ORG.4 Proceso de Autorización
☑️Aplicación de la medida
De acuerdo al ANEXO II, 2 Selección de medidas de seguridad, la medida de seguridad ORG.4 Proceso de Autorización sí aplica dada la categoría de seguridad del sistema.
Documentos de referencia
Normativa ENS
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad
- Artículo 10 - Proceso de autorización
- Artículo 9 - Reevaluación periódica
- Artículo 34 - Análisis de riesgos
- Artículo 35 - Gestión de riesgos
- Anexo II - Medidas de seguridad
Guías CCN-STIC
- Guía CCN-STIC-801 - ENS Responsables y Funciones
- Guía CCN-STIC-402 - Organización y Gestión para la Seguridad de los Sistemas TIC
- Guía CCN-STIC-803 - ENS Valoración
- Guía CCN-STIC-804 - ENS Guía de Implantación
- Guía CCN-STIC-806 - ENS Proceso de Adecuación
- Guía CCN-STIC-821 - Normas de Protección (serie NP)
Estándares internacionales
- ISO/IEC 27001:2022
- Cláusula 5.3 - Roles, responsabilidades y autoridades en la organización
- Cláusula 6.1 - Acciones para abordar riesgos y oportunidades
- ISO/IEC 27002:2022
- 5.1 - Políticas para la seguridad de la información
- 5.2 - Roles y responsabilidades de seguridad de la información
Documentación interna
- T-110-001 - Plan de Implementación ENS
- T-110-002 - Guía de Implementación CCN-STIC
- T-110-003 - Matriz de Cumplimiento ENS
- GP-013 - Gestión de Ciberseguridad
- R-TF-013-002 - Registro de Análisis de Riesgos
Finalidad
Este documento establece el proceso formal de autorización conforme al Artículo 10 del Real Decreto 311/2022, garantizando que los sistemas de información cumplen con los requisitos de seguridad del ENS antes de su puesta en operación. El proceso asegura que:
- Se han implementado las medidas de seguridad proporcionales a la categoría del sistema
- Los riesgos residuales son conocidos, documentados y aceptados formalmente
- Existe responsabilidad explícita sobre la seguridad del sistema
- Se establece un marco de monitorización y reevaluación continua
Ámbito de aplicación
Conforme al Artículo 10.1 del RD 311/2022, el proceso de autorización es obligatorio para:
Sistemas nuevos
- Cualquier sistema de información antes de su entrada en operación
- Nuevos servicios electrónicos o módulos funcionales
- Infraestructuras tecnológicas de procesamiento de información
- El dispositivo médico Legit Health Plus y sus actualizaciones mayores
Modificaciones sustanciales
- Cambios que afecten a la categorización del sistema
- Modificaciones en la arquitectura de seguridad
- Alteraciones del modelo de amenazas o perfil de riesgo
- Integraciones con terceros o servicios en la nube
- Cambios en el tipo de información procesada
Reevaluaciones periódicas
- Sistemas con autorización vencida (máximo 2 años)
- Tras incidentes de seguridad graves
- Por cambios en el marco normativo aplicable
- Cuando lo determine el Responsable de Seguridad
Principios del proceso de autorización ENS
Gestión de riesgos (Art. 10.2 RD 311/2022)
La autorización se basa en el análisis y gestión de riesgos según:
- Metodología MAGERIT v3.0 o superior
- Identificación de activos esenciales y sus dependencias
- Evaluación del riesgo inherente y residual
- Implementación de medidas de seguridad del Anexo II
- Aceptación formal del riesgo residual
- Documentación en el Sistema de Gestión de Riesgos (R-TF-013-002)
Responsabilidad y rendición de cuentas (Art. 10.3)
El proceso establece claramente:
- Responsable de la Información: Define requisitos de seguridad
- Responsable del Servicio: Solicita y justifica la autorización
- Responsable del Sistema: Implementa medidas técnicas
- Responsable de Seguridad: Evalúa conformidad ENS
- Comité de Seguridad: Supervisa el proceso
Cada rol debe estar formalmente designado y capacitado según CCN-STIC-801.
Proporcionalidad (Art. 10.4)
Las exigencias del proceso son proporcionales a:
- La categoría del sistema (BÁSICA/MEDIA/ALTA)
- El nivel de seguridad requerido (NP10/NP20/NP30/NP40)
- La criticidad del servicio para la organización
- El impacto potencial de un incidente de seguridad
- Los recursos disponibles y el coste de las medidas
Trazabilidad y evidencia (Art. 10.5)
Toda autorización genera:
- Expediente completo con todas las evidencias
- Registro formal en el sistema documental
- Trazabilidad de decisiones y cambios
- Custodia segura de la documentación
- Disponibilidad para auditorías y supervisión
Clasificación de autorizaciones según CCN-STIC-806
Autorización inicial (Tipo A)
Aplicable a:
- Sistemas nuevos sin autorización previa
- Sistemas de categoría MEDIA o ALTA
- Procesamiento de datos de salud (Legit Health Plus)
- Servicios con impacto crítico en la organización
Requisitos según Anexo II RD 311/2022:
- Análisis de riesgos completo (MAGERIT v3)
- Declaración de aplicabilidad de medidas ENS
- Auditoría de conformidad ENS (CCN-STIC-802)
- Plan de adecuación si existen no conformidades
- Plan de continuidad y recuperación ante desastres
- Formación acreditada del personal
- Procedimientos operativos de seguridad documentados
Reautorización (Tipo B)
Aplicable a:
- Modificaciones sustanciales de sistemas autorizados
- Vencimiento del periodo de autorización (máximo 2 años)
- Cambios en la categorización del sistema
- Nuevas integraciones o interconexiones
- Actualización a nueva versión mayor de Legit Health Plus
Requisitos específicos:
- Análisis diferencial de riesgos
- Evaluación de impacto en la seguridad
- Verificación de medidas de seguridad afectadas
- Actualización de la documentación de seguridad
- Pruebas de regresión de seguridad
