Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-008 Product requirements
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Software validation plan
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery and Commissioning
    • GP-030 Cyber Security Management
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • ORG Marco organizativo
      • OP Marco operacional
        • OP.PL Planificación
        • OP.ACC Control de acceso
        • OP.EXP Explotación
        • OP.EXT Servicios externos
        • OP.NUB Servicios en la nube
        • OP.CONT Continuidad del servicio
        • OP.MON Monitorización del sistema
          • OP.MON.1 Detección de intrusión
          • OP.MON.2 Sistema de métricas
          • OP.MON.3 Dashboard de KPIs y Métricas ENS
      • MP Medidas de protección
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • Grants
  • Pricing
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • OP Marco operacional
  • OP.MON Monitorización del sistema
  • OP.MON.2 Sistema de métricas

OP.MON.2 Sistema de métricas

☑️Aplicación de la medida

De acuerdo al ANEXO II, 2 Selección de medidas de seguridad, la medida de seguridad OP.MON.2 Sistema de métricas sí aplica dada la categoría de seguridad del sistema.

Documentos de referencia​

  • ISO/IEC 27000:
    • 27002:2013:
      • 12.1.3 - Capacity management
      • 16.1.7 - Collection of evidence
  • NIST SP 800-53 rev4:
    • [AU-6] Audit Review, Analysis, and Reporting
    • [SI-4] Information System Monitoring
    • [CA-7] Continuous Monitoring
  • Otras referencias:
    • FDA Cybersecurity in Medical Devices: Quality System Considerations
    • ISO 13485:2016 - Medical devices quality management systems
    • MDR Regulation (EU) 2017/745

Guía de implantación​

  1. Se establecerá un sistema de métricas que permita la monitorización de la seguridad del dominio gestionado, detectar desviaciones respecto del comportamiento esperado y realizar una estimación de la capacidad.

Incluirá al menos:

  • Definición de los parámetros e indicadores a medir
  • Herramientas de recogida, almacenamiento y análisis de métricas
  • Procedimientos de análisis y generación de informes
  • Procedimientos de gestión de desviaciones

Implementación en Legit Health Plus​

Marco de métricas para dispositivo médico​

El sistema de métricas de Legit Health Plus integra monitorización técnica, clínica y regulatoria para garantizar operación segura y efectiva del dispositivo médico Clase IIa.

Categorías de métricas​

Métricas de seguridad clínica​

Precisión Diagnóstica:

  • Precisión del modelo IA: >= 94.5%
  • Tasa de recall: >= 92.0%
  • Tasa de falsos positivos: <= 3.0%
  • Puntuación de correlación clínica: >= 0.85

Seguridad del Paciente:

  • Tiempo de respuesta para diagnósticos críticos: <= 2 minutos
  • Disponibilidad del sistema durante horas clínicas: >= 99.9%
  • Verificación de integridad de datos: 100%
  • Tasa de completitud de workflow clínico: >= 98%

Indicadores de Calidad:

  • Tasa de aceptación de calidad de imagen: >= 95%
  • Completitud de informes clínicos: 100%
  • Satisfacción de usuarios profesionales: >= 4.5/5
  • Correlación con resultados del paciente: Monitorizada
Métricas de ciberseguridad​

Detección de Amenazas:

  • Mean Time to Detection (MTTD): <= 5 minutos
  • Tasa de falsos positivos: <= 5%
  • Tiempo de respuesta a alertas de seguridad: <= 15 minutos
  • Cobertura de inteligencia de amenazas: >= 95%

Control de Acceso:

  • Tasa de éxito de autenticación: >= 99.5%
  • Intentos de acceso no autorizado: Monitorizados
  • Monitorización de cuentas privilegiadas: 100%
  • Tasa de detección de anomalías en sesiones: >= 90%

Protección de Datos:

  • Cobertura de cifrado: 100%
  • Incidentes de pérdida de datos: 0
  • Verificación de integridad de backups: 100%
  • Cumplimiento de retención de datos: 100%
Métricas de rendimiento del sistema​

