Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
    • GP-001 Control of documents
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 Human Resources and Training
    • GP-006 Non-conformity, Corrective and Preventive actions
    • GP-007 Post-market surveillance
    • GP-008 Product requirements
    • GP-009 Sales
    • GP-010 Purchases and suppliers evaluation
    • GP-011 Provision of service
    • GP-012 Design, redesign and development
    • GP-013 Risk management
    • GP-014 Feedback and complaints
    • GP-015 Clinical evaluation
    • GP-016 Traceability and identification
    • GP-017 Technical assistance service
    • GP-018 Infrastructure and facilities
    • GP-019 Software validation plan
    • GP-020 QMS Data analysis
    • GP-021 Communications
    • GP-022 Document translation
    • GP-023 Change control management
    • GP-024 Predetermined Change Control Plan
    • GP-025 Usability and Human Factors Engineering
    • GP-027 Corporate Governance
    • GP-028 AI Development
    • GP-029 Software Delivery And Comissioning
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-100 Business Continuity (BCP) and Disaster Recovery plans (DRP)
    • GP-101 Information security
    • GP-200 Remote Data Acquisition in Clinical Investigations
    • GP-026 Market-specific product requirements
    • GP-110 Esquema Nacional de Seguridad
      • ORG Marco organizativo
        • ORG.1 Política de Seguridad
        • ORG.2 Normativa de Seguridad
        • ORG.3 Procedimientos Operativos de Seguridad
        • ORG.4 Proceso de Autorización
        • ORG.5 Checklist de Auditoría Interna ENS
        • Plantilla de Documento ENS
      • OP Marco operacional
      • MP Medidas de protección
      • Sin asignar
      • Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.
  • Records
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • Public tenders
  • Procedures
  • GP-110 Esquema Nacional de Seguridad
  • ORG Marco organizativo
  • ORG.3 Procedimientos Operativos de Seguridad

ORG.3 Procedimientos Operativos de Seguridad

Documentos de referencia​

  • Real Decreto 311/2022 - Anexo II, Medida ORG.3
  • Guías CCN-STIC:
    • CCN-STIC-805 - Política de Seguridad del ENS
    • CCN-STIC-821 - Normas de Seguridad del ENS
    • CCN-STIC-822 - Procedimientos Operativos de Seguridad
    • CCN-STIC-203 - Estructura y contenido de los procedimientos operativos de seguridad (POS)
  • Principios básicos del ENS (RD 311/2022):
    • Artículo 6 - Gestión de la seguridad basada en los riesgos
    • Artículo 8 - Líneas de defensa
    • Artículo 9 - Reevaluación periódica
    • Artículo 10 - Función diferenciada
  • ISO/IEC 27001:2022 - Sistema de Gestión de Seguridad de la Información
  • ISO 13485:2016 - Sistemas de gestión de calidad para dispositivos médicos
  • Serie T-024 - Procedimientos de seguridad ENS de Legit Health
  • GP-013 - Gestión de Ciberseguridad

Finalidad​

De conformidad con el artículo 14 del Real Decreto 311/2022, este documento establece los procedimientos operativos de seguridad necesarios para:

  • Implementar las medidas de seguridad contempladas en el Anexo II del ENS
  • Garantizar la operación correcta de los sistemas de información categorizados
  • Asegurar el cumplimiento de la política de seguridad de la información
  • Mantener actualizada la documentación de seguridad operacional
  • Facilitar la auditoría y certificación de conformidad ENS

Los procedimientos operativos constituyen el desarrollo práctico de las medidas de seguridad, proporcionando instrucciones detalladas para su correcta aplicación según los niveles de seguridad exigidos.

Ámbito de aplicación​

Conforme al alcance establecido en el RD 311/2022, estos procedimientos aplican a:

  • Sistemas categorizados: Todos los sistemas de información de categoría MEDIA de Legit Health
  • Personal afectado: Empleados, colaboradores y terceros con acceso a los sistemas
  • Servicios electrónicos: Dispositivo médico Legit Health Plus y servicios asociados
  • Dimensiones de seguridad: Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad
  • Entornos operacionales: Desarrollo, preproducción y producción

Estructura de los procedimientos operativos​

1. Identificación y codificación​

Siguiendo las recomendaciones de la guía CCN-STIC-822, cada procedimiento operativo de seguridad se identifica mediante:

T-024-XXX - [Denominación del Procedimiento ENS]

Donde:

  • T-024: Serie específica para procedimientos de seguridad del ENS
  • XXX: Número secuencial único (001-999)
  • Denominación: Descripción alineada con las medidas del Anexo II del RD 311/2022

2. Estructura normalizada según CCN-STIC-203​

Conforme a la guía CCN-STIC-203, todos los POS deben contener:

2.1 Información de control​

  • Identificador único: Código T-024-XXX
  • Versión: Control de versiones según ISO 9001
  • Estado: Borrador, En revisión, Aprobado, Obsoleto
  • Fecha de entrada en vigor: DD/MM/AAAA
  • Periodo de revisión: Anual o tras cambios significativos
  • Responsable del documento: Responsable de Seguridad
  • Aprobación: Comité de Seguridad de la Información

2.2 Objeto y campo de aplicación​

  • Medida ENS asociada: Referencia al Anexo II del RD 311/2022
  • Categoría del sistema: MEDIA con dimensiones elevadas
  • Servicios afectados: Identificación específica
  • Activos involucrados: Según inventario actualizado

