OP.MON.3 Dashboard de KPIs y Métricas ENS
Documentos de referencia
- Real Decreto 311/2022, Esquema Nacional de Seguridad
- CCN-STIC 815: Métricas e indicadores del ENS
- CCN-STIC 824: Informe del estado de seguridad
- ISO/IEC 27004:2016 - Monitoring, measurement, analysis and evaluation
- NIST SP 800-55: Performance Measurement Guide for Information Security
Propósito
Establecer un sistema integral de indicadores clave de rendimiento (KPIs) y métricas para monitorizar el cumplimiento del ENS en sistemas de categoría MEDIA, específicamente adaptado al rol de Legit Health como proveedor de servicios de dispositivo médico Clase IIa.
Alcance
Este procedimiento aplica a todos los sistemas, procesos y controles implementados bajo el marco del ENS en Legit Health Plus, incluyendo la medición de efectividad de los tres marcos principales: Organizativo, Operacional y Medidas de Protección.
Marco de KPIs Estratégicos ENS
KPIs de Cumplimiento Global
Indicadores Principales de Cumplimiento ENS:
| Indicador | Objetivo | Frecuencia | Responsable | Fórmula/Escala |
|---|---|---|---|---|
| Puntuación Cumplimiento ENS | >= 95% | Mensual | Responsable de Seguridad | (Controles implementados / Total controles aplicables) × 100 |
| Madurez de Seguridad | Nivel 4 (Gestionado) | Trimestral | CISO | Escala 1-5: Inicial, Repetible, Definido, Gestionado, Optimizado |
| Certificación ENS Readiness | 100% | Mensual | Comité de Seguridad | Evaluación integral de preparación |
Componentes de Certificación ENS Readiness:
- Documentación completa
- Controles implementados
- Evidencias disponibles
- No conformidades resueltas
KPIs por Marco ENS
Marco Organizativo
KPIs del Marco Organizativo ENS:
| Control ENS | Indicador | Objetivo | Medición |
|---|---|---|---|
| ORG.1 | Conocimiento de la política | >= 95% | Encuestas trimestrales |
| ORG.2 | Actualización normativa | 100% documentos actualizados | Revisión mensual |
| ORG.3 | Cumplimiento de procedimientos | >= 98% | Auditorías internas |
| ORG.4 | Autorizaciones documentadas | 100% | Revisión continua |
Marco Operacional
KPIs del Marco Operacional ENS:
Planificación:
| Área | Indicador | Objetivo | Frecuencia |
|---|---|---|---|
| Análisis de Riesgos | Riesgos evaluados y tratados | 100% riesgos identificados | Trimestral |
| Arquitectura de Seguridad | Conformidad arquitectura | >= 95% | Semestral |
Control de Acceso:
| Área | Indicador | Objetivo | Umbral Crítico |
|---|---|---|---|
| Gestión de Identidades | Cuentas revisadas | 100% mensual | < 90% |
| Autenticación Fuerte | Usuarios con MFA | 100% accesos privilegiados | < 95% |
Explotación:
| Área | Indicador | Objetivo | Umbral Crítico |
|---|---|---|---|
| Gestión de Incidentes | MTTD (Mean Time To Detect) | < 1 hora | > 4 horas |
| Gestión de Cambios | Cambios exitosos | >= 98% | < 95% |
Medidas de Protección
KPIs de Medidas de Protección ENS:
Protección de la Información:
| Medida | Indicador | Objetivo | Verificación |
|---|---|---|---|
| Cifrado de Datos | Datos cifrados en reposo y tránsito | 100% | Escaneo automático mensual |
| Clasificación de Información | Activos clasificados | 100% | Inventario trimestral |
Protección de los Servicios:
