Skip to main content
QMSQMS
QMS
  • Welcome to your QMS
  • Quality Manual
  • Procedures
  • Records
    • GP-001 Documents and records control
    • GP-002 Quality planning
    • GP-003 Audits
    • GP-004 Vigilance system
    • GP-005 HR and training
    • GP-007 Post-market surveillance
    • GP-009 Sales
    • GP-010 Suppliers
    • GP-011 Provision of service
    • GP-012 Design, Redesign and Development
    • GP-018 Infrastructure and facilities
    • GP-019 Non-product software validation
    • GP-023 Change control management
    • GP-031 Training Data Governance
    • GP-050 Data Protection
    • GP-051 Security violations
    • GP-052 Data Privacy Impact Assessment (DPIA)
    • GP-110 Esquema Nacional de Seguridad
      • General
      • ORG Marco Organizativo
      • OP Marco Operacional
      • MP Medidas de Protección
        • Registro de borrado seguro
        • Píldoras de concienciación ENS
        • R-110-016 Evidencias de Entornos Separados (MP.SW.2)
        • R-110-017 Formación ENS: Configuración Segura de Sistemas AWS y Google Workspace
        • R-110-018 Formación ENS: Detección y Reacción ante Incidentes de Seguridad
        • R-110-019 Formación ENS: Gestión Segura de Información
    • GP-200 Remote Data Acquisition in Clinical Investigations
  • Legit.Health Plus Version 1.1.0.0
  • Legit.Health Plus Version 1.1.0.1
  • Legit.Health Utilities
  • Licenses and accreditations
  • Applicable Standards and Regulations
  • BSI Non-Conformities
  • Pricing
  • Public tenders
  • Records
  • GP-110 Esquema Nacional de Seguridad
  • MP Medidas de Protección
  • R-110-018 Formación ENS: Detección y Reacción ante Incidentes de Seguridad

R-110-018 Formación ENS: Detección y Reacción ante Incidentes de Seguridad

Material formativo para la segunda de las 3 formaciones obligatorias ENS (MP.PER.4), destinada a todo el personal dentro del alcance del ENS.

Datos de la formación​

CampoValor
CódigoENS-FORM-002
Duración2 horas
ModalidadOnline (videoconferencia)
Fecha planificadaSeptiembre 2026
Público objetivoTodo el personal en alcance ENS (7 personas)
ResponsableRSEG
Referencia ENSMP.PER.4, OP.EXP.7

Contenido​

Módulo 1: Qué es un incidente de seguridad (20 min)​

1.1 Definición​

Un incidente de seguridad es cualquier evento que compromete o puede comprometer la confidencialidad, integridad, disponibilidad, autenticidad o trazabilidad de la información o los servicios del sistema.

1.2 Ejemplos de incidentes​

TipoEjemplos
Acceso no autorizadoLogin desde ubicación inusual, cuenta comprometida, escalada de privilegios
Código dañinoRansomware, troyano, spyware detectado por WatchGuard EPDR
Denegación de servicioCaída del servicio por ataque DDoS, saturación de recursos
Fuga de informaciónEnvío accidental de datos clínicos, exposición de API keys
Ingeniería socialPhishing, suplantación de identidad, pretexting
Compromiso de credencialesContraseña filtrada en brecha externa, reutilización detectada

Módulo 2: Clasificación de incidentes — Guía CCN-STIC 817 (30 min)​

2.1 Categorías según Guía 817​

CategoríaDescripciónEjemplo
Contenido abusivoSpam, acoso, contenido ilegalEmail masivo desde cuenta comprometida
Código dañinoVirus, gusanos, troyanos, ransomwareAlerta WatchGuard de malware
Obtención de informaciónEscaneos, sniffing, phishingIntento de phishing dirigido
Intento de intrusiónExplotación de vulnerabilidades, fuerza brutaMúltiples intentos de login fallidos
IntrusiónCompromiso de cuenta, defacementAcceso confirmado por atacante
DisponibilidadDoS, DDoS, sabotajeServicio caído por ataque
Compromiso de informaciónAcceso no autorizado a datos, exfiltraciónDescarga masiva de datos
FraudeSuplantación, phishing exitosoCEO fraud por email