2.3 Marco normativo​

  • Legislación aplicable: RD 311/2022, RGPD, NIS2
  • Guías CCN-STIC: Referencias específicas aplicables
  • Normas técnicas: ISO 27001, ISO 13485 (dispositivo médico)
  • Documentación interna: Política de seguridad, normas, guías

2.4 Términos y definiciones ENS​

  • Vocabulario ENS: Según glosario CCN-STIC-401
  • Acrónimos específicos: CCN, ENS, SGSI, etc.
  • Definiciones operacionales: Propias del procedimiento

2.5 Roles y responsabilidades (Modelo ENS)​

  • Responsable de la Información: Propietario del dato
  • Responsable del Servicio: Gestor del servicio electrónico
  • Responsable de Seguridad: Coordinación y supervisión
  • Responsable del Sistema: Operación y mantenimiento
  • Administrador de Seguridad: Implementación técnica

2.6 Descripción del procedimiento​

  • Diagrama de flujo: Representación gráfica del proceso
  • Actividades detalladas: Paso a paso con puntos de control
  • Interfaces: Con otros procedimientos y sistemas
  • Condiciones de activación: Eventos que inician el procedimiento

2.7 Registros de actividad y trazabilidad​

  • Registros obligatorios ENS: Según artículo 18 RD 311/2022
  • Formato de registro: Estructura y campos mínimos
  • Periodo de conservación: Mínimo 5 años (art. 18.3)
  • Protección de registros: Medida MP.INFO.9

2.8 Indicadores y métricas ENS​

  • Indicadores de cumplimiento: Grado de aplicación
  • Métricas de efectividad: Resultados obtenidos
  • Umbrales de conformidad: Valores mínimos aceptables
  • Reporting al CCN-CERT: Según requisitos LUCIA/INES

2.9 Gestión de excepciones​

  • Proceso de autorización: Según ORG.4
  • Registro de excepciones: Documentación y justificación
  • Medidas compensatorias: Controles alternativos
  • Revisión periódica: Validación de excepciones vigentes

Catálogo de procedimientos operativos ENS​

Marco Organizativo (ORG) - Serie T-024-001 a T-024-020​

CódigoProcedimientoMedida ENSEstadoRevisión
T-024-001Política de seguridad de la informaciónORG.1Activo2024-10
T-024-002Normativa de seguridadORG.2Activo2024-10
T-024-003Procedimientos operativos de seguridadORG.3Activo2024-11
T-024-004Proceso de autorizaciónORG.4Activo2024-11

Marco Operacional - Planificación (OP.PL) - Serie T-024-021 a T-024-030​

CódigoProcedimientoMedida ENSEstadoRevisión
T-024-021Análisis y gestión de riesgosOP.PL.1Activo2024-10
T-024-022Arquitectura de seguridadOP.PL.2Activo2024-09
T-024-023Adquisición de nuevos componentesOP.PL.3Activo2024-10
T-024-024Dimensionamiento y gestión capacidadOP.PL.4Activo2024-11
T-024-025Componentes certificadosOP.PL.5Activo2024-08

Marco Operacional - Control de Acceso (OP.ACC) - Serie T-024-031 a T-024-040​

CódigoProcedimientoMedida ENSEstadoRevisión
T-024-031IdentificaciónOP.ACC.1Activo2024-10
T-024-032Requisitos de accesoOP.ACC.2Activo2024-10
T-024-033Segregación de funciones y tareasOP.ACC.3Activo2024-09
T-024-034Proceso gestión derechos de accesoOP.ACC.4Activo2024-11
T-024-035Mecanismo de autenticación (MFA)OP.ACC.5Activo2024-10
T-024-036Acceso local (consola)OP.ACC.6Activo2024-09
T-024-037Acceso remotoOP.ACC.7Activo2024-10

Marco Operacional - Explotación (OP.EXP) - Serie T-024-041 a T-024-060​

CódigoProcedimientoMedida ENSEstadoRevisión
T-024-041Inventario de activosOP.EXP.1Activo2024-10
T-024-042Configuración de seguridadOP.EXP.2Activo2024-11
T-024-043Gestión de la configuraciónOP.EXP.3Activo2024-09
T-024-044MantenimientoOP.EXP.4Activo2024-10
T-024-045Gestión de cambiosOP.EXP.5Activo2024-11
T-024-046Protección frente a código dañinoOP.EXP.6Activo2024-10
T-024-009Gestión de incidentesOP.EXP.7Activo2024-11
T-024-047Registro de actividad de usuariosOP.EXP.8Activo2024-10
T-024-048Registro de gestión de incidentesOP.EXP.9Activo2024-11
T-024-049Protección de registros de actividadOP.EXP.10Activo2024-09
T-024-050Protección de claves criptográficasOP.EXP.11Activo2024-10

Marco Operacional - Servicios Externos (OP.EXT) - Serie T-024-061 a T-024-070​

CódigoProcedimientoMedida ENSEstadoRevisión
T-024-061Contratación y acuerdos nivel servicioOP.EXT.1Activo2024-09
T-024-062Gestión diariaOP.EXT.2Activo2024-10
T-024-063Protección cadena de suministroOP.EXT.3Activo2024-08