| Medida | Indicador | Objetivo | Verificación |
|---|---|---|---|
| Disponibilidad | Uptime servicios críticos | >= 99.9% | Monitorización continua |
| Respaldo de Información | Backups exitosos | 100% | Pruebas mensuales de restauración |
Dashboard Ejecutivo ENS
Vista General del Dashboard
Estructura del Dashboard Ejecutivo ENS:
El dashboard está organizado en tres secciones principales que proporcionan una visión integral del cumplimiento ENS:
Sección Superior - Estado Global:
- Puntuación ENS: Porcentaje global de cumplimiento (0-100%)
- Tendencia: Indicador visual (mejorando / estable / degradando)
- Días desde último incidente: Contador de días sin incidentes críticos
- Alertas activas: Número de alertas pendientes de revisión
- Próxima auditoría: Fecha de la próxima auditoría programada
Sección Central - Marcos ENS:
Marco Organizativo:
- Puntuación del marco organizativo
- KPIs en verde (cumpliendo objetivo)
- KPIs en ámbar (cerca del umbral)
- KPIs en rojo (por debajo del umbral)
Marco Operacional:
- Puntuación del marco operacional
- Controles activos y funcionando
- Controles con desviaciones detectadas
Medidas de Protección:
- Puntuación de medidas de protección
- Medidas implementadas y operativas
- Medidas pendientes de implementación
Sección Inferior - Métricas Operativas:
Incidentes de Seguridad:
- Incidentes abiertos actualmente
- Incidentes cerrados este mes
- Tiempo medio de resolución (horas)
Vulnerabilidades:
- Distribución por criticidad (críticas, altas, medias, bajas)
Formación:
- Porcentaje de personal formado
- Próximas campañas programadas
Implementación Visual del Dashboard
Diseño del Dashboard ENS:
Cabecera:
- Logo de la organización
- Título: "ENS Dashboard - Categoría MEDIA"
- Fecha de actualización en tiempo real
- Identificación del rol del usuario
Panel de Estado Global - Widgets Principales:
Widget 1 - Medidor de Cumplimiento ENS:
- Tipo: Gauge (medidor semicircular)
- Muestra: Porcentaje de cumplimiento actual (ej: 92%)
- Objetivo: 95%
- Código de colores:
- Verde: >= 95% (objetivo alcanzado)
- Ámbar: 85-94% (cerca del objetivo)
- Rojo: < 85% (requiere atención inmediata)
Widget 2 - Contador de Días sin Incidentes:
- Tipo: Contador numérico grande
- Muestra: Días transcurridos sin incidentes críticos
- Ejemplo: "127 días"
Widget 3 - Semáforo de Estado de Certificación:
- Tipo: Indicadores tipo semáforo
- Estados visualizados:
- Documentación: VERDE
- Implementación: ÁMBAR
- Evidencias: VERDE
Panel de Tendencias - Gráficos Analíticos:
Gráfico 1 - Evolución de Cumplimiento ENS:
- Tipo: Gráfico de líneas temporal
- Período: 12 meses
- Series mostradas:
- Marco Organizativo (línea azul)
- Marco Operacional (línea verde)
- Medidas de Protección (línea naranja)
Gráfico 2 - Mapa de Calor de Controles:
- Tipo: Heatmap (mapa de calor)
- Eje X: Categorías de control ENS
- Eje Y: Nivel de madurez (1-5)
- Intensidad de color según cumplimiento
Métricas Específicas para Proveedor de Servicios
Métricas de Cadena de Suministro
Sistema de Medición de KPIs para Rol de Proveedor de Servicios:
La organización mide sistemáticamente su rendimiento como proveedor de servicios médicos a través de tres categorías principales de métricas:
Cumplimiento de SLA (Acuerdo de Nivel de Servicio):
| Métrica | Descripción | Medición |
|---|---|---|
| Disponibilidad del servicio | Uptime medido vs comprometido en SLA | Monitorización continua |
| Tiempo de respuesta | Latencia del sistema vs objetivos de SLA | Medición por transacción |
| Resolución de incidentes | Tiempo medio de resolución vs compromisos de SLA | Por ticket cerrado |
Seguridad del Servicio:
| Métrica | Descripción | Medición |
|---|---|---|
| Vulnerabilidades comunicadas | Número de vulnerabilidades reportadas a clientes | Conteo mensual |
| Tiempo medio de parcheado | Días desde identificación hasta aplicación de parche | Media mensual |
| Incidentes de seguridad | Incidentes de seguridad que afectan al servicio | Registro continuo |
Conformidad Contractual:
| Métrica | Descripción | Medición |
|---|---|---|
| Auditorías permitidas | Cumplimiento de requisitos de auditoría de clientes | Por auditoría realizada |
| Reportes entregados | Reportes de cumplimiento entregados en plazo | Mensual (100% objetivo) |
| Certificaciones vigentes | Estado de certificaciones requeridas (ISO, ENS, etc.) | Verificación continua |
Métricas de Interfaz con Clientes
Métricas de Transparencia en Seguridad:
| Métrica | Objetivo | Medición |
|---|---|---|
| Notificación de incidentes | < 4 horas desde detección | Tiempo desde detección hasta notificación |
| Reportes de cumplimiento | 100% entregados en plazo | Entrega mensual puntual |
| Acceso a evidencias | Portal disponible 24/7 | Disponibilidad del portal de cliente |
Métricas de Gestión de Requisitos del Cliente:
| Métrica | Objetivo | Medición |
|---|---|---|
| Requisitos de seguridad evaluados | 100% evaluados en 48h | Tiempo de respuesta a requisitos nuevos |
| Cambios implementados | >= 95% en plazo acordado | Cumplimiento de timeline de cambios |
Sistema de Alertas y Umbrales
Matriz de Umbrales y Escalado
Nivel CRÍTICO:
Condiciones de Activación:
- Cumplimiento ENS < 80%
- Incidente de seguridad crítico detectado
- Disponibilidad del servicio < 95%
- Brecha de datos confirmada
Escalado de Comunicaciones:
| Tiempo | Personas Notificadas |
|---|---|
| Inmediato | CEO, CISO, Responsable ENS |
| 15 minutos | Comité de Crisis, Legal |
| 1 hora | Cliente afectado, CCN-CERT |
Acciones Requeridas:
- Activar protocolo de crisis
- Preservar evidencias forenses
- Notificar autoridades competentes
- Comunicación a clientes afectados
Nivel ALTO:
Condiciones de Activación:
- Cumplimiento ENS entre 80% y 90%
- Vulnerabilidad crítica sin parchear > 7 días
- Formación en seguridad < 80%
Escalado de Comunicaciones:
| Tiempo | Personas Notificadas |
|---|---|
| Inmediato | CISO, Responsable ENS |
| 1 hora | CTO, Jefes de Departamento |
| 4 horas | Comité de Seguridad |
Nivel MEDIO:
Condiciones de Activación:
- Cumplimiento ENS entre 90% y 95%
- Métricas desviadas > 10%
- Auditorías pendientes > 0
Escalado de Comunicaciones:
| Tiempo | Personas Notificadas |
|---|---|
| 4 horas | Responsable ENS |
| 24 horas | Equipo de Seguridad |
Automatización de Respuestas
Sistema de Respuesta Automática a Alertas de KPIs:
El sistema procesa automáticamente las alertas de KPIs y ejecuta respuestas según la severidad detectada.