- Informe de cambios y su justificación
Autorización provisional (Tipo C)
Aplicable según Art. 10.6 RD 311/2022:
- Situaciones de emergencia o crisis
- Parches críticos de seguridad
- Medidas temporales de mitigación
- Pilotos o pruebas de concepto limitadas
Condiciones obligatorias:
- Duración máxima: 90 días (prorrogable una vez)
- Alcance limitado y documentado
- Controles compensatorios implementados
- Monitorización reforzada durante el periodo
- Plan de regularización con fechas concretas
- Aceptación explícita del riesgo adicional
Cambios menores sin reautorización
No requieren autorización formal:
- Parches de seguridad rutinarios
- Actualizaciones menores sin cambio funcional
- Renovación de certificados digitales
- Ajustes de configuración documentados
- Mantenimiento preventivo planificado
Requisitos mínimos:
- Registro en gestión de cambios
- Pruebas en entorno de preproducción
- Aprobación del Responsable del Sistema
- Notificación al Responsable de Seguridad
Proceso de autorización según ENS
Fase 1: Solicitud formal (Art. 10.7 RD 311/2022)
1.1 Iniciación del expediente
El Responsable del Servicio presenta la solicitud mediante el formulario ENS-AUT-001:
FORMULARIO ENS-AUT-001
SOLICITUD DE AUTORIZACIÓN ENS - LEGIT HEALTH
1. IDENTIFICACIÓN DEL SISTEMA
- Denominación: [___]
- Código de activo: [___]
- Versión/Release: [___]
- Tipo de autorización: [Inicial/Reautorización/Provisional]
- Categoría ENS: [BÁSICA/MEDIA/ALTA]
- Fecha prevista producción: [___]
2. CLASIFICACIÓN DE LA INFORMACIÓN
- Confidencialidad: [BAJO/MEDIO/ALTO]
- Integridad: [BAJO/MEDIO/ALTO]
- Disponibilidad: [BAJO/MEDIO/ALTO]
- Autenticidad: [BAJO/MEDIO/ALTO]
- Trazabilidad: [BAJO/MEDIO/ALTO]
3. ALCANCE Y FUNCIONALIDAD
- Descripción funcional: [___]
- Tipos de datos procesados: [___]
- Volumen estimado: [___]
- Usuarios concurrentes: [___]
- Criticidad del servicio: [___]
- Interconexiones con otros sistemas: [___]
4. CUMPLIMIENTO NORMATIVO
- [ ] ENS (RD 311/2022)
- [ ] RGPD/LOPDGDD
- [ ] MDR (Dispositivos médicos)
- [ ] NIS2 (si aplica)
- [ ] ISO 27001 (si aplica)
- [ ] ISO 13485 (dispositivos médicos)
5. DOCUMENTACIÓN REQUERIDA (Anexo)
- [ ] Análisis de riesgos (MAGERIT)
- [ ] Declaración de aplicabilidad ENS
- [ ] Arquitectura de seguridad
- [ ] Plan de pruebas de seguridad
- [ ] Plan de contingencia (BCP/DRP)
- [ ] Procedimientos operativos
- [ ] Informe de auditoría (si existe)
- [ ] Plan de formación
6. DECLARACIÓN DEL SOLICITANTE
Declaro que la información proporcionada es veraz y completa.
Responsable del Servicio: [___]
Cargo: [___]
Fecha: [___]
Firma electrónica: [___]
1.2 Verificación administrativa
El Responsable de Seguridad realiza la verificación inicial en 5 días hábiles:
Checklist de verificación ENS-CHK-001:
Verificación_Documental:
- Solicitud_completa: [SI/NO]
- Documentación_adjunta: [COMPLETA/INCOMPLETA]
- Categorización_correcta: [SI/NO/REVISAR]
- Firmas_requeridas: [SI/NO]
Viabilidad_Técnica:
- Recursos_disponibles: [SI/NO]
- Plazo_realista: [SI/NO]
- Dependencias_identificadas: [SI/NO]
- Conflictos_detectados: [SI/NO]
Resultado:
- [ ] ACEPTADA - Proceder con evaluación
- [ ] SUBSANACIÓN - Requiere completar documentación
- [ ] RECHAZADA - No cumple requisitos mínimos
Observaciones: [___]
Revisor: [Responsable de Seguridad]
Fecha: [___]
En caso de subsanación, el solicitante dispone de 10 días hábiles para completar la documentación.
Fase 2: Evaluación de conformidad ENS
2.1 Análisis documental (CCN-STIC-802)
El equipo evaluador revisa sistemáticamente:
a) Cumplimiento del Anexo II - Medidas de seguridad:
-
Marco organizativo (ORG.1 a ORG.4)
- Política de seguridad documentada
- Normativa de seguridad aprobada
- Procedimientos operativos definidos
- Proceso de autorización establecido
-
Marco operacional (OP.PL a OP.MON)
- Planificación de la seguridad
- Control de acceso implementado
- Explotación segura
- Servicios externos gestionados
- Continuidad del servicio asegurada
- Monitorización activa
-
Medidas de protección (MP.IF a MP.SW)
- Protección de instalaciones
- Gestión del personal
- Protección de equipos
- Protección de comunicaciones
- Protección de soportes
- Protección de aplicaciones
- Protección de información
- Protección de servicios
b) Verificación de documentación técnica:
- Arquitectura de seguridad según CCN-STIC-812
- Configuración segura según CCN-STIC-610 a 670
- Gestión de incidentes según CCN-STIC-817
- Continuidad según CCN-STIC-826
2.2 Verificación técnica según categoría
Pruebas obligatorias según nivel de seguridad:
| Tipo de prueba | BÁSICA | MEDIA | ALTA | Guía CCN-STIC |
|---|---|---|---|---|
| Análisis de vulnerabilidades | Recom. | Sí | Sí | CCN-STIC-461 |
| Test de penetración | No | Recom. | Sí | CCN-STIC-463 |
| Revisión de configuración | Sí | Sí | Sí | CCN-STIC-610-670 |
| Análisis estático de código | No | Sí | Sí | CCN-STIC-480 |
| Análisis dinámico (DAST) | Recom. | Sí | Sí | CCN-STIC-481 |
| Pruebas de continuidad | Básico | Sí | Sí | CCN-STIC-826 |
| Auditoría de logs | Sí | Sí | Sí | CCN-STIC-521 |
| Revisión de privilegios | Sí | Sí | Sí | CCN-STIC-801 |
| Pruebas de cifrado | No | Sí | Sí | CCN-STIC-807 |
| Test de DoS/DDoS | No | Recom. | Sí | CCN-STIC-465 |
Herramientas homologadas CCN:
- PILAR (Análisis de riesgos)
- CLARA (Auditoría de cumplimiento)
- ROCIO (Análisis diferencial)
- AMPARO (Planes de adecuación)
2.3 Evaluación de riesgos MAGERIT
Metodología de evaluación según CCN-STIC-803:
Análisis_MAGERIT_v3:
1_Caracterización:
- Identificación_activos_esenciales
- Valoración_dimensiones_seguridad
