📚 TEMARIO TFA-STI SAS | OPE 2025
Tema 77: El Esquema Nacional de Seguridad. Ley de la Protección de las Infraestructuras Críticas
¡Hola, futuro compañero del SAS!
Mira, voy a serte sincero desde el principio: este tema es oro puro para tu oposición. En el último examen cayeron 3 preguntas directas sobre ENS (preguntas 39, 109 y 152), y una de ellas era en caso práctico. ¿Sabes lo que eso significa? Que el tribunal lo considera fundamental.
Y tiene sentido, ¿verdad? Piénsalo: el Sistema Sanitario Público de Andalucía maneja datos de salud de 8,5 millones de ciudadanos. Estamos hablando de historias clínicas en Diraya, recetas electrónicas, sistemas de imagen médica… Un fallo de seguridad aquí no es «solo» un problema técnico. Puede costar vidas.
Por eso el ENS será tu biblia en el día a día: desde configurar un servidor de Diraya hasta auditar el CPD de un hospital. Así que respira hondo, ponte cómodo y vamos a dominar este tema juntos. Te lo voy a explicar como me hubiera gustado que me lo explicaran a mí cuando empecé.
📋 1. Introducción y Contextualización
⚠️ DATO CLAVE PARA EL EXAMEN: En la última OPE 2025 cayeron las preguntas 39 (diferencias MEDIO/ALTO), 109 (escritorios virtuales y trazabilidad) y 152 (ámbito de aplicación al sector privado). Este tema es imprescindible.
¿Por qué el ENS es tan crítico para el SAS?
El Servicio Andaluz de Salud gestiona algunos de los sistemas de información más sensibles y críticos de toda la administración pública andaluza:
- 🏥 Diraya: Historia de Salud Digital con millones de registros clínicos
- 💊 Receta XXI: Sistema de prescripción electrónica
- 📸 PACS: Sistemas de imagen médica (TAC, resonancias…)
- 📱 ClicSalud+: Portal de pacientes y cita previa
- 📊 Business Intelligence: Cuadros de mando asistenciales
Todos estos sistemas están clasificados en categoría ALTA según el ENS. Eso implica:
- Auditorías de seguridad anuales
- SOC (Security Operations Center) operativo 24/7
- Autenticación multifactor obligatoria
- Cifrado de datos en reposo y en tránsito
- Logs de auditoría con retención de 6 años
💡 CASO REAL SAS: Cuando un médico accede a Diraya en el Hospital Virgen del Rocío, utiliza su tarjeta sanitaria con certificado digital + PIN (autenticación multifactor nivel ALTO). Cada acceso queda registrado con trazabilidad completa: quién, qué, cuándo y desde dónde.
Estructura del Tema que Vamos a Seguir
- Marco Normativo y Evolución del ENS
- Ámbito de Aplicación y Principios Básicos
- Categorización de Sistemas
- Medidas de Seguridad por Niveles
- Auditorías y Certificación
- Ley de Protección de Infraestructuras Críticas (Ley 8/2011)
- Aplicación Práctica en el SAS
- Casos Prácticos y Preguntas de Examen
⚖️ 2. Marco Normativo del ENS
2.1. Real Decreto 311/2022: La Nueva Versión del ENS
⚠️ CUIDADO: Muchos preparadores siguen usando material del RD 3/2010 (DEROGADO). El ENS actual es el Real Decreto 311/2022, de 3 de mayo. Asegúrate de que tus apuntes estén actualizados o podrías responder con normativa obsoleta en el examen.
El RD 311/2022 es una actualización profunda que refleja los cambios tecnológicos y de amenazas de los últimos años. Veamos los cambios más importantes:
| Aspecto | RD 3/2010 (antiguo) | RD 311/2022 (vigente) |
|---|---|---|
| Enfoque | Medidas de seguridad rígidas | Gestión basada en riesgos |
| Cloud Computing | No contemplado explícitamente | Sección específica (art. 23) |
| Auditorías | Cada 2 años (nivel MEDIO) | Mismo período, más exigentes |
| CCN-CERT | Rol limitado | Competencias ampliadas |
| Ciberseguridad | Enfoque reactivo | Enfoque proactivo (detección) |
2.2. Jerarquía Normativa en Seguridad TIC
┌─────────────────────────────────────────┐
│ Constitución Española (Art. 18.4) │ ← Protección de datos
└──────────────────┬──────────────────────┘
│
┌──────────────────▼──────────────────────┐
│ Ley 40/2015 (LRJSP) │ ← Administración digital
└──────────────────┬──────────────────────┘
│
┌──────────────────▼──────────────────────┐
│ RD 311/2022 - ENS │ ← Seguridad de sistemas
└──────────────────┬──────────────────────┘
│
┌──────────┴──────────┐
│ │
┌───────▼────────┐ ┌───────▼────────────┐
│ Guías CCN-STIC │ │ ISO 27001/27002 │
│ (operativas) │ │ (complementarias) │
└────────────────┘ └────────────────────┘
2.3. Relación con Otras Normativas
El ENS no funciona en solitario. Se complementa y solapa con otras normativas que también debes conocer:
- RGPD (Reglamento UE 2016/679): Protección de datos personales. Los datos de salud son «categoría especial» con protección reforzada.
- LOPDGDD (Ley Orgánica 3/2018): Adaptación española del RGPD.
- ENI (RD 4/2010): Esquema Nacional de Interoperabilidad entre sistemas.
- eIDAS (Reglamento UE 910/2014): Identificación electrónica y servicios de confianza.
- Directiva NIS2 (UE 2022/2555): Ciberseguridad de infraestructuras críticas.
En el SAS específicamente, también aplica:
- Ley 41/2002 de Autonomía del Paciente
- Ley 2/1998 de Salud de Andalucía
- Decreto 534/2021 de Administración Electrónica del SAS
🎯 3. Ámbito de Aplicación del ENS
3.1. ¿A Quién Aplica el ENS?
⚠️ PREGUNTA DE EXAMEN (P152): El ENS se aplica a los sistemas de información del sector privado cuando presten servicios o provean soluciones a las entidades del sector público. Esta pregunta cayó literalmente en el cuestionario de reserva.
📊 ÁMBITO DE APLICACIÓN DEL ENS ┌─────────────────────────────────────────┐ │ SECTOR PÚBLICO (Obligatorio) │ ├─────────────────────────────────────────┤ │ • AGE (Ministerios, organismos) │ │ • CCAA (Junta de Andalucía, SAS) │ │ • Entidades Locales (Ayuntamientos) │ │ • Universidades públicas │ │ • Organismos autónomos │ └─────────────────────────────────────────┘ ┌─────────────────────────────────────────┐ │ SECTOR PRIVADO (Condicional) │ ├─────────────────────────────────────────┤ │ ✅ Proveedores de cloud al sector │ │ público (AWS, Azure Gov) │ │ ✅ Empresas con contratos TIC públicos │ │ (Everis, Indra, Atos en SAS) │ │ ✅ Operadores de servicios críticos │ │ (telco, energía) │ │ ❌ Empresas privadas sin relación │ │ con AAPP │ └─────────────────────────────────────────┘
💼 CASO SAS REAL: Cuando el SAS contrata a Indra para el mantenimiento evolutivo de Diraya, Indra (empresa privada) DEBE cumplir ENS en todos los sistemas que tocan datos del SAS, aunque Indra no sea una administración pública. Es una extensión de la obligación del SAS como responsable de los sistemas.
3.2. Sistemas Excluidos del ENS
Hay algunos sistemas que NO están sujetos al ENS porque tienen normativa específica más restrictiva:
- Información clasificada: Secretos oficiales (CONFIDENCIAL, SECRETO, RESERVADO) → Se rige por normativa específica de secretos.
- Sistemas de defensa y seguridad nacional: Fuerzas Armadas, servicios de inteligencia.
- CNI: El Centro Nacional de Inteligencia tiene su propio marco normativo (CCN-STIC pero con requisitos superiores).
📊 4. Categorización de Sistemas
Aquí es donde muchos opositores se atascan, pero es fundamental para entender todo lo demás. La categorización determina qué nivel de medidas de seguridad debes aplicar.
4.1. Las 5 Dimensiones de Seguridad (DITCA)
El ENS evalúa los sistemas según 5 dimensiones. Te recomiendo que las memorices con el acrónimo DITCA:
🔐 LAS 5 DIMENSIONES DEL ENS (DITCA)
- D → Disponibilidad – ¿El sistema está accesible cuando se necesita?
- I → Integridad – ¿Los datos están completos y sin alterar?
- T → Trazabilidad – ¿Podemos saber quién hizo qué y cuándo?
- C → Confidencialidad – ¿Solo pueden acceder personas autorizadas?
- A → Autenticidad – ¿Podemos verificar la identidad de usuarios?
💡 TRUCO MNEMOTÉCNICO: «Di Tú Cómo Accedes» = Disponibilidad, Integridad, Trazabilidad, Confidencialidad, Autenticidad.
