📚 TEMA 35
La Seguridad de las Tecnologías de la Información
Esquema Nacional de Seguridad | MAGERIT | ISO 27001 | Ciberseguridad en el SAS
1. Introducción y Contextualización
¡Bienvenido al Tema Más Crítico de Tu Oposición!
¿Por qué es tan importante este tema? Mira, te voy a ser sincero desde el principio. La seguridad de la información no es solo otro tema más del temario. Es EL tema transversal que cruza todo lo que hace un Técnico Especialista en Informática del SAS. ¿Recuerdas el Tema 34 sobre bases de datos Oracle? Pues bien, sin seguridad, toda esa infraestructura de Diraya, BDU, receta electrónica… sería vulnerable a ataques que podrían comprometer datos de salud de 8.5 millones de andaluces.
Piénsalo así: cada vez que un médico accede a Diraya para ver la historia clínica de un paciente, cada vez que se dispensa una receta electrónica, cada vez que se realiza una analítica y los resultados viajan por la Red Corporativa del SAS… la seguridad está ahí, invisible pero absolutamente crítica. Y tú, como futuro Técnico Especialista, serás uno de los guardianes de esa seguridad.
⚠️ DATO REAL DE EXÁMENES RECIENTES
En las últimas convocatorias (2023-2025), entre el 15-20% de las preguntas del examen han versado sobre seguridad: ENS, MAGERIT, ISO 27001, RGPD, ciberseguridad… Además, es habitual que caigan casos prácticos completos sobre categorización de sistemas según el ENS o análisis de incidentes de seguridad. No es un tema para estudiar por encima.
1.1. Encaje en el Temario y Conexión con Otros Temas
Este Tema 35 se articula de forma natural con varios temas del temario específico. Vamos a verlo claro para que entiendas cómo todo encaja:
| Tema Relacionado | Conexión con Seguridad (Tema 35) | Ejemplo Práctico SAS |
|---|---|---|
| Tema 34 (SGBD Relacionales) | Seguridad en bases de datos Oracle: cifrado TDE, auditoría, control de acceso RBAC, respaldos RMAN | Cifrado de historias clínicas en Diraya, auditoría de accesos a datos de pacientes |
| Tema 36 (ENS) | Desarrollo detallado del Esquema Nacional de Seguridad | Categorización de Diraya como sistema ALTO |
| Tema 37 (MAGERIT) | Análisis y gestión de riesgos | Análisis de riesgos del sistema de receta electrónica |
| Tema 38 (RGPD) | Protección de datos personales de salud (categoría especial) | Evaluación de impacto DPIA de la app ClicSalud+ |
| Tema 32 (Seguridad en Redes) | Firewalls, IDS/IPS, VPN, segmentación de red | Acceso remoto seguro de profesionales a la Red Corporativa |
💡 CONCEPTO CLAVE: La seguridad de la información es un proceso continuo, no un estado. Implica identificar activos, analizar riesgos, aplicar medidas, monitorizar, detectar incidentes, responder y mejorar. Es un ciclo PDCA (Plan-Do-Check-Act) aplicado a la protección de la información.
1.2. ¿Por Qué es Crítico en el SAS?
El Servicio Andaluz de Salud gestiona información sensibilísima. Estamos hablando de:
- ✅ 8.5 millones de historias clínicas digitales en Diraya
- ✅ 150 millones de recetas electrónicas anuales
- ✅ Datos genéticos, oncológicos, de salud mental (categoría especial RGPD)
- ✅ Más de 100,000 profesionales accediendo a sistemas corporativos
- ✅ 1,500 centros sanitarios conectados a la Red Corporativa
- ✅ Sistemas críticos 24/7: urgencias, UCI, quirófanos, laboratorios
Un fallo de seguridad en el SAS no es solo un problema técnico. Puede significar:
- 🚨 Riesgo para la vida de pacientes: si un ransomware cifra las historias clínicas durante una urgencia
- ⚖️ Responsabilidad legal: multas RGPD de hasta 20 millones de euros o 4% del presupuesto
- 📰 Daño reputacional: pérdida de confianza de ciudadanos en el sistema sanitario
- 💰 Coste económico: recuperación de sistemas, indemnizaciones, pérdida de productividad
📌 CASO REAL: Ataque Ransomware al SEPE (2021)
En marzo de 2021, el Servicio Público de Empleo Estatal sufrió un ataque de ransomware Ryuk que dejó fuera de servicio todos sus sistemas durante semanas. El impacto:
- ❌ 710 oficinas sin poder atender presencialmente
- ❌ Prestaciones por desempleo retrasadas
- ❌ Sistemas no recuperados completamente hasta mayo
- 💰 Coste estimado: varios millones de euros
Lección para el SAS: Este tipo de incidentes son reales y ocurren. La ciberseguridad en sanidad no es opcional, es existencial. Por eso el SAS invierte fuertemente en seguridad, planes de continuidad y formación continua.
2. Objetivos, Estrategias y Políticas de Seguridad
2.1. Los Cinco Objetivos Fundamentales
La seguridad de la información persigue proteger cinco dimensiones fundamentales. Y aquí viene algo importante: el Esquema Nacional de Seguridad (ENS) define exactamente estas cinco dimensiones para categorizar los sistemas. Las tienes que memorizar porque caen constantemente en exámenes:
| Dimensión | Definición | Ejemplo en el SAS | Consecuencia de Fallo |
|---|---|---|---|
| 1. CONFIDENCIALIDAD | Solo acceden a la información quienes están autorizados | Un médico solo puede ver historias de sus pacientes asignados | Exposición datos salud → RGPD → multa + daño reputacional |
| 2. INTEGRIDAD | La información no ha sido alterada de forma no autorizada | Una analítica de glucosa no puede ser modificada por error o sabotaje | Decisiones clínicas erróneas → riesgo paciente |
| 3. DISPONIBILIDAD | La información está accesible cuando se necesita | Diraya debe estar disponible 24/7 para urgencias | Imposibilidad de atender pacientes → paralización asistencial |
| 4. AUTENTICIDAD | Se puede verificar la identidad de usuarios y origen de datos | Firma electrónica de recetas por el médico prescriptor | Suplantación de identidad → prescripciones fraudulentas |
| 5. TRAZABILIDAD | Se registran y pueden auditar acciones sobre la información | Logs de quién accedió a qué historia clínica y cuándo | Imposibilidad de detectar accesos indebidos o investigar incidentes |
🎯 TRUCO MNEMOTÉCNICO
Para memorizar las 5 dimensiones del ENS, usa el acrónimo «CI-DAT»:
- Confidencialidad
- Integridad
- Disponibilidad
- Autenticidad
- Trazabilidad
O si prefieres: «Cinco Ingenieros Desarrollan Aplicaciones Trazables» 😊
2.2. Estrategias de Seguridad: Enfoque por Capas (Defensa en Profundidad)
Una estrategia de seguridad eficaz no se basa en una única barrera, sino en múltiples capas de defensa. Es como un castillo medieval: no solo tiene murallas exteriores, también tiene foso, torres de vigilancia, puertas fortificadas, guardias en el interior… Si un atacante supera una capa, aún quedan otras.
🏰 Modelo de Seguridad en Capas del SAS
| Capa | Controles de Seguridad | Implementación SAS |
|---|---|---|
| 1. Perímetro de Red | Firewalls, IPS/IDS, Anti-DDoS | Firewalls Palo Alto en CPD, segmentación VLAN, DMZ para servicios públicos |
| 2. Acceso a Aplicaciones | Autenticación multifactor, SSO, control de acceso | Sistema IDENTIC (LDAP corporativo), certificados digitales para profesionales |
| 3. Datos | Cifrado en reposo y tránsito, enmascaramiento, DLP | TDE en Oracle para Diraya, TLS 1.3 en comunicaciones, cifrado AES-256 |
| 4. Endpoints | Antimalware, EDR, control de dispositivos, hardening | McAfee EPO, control de USB, actualización automática Windows |
| 5. Física | Control de acceso físico, videovigilancia, CCTV | CPD Tier III en Málaga con biométricos, tarjetas RFID, monitorización 24/7 |
| 6. Personas | Formación, concienciación, simulacros | Formación anual obligatoria ENS, campañas anti-phishing, políticas de uso aceptable |
💡 PRINCIPIO FUNDAMENTAL: La seguridad perfecta no existe. El objetivo es hacer que el coste de atacar sea superior al beneficio que obtendría el atacante. Se trata de gestión de riesgos, no de eliminación total del riesgo (que es imposible).
2.3. Política de Seguridad: El Marco de Gobernanza
La política de seguridad es el documento estratégico de más alto nivel que define qué se protege, por qué, cómo y quién es responsable. En el SAS existe una Política de Seguridad de las Tecnologías de la Información y Comunicaciones aprobada por la Dirección Gerencia que establece:
- 📜 Principios rectores: seguridad desde el diseño, mínimo privilegio, segregación de funciones
- 🎯 Objetivos de seguridad: alineados con el ENS y con la misión asistencial del SAS
- 👥 Roles y responsabilidades: quién es responsable de qué (RACI)
- 📊 Métricas y KPIs: cómo se mide el nivel de seguridad
- ⚖️ Cumplimiento normativo: ENS, RGPD, normas sectoriales
- 🔄 Revisión y mejora continua: actualización periódica de la política
📋 Marco Normativo de la Política de Seguridad SAS
- 🔹 Real Decreto 311/2022 – Esquema Nacional de Seguridad (ENS)
- 🔹 Reglamento UE 2016/679 – RGPD (datos de salud = categoría especial)
- 🔹 Ley Orgánica 3/2018 – LOPDGDD
- 🔹 Ley 11/2007 – Acceso electrónico de los ciudadanos a los servicios públicos
- 🔹 Decreto 534/2021 – Administración Electrónica del SAS
- 🔹 Estrategia Andaluza de Ciberseguridad 2022-2025
- 🔹 Política TIC de la Junta de Andalucía
2.4. Organización de la Seguridad: Roles y Responsabilidades
El ENS (artículo 10) define claramente los roles de seguridad. Es MUY importante que los conozcas porque suelen caer preguntas específicas en el examen:
| Rol ENS | Responsabilidad | En el SAS |
|---|---|---|
| Responsable de la Información | Define requisitos de la información tratada (qué necesita protegerse) | Dirección Asistencial (define que las historias clínicas son nivel ALTO) |
| Responsable del Servicio | Define requisitos de los servicios prestados (disponibilidad, continuidad) | Dirección de Sistemas de Información (garantiza que Diraya esté 24/7) |
| Responsable del Sistema | Define requisitos técnicos y funcionales del sistema | Jefe de Proyecto Diraya (arquitectura, tecnología, operación) |
| Responsable de Seguridad | SUPERVISA que se cumplen los requisitos de seguridad, coordina medidas, reporta | CISO (Chief Information Security Officer) del SAS o Responsable de Seguridad TI |
⚠️ PREGUNTA TÍPICA DE EXAMEN
El rol de SUPERVISIÓN en el ENS lo desempeña:
A) El responsable de la información
B) El responsable del servicio
C) El responsable de la seguridad ✅ (CORRECTA)
D) El responsable del sistema
Esta pregunta cayó literalmente en el examen SAS 2023. El responsable de seguridad es quien supervisa el cumplimiento.
3. Esquema Nacional de Seguridad (ENS)
Vamos con el bloque fuerte. El ENS es, sin exagerar, uno de los pilares de este tema y del examen. Es de aplicación obligatoria para todas las administraciones públicas, incluido el SAS. Y no solo eso: su cumplimiento es auditable y sancionable.
3.1. ¿Qué es el ENS y Por Qué Existe?
El Esquema Nacional de Seguridad es el marco normativo que establece la política de seguridad en la utilización de medios electrónicos en el sector público español. Se aprobó inicialmente mediante Real Decreto 3/2010, y actualmente está vigente la versión actualizada del Real Decreto 311/2022, de 3 de mayo.
💡 RAZÓN DE SER DEL ENS: Garantizar que los ciudadanos puedan confiar en que sus datos están protegidos cuando interactúan electrónicamente con las administraciones. Sin esta confianza, la transformación digital del sector público sería imposible.
