1. Gestión del Portfolio de Sistemas de Información en el SAS

1.1. Concepto de Portfolio de Sistemas de Información

Imagina que el SAS es como una orquesta sinfónica. Diraya es el primer violín, la Receta XXI la flauta, el BPS el contrabajo… Y tú, como gestor del portfolio TIC, eres el director de orquesta. Tu misión no es solo que cada instrumento suene bien, sino que todos suenen juntos, en armonía, al servicio de una única partitura: la asistencia sanitaria de calidad.

El Portfolio de Sistemas de Información es el conjunto coordinado de todos los sistemas, aplicaciones, proyectos TIC e inversiones tecnológicas que una organización gestiona de forma integrada para alcanzar sus objetivos estratégicos. En el contexto del SAS, hablamos de más de 50 sistemas corporativos que dan soporte a 110.000 profesionales sanitarios y 8,5 millones de usuarios del sistema sanitario público andaluz.

1.2. Marcos de Referencia para la Gestión del Portfolio TIC

No se gestiona un portfolio a golpe de intuición. Existen marcos internacionales probados que el SAS adopta (o debería adoptar) para garantizar gobernanza, eficiencia y alineación estratégica.

1.2.1. COBIT 2019 (Control Objectives for Information and Related Technologies)

COBIT 2019 es el marco de gobierno y gestión de TI más utilizado a nivel mundial, desarrollado por ISACA. En el SAS, COBIT proporciona el marco de gobernanza que asegura que las inversiones TIC:

• Estén alineadas con la estrategia del SSPA (Plan de Salud de Andalucía, Estrategia de Salud Digital).
• Generen valor para la organización (reducción de tiempos de espera, mejora de la experiencia del paciente, eficiencia operativa).
• Gestionen riesgos (ciberseguridad, disponibilidad, cumplimiento normativo ENS/RGPD).
• Optimicen recursos (presupuesto TIC del SAS, que supera los 80M€ anuales).

COBIT 2019 estructura el gobierno TIC en 5 principios clave:

1. Satisfacer las necesidades de los stakeholders: En el SAS, esto significa profesionales sanitarios que necesitan Diraya disponible 24/7, pacientes que demandan cita online, y Consejería que exige cumplimiento normativo.
2. Cubrir la empresa de extremo a extremo: No solo TIC, sino cómo TIC habilita toda la cadena de valor asistencial.
3. Aplicar un marco integrado único: COBIT se integra con ITIL, ISO 27001, ENS, PMBOK.
4. Habilitar un enfoque holístico: Personas, procesos, tecnología, información, gobernanza.
5. Separar gobierno de gestión: El gobierno (Comité de Dirección TIC SAS) decide QUÉ hacer; la gestión (Dirección de Sistemas del SAS) decide CÓMO hacerlo.

1.2.2. ITIL 4 (Information Technology Infrastructure Library)

Si COBIT es el «QUÉ» del gobierno TIC, ITIL 4 es el «CÓMO» de la gestión de servicios TI. ITIL 4 es el estándar mundial de facto para la gestión de servicios TI, y el SAS lo implementa (aunque no siempre de forma certificada) en su operativa diaria.

ITIL 4 se estructura en torno al Sistema de Valor del Servicio (SVS), que tiene 4 dimensiones:

1. Organizaciones y personas: Equipos TIC del SAS (desarrollo, infraestructura, seguridad, soporte).
2. Información y tecnología: Diraya, BPS, Red Corporativa SSPA, CPDs.
3. Socios y proveedores: Indra (desarrollo Diraya), Telefónica (telecomunicaciones), fabricantes (Oracle, Microsoft, RedHat).
4. Flujos de valor y procesos: Cómo se entrega valor (ej: despliegue de nueva funcionalidad en Receta XXI).

ITIL 4 define 34 prácticas de gestión, agrupadas en tres categorías:

• Prácticas generales de gestión (14): Portfolio Management, Project Management, Risk Management, Supplier Management…
• Prácticas de gestión de servicios (17): Incident Management, Problem Management, Change Enablement, Service Desk…
• Prácticas de gestión técnica (3): Deployment Management, Infrastructure Management, Software Development Management.

1.2.3. PM² (Project Management Methodology de la Comisión Europea)

PM² es la metodología de gestión de proyectos desarrollada por la Comisión Europea, y es especialmente relevante en el SAS por dos razones:

1. Muchos proyectos TIC del SAS reciben fondos europeos (Next Generation EU, Fondos FEDER), y PM² es la metodología recomendada.
2. PM² está optimizada para el sector público, con énfasis en transparencia, trazabilidad y cumplimiento normativo.

PM² define 4 fases de proyecto:

1. Inicio: Definición del caso de negocio, aprobación.
2. Planificación: Alcance, plazos, recursos, riesgos.
3. Ejecución: Desarrollo, despliegue, control de cambios.
4. Cierre: Entrega, documentación, lecciones aprendidas.