4.2. Niveles de Impacto
Cada una de estas 5 dimensiones se clasifica en 3 niveles según el impacto que tendría un fallo de seguridad:
| Nivel | Impacto | Ejemplo en el SAS |
|---|---|---|
| BAJO | Limitado, afecta de forma leve | Web informativa de un centro de salud |
| MEDIO | Grave, afecta de forma importante | Sistema de gestión de consultas externas |
| ALTO | Muy grave, afecta de forma crítica | Diraya (historia clínica digital) |
4.3. Fórmula de Categorización del Sistema
📐 REGLA DE ORO: La categoría global del sistema es el nivel MÁS ALTO de cualquiera de las 5 dimensiones. NO se hace promedio, se coge el máximo.
🔍 Ejemplo Práctico: Categorización de Receta XXI
Vamos a categorizar el sistema de Receta Electrónica del SAS:
- Disponibilidad: ALTA → Si cae Receta XXI, los pacientes no pueden retirar medicación en farmacias. Es un problema grave, especialmente en tratamientos crónicos (diabéticos, hipertensos…).
- Integridad: ALTA → Un error en la dosis prescrita (por ejemplo, cambiar 100mg por 1000mg) puede causar intoxicación o muerte.
- Trazabilidad: ALTA → Debe quedar registro de qué médico prescribió qué medicamento a qué paciente, para auditorías y responsabilidad profesional.
- Confidencialidad: ALTA → Los datos de medicación son datos de salud (RGPD categoría especial). Saber que alguien toma antidepresivos, por ejemplo, es información muy sensible.
- Autenticidad: ALTA → Solo médicos autorizados pueden prescribir. Hay que verificar que quien firma la receta es realmente el médico y no un impostor.
🎯 Resultado: Categoría = MAX(ALTA, ALTA, ALTA, ALTA, ALTA) = ALTA
4.4. Tabla de Impactos por Dimensión
Esta tabla es oro. Memorízala bien porque te ayudará a categorizar sistemas en casos prácticos:
| Dimensión | BAJO | MEDIO | ALTO |
|---|---|---|---|
| Disponibilidad | Molestia leve, el servicio puede esperar | Interrupción significativa del servicio | Pérdida de vidas o servicios esenciales |
| Integridad | Error menor sin consecuencias graves | Datos erróneos que causan decisiones incorrectas | Datos críticos comprometidos con consecuencias graves |
| Confidencialidad | Datos públicos o de bajo impacto | Datos internos de la organización | Datos especialmente protegidos (salud, biométricos, ideología) |
| Trazabilidad | No es necesaria o es opcional | Deseable para gestión y auditorías | Obligatoria por ley (ENS, RGPD, Ley 41/2002) |
| Autenticidad | No es crítica verificar identidad | Importante, pero no vital | Fundamental (firma electrónica reconocida, actos jurídicos) |
📌 CONSEJO DE EXAMEN: En preguntas sobre categorización, si mencionan «datos de salud» o «sistemas asistenciales», directamente marca ALTA en confidencialidad. Los datos de salud son categoría especial del RGPD y siempre requieren nivel ALTO.
🛡️ 5. Medidas de Seguridad por Niveles
El Anexo II del RD 311/2022 detalla 73 medidas de seguridad organizadas en 3 marcos. Aquí voy a centrarme en las más importantes y en las que más preguntan en el examen.
5.1. Los 3 Marcos de Medidas
┌────────────────────────────────────────────────┐ │ MARCO ORGANIZATIVO (ORG) │ │ - Política de seguridad │ │ - Normativa de seguridad │ │ - Procedimientos de seguridad │ │ - Proceso de autorización │ └────────────────────────────────────────────────┘ ┌────────────────────────────────────────────────┐ │ MARCO OPERACIONAL (OP) │ │ - Planificación │ │ - Control de acceso │ │ - Explotación │ │ - Servicios externos │ └────────────────────────────────────────────────┘ ┌────────────────────────────────────────────────┐ │ MEDIDAS DE PROTECCIÓN (MP) │ │ - Protección de instalaciones │ │ - Gestión de personal │ │ - Protección de equipos │ │ - Protección de comunicaciones │ │ - Protección de soportes │ └────────────────────────────────────────────────┘
5.2. Medidas de Seguridad Clave (Las Más Preguntadas)
🔹 OP.PL.1 – Análisis de Riesgos
Obligatorio para TODOS los niveles, pero con diferente profundidad:
- BAJO/MEDIO: Análisis simplificado (metodología PILAR del CCN-CERT)
- ALTO: Análisis formal y exhaustivo (Magerit v3, ISO 27005)
💼 CASO SAS: El SAS usa Magerit v3 para analizar riesgos en Diraya. Se identifican amenazas como:
- Ransomware en servidores de historias clínicas
- Accesos no autorizados por credenciales robadas o phishing
- Fallos de disponibilidad por saturación de red en horas pico
- Pérdida de datos por fallos en backups
🔹 OP.ACC.1 – Identificación
⚠️ PREGUNTA DE EXAMEN (P109): Esta medida establece que deben usarse credenciales personales únicas. Los usuarios genéricos están PROHIBIDOS por el ENS. Esta pregunta cayó en el caso práctico 2 sobre escritorios virtuales.
Regla fundamental: Cada usuario debe tener una identidad única y personal. NO se permiten usuarios genéricos ni compartidos.
❌ MAL (Viola ENS – OP.ACC.1):
Usuario: «medico_turno_mañana»
Contraseña: «Hospital2024»
Problema: No hay trazabilidad. Si alguien accede indebidamente,
no sabemos quién fue.
✅ BIEN (Cumple ENS):
Usuario: «12345678Z-juan.perez»
Autenticación: Certificado digital + PIN tarjeta
Log: «2025-11-01 09:23:15 – 12345678Z accede a HC paciente 87654321A
desde IP 10.45.12.89 – Terminal PC-URG-023»
🔹 OP.ACC.5 – Mecanismo de Autenticación
| Nivel | Requerimiento Mínimo |
|---|---|
| BAJO | Usuario + Contraseña (mínimo 8 caracteres) |
| MEDIO | Usuario + Contraseña robusta (mínimo 10 caracteres, complejidad: mayúsculas, minúsculas, números, símbolos) |
| ALTO | MFA obligatorio (certificado digital, token hardware, biometría + contraseña) |
💼 CASO SAS: En Diraya (nivel ALTO), los médicos se autentican con:
- Certificado digital almacenado en tarjeta sanitaria profesional
- PIN de la tarjeta (algo que saben)
- Sesión cifrada con SSL/TLS 1.3
Esto cumple perfectamente con MFA: algo que tienes (tarjeta) + algo que sabes (PIN).
🔹 OP.EXP.1 – Inventario de Activos
Todos los sistemas deben mantener un inventario actualizado de:
- Servidores físicos y virtuales (con ubicación, IP, responsable)
- Aplicaciones y bases de datos (versión, parcheo, criticidad)
- Equipos de red (routers, switches, firewalls, balanceadores)
- Sistemas de almacenamiento (cabinas, NAS, SAN)
- Equipos de usuario (PCs, portátiles, tablets)
🔧 HERRAMIENTA SAS: El SAS utiliza GLPI (Gestión Libre de Parque Informático) integrado con OCS Inventory para mantener el inventario de más de 45.000 equipos distribuidos por toda Andalucía.
🔹 OP.EXP.9 – Registro de la Actividad (Logs)
⚠️ PREGUNTA DE EXAMEN (P109): Los logs deben estar centralizados y vinculados a usuarios específicos. No vale tener logs locales en cada equipo.
| Nivel | Retención de Logs | Protección |
|---|---|---|
| BAJO | 1 mes | Básica (permisos restrictivos) |
| MEDIO | 2 años | Integridad (hash SHA-256) |
| ALTO | 6 años | Cifrado + integridad + respaldo inmutable |
💻 IMPLEMENTACIÓN SAS: Los logs de Diraya se almacenan en un SIEM (Security Information and Event Management) con:
- Elasticsearch: Indexación y búsqueda ultrarrápida
- Kibana: Visualización y dashboards
- Wazuh: Correlación de eventos y detección de amenazas
- Retención: 6 años en almacenamiento cifrado (cumplimiento ENS-ALTO + Ley 41/2002)
Ejemplo de log ENS-compliant en Diraya:
{
«timestamp»: «2025-11-01T14:35:22.345Z»,
«event_type»: «MEDICAL_RECORD_ACCESS»,
«user»: {
«dni»: «12345678Z»,
«name»: «Dr. Juan García Pérez»,
«role»: «MEDICO_URGENCIAS»,
«department»: «Urgencias»,
«hospital»: «Hospital Virgen del Rocío»
},
«action»: «VIEW_FULL_MEDICAL_RECORD»,
«resource»: {
«type»: «HISTORIA_CLINICA»,
«patient_dni»: «87654321A»,
«episode_id»: «EP-2025-045678»
},
«context»: {
«ip_origin»: «10.45.12.89»,
«terminal_id»: «PC-URG-045»,
«session_id»: «s3f7d9e2a1b4c8d5»,
«geolocation»: «Sevilla, Andalucía, ES»
},
«result»: «SUCCESS»,
«hash_sha256»: «a3f7b2c8d9e4f5a6b7c8d9e0f1a2b3c4d5e6f7a8b9c0d1e2f3a4b5c6d7e8f9a0»
}
🔹 OP.EXP.10 – Protección de Claves Criptográficas
- Algoritmos permitidos: RSA ≥2048 bits, AES-256, SHA-256, ECDSA
- PROHIBIDOS: DES, 3DES, MD5, SHA-1 (obsoletos y vulnerables)
- Gestión de claves en nivel ALTO: HSM (Hardware Security Module) certificado FIPS 140-2 Level 3
🔐 CASO SAS: Las claves maestras de cifrado de la base de datos Oracle de Diraya están almacenadas en un HSM Thales Luna certificado FIPS 140-2 Level 3, ubicado en el CPD principal del SAS en Sevilla.