3.2. Ámbito de Aplicación
El ENS se aplica a:
- ✅ Administración General del Estado y sus organismos públicos
- ✅ Administraciones de las Comunidades Autónomas (incluida Junta de Andalucía y SAS)
- ✅ Entidades que integran la Administración Local
- ✅ Entidades de Derecho Público vinculadas o dependientes
Esto significa que TODOS los sistemas de información del SAS están sujetos al ENS: Diraya, BPS, receta electrónica, INFOWEB, sistemas de gestión económica, recursos humanos, etc.
3.3. Principios Básicos del ENS
El artículo 5 del RD 311/2022 establece 14 principios básicos. Para el examen, es fundamental que conozcas los más importantes:
| Principio | Significado | Aplicación SAS |
|---|---|---|
| 1. Seguridad integral | Se abordan aspectos organizativos, procedimentales, técnicos y físicos | No basta con firewalls, también hace falta formación, políticas, CPD seguro |
| 2. Gestión de riesgos | La seguridad se basa en análisis de riesgos (MAGERIT) | Se analizan amenazas a Diraya antes de definir medidas |
| 3. Prevención, detección, respuesta y conservación | Ciclo continuo: evitar incidentes, detectarlos rápido, responder y preservar evidencias | SIEM para detectar, equipo CSIRT para responder, backups para conservar |
| 4. Líneas de defensa | Múltiples capas de seguridad (defensa en profundidad) | Firewall + IDS + antivirus + cifrado + autenticación multifactor |
| 5. Vigilancia continua | Monitorización permanente 24/7 | SOC (Security Operations Center) del SAS con monitorización continua |
| 6. Reevaluación periódica | Las medidas de seguridad se revisan regularmente | Auditorías ENS cada 2 años (obligatorio para categoría MEDIA/ALTA) |
| 7. Diferenciación de responsabilidades | Roles claramente definidos y segregados | Quien desarrolla no es quien despliega en producción (DevOps con segregación) |
📝 PREGUNTA REAL – Examen TFA Medio 2025
«Indique cuál de los siguientes es un principio básico del ENS:»
A) Identificación, corrección y protección
B) Monitoreo, intervención y preservación
C) Existencia de líneas de defensa ✅ (CORRECTA)
D) Vigilancia discontinua
La opción D es una trampa: el ENS establece vigilancia CONTINUA, no discontinua.
3.4. Categorización de Sistemas según el ENS
Este apartado es CRÍTICO y cae constantemente en exámenes. La categorización determina el nivel de medidas de seguridad que hay que aplicar.
3.4.1. Niveles de Seguridad por Dimensión
Para cada una de las 5 dimensiones (C-I-D-A-T), el ENS establece 3 niveles según el impacto de un incidente:
| Nivel | Impacto | Ejemplos de Consecuencias |
|---|---|---|
| BAJO | Perjuicio limitado, fácilmente reparable | Molestias menores, retrasos cortos, costes reducidos |
| MEDIO | Perjuicio grave, reparable con esfuerzo | Daño significativo, incumplimiento normativo, costes importantes |
| ALTO | Perjuicio muy grave, difícilmente reparable | Riesgo para vidas, pérdidas económicas mayores, daño irreversible |
3.4.2. Categoría del Sistema = MAX(niveles de sus 5 dimensiones)
REGLA FUNDAMENTAL: La categoría del sistema es la del nivel MÁS ALTO de sus dimensiones. Si tienes 4 dimensiones en BAJO y 1 en ALTO → el sistema es de categoría ALTA.
📊 EJEMPLO: Categorización de Diraya (Historia Clínica Digital)
| Dimensión | Nivel | Justificación |
|---|---|---|
| Confidencialidad | ALTO | Datos de salud = categoría especial RGPD. Exposición → multa masiva + daño reputacional grave |
| Integridad | ALTO | Alteración de datos clínicos → decisiones erróneas → riesgo vital pacientes |
| Disponibilidad | ALTO | Caída de Diraya en urgencias → imposibilidad atender pacientes → riesgo vital |
| Autenticidad | ALTO | Suplantación médico → prescripciones fraudulentas → daño pacientes |
| Trazabilidad | ALTO | Sin logs → imposible investigar accesos indebidos → sanción RGPD + imposibilidad probar responsabilidades |
RESULTADO: Diraya es un sistema de categoría ALTA
Consecuencias:
- ✓ Requiere auditoría de seguridad cada 2 años (art. 31 ENS)
- ✓ Necesita certificación de conformidad por organismo acreditado
- ✓ Debe aplicar todas las medidas ENS en nivel ALTO (75 controles)
- ✓ Obligatorio tener plan de continuidad documentado y probado
⚠️ CASO PRÁCTICO TÍPICO DE EXAMEN
Te van a dar un supuesto con las 5 dimensiones valoradas y tienes que determinar la categoría. Ejemplo real del examen TFA Agencia 2023:
«Un sistema tiene:
- Confidencialidad: MEDIO (incumplimiento material norma jurídica)
- Integridad: BAJO (reducción apreciable capacidad organización)
- Disponibilidad: MEDIO (RTO de 1 día)
- Autenticidad: BAJO (perjuicio menor fácilmente reparable)
- Trazabilidad: MEDIO
¿Cuál es la categoría del sistema?»
Respuesta: MEDIA (porque el nivel más alto es MEDIO en 3 dimensiones)
3.5. Declaración de Aplicabilidad y Conformidad
| Categoría | Declaración/Certificación | Quién la realiza | Validez |
|---|---|---|---|
| BÁSICA | Declaración de conformidad | El propio responsable del sistema | 2 años |
| MEDIA | Certificación de conformidad | Entidad de certificación acreditada ENAC | 2 años |
| ALTA | Certificación de conformidad | Entidad de certificación acreditada ENAC | 2 años |
📝 PREGUNTA REAL – TFA Agencia 2023
«¿Cuál de las siguientes categorías requerirá un proceso de declaración de conformidad según el ENS?»
A) Sistemas de categoría BÁSICA ✅ (CORRECTA)
B) Sistemas de categoría MEDIA
C) Sistemas de categoría ALTA
D) Ninguno requiere declaración, todos necesitan certificación
Las categorías MEDIA y ALTA requieren certificación por entidad acreditada, solo BÁSICA requiere declaración.
3.6. Auditorías de Seguridad ENS
El artículo 31 del RD 311/2022 establece la obligatoriedad de auditorías regulares:
📋 Artículo 31: Auditoría Regular de la Seguridad
«Los sistemas de información comprendidos en el ámbito de aplicación de este real decreto serán objeto de una auditoría regular ordinaria que verifique el cumplimiento de los requisitos del ENS al menos cada dos años, pudiendo extenderse durante tres meses adicionales cuando concurran impedimentos de fuerza mayor no imputables a la entidad.»
⚠️ PREGUNTA LITERAL – Examen TFA Medio 2025
«Según el artículo 31 del Real Decreto 311/2022 (ENS), los sistemas deben ser auditados:»
A) Al menos cada 18 meses, extensión de 6 meses
B) Al menos cada 2 años, sin posibilidad de extensión
C) Al menos cada 2 años, extensión de 3 meses ✅ (CORRECTA)
D) Al menos cada 12 meses, extensión de 6 meses hasta máximo 36
4. MAGERIT: Metodología de Análisis y Gestión de Riesgos
MAGERIT es la metodología oficial del sector público español para el análisis y gestión de riesgos de los sistemas de información. Está desarrollada por el CCN-CERT (Centro Criptológico Nacional) y es la herramienta fundamental para cumplir con el principio ENS de «gestión de riesgos».
4.1. ¿Qué es MAGERIT?
MAGERIT = Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas
Es un método sistemático para:
- 1️⃣ Identificar los activos de información
- 2️⃣ Valorar su importancia para la organización
- 3️⃣ Identificar las amenazas a las que están expuestos
- 4️⃣ Estimar el impacto y la probabilidad de materialización
- 5️⃣ Calcular el riesgo (Impacto × Probabilidad)
- 6️⃣ Proponer medidas de seguridad (salvaguardas)
- 7️⃣ Calcular el riesgo residual tras aplicar medidas
4.2. Conceptos Fundamentales de MAGERIT
| Concepto | Definición | Ejemplo en Diraya |
|---|---|---|
| ACTIVO | Recurso del sistema de información que tiene valor para la organización | Base de datos Oracle con historias clínicas, servidor de aplicación, datos de pacientes |
| AMENAZA | Evento que puede causar un incidente de seguridad | Ransomware, acceso no autorizado, fallo hardware, error humano |
| VULNERABILIDAD | Debilidad que puede ser explotada por una amenaza | Sistema operativo sin parchear, contraseña débil, falta de cifrado |
| IMPACTO | Consecuencia de que se materialice la amenaza | Exposición de 10,000 historias clínicas → multa RGPD + daño reputacional |
| RIESGO | Probabilidad × Impacto | Si hay 30% probabilidad de ransomware e impacto de 1M€ → riesgo = 300K€ |
| SALVAGUARDA | Medida de seguridad que reduce el riesgo | Backup diario, antivirus, formación usuarios, firewall |
| RIESGO RESIDUAL | Riesgo que queda tras aplicar salvaguardas | Tras backup y antivirus, riesgo de ransomware baja de 300K€ a 50K€ |
4.3. Tipos de Análisis de Riesgos en MAGERIT
MAGERIT contempla dos enfoques según la categoría ENS del sistema:
| Tipo | Características | Cuándo se Usa | Ejemplo |
|---|---|---|---|
| CUALITATIVO | Usa escalas discretas (Muy Bajo, Bajo, Medio, Alto, Muy Alto) | Sistemas categoría BÁSICA o MEDIA. Análisis rápido. | «El riesgo de fuga de datos es ALTO» |
| CUANTITATIVO | Usa valores numéricos y monetarios (euros, probabilidades %) | Sistemas categoría ALTA. Decisiones de inversión en seguridad. | «El riesgo de fuga de datos es 250,000€/año» |
| SEMIFORMAL | Usa catálogo de amenazas, lenguaje específico, semántica definida | Nivel intermedio | Catálogo CCN-CERT de amenazas |
| FORMAL | Fundamento matemático reconocido (estadística, teoría de probabilidades) | Sistemas críticos categoría ALTA | Análisis de disponibilidad con modelos Markov |
📝 PREGUNTA REAL – TFA Agencia 2023
«Dado que el sistema ha sido categorizado como de categoría ALTA de acuerdo con el ENS, la medida de seguridad [op.pl.1] sobre Análisis de Riesgos requerirá:»
A) Análisis de riesgos informal, en lenguaje natural
B) Análisis semiformal con catálogo básico de amenazas
C) Análisis formal con fundamento matemático reconocido internacionalmente ✅ (CORRECTA)
D) Ninguna de las anteriores
Para categoría ALTA, el ENS exige análisis de riesgos FORMAL.
⚠️ PREGUNTA TÍPICA – Examen TFA Medio 2025
«¿Qué elemento distingue principalmente el análisis cualitativo del cuantitativo en MAGERIT?»
A) El uso de escalas de valores discretos para valorar activos y amenazas ✅ (CORRECTA)
B) La implementación de controles de seguridad específicos
C) El tiempo necesario para realizar el análisis
D) La necesidad de usar la herramienta PILAR
4.4. PILAR: Herramienta de Apoyo a MAGERIT
PILAR es la aplicación informática desarrollada por el CCN-CERT para facilitar la aplicación de MAGERIT. Permite:
- ✓ Modelar el sistema de información (activos, relaciones)
- ✓ Seleccionar amenazas del catálogo CCN-CERT
- ✓ Valorar activos en las 5 dimensiones ENS (C-I-D-A-T)
- ✓ Calcular riesgos automáticamente
- ✓ Proponer salvaguardas según ENS
- ✓ Generar informes de análisis de riesgos
📝 PREGUNTA REAL – Examen SAS 2023
«¿Cuál de las siguientes dimensiones de seguridad es una en la que permite analizar los riesgos la solución PILAR?»
A) Continuidad
B) Resiliencia
C) Disponibilidad ✅ (CORRECTA)
D) Fiabilidad
PILAR permite analizar las 5 dimensiones ENS: Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad. «Continuidad» y «Resiliencia» no son dimensiones ENS.