Marco Operacional - Continuidad (OP.CONT) - Serie T-024-071 a T-024-080​

CódigoProcedimientoMedida ENSEstadoRevisión
T-024-071Análisis de impactoOP.CONT.1Activo2024-10
T-024-072Plan de continuidadOP.CONT.2Activo2024-09
T-024-073Pruebas periódicasOP.CONT.3Activo2024-11
T-024-074Medios alternativosOP.CONT.4Activo2024-10

Marco Operacional - Monitorización (OP.MON) - Serie T-024-081 a T-024-090​

CódigoProcedimientoMedida ENSEstadoRevisión
T-024-081Detección de intrusiónOP.MON.1Activo2024-10
T-024-082Sistema de métricasOP.MON.2Activo2024-11

Ciclo de vida de los procedimientos ENS​

1. Elaboración y aprobación (Artículo 14 RD 311/2022)​

1.1 Iniciación​

  • Identificación de necesidad: Nueva medida ENS o cambio normativo
  • Asignación de responsable: Designación según competencias técnicas
  • Análisis de impacto: Evaluación sobre sistemas categorizados
  • Definición de alcance: Servicios y activos afectados

1.2 Desarrollo​

  • Redacción: Según plantilla CCN-STIC-203
  • Validación técnica: Conformidad con medidas Anexo II
  • Consulta stakeholders: Áreas afectadas y usuarios finales
  • Revisión jurídica: Cumplimiento normativo (RGPD, NIS2, MDR)

1.3 Aprobación formal​

  • Revisión Responsable de Seguridad: Validación técnica ENS
  • Dictamen Comité de Seguridad: Alineación con política
  • Aprobación Dirección: Compromiso organizacional
  • Registro oficial: Entrada en catálogo de POS

2. Implantación efectiva​

2.1 Comunicación y difusión​

  • Notificación obligatoria: Todo personal con rol asignado
  • Publicación sistema documental: Acceso controlado por roles
  • Actualización inventario ENS: Registro de medidas implementadas
  • Comunicación al CCN-CERT: Si procede según categoría

2.2 Formación y capacitación​

  • Formación obligatoria ENS: Personal con funciones de seguridad
  • Sesiones específicas: Por roles y responsabilidades
  • Material didáctico: Guías rápidas y casos prácticos
  • Evaluación competencias: Test de conocimiento ENS

2.3 Puesta en operación​

  • Periodo de implantación: Máximo 30 días desde aprobación
  • Fase piloto: Para procedimientos críticos
  • Soporte reforzado: Primera semana de operación
  • Registro de incidencias: Problemas de implementación

3. Mantenimiento y actualización (Artículo 9 RD 311/2022)​

3.1 Revisión periódica obligatoria​

  • Revisión anual: Todos los POS activos
  • Revisión extraordinaria:
    • Tras incidente grave (NIS2)
    • Cambio en categorización del sistema
    • Modificación del RD 311/2022
    • Nueva guía CCN-STIC aplicable

3.2 Gestión de cambios​

  • Control de versiones: Según ISO 9001
  • Trazabilidad de cambios: Registro detallado de modificaciones
  • Validación de cambios: Impacto en otras medidas ENS
  • Comunicación de cambios: A todos los afectados

3.3 Mejora continua​

  • Análisis de indicadores ENS: Efectividad de controles
  • Lecciones aprendidas: De incidentes y auditorías
  • Benchmarking CCN: Mejores prácticas del sector
  • Feedback operacional: De administradores y usuarios

4. Retirada y archivo​

4.1 Criterios de obsolescencia​

  • Medida ENS derogada: Cambio en Anexo II
  • Tecnología descontinuada: Sistema o servicio retirado
  • Consolidación de procedimientos: Optimización de POS
  • Sustitución por nuevo POS: Evolución de controles

4.2 Proceso de retirada​

  • Análisis de impacto: Evaluación de dependencias
  • Plan de transición: A nuevo procedimiento si aplica
  • Comunicación de baja: A todos los interesados
  • Actualización de referencias: En otros documentos ENS

4.3 Archivo documental​

  • Marcado como obsoleto: Con fecha de retirada
  • Archivo histórico: Conservación 5 años mínimo
  • Acceso restringido: Solo consulta para auditorías
  • Cumplimiento legal: Retención según normativa aplicable

Formación y concienciación ENS (MP.PER.4)​

Programa de formación en seguridad​

Formación inicial obligatoria​

  • Curso básico ENS: Todo el personal (4 horas)

    • Marco normativo del RD 311/2022
    • Principios básicos de seguridad
    • Roles y responsabilidades ENS
    • Procedimientos aplicables al puesto

  • Formación específica por rol:

    • Administradores de sistemas (16 horas)
    • Desarrolladores (12 horas)
    • Personal sanitario (6 horas)
    • Gestores de incidentes (20 horas)

Formación continua y actualización​

  • Actualización anual obligatoria: Cambios normativos ENS
  • Formación tras cambios: Nuevos procedimientos o modificaciones
  • Sesiones monográficas: Por categoría de medidas ENS
  • Talleres prácticos: Simulación de escenarios reales

Material didáctico ENS​

  • Guías CCN-STIC: Adaptadas al contexto sanitario
  • Quick Reference Cards: Por procedimiento crítico
  • Portal e-learning: Formación online ENS
  • Casos prácticos: Específicos del sector salud