🔹 MP.COM.1 – Perímetro Seguro
Segmentación de red obligatoria. Los sistemas críticos no pueden estar en la misma red que los servicios públicos.
🏥 RED SANITARIA SAS (Hospital Virgen del Rocío)
┌─────────────────────────────────────────────┐
│ INTERNET │
└────────────────┬────────────────────────────┘
│
┌────────▼────────┐
│ WAF │ ← Firewall de Aplicaciones Web
│ (Web App FW) │
└────────┬────────┘
│
┌────────────────▼─────────────────────────────┐
│ DMZ (Red Desmilitarizada) │
│ - Servidores web públicos │
│ - Portal pacientes (ClicSalud+) │
│ - Proxy reverso │
└────────────────┬─────────────────────────────┘
│ Firewall perimetral (Nivel 1)
┌────────────────▼─────────────────────────────┐
│ RED CORPORATIVA SAS │
│ - Servidores aplicaciones (Diraya) │
│ - Bases de datos (Oracle RAC) │
│ - Servidores autenticación (LDAP + MFA) │
│ - SIEM y monitorización │
└────────────────┬─────────────────────────────┘
│ Firewall interno (Nivel 2)
┌────────────────▼─────────────────────────────┐
│ RED CLÍNICA (VLAN Hospitales) │
│ - Puestos médicos (escritorios virtuales) │
│ - Dispositivos IoMT (monitores, bombas) │
│ - Sistemas de imagen (PACS, TAC, RM) │
└──────────────────────────────────────────────┘
┌──────────────┐
│ BACKUP CPD │ ← Centro respaldo secundario
│ Secundario │ RPO 4h, RTO 24h
└──────────────┘
5.3. Diferencias CRÍTICAS entre Nivel MEDIO y ALTO
⚠️ PREGUNTA DE EXAMEN (P39): En el nivel ALTO, se exige una auditoría de seguridad con una periodicidad máxima de 1 año, mientras que en el nivel MEDIO es cada 2 años. Esta pregunta cayó literalmente en el examen.
| Aspecto | MEDIO | ALTO |
|---|---|---|
| Auditorías de seguridad | Cada 2 años | Cada 1 año (anual) 🔥 |
| Análisis de riesgos | Simplificado (PILAR) | Formal (Magerit v3) |
| Autenticación | Usuario + contraseña robusta | MFA obligatorio 🔥 |
| Retención de logs | 2 años | 6 años 🔥 |
| Gestión de incidentes | Procedimiento interno | SOC 24/7 + notificación CCN-CERT |
| Cifrado | Recomendado | Obligatorio (datos en reposo y tránsito) |
| Backup | Semanal aceptable | Diario con RPO <24h |
| Plan de Continuidad (DRP) | Básico, pruebas ocasionales | Completo, testado anualmente |
🔍 6. Auditorías y Certificación ENS
6.1. Tipos de Auditorías
🔍 AUDITORÍAS EN EL ENS ┌─────────────────────────────────────────────┐ │ AUDITORÍA REGULAR │ │ - Cada 2 años (MEDIO) │ │ - Cada 1 año (ALTO) │ │ - Verifica cumplimiento de medidas │ │ - Análisis de documentación │ │ - Pruebas técnicas (escaneos, pentesting) │ └─────────────────────────────────────────────┘ ┌─────────────────────────────────────────────┐ │ AUDITORÍA EXTRAORDINARIA │ │ - Tras incidente de seguridad grave │ │ - Cambio significativo en el sistema │ │ - A petición del responsable de seguridad │ │ - Orden de autoridad competente │ └─────────────────────────────────────────────┘
6.2. Fases de la Auditoría ENS
- Planificación: Definir alcance, cronograma, equipo auditor, sistemas a auditar
- Análisis documental: Revisar política de seguridad, procedimientos, inventario de activos, análisis de riesgos
- Entrevistas: Hablar con responsables técnicos, CISO, usuarios, administradores
- Verificación técnica: Escaneos de vulnerabilidades, pruebas de penetración, revisión de configuraciones
- Informe de auditoría: Documentar hallazgos, no conformidades (mayores y menores), recomendaciones
- Plan de acción: Establecer medidas correctivas con responsables y plazos
6.3. Certificación ENS
Entidades certificadoras autorizadas por el CCN-CERT:
- AENOR (Asociación Española de Normalización)
- Bureau Veritas
- TÜV Rheinland
- INTECO (Instituto Nacional de Tecnologías de la Comunicación)
- SGS (Société Générale de Surveillance)
🏆 CERTIFICACIÓN SAS: El CPD corporativo del SAS en Sevilla tiene certificación ENS nivel ALTO renovada anualmente. También cuenta con certificación ISO 27001 complementaria.
⚠️ 7. Ley 8/2011 de Protección de Infraestructuras Críticas (PIC)
7.1. ¿Qué es una Infraestructura Crítica?
Definición legal (Art. 2 Ley 8/2011): «Instalaciones, redes, servicios y equipos físicos y de tecnologías de la información cuya avería, destrucción o perturbación afecte gravemente a la salud, seguridad o bienestar económico de los ciudadanos, o al eficaz funcionamiento de las instituciones del Estado y las Administraciones Públicas.»
7.2. Los 12 Sectores Estratégicos (PIC)
| # | Sector | Ejemplos |
|---|---|---|
| 1 | Administración | Sistemas de identificación, registros civiles |
| 2 | Espacio | Satélites de comunicaciones, navegación |
| 3 | Industria nuclear | Centrales nucleares |
| 4 | Industria química | Plantas químicas, refinerías |
| 5 | Instalaciones de investigación | Centros de investigación estratégica |
| 6 | Agua | Potabilizadoras, embalses |
| 7 | Energía | Centrales eléctricas, subestaciones |
| 8 | TIC | Centros de datos críticos, infraestructuras telco |
| 9 | Salud 🏥 | Hospitales de referencia, CPD sanitarios |
| 10 | Alimentación | Mercas, centros de distribución |
| 11 | Sistema financiero | Banco de España, mercados de valores |
| 12 | Transporte | Aeropuertos, puertos, control aéreo |
7.3. Operadores Críticos (OC)
Un operador es declarado «crítico» cuando cumple estos requisitos:
- Gestiona una infraestructura crítica
- Su interrupción afecta gravemente a servicios esenciales
- No existen alternativas viables en el corto plazo
🏥 HOSPITALES SAS COMO INFRAESTRUCTURAS CRÍTICAS:
Los hospitales de tercer nivel del SAS son infraestructuras críticas porque:
- Hospital Virgen del Rocío (Sevilla): Hospital de referencia para toda Andalucía Occidental en especialidades complejas
- Hospital Carlos Haya/Regional (Málaga): Referencia para la Costa del Sol
- Hospital Virgen de las Nieves (Granada): Referencia para Andalucía Oriental
Estos hospitales atienden emergencias vitales 24/7 (trasplantes, neurocirugía, grandes quemados…) sin alternativa inmediata. Su caída compromete directamente la salud pública.
7.4. Plan de Seguridad del Operador (PSO)
Los operadores críticos están obligados a elaborar un PSO que incluya:
- Análisis de riesgos exhaustivo: Identificar amenazas (ciberataques, desastres naturales, sabotajes…)
- Medidas de seguridad: Físicas (control de acceso, videovigilancia), lógicas (ENS), organizativas (procedimientos)
- Plan de Protección Específico (PPE): Medidas concretas para cada instalación crítica
- Ejercicios y simulacros: Pruebas periódicas de respuesta ante incidentes
- Sistema de gestión de seguridad: Mejora continua (PDCA)
⚠️ CONEXIÓN ENS-PIC: Si la infraestructura crítica tiene sistemas de información (como un hospital), el PSO debe incluir el cumplimiento del ENS. Son complementarios, no excluyentes.