4.5. Proceso de Análisis de Riesgos MAGERIT (Paso a Paso)
📋 CASO PRÁCTICO: Análisis de Riesgos del Sistema de Receta Electrónica (Receta XXI)
PASO 1: Identificación de Activos
- [A01] Base de datos de medicamentos prescritos
- [A02] Servidor de aplicación Receta XXI
- [A03] Interfaz web para médicos
- [A04] Interfaz para farmacias
- [A05] Sistema de firma electrónica
- [A06] Comunicaciones (Red Corporativa SAS)
PASO 2: Valoración de Activos (dimensiones ENS)
| Activo | C | I | D | A | T |
|---|---|---|---|---|---|
| [A01] BD medicamentos | ALTO | ALTO | ALTO | ALTO | ALTO |
| [A02] Servidor aplicación | MEDIO | ALTO | ALTO | MEDIO | ALTO |
PASO 3: Identificación de Amenazas
- [T.1] Errores de los usuarios (prescripción errónea)
- [T.5] Averías del sistema (caída servidor)
- [T.9] Fuga de información (acceso no autorizado a recetas)
- [T.11] Código malicioso (ransomware)
- [T.15] Modificación no autorizada de información (alteración recetas)
PASO 4: Estimación de Impacto y Probabilidad
| Amenaza | Activo | Probabilidad | Impacto | Riesgo |
|---|---|---|---|---|
| [T.9] Fuga información | [A01] BD | Media (50) | Muy Alto (100) | 5000 (CRÍTICO) |
| [T.5] Avería sistema | [A02] Servidor | Media (50) | Alto (80) | 4000 (ALTO) |
| [T.1] Error usuario | [A03] Interfaz | Alta (75) | Medio (50) | 3750 (ALTO) |
PASO 5: Propuesta de Salvaguardas
- ✓ [mp.com.2] Cifrado de comunicaciones (TLS 1.3)
- ✓ [mp.info.3] Cifrado de datos en BD (TDE Oracle)
- ✓ [op.exp.4] Backup diario con retención 30 días
- ✓ [mp.per.4] Formación usuarios en prescripción segura
- ✓ [op.cont.1] Plan de continuidad con RTO < 4 horas
- ✓ [mp.acc.6] Control de acceso basado en roles (RBAC)
PASO 6: Cálculo de Riesgo Residual
| Amenaza | Riesgo Inicial | Salvaguardas | Riesgo Residual |
|---|---|---|---|
| [T.9] Fuga información | 5000 | Cifrado + RBAC | 800 (BAJO) |
| [T.5] Avería | 4000 | Backup + Plan continuidad | 600 (BAJO) |
DECISIÓN: Los riesgos residuales son aceptables. Se aprueba el sistema para producción con las salvaguardas propuestas.
5. Medidas de Seguridad (Físicas, Técnicas, Organizativas y Legales)
El Anexo II del ENS establece 75 controles de seguridad organizados en 3 grandes marcos y múltiples familias. Estas medidas son de aplicación obligatoria según la categoría del sistema. Vamos a verlas de forma estructurada porque es un apartado denso pero muy preguntado en exámenes.
5.1. Estructura de las Medidas ENS
| Marco | Familias | Nº Medidas |
|---|---|---|
| org (Organizativas) | Organización, Operación, Acceso, Continuidad | 27 medidas |
| op (Operacionales) | Planificación, Explotación, Control de acceso, Continuidad | 24 medidas |
| mp (Medidas de Protección) | Equipos, Comunicaciones, Soportes, Aplicaciones, Personal, Servicios subcontratados | 24 medidas |
5.2. Medidas de Seguridad Organizativas (org)
5.2.1. Marco Organizativo (org)
| Código | Medida | Aplicación SAS |
|---|---|---|
| [org.1] | Política de seguridad | Política de Seguridad TIC del SAS aprobada por Dirección Gerencia |
| [org.2] | Normativa de seguridad | Procedimientos operativos, guías de configuración segura, manuales de usuario |
| [org.3] | Procedimientos de seguridad | Procedimiento de gestión de incidentes, de alta/baja usuarios, de backup/restore |
| [org.4] | Proceso de autorización | Autorización formal antes de poner en producción cualquier sistema o cambio relevante |
5.3. Medidas de Seguridad Operacionales (op)
5.3.1. Planificación (op.pl)
| Código | Medida | Aplicación SAS |
|---|---|---|
| [op.pl.1] | Análisis de riesgos | MAGERIT con PILAR. Categoría ALTA → análisis formal |
| [op.pl.2] | Arquitectura de seguridad | Segmentación red en DMZ/Interna/Gestión, defensa en profundidad |
| [op.pl.3] | Adquisición de nuevos componentes | Requisitos de seguridad en pliegos de contratación TIC |
| [op.pl.4] | Dimensionamiento/Gestión de capacidad | Monitorización capacidad servidores, almacenamiento, red (prevención caídas por saturación) |
5.3.2. Control de Acceso (op.acc)
| Código | Medida | Aplicación SAS |
|---|---|---|
| [op.acc.4] | Segregación de funciones y tareas | Quien desarrolla no despliega en producción. DBA ≠ Auditor |
| [op.acc.5] | Proceso de gestión de derechos de acceso | Workflow formal de alta/modificación/baja de permisos en IDENTIC |
| [op.acc.6] | Mecanismo de autenticación | Usuario+contraseña + certificado digital para acceso remoto |
⚠️ PREGUNTA REAL – TFA Agencia 2023
«Según la medida [op.acc.4] sobre Segregación de funciones, el Refuerzo R1 (Segregación rigurosa) implica:»
A) Las capacidades de desarrollo y operación no recaen en la misma persona
B) Las personas que autorizan y controlan el uso son distintas
C) La misma persona no aúna funciones de configuración y mantenimiento, ni auditoría con cualquier otra función ✅ (CORRECTA)
D) Existen cuentas con privilegios de auditoría personalizadas
5.4. Medidas de Protección (mp)
5.4.1. Protección de Equipos (mp.eq)
| Código | Medida | Aplicación SAS |
|---|---|---|
| [mp.eq.1] | Puesto de trabajo | Sistema LeTSAS (Linux Terminal SAS), escritorios bloqueables, pantallas privacidad |
| [mp.eq.2] | Portátiles | Cifrado de disco BitLocker, VPN obligatoria para acceso remoto |
| [mp.eq.3] | Dispositivos móviles | MDM (Mobile Device Management), borrado remoto, segregación datos personales/corporativos |
5.4.2. Protección de Comunicaciones (mp.com)
| Código | Medida | Aplicación SAS |
|---|---|---|
| [mp.com.1] | Perímetro seguro | Cortafuegos perimetral (Palo Alto/Fortinet) con reglas restrictivas |
| [mp.com.2] | Protección de la confidencialidad | TLS 1.3 para Diraya, VPN IPSec para interconexión centros |
| [mp.com.3] | Protección de la integridad y autenticidad | Certificados digitales para firma electrónica recetas, autenticación mutua TLS |
| [mp.com.4] | Segregación de redes | VLANs separadas: Clínica / Administrativa / Gestión / Invitados / IoT médico |
📋 Ejemplo Real: Segregación de Redes en Hospital SAS
VLAN 10 - Red Clínica Diraya → Acceso a HIS, PACS, LIS VLAN 20 - Red Administrativa → ERP, RRHH, email corporativo VLAN 30 - Red de Gestión → Acceso a switches, routers, SAI VLAN 40 - Red WiFi Profesionales → Acceso a intranet y Diraya VLAN 50 - Red WiFi Pacientes → Internet filtrado, sin acceso interno VLAN 60 - Red IoT Médico → Monitores, bombas infusión, ventiladores VLAN 99 - Red Cuarentena → Equipos con malware detectado Firewall inter-VLAN: Reglas explícitas de qué puede hablar con qué IDS/IPS: Monitorización tráfico anómalo entre VLANs
5.4.3. Protección de la Información (mp.info)
| Código | Medida | Aplicación SAS |
|---|---|---|
| [mp.info.1] | Datos en reposo | Cifrado TDE (Transparent Data Encryption) en Oracle para BD Diraya |
| [mp.info.2] | Datos en tránsito | TLS 1.3 obligatorio, deshabilitar SSL v2/v3 y TLS 1.0/1.1 |
| [mp.info.3] | Copias de seguridad | Backup cifrado AES-256, almacenamiento off-site, pruebas restore trimestrales |
| [mp.info.6] | Limpieza de documentos | Destrucción segura de soportes con datos sensibles (trituradoras certificadas) |
5.4.4. Protección de las Aplicaciones (mp.sw)
| Código | Medida | Aplicación SAS |
|---|---|---|
| [mp.sw.1] | Desarrollo seguro | OWASP Top 10, análisis código estático (SonarQube), revisión seguridad pre-producción |
| [mp.sw.2] | Aceptación y puesta en servicio | Pruebas penetración antes de producción, certificación conformidad ENS |
5.5. Clasificación de Medidas según Categoría del Sistema
Las medidas ENS tienen diferentes niveles de aplicación según la categoría del sistema:
| Nivel | Categoría BAJA | Categoría MEDIA | Categoría ALTA |
|---|---|---|---|
| Aplicación | Obligatorio | Obligatorio + Refuerzos | Obligatorio + Todos los Refuerzos |
| Análisis Riesgos | Simplificado | Formal periódico | Formal riguroso + revisión anual |
| Auditoría | No obligatoria | Cada 2 años | Cada 2 años + auditoría continua |
| Documentación | Básica | Completa | Exhaustiva + trazabilidad completa |
💡 Ejemplos de Categorización SAS
- ALTA: Diraya Historia Digital, Base de Datos Única (datos personales salud + millones de registros)
- MEDIA: Portal profesionales SAS, sistema gestión citas
- BAJA: Web informativa hospital (sin datos personales), catálogo servicios
5.6. Medidas de Seguridad Física
Aunque el ENS integra la seguridad física dentro de las medidas técnicas y organizativas, es importante destacar aspectos específicos críticos en el SAS:
- Control de acceso biométrico: Huella dactilar + tarjeta RFID para acceso a salas de servidores
- Videovigilancia 24/7: Cámaras con grabación mínimo 30 días, monitorización en tiempo real
- Detección incendios: Sistema VESDA (Very Early Smoke Detection Apparatus) + extinción gas inerte FM-200
- Control ambiental: Temperatura 18-24°C, humedad 40-60%, doble alimentación eléctrica + SAI + grupo electrógeno
- Protección contra inundaciones: Sala elevada, detectores nivel agua, drenaje automático
- Jaulas de seguridad: Racks con cerradura individual para equipos críticos
5.7. Medidas de Seguridad Legales
El cumplimiento normativo es una medida de seguridad en sí misma. En el ámbito sanitario del SAS, confluyen múltiples marcos legales:
| Marco Legal | Obligación | Responsable SAS |
|---|---|---|
| RGPD + LOPDGDD | Protección datos personales salud (categoría especial) | Delegado Protección Datos (DPO) |
| Ley 41/2002 | Autonomía paciente, confidencialidad historia clínica | Dirección Asistencial |
| ENS (RD 311/2022) | Seguridad sistemas información AAPP | Responsable de Seguridad (RSI) |
| Ley 39/2015 | Procedimiento administrativo electrónico | Responsable Administración Electrónica |
| Directiva NIS2 | Ciberseguridad operadores esenciales (sanidad incluida) | CISO + Comité Ciberseguridad |
⚠️ Sanciones por Incumplimiento
RGPD: Hasta 20 millones € o 4% facturación anual (el mayor)
ENS: Responsabilidad patrimonial por daños + pérdida certificación
Ley 41/2002: Responsabilidad penal por vulneración secreto (art. 199 CP): prisión 1-4 años
Ejemplo real: Multa 600.000€ a hospital por accesos indebidos a historias clínicas de famosos
6. Planes de Contingencia y Recuperación ante Desastres
Un Plan de Contingencia es el conjunto de procedimientos diseñados para responder ante situaciones de emergencia que puedan afectar la disponibilidad de los sistemas de información. En el SAS, donde la disponibilidad de Diraya puede significar literalmente vida o muerte, estos planes son críticos.