Disponibilidad:

  • Uptime del sistema: >= 99.9%
  • Tiempo de inactividad planificado: <= 4 horas/mes
  • Recovery Time Objective (RTO): <= 30 minutos
  • Recovery Point Objective (RPO): <= 5 minutos

Rendimiento:

  • Tiempo de respuesta API: <= 2 segundos (percentil 95)
  • Tiempo de procesamiento de imágenes: <= 30 segundos
  • Rendimiento de consultas de base de datos: <= 100ms
  • Capacidad de usuarios concurrentes: >= 200

Utilización de Recursos:

  • Utilización de CPU: <= 70% (operación normal)
  • Utilización de memoria: <= 80%
  • Tasa de crecimiento de almacenamiento: Monitorizada
  • Utilización de ancho de banda de red: <= 60%

Arquitectura del sistema de métricas​

Stack de monitorización​

Recopilación de Métricas:

  • Prometheus + Node Exporter
  • Métricas de aplicación (personalizadas)
  • Colectores específicos para dispositivos médicos
  • Métricas del proveedor cloud (AWS CloudWatch)

Almacenamiento de Series Temporales:

  • Primario: Prometheus TSDB
  • Largo plazo: InfluxDB
  • Retención: 2 años (requisito regulatorio)

Visualización:

  • Dashboards de Grafana
  • Vistas específicas médicas
  • Reporting ejecutivo
  • Dashboards de cumplimiento regulatorio

Alertas:

  • Prometheus Alertmanager
  • Integración con PagerDuty
  • Escalado para emergencias médicas
  • Automatización de notificaciones regulatorias

Arquitectura de colección​

El sistema implementa un colector personalizado para métricas del dispositivo médico que recopila datos clínicos y regulatorios:

Métricas Clínicas Recopiladas:

  • Precisión del modelo IA - Obtenida del monitor del modelo
  • Tiempo de respuesta clínica - Medido desde solicitud hasta diagnóstico
  • Disponibilidad del servicio diagnóstico - Verificación de salud del servicio
  • Integridad de datos clínicos - Verificación de consistencia y validación
  • Tasa de completitud de workflows - Porcentaje de workflows finalizados correctamente

Proceso de Envío a Prometheus:

  1. Quien: Sistema automatizado de recopilación de métricas
  2. Qué: Enviar cada métrica individual a Prometheus Gateway
  3. Etiquetas aplicadas:
    • job: 'medical_device_metrics'
    • device_type: 'dermatology_ai'
    • class: 'IIa'
  4. Frecuencia: Continua

Métricas de Cumplimiento Regulatorio:

  • Score de cumplimiento MDR - Calculado basado en controles activos
  • Score de ciberseguridad FDA - Según guías FDA de dispositivos médicos
  • Completitud de audit trail - Verificación de trazabilidad completa
  • Preparación para respuesta a incidentes - Evaluación de capacidad de respuesta

Dashboards especializados​

Dashboard clínico ejecutivo​

Paneles de Resumen:

  • Tendencia de precisión diagnóstica (30 días)
  • Disponibilidad del sistema (horas clínicas)
  • Indicadores de seguridad del paciente
  • Resumen de alertas críticas

KPIs Clínicos:

  • Diagnósticos procesados diariamente
  • Puntuación media de confianza del diagnóstico
  • Tasa de adopción de usuarios profesionales
  • Seguimiento de resultados clínicos

Estado Regulatorio:

  • Estado de cumplimiento MDR
  • Cumplimiento de ciberseguridad FDA
  • Métricas de respuesta a incidentes
  • Puntuación de preparación para auditorías

Dashboard técnico operacional​

Dashboard: Legit Health Plus - Technical Operations

Paneles del Dashboard:

PanelTipoMétricas VisualizadasPropósito
System Health OverviewStat• Estado del servicio de diagnóstico
• Estado de la base de datos clínica		Visibilidad inmediata del estado de servicios críticos
API PerformanceGraph• Tiempo de respuesta percentil 95 de la API médicaMonitorización del rendimiento de API
AI Model PerformanceGraph• Precisión del modelo de dermatología
• Tiempo de inferencia del modelo		Seguimiento del rendimiento del modelo IA

Consultas Prometheus Utilizadas:

  • up{job="diagnosis-service"} - Estado del servicio de diagnóstico
  • postgresql_up{instance=~".*clinical.*"} - Estado de bases de datos clínicas
  • histogram_quantile(0.95, http_request_duration_seconds_bucket{job="medical-api"}) - Latencia P95 de API
  • ai_model_accuracy_score{model_type="dermatology"} - Precisión actual del modelo
  • ai_inference_time_seconds{model_type="dermatology"} - Tiempo de inferencia

Alertas y umbrales críticos​

Configuración de alertas médicas​

Alertas Críticas Médicas:

AlertaCondiciónDuraciónSeveridadEscalado
Diagnostic System DownServicio de diagnóstico caído1 minutoCRÍTICA• Inmediato: CTO, CMO
• 5 min: CEO, Board
• 15 min: Preparación notificación regulatoria
AI Model Accuracy DegradationPrecisión del modelo < 92%5 minutosCRÍTICA• Inmediato: Líder equipo IA, CMO
• 10 min: Clinical Safety Officer
• 30 min: Procedimiento de rollback
Clinical Data Integrity IssueIntegridad de datos clínicos < 100%InmediatoCRÍTICA• Inmediato: CTO, CMO, Legal
• 1 min: Administrador BD
• 5 min: Recopilación forense
Patient Safety AlertTiempo de respuesta diagnóstico crítico > 2 min1 minutoALTA• Inmediato: CMO, Equipo clínico
• 5 min: Equipo de rendimiento

Script de respuesta automática​

El sistema de respuesta automática gestiona alertas críticas médicas mediante acciones predefinidas:

Canales de Notificación Configurados:

  • Slack (canal de alertas médicas)
  • PagerDuty (escalado de incidentes)
  • SMS (notificaciones críticas)

Procedimientos de Respuesta Automatizada por Tipo de Alerta:

DiagnosticSystemDown:

  1. Activar sistema de failover - Conmutar a sistema de respaldo
  2. Notificar equipos clínicos - Alertar sobre degradación de servicio
  3. Preparar comunicación a pacientes - Elaborar mensaje de estado
  4. Iniciar respuesta técnica - Activar equipo técnico de emergencia

AIModelAccuracyDegradation:

  1. Rollback del modelo IA - Revertir a versión anterior estable
  2. Notificar Clinical Safety Officer - Alerta inmediata sobre degradación
  3. Preservar estado del modelo - Capturar estado para análisis
  4. Activar proceso de revisión manual - Escalado a revisión humana

ClinicalDataIntegrityIssue:

  1. Aislar datos afectados - Cuarentena de datos potencialmente comprometidos
  2. Iniciar recopilación forense - Captura de evidencia para investigación
  3. Notificar Legal y Compliance - Alerta inmediata a departamentos relevantes
  4. Preparar notificación regulatoria - Iniciar proceso de notificación a autoridades

Manejo de Errores:

  • Cada acción se ejecuta de forma independiente
  • Los errores se registran con detalle (nombre de acción, estado, mensaje de error)
  • El fallo de una acción no impide la ejecución de las siguientes

Análisis predictivo y capacity planning​

Modelo predictivo para recursos​

El sistema de análisis de capacidad predice las necesidades futuras de recursos basándose en datos históricos y modelos de crecimiento:

Variables de Entrada para Predicción (horizonte de 30 días):

  • Tendencias de diagnósticos diarios históricos
  • Patrones estacionales clínicos
  • Pipeline de adopción de nuevos hospitales
  • Tendencias de eficiencia del modelo IA