Concienciación en seguridad (Artículo 31 RD 311/2022)​

Campañas de sensibilización​

  • Semana de la Seguridad ENS: Anual con actividades
  • Alertas de seguridad: Comunicación de amenazas actuales
  • Boletín mensual: Novedades y mejores prácticas
  • Carteles y recordatorios: En áreas de trabajo

Evaluación de competencias​

  • Test de conocimiento ENS: Obligatorio anual
  • Ejercicios prácticos: Aplicación de procedimientos
  • Evaluación 360º: Feedback de pares y supervisores
  • Certificación interna: Niveles de competencia ENS

Monitorización y cumplimiento ENS​

Indicadores clave de rendimiento (KPI) ENS​

Indicador ENSObjetivoFrecuenciaResponsableMedida ENS
% Procedimientos actualizados anualmente100%MensualRSEGORG.3
Tiempo resolución no conformidades<15 díasMensualRSEGORG.4
% Personal con formación ENS vigente100%TrimestralRRHHMP.PER.4
Nº incidentes por incumplimiento POS<3/añoMensualCISOOP.EXP.7
% Efectividad controles implementados>95%SemestralRSEGOP.MON.2
Tiempo medio actualización POS<30 díasTrimestralRSEGORG.3
% Cobertura auditoría procedimientos100%AnualAuditoríaORG.3

Auditorías de conformidad ENS (Artículo 40 RD 311/2022)​

Auditorías ordinarias​

  • Auditoría bienal completa: Sistemas categoría MEDIA (obligatoria)
  • Revisiones semestrales: Procedimientos críticos
  • Verificaciones trimestrales: Muestra aleatoria de POS
  • Inspecciones mensuales: Registros y evidencias

Auditorías extraordinarias​

  • Post-incidente grave: Inmediata tras evento NIS2
  • Cambio de categorización: Nueva evaluación completa
  • Modificación normativa: Adaptación a cambios RD 311/2022
  • Solicitud CCN-CERT: Requerimiento de autoridad competente

Proceso de auditoría ENS​

  1. Planificación: Alcance según categorización
  2. Ejecución: Verificación contra Anexo II
  3. Informe: Según formato CCN-STIC-808
  4. Plan de acción: Subsanación de deficiencias
  5. Seguimiento: Verificación de correcciones
  6. Certificación: Declaración de conformidad

Gestión de no conformidades ENS​

Clasificación de no conformidades​

NivelDescripciónPlazo resoluciónEscalado
CríticaIncumplimiento medida obligatoria48 horasDirección + CCN
MayorDeficiencia en control esencial7 díasCISO
MenorDesviación procedimiento no crítico30 díasRSEG
ObservaciónOportunidad de mejora90 díasÁrea afectada

Proceso de gestión​

  1. Identificación: Detección de incumplimiento ENS
  2. Categorización: Según impacto en seguridad
  3. Registro: En sistema de gestión CAPA (GP-006)
  4. Análisis causa raíz: Metodología 5 porqués
  5. Plan correctivo: Acciones específicas con plazos
  6. Implementación: Ejecución de medidas
  7. Verificación: Comprobación de efectividad
  8. Cierre documentado: Con evidencias de resolución

Herramientas y recursos ENS​

Sistema de gestión documental ENS​

  • Repositorio certificado: Cumple MP.INFO.4 (Calificación de la información)
  • Control de acceso: Según OP.ACC.4 (Gestión de derechos de acceso)
  • Trazabilidad completa: Registro de todas las operaciones (OP.EXP.8)
  • Backup y recuperación: Según OP.CONT.2 (Plan de continuidad)
  • Cifrado de documentos: Nivel MEDIO según MP.INFO.1

Plantillas normalizadas CCN-STIC​

  • Plantilla POS: Según CCN-STIC-203
  • Formulario de cambios: Conforme OP.EXP.5
  • Checklist de auditoría: Basado en CCN-STIC-808
  • Registro de formación: Cumple MP.PER.4
  • Informe de conformidad: Formato CCN-STIC-808

Herramientas de apoyo CCN​

  • PILAR: Análisis y gestión de riesgos (OP.PL.1)
  • LUCIA: Listado unificado de coordinación de incidentes
  • INES: Herramienta de auditoría ENS
  • CLARA: Pruebas de ciberseguridad
  • Portal CCN-CERT: Acceso a guías y actualizaciones

Automatización y gestión​

  • Workflow ENS: Aprobación según ORG.4
  • Alertas de revisión: Periodicidad según artículo 9 RD 311/2022
  • Distribución controlada: Notificación de cambios
  • Dashboard ENS: Métricas e indicadores en tiempo real
  • Integración SIEM: Correlación con eventos de seguridad

Procedimientos operativos específicos de Legit Health​

Gestión de incidentes de seguridad (T-024-009)​

Objetivo​

Establecer un procedimiento estructurado para la detección, respuesta, contención y resolución de incidentes de seguridad que puedan afectar al dispositivo médico Legit Health Plus y la infraestructura asociada.