6.1. Conceptos Fundamentales
6.2. Fases del Plan de Contingencia
| Fase | Objetivo | Actividades Clave | Responsable SAS |
|---|---|---|---|
| 1. Prevención | Evitar que ocurra el incidente | Copias seguridad, redundancia HW, monitorización | Equipo Operaciones CPD |
| 2. Detección | Identificar el incidente lo antes posible | Sistemas monitorización 24/7, alertas automáticas | NOC (Network Operations Center) |
| 3. Respuesta Inmediata | Contener el daño | Activar procedimientos emergencia, aislar sistemas afectados | Jefe de Guardia TIC |
| 4. Recuperación | Restaurar el servicio | Ejecutar plan DRP, activar CPD alternativo si procede | Comité Crisis TIC |
| 5. Reanudación | Volver a la normalidad | Migrar de vuelta a producción principal, verificar integridad | Responsable Sistemas |
| 6. Post-mortem | Aprender del incidente | Análisis causa raíz, actualizar documentación, formación | Comité Seguridad + RSI |
6.3. Estructura del Plan de Contingencia SAS
El Plan de Contingencia TIC del SAS debe incluir obligatoriamente:
- Alcance y Objetivos: Sistemas incluidos (Diraya, BDU, Receta XXI, etc.), RTO/RPO por sistema
- Análisis de Impacto al Negocio (BIA): Criticidad de cada sistema, dependencias entre sistemas
- Identificación de Amenazas: Incendio CPD, ciberataque ransomware, fallo eléctrico prolongado, terremoto, inundación
- Estrategias de Recuperación: Hot site, warm site, cold site, cloud DR
- Procedimientos Operativos: Paso a paso qué hacer en cada escenario
- Equipos y Responsabilidades: Matriz RACI clara, cadena de mando, números contacto 24/7
- Recursos Necesarios: HW alternativo, SW licencias, enlaces comunicaciones respaldo
- Plan de Comunicación: Cómo informar a dirección, profesionales, pacientes, prensa
- Pruebas y Mantenimiento: Simulacros anuales, actualización trimestral documentación
📋 Caso Práctico: Incendio en CPD Principal SAS
ESCENARIO: 03:00 AM – Incendio en sala eléctrica CPD Granada. Activación FM-200 exitosa pero daños en UPS. Estimación reparación: 48 horas.
SISTEMAS AFECTADOS:
- Diraya Historia Digital (CRÍTICO – RTO 4h)
- Receta XXI (CRÍTICO – RTO 2h)
- BDU Base Datos Única (CRÍTICO – RTO 4h)
- Portal Profesionales (ALTO – RTO 8h)
ACCIONES INMEDIATAS (T+15 min):
- 03:15 – Jefe Guardia TIC activa Nivel 3 – Desastre Mayor
- 03:20 – Convocatoria Comité Crisis (Zoom): Director TIC + RSI + DBA + Networking
- 03:25 – Decisión: Activar CPD Respaldo Sevilla (warm site)
- 03:30 – DBA inicia restore último backup Diraya (02:45 AM – RPO 15 min cumplido)
RECUPERACIÓN (T+4h):
- 04:00 – Verificación integridad BD restaurada
- 05:00 – Pruebas funcionales Diraya con 5 usuarios piloto
- 06:00 – DNS apunta a Sevilla, Diraya online ✅
- 07:00 – Comunicado profesionales: servicio restaurado, posible pérdida datos 02:45-03:00
RTO Real: 3h 45 min (objetivo 4h cumplido ✅)
RPO Real: 15 min (objetivo 15 min cumplido ✅)
6.4. Tipos de Sitios de Recuperación
| Tipo | Características | RTO | Coste | Uso SAS |
|---|---|---|---|---|
| Hot Site | CPD duplicado con datos replicados en tiempo real | < 1 hora | Muy alto | Diraya (replicación Oracle DataGuard) |
| Warm Site | CPD con HW preparado, restore backup reciente | 4-12 horas | Medio | Sistemas administrativos, portales |
| Cold Site | Espacio físico con infraestructura básica | > 72 horas | Bajo | Sistemas no críticos, almacenamiento histórico |
| Cloud DR | Recuperación en nube pública/híbrida | Variable (2-24h) | Medio (pago uso) | Aplicaciones no reguladas, desarrollo |
6.5. Pruebas del Plan de Contingencia
El ENS obliga a realizar pruebas periódicas del plan. Tipos de pruebas:
💡 Lecciones Aprendidas – Simulacro SAS 2024
Hallazgos del último simulacro completo:
- ✅ RTO Diraya cumplido: 3h 20min (objetivo 4h)
- ❌ Documentación DNS desactualizada, retrasó conmutación 45 min
- ❌ 3 servidores aplicación con versión Java desincronizada respecto a producción
- ✅ Comunicación con usuarios excelente: portal info actualizado cada 30 min
- ⚠️ Consumo ancho de banda CPD alternativo 92% durante pico – dimensionar
Acciones correctivas: Automatizar sincronización configuraciones, aumentar BW a 2×10 Gbps
7. Respaldo y Continuidad de Negocio
Mientras que el Plan de Contingencia se centra en la recuperación TIC tras un desastre, el Plan de Continuidad de Negocio (BCP – Business Continuity Plan) tiene una visión más amplia: cómo la organización sanitaria SAS puede seguir prestando asistencia sanitaria cuando los sistemas TIC fallen.
7.1. Diferencia entre DR y BC
| Aspecto | Disaster Recovery (DR) | Business Continuity (BC) |
|---|---|---|
| Alcance | Tecnología (TIC) | Toda la organización |
| Enfoque | Reactivo (después del desastre) | Proactivo (preparación previa) |
| Objetivo | Restaurar sistemas informáticos | Mantener servicios críticos del negocio |
| Responsable | Director TIC / RSI | Dirección Gerencia / Comité Dirección |
| Ejemplo SAS | Recuperar Diraya en CPD alternativo | Atender pacientes urgentes aunque Diraya esté caído (papel, teléfono) |
7.2. Estrategia de Copias de Seguridad (Backup)
Las copias de seguridad son la piedra angular de cualquier estrategia de recuperación. En el SAS manejamos datos altamente sensibles (salud) con requisitos legales estrictos de conservación.
7.2.1. Tipos de Backup
| Tipo | Qué se Copia | Ventajas | Desventajas | Uso SAS |
|---|---|---|---|---|
| Completo (Full) | Todo | Restore rápido | Lento, mucho espacio | Domingos 00:00 |
| Incremental | Solo cambios desde último backup | Rápido, poco espacio | Restore lento (necesita full + todos incrementales) | Lunes-Sábado 02:00 |
| Diferencial | Cambios desde último full | Restore medio (full + último diferencial) | Ocupa más que incremental | Alternativa a incremental en algunos sistemas |
| Snapshot | Imagen instantánea (cabinas SAN) | Inmediato, sin parar servicio | No es backup off-site | Antes de cambios críticos |
7.2.2. Regla 3-2-1 (Best Practice Backup)
- 3 copias de los datos (1 producción + 2 backup)
- 2 soportes diferentes (ej: disco + cinta)
- 1 copia off-site (fuera del CPD principal)
Ampliado a 3-2-1-1-0:
- +1: Una copia offline (air-gapped, protección anti-ransomware)
- +0: Cero errores de verificación (test restore periódico)
📋 Estrategia Backup Diraya (Producción Real SAS)
COPIA 1 - Producción: └─ BD Oracle Diraya en cabina NetApp (RAID 10, doble controladora) COPIA 2 - Backup Primario (Mismo CPD): ├─ Snapshot cabina NetApp cada 4 horas (retención 48h) ├─ Backup incremental diario → Disco DEDUP (Data Domain) └─ Backup full domingos → Disco DEDUP COPIA 3 - Backup Secundario (Off-site): ├─ Replicación asíncrona a CPD Sevilla (RPO 15 min) └─ Copia cinta LTO-9 mensual → Búnker externo COPIA 4 - Backup Offline (Air-gapped): └─ Copia cinta LTO-9 trimestral → Caja fuerte banco (protección ransomware) Retención Legal (Ley 41/2002): └─ Historia clínica: Mínimo 5 años desde alta └─ Informes críticos: 15 años └─ Datos menores: Hasta mayoría edad + 5 años
7.2.3. Pruebas de Restore (Lo Más Importante)
⚠️ CRÍTICO – «Un backup sin probar es Schrödinger’s Backup»
Existe el backup pero no sabes si funciona hasta que lo necesitas. Y para entonces ya es tarde.
Caso real 2019: Hospital descubre en pleno ransomware que sus backups de 6 meses están corruptos. Pérdida de datos irreparable.
Obligación ENS: Pruebas restore trimestrales documentadas + restore completo anual.
7.3. Alta Disponibilidad vs. Continuidad
Hay confusión frecuente entre estos conceptos. Aclaremos:
| Característica | Alta Disponibilidad (HA) | Continuidad de Negocio (BC) |
|---|---|---|
| Objetivo | Minimizar downtime planificado y no planificado | Seguir operando tras desastre mayor |
| Tecnología | Clustering, load balancing, failover automático | CPD alternativo, procedimientos manuales |
| Alcance Fallo | Componente (servidor, disco, red) | Sitio completo (incendio, terremoto) |
| Tiempo Recuperación | Segundos/minutos (automático) | Horas/días (intervención humana) |
| Métrica | Disponibilidad % (ej: 99,99% = 52 min/año downtime) | RTO / RPO |
| Ejemplo Diraya | Cluster 3 servidores aplicación + balanceador | CPD Sevilla con Oracle DataGuard |
7.4. Niveles de Disponibilidad
| SLA (%) | Downtime Año | Coste Relativo | Uso SAS |
|---|---|---|---|
| 99% (two nines) | 3,65 días | Bajo | Aplicaciones internas no críticas |
| 99,9% (three nines) | 8,76 horas | Medio | Portal profesionales, citas |
| 99,99% (four nines) | 52,56 minutos | Alto | Diraya, Receta XXI |
| 99,999% (five nines) | 5,26 minutos | Muy alto | Sistemas vida/muerte (UCI, quirófanos) |
💡 Cálculo Disponibilidad
Disponibilidad (%) = (Tiempo Total – Tiempo Caído) / Tiempo Total × 100
Ejemplo Diraya 2024: 365 días = 525.600 minutos. Caídas totales: 45 minutos.
Disponibilidad = (525.600 – 45) / 525.600 × 100 = 99,991% ✅
7.5. Procedimientos Modo Degradado
Cuando Diraya cae, ¿qué hacemos? No podemos decirle al infarto que espere 4 horas. El Plan de Continuidad incluye procedimientos en modo degradado:
📋 Protocolo Caída Diraya en Urgencias
- T+0 min: Detección caída. Triaje avisa a Sistemas.
- T+5 min: Activación Modo Papel:
- Impresos historia clínica de urgencias en papel (disponibles siempre)
- Consulta historial llamando a Admisión (tienen backup lectura BD replicada)
- Prescripción manual en talonario oficial (válido legalmente 24h)
- T+4 horas: Estimación restore sistema.
- T+4h a T+48h: Transcripción papel → Diraya por auxiliares administrativos (horas extra, personal refuerzo).
Coste estimado caída 24h Diraya: 180.000€ (horas extra transcripción + pérdida productividad)
8. Política de Seguridad TIC en Junta de Andalucía y SAS
La Política de Seguridad TIC es el documento de más alto nivel que define los principios, objetivos y responsabilidades en materia de seguridad de la información. En el caso del SAS, existe una política corporativa de la Junta de Andalucía que luego se concreta en directrices específicas para el ámbito sanitario.