Predicciones Generadas:

  • Diagnósticos diarios esperados - Volumen anticipado de diagnósticos
  • Usuarios concurrentes pico - Máxima concurrencia esperada
  • Requisitos de almacenamiento - Crecimiento previsto de datos
  • Requisitos de cómputo - Capacidad de procesamiento necesaria

Generación de Recomendaciones de Capacidad:

El sistema analiza las predicciones contra la capacidad actual y genera recomendaciones cuando:

EscenarioUmbralRecomendaciónTimeline
Usuarios concurrentes > 80% capacidadPico previsto > capacidad máxima * 0.8Escalado de servidores web (1.5x)2 semanas
Almacenamiento > 70% capacidadCrecimiento previsto > capacidad * 0.7Expansión de almacenamiento3 semanas
Cómputo > 75% capacidadDemanda prevista > capacidad * 0.75Ampliación de recursos de cómputo2 semanas

Responsables:

  • Generación de predicciones: Sistema automatizado (diario)
  • Revisión de recomendaciones: Arquitecto de sistemas (semanal)
  • Aprobación de escalado: CTO (según necesidad)

Dashboard ejecutivo de métricas ENS​

Diseño del dashboard ejecutivo​

Sección de Resumen - KPIs Primarios:

  • Puntuación de cumplimiento ENS: XX%
  • Disponibilidad de sistemas críticos: XX%
  • Incidentes de seguridad activos: XX
  • Días desde el último incidente mayor: XX

Indicadores de Estado por Marco:

  • Estado del Marco Organizativo: VERDE/AMARILLO/ROJO
  • Estado del Marco Operacional: VERDE/AMARILLO/ROJO
  • Estado de Medidas de Protección: VERDE/AMARILLO/ROJO
  • Estado de Cumplimiento Regulatorio: VERDE/AMARILLO/ROJO

Secciones Detalladas:

Marco Organizativo:

  • Cumplimiento de política de seguridad: XX%
  • Formación en seguridad del personal: XX%
  • Efectividad del proceso de autorización: XX%
  • Preparación para respuesta a incidentes: XX%

Marco Operacional:

  • Antigüedad de análisis de riesgos: XX días
  • Efectividad del control de acceso: XX%
  • Cumplimiento de gestión de cambios: XX%
  • Salud del sistema de monitorización: XX%

Medidas de Protección:

  • Puntuación de seguridad de infraestructura: XX%
  • Nivel de protección de información: XX%
  • Seguridad de comunicaciones: XX%
  • Postura de seguridad de aplicaciones: XX%

Implementación técnica del dashboard​

El dashboard ejecutivo ENS genera automáticamente resúmenes mensuales del estado de cumplimiento:

Proceso de Generación del Resumen Ejecutivo:

  1. Recopilar métricas - El sistema recopila métricas de todos los marcos ENS para el período especificado
  2. Calcular scores de cumplimiento - Se calculan puntuaciones para cada marco y una puntuación global
  3. Analizar tendencias - Se analizan tendencias de las métricas en el tiempo
  4. Compilar dashboard con las siguientes secciones:

Datos del Dashboard:

SecciónContenido
Summary• Cumplimiento ENS global
• Disponibilidad de sistemas críticos
• Incidentes activos
• Días desde último incidente mayor
Framework Status• Estado organizativo (color, score, tendencia)
• Estado operacional (color, score, tendencia)
• Estado medidas protección (color, score, tendencia)
Key Metrics• Completitud formación seguridad
• Tiempo remediación vulnerabilidades
• Tasa éxito backups
• Tiempo respuesta incidentes
AlertsTop 10 alertas críticas (título, severidad, impacto, ETA resolución, responsable)
RecommendationsTop 5 recomendaciones (prioridad, categoría, acción, esfuerzo, riesgo)

Determinación de Color de Estado:

  • VERDE: Score >= 90%
  • AMARILLO: Score >= 75% y < 90%
  • ROJO: Score < 75%

Generación de Recomendaciones Automáticas:

El sistema genera recomendaciones cuando:

  • Marco organizativo < 80%: "Reforzar políticas de seguridad y programas de formación" (2-4 semanas)
  • Marco operacional < 75%: "Implementar mejoras en gestión de acceso y monitorización" (4-8 semanas)
  • Tendencias declinantes significativas: "Investigar y corregir tendencia descendente" (1-2 semanas)

Sistema de métricas automatizado​

Automatización de recolección de métricas​

El colector automatizado de métricas ENS recopila datos de múltiples fuentes integradas:

Fuentes de Datos Integradas:

  • Prometheus (métricas de infraestructura y aplicaciones)
  • Splunk (logs y eventos de seguridad)
  • Active Directory (gestión de identidad y acceso)
  • Nessus (escaneo de vulnerabilidades)
  • Veeam (sistema de backups)
  • FortiGate (firewall y seguridad de red)
  • CrowdStrike (protección de endpoints)

Cobertura de Recopilación por Marco ENS:

MarcoControles RecopiladosEjemplos de Métricas
OrganizativoORG.1-4Fecha aprobación política, tasa formación, excepciones activas
Operacional - PlanificaciónOP.PL.1-5Antigüedad análisis riesgos, riesgos críticos, gestión capacidad
Operacional - AccesoOP.ACC.1-7Cuentas privilegiadas, cuentas inactivas, fallos autenticación
Operacional - ExplotaciónOP.EXP.1-11Inventario activos, gestión configuración, protección malware

Métricas Específicas Recopiladas (ejemplos):

ORG.1 - Política de Seguridad:

  • Fecha de aprobación de política
  • Antigüedad de revisión (días)
  • Tasa de completitud formación en política
  • Número de excepciones activas
  • Score de cumplimiento de política

OP.PL.1 - Análisis de Riesgos:

  • Días desde último análisis de riesgos
  • Número de riesgos ALTO/CRÍTICO
  • Tasa de completitud tratamiento riesgos
  • Tasa de aceptación de riesgo residual

OP.ACC.4 - Gestión de Derechos de Acceso:

  • Total de cuentas de usuario
  • Número de cuentas privilegiadas
  • Cuentas inactivas (>90 días)
  • Tasa de completitud revisiones de acceso
  • Cuentas huérfanas
  • Cumplimiento política de contraseñas
  • Tasa de fallos autenticación (24h)

Frecuencia de Recopilación: Automática, según configuración de cada fuente (típicamente horaria o diaria)

Reportes regulatorios automatizados​

Generación automática de informes ENS​

El sistema genera automáticamente informes mensuales de cumplimiento ENS:

Proceso de Generación (mensual):

  1. Recopilar métricas - El colector automatizado obtiene todas las métricas del período (mes/año)
  2. Calcular índices de cumplimiento - Se calculan puntuaciones para cada marco ENS
  3. Identificar desviaciones - Se detectan no conformidades y desviaciones de los umbrales establecidos
  4. Compilar informe con las siguientes secciones:

Estructura del Informe Mensual ENS:

SecciónContenido
Información del InformePeríodo, fecha generación, organización, sistema, categoría ENS (MEDIO)
Resumen EjecutivoCumplimiento global, cumplimiento por marco, hallazgos críticos, acciones de mejora
Métricas DetalladasDatos completos de todas las métricas recopiladas
Análisis de CumplimientoÍndices calculados por control y marco
DesviacionesLista de no conformidades detectadas con severidad
Análisis de TendenciasEvolución temporal de métricas clave
RecomendacionesAcciones sugeridas para mejorar cumplimiento

Generación de Acciones de Mejora:

Para cada desviación CRÍTICA o ALTA identificada, el sistema genera automáticamente:

  • Prioridad: Según severidad de la desviación
  • Control afectado: ID del control ENS
  • Descripción: Detalle de la desviación
  • Acción recomendada: Remediación sugerida
  • Fecha objetivo: Calculada según severidad
  • Responsable: Asignado según el control

Las acciones se ordenan por prioridad de mayor a menor.

