Register Now

Login

Lost Password

Enter your email to reset your password.

BY Author

Arquitectura y Medidas de Seguridad

INTRODUCCIÓN

Vítaly Health Services, S.L.U. implementa, opera y evoluciona un Sistema de Gestión de Seguridad de la Información para garantizar la seguridad lógica, física y operacional del tratamiento de la información de sus clientes en sus servicios de Prevención de Riesgos Laborales y Salud.

Esta política se ha definido y desarrollado tras procesos de análisis de riesgos de nuestras plataformas, de la infraestructura y de las aplicaciones, definiéndose sobre los requisitos del Reglamento Europeo de Protección de datos GDPR 2016/679 y la LOPD-GDD, otra legislación en el ámbito de PRL y Ley del Paciente, y los estándares ISO 27001:2022 y Esquema Nacional de Seguridad, y establece como principal objetivo de Seguridad en sus Sistemas, las siguientes bases sobre las aplicaciones externas y aquellas internas necesarias para su funcionamiento:

  • Disponibilidad: Para asegurar que todas las personas autorizados y procesos tengan acceso a la información cuando lo requieran.
  • Integridad: Para preservar la veracidad, completitud de la información y los métodos de procesamiento.
  • Confidencialidad: Para asegurar que a la información sólo pueda ser accesible a las personas y procesos que cuenten con la autorización o con los permisos respectivos.
  • Trazabilidad. Para asegurar que las actuaciones de una entidad puedan ser imputadas exclusivamente a dicha entidad. 
  • Autenticidad. Necesario para asegurar que la entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.

Y los principios básicos que Vítaly Health Services sigue para proteger la información y la Infraestructura se basan en el framework NIST y en las buenas prácticas de ISO 27001:2022:

  • Identificación
  • Prevención
  • Detección
  • Respuesta
  • Conservación

Con el objetivo de informar a nuestros Clientes, Vítaly Health Services presenta en este documento un resumen de la arquitectura de los Sistemas de Información, así como de las medidas de seguridad implantadas.

PRINCIPIOS Y MODELO ARQUITECTÓNICO

La arquitectura de seguridad está documentada y se fundamenta en un modelo avanzado que combina varios principios estratégicos para garantizar una defensa robusta y resiliente. Los pilares de esta arquitectura son:

  • Modelo de Confianza Cero (Zero Trust): El principio rector es “nunca confiar, siempre verificar”. El acceso a cualquier recurso, sin importar su ubicación, se concede únicamente tras una estricta verificación de la identidad del usuario y el contexto del dispositivo. Este enfoque abandona el concepto de un perímetro de red seguro y asume que las amenazas pueden originarse tanto dentro como fuera de la red corporativa.
  • Defensa en Profundidad: Se implementa una estrategia de seguridad multicapa donde se superponen diversos controles de seguridad (tecnológicos, físicos y organizativos) para proteger los activos de información. Si una capa de defensa es superada, las siguientes están diseñadas para contener la amenaza.
  • Seguridad por Diseño y por Defecto: La seguridad se integra desde las fases iniciales del diseño de cualquier sistema o aplicación (DevSecOps) y no como un añadido posterior. Los sistemas se configuran para ofrecer la funcionalidad mínima indispensable, reduciendo la superficie de exposición a ataques.
  • Mínimo Privilegio: Los usuarios, sistemas y aplicaciones solo reciben los permisos estrictamente necesarios para desempeñar sus funciones legítimas. Este principio se aplica rigurosamente para limitar el impacto potencial de una cuenta comprometida.
  • Separación de Entornos: Existen entornos completamente aislados para desarrollo, pruebas (o preproducción) y producción, con el fin de minimizar el riesgo de que cambios no verificados afecten a los servicios en vivo.
  • Gestión Basada en Riesgos: Las medidas de seguridad se aplican de forma proporcional a los riesgos identificados, en alineación con los requisitos del Esquema Nacional de Seguridad (ENS) e ISO 27001.

La infraestructura tecnológica sigue un modelo híbrido con prioridad en la nube (cloud-first), combinando recursos principales en Cloud con equipamiento en sedes físicas y centros de datos de alta seguridad. Para garantizar la soberanía de los datos, toda la infraestructura y los datos se alojan exclusivamente en centros de datos ubicados en la Unión Europea (España, Bélgica y Países Bajos).