- Dependencias_y_relaciones
- Clasificación_información
2_Identificación_Amenazas:
- Catálogo_MAGERIT_amenazas
- Amenazas_específicas_sector_salud
- Vectores_ataque_identificados
- Actores_amenaza_relevantes
3_Salvaguardas_Existentes:
- Medidas_Anexo_II_implementadas
- Controles_adicionales_MDR
- Certificaciones_vigentes
- Eficacia_medida [0-100%]
4_Riesgo_Residual:
- Impacto_residual: [MB/B/M/A/MA]
- Probabilidad_residual: [MB/B/M/A/MA]
- Nivel_riesgo: [CRÍTICO/ALTO/MEDIO/BAJO/MUY_BAJO]
- Aceptabilidad: [ACEPTABLE/NO_ACEPTABLE]
5_Tratamiento_Propuesto:
- [ ] Aceptar - Riesgo dentro del apetito
- [ ] Mitigar - Implementar controles adicionales
- [ ] Transferir - Seguros o tercerización
- [ ] Evitar - Eliminar actividad/proceso
6_Plan_Tratamiento:
- Medidas_adicionales_requeridas
- Responsable_implementación
- Plazo_ejecución
- Coste_estimado
- Eficacia_esperada
Umbrales de aceptación para Legit Health Plus:
| Nivel de Riesgo | Impacto Paciente | Decisión Autorización |
|---|---|---|
| CRÍTICO | Muy Alto | NO AUTORIZABLE |
| ALTO | Alto | Requiere mitigación previa |
| MEDIO | Moderado | Autorizable con condiciones |
| BAJO | Bajo | Autorizable |
| MUY BAJO | Insignificante | Autorizable sin condiciones |
Fase 3: Dictamen y decisión
3.1 Informe de conformidad ENS (ENS-INF-001)
El Responsable de Seguridad emite el informe preceptivo:
INFORME DE CONFORMIDAD ENS - ENS-INF-001
[CONFIDENCIAL - USO INTERNO]
1. DATOS DE LA EVALUACIÓN
- Sistema: LEGIT HEALTH PLUS v[___]
- Expediente: AUT-2024-[___]
- Periodo evaluación: [DD/MM/AAAA] a [DD/MM/AAAA]
- Categoría ENS: [BÁSICA/MEDIA/ALTA]
- Nivel protección aplicado: [NP10/NP20/NP30/NP40]
2. METODOLOGÍA APLICADA
- [ ] Análisis documental (CCN-STIC-802)
- [ ] Pruebas técnicas de seguridad
- [ ] Evaluación de riesgos (MAGERIT v3)
- [ ] Verificación de medidas Anexo II
- [ ] Auditoría de configuración
3. RESULTADO DE CONFORMIDAD
3.1 Medidas del Anexo II RD 311/2022
| Dominio | Total | Conformes | No Conformes | % Cumplimiento |
| --------- | ------ | --------- | ------------ | -------------- |
| ORG | 4 | [___] | [___] | [___]% |
| OP | 23 | [___] | [___] | [___]% |
| MP | 26 | [___] | [___] | [___]% |
| **TOTAL** | **53** | [___] | [___] | [___]% |
3.2 No conformidades críticas
- NC-001: [Descripción y medida afectada]
- NC-002: [Descripción y medida afectada]
3.3 Riesgos no aceptables
- R-[___]: [Descripción, nivel y tratamiento requerido]
- R-[___]: [Descripción, nivel y tratamiento requerido]
4. ANÁLISIS DE IMPACTO RESIDUAL
| Dimensión | Riesgo Inherente | Riesgo Residual | Estado |
| ---------------- | ---------------- | --------------- | ------ |
| Confidencialidad | [A/M/B] | [A/M/B] | [✓/✗] |
| Integridad | [A/M/B] | [A/M/B] | [✓/✗] |
| Disponibilidad | [A/M/B] | [A/M/B] | [✓/✗] |
| Autenticidad | [A/M/B] | [A/M/B] | [✓/✗] |
| Trazabilidad | [A/M/B] | [A/M/B] | [✓/✗] |
5. DICTAMEN TÉCNICO
[ ] FAVORABLE - Sistema conforme con ENS
[ ] FAVORABLE CON CONDICIONES - Requiere subsanación
[ ] DESFAVORABLE - No conformidades críticas
[ ] APLAZADO - Pendiente información adicional
6. CONDICIONES Y SALVAGUARDAS (si aplica)
6.1 Obligatorias (bloquean autorización):
- COND-01: [Descripción, responsable, plazo]
- COND-02: [Descripción, responsable, plazo]
6.2 Necesarias (30 días):
- REC-01: [Descripción, responsable]
- REC-02: [Descripción, responsable]
6.3 Convenientes (90 días):
- MEJ-01: [Descripción, responsable]
- MEJ-02: [Descripción, responsable]
7. VALIDEZ Y SEGUIMIENTO
- Validez propuesta: [12/24 meses]
- Revisión intermedia: [6/12 meses]
- Auditoría requerida: [SI/NO - plazo]
Responsable de Seguridad: [___]
Colegiado/Certificación: [___]
Fecha: [DD/MM/AAAA]
Firma electrónica cualificada: [___]
3.2 Resolución de autorización (Art. 10.8 RD 311/2022)
El Responsable de la Información o Comité de Seguridad emite la resolución:
RESOLUCIÓN DE AUTORIZACIÓN ENS - ENS-RES-001
Visto el expediente AUT-2024-[___] relativo a la solicitud de autorización
del sistema LEGIT HEALTH PLUS, y considerando:
I. ANTECEDENTES DE HECHO
1. Solicitud presentada en fecha [___]
2. Categoría del sistema: [___]
3. Informe de conformidad de fecha [___]
4. Dictamen técnico: [___]
II. FUNDAMENTOS DE DERECHO
1. Real Decreto 311/2022, artículo 10
2. Política de Seguridad de la organización
3. Normativa sectorial aplicable (MDR, RGPD)
III. CONSIDERACIONES TÉCNICAS
1. Nivel de cumplimiento ENS: [___]%
2. Riesgos residuales identificados: [___]
3. Condiciones de operación segura establecidas
RESUELVO:
[ ] AUTORIZAR la puesta en operación del sistema - Validez: [12/24] meses desde la fecha - Ámbito: [Producción completa/Limitada] - Revisión: [Semestral/Anual]
[ ] AUTORIZAR CON CONDICIONES - Condiciones suspensivas: [___] - Plazo subsanación: [___] días - Limitaciones operativas: [___]
[ ] DENEGAR la autorización - Motivos: [___] - Requisitos para reconsideración: [___] - Plazo para nueva solicitud: [___]
[ ] AUTORIZACIÓN PROVISIONAL (máx. 90 días) - Justificación de urgencia: [___] - Controles compensatorios: [___] - Fecha límite: [___]
CONDICIONES DE LA AUTORIZACIÓN:
1. Cumplimiento continuo de medidas ENS
2. Notificación de cambios significativos
3. Auditorías periódicas según plan
4. Gestión de incidentes según procedimiento
5. Formación continua del personal
Esta resolución es efectiva desde: [DD/MM/AAAA]
Próxima revisión obligatoria: [DD/MM/AAAA]
[Responsable de la Información / Presidente Comité Seguridad]
Cargo: [___]
Fecha: [DD/MM/AAAA]
Firma electrónica cualificada: [___]
Notifíquese a:
- Responsable del Servicio