Clasificación de incidentes ENS​

Según CCN-STIC-817, los incidentes se clasifican por impacto:

NivelDescripciónTiempo respuestaNotificación CCN-CERT
CRÍTICOCompromiso masivo de datos médicos1 horaInmediata
MUY ALTOIndisponibilidad >4h del servicio médico4 horas<24h
ALTOAcceso no autorizado a datos de salud8 horas<48h
MEDIOVulnerabilidad crítica sin explotar24 horas<72h
BAJOEventos de seguridad sin impacto72 horasMensual

Procedimiento de respuesta​

Fase 1: Detección y registro (0-30 minutos)

  1. Detección automática: SIEM, monitoring, alertas AWS
  2. Notificación manual: Staff, usuarios, terceros
  3. Registro inicial: Ticket en sistema ITSM con timestamp
  4. Clasificación preliminar: Según matriz de impacto
  5. Activación equipo: Notificación según escalado

Fase 2: Evaluación y contención (30 minutos - 4 horas)

  1. Evaluación técnica: Análisis de logs, evidencias
  2. Determinación de alcance: Sistemas afectados, datos comprometidos
  3. Contención inmediata: Aislamiento, desconexión, bloqueos
  4. Preservación evidencias: Forense básico, snapshots
  5. Comunicación inicial: A stakeholders según matriz RACI

Fase 3: Erradicación y recuperación (4-24 horas)

  1. Análisis causa raíz: Identificación del vector de ataque
  2. Eliminación amenaza: Parches, configuraciones, hardening
  3. Restauración servicios: Desde backups verificados
  4. Verificación integridad: Checksums, validación datos
  5. Monitorización reforzada: Vigilancia post-incidente

Fase 4: Actividades post-incidente (1-30 días)

  1. Informe técnico: Cronología, impacto, lecciones aprendidas
  2. Notificaciones regulatorias: AEPD (brechas datos), CCN-CERT
  3. Comunicación clientes: Si afecta a datos de pacientes
  4. Acciones correctivas: Plan de mejoras de seguridad
  5. Actualización procedimientos: Incorporar aprendizajes

Matriz de comunicación​

StakeholderCRÍTICOMUY ALTOALTOMEDIOBAJO
CEO/DirecciónInmediata1h4h24hSemanal
DPO/RSEGInmediataInmediata2h24hSemanal
Responsable SistemaInmediataInmediata1h8hMensual
Clientes hospitalarios2h4h24hNoNo
CCN-CERTInmediata24h48h72hMensual
AEPD (si datos)72h72h72hNoNo

Gestión de cambios (T-024-045)​

Objetivo​

Controlar y documentar todos los cambios en la infraestructura, aplicaciones y configuraciones que puedan afectar la seguridad del dispositivo médico.

Categorización de cambios​

TipoImpactoAprobación requeridaTestingRollback
EmergenciaCríticoRSEG + CEOMínimo15 min
Alto riesgoMayor funcionalidadCAB + RSEGCompleto1h
Medio riesgoMenor funcionalidadRSEGEstándar4h
Bajo riesgoConfiguraciónAdministradorBásico24h

Procedimiento de cambios​

Pre-cambio:

  1. Solicitud formal con RFC (Request for Change)
  2. Evaluación de impacto en seguridad y regulatorio
  3. Plan de implementación y rollback
  4. Aprobación según categoría
  5. Comunicación a stakeholders

Durante cambio:

  1. Backup completo del estado actual
  2. Implementación en ventana de mantenimiento
  3. Verificación funcional y de seguridad
  4. Monitorización en tiempo real
  5. Documentación de actividades

Post-cambio:

  1. Verificación de éxito del cambio
  2. Actualización de documentación técnica
  3. Comunicación de finalización
  4. Lecciones aprendidas
  5. Archivo de evidencias

Gestión de configuración (T-024-043)​

Objetivo​

Mantener un control riguroso de todas las configuraciones de seguridad para garantizar el cumplimiento regulatorio del dispositivo médico.

Elementos bajo control​

  • Sistemas operativos: Hardening según CIS Benchmarks
  • Aplicaciones: Configuraciones seguras por defecto
  • Red: Firewalls, IDS/IPS, segmentación
  • Base de datos: Cifrado, acceso, auditoría
  • Cloud (AWS): Security Groups, IAM, CloudTrail
  • Monitorización: SIEM, logs, alertas

Línea base de configuración​

Servidores Linux (CentOS/RHEL):

# Configuración base de seguridad
- SELinux enforcing mode
- Firewall restrictivo (mínimos puertos)
- SSH con llaves + 2FA
- Logs centralizados
- Actualizaciones automáticas de seguridad
- Fail2ban para protección brute-force
- AIDE para detección cambios

AWS Cloud:

Security_Baseline:
  IAM:
    - MFA obligatorio para todos los usuarios
    - Políticas de mínimo privilegio
    - Rotación credenciales cada 90 días
  Network:
    - VPC privada con subnets aisladas
    - Security Groups restrictivos
    - NACLs como segunda capa
  Monitoring:
    - CloudTrail en todas las regiones
    - GuardDuty para detección amenazas
    - Config para compliance
  Encryption:
    - EBS volumes cifrados
    - S3 buckets con cifrado en reposo
    - RDS con transparent encryption

Drift detection​

Herramientas automatizadas verifican desviaciones de la línea base:

  • AWS Config Rules: Para recursos cloud
  • AIDE: Para integridad de archivos
  • Nessus: Scanning de vulnerabilidades
  • Chef/Ansible: Gestión configuración
  • Custom scripts: Verificaciones específicas

Copias de seguridad (T-024-074)​

Objetivo​

Garantizar la disponibilidad y recuperabilidad de los datos críticos del dispositivo médico según los requisitos de continuidad del servicio.