1.3. Ciclo de Vida de la Gestión del Portfolio en el SAS

Gestionar el portfolio TIC del SAS no es un evento puntual, es un proceso continuo. Imagina que cada año el SAS debe decidir: ¿invertimos en mejorar Diraya, en migrar a cloud, en reforzar ciberseguridad, o en desarrollar una app de telemedicina? Con presupuesto limitado (siempre lo es), hay que priorizar.

Fase 1: Identificación

Se identifican todos los proyectos, iniciativas y sistemas candidatos. Fuentes:

• Estrategia de Salud Digital de Andalucía 2024-2028
• Demandas de los Centros Asistenciales (hospitales, centros de salud)
• Obsolescencia tecnológica (ej: sistemas en Windows Server 2012 que pierde soporte)
• Nuevos requisitos normativos (ej: ENS 2022 obliga a cifrado en dispositivos móviles)
• Oportunidades de innovación (IA, IoMT, blockchain en receta digital)

Fase 2: Categorización

Se clasifican los proyectos en categorías:

• Estratégicos: Alineados con prioridades de Consejería (ej: implantación de Historia Clínica Digital única en toda Andalucía).
• Obligatorios: Cumplimiento normativo (ej: adecuación a ENS categoría ALTA de sistema BPS).
• De mantenimiento: Sostener operaciones actuales (ej: renovación hardware CPD).
• De mejora: Optimización (ej: automatización RPA en gestión de citas).
• De transformación: Cambio disruptivo (ej: migración completa a cloud híbrido).

Fase 3: Evaluación y Priorización

Aquí es donde se aplica el método de scoring ponderado. Se evalúa cada proyecto en múltiples dimensiones:

Cada proyecto recibe una puntuación de 1-10 en cada criterio, se multiplica por el peso, y se obtiene un score total. Los proyectos se ordenan de mayor a menor score, y se aprueba hasta agotar el presupuesto disponible.

Fase 4: Selección y Aprobación

Los proyectos priorizados se someten a aprobación del Comité de Dirección de Sistemas de Información del SAS, que incluye:

• Director General del SAS
• Director de Sistemas de Información del SAS
• Responsables de las áreas funcionales (Asistencial, Farmacia, RRHH, Económico)
• CISO (Chief Information Security Officer) del SAS

La aprobación formal incluye:

• Presupuesto asignado
• Sponsor ejecutivo
• Plazo de ejecución
• KPIs de éxito

Fase 5: Ejecución y Monitorización

Los proyectos aprobados entran en ejecución. Aquí es donde PM² o PMBOK gobiernan la gestión de cada proyecto individual. Pero a nivel de portfolio, se monitorizan:

• KPIs de portfolio: % de proyectos en plazo, % de presupuesto consumido, ROI acumulado.
• Interdependencias: Si el proyecto de migración a cloud se retrasa, afecta al proyecto de despliegue de nueva app de telemedicina que depende de cloud.
• Riesgos agregados: ¿Estamos sobrecargando al equipo de ciberseguridad con demasiados proyectos simultáneos?
• Balance del portfolio: ¿Estamos invirtiendo demasiado en mantenimiento y poco en innovación?

Fase 6: Revisión y Optimización Continua

El portfolio se revisa trimestralmente. Preguntas clave:

• ¿Siguen vigentes las prioridades estratégicas? (Una pandemia como COVID-19 puede cambiar TODO)
• ¿Hay proyectos que deberían cancelarse por bajo rendimiento?
• ¿Han surgido nuevas oportunidades urgentes? (ej: fondos europeos Next Generation)
• ¿Necesitamos rebalancear el portfolio? (ej: más inversión en ciberseguridad tras un incidente)

1.4. KPIs de Gestión del Portfolio TIC en el SAS

Lo que no se mide, no se gestiona. El portfolio TIC del SAS se monitoriza con indicadores específicos:

KPIs Estratégicos:

• % de proyectos alineados con Estrategia de Salud Digital: Objetivo > 85%
• Valor generado por el portfolio: Medido en ahorros + mejoras cuantificadas
• ROI del portfolio TIC: (Beneficios – Costes) / Costes. Objetivo > 1,5 en 3 años

KPIs Operacionales:

• % de proyectos en plazo: Objetivo > 75%
• % de proyectos en presupuesto: Objetivo > 80%
• Desviación media de costes: Objetivo < 10%
• Tiempo medio de entrega de proyectos

KPIs de Calidad:

• Satisfacción de usuarios (profesionales + pacientes): Objetivo > 7,5/10
• Defectos post-despliegue: Objetivo < 5 críticos por proyecto
• Disponibilidad de sistemas críticos: Objetivo > 99,5% (Diraya, Receta XXI)

KPIs de Riesgo y Cumplimiento:

• % de sistemas certificados ENS: Objetivo 100% sistemas críticos
• Incidentes de seguridad por proyecto: Objetivo 0 críticos
• % de proyectos con EIPD completada (Evaluación de Impacto en Protección de Datos): Objetivo 100%

1.5. Gestión de Riesgos e Interdependencias en el Portfolio

Un portfolio no es una suma de proyectos independientes. Es un sistema complejo donde TODO está conectado. Y esas conexiones generan riesgos.