8.1. Marco Normativo de la Política de Seguridad
| Documento | Alcance | Aprobación |
|---|---|---|
| Política de Seguridad TIC Junta de Andalucía | Toda la Administración autonómica | Consejo de Gobierno |
| Normativa Desarrollo Política TIC | Procedimientos y guías técnicas | Consejería de Justicia, Administración Local y Función Pública |
| Política Seguridad Específica SAS | Servicio Andaluz de Salud | Dirección Gerencia SAS |
| Procedimientos Operativos SAS | Instrucciones detalladas por ámbito | Dirección TIC SAS |
8.2. Estructura de la Política de Seguridad TIC
Una Política de Seguridad TIC completa debe incluir:
8.2.1. Elementos Obligatorios según ENS
- Objeto y Alcance: A qué sistemas, datos y personas aplica
- Roles y Responsabilidades:
- Responsable de la Información: Dirección Asistencial (propietaria de datos clínicos)
- Responsable del Sistema: Director TIC SAS
- Responsable de Seguridad (RSI): Jefe Servicio Seguridad TIC
- Responsable del Servicio: Jefes aplicación (Diraya, Receta XXI, etc.)
- Administradores de Sistemas: Técnicos con acceso privilegiado
- Usuarios: 100.000+ profesionales SAS
- Marco Normativo de Referencia: ENS, RGPD, ISO 27001, normativa sanitaria
- Principios Básicos de Seguridad:
- Seguridad como proceso continuo, no producto puntual
- Prevención, detección, respuesta y recuperación
- Defensa en profundidad (múltiples capas seguridad)
- Mínimo privilegio
- Segregación de funciones
- Gestión del riesgo como enfoque central
- Categorización de Sistemas: Metodología MAGERIT para clasificar según dimensiones (C, I, D, A, T)
- Declaración Aplicabilidad (SOA): Qué medidas ENS se aplican y cuáles no (con justificación)
- Análisis de Riesgos: Obligación de realizar MAGERIT formal en sistemas ALTA
- Gestión de Incidentes: Procedimiento notificación, escalado, resolución
- Plan de Concienciación: Formación obligatoria anual en seguridad para todos los empleados
- Auditorías y Revisiones: Auditoría bienal sistemas MEDIA/ALTA
- Mejora Continua: Ciclo PDCA (Plan-Do-Check-Act)
8.3. Organismos de Gobernanza de Seguridad en SAS
| Órgano | Composición | Función Principal | Periodicidad |
|---|---|---|---|
| Comité de Seguridad TIC | Director TIC, RSI, Responsables Servicio, DPO | Decisiones estratégicas seguridad, aprobar inversiones | Trimestral |
| Comité Operativo Seguridad | RSI, Jefes Área TIC, Arquitecto Seguridad | Seguimiento medidas, análisis incidentes, mejoras | Mensual |
| Equipo Respuesta Incidentes (CSIRT SAS) | RSI, Analistas Seguridad, Administradores | Gestión incidentes 24/7, análisis forense | Permanente (guardias) |
| Comité de Protección de Datos | DPO, RSI, Dirección Asistencial, Jurídico | Cumplimiento RGPD, evaluaciones impacto | Trimestral |
8.4. Políticas Específicas Derivadas
De la Política General de Seguridad TIC se derivan políticas específicas por áreas:
- Política de Control de Acceso: Gestión identidades, autenticación, autorización, RBAC
- Política de Contraseñas: Complejidad (12 caracteres, mayúsculas+minúsculas+números+símbolos), caducidad 90 días, no reutilización últimas 5
- Política de Uso Aceptable: Qué pueden/no pueden hacer usuarios con recursos TIC corporativos
- Política de Backup y Recuperación: Frecuencia, retención, pruebas restore
- Política de Gestión de Parches: Críticos < 48h, Importantes < 7 días, Opcionales < 30 días
- Política de Cifrado: TLS 1.3 obligatorio, AES-256 para datos reposo, gestión claves (HSM)
- Política BYOD: Dispositivos personales en red corporativa (contenedor trabajo, MDM, borrado remoto)
- Política Trabajo Remoto: VPN obligatoria, 2FA, no WiFi públicas sin VPN
- Política Desarrollo Seguro: OWASP, análisis estático código, pentest pre-producción
- Política Contratación TIC: Requisitos seguridad en pliegos, cláusulas SLA/penalizaciones
⚠️ Ejemplo Política: Gestión de Contraseñas SAS
Requisitos técnicos:
- Longitud mínima: 12 caracteres
- Complejidad: 3 de 4 (mayúsculas, minúsculas, números, símbolos)
- Caducidad: 90 días usuarios estándar, 60 días administradores
- Historial: No reutilizar últimas 5 contraseñas
- Bloqueo: 5 intentos fallidos → bloqueo 30 minutos
- Prohibido: Nombres propios, fechas, palabras diccionario, secuencias (123456, qwerty)
Excepciones:
- Cuentas servicio: Contraseñas 24 caracteres, gestionadas en bóveda (CyberArk), no caducan
- Acceso crítico (producción): 2FA obligatorio (contraseña + token TOTP)
Cumplimiento: Controles automatizados Active Directory + auditoría trimestral cuentas débiles
8.5. Concienciación y Formación
El factor humano es el eslabón más débil. El 90% de brechas de seguridad tienen componente de error humano (phishing, ingeniería social, contraseñas débiles).
- Formación obligatoria inicial: 4 horas e-learning antes de activar usuario (ENS, RGPD, uso aceptable)
- Reciclaje anual: 2 horas actualización normativa + casos reales
- Píldoras mensuales: Email con caso real del mes (phishing intentado, ransomware, etc.)
- Simulacros phishing: Envío emails falsos trimestrales. Quien cae → formación específica
- Campaña cartelería: Pósters en centros sanitarios (no dejar sesión abierta, cuidado USB desconocidos)
- Certificación específica administradores: Curso 40h seguridad para perfiles con acceso privilegiado
📋 Estadísticas Concienciación SAS 2024
- Simulacro Phishing Q1/2024: 15.000 emails enviados → 8% clicó enlace malicioso (1.200 profesionales)
- Simulacro Phishing Q4/2024: 15.000 emails enviados → 3% clicó ✅ (mejora 60% tras formación específica)
- Incidentes reportados por usuarios: +45% respecto 2023 (buena señal, más vigilancia)
- Tiempo medio detección phishing: 2024: 18 minutos / 2023: 4 horas ✅
9. Estrategias de Ciberseguridad: Europea, Nacional y Andaluza
La ciberseguridad es una prioridad estratégica a todos los niveles de gobierno. Vamos a analizar las estrategias desde la UE hasta Andalucía, porque en examen te pueden preguntar por cualquiera de ellas.
9.1. Estrategia Europea de Ciberseguridad
9.1.1. Directiva NIS2 (Network and Information Security)
La Directiva (UE) 2022/2555 (NIS2), que sustituye a NIS1 de 2016, es el marco legal europeo de ciberseguridad. España debe trasponerla antes de octubre 2024.
- ✓ Ampliación sectores cubiertos: Sanidad ahora es operador esencial (antes opcional)
- ✓ Umbrales más bajos: Incluye empresas medianas (250+ empleados o 50M€ facturación)
- ✓ Requisitos técnicos más estrictos: Gestión riesgos, notificación incidentes < 24h, auditorías
- ✓ Sanciones más duras: Hasta 10M€ o 2% facturación mundial (el mayor)
- ✓ Responsabilidad personal directivos: Los CEOs/CIOs pueden ser personalmente responsables
- ✓ Cadena de suministro: Obligación evaluar proveedores críticos TIC
⚠️ SAS como Operador Esencial según NIS2
El Servicio Andaluz de Salud, al gestionar hospitales y centros salud que prestan asistencia a 8,5 millones de personas, está clasificado como Operador de Servicios Esenciales bajo NIS2.
Obligaciones directas:
- Implementar medidas técnicas y organizativas gestión riesgos
- Notificar incidentes significativos a INCIBE-CERT en < 24 horas
- Auditorías seguridad periódicas por terceros independientes
- Planes continuidad negocio y recuperación desastres
- Cifrado y controles acceso robustos
- Gestión segura cadena suministro (proveedores SW críticos)
9.1.2. ENISA (Agencia Europea Ciberseguridad)
ENISA publica guías y recomendaciones técnicas de ciberseguridad. Documentos relevantes para sanidad:
- «Procurement Guidelines for Cybersecurity in Hospitals» (2020): Cómo comprar TIC segura para hospitales
- «Threat Landscape for the Healthcare Sector» (2023): Amenazas específicas sanitarias (ransomware hospital, robo datos pacientes)
- «Good Practices for Security of IoT» (2023): Especialmente relevante para dispositivos médicos conectados
9.2. Estrategia Nacional de Ciberseguridad (España)
9.2.1. Estrategia Nacional de Ciberseguridad 2019
Aprobada por Consejo de Seguridad Nacional el 28/11/2019. Ejes estratégicos:
- Garantizar una Internet libre y segura para ciudadanos y empresas
- Fortalecer capacidades ciberdefensa de instituciones públicas
- Alcanzar autonomía tecnológica estratégica (reducir dependencia tech extranjera)
- Colaboración público-privada en ciberseguridad
- Impulsar I+D+i en tecnologías de ciberseguridad
9.2.2. Organismos Nacionales de Ciberseguridad
| Organismo | Dependencia | Función | Relación con SAS |
|---|---|---|---|
| CCN-CERT | Centro Criptológico Nacional (CNI) | Ciberseguridad sector público | Notificación incidentes SAS, recepción alertas CCN-CERT |
| INCIBE-CERT | Instituto Nacional Ciberseguridad (INCIBE) | Ciberseguridad ciudadanos y empresas | Coordinación NIS2, formación, avisos públicos |
| DSN | Presidencia Gobierno | Coordinación estratégica nacional | Sanidad clasificada como infraestructura crítica |
| Comisión Nacional Mercados (CNMC) | Independiente | Supervisión NIS2 operadores telecom | Proveedores conectividad SAS (Orange, Telefónica) |
9.2.3. Guías CCN-STIC (Aplicables a SAS)
El CCN publica guías técnicas (CCN-STIC) de obligada aplicación en AAPP. Algunas especialmente relevantes para SAS:
| Guía | Título | Aplicación SAS |
|---|---|---|
| CCN-STIC 804 | Guía implementación ENS – Categoría MEDIA | Mayoría sistemas SAS (portales, aplicaciones gestión) |
| CCN-STIC 805 | Guía implementación ENS – Categoría ALTA | Diraya, BDU, sistemas clínicos críticos |
| CCN-STIC 807 | Criptología de empleo en el ENS | Algoritmos permitidos (AES-256, RSA-4096), gestión claves |
| CCN-STIC 808 | Verificación cumplimiento ENS | Checklist auditoría interna antes de auditoría oficial |
| CCN-STIC 817 | Gestión de ciberincidentes | Procedimientos CSIRT SAS, notificación CCN-CERT |
| CCN-STIC 825 | Esquema Nacional Evaluación y Certificación | Productos HW/SW certificados para uso en SAS (cortafuegos, HSM…) |
💡 Niveles de Notificación Incidentes a CCN-CERT
| Nivel | Severidad | Plazo Notificación | Ejemplo SAS |
|---|---|---|---|
| CRÍTICO | Afecta servicio esencial | < 1 hora | Ransomware cifra Diraya |
| MUY ALTO | Gran impacto potencial | < 4 horas | Fuga masiva datos pacientes |
| ALTO | Impacto significativo | < 24 horas | DDoS portal profesionales |
| MEDIO | Impacto moderado | < 1 semana | Phishing dirigido a directivos |
| BAJO | Impacto mínimo | Informe mensual | Malware detectado y bloqueado en endpoint |
9.3. Estrategia Andaluza de Ciberseguridad
Andalucía tiene su propia estrategia de ciberseguridad coordinada con la nacional pero adaptada a particularidades autonómicas.