2.2 Niveles de peligrosidad​

NivelDescripciónTiempo de respuesta
CríticoAfecta a datos clínicos o servicio esencialInmediato (< 4h)
Muy altoCompromiso confirmado de sistema en producción< 8h
AltoIntento de intrusión con indicios de éxito parcial< 24h
MedioIncidente contenido sin impacto en producción< 48h
BajoEvento de seguridad menor, sin impacto real< 72h

Módulo 3: Procedimiento interno de comunicación (30 min)​

3.1 Cómo reportar un incidente​

Canal principal: Email al Responsable de Seguridad (RSEG)

Información mínima a incluir:

  1. ¿Qué has observado? (descripción del evento)
  2. ¿Cuándo ocurrió? (fecha y hora aproximada)
  3. ¿Qué sistemas están afectados?
  4. ¿Has tomado alguna acción? (ej. desconectar el equipo)

Acciones inmediatas del usuario:

  • No apagar el equipo (se perderían evidencias en memoria)
  • Desconectar de la red Wi-Fi si se sospecha malware activo
  • No intentar resolver el problema por cuenta propia
  • Documentar lo ocurrido con capturas de pantalla si es posible
  • Comunicar al RSEG sin demora

3.2 Flujo de gestión​

  1. Detección → Usuario o sistema automatizado (Wazuh, WatchGuard)
  2. Notificación → Al RSEG por email
  3. Clasificación → RSEG clasifica según Guía 817
  4. Contención → Medidas inmediatas para limitar el impacto
  5. Erradicación → Eliminar la causa del incidente
  6. Recuperación → Restaurar servicios afectados
  7. Lecciones aprendidas → Documentar y mejorar procedimientos

3.3 Notificación a CCN-CERT​

Para incidentes de nivel Alto o superior, el RSEG notifica al CCN-CERT conforme al procedimiento OP.EXP.7.

Módulo 4: Herramientas de detección (20 min)​

4.1 WatchGuard EPDR​

  • Protección en tiempo real contra malware y amenazas avanzadas
  • Cada empleado puede ver el estado del agente en su equipo
  • Si el icono de WatchGuard no aparece en la barra de menú, comunicar al RSIS

4.2 Wazuh (SIEM)​

  • Monitorización centralizada de eventos de seguridad
  • Correlación de logs de AWS, Google Workspace y endpoints
  • Alertas automáticas que el RSEG revisa diariamente

Módulo 5: Ejercicio práctico (20 min)​

Se presentan 5 escenarios simulados. Para cada uno, los asistentes deben identificar:

  1. ¿Es un incidente de seguridad?
  2. ¿Qué categoría de la Guía 817?
  3. ¿Qué nivel de peligrosidad?
  4. ¿Qué acciones inmediatas tomarías?

Escenarios:

  1. Recibes un email de "Google" pidiendo verificar tu contraseña
  2. WatchGuard muestra una alerta de "malware detected" en tu Mac
  3. No puedes acceder a tu cuenta de AWS — dice "password changed"
  4. Un compañero te pide sus credenciales de GitHub porque "olvidó las suyas"
  5. Notas que un bucket S3 tiene permisos públicos de lectura

Evaluación​

Cuestionario de 10 preguntas + resolución de los 5 escenarios prácticos. Puntuación mínima: 70%.

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

  • Author: Team members involved
  • Reviewer: JD-003 Design & Development Manager, JD-004 Quality Manager & PRRC
  • Approver: JD-001 General Manager
ㅤ

Previous
R-110-017 Formación ENS: Configuración Segura de Sistemas AWS y Google Workspace
Next
R-110-019 Formación ENS: Gestión Segura de Información
All the information contained in this QMS is confidential. The recipient agrees not to transmit or reproduce the information, neither by himself nor by third parties, through whichever means, without obtaining the prior written permission of Legit.Health (AI Labs Group S.L.)