- Responsable del Sistema
- Responsable de Seguridad
- Auditoría Interna
Fase 4: Operación y supervisión continua
4.1 Activación controlada
Protocolo de puesta en producción:
Activación_Sistema_Autorizado:
Día_0_Preparación:
- Verificación_resolución_autorización
- Comunicación_partes_interesadas
- Activación_monitorización_reforzada
- Backup_completo_sistema
Día_1_Despliegue:
- Activación_gradual_servicios
- Verificación_controles_seguridad
- Pruebas_smoke_test
- Monitorización_tiempo_real
Semana_1_Estabilización:
- Análisis_logs_seguridad_diario
- Verificación_métricas_rendimiento
- Detección_anomalías
- Ajustes_configuración
Mes_1_Consolidación:
- Informe_incidencias_detectadas
- Verificación_condiciones_autorización
- Actualización_documentación
- Formación_usuarios_completada
4.2 Supervisión continua ENS
Plan de seguimiento según Art. 9 RD 311/2022:
| Hito temporal | Actividad | Responsable | Evidencia |
|---|---|---|---|
| 30 días | Verificación condiciones inmediatas | Resp. Sistema | Informe ENS-SEG-001 |
| 90 días | Cumplimiento recomendaciones | Resp. Seguridad | Checklist ENS-CHK-002 |
| 6 meses | Auditoría de efectividad | Auditoría Interna | Informe AUD-ENS-001 |
| 12 meses | Revisión completa de seguridad | Resp. Seguridad | Informe ENS-REV-001 |
| 24 meses | REAUTORIZACIÓN OBLIGATORIA | Comité Seguridad | Nueva autorización |
Indicadores clave de seguridad (KSI):
KSI_Operación_Autorizada:
Disponibilidad:
- Objetivo: >99.5%
- Medición: Continua
- Alerta: `<99%`
Incidentes_Seguridad:
- Críticos: 0 tolerancia
- Altos: `<2/mes`
- Medios: `<10/mes`
Vulnerabilidades:
- Críticas: Parcheado `<24h`
- Altas: Parcheado `<7 días`
- Medias: Parcheado `<30 días`
Cumplimiento_ENS:
- Auditorías: 100% superadas
- No_conformidades: `<5` menores
- Acciones_correctivas: `<30 días`
Gestión documental ENS
Expediente de autorización (Art. 10.9 RD 311/2022)
Estructura del expediente electrónico:
Expediente_Autorización_ENS:
Identificación:
- Código: AUT-AAAA-NNN
- Sistema: LEGIT_HEALTH_PLUS_v[___]
- Clasificación: CONFIDENCIAL
- Fecha_apertura: DD/MM/AAAA
- Estado: [ABIERTO/CERRADO/ARCHIVADO]
Documentación_Obligatoria:
01_Solicitud:
- ENS-AUT-001_Solicitud_firmada.pdf
- Anexos_solicitud/
02_Análisis_Riesgos:
- MAGERIT_analisis_riesgos.pdf
- R-TF-013-002_risk_register.json
- Matriz_amenazas_vulnerabilidades.xlsx
03_Evaluación_Técnica:
- Informe_vulnerabilidades.pdf
- Resultados_pentesting.pdf
- Auditoría_configuración.pdf
- Evidencias_pruebas/
04_Conformidad_ENS:
- ENS-INF-001_Informe_conformidad.pdf
- Checklist_Anexo_II.xlsx
- Plan_adecuación.pdf
05_Resolución:
- ENS-RES-001_Resolución_firmada.pdf
- Condiciones_autorización.pdf
- Comunicaciones_oficiales/
06_Seguimiento:
- Informes_seguimiento_mensual/
- Verificación_condiciones.pdf
- Incidencias_relacionadas/
Metadatos_ENE:
- Serie_documental: "Autorizaciones ENS"
- Código_clasificación: "SEC.AUT.ENS"
- Nivel_acceso: "CONFIDENCIAL"
- Periodo_conservación: "10 años"
- Disposición_final: "Conservación permanente"
- Firma_electrónica: "XAdES-T"
- Sellado_tiempo: "TSA cualificado"
Custodia y acceso
Requisitos de gestión documental:
- Integridad: Hash SHA-256 de cada documento
- Autenticidad: Firma electrónica cualificada
- Trazabilidad: Log de accesos y modificaciones
- Confidencialidad: Cifrado AES-256 en reposo
- Disponibilidad: Backup diario, retención 10 años
Matriz de acceso:
| Rol | Lectura | Modificación | Eliminación |
|---|---|---|---|
| Responsable Información | ✓ | ✓ | ✓ |
| Responsable Seguridad | ✓ | ✓ | ✗ |
| Responsable Sistema | ✓ | ✗ | ✗ |
| Auditoría | ✓ | ✗ | ✗ |
| Otros | ✗ | ✗ | ✗ |
Indicadores de rendimiento ENS
KPIs del proceso de autorización:
| Indicador ENS | Objetivo | Umbral crítico | Frecuencia | Responsable |
|---|---|---|---|---|
| Tiempo medio autorización | ≤30 días | >45 días | Mensual | Resp. Seguridad |
| Tasa aprobación primera vez | ≥85% | <70% | Trimestral | Comité Seguridad |
| Conformidad medidas Anexo II | ≥95% | <90% | Mensual | Resp. Seguridad |
| Condiciones resueltas plazo | 100% | <90% | Mensual | Resp. Sistema |
| Incidentes post-autorización | 0 críticos | >1 crítico | Continuo | Resp. Seguridad |
| Reautorizaciones en plazo | 100% | <95% | Anual | Comité Seguridad |
| Auditorías ENS superadas | 100% | <100% | Anual | Auditoría Interna |
| Disponibilidad sistemas autor. | >99.5% | <99% | Continuo | Resp. Sistema |
Cuadro de mando ENS:
Dashboard_Autorizaciones:
Sistemas_Autorizados:
- Total: [___]
- Vigentes: [___]
- Vencidos: [___]
- En_proceso: [___]
Por_Categoría:
- ALTA: [___]
- MEDIA: [___]
- BÁSICA: [___]
Estado_Cumplimiento:
- Conformes: [___]%
- Con_desviaciones: [___]%
- No_conformes: [___]%
Tendencias:
- Tiempo_autorización: [MEJORA/ESTABLE/EMPEORA]
- Incidentes_seguridad: [MEJORA/ESTABLE/EMPEORA]
- Madurez_ENS: [1-5 escala CMM]
Situaciones excepcionales
Autorización de urgencia (Art. 10.10 RD 311/2022)
Protocolo de emergencia:
Autorización_Urgente:
Supuestos_Habilitantes:
- Incidente_seguridad_crítico_activo
- Requisito_legal_inmediato
- Continuidad_negocio_comprometida
- Seguridad_pacientes_en_riesgo
Procedimiento_Acelerado:
H+0:
- Notificación_Responsable_Información
- Activación_protocolo_emergencia
- Evaluación_riesgo_simplificada
H+4:
- Autorización_provisional_72h
- Implementación_controles_compensatorios
- Monitorización_intensiva
H+24:
- Inicio_evaluación_completa
- Documentación_retroactiva
H+72:
- Decisión_continuidad
- Regularización_o_rollback
D+7:
- Expediente_completo
- Lecciones_aprendidas
- Actualización_procedimientos