9.3.1. Plan Director de Ciberseguridad de Andalucía (2021-2025)
Aprobado por Consejo de Gobierno en diciembre 2020. Ejes prioritarios:
- Gobernanza y coordinación: Comité Autonómico Ciberseguridad liderado por Consejería Presidencia
- Protección infraestructuras críticas: Sanidad (SAS), educación (universidades), emergencias (112)
- Capacitación profesional: Creación Escuela Andaluza Ciberseguridad, 500 especialistas formados 2021-2025
- Concienciación ciudadana: Campañas seguridad digital para población general
- Fomento ecosistema ciberseguridad: Atracción empresas sector, startups, I+D
9.3.2. CSIRT-Andalucía
Creado en 2021, es el equipo de respuesta incidentes de la Junta de Andalucía. Funciones:
- Monitorización 24/7: SOC con herramientas SIEM (IBM QRadar) monitorizando tráfico de red, logs, alertas
- Coordinación con CCN-CERT: Recepción alertas nacionales, notificación incidentes críticos
- Respuesta incidentes: Soporte técnico a organismos afectados (incluyendo SAS)
- Análisis forense: Investigación post-incidente, identificación vectores ataque
- Threat intelligence: Compartir IoCs (Indicators of Compromise) entre organismos
- Ejercicios de ciberresiliencia: Simulacros coordinados (ej: «CyberEx Andalucía 2024» con hospitales)
9.3.3. Iniciativas Específicas Sanidad
- Objetivo: Elevar nivel ciberseguridad de 45 hospitales SAS a estándares NIS2
- Inversión: 18 millones € (fondos EU – NextGenerationEU)
- Actuaciones:
- Implantación EDR (Endpoint Detection & Response) en 60.000 equipos
- Actualización firewalls perimetrales con IPS/IDS avanzados
- Despliegue NAC (Network Access Control) en hospitales de referencia
- Formación especializada: 200 administradores certificados en ciberseguridad sanitaria
- Auditorías penetración externas en 15 hospitales
- Estado 2024: 70% completado, cumplimiento NIS2 previsto junio 2025 ✅
📋 Incidente Real: Ransomware Hospital Provincial Córdoba (Simulacro 2023)
Escenario simulado:
- T+0: Viernes 22:00h – Cifrado masivo servidores archivo por ransomware «LockBit 3.0»
- T+15 min: NOC detecta anomalía, activa protocolo nivel CRÍTICO
- T+30 min: CSIRT-Andalucía confirma ransomware, notifica CCN-CERT
- T+1h: Aislamiento red hospital, corte Internet, activación Plan Contingencia
- T+2h: Análisis forense: Entrada vía email phishing miércoles, movilidad lateral jueves-viernes
- T+4h: Activación CPD alternativo, restore Diraya desde backup (pérdida 2h datos)
- T+12h: Servicios críticos restaurados, hospital operando en modo limitado
- T+72h: Restauración completa, limpieza malware finalizada
Lecciones aprendidas:
- ✅ Backup funcionó correctamente, RPO respetado
- ❌ Phishing inicial no fue detectado por usuarios (formación insuficiente)
- ❌ Segmentación red deficiente permitió movilidad lateral rápida
- ✅ Coordinación CSIRT-Andalucía + SAS excelente
- ⚠️ Comunicación con pacientes mejorable (retrasos informativos)
Acciones correctivas: Refuerzo formación phishing, implementación microsegmentación red (proyecto 2024-2025)
10. Conclusiones
La seguridad de las tecnologías de la información en el Servicio Andaluz de Salud no es un lujo ni una opción, es una obligación legal, técnica y ética. Cada día, 8,5 millones de andaluces confían en que sus datos de salud más íntimos estén protegidos mientras accedemos a ellos para darles la mejor atención posible.
Ideas Clave para el Examen (Memoriza Esto):
Aplicabilidad Práctica en tu Futuro Puesto TFA-STI:
Como Técnico Especialista en Informática del SAS, la seguridad será parte integral de tu trabajo diario:
- Aplicarás hardening servidores según guías CCN-STIC
- Gestionarás copias de seguridad y verificarás su integridad
- Implementarás controles de acceso en Diraya (roles, permisos)
- Detectarás y responderás a incidentes de seguridad (malware, accesos indebidos)
- Participarás en auditorías ENS aportando evidencias técnicas
- Colaborarás en planes de contingencia (pruebas failover, restores)
- Formarás a usuarios en buenas prácticas de seguridad
- Evaluarás proveedores TIC desde perspectiva de seguridad
La seguridad no es solo «cosa de los de seguridad». Es responsabilidad de TODOS los profesionales TIC. Un solo fallo (contraseña débil, patch sin aplicar, backup sin probar) puede comprometer años de trabajo y, lo que es peor, poner en riesgo la privacidad de miles de pacientes y la continuidad asistencial.
✅ Tu Objetivo en este Tema
Al finalizar el estudio de este tema debes ser capaz de:
- Explicar los 5 objetivos de seguridad (D,I,C,A,T) con ejemplos SAS
- Aplicar metodología MAGERIT paso a paso en un caso práctico
- Identificar qué medidas ENS corresponden a cada categoría de sistema
- Diseñar una estrategia de backup 3-2-1 para un sistema crítico
- Calcular RTO/RPO y proponer arquitectura de continuidad
- Distinguir entre Política de Seguridad, Normativa y Procedimientos
- Conocer obligaciones NIS2 para el SAS
- Enumerar organismos de ciberseguridad y sus competencias
Estrategia de Estudio Recomendada:
- Primera lectura completa (3-4 horas): Comprensión global del tema, subrayar conceptos clave
- Estudio por secciones (1 semana): Dominar cada sección antes de pasar a la siguiente. Hacer esquemas propios.
- Memorización activa (3 días): Flashcards con definiciones (ENS, MAGERIT, RTO/RPO, NIS2…). Repasar mañana y noche.
- Casos prácticos (2 días): Resolver los ejemplos del tema. Inventar tus propios casos similares.
- Cuestionario (1 día): Hacer las 30 preguntas sin mirar. Analizar fallos. Repetir hasta 100% aciertos.
- Repaso espaciado: Día 1, Día 3, Día 7, Día 14, Día 30 post-estudio inicial.
- Conexión con otros temas: Relacionar con Tema 36 (ENS profundidad), Tema 37 (MAGERIT detallado), Tema 38 (RGPD), Tema 42 (sistemas SAS).
Recuerda: Este tema es MUY PREGUNTADO en oposiciones TFA-STI del SAS. Es transversal a casi todo el temario (normativa, tecnología, gestión). Dominarlo te dará ventaja competitiva real en el examen.
¡Ánimo con el estudio! La plaza merece el esfuerzo. 💪
11. Cuestionario de Autoevaluación (30 Preguntas)
A continuación encontrarás 30 preguntas tipo test basadas en exámenes reales de oposiciones TFA-STI del SAS y en el contenido desarrollado en este tema. Intenta responderlas sin consultar el material de estudio. Al final tienes las respuestas con explicaciones.
📝 Instrucciones
- Tiempo recomendado: 45 minutos (1,5 min/pregunta)
- Responde primero todas sin mirar
- Marca tus respuestas en un papel
- Al terminar, comprueba con las soluciones
- Analiza cada fallo: ¿error conceptual o despiste?
- Objetivo: >85% aciertos (26/30) para considerar tema dominado
PREGUNTAS (1-30)
1. Según el ENS (RD 311/2022), la trazabilidad como objetivo de seguridad se refiere a:
A) La capacidad de recuperar datos tras un desastre
B) La posibilidad de determinar qué ha ocurrido, cuándo, cómo y quién lo ha hecho
C) La protección de la información frente a modificaciones no autorizadas
D) La garantía de que los sistemas estén operativos cuando se necesiten
2. En la metodología MAGERIT, el valor de un activo se define como:
A) Su coste de adquisición en el mercado
B) El coste de las medidas de seguridad implementadas
C) La valoración del daño que supondría su pérdida para la organización
D) La suma de todos los activos que dependen de él
3. Un sistema del SAS tiene la siguiente valoración en las 5 dimensiones: D=10, I=10, C=10, A=10, T=10. Su categoría ENS será:
A) BAJA (la media es 10)
B) MEDIA (hay valores = 10)
C) ALTA (todas las dimensiones están en el máximo nivel)
D) Depende del contexto organizativo, no solo de los valores
4. Según el ENS, la medida [op.pl.1] «Análisis de riesgos» es obligatoria para sistemas de categoría:
A) Solo ALTA
B) MEDIA y ALTA
C) BAJA, MEDIA y ALTA (todas las categorías)
D) Solo en sistemas que manejen datos de salud
5. La herramienta PILAR desarrollada por el CCN sirve para:
A) Realizar análisis de riesgos según metodología MAGERIT
B) Gestionar incidentes de seguridad
C) Auditar el cumplimiento del ENS
D) Cifrar comunicaciones entre organismos públicos
6. En un plan de contingencia, el RPO (Recovery Point Objective) de Diraya es de 15 minutos. Esto significa que:
A) El sistema debe restaurarse en menos de 15 minutos
B) Podemos perder como máximo los últimos 15 minutos de datos
C) Cada 15 minutos se hace un backup
D) Los usuarios pueden estar sin acceso 15 minutos
7. Un hospital SAS implementa un CPD alternativo donde los servidores están instalados y configurados, pero los datos se restauran desde backup. Esto es un:
A) Hot site
B) Warm site
C) Cold site
D) Cloud DR
8. La regla 3-2-1 del backup establece:
A) 3 copias, 2 soportes diferentes, 1 off-site
B) 3 tipos de backup (full, incremental, diferencial), 2 al día, 1 semanal
C) 3 niveles RAID, 2 controladoras, 1 réplica
D) 3 CPDs, 2 enlaces, 1 backup
9. Según el ENS, la medida [mp.com.2] sobre cifrado de comunicaciones requiere en su nivel básico:
A) Cualquier algoritmo de cifrado
B) Algoritmos acreditados por el CCN
C) TLS 1.3 obligatoriamente
D) Certificados digitales de la FNMT
10. Un sistema con disponibilidad del 99,99% puede estar caído como máximo al año:
A) 52,56 minutos
B) 8,76 horas
C) 3,65 días
D) 5,26 minutos
11. La Directiva NIS2 clasifica al sector sanitario como:
A) Operador de servicios esenciales
B) Proveedor de servicios digitales
C) Operador crítico
D) No está incluido en NIS2
12. Según NIS2, los incidentes de ciberseguridad significativos deben notificarse a la autoridad competente en un plazo de:
A) 1 hora
B) 24 horas
C) 72 horas
D) 1 semana
13. El organismo nacional responsable de la ciberseguridad del sector público español es:
A) INCIBE-CERT
B) CCN-CERT
C) ENISA
D) AEPD
14. En MAGERIT, una amenaza se define como:
A) La debilidad de un activo que puede ser explotada
B) Un evento que puede desencadenar un incidente
C) El valor del activo multiplicado por su probabilidad de ocurrencia
D) Las medidas de seguridad necesarias
15. La medida ENS [mp.eq.1] sobre protección del puesto de trabajo incluye:
A) Solo antivirus actualizado
B) Bloqueo automático de pantalla tras período de inactividad
C) Backup diario del disco duro
D) Acceso biométrico al equipo
16. Un backup incremental:
A) Copia todos los datos cada vez
B) Copia solo los cambios desde el último backup completo
C) Copia solo los cambios desde el último backup (sea completo o incremental)
D) No se usa en producción, solo en desarrollo
17. Según el RGPD, los datos de salud son:
A) Datos personales ordinarios
B) Categoría especial de datos (artículo 9)
C) Datos anonimizados
D) Solo están protegidos si son electrónicos
18. La base de legitimación para que un médico del SAS acceda a Diraya durante la asistencia de un paciente es:
A) El consentimiento explícito del paciente
B) El interés legítimo del centro sanitario
C) La prestación de asistencia sanitaria (art. 9.2.h RGPD)
D) Autorización previa de la AEPD
19. El principio de «segregación de funciones» (ENS [op.acc.4]) implica que:
A) Cada usuario debe tener una cuenta diferente
B) Las funciones críticas no deben recaer en una sola persona
C) Los datos deben estar segmentados por departamentos
D) Hay que separar la red de producción de la de desarrollo
20. Una cabina de almacenamiento con RAID 10 combina:
A) Espejo (RAID 1) + Striping (RAID 0)
B) Paridad simple (RAID 5) + Espejo (RAID 1)
C) Doble paridad (RAID 6)
D) Striping con paridad distribuida
21. El cifrado TDE (Transparent Data Encryption) en Oracle se aplica a:
A) Datos en tránsito (TLS)
B) Datos en reposo (almacenados en disco)
C) Datos en memoria RAM
D) Solo a los backups
22. La guía CCN-STIC 805 trata sobre:
A) Implementación ENS en sistemas categoría ALTA
B) Criptología de empleo en el ENS
C) Gestión de incidentes
D) Auditoría de sistemas
23. En un análisis MAGERIT, el riesgo se calcula como:
A) Valor activo × Probabilidad amenaza × Degradación
B) Impacto + Frecuencia
C) (Amenazas – Salvaguardas) × Vulnerabilidades
D) Categoría sistema × Dimensiones afectadas
24. Un Plan de Continuidad de Negocio (BCP) es responsabilidad de:
A) El Director TIC exclusivamente
B) El Responsable de Seguridad (RSI)
C) La Dirección Gerencia y el Comité de Dirección
D) Los administradores de sistemas
25. La medida ENS [mp.info.3] sobre copias de seguridad requiere:
A) Solo hacer backups, sin más requisitos
B) Backups cifrados y pruebas periódicas de restauración
C) Backups solo de sistemas ALTA
D) Backups mensuales como mínimo
26. El CSIRT-Andalucía es:
A) El comité de seguridad de la Junta de Andalucía
B) El equipo de respuesta a incidentes de seguridad de la Junta
C) Una certificación de ciberseguridad
D) Un protocolo de actuación ante ransomware
27. Según el ENS, los sistemas de categoría ALTA deben auditarse:
A) Anualmente
B) Cada 2 años
C) Cada 3 años
D) Solo tras un incidente grave
28. La disponibilidad de un sistema se ve afectada principalmente por:
A) Accesos no autorizados
B) Fallos hardware, software, desastres naturales
C) Modificaciones no autorizadas de datos
D) Fuga de información
29. Un snapshot de cabina SAN:
A) Es un backup completo off-site
B) Es una copia instantánea del volumen sin parar el servicio
C) Requiere parar la base de datos obligatoriamente
D) Solo se puede hacer una vez al día
30. La Política de Seguridad TIC de una organización debe ser aprobada por:
A) El Responsable de Seguridad (RSI)
B) El Director TIC
C) La máxima autoridad de la organización (Dirección Gerencia)
D) El auditor externo
RESPUESTAS CORRECTAS Y EXPLICACIONES
1. B – La trazabilidad permite determinar qué ha ocurrido, cuándo, cómo y quién lo ha hecho. Es fundamental para auditoría forense.