Tipos de Riesgos de Portfolio:

1. Riesgo de concentración de recursos: Si los 3 mejores arquitectos del SAS están en el proyecto de migración cloud, ¿quién atiende el día a día de Diraya?
2. Riesgo de dependencias tecnológicas: Si migramos la BBDD de Diraya a PostgreSQL pero Receta XXI aún está en Oracle, ¿cómo se integran?
3. Riesgo de cambios normativos: Una nueva ley de protección de datos puede obligar a rediseñar 5 proyectos simultáneamente.
4. Riesgo de obsolescencia tecnológica: Invertir en una tecnología que quedará obsoleta en 2 años.
5. Riesgo de seguridad agregada: Cada nuevo sistema es una nueva superficie de ataque. ¿El CISO tiene capacidad para validar 10 proyectos en paralelo?

Gestión de Interdependencias:

Se modelan las interdependencias en una matriz de dependencias de portfolio:

Estas interdependencias se gestionan con:

• Hitos de sincronización: Momentos clave donde proyectos deben coordinarse.
• Equipos transversales: Arquitectos que participan en múltiples proyectos para garantizar coherencia.
• Comités de integración: Reuniones periódicas para resolver conflictos de dependencias.

2. Mapa de Soluciones Digitales del SAS

2.1. Concepto de Mapa de Soluciones y Arquitectura Empresarial

Si el portfolio te dice «qué proyectos hacer», el mapa de soluciones te dice «qué piezas del puzzle tenemos y cómo encajan». Es la radiografía completa del ecosistema digital del SAS.

El Mapa de Soluciones Digitales es una representación estructurada de todos los sistemas, aplicaciones, infraestructuras, datos e integraciones que conforman la arquitectura TIC del SAS. Es la herramienta que permite:

• Entender el «landscape» tecnológico completo
• Identificar redundancias y gaps (huecos en cobertura funcional)
• Planificar evoluciones y migraciones
• Evaluar impactos de cambios
• Facilitar la toma de decisiones de inversión TIC

2.2. Arquitectura de 5 Capas del SAS

El mapa de soluciones del SAS se estructura en 5 capas lógicas, desde la infraestructura física hasta los canales de interacción con usuarios:

CAPA 1: Infraestructura y Centros de Procesamiento de Datos (CPD)

Es la base de la pirámide. Sin infraestructura confiable, nada funciona.

CPDs del SAS:

• CPD Principal: Ubicado en el Edificio GASHA (Sevilla). Categoría de seguridad física ALTA según ENS.
• CPD de Respaldo/Contingencia: Para garantizar continuidad de negocio. Replicación en tiempo real de sistemas críticos.
• Cloud Híbrido: Desde 2021, el SAS está migrando cargas de trabajo no críticas a cloud público (Azure Gov, AWS GovCloud) y manteniendo sistemas críticos on-premise.

Red Corporativa del SSPA:

• Red MPLS que interconecta todos los centros sanitarios de Andalucía
• Ancho de banda garantizado según criticidad (hospitales terciarios > 1 Gbps)
• Redundancia en enlaces críticos
• VPN para acceso remoto de profesionales (especialmente tras COVID-19)
• Segmentación de red por niveles de seguridad (zona DMZ, zona clínica, zona administrativa)

Plataforma de Virtualización:

• VMware vSphere para servidores virtuales
• Contenedores Docker + Kubernetes para microservicios (nuevos desarrollos)
• Tasa de virtualización > 90% en servidores

CAPA 2: Middleware y Servicios Comunes

Esta capa proporciona los servicios transversales que todos los sistemas consumen:

Enterprise Service Bus (ESB):

• Basado en tecnología Oracle Service Bus (OSB)
• Más de 300 servicios web publicados
• Gestiona toda la interoperabilidad entre sistemas (ej: Diraya consulta datos de BDU vía ESB)
• Estándares: SOAP, REST, HL7 FHIR

API Management:

• Gateway de APIs para consumo externo (apps móviles, terceros autorizados)
• Control de acceso OAuth 2.0 + OpenID Connect
• Rate limiting, analytics, versionado de APIs

Gestión de Identidades (IAM – Identity and Access Management):

• Sistema centralizado de autenticación y autorización
• SSO (Single Sign-On): Los profesionales se autentican una vez y acceden a todos los sistemas sin re-login
• Integración con Cl@ve (identificación electrónica de ciudadanos)
• Directorio LDAP corporativo con 110.000+ usuarios

Bases de Datos Corporativas:

• Oracle Database (sistemas core legacy como Diraya histórico)
• PostgreSQL (nuevos desarrollos, tendencia open source)
• SQL Server (sistemas administrativos, integración con ecosistema Microsoft)
• MongoDB (documentos no estructurados, ej: informes clínicos no codificados)

Plataforma de Mensajería:

• Apache Kafka para streaming de eventos en tiempo real
• RabbitMQ para colas de mensajería asíncrona
• Gestión de notificaciones SMS/email a pacientes y profesionales

CAPA 3: Aplicaciones Clínicas y Administrativas

Aquí están los sistemas que veremos en detalle en la Sección 3. A modo de adelanto:

Sistemas Clínicos:

• Diraya (Historia de Salud Digital)
• Receta XXI (Receta Electrónica)
• BDU (Base de Datos de Usuarios – Maestro de Pacientes)
• BPS (Base Poblacional de Salud – Big Data sanitario)
• PACS (Picture Archiving and Communication System – Imágenes médicas)
• LIS (Laboratory Information System – Laboratorios)
• SIGLO (Sistema de Información de Gestión de Listas de Espera)

Sistemas Administrativos:

• GERHONTE (Gestión de RRHH – nóminas, contratos)
• GIRO (Sistema económico-financiero)
• GESCOT (Gestión de contratos y compras)
• ÁTICA (Gestión de almacenes farmacéuticos)

CAPA 4: Capa de Integración e Interoperabilidad

Esta capa no es física, es lógica. Asegura que los sistemas «hablen entre sí» con estándares comunes.

Estándares de Interoperabilidad Sanitaria:

CAPA 5: Interfaces de Usuario y Canales Digitales

Es la capa visible, donde profesionales y pacientes interactúan con el sistema.

Para Profesionales Sanitarios:

• Estación clínica de Diraya: Aplicación de escritorio (cliente pesado) o web progresiva
• Portal de Profesionales del SAS: Acceso unificado a múltiples aplicaciones (SSO)
• App móvil Diraya Mobile: Para consultas rápidas desde smartphone/tablet
• Puesto de trabajo digital: Escritorios virtuales (VDI) para acceso desde cualquier dispositivo

Para Pacientes/Ciudadanía:

• ClicSalud+ (Web): Portal del paciente para citas, consulta de informes, certificados
• App Salud Andalucía: App móvil para pacientes (iOS/Android), con más de 7,5 millones de descargas
• Salud Responde (955 54 50 60): Call center con integración a sistemas corporativos
• InterSAS: Plataforma de autogestión online (duplicados de tarjeta sanitaria, cambios de centro de salud…)

2.3. Principios de Arquitectura del SAS

Toda la arquitectura del SAS se rige por 10 principios fundamentales (que deberías conocer para el examen):

1. Primacía del Dato: El dato es el activo más valioso. Una vez, único, maestro (concepto MDM – Master Data Management). El BDU es el master de pacientes, punto.
2. Interoperabilidad por diseño: Todo sistema nuevo DEBE exponer APIs estándar (HL7 FHIR preferentemente).
3. Reutilización: Antes de desarrollar, buscar si ya existe un servicio común. Ej: No desarrolles tu propio servicio de autenticación, usa el IAM corporativo.
4. Desacoplamiento: Los sistemas no se integran punto a punto, se integran vía ESB. Esto permite cambiar un sistema sin romper los demás.
5. Seguridad en profundidad (Defense in Depth): Múltiples capas de seguridad (firewall, WAF, cifrado, autenticación, autorización…).
6. Escalabilidad horizontal: Los sistemas deben poder crecer añadiendo más servidores, no servidores más grandes (arquitectura cloud-ready).
7. Disponibilidad 24/7 para sistemas críticos: Diraya, Receta XXI, Urgencias deben tener SLA > 99,5%.
8. Datos personales: privacidad by design: RGPD no es un añadido final, es un requisito desde el primer diseño (minimización, pseudonimización, cifrado).
9. Gestión centralizada de identidades: Un usuario, una identidad digital, acceso granular por roles.
10. Migración gradual a cloud híbrido: Cloud para flexibilidad y elasticidad, on-premise para control y cumplimiento (datos especialmente sensibles).

2.4. Catálogo de Servicios Digitales del SSPA

El SAS publica un Catálogo de Servicios TIC (aunque no siempre de acceso público completo) que describe todos los servicios que la Dirección de Sistemas presta al resto de la organización. Este catálogo sigue la estructura de ITIL 4:

Servicios de Usuario:

• Acceso a Diraya (Historia de Salud Digital)
• Acceso a Receta XXI (Prescripción electrónica)
• Consulta de resultados de laboratorio
• Visualización de imágenes médicas (PACS)
• Gestión de citas médicas

Servicios de Soporte TIC:

• Service Desk (CAU – Centro de Atención a Usuarios): Teléfono, web, chatbot
• Gestión de incidencias y peticiones
• Gestión de identidades y accesos
• Soporte a puesto de trabajo (hardware, software base)

Servicios de Infraestructura:

• Hosting de aplicaciones (CPD)
• Conectividad de red (Red Corporativa SSPA)
• Almacenamiento de datos
• Backup y recuperación ante desastres
• Cloud híbrido (IaaS, PaaS)

Servicios de Seguridad:

• SOC (Security Operations Center) – Monitorización 24/7
• Gestión de vulnerabilidades
• Gestión de incidentes de seguridad
• Auditorías de seguridad y cumplimiento ENS
• Concienciación y formación en ciberseguridad

Cada servicio en el catálogo tiene asociado:

• SLA (Service Level Agreement): Compromiso de disponibilidad, tiempos de respuesta
• OLA (Operational Level Agreement): Acuerdos internos entre equipos TIC
• UC (Underpinning Contract): Contratos con proveedores externos que soportan el servicio

3. Sistemas de Información Transversales del Servicio Andaluz de Salud

Ahora sí, entramos en el corazón del tema. Los sistemas corporativos que dan soporte a toda la actividad del SAS. Estos sistemas son los que gestionarás, soportarás, evolucionarás en tu día a día como TFA-STI.