7.5. Centro Nacional de Protección de Infraestructuras Críticas (CNPIC)
- Dependencia: Ministerio del Interior (Secretaría de Estado de Seguridad)
- Funciones:
- Coordinar la protección de IC a nivel nacional
- Recibir informes de incidentes de operadores críticos (obligatorio)
- Enlace con CCN-CERT para ciberataques
- Análisis de amenazas y vulnerabilidades
7.6. Niveles de Alerta PIC
| Nivel | Color | Significado | Ejemplo |
|---|---|---|---|
| 1 | 🟢 Verde | Riesgo bajo, situación normal | Operación habitual |
| 2 | 🟡 Amarillo | Riesgo medio, vigilancia reforzada | Amenaza identificada pero no inminente |
| 3 | 🟠 Naranja | Riesgo alto, medidas extraordinarias | Amenaza seria y probable |
| 4 | 🔴 Rojo | Riesgo muy alto, ataque inminente o en curso | Ataque confirmado o inminente |
📍 EJEMPLO COVID-19: Durante la pandemia de coronavirus (2020-2021), el nivel de alerta PIC para el sector sanitario estuvo en 🟠 Naranja (Nivel 3) por el riesgo de colapso de hospitales y por intentos de ciberataques a sistemas de salud (ransomware, phishing dirigido a personal sanitario).
7.7. Comparativa ENS vs PIC
| Aspecto | ENS (RD 311/2022) | PIC (Ley 8/2011) |
|---|---|---|
| Ámbito | Seguridad de sistemas de información | Protección física y lógica de infraestructuras |
| Aplica a | Administraciones públicas + proveedores TIC | Operadores críticos (público y privado) |
| Enfoque | Ciberseguridad (confidencialidad, integridad…) | Seguridad integral (física + ciber + organizativa) |
| Organismo | CCN-CERT | CNPIC |
| Auditorías | Cada 1-2 años (según nivel) | Inspecciones irregulares + auditorías PSO |
| Certificación | Sí (certificación ENS) | No (aprobación PSO por autoridad) |
🏥 8. Aplicación Práctica en el SAS
8.1. Sistemas del SAS y su Categorización ENS
| Sistema | Función | Categoría ENS | Justificación |
|---|---|---|---|
| Diraya | Historia clínica digital | ALTA | Datos de salud, disponibilidad 24/7, decisiones clínicas vitales |
| Receta XXI | Receta electrónica | ALTA | Prescripción de medicamentos críticos, datos de salud |
| BPS | Estación clínica | ALTA | Soporte a decisiones clínicas en tiempo real |
| ClicSalud+ | Portal pacientes | MEDIA | Datos personales, no asistencial directo |
| CMBD | Conjunto mínimo básico de datos | MEDIA | Datos epidemiológicos, no tiempo real |
| Web informativa | Información pública SAS | BAJA | Contenido público sin datos personales |
8.2. Arquitectura de Seguridad del SAS (Cumplimiento ENS)
🏗️ ARQUITECTURA SEGURA SAS (Hospital Virgen del Rocío)
┌──────────────────────────────────────────────┐
│ INTERNET │
└────────────────┬─────────────────────────────┘
│
┌────────▼────────┐
│ WAF (Imperva) │ ← MP.COM.1 (Perímetro)
│ Anti-DDoS │ Protección capa 7
└────────┬────────┘
│
┌────────────────▼─────────────────────────────┐
│ DMZ - Servidores Web │
│ - ClicSalud+ (HTTPS, TLS 1.3) │
│ - Portal acceso externo médicos VPN │
│ - Balanceadores (HAProxy) │
│ └─> OP.EXP.10 (Cifrado AES-256) │
└────────────────┬─────────────────────────────┘
│
┌────────▼────────┐
│ FW Fortinet │ ← OP.ACC.1 (Control acceso)
│ (Stateful) │ IPS/IDS integrado
└────────┬────────┘
│
┌────────────────▼─────────────────────────────┐
│ RED CORPORATIVA SAS │
│ - Servidores Diraya (VMware HA Cluster) │
│ - BBDD Oracle RAC (cifrada TDE) │
│ - Servidor LDAP + MFA (RSA SecurID) │
│ - SIEM Wazuh + Elasticsearch │
│ └─> OP.EXP.9 (Logs centralizados 6 años) │
└────────────────┬─────────────────────────────┘
│
┌────────▼────────┐
│ FW Interno │ ← MP.COM.2 (Segmentación)
│ (Cisco ASA) │ VLANs por servicio
└────────┬────────┘
│
┌────────────────▼─────────────────────────────┐
│ RED CLÍNICA (VLAN por planta/servicio) │
│ - Puestos médicos (VDI Citrix) │
│ - Dispositivos IoMT (monitores, bombas) │
│ - PACS (sistemas imagen médica) │
│ └─> OP.ACC.5 (MFA con tarjeta + PIN) │
└──────────────────────────────────────────────┘
┌─────────────┐
│ BACKUP CPD │ ← OP.EXP.5 (Respaldo)
│ Secundario │ RPO 4h, RTO 24h
│ (Málaga) │ Veeam + replicación
└─────────────┘
8.3. Medidas ENS Específicas en Diraya
Autenticación Multifactor (MFA)
👤 PROCESO DE ACCESO A DIRAYA (Nivel ALTO – MFA)
Paso 1: Médico inserta tarjeta sanitaria profesional
└─> Certificado digital X.509 (algo que TIENE)
Paso 2: Introduce PIN de 6 dígitos
└─> (algo que SABE)
Paso 3: Sistema valida certificado contra CA del SAS
└─> Verificación con OCSP (Online Certificate Status Protocol)
Paso 4: Genera token de sesión JWT (JSON Web Token)
└─> Validez: 8 horas, renovable
└─> Incluye: roles, permisos, contexto
Paso 5: Log centralizado automático
└─> «2025-11-01 10:15:33 – Dr. García (12345678Z)
accede desde PC-URG-023 (IP 10.45.12.89)»
Paso 6: Aplicación de permisos según ROL
└─> Médico: acceso lectura/escritura HC de sus pacientes
└─> Enfermero: acceso limitado según protocolo
└─> Administrativo: solo datos administrativos
Cifrado End-to-End
- En tránsito: TLS 1.3 con AES-256-GCM (Perfect Forward Secrecy)
- En reposo: Oracle TDE (Transparent Data Encryption) con AES-256
- Backups: Cifrados con Veeam + claves en HSM Thales Luna
- Datos de pago: Tokenización adicional (PCI-DSS)
Auditoría y Trazabilidad Completa
Cada acción en Diraya genera un evento inmutable que se envía al SIEM:
{
«event_id»: «DIR-20251101-14235678»,
«timestamp»: «2025-11-01T14:23:56.789Z»,
«event_type»: «MEDICAL_RECORD_MODIFICATION»,
«severity»: «HIGH»,
«user»: {
«dni»: «12345678Z»,
«name»: «Dr. Juan García Pérez»,
«role»: «MEDICO_URGENCIAS»,
«department»: «Servicio de Urgencias»,
«hospital»: «Hospital Universitario Virgen del Rocío»,
«colegiado»: «SE-123456»
},
«action»: {
«type»: «ADD_DIAGNOSTIC»,
«description»: «Añadido diagnóstico de neumonía bilateral»,
«fields_modified»: [«diagnostico_principal», «CIE10_code»]
},
«resource»: {
«type»: «HISTORIA_CLINICA»,
«patient_dni»: «87654321A», // Pseudonimizado en logs externos
«episode_id»: «EP-2025-045678»,
«episode_type»: «URGENCIAS»
},
«context»: {
«ip_origin»: «10.45.12.89»,
«terminal_id»: «PC-URG-023»,
«session_id»: «s3f7d9e2a1b4c8d5f6a7b8c9»,
«geolocation»: «Sevilla, Andalucía, ES»,
«network_zone»: «VLAN_URGENCIAS»
},
«result»: «SUCCESS»,
«compliance»: {
«ens_level»: «ALTO»,
«rgpd_basis»: «Art 9.2.h – Asistencia sanitaria»,
«retention_period»: «6_YEARS»
},
«integrity»: {
«hash_sha256»: «a3f7b2c8d9e4f5a6b7c8d9e0f1a2b3c4…»,
«previous_hash»: «f1a2b3c4d5e6f7a8b9c0d1e2f3a4b5c6…»,
«blockchain_reference»: «BC-2025-11-01-14235678»
}
}
Retención: 6 años en almacenamiento cifrado (cumplimiento ENS nivel ALTO + Ley 41/2002 de Autonomía del Paciente)
8.4. Gestión de Incidentes de Seguridad en el SAS
Procedimiento ante Incidente Crítico
- Detección (T+0):
- SIEM Wazuh detecta anomalía (ej: 500 intentos de login fallidos en 5 minutos)
- Alerta automática al SOC 24/7
- Clasificación (T+5min):
- Crítico: Acceso no autorizado a historias clínicas
- Alto: Ransomware detectado en servidor
- Medio: Campaña phishing exitosa
- Bajo: Escaneo de puertos desde exterior
- Contención (T+15min):
- Aislamiento del equipo comprometido (VLAN de cuarentena)
- Bloqueo de IP atacante en firewall
- Revocación de credenciales comprometidas
- Erradicación (T+1h):
- Análisis forense del equipo
- Eliminación de malware
- Parcheo de vulnerabilidad explotada
- Recuperación (T+4h):
- Restauración desde backup verificado limpio
- Reincorporación a red de producción
- Monitorización intensiva 48h
- Lecciones aprendidas (T+72h):
- Informe post-incidente
- Actualización de medidas preventivas
- Formación al personal afectado
- Notificaciones obligatorias:
- CCN-CERT: Obligatorio si afecta a sistema nivel ALTO (<1 hora)
- AEPD: Si hay brecha de datos personales (<72 horas)
- CNPIC: Si afecta a hospital como infraestructura crítica
- Fiscalía: Si hay indicios de delito
📍 CASO REAL (Junio 2023): Ataque de ransomware a un hospital andaluz:
- Detección: 15 minutos (SIEM detectó cifrado masivo de archivos)
- Contención: Aislamiento de 200 equipos en 30 minutos
- Recuperación: 48 horas desde backup (RPO de 4h, se perdieron pocas horas de datos)
- Sin pago de rescate (política del SAS: nunca pagar)
- Notificación a CCN-CERT: <1 hora desde detección
- Lección aprendida: Reforzar formación anti-phishing (vector de entrada)
🧩 9. Casos Prácticos Tipo Examen
🔍 Caso Práctico 1: Implantación de Escritorios Virtuales (Similar a P109)
ENUNCIADO:
El SAS va a desplegar 500 escritorios virtuales (VDI) mediante tecnología Citrix en el Hospital Carlos Haya de Málaga para que los médicos accedan a Diraya desde cualquier terminal del hospital. Se requiere cumplimiento ENS nivel ALTO.