Acciones Automáticas Disponibles:
- Bloqueo de cuenta comprometida
- Aislamiento de sistema infectado
- Rollback de cambio fallido
- Activación de sistema de respaldo
Flujo de Procesamiento de Alertas:
Para Alertas de Nivel CRÍTICO:
-
Respuesta Inmediata Automática:
- Ejecutar protocolo de crisis automático
- Notificar escalado crítico a personal designado
-
Preservación de Evidencias:
- Preservar estado actual del sistema
- Iniciar grabación forense de eventos
- Capturar logs y métricas del momento del incidente
Para Alertas de Nivel ALTO:
- Contención Automática:
- Aplicar medidas de contención predefinidas
- Notificar al equipo de seguridad inmediatamente
Registro de Auditoría:
- Todos los eventos se registran en blockchain para garantizar inmutabilidad
- Se genera informe automático de respuesta para cada alerta procesada
- Trazabilidad completa de acciones automáticas ejecutadas
Reporting y Visualización
Informes Automatizados
Sistema de Informes Periódicos ENS:
Informe Diario - "ENS Daily Status Report":
- Generación: Diariamente a las 08:00
- Destinatarios: Responsable ENS, Equipo de Operaciones
- Contenido:
- Estado de sistemas críticos
- Incidentes de las últimas 24 horas
- KPIs fuera de umbral
- Acciones pendientes
Informe Semanal - "ENS Weekly Performance Report":
- Generación: Lunes de cada semana
- Destinatarios: CISO, CTO, Jefes de Departamento
- Contenido:
- Tendencias de KPIs semanales
- Análisis de incidentes de la semana
- Progreso de planes de acción
- Próximas actividades planificadas
Informe Mensual - "ENS Compliance Report":
- Generación: Día 5 de cada mes
- Destinatarios: CEO, Comité de Dirección, Auditoría Interna
- Contenido:
- Puntuación de cumplimiento ENS del mes
- Estado de certificación
- Análisis actualizado de riesgos
- Recomendaciones de mejora
- Comparativa con mes anterior
Portal de Métricas Web
Estructura del Portal Web de Métricas ENS:
El portal web proporciona acceso en tiempo real a todas las métricas de cumplimiento ENS a través de una interfaz responsive.
Sección Header - Tarjetas de KPIs Principales:
Tarjeta 1 - Cumplimiento ENS:
- Valor principal: Porcentaje de cumplimiento (ej: 92%)
- Indicador de tendencia: Flecha con variación (↑ 2%)
- Código de color según nivel crítico
Tarjeta 2 - Incidentes Activos:
- Número de incidentes abiertos (ej: 2)
- Estado visual: Verde (OK), Ámbar (MEDIO), Rojo (CRÍTICO)
Tarjeta 3 - Disponibilidad:
- Porcentaje de disponibilidad del servicio (ej: 99.95%)
- Indicador de estado visual
Sección Principal - Gráficos Analíticos:
Gráfico 1 - Tendencia de Cumplimiento ENS:
- Visualización temporal de evolución del cumplimiento
- Gráfico interactivo con zoom y filtros
Gráfico 2 - Incidentes de Seguridad:
- Distribución y evolución de incidentes de seguridad
- Desglose por criticidad
Sección Tabla - Estado de Controles ENS:
Tabla interactiva con las siguientes columnas:
- Control ENS (identificador)
- Estado (cumple / no cumple / parcial)
- Última revisión (fecha)
- Responsable (persona asignada)
- Acciones (botones para revisar/actualizar)
Integración con Herramientas
Stack Tecnológico de Monitorización
Herramientas de Recolección de Métricas:
| Herramienta | Función | Datos Recolectados |
|---|---|---|
| Prometheus | Base de datos time-series | Sistema operativo, aplicaciones, infraestructura |
| Elasticsearch | Almacenamiento de logs | Logs de seguridad, eventos de auditoría, accesos |
Herramientas de Visualización:
| Herramienta | Función | Paneles/Dashboards |
|---|---|---|
| Grafana | Dashboards interactivos | ENS Compliance Overview, Security Operations, Risk Management |
| Kibana | Análisis de logs | Security Events, Access Analytics, Threat Detection |
Herramientas de Alertas:
| Herramienta | Función | Integraciones |
|---|---|---|
| AlertManager | Gestión de alertas | Email, Slack, PagerDuty, ServiceNow |
APIs de Integración
API REST para Consulta de Métricas ENS:
La organización proporciona una API REST que permite a sistemas internos y autorizados consultar métricas de cumplimiento ENS en tiempo real.