2. C – El valor de un activo en MAGERIT es la valoración del perjuicio que causaría su pérdida, no su coste de compra.
3. C – ALTA. Cuando todas las dimensiones están en el nivel máximo (10), el sistema es categoría ALTA obligatoriamente.
4. C – El análisis de riesgos es obligatorio para TODAS las categorías (BAJA, MEDIA, ALTA), aunque con diferente profundidad.
5. A – PILAR (Procedimiento Informático Lógico de Análisis de Riesgos) es la herramienta CCN para análisis de riesgos MAGERIT.
6. B – RPO es la cantidad máxima de datos que se puede perder. RPO=15 min significa pérdida máxima de 15 minutos de datos.
7. B – Warm site: servidores instalados pero datos se restauran desde backup. RTO típico 4-12 horas.
8. A – Regla 3-2-1: 3 copias de datos, en 2 soportes diferentes, con 1 copia fuera del sitio principal.
9. B – La medida [mp.com.2] requiere algoritmos acreditados por el CCN (no cualquier algoritmo). TLS 1.3 es recomendado pero no obligatorio en nivel básico.
10. A – 99,99% = 52,56 minutos/año de downtime máximo. (365 días × 24h × 60min × 0,01% = 52,56 min)
11. A – NIS2 clasifica a la sanidad como «Operador de servicios esenciales» por su criticidad.
12. B – NIS2 exige notificación de incidentes significativos en menos de 24 horas.
13. B – CCN-CERT es el responsable de ciberseguridad del sector público español. INCIBE-CERT es para ciudadanos/empresas privadas.
14. B – Una amenaza es un evento que puede desencadenar un incidente de seguridad. No confundir con vulnerabilidad (debilidad).
15. B – [mp.eq.1] incluye bloqueo automático de pantalla tras inactividad. El antivirus está en [mp.si] (protección software instalado).
16. C – Backup incremental: solo cambios desde el último backup (sea cual sea: full o incremental). El diferencial copia desde el último full.
17. B – Los datos de salud son categoría especial según art. 9 RGPD, con protección reforzada.
18. C – La base legal es art. 9.2.h RGPD (prestación asistencia sanitaria). NO se necesita consentimiento para atención médica normal.
19. B – Segregación de funciones: las funciones críticas (autorizar, ejecutar, auditar) no deben recaer en una sola persona.
20. A – RAID 10 = RAID 1 (espejo) + RAID 0 (striping). Alta disponibilidad y rendimiento.
21. B – TDE (Transparent Data Encryption) cifra datos en reposo (almacenados en disco). TLS cifra datos en tránsito.
22. A – CCN-STIC 805: Guía implementación ENS en sistemas categoría ALTA. La 804 es para MEDIA.
23. A – Riesgo MAGERIT = Valor activo × Frecuencia amenaza × Degradación (impacto sobre el activo).
24. C – El BCP es responsabilidad de la Dirección Gerencia y Comité Dirección, no solo de TIC (afecta a toda la organización).
25. B – [mp.info.3]: Backups cifrados + pruebas periódicas de restauración (muy importante, un backup sin probar es Schrödinger’s backup).
26. B – CSIRT-Andalucía: Equipo de Respuesta a Incidentes de Seguridad de la Junta de Andalucía. Monitorización 24/7.
27. B – Sistemas categoría ALTA (y MEDIA) se auditan cada 2 años según ENS.
28. B – La disponibilidad se ve afectada por fallos hardware/software, desastres, saturación. La A se refiere a acceso no autorizado, la C a fuga.
29. B – Snapshot SAN: copia instantánea del volumen sin parar servicio. NO es backup off-site (sigue en misma cabina).
30. C – La Política de Seguridad debe aprobarla la máxima autoridad (Dirección Gerencia), no el RSI ni Director TIC.
📊 Autoevaluación de Resultados
- 26-30 aciertos (>85%): ¡Excelente! Tema dominado. Repasa solo lo que has fallado.
- 21-25 aciertos (70-85%): Bien, pero necesitas repasar conceptos. Identifica lagunas y refuerza.
- 15-20 aciertos (50-70%): Nivel insuficiente. Estudia de nuevo las secciones con más fallos.
- <15 aciertos (<50%): Reestudiar el tema completo antes de continuar.
12. Mapa Conceptual del Tema
Este mapa conceptual en formato ASCII te ayudará a visualizar las relaciones entre los conceptos clave del tema:
╔════════════════════════════════════════════════════════════════════════════════════════╗
║ SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN - SAS ║
╚════════════════════════════════════════════════════════════════════════════════════════╝
🎯 OBJETIVOS SEGURIDAD
│
┌───────────────┬───────┼───────┬───────────────┐
│ │ │ │ │
┌───▼───┐ ┌───▼───┐ │ ┌───▼───┐ ┌───▼───┐
│ D │ │ I │ │ │ C │ │ A │
│Disponi│ │Integri│ │ │Confide│ │Autenti│
│bilidad│ │ dad │ │ │nciali │ │ cidad│
└───┬───┘ └───┬───┘ │ └───┬───┘ └───┬───┘
│ │ │ │ │
└───────────────┴─────┴───────┴───────────────┘
│
┌───▼───┐
│ T │
│Trazabi│
│ lidad │
└───┬───┘
│
╔═══════════════════════════════════════════╧═══════════════════════════════════════════╗
║ 📋 MARCO NORMATIVO ║
╠═══════════════════════════════════════════════════════════════════════════════════════╣
║ ║
║ ┌─────────────────────────────────────────────────────────────────────────┐ ║
║ │ NIVEL EUROPEO: NIS2 (2022) → Sanidad = Operador Esencial │ ║
║ └────────────────────────────────┬────────────────────────────────────────┘ ║
║ │ ║
║ ┌─────────────────────────────────────────────────────────────────────────┐ ║
║ │ NIVEL NACIONAL: ENS (RD 311/2022) + Estrategia Ciberseguridad 2019 │ ║
║ │ │ ║
║ │ • 75 Medidas: org (Organizativas) / op (Operacionales) / mp (Protección)│ ║
║ │ • Categorización: BAJA / MEDIA / ALTA (según dimensiones D,I,C,A,T) │ ║
║ │ • Auditoría bienal sistemas MEDIA/ALTA │ ║
║ │ • CCN-CERT: Notificación incidentes CRÍTICOS < 1h │ ║
║ └────────────────────────────────┬────────────────────────────────────────┘ ║
║ │ ║
║ ┌─────────────────────────────────────────────────────────────────────────┐ ║
║ │ NIVEL AUTONÓMICO: Política Seguridad TIC Junta + CSIRT-Andalucía │ ║
║ │ │ ║
║ │ • Plan Director Ciberseguridad Andalucía 2021-2025 │ ║
║ │ • Programa "Hospitales Ciberseguros" (18M€, 45 hospitales SAS) │ ║
║ └────────────────────────────────┬────────────────────────────────────────┘ ║
║ │ ║
║ ┌─────────────────────────────────────────────────────────────────────────┐ ║
║ │ SAS: Política Específica + Procedimientos Operativos │ ║
║ │ │ ║
║ │ • Diraya (ALTA), Receta XXI (ALTA), Portales (MEDIA) │ ║
║ │ • Comité Seguridad TIC, RSI, CSIRT-SAS, DPO │ ║
║ └─────────────────────────────────────────────────────────────────────────── ║
║ ║
╚═══════════════════════════════════════════════════════════════════════════════════════╝
╔═══════════════════════════════════════════════════════════════════════════════════════╗
║ 🔍 ANÁLISIS Y GESTIÓN DE RIESGOS ║
╠═══════════════════════════════════════════════════════════════════════════════════════╣
║ ║
║ ┌─────────────────────────────────┐ ║
║ │ METODOLOGÍA MAGERIT + PILAR │ ║
║ └──────────────┬──────────────────┘ ║
║ │ ║
║ ┌───────────────────────────┼───────────────────────────┐ ║
║ │ │ │ ║
║ ┌────▼─────┐ ┌─────▼──────┐ ┌──────▼─────┐ ║
║ │ ACTIVOS │ │ AMENAZAS │ │ VULNERABI │ ║
║ │ │ │ │ │ LIDADES │ ║
║ │ [D01] BD │──────────────│ [T.5] Fallo│─────────────│ Falta RAID│ ║
║ │ Diraya │ Afecta a │ hardware │ Explota │ Falta backup ║
║ │ Valor:100│ │ Prob: 50 │ │ Config débil ║
║ └────┬─────┘ └─────┬──────┘ └──────┬─────┘ ║
║ │ │ │ ║
║ └──────────────┬───────────┴────────────────────────────┘ ║
║ │ ║
║ ┌────▼──────┐ ║
║ │ IMPACTO │ = Valor activo × Degradación ║
║ └────┬──────┘ ║
║ │ ║
║ ┌────▼──────┐ ║
║ │ RIESGO │ = Impacto × Frecuencia amenaza ║
║ └────┬──────┘ ║
║ │ ║
║ ┌────▼──────────┐ ║
║ │ SALVAGUARDAS │ (Medidas de seguridad) ║
║ │ │ ║
║ │ • [op.exp.4] │ Backup diario ║
║ │ • [mp.eq.4] │ RAID 10 + HA ║
║ │ • [op.cont.1] │ Plan continuidad ║
║ └────┬──────────┘ ║
║ │ ║
║ ┌────▼──────────┐ ║
║ │ RIESGO │ (Reducido tras salvaguardas) ║
║ │ RESIDUAL │ ║
║ │ │ ║
║ │ ¿Aceptable? │ ──> SÍ: Producción / NO: Más medidas ║
║ └───────────────┘ ║
║ ║
╚═══════════════════════════════════════════════════════════════════════════════════════╝
╔═══════════════════════════════════════════════════════════════════════════════════════╗
║ 🛡️ MEDIDAS DE SEGURIDAD ║
╠═══════════════════════════════════════════════════════════════════════════════════════╣
║ ║
║ ┌──────────────────┬──────────────────┬──────────────────┬──────────────────┐ ║
║ │ FÍSICAS │ TÉCNICAS │ ORGANIZATIVAS │ LEGALES │ ║
║ ├──────────────────┼──────────────────┼──────────────────┼──────────────────┤ ║
║ │ • CPD seguro │ • Firewall │ • Política Seg. │ • ENS (RD 311) │ ║
║ │ • Control acceso │ • IDS/IPS │ • Normativa │ • RGPD + LOPDGDD │ ║
║ │ • Biometría │ • Cifrado │ • Procedimientos │ • Ley 41/2002 │ ║
║ │ • Videovigilancia│ • Antivirus/EDR │ • Roles │ • NIS2 │ ║
║ │ • Extinción gas │ • Backup │ • Formación │ • Ley 39/2015 │ ║
║ │ • SAI + Grupo │ • VPN │ • Auditorías │ • ENI │ ║
║ │ • Climatización │ • 2FA/MFA │ • Comités │ │ ║
║ └──────────────────┴──────────────────┴──────────────────┴──────────────────┘ ║
║ ║
║ Medidas ENS (75 controles) ║
║ │ ║
║ ┌─────────────────────┼─────────────────────┐ ║
║ │ │ │ ║
║ ┌────▼────┐ ┌────▼────┐ ┌────▼────┐ ║
║ │ org │ │ op │ │ mp │ ║
║ │Organiza │ │Operacio │ │Protección ║
║ │ tivas │ │ nales │ │ │ ║
║ │ │ │ │ │ │ ║
║ │27 medid │ │24 medid │ │24 medid │ ║