3.1. SISTEMAS CLÍNICOS ASISTENCIALES

3.1.1. Diraya – Historia de Salud Digital de Andalucía

Diraya es LA aplicación estrella del SAS. Si solo pudieras estudiar un sistema para el examen, sería Diraya. ¿Por qué? Porque es el core de toda la asistencia sanitaria informatizada en Andalucía.

¿Qué es Diraya?

Diraya es el Sistema de Información para la Historia de Salud Digital única de Andalucía. Integra toda la información clínica de un paciente a lo largo de su vida y en cualquier punto de atención del SSPA. En 2024, Diraya cumplió 20 años de funcionamiento ininterrumpido.

Cifras clave de Diraya (2024):

• Más de 8 millones de historias clínicas activas
• 110.000 profesionales sanitarios lo usan diariamente
• Más de 2.000 centros sanitarios conectados (hospitales, centros de salud, consultorios)
• Gestiona más de 200.000 consultas médicas diarias
• Almacena más de 2.500 millones de documentos clínicos (informes, analíticas, imágenes…)

Arquitectura técnica de Diraya:

• Plataforma base: Java Enterprise Edition (J2EE), Oracle WebLogic como servidor de aplicaciones
• Base de datos: Oracle Database (histórico), PostgreSQL (módulos nuevos en proceso de migración)
• Interfaz de usuario: Cliente web progresivo (HTML5 + JavaScript), reemplazando antiguo cliente pesado Java
• Arquitectura evolutiva: Desde 2020, migración gradual a microservicios con contenedores Docker + Kubernetes
• APIs: Expone servicios vía HL7 FHIR R4 para interoperabilidad con otros sistemas

Módulos funcionales de Diraya:

1. Módulo de Atención Primaria:
   • Historia clínica del paciente
   • Evolución clínica (SOAP: Subjetivo, Objetivo, Apreciación, Plan)
   • Prescripción de medicamentos (integrado con Receta XXI)
   • Solicitud de pruebas diagnósticas
   • Gestión de Procesos Asistenciales Integrados (PAI)
2. Módulo de Atención Especializada (Hospitalaria):
   • Consultas externas
   • Hospitalización (órdenes médicas, evolución, planes de cuidados)
   • Urgencias (triaje, asistencia, observación)
   • Quirófanos (programación, parte quirúrgico)
   • Unidades especiales (UCI, Diálisis, Oncología…)
3. Módulo de Resultados:
   • Laboratorio (analíticas, microbiología)
   • Radiodiagnóstico (informes de imagen, integración con PACS)
   • Anatomía Patológica
   • Consulta de resultados desde cualquier punto de Andalucía
4. Módulo de Farmacia:
   • Validación farmacéutica de prescripciones
   • Preparación de tratamientos individualizados (citostáticos, nutriciones)
   • Control de stocks de medicamentos
5. Módulo de Gestión de Camas:
   • Ocupación en tiempo real
   • Asignación de camas a pacientes ingresados
   • Gestión de altas y traslados
6. Visualizador de Historia Clínica:
   • Acceso de solo lectura para profesionales autorizados
   • Vista cronológica y por episodios
   • Acceso a documentos adjuntos (PDFs, imágenes)

Seguridad y cumplimiento en Diraya:

• Categoría ENS: ALTA (Confidencialidad, Integridad, Disponibilidad)
• Control de acceso: Por roles (médico, enfermero, auxiliar…) y por ámbito (solo acceso a pacientes de su centro, salvo urgencias vitales)
• Trazabilidad: Se registra QUIÉN accede a QUÉ información de QUÉ paciente y CUÁNDO. Auditoría permanente para detectar accesos indebidos (RGPD).
• Cifrado: Datos en reposo cifrados en BBDD, datos en tránsito cifrados (TLS 1.3)
• Backup: Copias diarias con retención de 30 días, copias mensuales con retención de 7 años (obligación legal de conservación de historias clínicas)

Evolución futura de Diraya:

• Integración de IA para soporte a la decisión clínica (alertas de interacciones medicamentosas, sugerencias diagnósticas basadas en síntomas)
• Mejora de la usabilidad con interfaces más intuitivas (actualmente es una queja recurrente de profesionales: «Diraya es lento y poco amigable»)
• Apertura de APIs para que terceros desarrollen apps que consuman datos de Diraya (con consentimiento del paciente, claro)
• Integración de wearables e IoMT (dispositivos médicos conectados: glucómetros, pulsioxímetros, holters…)

3.1.2. Receta XXI – Receta Electrónica de Andalucía

La Receta XXI es el sistema que ha revolucionado la prescripción y dispensación de medicamentos en Andalucía. Antes de Receta XXI (implantada desde 2003), el médico escribía a mano una receta en papel, el paciente la llevaba a la farmacia, y la farmacia la enviaba al SAS para facturación. Proceso lento, propenso a errores, y con mucho papel.