Sistemas de investigación y desarrollo
Requisitos específicos I+D+i:
- Entorno: Aislado de producción (sandbox)
- Datos: Anonimizados o sintéticos (nunca reales)
- Duración: Máximo 6 meses renovables
- Alcance: Limitado a equipo investigador
- Controles: Monitorización reforzada
- Ética: Aprobación Comité Ético si procede
- Propiedad intelectual: Salvaguardas establecidas
Servicios cloud y terceros (OP.NUB)
Evaluación adicional para cloud:
| Aspecto | Verificación requerida | Evidencia |
|---|---|---|
| Localización datos | Dentro del EEE | Contrato/DPA |
| Certificaciones | ISO 27001, SOC2, CSA STAR | Certificados |
| Soberanía digital | Cumplimiento GAIA-X | Declaración |
| Auditoría | Derecho auditoría anual | Cláusula contrato |
| Reversibilidad | Plan salida documentado | Procedimiento |
| Cifrado | E2E con gestión propia de claves | Arquitectura |
| Cumplimiento ENS | Declaración conformidad proveedor | Anexo ENS |
Interconexiones con terceros
Requisitos para interconexión:
CHECKLIST INTERCONEXIÓN ENS
[ ] Análisis de riesgos específico de la interconexión
[ ] Convenio/Acuerdo de interconexión firmado
[ ] Responsabilidades de seguridad definidas
[ ] Arquitectura de seguridad documentada
[ ] Segregación de redes implementada
[ ] Monitorización del tráfico activa
[ ] Plan de contingencia conjunto
[ ] Procedimiento de gestión de incidentes
[ ] Auditoría de seguridad del tercero
[ ] Cláusulas de confidencialidad
[ ] Seguro de responsabilidad civil
[ ] Plan de desconexión de emergencia
Roles y responsabilidades ENS (CCN-STIC-801)
Matriz RACI proceso autorización
| Actividad ENS | RINF | RSERV | RSIST | RSEG | COM.SEG | AUD |
|---|---|---|---|---|---|---|
| Solicitar autorización | I | R | C | I | I | - |
| Categorizar sistema | C | C | C | R | A | - |
| Evaluar conformidad ENS | I | I | C | R | I | C |
| Realizar pruebas técnicas | - | I | R | A | I | - |
| Analizar riesgos (MAGERIT) | C | C | C | R | A | - |
| Emitir informe conformidad | I | I | I | R | C | - |
| Decidir autorización | A | C | I | C | R | - |
| Implementar condiciones | I | C | R | C | I | - |
| Supervisar operación | I | A | R | C | I | - |
| Verificar cumplimiento | I | C | C | R | A | C |
| Auditar sistema autorizado | I | I | C | C | I | R |
| Reautorizar (bienal) | A | C | C | R | R | C |
Leyenda: R=Responsable, A=Aprueba, C=Consultado, I=Informado
Competencias y formación requerida
Responsable de la Información (RINF)
- Formación: Curso CCN-STIC ENS Directivos (16h)
- Competencias:
- Visión estratégica de seguridad
- Gestión de riesgos corporativos
- Toma de decisiones críticas
- Comprensión marco legal
Responsable de Seguridad (RSEG)
- Certificaciones recomendadas:
- CISA, CISSP, CISM o equivalente
- Curso CCN-CERT Gestión ENS (40h)
- Auditor ENS certificado (deseable)
- Competencias técnicas:
- Dominio del RD 311/2022 y guías CCN-STIC
- Metodología MAGERIT v3
- Gestión de incidentes (CERT)
- Auditoría y cumplimiento
- Arquitecturas de seguridad
Responsable del Sistema (RSIST)
- Formación:
- Curso CCN-STIC ENS Técnico (24h)
- Certificación tecnología específica
- Competencias:
- Administración sistemas GNU/Linux
- Gestión infraestructura cloud (AWS)
- Hardening y bastionado
- DevSecOps y CI/CD
- Monitorización y logging
Responsable del Servicio (RSERV)
- Formación:
- Curso ENS nivel usuario (8h)
- Formación específica MDR
- Competencias:
- Gestión de servicios TI
- Comprensión requisitos negocio
- Interlocución con stakeholders
- Gestión de proveedores
Comité de Seguridad ENS
Composición mínima:
- Presidente: Responsable de la Información
- Secretario: Responsable de Seguridad
- Vocales: Responsables de Servicio y Sistema
- Invitados: Auditoría, Legal, DPO
Funciones en autorización:
- Supervisar el proceso de autorización
- Resolver conflictos y escalados
- Aprobar excepciones y urgencias
- Revisar métricas e indicadores
- Proponer mejoras al proceso
Integración con Sistema de Gestión ENS
Gestión de cambios (OP.EXP.5)
Criterios para reautorización:
| Tipo de cambio | Impacto ENS | Acción requerida |
|---|---|---|
| Parche seguridad crítico | Bajo | Registro en CMDB |
Actualización menor (<x.x.1) | Bajo | Notificación RSEG |
| Actualización mayor (>x.1.x) | Medio | Evaluación impacto |
| Nueva funcionalidad | Alto | Análisis riesgos |
| Cambio arquitectura | Muy Alto | REAUTORIZACIÓN |
| Nueva integración | Alto | REAUTORIZACIÓN |
| Cambio categoría datos | Muy Alto | REAUTORIZACIÓN |
Gestión de riesgos (OP.PL.1)
Sincronización con R-TF-013-002:
Integración_Riesgos:
Pre_Autorización:
- Identificación_nuevos_riesgos
- Actualización_matriz_MAGERIT
- Evaluación_controles_propuestos
Post_Autorización:
- Registro_riesgos_aceptados
- Monitorización_KRIs
- Actualización_trimestral
Umbrales_Reautorización:
- Nuevo_riesgo_crítico: Inmediata
- Incremento_>30%_riesgo: 30_días
- Incidente_alto_impacto: 7_días
Auditoría ENS (CCN-STIC-802)
Evidencias para auditoría:
- Expedientes de autorización completos
- Registro de decisiones y excepciones
- Métricas de cumplimiento ENS
- Informes de seguimiento
- Actas del Comité de Seguridad
- Certificados de formación
- Resultados de pruebas técnicas
Continuidad y disponibilidad (OP.CONT)
Requisitos BCP/DRP en autorización:
| Aspecto | Verificación en autorización |
|---|---|
| RTO definido | Alineado con categoría disponibilidad |
| RPO establecido | Coherente con criticidad datos |
| BIA actualizado | Menos de 12 meses |
| Plan probado | Simulacro últimos 6 meses |
| Recursos backup | Capacidad verificada |
| Comunicación | Protocolo crisis definido |