ARQUITECTURA DE RED Y SEGURIDAD PERIMETRAL

La protección de la red es una de las capas fundamentales de la estrategia de defensa en profundidad. Se combina la seguridad en la nube y en las instalaciones físicas.

  • Protección de Aplicaciones y APIs (Seguridad en Capa 7):
    • Web Application Firewall (WAF): Todas las aplicaciones y APIs expuestas a Internet están protegidas por el WAF. Esta solución actúa como un escudo que inspecciona todo el tráfico HTTP/S antes de que llegue a los servidores, proporcionando protección contra ataques web comunes (OWASP Top 10) como SQL Injection y Cross-Site Scripting. Además, ofrece protección avanzada contra ataques de Denegación de Servicio Distribuido (DDoS) a nivel de aplicación y una gestión sofisticada de bots para mitigar el tráfico malicioso automatizado. La eficacia de esta protección se monitoriza continuamente a través de informes de ataques y de configuración.

      Como capa adicional de defensa está implantado el servicio de seguridad de red del proveedor Cloud para proteger las aplicaciones contra ataques DDoS y otras amenazas web, que permite crear políticas de seguridad basadas en geolocalización, direcciones IP y utiliza reglas preconfiguradas para mitigar los riesgos del OWASP Top 10, bloqueando el tráfico malicioso en el perímetro de la red de Google.
  • Seguridad Perimetral de Red (Capas 3 y 4):
    • Firewalls de Nueva Generación: En las oficinas se despliegan cortafuegos de nueva generación que actúan como primera línea de defensa. Estos dispositivos segmentan la red interna mediante VLANs para aislar distintos entornos y aplican funcionalidades de Sistema de Detección/Prevención de Intrusiones (IDS/IPS) para identificar y bloquear tráfico de red sospechoso.
    • Red SD-WAN: Se utiliza una red de área amplia definida por software (SD-WAN) para interconectar las sedes con la nube de forma segura y eficiente, optimizando el enrutamiento del tráfico como parte de un modelo SASE (Secure Access Service Edge).

GESTION DE IDENTIDAD Y CONTROL DE ACCESO

El acceso a los sistemas se basa en la identidad verificada, el principio de mínimo privilegio, garantizando que los usuarios solo puedan acceder a la información estrictamente necesaria para sus funciones.

  • Autenticación y Autorización:
    • Autenticación Multifactor (MFA): es obligatoria para todos los accesos a los sistemas para verificar la identidad del usuario.
    • Acceso de Confianza Cero (ZTNA): Que proporciona acceso granular y seguro a aplicaciones específicas, eliminando la exposición de la red interna y reemplazando las VPN tradicionales para el acceso de usuarios.
  • Gestión de Privilegios:
    • Roles de Acceso (RBAC): Se utilizan roles y privilegios granulares tanto en aplicaciones como en bases de datos para aplicar el principio de mínimo privilegio.
    • Segregación de Funciones: Se separan las funciones y responsabilidades en conflicto para evitar que una sola persona pueda comprometer un proceso crítico.

PROTECCIÓN DE ENDPOINTS Y SERVIDORES

Los dispositivos de usuario final (portátiles, móviles) y los servidores son una capa crítica de defensa, ya que son el objetivo principal de ataques de código dañino.

  • Protección Avanzada:
    • Next-Gen Antivirus (NGAV): A diferencia de los antivirus tradicionales basados en firmas, el NGAV utiliza inteligencia artificial y análisis de comportamiento (Indicadores de Ataque – IOAs) para prevenir infecciones de malware conocido y desconocido, incluyendo ransomware.
    • Detección y Respuesta en el Endpoint (EDR): El agente del Endpoint monitoriza continuamente la actividad en los dispositivos, registrando eventos para detectar comportamientos sospechosos o maliciosos. Esto permite a los equipos de seguridad investigar amenazas en tiempo real y responder de forma inmediata para aislarlas.
    • Managed Detection and Response (MDR): Este servicio complementa la tecnología con un equipo de expertos que monitoriza el entorno 24/7, gestiona alertas, busca proactivamente amenazas (Threat Hunting) y dirige la respuesta a incidentes.
  • Gestión y Monitorización Remota: se utiliza para la gestión centralizada del parque de ordenadores de los usuarios. Esta herramienta permite al equipo de TI supervisar el estado de los dispositivos, automatizar la instalación de parches de seguridad del sistema operativo y aplicaciones, y garantizar que las configuraciones de seguridad se apliquen de manera consistente. También se utiliza para realizar inventarios de activos y software, detectando instalaciones no autorizadas.
  • Filtrado de Contenido Web: Se implementa un sistema de filtrado web para proteger a los usuarios y sistemas contra contenido malicioso o no autorizado.
  • Gestión de Dispositivos Móviles (MDM): Los dispositivos corporativos, tanto PCs como smartphones, son gestionados de forma centralizada para aplicar políticas de seguridad, realizar inventarios y bloquearlos en caso de necesidad.