Estrategia de backup​

Clasificación de datos:

TipoRTORPOMétodoFrecuenciaRetención
Datos médicos procesados4h1hSnapshot + replicaciónContinua7 años
Configuraciones sistema2h24hGit + automatizadoDiario2 años
Logs de auditoría24h24hArchivo comprimidoDiario5 años
Base de datos aplicación1h15minReplicación master-slaveContinua3 años
Código fuente1hInmediatoGit distribuidoContinuaPermanente

Implementación técnica:

Backup_Strategy:
  Database:
    - AWS RDS automated backups (35 días)
    - Snapshots manuales pre-cambios
    - Read replica en zona diferente
    - Backup cross-region para DR

  Application_Data:
    - S3 con versionado habilitado
    - Cross-Region Replication
    - Lifecycle policies
    - Glacier para archivo largo plazo

  Infrastructure:
    - AMI de instancias EC2
    - CloudFormation templates
    - Terraform state files
    - Scripts de automatización

Testing de restore:

  • Mensual: Test restauración base de datos
  • Trimestral: Simulacro completo DR
  • Anual: Ejercicio continuidad negocio
  • Post-cambio: Verificación backup específico

Gestión de usuarios (T-024-034)​

Objetivo​

Controlar el acceso a los sistemas del dispositivo médico mediante un proceso estructurado de gestión de identidades y accesos.

Ciclo de vida del usuario​

Alta de usuario:

  1. Solicitud formal con justificación de negocio
  2. Aprobación del supervisor y RSEG
  3. Creación de cuentas con perfiles mínimos
  4. Asignación de credenciales temporales
  5. Formación obligatoria en seguridad
  6. Activación tras completar formación

Gestión de accesos:

  • Principio de mínimo privilegio
  • Segregación de funciones críticas
  • MFA obligatorio para accesos administrativos
  • Revisión trimestral de permisos
  • Acceso basado en roles (RBAC)

Baja de usuario:

  1. Notificación de RR.HH. o supervisor
  2. Desactivación inmediata de cuentas
  3. Revocación de certificados/tokens
  4. Recuperación de activos físicos
  5. Transferencia de responsabilidades
  6. Documentación del proceso

Matriz de accesos​

RolSistemasNivel accesoMFARevisión
DesarrolladorCódigo, testingRead/WriteSíMensual
DevOpsInfraestructuraAdmin limitadoSíMensual
AdministradorTodos los sistemasFull adminSíQuincenal
AuditorLogs, reportingRead onlySíTrimestral
RSEGSeguridad, monitoringAdmin seguridadSíNo aplica

Monitorización (T-024-082)​

Objetivo​

Establecer un sistema integral de monitorización para detectar anomalías, incidentes de seguridad y garantizar el cumplimiento regulatorio.

Arquitectura de monitorización​

SIEM centralizado:

  • ELK Stack (Elasticsearch, Logstash, Kibana)
  • Splunk para correlación avanzada
  • AWS CloudWatch para métricas cloud
  • Prometheus + Grafana para infraestructura

Fuentes de datos monitorizadas:

Log_Sources:
  Application:
    - API access logs
    - Error logs
    - Performance metrics
    - User actions (medical data access)

  Infrastructure:
    - System logs (syslog)
    - Network traffic (netflow)
    - Security events (fail2ban, IDS)
    - Resource utilization

  Security:
    - AWS CloudTrail (API calls)
    - GuardDuty (threat detection)
    - VPC Flow Logs
    - Certificate management

  Database:
    - Query logs
    - Login events
    - Schema changes
    - Performance metrics

Indicadores clave de seguridad:

IndicadorUmbral críticoAcción
Failed logins>10/minBloqueo IP + alerta
API errors>5% rateInvestigación inmediata
Disk space>90%Auto-cleanup + alerta
Response time>5 segundosEscalado automático
Data access anomalyML detectionAlerta RSEG
Certificate expiry<30 díasRenovación automática

Dashboards operacionales:

  • Vista general del estado del sistema
  • Métricas de seguridad en tiempo real
  • Compliance dashboard (ENS, GDPR, MDR)
  • Performance de la API médica
  • Incidentes activos y tendencias

Mantenimiento (T-024-044)​

Objetivo​

Establecer procedimientos de mantenimiento preventivo y correctivo que garanticen la operación segura del dispositivo médico.

Tipos de mantenimiento​

Preventivo programado:

ComponenteFrecuenciaActividadesVentana
ServidoresMensualPatches OS, reinicioFin de semana
AplicaciónQuincenalUpdates libreríasHorario bajo uso
Base datosSemanalOptimización, backup testNoche
RedTrimestralFirmware switches/FWVentana mantenimiento
SeguridadSemanalSignature updates, scansAutomático

Mantenimiento correctivo:

  • Procedimientos de respuesta a fallos
  • Escalado automático según criticidad
  • Registro completo de actividades
  • Verificación post-reparación

Gestión de vulnerabilidades:

Vulnerability_Management:
  Detection:
    - Nessus scans semanales
    - Dependabot para código
    - AWS Inspector para EC2
    - Manual penetration testing anual

  Classification:
    - CVSS scoring
    - Business impact assessment
    - Exploitability analysis
    - Regulatory compliance impact

  Remediation:
    - Critical: 48 horas
    - High: 7 días
    - Medium: 30 días
    - Low: Siguiente ventana

  Verification:
    - Re-scan post-patch
    - Functional testing
    - Security regression testing

Gestión de proveedores (T-024-061)​

Objetivo​

Asegurar que los servicios externalizados cumplen con los requisitos de seguridad del ENS y regulaciones de dispositivos médicos.