Distribución:

  • Formato: PDF + datos estructurados
  • Destinatarios: CISO, Compliance Officer, Auditoría
  • Frecuencia: Mensual (primer día hábil del mes)

Reporting regulatorio automatizado​

Generación automática de informes​

El generador de informes regulatorios crea reportes de cumplimiento MDR para vigilancia post-comercialización:

Reporte de Cumplimiento MDR (Mensual/Trimestral):

Identificación del Dispositivo:

  • Nombre: Legit Health Plus
  • Clase: IIa
  • UDI-DI: LH-DER-AI-2024-001

Secciones del Informe MDR:

SecciónMétricas Incluidas
Safety Performance• Disponibilidad del sistema
• Precisión diagnóstica
• Recuento de incidentes de seguridad
• Problemas reportados por usuarios
Cybersecurity Status• Incidentes de ciberseguridad
• Evaluaciones de vulnerabilidades
• Efectividad control de acceso
• Cumplimiento protección de datos
Post-Market Surveillance• Datos de rendimiento clínico
• Análisis feedback de usuarios
• Modificaciones del dispositivo

Frecuencia y Distribución:

  • Periodicidad: Mensual (interno), Trimestral (autoridades)
  • Formato: PDF estructurado según plantillas MDR
  • Destinatarios: Autoridades competentes, Organismo Notificado, management interno

Responsables:

  • Generación: Sistema automatizado
  • Revisión: Regulatory Affairs Manager
  • Aprobación: Clinical Safety Officer
  • Envío: Regulatory Affairs Manager

Integración con sistemas de calidad​

Integración con QMS​

El sistema de métricas se integra con los sistemas de gestión de calidad:

Gestión de Riesgos:

  • Actualización automática de métricas de riesgo en R-TF-013-002
  • Evaluación de riesgos en tiempo real basada en métricas del sistema
  • Integración con monitorización del modelo de amenazas

Sistema CAPA:

  • Generación automática de CAPAs cuando se violan umbrales de métricas
  • Automatización de análisis de causa raíz
  • Monitorización de efectividad de CAPAs implementadas

Control de Documentos:

  • Integración de control de versiones para líneas base de métricas
  • Workflow de control de cambios para modificaciones de umbrales
  • Proceso de aprobación para implementación de nuevas métricas

Métricas de ciberseguridad avanzadas​

Behavioral analytics​

El sistema de analítica comportamental calcula puntuaciones de riesgo de usuario basadas en patrones de actividad:

Factores de Riesgo Analizados (ventana de 24h):

FactorPesoDescripción
Anomalías en patrón de acceso30%Accesos a recursos fuera del patrón habitual del usuario
Anomalías en volumen de datos25%Volumen de datos accedidos significativamente diferente
Anomalías en patrón temporal20%Accesos en horarios inusuales para el usuario
Anomalías de localización15%Accesos desde ubicaciones geográficas no habituales
Anomalías de dispositivo10%Uso de dispositivos no reconocidos o inusuales

Cálculo de Puntuación de Riesgo:

La puntuación de riesgo se calcula como suma ponderada de los factores de riesgo detectados, resultando en:

  • user_id: Identificador del usuario
  • risk_score: Puntuación numérica (0-1)
  • risk_level: Categorización (BAJO/MEDIO/ALTO/CRÍTICO)
  • contributing_factors: Factores con puntuación > 0.7 que contribuyen al riesgo
  • recommended_actions: Acciones de mitigación sugeridas según el nivel de riesgo

Acciones Automáticas según Nivel de Riesgo:

  • CRÍTICO: Bloqueo temporal + notificación inmediata a seguridad
  • ALTO: Revisión de acceso + MFA adicional requerido
  • MEDIO: Alerta al supervisor + monitorización mejorada
  • BAJO: Registro para análisis de tendencias