¿Qué configuración cumple el ENS?
- A) Implementar inicio de sesión mediante credenciales personales y aplicar registros de auditoría centralizados por usuario. ✅
- B) Establecer políticas de grupo con perfiles de sesión (roles) y activar el bloqueo automático de pantalla tras inactividad.
- C) Permitir acceso mediante usuarios genéricos en terminales clínicos, siempre que se use red segura interna.
- D) Utilizar escritorios persistentes, con registro automático de logs de sistema operativo.
✅ RESPUESTA CORRECTA: A
JUSTIFICACIÓN DETALLADA:
La opción A cumple con dos medidas fundamentales del ENS:
- OP.ACC.1 (Identificación): El ENS prohíbe explícitamente los usuarios genéricos. Cada médico debe tener credenciales únicas (típicamente su DNI + nombre). Esto garantiza que cada acción queda vinculada inequívocamente a una persona.
- OP.EXP.9 (Registro de actividad): Los logs deben estar centralizados en un servidor SIEM, no guardados localmente en cada escritorio virtual. Además, cada log debe incluir el identificador del usuario que realizó la acción.
¿Por qué las otras opciones son INCORRECTAS?
- B) Incorrecta: Las políticas de grupo y el bloqueo de pantalla son buenas prácticas de seguridad (y deben implementarse), pero son insuficientes por sí solas. Sin identificación personal única, no hay trazabilidad.
- C) GRAVE ERROR: Los usuarios genéricos violan directamente OP.ACC.1. No importa que la red sea «segura»: si se usa «medico_turno1» para varios médicos, no puedes determinar quién accedió a qué paciente. Esto es una violación grave del ENS y del RGPD.
- D) Incorrecta: Los escritorios persistentes (cada usuario tiene su propio escritorio fijo) pueden ser válidos, PERO los logs en el SO local no cumplen OP.EXP.9. Los logs deben estar centralizados y protegidos contra manipulación. Un usuario malintencionado podría borrar logs locales.
CONFIGURACIÓN COMPLETA ENS-COMPLIANT:
🖥️ ESCRITORIO VIRTUAL CONFORME ENS ALTO 1. AUTENTICACIÓN (OP.ACC.5): - Tarjeta sanitaria profesional (certificado X.509) + PIN - Alternativamente: Usuario + Contraseña robusta + Token OTP - MFA OBLIGATORIO para nivel ALTO 2. SESIÓN: - Protocolo: Citrix ICA cifrado (AES-256) o VMware Blast - Timeout: 10 minutos de inactividad → bloqueo - Cierre forzoso: Al finalizar el turno del profesional - Sin persistencia de datos locales (datos en servidor) 3. AUDITORÍA (OP.EXP.9): - Log centralizado en SIEM (Wazah + Elasticsearch) - Formato: Timestamp + User_ID + IP + Terminal_ID + Acción - Retención: 6 años (nivel ALTO) - Protección: Logs cifrados + hash de integridad 4. CONTROL DE ACCESO: - No permite copiar/pegar fuera del escritorio virtual - USB bloqueados (salvo autorización explícita CISO) - Grabación de pantalla en accesos a HC sensibles - Watermark con ID usuario visible en pantalla 5. SEGMENTACIÓN (MP.COM.2): - VLAN específica para escritorios virtuales - Firewall entre VDI y red clínica - Microsegmentación por servicio hospitalario
🔍 Caso Práctico 2: Migración a Cloud Híbrida
ENUNCIADO:
El SAS planea migrar el sistema de gestión de citas (ClicSalud+) a Microsoft Azure Cloud para mejorar la escalabilidad y reducir costes de infraestructura. El sistema gestiona datos personales de pacientes (nombre, teléfono, dirección) pero NO datos clínicos.
PREGUNTAS:
- ¿Qué categoría ENS tiene el sistema de citas?
- ¿Microsoft debe cumplir el ENS aunque sea una empresa privada?
- ¿Qué requisitos específicos debe cumplir la solución cloud?
✅ RESPUESTAS:
1. CATEGORÍA ENS DEL SISTEMA DE CITAS:
Respuesta: MEDIO
Análisis por dimensiones:
- Disponibilidad: MEDIA → Si cae, los pacientes no pueden pedir cita, pero no hay riesgo vital inmediato. Pueden llamar por teléfono o acudir presencialmente.
- Integridad: MEDIA → Un error en los datos de cita (fecha, hora, especialista) causa problemas organizativos pero no riesgo sanitario grave.
- Confidencialidad: MEDIA → Datos personales (nombre, teléfono) son sensibles pero NO son «datos de salud» del Art. 9 RGPD. No se almacenan diagnósticos ni tratamientos.
- Trazabilidad: MEDIA → Deseable para gestión, pero no es crítica como en Diraya.
- Autenticidad: MEDIA → Importante verificar identidad del paciente, pero no es un acto jurídico vinculante.
Categoría final: MAX(dimensiones) = MEDIO
2. ¿MICROSOFT DEBE CUMPLIR ENS?
Respuesta: SÍ, obligatorio
Fundamento legal: Art. 3 del RD 311/2022 establece que el ENS se aplica a «entidades del sector privado que presten servicios a las Administraciones Públicas cuando traten información por cuenta de éstas».
Azure, al alojar datos del SAS (administración pública), DEBE cumplir ENS. Microsoft Azure tiene certificación ENS nivel ALTO en su región EU-West (Países Bajos).
3. REQUISITOS CLOUD ESPECÍFICOS (Art. 23 RD 311/2022):
- Ubicación de datos: Dentro de la UE/EEE (cumplimiento RGPD). Azure EU-West cumple.
- SLA de disponibilidad: Mínimo 99,9% (Azure ofrece 99,95% con redundancia multi-zona)
- Cifrado:
- En tránsito: TLS 1.3
- En reposo: AES-256 (Azure Storage Service Encryption)
- Logs auditables: Azure Monitor + Log Analytics con retención 2 años (nivel MEDIO)
- Derecho a auditar: El SAS debe poder auditar las instalaciones y configuraciones de Azure (o contratar auditor independiente)
- Acuerdo de responsabilidad compartida:
- Microsoft: Seguridad de infraestructura física, hipervisor, red de Azure
- SAS: Seguridad de aplicación ClicSalud+, datos, control de acceso IAM
- DPA (Data Processing Agreement): Contrato específico conforme Art. 28 RGPD
- Plan de continuidad: Backup automático en región secundaria (Azure EU-North en Irlanda)
- Notificación de incidentes: Microsoft debe notificar al SAS cualquier brecha de seguridad en <24h
- Portabilidad: El SAS debe poder exportar todos los datos en formato estándar si quiere cambiar de proveedor
🔍 Caso Práctico 3: Auditoría ENS en CPD
ENUNCIADO:
En la auditoría anual del CPD corporativo del SAS (nivel ALTO), el auditor externo de AENOR encuentra los siguientes hallazgos:
- Las contraseñas de administrador de dominio Active Directory son compartidas entre 3 técnicos del equipo de sistemas
- Los logs de acceso a servidores Windows están almacenados sin cifrar en disco local
- El último backup completo se realizó hace 9 días (política actual: semanal)
- No hay registro de quién accedió físicamente a la sala de servidores en los últimos 6 meses
PREGUNTA: ¿Qué medidas ENS se están incumpliendo y cuál es su gravedad?