Proceso de evaluación de proveedores​

Evaluación inicial:

  1. Due diligence de seguridad

    • Certificaciones ISO 27001, SOC2
    • Historial de incidentes de seguridad
    • Políticas de seguridad documentadas
    • Ubicación de datos (GDPR compliance)

  2. Evaluación técnica

    • Arquitectura de seguridad
    • Controles de acceso y cifrado
    • Procedures de backup y DR
    • Monitoring y logging

  3. Evaluación regulatoria

    • Compliance con normativa médica
    • Acuerdos de tratamiento de datos (DPA)
    • Auditorías de terceros disponibles
    • Seguros de responsabilidad

SLA y contratos:

AspectoRequisito mínimoPenalización
Disponibilidad99.5% mensualCréditos SLA
Tiempo respuesta<2s percentil 95Revisión contrato
Incident response<4h para críticosEscalado ejecutivo
Data breach notification<24hTerminación contrato
Audit complianceAnual por tercerosObligatorio

Monitoring continuo:

  • Métricas de rendimiento en tiempo real
  • Indicadores de seguridad
  • Revisiones trimestrales de SLA
  • Auditorías anuales de conformidad
  • Planes de contingencia y exit strategy

Mejora continua ENS (Artículo 9 RD 311/2022)​

Fuentes de mejora​

  • Auditorías ENS: Hallazgos y recomendaciones CCN-STIC-808
  • Incidentes de seguridad: Lecciones aprendidas según OP.EXP.7
  • Actualizaciones CCN-CERT: Nuevas guías STIC y alertas
  • Benchmarking sectorial: Mejores prácticas en sanidad digital
  • Evolución normativa: Cambios en RD 311/2022 y legislación conexa
  • Feedback operacional: Propuestas del personal de seguridad

Proceso de mejora continua ENS​

  1. Identificación: Oportunidades de mejora en controles ENS
  2. Análisis de riesgos: Evaluación según OP.PL.1
  3. Priorización: Matriz impacto/urgencia para categoría MEDIA
  4. Aprobación: Comité de Seguridad según ORG.4
  5. Implementación: Plan de acción con hitos
  6. Validación: Verificación de conformidad con Anexo II
  7. Consolidación: Actualización de POS y formación

Revisión por la Dirección (Artículo 13 RD 311/2022)​

Revisión anual obligatoria​

  • Estado de conformidad ENS: Grado de cumplimiento medidas
  • Efectividad de controles: Análisis de indicadores OP.MON.2
  • Incidentes y vulnerabilidades: Tendencias y patrones
  • Cambios en categorización: Reevaluación de dimensiones
  • Recursos necesarios: Inversión en seguridad
  • Plan de mejora: Acciones para siguiente periodo

Entradas para la revisión​

  • Informe de auditoría bienal ENS
  • Métricas e indicadores de seguridad
  • Estado de acciones correctivas
  • Cambios en el entorno de amenazas
  • Feedback de partes interesadas
  • Comunicaciones del CCN-CERT

Salidas de la revisión​

  • Actualización de la política de seguridad (ORG.1)
  • Modificación de procedimientos operativos
  • Asignación de recursos adicionales
  • Objetivos de seguridad actualizados
  • Plan de acción documentado

Integración con marcos regulatorios​

Sistema de Gestión de Seguridad de la Información (SGSI)​

  • ISO 27001:2022: Alineación de controles con Anexo A
  • Procedimientos GP-013: Gestión de ciberseguridad médica
  • Ciclo PDCA: Mejora continua según artículo 9 RD 311/2022
  • Auditorías integradas: Optimización de recursos

Gestión de Riesgos ENS (OP.PL.1)​

  • Metodología MAGERIT: Análisis de riesgos según CCN-STIC-803
  • Herramienta PILAR: Evaluación automatizada de riesgos
  • Controles de mitigación: POS como medidas de tratamiento
  • Riesgo residual: Aceptación formal según ORG.4

Cumplimiento regulatorio múltiple​

Esquema Nacional de Seguridad​

  • RD 311/2022: Cumplimiento integral Anexo II
  • Guías CCN-STIC: Implementación de serie 800
  • Certificación ENS: Preparación para auditoría bienal
  • Reporting CCN-CERT: Notificación de incidentes

Dispositivo Médico (MDR)​

  • ISO 13485:2016: Integración con QMS
  • IEC 62304: Ciclo de vida del software médico
  • ISO 14971: Gestión de riesgos sanitarios
  • Vigilancia post-comercialización: Según MDR

Protección de Datos​

  • RGPD: Medidas técnicas y organizativas
  • LOPDGDD: Requisitos nacionales adicionales
  • Evaluaciones de impacto: Para tratamientos de alto riesgo
  • Derechos ARCO: Procedimientos de ejercicio

Ciberseguridad​

  • Directiva NIS2: Medidas de ciberseguridad reforzadas
  • ISO 27799: Seguridad en información sanitaria
  • NIST Cybersecurity Framework: Mejores prácticas internacionales
  • Reglamento de Ciberseguridad UE: Certificación de productos