║ └─────────┘ └─────────┘ └─────────┘ ║
║ ║
╚═══════════════════════════════════════════════════════════════════════════════════════╝
╔═══════════════════════════════════════════════════════════════════════════════════════╗
║ 💾 RESPALDO Y CONTINUIDAD (BACKUP + DR + BC) ║
╠═══════════════════════════════════════════════════════════════════════════════════════╣
║ ║
║ ┌─────────────────────────────────────────────────────────────────────────┐ ║
║ │ ESTRATEGIA BACKUP 3-2-1-1-0 │ ║
║ │ │ ║
║ │ 3 Copias → Producción + 2 backups │ ║
║ │ 2 Soportes → Disco + Cinta │ ║
║ │ 1 Off-site → CPD alternativo o búnker │ ║
║ │ 1 Offline → Air-gapped (anti-ransomware) │ ║
║ │ 0 Errores → Pruebas restore trimestrales obligatorias │ ║
║ └─────────────────────────────────────────────────────────────────────────── ║
║ ║
║ ┌─────────────────────────────────────────────────────────────────────────┐ ║
║ │ TIPOS DE BACKUP │ ║
║ │ │ ║
║ │ Full (Completo) ──────> Todo ┌──> Domingos 00:00 │ ║
║ │ Incremental ──────────> Δ desde último └──> Lunes-Sábado 02:00 │ ║
║ │ Diferencial ──────────> Δ desde full ──> Alternativa a incremental │ ║
║ │ Snapshot (SAN) ───────> Instantáneo ──> Antes de cambios críticos │ ║
║ └─────────────────────────────────────────────────────────────────────────── ║
║ ║
║ ┌─────────────────────────────────────────────────────────────────────────┐ ║
║ │ PLAN DE CONTINGENCIA TIC (DR) │ ║
║ │ │ ║
║ │ RPO (Recovery Point Objective) ──> Dato perdido tolerable (ej: 15 min)│ ║
║ │ RTO (Recovery Time Objective) ──> Tiempo restauración (ej: 4 horas) │ ║
║ │ │ ║
║ │ Hot Site ─> CPD duplicado + replicación real-time ──> RTO < 1h │ ║
║ │ Warm Site ─> CPD preparado + restore backup ──> RTO 4-12h │ ║
║ │ Cold Site ─> Espacio físico básico ──> RTO > 72h │ ║
║ └─────────────────────────────────────────────────────────────────────────── ║
║ ║
║ ┌─────────────────────────────────────────────────────────────────────────┐ ║
║ │ ALTA DISPONIBILIDAD (HA) vs CONTINUIDAD (BC) │ ║
║ │ │ ║
║ │ HA: Minimizar downtime componente │ BC: Operar tras desastre mayor │ ║
║ │ Clustering, failover, RAID │ CPD alternativo, papel backup │ ║
║ │ 99.99% = 52 min/año downtime │ RTO/RPO del negocio │ ║
║ └─────────────────────────────────────────────────────────────────────────── ║
║ ║
╚═══════════════════════════════════════════════════════════════════════════════════════╝
╔═══════════════════════════════════════════════════════════════════════════════════════╗
║ 🌐 ESTRATEGIAS DE CIBERSEGURIDAD ║
╠═══════════════════════════════════════════════════════════════════════════════════════╣
║ ║
║ EUROPA: NIS2 (2022) ──────> Sanidad = Operador Esencial ║
║ ENISA ──────> Guías técnicas ciberseguridad hospitales ║
║ ║
║ ESPAÑA: Estrategia Nacional Ciberseguridad 2019 ║
║ CCN-CERT ──────────> Sector público (SAS reporta aquí) ║
║ INCIBE-CERT ───────> Ciudadanos/empresas privadas ║
║ Guías CCN-STIC ────> 804 (MEDIA), 805 (ALTA), 807 (Cripto), 817 (Incid.) ║
║ ║
║ ANDALUCÍA: Plan Director Ciberseguridad 2021-2025 ║
║ CSIRT-Andalucía ──> SOC 24/7, respuesta incidentes ║
║ Programa "Hospitales Ciberseguros" ──> 18M€, 45 hospitales, NIS2 ready ║
║ ║
║ SAS: Política Seguridad TIC específica ║
║ Comité Seguridad TIC (trimestral) ║
║ CSIRT-SAS (permanente) ║
║ Formación obligatoria anual (100.000+ profesionales) ║
║ Simulacros phishing trimestrales ║
║ ║
╚═══════════════════════════════════════════════════════════════════════════════════════╝
┌──────────────────────────────────────────────────┐
│ 🎯 OBJETIVO FINAL: SEGURIDAD │
│ INTEGRAL SAS │
│ │
│ Proteger D,I,C,A,T de sistemas que sostienen │
│ asistencia sanitaria a 8,5M andaluces │
│ │
│ Cumplimiento ENS + NIS2 + RGPD │
│ Disponibilidad 99.99% sistemas críticos │
│ Respuesta incidentes < 1h (CRÍTICOS) │
│ RPO Diraya: 15 min | RTO Diraya: 4h │
│ │
│ ► Prevenir ► Detectar ► Responder ► Recuperar │
└──────────────────────────────────────────────────┘
💡 Cómo Usar este Mapa Conceptual
Este mapa es tu "vista de pájaro" del tema. Úsalo para:
- Repasos rápidos: Revisar todas las relaciones en 5 minutos
- Antes del examen: Refresco visual final antes de entrar
- Detectar lagunas: Si algo del mapa no lo entiendes, vuelve a esa sección
- Crear tu propio mapa: Dibújalo a mano con tus propias palabras (técnica muy potente)
13. Referencias Normativas y Bibliográficas
Normativa Española
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS). BOE núm. 106, de 4 de mayo de 2022.
- Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. BOE núm. 236, de 2 de octubre de 2015.
- Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. BOE núm. 236, de 2 de octubre de 2015.
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). BOE núm. 294, de 6 de diciembre de 2018.
- Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. BOE núm. 274, de 15 de noviembre de 2002.
- Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. BOE núm. 22, de 26 de enero de 2021.
- Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS v1, derogado pero referencia histórica).
Normativa Europea
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD). DOUE L 119/1, de 4 de mayo de 2016.
- Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (Directiva NIS2). DOUE L 333/80, de 27 de diciembre de 2022.
- Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS). DOUE L 257/73, de 28 de agosto de 2014.
Normativa Andaluza
- Decreto 534/2021, de 13 de julio, por el que se aprueba el Reglamento de la Administración Electrónica del Servicio Andaluz de Salud. BOJA núm. 136, de 16 de julio de 2021.
- Orden de 21 de febrero de 2005, por la que se aprueba la Política de Seguridad de las Tecnologías de la Información y Comunicaciones en la Administración de la Junta de Andalucía. BOJA núm. 48, de 9 de marzo de 2005 (actualizada).
- Decreto 611/2020, de 24 de junio, por el que se desarrolla el régimen jurídico de las organizaciones del Sistema Sanitario Público de Andalucía. BOJA núm. 122, de 26 de junio de 2020.
Guías Técnicas CCN-STIC (Centro Criptológico Nacional)
- CCN-STIC 804: Guía de Implantación del ENS - Categoría MEDIA. Versión 3.1, octubre 2023.
- CCN-STIC 805: Guía de Implantación del ENS - Categoría ALTA. Versión 3.1, octubre 2023.
- CCN-STIC 807: Criptología de Empleo en el Esquema Nacional de Seguridad. Versión 2.6, agosto 2023.
- CCN-STIC 808: Verificación del cumplimiento de las medidas del ENS. Versión 2.2, junio 2023.
- CCN-STIC 817: Gestión de Ciberincidentes. Versión 4.1, febrero 2023.
- CCN-STIC 825: Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. Versión 1.0, diciembre 2018.
- MAGERIT v3.0: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Ministerio de Hacienda y Función Pública, 2012 (con actualizaciones).
Normas Técnicas ISO/IEC
- ISO/IEC 27001:2022 - Sistemas de gestión de seguridad de la información. Requisitos.
- ISO/IEC 27002:2022 - Código de buenas prácticas para controles de seguridad de la información.
- ISO/IEC 27005:2022 - Gestión de riesgos de seguridad de la información.
- ISO 27799:2016 - Gestión de la seguridad de la información en la salud usando ISO/IEC 27002.
- ISO/IEC 20000-1:2018 - Gestión de servicios de tecnologías de la información (ITSM).
- ISO 22301:2019 - Sistemas de gestión de continuidad del negocio. Requisitos.
Documentación ENISA (Agencia Europea Ciberseguridad)
- ENISA (2020): "Procurement Guidelines for Cybersecurity in Hospitals". Diciembre 2020.
- ENISA (2023): "ENISA Threat Landscape for the Healthcare Sector". Junio 2023.
- ENISA (2023): "Good Practices for Security of Internet of Things in the context of Smart Manufacturing". Marzo 2023 (aplicable IoT médico).
Bibliografía General de Seguridad Informática
- Kim, G. et al. (2019). "The Phoenix Project: A Novel about IT, DevOps, and Helping Your Business Win". IT Revolution Press.
- Anderson, R. (2020). "Security Engineering: A Guide to Building Dependable Distributed Systems". 3rd Edition. Wiley.
- Shostack, A. (2014). "Threat Modeling: Designing for Security". Wiley.
- Stallings, W. & Brown, L. (2023). "Computer Security: Principles and Practice". 5th Edition. Pearson.
- NIST (2020). "Framework for Improving Critical Infrastructure Cybersecurity". Version 1.1.
Recursos Online SAS y Junta de Andalucía
- Portal SAS: https://www.sspa.juntadeandalucia.es
- Consejería Salud Andalucía: https://www.juntadeandalucia.es/organismos/saludyconsumo.html
- CCN-CERT: https://www.ccn-cert.cni.es
- INCIBE-CERT: https://www.incibe.es
- ENISA: https://www.enisa.europa.eu
- AEPD (Agencia Española Protección Datos): https://www.aepd.es
⚠️ Nota Importante sobre Actualizaciones Normativas
La normativa de seguridad y protección de datos está en constante evolución. Es responsabilidad del opositor:
- Verificar la vigencia de las normas citadas en este tema
- Consultar el BOE/BOJA para actualizaciones recientes
- Revisar las guías CCN-STIC más recientes (se actualizan periódicamente)
- Estar al tanto de noticias de ciberseguridad que puedan afectar al SAS
Recomendamos suscribirse a alertas de CCN-CERT e INCIBE-CERT para estar al día.