📋 ANÁLISIS DE NO CONFORMIDADES
| Hallazgo | Medida ENS Incumplida | Gravedad | Justificación |
|---|---|---|---|
| 1. Contraseñas compartidas | OP.ACC.1 (Identificación) | 🔴 CRÍTICA | Viola el principio fundamental de trazabilidad. Si hay un incidente, no se puede determinar quién de los 3 técnicos fue. Es una violación mayor del ENS. |
| 2. Logs sin cifrar | OP.EXP.9 (Protección de logs) | 🟠 ALTA | En nivel ALTO, los logs deben estar cifrados y protegidos contra manipulación (hash). Un atacante podría modificar logs para ocultar sus acciones. |
| 3. Backup semanal | OP.EXP.5 (Respaldo) | 🟠 ALTA | En nivel ALTO se requiere backup diario con RPO <24h. Con backup semanal, se podrían perder hasta 7 días de datos. Inaceptable para sistemas críticos como Diraya. |
| 4. Sin registro acceso físico | MP.PER.1 (Control acceso físico) | 🟡 MEDIA | Debe haber registro (manual o automático) de quién entra a la sala de servidores. Aunque es menos crítico que los anteriores, sigue siendo obligatorio en ENS. |
PLAN DE ACCIÓN CORRECTIVO:
⏰ INMEDIATO (<24 horas):
- Hallazgo 1:
- Crear cuentas de administrador individuales para cada técnico (admin_juan.garcia, admin_maria.lopez, admin_pedro.sanchez)
- Revocar contraseña compartida actual
- Implementar MFA con token RSA SecurID para cuentas admin
- Activar registro privilegiado de sesiones (grabar todo lo que hacen los admins)
- Hallazgo 2:
- Activar cifrado BitLocker en discos donde se almacenan logs
- Implementar syslog-ng con TLS para envío de logs
- Configurar hash SHA-256 para cada entrada de log
📅 CORTO PLAZO (<1 semana):
- Hallazgo 3:
- Reconfigurar Veeam Backup para ejecución diaria a las 02:00 AM
- Backup incremental diario + completo semanal
- Verificación automática de integridad de backups
- Replicación a CPD secundario (Málaga) en tiempo real
- Prueba de restauración mensual para validar backups
- Hallazgo 4:
- Instalar sistema de control de acceso biométrico (huella + tarjeta)
- Cámaras de videovigilancia con grabación 90 días
- Registro automático de entradas/salidas
- Alerta si acceso fuera de horario laboral
📆 MEDIO PLAZO (<1 mes):
- Implementar PAM (Privileged Access Management) con CyberArk para gestión centralizada de cuentas privilegiadas
- Formación obligatoria al equipo de sistemas sobre buenas prácticas ENS
- Auditoría interna de todos los accesos históricos para detectar posibles brechas
- Actualización de la Política de Seguridad documentando los cambios
📊 SEGUIMIENTO:
- Revisión semanal por el CISO del SAS
- Informe de cierre a AENOR en 60 días
- Auditoría de seguimiento en 6 meses
📝 10. Cuestionario de Preguntas Tipo Test
Aquí tienes 30 preguntas tipo examen con el nivel de dificultad de la oposición. Incluyen preguntas que cayeron en el examen real y otras similares.
Pregunta 1
¿Qué Real Decreto regula actualmente el Esquema Nacional de Seguridad?
- A) Real Decreto 3/2010
- B) Real Decreto 311/2022 ✅
- C) Real Decreto 4/2010
- D) Real Decreto 951/2015
✅ Respuesta Correcta: B
El RD 311/2022, de 3 de mayo, derogó el antiguo RD 3/2010. Es fundamental conocer la normativa vigente para no responder con referencias obsoletas.
Pregunta 2 (P152 del examen real)
Dentro del ámbito de aplicación del Esquema Nacional de Seguridad (ENS), ¿cuál de las siguientes afirmaciones es correcta?
- A) No se aplica a los sistemas de información de las entidades del sector privado.
- B) No es necesario aplicarla a los sistemas del sector privado cuando cuentan con política de seguridad propia.
- C) Se aplica a los sistemas de información de las entidades del sector privado cuando presten servicios o provean soluciones a las entidades del sector público. ✅
- D) Se aplica a los sistemas de información del sector privado, pero sólo a aquellos que realicen tratamiento de datos personales.
✅ Respuesta Correcta: C
Esta pregunta cayó en el cuestionario de reserva. El Art. 3 del RD 311/2022 establece claramente que el ENS se extiende al sector privado cuando trabaja para administraciones públicas. Por ejemplo, AWS o Azure deben cumplir ENS si alojan datos del SAS.
Pregunta 3
¿Cuál de las siguientes dimensiones NO forma parte del ENS?
- A) Disponibilidad
- B) Confidencialidad
- C) Rendimiento ✅
- D) Trazabilidad
✅ Respuesta Correcta: C
Las 5 dimensiones del ENS son: DITCA (Disponibilidad, Integridad, Trazabilidad, Confidencialidad, Autenticidad). El rendimiento es importante para la calidad de servicio, pero no es una dimensión de seguridad del ENS.
Pregunta 4
¿Qué organismo es responsable de las guías CCN-STIC para la aplicación del ENS?
- A) INCIBE
- B) Centro Criptológico Nacional (CCN-CERT) ✅
- C) Agencia Española de Protección de Datos
- D) Ministerio de Asuntos Económicos
✅ Respuesta Correcta: B
El CCN-CERT, dependiente del CNI, es el organismo responsable de elaborar las guías CCN-STIC que desarrollan operativamente el ENS. Son documentos técnicos de referencia obligada.
Pregunta 5
Un sistema de gestión de inventario del SAS tiene Disponibilidad BAJA, Confidencialidad ALTA e Integridad MEDIA. ¿Qué categoría ENS tiene?
- A) BAJA
- B) MEDIA
- C) ALTA ✅
- D) Depende del análisis de riesgos completo
✅ Respuesta Correcta: C
La categoría global es el MÁXIMO de todas las dimensiones, no un promedio. Como Confidencialidad es ALTA, el sistema completo es categoría ALTA. Esto es crítico entenderlo bien.
Pregunta 6
Según la Ley 8/2011 de Protección de Infraestructuras Críticas, ¿cuántos sectores estratégicos están definidos?
- A) 8
- B) 10
- C) 12 ✅
- D) 15
✅ Respuesta Correcta: C
La Ley 8/2011 define exactamente 12 sectores estratégicos, incluyendo Salud (donde está el SAS), Energía, TIC, Transporte, etc.
Pregunta 7
¿Qué es un Operador Crítico (OC) según la Ley 8/2011?
- A) Cualquier empresa que gestione datos personales de más de 100.000 personas
- B) Una entidad que gestiona una infraestructura crítica cuya interrupción afecta gravemente a servicios esenciales ✅
- C) Un administrador de sistemas con privilegios elevados en la administración pública
- D) Un proveedor de servicios cloud certificado ENS nivel ALTO
✅ Respuesta Correcta: B
Un Operador Crítico es quien gestiona infraestructuras esenciales sin alternativa viable. Por ejemplo, los hospitales de tercer nivel del SAS son operadores críticos en el sector Salud.
Pregunta 8
¿Qué organismo coordina la protección de infraestructuras críticas en España?
- A) CCN-CERT
- B) CNPIC (Centro Nacional de Protección de Infraestructuras Críticas) ✅
- C) INCIBE
- D) SEPBLAC
✅ Respuesta Correcta: B
El CNPIC, dependiente del Ministerio del Interior, es el organismo coordinador de la protección de infraestructuras críticas. No confundir con CCN-CERT que es específico de ciberseguridad.
Pregunta 9
¿Qué artículo del RD 311/2022 regula específicamente el uso de cloud computing?
- A) Artículo 15
- B) Artículo 20
- C) Artículo 23 ✅
- D) Artículo 31
✅ Respuesta Correcta: C
El Art. 23 del RD 311/2022 es una novedad del nuevo ENS y establece requisitos específicos para servicios en la nube. Es importante conocerlo porque las preguntas sobre cloud son cada vez más frecuentes.
Pregunta 10
En el contexto del ENS, ¿qué significa «responsable de seguridad»?
- A) El director general de la organización
- B) La persona designada para coordinar las medidas de seguridad y actuar como punto de contacto ✅
- C) El auditor externo contratado
- D) El proveedor de servicios de ciberseguridad
✅ Respuesta Correcta: B
Cada organización debe designar un responsable de seguridad (medida ORG.1). En el SAS, esta figura suele ser el CISO (Chief Information Security Officer).
Pregunta 11
¿Con qué periodicidad se debe realizar el análisis de riesgos en un sistema de categoría ALTA?