Gestión de incidentes (OP.EXP.7)
Triggers de revisión de autorización:
- Incidente de seguridad CRÍTICO: Revisión inmediata
- Brecha de datos personales: Revaluación en 72h
- Indisponibilidad >RTO: Análisis causa raíz
- Compromiso de integridad: Auditoría forense
- Múltiples incidentes ALTOS: Reautorización
Formación y concienciación (MP.PER.2)
Plan formativo asociado:
Formación obligatoria pre-autorización:
[ ] Administradores: Seguridad ENS técnica (24h)
[ ] Usuarios clave: Buenas prácticas ENS (8h)
[ ] Dirección: Marco ENS y responsabilidades (4h)
[ ] Proveedores: Requisitos seguridad (2h)
[ ] Incidentes: Protocolo respuesta (4h)
Plantillas y formularios ENS
Documentos normativos
| Código | Documento | Uso | Formato |
|---|---|---|---|
| ENS-AUT-001 | Solicitud de autorización | Inicio proceso | MDX/PDF |
| ENS-CHK-001 | Checklist verificación administrativa | Revisión inicial | XLSX |
| ENS-CHK-002 | Checklist medidas Anexo II | Evaluación conformidad | XLSX |
| ENS-INF-001 | Informe de conformidad ENS | Dictamen técnico | MDX/PDF |
| ENS-RES-001 | Resolución de autorización | Decisión formal | |
| ENS-SEG-001 | Informe de seguimiento | Supervisión post-autorización | MDX/PDF |
| ENS-REV-001 | Informe de revisión anual | Mantenimiento autorización | MDX/PDF |
| ENS-AUD-001 | Informe de auditoría ENS | Verificación independiente | |
| ENS-INC-001 | Notificación incidente post-autorización | Gestión incidentes | MDX |
| ENS-EXC-001 | Solicitud de excepción/urgencia | Casos especiales | MDX/PDF |
Herramientas de apoyo CCN
| Herramienta | Propósito | Disponibilidad |
|---|---|---|
| PILAR | Análisis y gestión de riesgos | Portal CCN-CERT |
| CLARA | Auditoría cumplimiento ENS | Licencia CCN |
| AMPARO | Planes de adecuación | Descarga libre |
| ROCIO | Análisis diferencial | Portal CCN-CERT |
| GLORIA | Gestión de incidentes | Suscripción CCN-CERT |
Repositorio documental
Estructura_Repositorio: /ENS/
/Autorizaciones/
/Vigentes/
- Sistema_A_AUT-2024-001/
- Sistema_B_AUT-2024-002/
/Históricas/
- Archivo_2023/
- Archivo_2022/
/En_Proceso/
- Solicitud_pendiente_001/
/Plantillas/
- Formularios_oficiales/
- Guías_cumplimentación/
- Ejemplos_referencia/
/Evidencias/
- Informes_técnicos/
- Resultados_pruebas/
- Certificaciones/
Acceso: https://qms.legithealth.com/ens/autorizaciones
Soporte: seguridad@legithealth.com
Workflows de autorización específicos
Workflow de autorización de nuevos sistemas
Plantillas de autorización
Plantilla ENS-AUT-002: Evaluación de impacto de cambios
EVALUACIÓN DE IMPACTO EN SEGURIDAD - ENS-AUT-002
1. INFORMACIÓN DEL CAMBIO
- Sistema afectado: [___]
- Tipo de cambio: [Funcional/Técnico/Organizativo/Emergencia]
- Descripción detallada: [___]
- Fecha implementación prevista: [___]
- Responsable del cambio: [___]
2. ANÁLISIS DE IMPACTO EN SEGURIDAD
2.1 Dimensiones de seguridad afectadas:
- [ ] Confidencialidad - Impacto: [ALTO/MEDIO/BAJO/NULO]
- [ ] Integridad - Impacto: [ALTO/MEDIO/BAJO/NULO]
- [ ] Disponibilidad - Impacto: [ALTO/MEDIO/BAJO/NULO]
- [ ] Autenticidad - Impacto: [ALTO/MEDIO/BAJO/NULO]
- [ ] Trazabilidad - Impacto: [ALTO/MEDIO/BAJO/NULO]
2.2 Medidas ENS afectadas:
- Marco Organizativo (ORG): [Especificar medidas]
- Marco Operacional (OP): [Especificar medidas]
- Medidas de Protección (MP): [Especificar medidas]
2.3 Evaluación de riesgos:
- Nuevos riesgos introducidos: [___]
- Riesgos residuales modificados: [___]
- Controles de seguridad afectados: [___]
- Medidas compensatorias requeridas: [___]
3. DETERMINACIÓN DE AUTORIZACIÓN REQUERIDA
[ ] NO REQUIERE reautorización (cambio menor)
Justificación: [___]
Aprobación RSEG: [Firma + fecha]
[ ] REQUIERE evaluación de impacto
Plazo evaluación: [___] días
Responsable evaluación: [___]
[ ] REQUIERE REAUTORIZACIÓN COMPLETA
Motivos: [___]
Proceso aplicable: [Inicial/Reautorización/Provisional]
4. PLAN DE IMPLEMENTACIÓN SEGURA
4.1 Medidas previas:
- [ ] Backup completo del sistema
- [ ] Plan de rollback documentado
- [ ] Pruebas en entorno preproducción
- [ ] Validación controles seguridad
- [ ] Comunicación partes interesadas
4.2 Durante implementación:
- [ ] Monitorización reforzada
- [ ] Verificación controles en tiempo real
- [ ] Documentación actividades
- [ ] Preservación evidencias
4.3 Post-implementación:
- [ ] Verificación operación normal
- [ ] Testing controles seguridad
- [ ] Actualización documentación
- [ ] Informe implementación
Responsable evaluación: [___]
Fecha evaluación: [___]
Aprobación RSEG: [Firma electrónica]
Plantilla ENS-AUT-003: Checklist de seguridad pre-producción
CHECKLIST DE SEGURIDAD PRE-PRODUCCIÓN - ENS-AUT-003
SISTEMA: [___]
VERSIÓN: [___]
FECHA EVALUACIÓN: [___]
EVALUADOR: [___]
═══════════════════════════════════════════════════════════════
MARCO ORGANIZATIVO (ORG)
ORG.1 - Política de Seguridad
[ ] Política vigente y aplicable al sistema
[ ] Personal informado de cambios en política
[ ] Responsabilidades definidas y asignadas
ORG.2 - Normativa de Seguridad
[ ] Normativa actualizada aplicable al sistema
[ ] Procedimientos documentados implementados
[ ] Formación completada por personal relevante
ORG.3 - Procedimientos Operativos
[ ] POS específicos documentados y aprobados
[ ] Personal formado en procedimientos
[ ] Herramientas operacionales configuradas
ORG.4 - Proceso de Autorización
[ ] Documentación autorización completa
[ ] Expediente formal creado
[ ] Condiciones de autorización definidas
═══════════════════════════════════════════════════════════════
MARCO OPERACIONAL - PLANIFICACIÓN (OP.PL)
OP.PL.1 - Análisis de Riesgos