Coordinación interdepartamental​

  • Comité de Seguridad ENS: Gobernanza unificada
  • Equipo de respuesta: Gestión coordinada de incidentes
  • Formación cruzada: Competencias multidisciplinares
  • Reporting integrado: Cuadro de mando unificado

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003, JD-004
  • Approver: JD-001
Previous
ORG.2 Normativa de Seguridad
Next
ORG.4 Proceso de Autorización
  • Documentos de referencia
  • Finalidad
  • Ámbito de aplicación
  • Estructura de los procedimientos operativos
    • 1. Identificación y codificación
    • 2. Estructura normalizada según CCN-STIC-203
      • 2.1 Información de control
      • 2.2 Objeto y campo de aplicación
      • 2.3 Marco normativo
      • 2.4 Términos y definiciones ENS
      • 2.5 Roles y responsabilidades (Modelo ENS)
      • 2.6 Descripción del procedimiento
      • 2.7 Registros de actividad y trazabilidad
      • 2.8 Indicadores y métricas ENS
      • 2.9 Gestión de excepciones
  • Catálogo de procedimientos operativos ENS
    • Marco Organizativo (ORG) - Serie T-024-001 a T-024-020
    • Marco Operacional - Planificación (OP.PL) - Serie T-024-021 a T-024-030
    • Marco Operacional - Control de Acceso (OP.ACC) - Serie T-024-031 a T-024-040
    • Marco Operacional - Explotación (OP.EXP) - Serie T-024-041 a T-024-060
    • Marco Operacional - Servicios Externos (OP.EXT) - Serie T-024-061 a T-024-070
    • Marco Operacional - Continuidad (OP.CONT) - Serie T-024-071 a T-024-080
    • Marco Operacional - Monitorización (OP.MON) - Serie T-024-081 a T-024-090
  • Ciclo de vida de los procedimientos ENS
    • 1. Elaboración y aprobación (Artículo 14 RD 311/2022)
      • 1.1 Iniciación
      • 1.2 Desarrollo
      • 1.3 Aprobación formal
    • 2. Implantación efectiva
      • 2.1 Comunicación y difusión
      • 2.2 Formación y capacitación
      • 2.3 Puesta en operación
    • 3. Mantenimiento y actualización (Artículo 9 RD 311/2022)
      • 3.1 Revisión periódica obligatoria
      • 3.2 Gestión de cambios
      • 3.3 Mejora continua
    • 4. Retirada y archivo
      • 4.1 Criterios de obsolescencia
      • 4.2 Proceso de retirada
      • 4.3 Archivo documental
  • Formación y concienciación ENS (MP.PER.4)
    • Programa de formación en seguridad
      • Formación inicial obligatoria
      • Formación continua y actualización
      • Material didáctico ENS
    • Concienciación en seguridad (Artículo 31 RD 311/2022)
      • Campañas de sensibilización
      • Evaluación de competencias
  • Monitorización y cumplimiento ENS
    • Indicadores clave de rendimiento (KPI) ENS
    • Auditorías de conformidad ENS (Artículo 40 RD 311/2022)
      • Auditorías ordinarias
      • Auditorías extraordinarias
      • Proceso de auditoría ENS
    • Gestión de no conformidades ENS
      • Clasificación de no conformidades
      • Proceso de gestión
  • Herramientas y recursos ENS
    • Sistema de gestión documental ENS
    • Plantillas normalizadas CCN-STIC
    • Herramientas de apoyo CCN
    • Automatización y gestión
  • Procedimientos operativos específicos de Legit Health
    • Gestión de incidentes de seguridad (T-024-009)
      • Objetivo
      • Clasificación de incidentes ENS
      • Procedimiento de respuesta
      • Matriz de comunicación
    • Gestión de cambios (T-024-045)
      • Objetivo
      • Categorización de cambios
      • Procedimiento de cambios
    • Gestión de configuración (T-024-043)
      • Objetivo
      • Elementos bajo control
      • Línea base de configuración
      • Drift detection
    • Copias de seguridad (T-024-074)
      • Objetivo
      • Estrategia de backup
    • Gestión de usuarios (T-024-034)
      • Objetivo
      • Ciclo de vida del usuario
      • Matriz de accesos
    • Monitorización (T-024-082)
      • Objetivo
      • Arquitectura de monitorización
    • Mantenimiento (T-024-044)
      • Objetivo
      • Tipos de mantenimiento
    • Gestión de proveedores (T-024-061)
      • Objetivo
      • Proceso de evaluación de proveedores
  • Mejora continua ENS (Artículo 9 RD 311/2022)
    • Fuentes de mejora
    • Proceso de mejora continua ENS
    • Revisión por la Dirección (Artículo 13 RD 311/2022)
      • Revisión anual obligatoria
      • Entradas para la revisión
      • Salidas de la revisión
  • Integración con marcos regulatorios
    • Sistema de Gestión de Seguridad de la Información (SGSI)
    • Gestión de Riesgos ENS (OP.PL.1)
    • Cumplimiento regulatorio múltiple
      • Esquema Nacional de Seguridad
      • Dispositivo Médico (MDR)
      • Protección de Datos
      • Ciberseguridad
    • Coordinación interdepartamental
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI LABS GROUP S.L.)