Endpoints Disponibles:
1. Endpoint de Puntuación de Cumplimiento:
- Ruta:
/api/v1/ens/compliance - Método: GET
- Función: Obtener puntuación global de cumplimiento ENS
- Respuesta incluye:
- Puntuación calculada (0-100%)
- Timestamp de la consulta
- Desglose por marcos:
- Marco Organizativo (ej: 95%)
- Marco Operacional (ej: 92%)
- Medidas de Protección (ej: 89%)
2. Endpoint de KPIs Completos:
- Ruta:
/api/v1/ens/kpis - Método: GET
- Función: Obtener todos los KPIs monitorizados
- Respuesta incluye:
- Colección completa de KPIs actuales
- Estado de umbrales (verde/ámbar/rojo)
- Alertas activas
3. Endpoint de Datos del Dashboard:
- Ruta:
/api/v1/ens/dashboard - Método: GET
- Función: Obtener datos consolidados para visualización en dashboard
- Respuesta incluye:
- Resumen ejecutivo
- Datos preparados para gráficos
- Datos de tablas de controles
Procedimiento de Revisión de KPIs
Calendario de Revisión
Revisión Diaria:
- Horario: 09:00
- Duración: 30 minutos
- Participantes: Responsable de Operaciones, Equipo SOC
- Agenda:
- KPIs críticos del día anterior
- Incidentes nocturnos
- Sistemas fuera de umbral
- Acciones inmediatas requeridas
Revisión Semanal:
- Día: Miércoles
- Horario: 11:00
- Duración: 1 hora
- Participantes: CISO, Responsable ENS, Jefes de Área
- Agenda:
- Análisis de tendencias semanales
- Cumplimiento de objetivos
- Revisión de planes de acción
- Identificación de recursos necesarios
Revisión Mensual:
- Día: Primer martes del mes
- Horario: 10:00
- Duración: 2 horas
- Participantes: Comité de Dirección, CISO, Responsable ENS, Auditoría Interna
- Agenda:
- Presentación de informe mensual ENS
- Análisis de tendencias a largo plazo
- Decisiones estratégicas sobre seguridad
- Aprobación de inversiones en mejoras
Proceso de Mejora Continua
Sistema de Mejora Continua de KPIs:
La organización mantiene un proceso sistemático de análisis de desviaciones y mejora continua de los KPIs de cumplimiento ENS.
Análisis de Desviaciones:
Cuando un KPI muestra desviaciones significativas (> 10% respecto al objetivo), se activa automáticamente un proceso de análisis que incluye:
Elementos del Análisis de Desviación:
- KPI actual: Valor medido
- Objetivo establecido: Valor objetivo del KPI
- Desviación calculada: Diferencia entre objetivo y valor actual
- Análisis de causa raíz: Investigación de las causas subyacentes
- Acciones correctivas: Medidas propuestas para corregir la desviación
- Responsable asignado: Persona responsable de implementar las acciones
- Fecha límite: Plazo para completar las acciones correctivas
Seguimiento de Acciones de Mejora:
El sistema realiza seguimiento continuo de todas las acciones de mejora registradas:
Proceso de Seguimiento:
- Para acciones con fecha límite vencida:
- Escalado automático al nivel superior de gestión
- Notificación al responsable y su supervisor
- Registro de incumplimiento para revisión
- Para acciones en plazo:
- Verificación periódica del progreso
- Actualización de estado de implementación
- Soporte en caso de obstáculos identificados
Objetivo: Asegurar que todas las desviaciones se analicen, documenten y corrijan sistemáticamente para mantener la mejora continua del cumplimiento ENS.
Referencias y Documentación Relacionada
- OP.MON.1: Sistema de detección de intrusión
- OP.MON.2: Sistema de métricas base
- ORG.1: Política de seguridad ENS
- CCN-STIC 815: Métricas e Indicadores en el ENS
- GP-004: Gestión de indicadores y objetivos del SGC
- R-TF-013-002: Registro de gestión de riesgos
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003, JD-004
- Approver: JD-001