- A) Cada 6 meses
- B) Cada año ✅
- C) Cada 2 años
- D) Solo al inicio del proyecto
✅ Respuesta Correcta: B
OP.PL.1 exige actualizar el análisis de riesgos anualmente en sistemas de categoría ALTA. En nivel MEDIO es cada 2 años.
Pregunta 12 (Relacionada con P109 del examen)
¿Qué medida ENS prohíbe explícitamente el uso de usuarios genéricos o compartidos?
- A) OP.PL.1 (Análisis de riesgos)
- B) OP.ACC.1 (Identificación) ✅
- C) OP.EXP.9 (Registro de actividad)
- D) MP.PER.1 (Control de acceso físico)
✅ Respuesta Correcta: B
OP.ACC.1 establece que cada usuario debe tener una identidad única y personal. En el examen real (P109) preguntaron sobre esto en el caso de escritorios virtuales.
Pregunta 13
En un sistema de nivel ALTO, ¿cuál es el tiempo MÍNIMO de retención de logs según el ENS?
- A) 1 mes
- B) 1 año
- C) 2 años
- D) 6 años ✅
✅ Respuesta Correcta: D
OP.EXP.9 establece retención de 6 años para nivel ALTO. Es una pregunta típica de examen porque muchos confunden con los 2 años del nivel MEDIO.
Pregunta 14
¿Qué tipo de autenticación es OBLIGATORIA para acceder a un sistema de categoría ALTA?
- A) Usuario + contraseña simple
- B) Usuario + contraseña robusta (10 caracteres)
- C) MFA – Autenticación multifactor ✅
- D) Biometría exclusivamente
✅ Respuesta Correcta: C
OP.ACC.5 exige MFA en nivel ALTO. En Diraya se usa certificado digital + PIN. La biometría puede ser un factor adicional pero no el único.
Pregunta 15
¿Qué algoritmo de cifrado está PROHIBIDO según las recomendaciones actuales del ENS?
- A) AES-256
- B) RSA-2048
- C) DES ✅
- D) SHA-256
✅ Respuesta Correcta: C
DES (Data Encryption Standard) es obsoleto y vulnerable. El ENS prohíbe su uso. También están prohibidos 3DES, MD5 y SHA-1. Se requiere mínimo AES-256.
Pregunta 16
¿Qué es un HSM y para qué se usa en el contexto del ENS?
- A) Hardware de almacenamiento masivo para backups
- B) Hardware Security Module para gestionar claves criptográficas ✅
- C) Sistema de monitorización de logs en tiempo real
- D) Herramienta de escaneo de vulnerabilidades
✅ Respuesta Correcta: B
Un HSM es un dispositivo hardware certificado (FIPS 140-2) que protege las claves criptográficas. El SAS usa HSM Thales Luna para las claves maestras de Diraya.
Pregunta 17 (P39 del examen real)
Según el Esquema Nacional de Seguridad (ENS), ¿cuál es la principal diferencia entre las medidas de seguridad de nivel ALTO y nivel MEDIO?
- A) Las medidas de seguridad de nivel ALTO requieren la implementación obligatoria de un SOC (Security Operations Center), mientras que en el nivel MEDIO es opcional.
- B) En el nivel ALTO, se exige una auditoría de seguridad con una periodicidad máxima de 1 año, mientras que en el nivel MEDIO es cada 2 años. ✅
- C) Las organizaciones con nivel MEDIO no están obligadas a implementar planes de continuidad del servicio, mientras que en nivel ALTO sí.
- D) El nivel MEDIO permite el uso de contraseñas sin autenticación multifactor, mientras que el nivel ALTO requiere autenticación biométrica obligatoria.
✅ Respuesta Correcta: B
Esta pregunta cayó textualmente en el examen (P39). La diferencia clave es la periodicidad de auditorías: anual para ALTO, bienal para MEDIO.
Pregunta 18
¿Qué medida ENS regula la protección del perímetro de red?
- A) OP.ACC.1 (Identificación)
- B) MP.COM.1 (Protección del perímetro) ✅
- C) OP.EXP.5 (Respaldo)
- D) MP.PER.1 (Control de acceso físico)
✅ Respuesta Correcta: B
MP.COM.1 requiere protección del perímetro de red: firewall, segmentación, DMZ, detección de intrusiones. Es fundamental en la arquitectura de seguridad del SAS.
Pregunta 19
En el SAS, ¿qué herramienta se usa para centralizar logs y correlacionar eventos de seguridad?
- A) Nagios
- B) GLPI
- C) SIEM (Wazuh, Splunk, Elasticsearch) ✅
- D) Ansible
✅ Respuesta Correcta: C
Un SIEM (Security Information and Event Management) centraliza logs, correlaciona eventos y detecta amenazas. El SAS usa Wazuh + Elasticsearch + Kibana.
Pregunta 20
¿Qué significa RPO en un plan de contingencia?
- A) Recovery Point Objective (punto máximo de pérdida de datos aceptable) ✅
- B) Recovery Process Operation
- C) Risk Prevention Objective
- D) Response Protocol Order
✅ Respuesta Correcta: A
RPO define cuántos datos puedes permitirte perder. Si RPO = 4h, significa que el backup debe ser cada 4h como máximo. RTO es el tiempo de recuperación.
Pregunta 21
¿Qué categoría ENS tiene el sistema Diraya (Historia Clínica Digital) del SAS?
- A) BAJA
- B) MEDIA
- C) ALTA ✅
- D) Varía según el hospital
✅ Respuesta Correcta: C
Diraya maneja datos de salud (categoría especial RGPD), requiere disponibilidad 24/7 y soporta decisiones clínicas vitales. Es claramente nivel ALTO en todas las dimensiones.
Pregunta 22
¿Qué protocolo de autenticación usa Diraya para el acceso de médicos?
- A) Usuario + contraseña simple
- B) Certificado digital en tarjeta sanitaria + PIN ✅
- C) Biometría facial exclusivamente
- D) Token SMS
✅ Respuesta Correcta: B
Diraya usa MFA con certificado digital (algo que tienes) + PIN (algo que sabes). Cumple perfectamente OP.ACC.5 para nivel ALTO.
Pregunta 23
¿Qué sistema de cifrado usa Oracle para cifrar bases de datos en reposo?
- A) BitLocker
- B) TDE (Transparent Data Encryption) ✅
- C) PGP
- D) FileVault
✅ Respuesta Correcta: B
Oracle TDE cifra automáticamente las bases de datos en reposo con AES-256. Las claves se almacenan en HSM para máxima seguridad.
Pregunta 24
Si un médico intenta acceder a la historia clínica de un paciente sin justificación, ¿qué medida ENS permite detectarlo?
- A) OP.ACC.5 (Autenticación)
- B) OP.EXP.9 (Registro de actividad / auditoría) ✅
- C) MP.COM.1 (Perímetro seguro)
- D) OP.PL.1 (Análisis de riesgos)
✅ Respuesta Correcta: B
Los logs de OP.EXP.9 registran todos los accesos a HC. Se puede auditar posteriormente si un médico accedió indebidamente (por ejemplo, fisgonear la HC de un famoso).
Pregunta 25
¿Qué hospitales del SAS son considerados infraestructuras críticas según la Ley 8/2011?
- A) Todos los centros de salud de atención primaria
- B) Los hospitales comarcales
- C) Los hospitales de tercer nivel (Virgen del Rocío, Carlos Haya, Virgen de las Nieves) ✅
- D) Todos los hospitales sin excepción
✅ Respuesta Correcta: C
Los hospitales de referencia de tercer nivel son infraestructuras críticas porque atienden emergencias complejas sin alternativa viable (trasplantes, neurocirugía…).
Pregunta 26
En caso de ransomware en un hospital del SAS, ¿a quién se debe notificar PRIMERO?
- A) AEPD (Agencia Española de Protección de Datos)
- B) CCN-CERT ✅
- C) CNPIC
- D) Policía Nacional
✅ Respuesta Correcta: B
CCN-CERT es el punto de contacto para incidentes de ciberseguridad en el sector público. Debe notificarse en <1 hora si afecta a sistema nivel ALTO. Después se notifica a AEPD si hay brecha de datos.
Pregunta 27
¿Qué red interconecta de forma segura todas las administraciones públicas en España?
- A) RCJA (Red Corporativa Junta de Andalucía)
- B) Red SARA ✅
- C) RedIRIS
- D) NEREA
✅ Respuesta Correcta: B
La Red SARA (Sistema de Aplicaciones y Redes para las Administraciones) conecta de forma segura AGE, CCAA y EELL. La RCJA se conecta a SARA para interoperar.
Pregunta 28
¿Qué norma ISO es equivalente (complementaria) al ENS en materia de seguridad de la información?
- A) ISO 9001 (Gestión de calidad)
- B) ISO 20000 (Gestión de servicios TI)
- C) ISO 27001 (Sistema de Gestión de Seguridad de la Información) ✅
- D) ISO 14001 (Gestión ambiental)
✅ Respuesta Correcta: C
ISO/IEC 27001 es el estándar internacional de SGSI. Es compatible con el ENS y muchas organizaciones tienen ambas certificaciones (como el CPD del SAS).