¿Qué es Receta XXI?

Es el sistema de prescripción y dispensación electrónica de medicamentos y productos sanitarios del SSPA. Permite que el médico prescriba desde Diraya, el paciente vaya a cualquier farmacia de Andalucía con su tarjeta sanitaria, y el farmacéutico dispense el medicamento consultando la receta en el sistema.

Cifras clave (2024):

• Más de 100 millones de recetas electrónicas dispensadas al año
• 100% de farmacias de Andalucía conectadas (más de 2.800 oficinas de farmacia)
• Interoperabilidad nacional: Un paciente andaluz puede retirar su medicación en una farmacia de Madrid, Valencia o Barcelona gracias al Sistema Nacional de Receta Electrónica
• Ahorro de más de 20 millones de recetas en papel al año

Arquitectura técnica:

• Integración con Diraya: El médico prescribe desde Diraya, que envía la prescripción a Receta XXI vía servicios web
• Base de datos centralizada: Oracle Database
• Aplicación de farmacia: Cliente instalado en cada farmacia (SIFAR – Sistema de Facturación de Recetas), se conecta vía VPN a Receta XXI
• APIs de interoperabilidad: Para intercambio con Sistema Nacional de Salud (MSCBS)

Flujo funcional de Receta XXI:

1. El médico prescribe un medicamento en Diraya (indica principio activo, dosis, duración, vía de administración)
2. Diraya envía la prescripción a Receta XXI
3. Receta XXI realiza validaciones:
   • ¿El paciente tiene derecho a asistencia sanitaria? (consulta BDU)
   • ¿El medicamento está financiado por el SNS?
   • ¿Hay contraindicaciones con otros medicamentos activos del paciente? (alerta de interacciones)
4. Si todo OK, la receta queda almacenada en Receta XXI y disponible para dispensación
5. El paciente acude a la farmacia con su tarjeta sanitaria (o DNI electrónico)
6. El farmacéutico consulta Receta XXI, ve las recetas pendientes del paciente
7. El farmacéutico dispensa el medicamento (puede sustituir por genérico si procede)
8. Receta XXI registra la dispensación y genera la facturación automática hacia el SAS

Modalidades de receta:

• Receta electrónica estándar: Válida 10 días desde la prescripción
• Receta electrónica de crónicos: Tratamientos de larga duración (ej: hipertensión, diabetes). Se autoriza dispensación periódica (cada mes, cada 3 meses…) sin necesidad de nueva prescripción
• Receta de urgencias: Para atención fuera del centro habitual del paciente
• Receta papel excepcional: Solo cuando falla el sistema informático (situación muy excepcional). La farmacia debe introducir después la receta manualmente en el sistema

Seguridad y privacidad:

• Categoría ENS: ALTA
• Cifrado: Tanto en BBDD como en transmisiones farmacia-SAS
• Consentimiento del paciente: El paciente puede oponerse a que su información se comparta con otras CCAA (aunque es raro, porque limita su asistencia fuera de Andalucía)
• Auditoría: Registro de todas las dispensaciones y consultas

3.1.3. BDU – Base de Datos de Usuarios (Maestro de Pacientes)

El BDU es el corazón demográfico del SAS. Si Diraya es la historia clínica, el BDU es el «quién es quién» de los pacientes.

¿Qué es el BDU?

Es el Repositorio Maestro de Identificación de Pacientes (Master Patient Index – MPI en terminología internacional). Contiene los datos demográficos de todos los usuarios del SSPA:

• Nombre completo, fecha de nacimiento, sexo
• DNI/NIE/Pasaporte
• Código de Identificación Personal del SSPA (CIP): Identificador único que permite relacionar toda la información sanitaria de una persona, aunque cambie de nombre (ej: matrimonio), DNI, o domicilio
• Dirección postal actualizada
• Teléfonos de contacto
• Centro de salud asignado
• Médico y enfermera de referencia
• Situación de aseguramiento (titular, beneficiario…)

Funciones clave del BDU:

1. Identificación unívoca: Evita duplicados. Si una persona acude a Urgencias en Málaga y no lleva tarjeta sanitaria, el sistema busca por nombre+fecha nacimiento+DNI y localiza su CIP.
2. Gestión de altas, bajas y modificaciones: Nuevos empadronamientos, cambios de domicilio, fallecimientos…
3. Asignación de tarjeta sanitaria: Cada CIP tiene asociado un número de tarjeta sanitaria (banda magnética o chip)
4. Interoperabilidad con padrón municipal: El BDU se actualiza automáticamente con datos de los ayuntamientos (vía INE)
5. Gestión de consentimientos: El paciente puede dar/retirar consentimiento para cesión de datos a investigación, donación de órganos, etc.