[ ] Análisis riesgos actualizado (MAGERIT)
[ ] Riesgos residuales identificados
[ ] Tratamiento riesgos documentado
[ ] Aceptación formal riesgo residual
OP.PL.2 - Arquitectura de Seguridad
[ ] Arquitectura documentada y actualizada
[ ] Controles técnicos implementados
[ ] Segmentación de red configurada
[ ] Puntos de control identificados
OP.PL.3 - Adquisición Nuevos Componentes
[ ] Componentes evaluados seguridad
[ ] Certificaciones requeridas obtenidas
[ ] Integración segura documentada
OP.PL.4 - Dimensionamiento y Gestión Capacidades
[ ] Recursos dimensionados apropiadamente
[ ] Monitorización capacidad implementada
[ ] Alertas configuradas correctamente
OP.PL.5 - Componentes Certificados
[ ] Componentes críticos certificados
[ ] Lista productos aprobados actualizada
[ ] Evidencias certificación archivadas
═══════════════════════════════════════════════════════════════
MARCO OPERACIONAL - CONTROL ACCESO (OP.ACC)
OP.ACC.1 - Identificación
[ ] Sistema identificación usuarios implementado
[ ] Cuentas únicas por usuario
[ ] Trazabilidad accesos garantizada
OP.ACC.2 - Requisitos de Acceso
[ ] Política accesos documentada
[ ] Autorización formal accesos
[ ] Revisión periódica implementada
OP.ACC.3 - Segregación Funciones
[ ] Funciones críticas segregadas
[ ] Conflictos intereses identificados
[ ] Controles compensatorios implementados
OP.ACC.4 - Gestión Derechos Acceso
[ ] Proceso gestión derechos documentado
[ ] Herramientas gestión implementadas
[ ] Auditoría accesos configurada
OP.ACC.5 - Mecanismo Autenticación
[ ] Autenticación fuerte implementada (MFA)
[ ] Políticas contraseñas aplicadas
[ ] Gestión certificados configurada
OP.ACC.6 - Acceso Local
[ ] Accesos locales restringidos
[ ] Consolas físicas protegidas
[ ] Logs acceso local configurados
OP.ACC.7 - Acceso Remoto
[ ] VPN o similar implementado
[ ] Cifrado extremo a extremo
[ ] Monitorización accesos remotos
═══════════════════════════════════════════════════════════════
MARCO OPERACIONAL - EXPLOTACIÓN (OP.EXP)
OP.EXP.1 - Inventario de Activos
[ ] Inventario actualizado y completo
[ ] Clasificación activos realizada
[ ] Responsables activos asignados
OP.EXP.2 - Configuración Seguridad
[ ] Configuración segura por defecto
[ ] Hardening aplicado según estándares
[ ] Documentación configuración actualizada
OP.EXP.3 - Gestión Configuración
[ ] Sistema gestión configuración implementado
[ ] Control cambios configuración
[ ] Trazabilidad modificaciones
OP.EXP.4 - Mantenimiento
[ ] Plan mantenimiento preventivo
[ ] Procedimientos mantenimiento correctivo
[ ] Ventanas mantenimiento definidas
OP.EXP.5 - Gestión Cambios
[ ] Proceso gestión cambios implementado
[ ] CAB (Change Advisory Board) operativo
[ ] Testing cambios obligatorio
OP.EXP.6 - Protección Código Dañino
[ ] Antimalware actualizado
[ ] Análisis código estático/dinámico
[ ] Sandboxing para archivos sospechosos
OP.EXP.7 - Gestión Incidentes
[ ] Procedimiento gestión incidentes aprobado
[ ] Equipo respuesta incidentes formado
[ ] Herramientas response implementadas
OP.EXP.8 - Registro Actividad Usuarios
[ ] Logging usuarios comprehensive
[ ] Retención logs según requisitos
[ ] Monitorización actividad sospechosa
OP.EXP.9 - Registro Gestión Incidentes
[ ] Sistema ticketing implementado
[ ] Clasificación incidentes automatizada
[ ] Reporting incidentes configurado
OP.EXP.10 - Protección Registros Actividad
[ ] Logs protegidos contra modificación
[ ] Backup logs implementado
[ ] Integridad logs verificable
OP.EXP.11 - Protección Claves Criptográficas
[ ] HSM o sistema gestión claves
[ ] Políticas gestión claves documentadas
[ ] Rotación claves automatizada
═══════════════════════════════════════════════════════════════
MEDIDAS PROTECCIÓN - INSTALACIONES (MP.IF)
MP.IF.1 - Áreas Separadas y Control Acceso
[ ] Perímetro físico definido y protegido
[ ] Control acceso físico implementado
[ ] Monitorización accesos físicos
MP.IF.2 - Identificación Personas
[ ] Sistema identificación personal
[ ] Badges/tarjetas acceso activas
[ ] Registro visitantes implementado
MP.IF.3 - Acondicionamiento Locales
[ ] Condiciones ambientales controladas
[ ] HVAC apropiado funcionando
[ ] Protección elementos climáticos
MP.IF.4 - Energía Eléctrica
[ ] UPS instalado y funcional
[ ] Generador emergencia disponible
[ ] Protección sobrecargas instalada
MP.IF.5 - Protección Incendios
[ ] Sistema detección incendios activo
[ ] Supresión automática funcionando
[ ] Extintores apropiados disponibles
MP.IF.6 - Protección Inundaciones
[ ] Sensores agua instalados
[ ] Drenajes y bombas funcionales
[ ] Equipos elevados del suelo
MP.IF.7 - Registro Entrada/Salida Equipos
[ ] Control movimiento equipos implementado
[ ] RFID/códigos barras operativos
[ ] Auditorías inventario programadas
MP.IF.8 - Mantenimiento Instalaciones
[ ] Plan mantenimiento instalaciones
[ ] Contratos mantenimiento vigentes
[ ] Inspecciones regulares programadas
MP.IF.9 - Instalaciones Alternativas
[ ] Sitio backup identificado y preparado
[ ] Conectividad alternativa configurada
[ ] Pruebas failover realizadas
═══════════════════════════════════════════════════════════════
RESUMEN DE EVALUACIÓN
Total ítems evaluados: [___]
Ítems conformes: [___]
Ítems no conformes: [___]
Ítems no aplicables: [___]
Porcentaje conformidad: [___]%
RESULTADO EVALUACIÓN:
[ ] APTO PARA PRODUCCIÓN - Todas las medidas críticas implementadas
[ ] APTO CON CONDICIONES - Requiere implementar: [___]
[ ] NO APTO - No conformidades críticas: [___]
CONDICIONES PARA AUTORIZACIÓN (si aplica):
1. [___]
2. [___]
3. [___]
