acceso a la red
- Preservación de evidencias forenses
Contención a corto plazo:
- Parcheo de vulnerabilidades explotadas
- Cambio de credenciales afectadas
- Implementación de reglas de firewall temporales
- Backup de sistemas antes de cambios
Contención a largo plazo:
- Rebuild de sistemas comprometidos
- Segmentación de red adicional
- Implementación de controles permanentes
- Monitorización intensificada
Fase 4: Erradicación
Actividades de erradicación:
- Identificación de causa raíz
- Eliminación de malware y backdoors
- Cierre de vulnerabilidades explotadas
- Eliminación de cuentas comprometidas
- Limpieza de artefactos maliciosos
Verificación de erradicación:
- Análisis forense completo
- Scanning de vulnerabilidades
- Revisión de logs para confirmar limpieza
- Validación con herramientas especializadas
Fase 5: Recuperación
Plan de recuperación:
- Restauración de servicios por prioridad
- Verificación de integridad de datos
- Reactivación gradual de accesos
- Monitorización intensiva post-recuperación
Criterios de recuperación completa:
- Todos los servicios operativos
- Sin evidencia de persistencia del atacante
- Controles de seguridad mejorados implementados
- Métricas de rendimiento normalizadas
Fase 6: Lecciones aprendidas
Análisis post-incidente (dentro de 5 días):
- Cronología completa del incidente
- Efectividad de la respuesta
- Gaps identificados en controles
- Mejoras recomendadas
- Actualización de procedimientos
Informe final (T-024-010):
- Resumen ejecutivo
- Detalles técnicos
- Impacto y pérdidas
- Acciones tomadas
- Recomendaciones
- Métricas de respuesta
Notificaciones regulatorias
NIS2 (Entidad importante)
Notificación temprana (24 horas):
- Al CSIRT nacional
- Información básica del incidente
- Medidas iniciales tomadas
Notificación intermedia (72 horas):
- Evaluación de impacto
- Indicadores de compromiso
- Medidas de mitigación
Informe final (1 mes):
- Análisis detallado
- Causa raíz
- Medidas correctivas implementadas
RGPD (Brecha de datos personales)
A la AEPD (72 horas):
- Naturaleza de la brecha
- Categorías de datos afectados
- Número aproximado de afectados
- Medidas adoptadas
A los afectados (sin dilación indebida):
- Si existe alto riesgo para sus derechos
- Lenguaje claro y sencillo
- Recomendaciones de protección
Dispositivo médico (vigilancia)
A la AEMPS:
- Incidentes con impacto en seguridad del paciente
- Según procedimiento de vigilancia post-comercialización
- Timeline según MDR
Herramientas y recursos
Herramientas técnicas
Detección y análisis:
- AWS CloudTrail y GuardDuty
- Google Workspace Alert Center
- Wazuh SIEM
- Wireshark para análisis de red
Respuesta y forense:
- Volatility (memoria)
- Autopsy (disco)
- YARA rules
- Isolation tools
Recursos externos
- INCIBE-CERT: Soporte nacional
- CCN-CERT: Para ENS
- Proveedores críticos: AWS Support, Google Support
- Forense externo: [Proveedor contratado]
Métricas e indicadores
KPIs de gestión de incidentes
| Métrica | Objetivo | Medición |
|---|---|---|
| MTTD (Mean Time To Detect) | < 1 hora para P1/P2 | Mensual |
| MTTR (Mean Time To Respond) | < 15 min para P1 | Por incidente |
| MTTC (Mean Time To Contain) | < 2 horas para P1 | Por incidente |
| Tasa de recurrencia | < 5% | Trimestral |
| Incidentes sin causa raíz | < 10% | Mensual |
| Cumplimiento SLA notificación | 100% | Por incidente |
Dashboard de incidentes
- Tiempo real: Estado actual de incidentes activos
- Tendencias: Evolución mensual por tipo y severidad
- Análisis: Vectores de ataque más comunes
- Mejoras: Efectividad de contramedidas implementadas
Formación y simulacros
Programa de formación
Todo el personal:
- Identificación y reporte de incidentes (anual)
- Canales de notificación
- Preservación de evidencias
Equipo de respuesta:
- Procedimientos de respuesta (semestral)
- Herramientas forenses (anual)
- Gestión de crisis (anual)
- Table-top exercises (trimestral)
Simulacros
Calendario anual:
| Trimestre | Tipo de simulacro | Alcance |
|---|---|---|
| Q1 | Ransomware | Sistemas críticos |
| Q2 | Brecha de datos | RGPD compliance |
| Q3 | DDoS | Disponibilidad servicios |
| Q4 | Insider threat | Acceso privilegiado |
Documentación y evidencias
- T-024-009: Procedimiento detallado
- T-024-010: Plantilla informes
- T-024-011: Registro de todos los incidentes
- Evidencias forenses: Cadena de custodia documentada
- Comunicaciones: Archivo de notificaciones regulatorias
- Post-mortem: Informes de lecciones aprendidas
Integración con otros procesos
- GP-006 (CAPA): Para acciones correctivas derivadas
- GP-013: Marco general de ciberseguridad
- OP.EXP.8 y 9: Registro de actividades e incidentes
- OP.CONT: Activación de plan de continuidad si necesario
- MP.S.2: Protección de servicios esenciales
Revisión y mejora
- Revisión mensual: Análisis de incidentes del mes
- Revisión trimestral: Actualización de procedimientos
- Revisión anual: Evaluación completa del proceso
- Después de P1/P2: Revisión extraordinaria inmediata
Contactos de emergencia
INTERNO:
- Responsable de Seguridad: [Nombre] - [Teléfono] - [Email]
- Responsable del Sistema: [Nombre] - [Teléfono] - [Email]
- Responsable de la Información: [Nombre] - [Teléfono] - [Email]
- Dirección: [Nombre] - [Teléfono] - [Email]
EXTERNO:
- INCIBE-CERT: 017 / incidencias@incibe-cert.es
- CCN-CERT: soc@ccn-cert.cni.es
- AEPD: 901 100 099
- AEMPS: [Contacto vigilancia]
- AWS Support: [Account ID y contacto]
- Google Support: [Account ID y contacto]
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
- Approver: JD-001 General Manager