Pregunta 29
¿Qué metodología usa el SAS para análisis de riesgos conforme al ENS?
- A) NIST CSF (Cybersecurity Framework)
- B) Magerit v3 ✅
- C) COBIT 2019
- D) ITIL 4
✅ Respuesta Correcta: B
Magerit v3 (Metodología de Análisis y Gestión de Riesgos) es la metodología oficial española de análisis de riesgos. Es la recomendada por el CCN-CERT para ENS.
Pregunta 30
En el modelo de seguridad cloud del SAS con Microsoft Azure, ¿qué parte es responsabilidad de Microsoft?
- A) Seguridad de la aplicación (código de ClicSalud+)
- B) Gestión de identidades y accesos (IAM)
- C) Seguridad del hipervisor y red física ✅
- D) Cifrado de datos de los pacientes
✅ Respuesta Correcta: C
En el modelo de responsabilidad compartida, Azure gestiona la infraestructura (física, hipervisor, red base). El SAS gestiona aplicaciones, datos e identidades. Ambos deben cumplir ENS en su ámbito.
📚 11. Referencias Normativas y Bibliografía
Normativa Principal
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (BOE-A-2022-7191)
- Ley 8/2011, de 28 de abril, de Protección de Infraestructuras Críticas (BOE-A-2011-7630)
- Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público
- Reglamento (UE) 2016/679 (RGPD) sobre protección de datos personales
- Ley Orgánica 3/2018 (LOPDGDD) de Protección de Datos y Garantía de los Derechos Digitales
Guías Técnicas CCN-STIC
- CCN-STIC 800: Guía del Esquema Nacional de Seguridad
- CCN-STIC 801: Responsabilidades y funciones en el ENS
- CCN-STIC 802: Guía de auditoría del ENS
- CCN-STIC 803: Valoración de sistemas según el ENS
- CCN-STIC 804: Guía de implementación de las medidas de seguridad
- CCN-STIC 805: Política de seguridad de la información según ENS
- CCN-STIC 806: Plan de continuidad según el ENS
- CCN-STIC 807: Criptología de empleo en el ENS
- CCN-STIC 808: Verificación del cumplimiento de las medidas en el ENS
- CCN-STIC 809: Informe del estado de seguridad según ENS
- CCN-STIC 817: Gestión de ciberincidentes
Estándares Internacionales Complementarios
- ISO/IEC 27001:2022: Sistema de Gestión de Seguridad de la Información
- ISO/IEC 27002:2022: Controles de seguridad de la información
- ISO/IEC 27799:2016: Gestión de seguridad de la información en salud
- NIST SP 800-53: Security and Privacy Controls (referencia USA)
Documentación del SAS
- Plan de Sistemas de Información del SAS 2024-2027
- Estrategia de Ciberseguridad del SSPA 2022-2025
- Política de Seguridad TI del SAS (acceso restringido)
- Memoria de análisis de riesgos Diraya (confidencial)
Bibliografía Recomendada
- Magerit v3: Metodología de Análisis y Gestión de Riesgos (CCN-CERT)
- «Seguridad de la Información en el Sector Sanitario» – Vicente Aceituno
- «El Esquema Nacional de Seguridad: Análisis práctico» – INTECO
- «Ciberseguridad en hospitales» – ENISA (Agencia Europea de Ciberseguridad)
💪 12. Estrategia de Estudio y Consejos Finales
📅 Plan de Estudio del Tema 77 (1 semana intensiva)
Día 1-2: Fundamentos y Normativa
- Leer el RD 311/2022 completo (especialmente Arts. 1-12 y 23)
- Estudiar las 5 dimensiones (DITCA) con ejemplos del SAS
- Hacer un esquema visual de categorización
- Tiempo estimado: 4-5 horas/día
Día 3-4: Medidas de Seguridad
- Estudiar las medidas ORG, OP, MP más importantes
- Memorizar diferencias MEDIO vs ALTO (tabla comparativa)
- Crear tarjetas Anki con cada medida clave
- Enfocarse en: OP.ACC.1, OP.EXP.9, OP.ACC.5, MP.COM.1
- Tiempo estimado: 4-5 horas/día
Día 5: Ley de Infraestructuras Críticas
- Leer Ley 8/2011 (especialmente Títulos I y II)
- Relacionar PIC con ENS (tabla comparativa)
- Identificar infraestructuras críticas en el SAS
- Estudiar PSO y CNPIC
- Tiempo estimado: 3-4 horas
Día 6: Práctica Intensiva
- Resolver las 30 preguntas tipo test (cronometrado)
- Hacer los 3 casos prácticos
- Revisar las preguntas del examen real (P39, P109, P152)
- Analizar los errores y reforzar puntos débiles
- Tiempo estimado: 5-6 horas
Día 7: Repaso Final
- Repasar el mapa conceptual completo
- Repasar artículos clave del RD 311/2022
- Simulacro cronometrado (60 minutos, 30 preguntas)
- Repaso de «puntos calientes» para examen
- Tiempo estimado: 4-5 horas
🎯 Puntos Calientes para el Examen
Estos son los conceptos que MÁS preguntan y que debes dominar al 100%:
- Ámbito de aplicación al sector privado (P152 del examen) → Art. 3 RD 311/2022
- Diferencias MEDIO vs ALTO en auditorías (P39 del examen) → 1 año vs 2 años
- Usuarios genéricos PROHIBIDOS (P109 del examen) → OP.ACC.1
- Retención de logs: 2 años (MEDIO), 6 años (ALTO)
- MFA obligatorio en nivel ALTO → OP.ACC.5
- Análisis de riesgos: Anual (ALTO), Bienal (MEDIO) → OP.PL.1
- Infraestructuras críticas: 12 sectores, incluyendo Salud
- CNPIC para PIC, CCN-CERT para ENS → No confundir organismos
- Artículo 23 para cloud computing → Novedad RD 311/2022
- Magerit v3: Metodología oficial de análisis de riesgos
💡 Trucos Mnemotécnicos
Para las 5 dimensiones (DITCA):
«Di Tú Cómo Accedes»
- Disponibilidad
- Integridad (la T no está al principio, ojo)
- Trazabilidad
- Confidencialidad
- Autenticidad
Para los 3 marcos de medidas:
«OPerando con Mi Protección»
- OPeracional
- Marco organizativo
- Protección
Para periodicidad de auditorías:
«Un ALTO cada año, un MEDIO cada dos»
⚠️ Errores Comunes a Evitar
- ❌ Confundir el RD 3/2010 (DEROGADO) con el RD 311/2022 (VIGENTE)
Actualiza tus apuntes. Muchos preparadores usan material antiguo. - ❌ Pensar que el ENS solo aplica al sector público
Recuerda: También a proveedores privados que trabajan para AAPP (P152 del examen). - ❌ Confundir ENS con ENI
ENS = Seguridad / ENI = Interoperabilidad. Son complementarios pero distintos. - ❌ Olvidar que la categoría global es el MÁXIMO, no el promedio
Si una sola dimensión es ALTA, todo el sistema es ALTA. - ❌ No relacionar ENS con RGPD
En sanidad SIEMPRE van juntos. Datos de salud = categoría especial RGPD = nivel ALTO ENS.
🎓 Conclusión: Domina Este Tema y Tendrás Una Gran Ventaja
Mira, llegamos al final de este tema y quiero que sepas algo importante: dominar el ENS no es opcional si quieres tu plaza en el SAS.
Piénsalo: en el último examen cayeron 3 preguntas directas sobre ENS (el 2% del examen). Pero es que además, el ENS está relacionado con otros temas como RGPD (Tema 79), Cloud Computing (Tema 62), Gestión de Incidentes (Tema 76)… Es transversal.
Cuando estés en tu puesto en el SAS, el ENS será tu día a día:
- Configurando escritorios virtuales según OP.ACC.1
- Auditando logs de Diraya según OP.EXP.9
- Respondiendo a incidentes y notificando al CCN-CERT
- Asesorando en contratos cloud verificando cumplimiento del Art. 23
- Preparando auditorías anuales (porque Diraya es nivel ALTO)
¿Mi consejo final?
- Memoriza las diferencias MEDIO vs ALTO (auditorías, MFA, logs, backup)
- Entiende la aplicación práctica en el SAS (Diraya, hospitales críticos, arquitectura)
- No confundas ENS con PIC (ciberseguridad vs infraestructuras físicas)
- Relaciona con otros temas del temario (RGPD, cloud, gestión de servicios)
Esta plaza es tuya. El ENS ya lo dominas. Ahora, a por el siguiente tema. 💪
¿Dudas sobre el Tema 77?
Si tienes preguntas sobre algún punto del ENS, sobre las medidas de seguridad, sobre la aplicación en Diraya, o necesitas que profundicemos en algún caso práctico… ¡pregúntame!
Estoy aquí para ayudarte a conseguir tu plaza en el SAS. 🎯