VISIBILIDAD, DETECCIÓN Y RESPUESTA A INCIDENTES

Una detección temprana y una respuesta rápida son clave para minimizar el impacto de un incidente de seguridad.

  • Next-Gen SIEM: La organización utiliza una solución Next-Gen SIEM como su plataforma de gestión de eventos e información de seguridad de nueva generación. Esta solución centraliza y correlaciona en tiempo real logs y eventos de múltiples fuentes (endpoints, seguridad perimetral/firewalls, accesos y de los servicios en la nube). Su arquitectura permite búsquedas ultrarrápidas de grandes volúmenes de datos, facilitando la investigación de incidentes y la caza proactiva de amenazas.
  • Monitorización en la Nube: Se utiliza un panel de gestión centralizado para la seguridad Cloud. Proporciona visibilidad sobre todos los activos en la nube, detecta vulnerabilidades, configuraciones incorrectas y amenazas, y ayuda a garantizar el cumplimiento normativo del entorno cloud.

SEGURIDAD DE DATOS

La protección de los datos, tanto en tránsito como en reposo, es una prioridad fundamental.

  • Cifrado de Datos en Tránsito: Toda la comunicación que fluye por redes públicas o internas está cifrada. Se utiliza el protocolo TLS para las conexiones web y de correo, y soluciones ZTNA para el acceso remoto seguro.
  • Cifrado de Datos en Reposo: Todos los datos sensibles se almacenan de forma cifrada. El cifrado en reposo se aplica por defecto a todos los servicios de almacenamiento. Las copias de seguridad también se almacenan siempre cifradas.

SEGURIDAD EN LAS APLICACIONES

La seguridad se integra en todo el ciclo de vida del desarrollo (DevSecOps) mediante un enfoque automatizado y por capas.

  • Desarrollo Seguro (DevSecOps):
    • Se aplican principios de codificación segura para evitar vulnerabilidades conocidas, como las del OWASP Top 10.
    • Se realizan análisis de vulnerabilidades y pruebas de seguridad de forma periódica durante el ciclo de desarrollo:
      • SAST (Análisis Estático de Seguridad de Aplicaciones): Se inspecciona el código fuente en busca de vulnerabilidades antes de que se ejecute. Este análisis es un paso automático y obligatorio dentro del proceso de integración continua (CI/CD) previo a cualquier despliegue.
      • DAST (Análisis Dinámico de Seguridad de Aplicaciones): Se analiza la aplicación mientras está en funcionamiento para detectar vulnerabilidades que solo aparecen en tiempo de ejecución. Estas auditorías son un requisito antes de pasar a producción.
      • SCA (Análisis de Composición de Software): Se enfoca en identificar y gestionar las vulnerabilidades presentes en las librerías de terceros y componentes de código abierto que utilizan el software.
    • Repositorios de código: Actúan como el sistema central para el control de versiones del código fuente, garantizando la trazabilidad y seguridad del mismo. El acceso a estos repositorios está estrictamente controlado y es donde se integran las herramientas SAST, DAST y SCA. Además, se utilizan para facilitar las revisiones de código (code reviews), que son un paso fundamental para asegurar la calidad y la seguridad del software.

GOBERNANZA, RIESGO Y CUMPLIMIENTO (GRC)

La arquitectura y las medidas de seguridad se sostienen sobre un marco de gobernanza sólido.

  • Políticas y Procedimientos: Existe un conjunto documental completo que define las políticas, normas y procedimientos de seguridad, alineado con normativas como ISO/IEC 27001 y el Esquema Nacional de Seguridad (ENS).
  • Roles y Responsabilidades: Están claramente definidos los roles clave como el Responsable de Seguridad, Responsable del Sistema y Responsable de la Información, asegurando una clara asignación de tareas.
  • Auditorías y Mejora Continua: El Sistema de Gestión de Seguridad de la Información (SGSI) es sometido a auditorías internas y externas de forma periódica para verificar su eficacia y cumplimiento, impulsando un ciclo de mejora continua.
Posted by