Integración del BDU con otros sistemas:

• Diraya: Cada vez que se abre una historia clínica, Diraya consulta el BDU para verificar datos del paciente
• Receta XXI: Valida que el paciente tiene derecho a asistencia sanitaria
• SIGLO (Listas de Espera): Vincula pacientes a citas y esperas quirúrgicas
• ClicSalud+: Los pacientes acceden con su DNI electrónico, el sistema valida contra BDU
• Sistema Nacional de Salud: Intercambio de datos de aseguramiento con otras CCAA

Seguridad y privacidad en el BDU:

• Categoría ENS: ALTA (son datos personales básicos pero muy sensibles por volumen y centralización)
• Cifrado: Toda la BBDD cifrada
• Control de acceso muy restrictivo: Solo personal administrativo autorizado puede modificar datos (profesionales sanitarios solo consultan)
• Registro de auditoría: Toda modificación queda trazada (quién, qué, cuándo)

3.1.4. BPS – Base Poblacional de Salud (Big Data Sanitario)

Si el BDU es el «quién», y Diraya el «qué pasó clínicamente», el BPS es el «¿qué podemos aprender de todos estos datos juntos?»

¿Qué es el BPS?

La Base Poblacional de Salud es el Data Lake sanitario del SSPA. Consolida datos de múltiples fuentes (Diraya, Receta XXI, BDU, mortalidad, laboratorios…) para:

• Análisis epidemiológico: ¿Cuál es la prevalencia de diabetes en Andalucía? ¿Cómo evoluciona la obesidad infantil?
• Investigación sanitaria: Estudios de cohortes, ensayos clínicos, farmacovigilancia
• Planificación sanitaria: ¿Dónde faltan especialistas? ¿Qué servicios están saturados?
• Evaluación de políticas de salud: ¿El cribado de cáncer de colon está siendo efectivo? ¿Los PAI de crónicos reducen reingresos?
• Business Intelligence: Cuadros de mando para gestión (listas de espera, tiempos de respuesta, indicadores de calidad)

Datos contenidos en el BPS (todos pseudonimizados para investigación):

• Datos demográficos (del BDU)
• Diagnósticos (CIE-10 codificados en Diraya)
• Procedimientos (cirugías, pruebas diagnósticas)
• Prescripciones farmacéuticas (de Receta XXI)
• Resultados de laboratorio (analíticas)
• Urgencias (triaje, diagnóstico, destino)
• Hospitalizaciones (ingresos, altas, CMBD – Conjunto Mínimo Básico de Datos)
• Mortalidad (fecha y causa de defunción)
• Vacunaciones
• Cribados (mama, colon, cérvix)

Arquitectura técnica del BPS:

• ETL (Extract-Transform-Load): Procesos batch nocturnos extraen datos de sistemas fuente, los transforman (estandarizan, validan, codifican) y cargan en BPS
• Data Lake: Hadoop HDFS o similar, almacenamiento masivo de datos estructurados y no estructurados
• Data Warehouse: Modelo dimensional (estrella/copo de nieve) para consultas analíticas optimizadas
• Herramientas de BI: Tableau, Power BI, o desarrollos custom para visualización
• Herramientas de análisis avanzado: Python + Scikit-learn, R, SPSS para análisis estadístico

Seguridad y privacidad en el BPS:

• Pseudonimización obligatoria: Los datos para investigación tienen el CIP sustituido por un identificador aleatorio. Solo un proceso autorizado puede «re-identificar» si es imprescindible (ej: contactar con paciente para estudio de seguimiento, con su consentimiento).
• Categoría ENS: ALTA
• Anonimización K-anonymity: Para publicación de datos estadísticos, se garantiza que no se puede identificar a individuos (ej: si solo hay 1 paciente con una enfermedad ultra-rara en un municipio pequeño, se agrupa con otros o se omite)
• EIPD (Evaluación de Impacto en Protección de Datos): El BPS ha pasado múltiples EIPDs por su alto riesgo para privacidad

3.1.5. SIGLO – Sistema de Información de Gestión de Listas de Espera

Las listas de espera son uno de los indicadores más sensibles de la sanidad pública. SIGLO es el sistema que las gestiona y monitoriza.

¿Qué es SIGLO?

Es el sistema que registra y gestiona:

• Listas de espera quirúrgicas: Pacientes pendientes de cirugía programada
• Listas de espera de consultas externas: Primeras consultas con especialistas
• Listas de espera de pruebas diagnósticas: TAC, RMN, ecografías…

Funcionalidades:

• Registro de pacientes en lista de espera (procedencia: indicación de médico en Diraya)
• Priorización clínica (urgente, preferente, normal)
• Programación de citas/intervenciones
• Seguimiento de tiempos de espera
• Garantías de plazo (el paciente tiene derecho a ser atendido en plazo, o ser derivado a otro centro o mutua)
• Publicación de estadísticas de listas de espera (transparencia)

Integración:

• Se nutre de indicaciones de Diraya
• Envía notificaciones a pacientes vía SMS/email
• Genera cuadros de mando para Consejería (indicador político clave)

3.1.6. Otros Sistemas Clínicos Relevantes

PACS (Picture Archiving and Communication System):

• Almacenamiento y gestión de imágenes médicas (RX, TAC, RMN, ecografías…)
• Estándar DICOM para almacenamiento e intercambio
• Visualizador integrado en Diraya
• Almacenamiento masivo (petabytes de imágenes)