Procedimientos de revisión de métricas​

Reuniones periódicas de revisión​

Calendario de Revisiones de Métricas:

FrecuenciaParticipantesDuraciónFocoEntregables
DiariaCTO, Operations Manager, Security Team Lead15 minAlertas críticas, salud del sistema, acciones inmediatasDaily security status report
SemanalExecutive team, Department heads1 horaAnálisis de tendencias, rendimiento vs objetivos, necesidades de recursosWeekly metrics dashboard, action items
MensualBoard members, C-suite, Audit committee2 horasEstado de cumplimiento, alineación estratégica, implicaciones presupuestariasMonthly compliance report, budget recommendations
TrimestralExternal auditors, Regulatory consultantsMedio díaPreparación certificación ENS, cumplimiento regulatorioQuarterly assurance report, certification roadmap

Objetivos por Tipo de Revisión:

  • Diaria: Respuesta táctica inmediata a incidentes y anomalías
  • Semanal: Gestión operacional y ajustes tácticos
  • Mensual: Gobernanza y decisiones estratégicas
  • Trimestral: Aseguramiento externo y preparación regulatoria

Procedimiento de escalado de métricas​

El gestor de escalado procesa automáticamente violaciones de umbrales de métricas:

Matriz de Escalado por Severidad:

SeveridadTimeframeDestinatarios
CRÍTICAInmediato
En 1 hora
En 4 horas		CTO, CEO
Board Chair, Audit Committee
External Auditor, Legal Counsel
ALTAInmediato
En 2 horas
En 8 horas		CTO
CEO
Department Heads
MEDIAEn 4 horas
En 24 horas		Operations Manager
CTO

Proceso de Escalado:

  1. Determinar severidad - El sistema evalúa la gravedad de la violación de umbral
  2. Obtener plan de escalado - Se consulta la matriz de escalado según severidad
  3. Generar notificaciones con la siguiente información:
    • Severidad de la violación
    • Nombre de la métrica afectada
    • Valor actual vs umbral establecido
    • Hora de la violación
    • Destinatarios según matriz
    • Hora de envío programada
    • Mensaje de escalado generado
  4. Programar envío - Las notificaciones se programan según los timeframes establecidos
  5. Enviar notificaciones - El sistema ejecuta el envío en los momentos programados

Canales de Notificación:

  • Email (todas las severidades)
  • SMS (ALTA, CRÍTICA)
  • PagerDuty (CRÍTICA)
  • Slack (MEDIA, ALTA, CRÍTICA)

KPI tracking para efectividad del cumplimiento ENS​

KPIs estratégicos de cumplimiento​

KPIs Estratégicos ENS:

Efectividad de Cumplimiento:

  • ENS Certification Readiness Score: Objetivo 95%
  • Control Implementation Completeness: Objetivo 100%
  • Control Effectiveness Rating: Objetivo 90%
  • Audit Finding Reduction Rate: Objetivo 20% interanual

Rendimiento de Seguridad:

  • Security Incident Frequency: Objetivo <2/mes
  • Mean Time to Detect (MTTD): Objetivo <1 hora
  • Mean Time to Respond (MTTR): Objetivo <4 horas
  • Security Awareness Training Completion: Objetivo 100%

Excelencia Operacional:

  • System Availability: Objetivo 99.9%
  • Backup Success Rate: Objetivo 100%
  • Change Success Rate: Objetivo 98%
  • Vulnerability Remediation Time: Objetivo <7 días

Cumplimiento Regulatorio:

  • Regulatory Notification Timeliness: Objetivo 100%
  • Documentation Currency: Objetivo 100%
  • Risk Assessment Frequency: Objetivo Trimestral
  • Control Testing Coverage: Objetivo 100%

Sistema de seguimiento de KPI​

El sistema de seguimiento de KPIs ENS evalúa el rendimiento contra objetivos de forma continua:

Proceso de Cálculo de Rendimiento (por trimestre):

  1. Recopilar datos de KPI - Para cada KPI definido, se obtiene el valor actual del período
  2. Comparar con objetivos - Se compara el valor actual contra el valor objetivo establecido
  3. Calcular rendimiento para cada KPI:
    • current_value: Valor medido en el período
    • target_value: Valor objetivo establecido
    • achievement_rate: Porcentaje de cumplimiento del objetivo
    • trend: Tendencia (IMPROVING/STABLE/DECLINING)
    • status: Estado (ON_TARGET/AT_RISK/OFF_TARGET)
    • variance: Diferencia entre valor actual y objetivo
  4. Agrupar por categoría - Los resultados se agrupan por las 4 categorías estratégicas

Dashboard de KPIs Generado:

Resumen Global:

  • Total de KPIs monitorizados
  • KPIs en objetivo (ON_TARGET)
  • KPIs en riesgo (AT_RISK)
  • KPIs fuera de objetivo (OFF_TARGET)

Rendimiento por Categoría:

Para cada categoría (Efectividad Cumplimiento, Rendimiento Seguridad, Excelencia Operacional, Cumplimiento Regulatorio):

  • Tasa de logro promedio
  • Estado de la categoría
  • Número de KPIs en la categoría

Análisis Adicional:

  • trending_kpis: KPIs con tendencias significativas (positivas o negativas)
  • action_required: KPIs que requieren atención inmediata

Frecuencia de Actualización:

  • Cálculo: Trimestral
  • Revisión ejecutiva: Trimestral
  • Monitorización continua: Diaria (alertas de desviaciones)

Referencias cruzadas​

  • OP.MON.1: Integración con sistema de detección de intrusiones
  • OP.CONT.1: Métricas de impacto para continuidad del negocio
  • R-TF-013-002: Alimentación de datos de riesgo en tiempo real
  • GP-013: Marco general de ciberseguridad
  • T-024-006: Procedimiento de monitorización y métricas
  • OP.EXT.3: Métricas de cadena de suministro integradas
  • ORG.1: Métricas de efectividad de política de seguridad
  • OP.PL.1: Métricas de análisis de riesgos actualizadas

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003, JD-004
  • Approver: JD-001
Previous
OP.MON.1 Detección de intrusión
Next
OP.MON.3 Dashboard de KPIs y Métricas ENS
  • Documentos de referencia
  • Guía de implantación
  • Implementación en Legit Health Plus
    • Marco de métricas para dispositivo médico
      • Categorías de métricas
        • Métricas de seguridad clínica
        • Métricas de ciberseguridad
        • Métricas de rendimiento del sistema
    • Arquitectura del sistema de métricas
      • Stack de monitorización
      • Arquitectura de colección
    • Dashboards especializados
      • Dashboard clínico ejecutivo
      • Dashboard técnico operacional
    • Alertas y umbrales críticos
      • Configuración de alertas médicas
      • Script de respuesta automática
    • Análisis predictivo y capacity planning
      • Modelo predictivo para recursos
    • Dashboard ejecutivo de métricas ENS
      • Diseño del dashboard ejecutivo
      • Implementación técnica del dashboard
    • Sistema de métricas automatizado
      • Automatización de recolección de métricas
    • Reportes regulatorios automatizados
      • Generación automática de informes ENS
    • Reporting regulatorio automatizado
      • Generación automática de informes
    • Integración con sistemas de calidad
      • Integración con QMS
    • Métricas de ciberseguridad avanzadas
      • Behavioral analytics
    • Procedimientos de revisión de métricas
      • Reuniones periódicas de revisión
      • Procedimiento de escalado de métricas
    • KPI tracking para efectividad del cumplimiento ENS
      • KPIs estratégicos de cumplimiento
      • Sistema de seguimiento de KPI
    • Referencias cruzadas
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI LABS GROUP S.L.)