RECOMENDACIONES:
1. [___]
2. [___]
3. [___]
PRÓXIMA REVISIÓN: [___]
═══════════════════════════════════════════════════════════════
Evaluador: [___]
Fecha: [___]
Aprobado por RSEG: [Firma electrónica]
Proceso de re-autorización tras cambios
Criterios de re-autorización
| Tipo de cambio | Requiere re-autorización | Procedimiento aplicable |
|---|---|---|
| Cambio categoría DICAT | SÍ - Obligatoria | Autorización inicial completa |
| Nueva funcionalidad crítica | SÍ - Obligatoria | Evaluación impacto + auditoría |
| Cambio arquitectura seguridad | SÍ - Obligatoria | Re-autorización simplificada |
| Nueva integración sistema | SÍ - Obligatoria | Evaluación impacto específica |
| Parche crítico de seguridad | NO - Evaluación | Evaluación impacto acelerada |
| Actualización menor | NO - Registro | Notificación + registro |
| Cambio configuración no crítica | NO - Registro | Proceso gestión cambios |
Procedimiento re-autorización simplificada
Re_Authorization_Process:
Initiation:
- Change_impact_assessment_ENS-AUT-002
- Risk_differential_analysis
- Affected_measures_identification
- Stakeholder_notification
Evaluation:
Duration: "15-30 días"
Focus_Areas:
- Modified_security_measures_only
- New_risks_introduced
- Compensating_controls_adequacy
- Integration_with_existing_controls
Testing:
- Security_regression_testing
- Integration_testing_affected_components
- Performance_impact_assessment
- User_acceptance_testing_security
Decision:
- Technical_report_focused
- Risk_acceptance_updated
- Authorization_amendment_issued
- Communication_plan_executed
Registro de autorizaciones
Sistema de registro ENS-REG-001
Base de datos centralizada con:
CREATE TABLE ENS_Authorizations (
id UUID PRIMARY KEY,
system_name VARCHAR(100) NOT NULL,
authorization_type ENUM('INICIAL', 'REAUTORIZACION', 'PROVISIONAL'),
category ENUM('BASICA', 'MEDIA', 'ALTA'),
request_date DATE NOT NULL,
authorization_date DATE,
expiry_date DATE,
status ENUM('SOLICITADA', 'EN_EVALUACION', 'AUTORIZADA', 'DENEGADA', 'VENCIDA'),
conditions TEXT,
responsible_info VARCHAR(100),
responsible_service VARCHAR(100),
responsible_security VARCHAR(100),
responsible_system VARCHAR(100),
audit_file_path VARCHAR(500),
risk_analysis_ref VARCHAR(100),
compliance_percentage DECIMAL(5,2),
next_review_date DATE,
created_at TIMESTAMP,
updated_at TIMESTAMP,
FOREIGN KEY (system_name) REFERENCES Systems(name)
);
CREATE TABLE ENS_Authorization_Conditions (
id UUID PRIMARY KEY,
authorization_id UUID,
condition_type ENUM('OBLIGATORIA', 'NECESARIA', 'CONVENIENTE'),
description TEXT NOT NULL,
responsible VARCHAR(100),
due_date DATE,
status ENUM('PENDIENTE', 'EN_PROGRESO', 'COMPLETADA', 'VENCIDA'),
completion_evidence VARCHAR(500),
FOREIGN KEY (authorization_id) REFERENCES ENS_Authorizations(id)
);
Dashboard de seguimiento
Métricas clave monitorizadas:
| Métrica | Objetivo | Actual | Tendencia |
|---|---|---|---|
| Tiempo medio autorización | <30 días | [___] días | [↗️↔️↘️] |
| % Autorizaciones en plazo | >95% | [___]% | [↗️↔️↘️] |
| % Conformidad primera evaluación | >85% | [___]% | [↗️↔️↘️] |
| Sistemas con autorización vigente | 100% | [___]% | [↗️↔️↘️] |
| Condiciones pendientes | <5 | [___] | [↗️↔️↘️] |
| Re-autorizaciones vencidas | 0 | [___] | [↗️↔️↘️] |
Alertas automáticas
Alert_Configuration:
Authorization_Expiry:
- 90_days_before: "Notification to RSERV"
- 30_days_before: "Alert to RSEG + RINF"
- 7_days_before: "Critical alert to all stakeholders"
- Expired: "System suspension warning"
Condition_Due_Dates:
- 15_days_before: "Notification to responsible"
- 5_days_before: "Alert to RSEG"
- Overdue: "Escalation to management"
Process_KPIs:
- Authorization_time_90th_percentile: "> 45 days"
- Non_conformity_rate: "> 20%"
- Pending_evaluations: "> 5 systems"
Revisión y mejora continua
Ciclo de revisión ENS
Revisiones programadas:
| Tipo revisión | Periodicidad | Alcance | Responsable |
|---|---|---|---|
| Ordinaria | Anual | Procedimiento completo | Resp. Seguridad |
| Normativa | Inmediata | Cambios RD 311/2022 o CCN-STIC | Comité Seguridad |
| Post-incidente | Ad hoc | Lecciones aprendidas | Resp. Seguridad |
| Auditoría | Anual | Hallazgos y recomendaciones | Auditoría Interna |
| Mejora continua | Trimestral | KPIs y métricas | Comité Seguridad |
Fuentes de mejora
Entradas_Mejora:
Internas:
- Métricas_proceso_autorización
- Feedback_usuarios_proceso
- Incidentes_seguridad
- Auditorías_internas
- Sugerencias_personal
Externas:
- Actualizaciones_CCN-STIC
- Cambios_normativos
- Alertas_CCN-CERT
- Benchmarking_sector
- Requisitos_MDR/FDA
Análisis:
- Tendencias_KPIs
- Análisis_causa_raíz
- Coste-beneficio
- Impacto_organizativo
- Viabilidad_técnica
Gestión del cambio
Proceso de actualización:
- Identificación de necesidad de cambio
- Evaluación de impacto en el SGSI
- Diseño de la modificación
- Consulta a partes interesadas
- Aprobación por Comité de Seguridad
- Implementación controlada
- Formación si requiere
- Verificación de efectividad
- Documentación actualizada
- Comunicación a la organización
Indicadores de madurez
| Nivel | Descripción | Características |
|---|---|---|
| 1 | Inicial | Proceso ad hoc, no documentado |
| 2 | Repetible | Proceso documentado, aplicación variable |
| 3 | Definido (actual) | Proceso estandarizado ENS |
| 4 | Gestionado (objetivo 2025) | Métricas y control estadístico |
| 5 | Optimizado | Mejora continua sistematizada |
Signature meaning
The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:
- Author: Team members involved
- Reviewer: JD-003, JD-004
- Approver: JD-001