LIS (Laboratory Information System):

• Gestión de laboratorios clínicos
• Desde solicitud de analítica hasta entrega de resultados
• Integración con autoanalizadores (máquinas que procesan muestras)
• Envío automático de resultados a Diraya

ÁTICA:

• Gestión de almacenes de farmacia hospitalaria
• Control de stocks de medicamentos
• Trazabilidad de lotes (especialmente importante en vacunas, hemoderivados)

Sistema de Gestión de Camas:

• Ocupación hospitalaria en tiempo real
• Optimización de ingresos y altas
• Integrado con Diraya

3.2. SISTEMAS ADMINISTRATIVOS Y DE GESTIÓN

3.2.1. GERHONTE – Gestión de Recursos Humanos

GERHONTE es el sistema de gestión de RRHH del SAS, que administra a más de 110.000 profesionales (médicos, enfermeras, auxiliares, administrativos, celadores…).

Funcionalidades:

• Gestión de plantillas: Puestos, plazas, estructuras organizativas
• Nóminas: Cálculo mensual de salarios (una de las nóminas más complejas del sector público por guardias, complementos, pluses…)
• Contratación: Contratos eventuales, interinidades, nombramientos estatutarios
• Formación: Gestión de cursos, acreditaciones, carrera profesional
• Control de presencia: Fichajes, ausencias, permisos, vacaciones
• Evaluación del desempeño: Carrera profesional del personal estatutario
• Portal del Empleado: Acceso web para consultar nóminas, solicitar permisos, actualizar datos

Integración:

• Con Diraya: Para saber qué profesionales están asignados a cada centro/servicio
• Con sistema de control de accesos físicos: Tarjetas de identificación
• Con Seguridad Social y Hacienda: Envío de cotizaciones y retenciones IRPF

3.2.2. GIRO – Sistema Económico-Financiero

GIRO es el ERP económico-financiero del SAS, que gestiona el presupuesto (más de 11.000 millones de euros anuales, uno de los presupuestos más grandes de Andalucía).

Módulos:

• Gestión presupuestaria: Seguimiento de ejecución del presupuesto
• Contabilidad: Registro de todas las operaciones contables
• Tesorería: Gestión de pagos a proveedores, cobros
• Facturación: Emisión de facturas (ej: pacientes extranjeros, compañías de seguros por accidentes de tráfico)
• Inventario: Bienes muebles e inmuebles del SAS

3.2.3. GESCOT – Gestión de Contratos y Compras

GESCOT gestiona todo el ciclo de contratación pública del SAS (sujeto a Ley 9/2017 de Contratos del Sector Público).

Funcionalidades:

• Planificación de contratación
• Expedientes de contratación (desde preparación de pliegos hasta adjudicación)
• Gestión de proveedores (homologación, evaluación)
• Seguimiento de contratos (plazos, prórrogas, penalizaciones)
• Integración con Plataforma de Contratación del Sector Público (publicación de licitaciones)

3.3. SISTEMAS DE SOPORTE TRANSVERSAL

3.3.1. Red Corporativa SSPA

Ya mencionada en arquitectura, la Red Corporativa es la infraestructura que interconecta todos los centros sanitarios de Andalucía. Es el sistema nervioso del SAS.

Características técnicas:

• Tecnología: MPLS (Multi-Protocol Label Switching) sobre fibra óptica
• Cobertura: 100% de centros sanitarios (hospitales, centros de salud, consultorios rurales)
• Anchos de banda:
  • Hospitales terciarios: 1-10 Gbps
  • Hospitales comarcales: 500 Mbps – 1 Gbps
  • Centros de salud: 100-500 Mbps
  • Consultorios: 50-100 Mbps (o 4G/5G backup si no hay fibra)
• Redundancia: Enlaces duplicados en centros críticos
• Calidad de servicio (QoS): Priorización de tráfico (Diraya > email > navegación web)
• Seguridad: Firewalls perimetrales, segmentación VLANs, IDS/IPS

3.3.2. Sistema de Business Intelligence Corporativo

Conjunto de herramientas de BI para análisis y cuadros de mando de gestión:

• Cuadros de mando asistenciales: Indicadores de calidad, seguridad del paciente, resultados clínicos
• Cuadros de mando de gestión: Listas de espera, actividad asistencial, tiempos de respuesta
• Cuadros de mando económicos: Ejecución presupuestaria, coste por proceso, eficiencia
• Herramientas: Tableau, Power BI, desarrollos custom con D3.js

3.3.3. SOC (Security Operations Center) – Centro de Operaciones de Seguridad

El SOC del SAS monitoriza 24/7 la ciberseguridad de toda la infraestructura:

• SIEM (Security Information and Event Management): Correlación de eventos de seguridad de todos los sistemas
• Detección de intrusiones: IDS/IPS
• Análisis de malware: Sandboxing, análisis forense
• Gestión de incidentes de seguridad: Clasificación, respuesta, remediación
• Threat Intelligence: Información de amenazas (feeds de CCN-CERT, INCIBE)
• Cumplimiento ENS: Auditorías continuas, gestión de no conformidades

3.3.4. ayudaDIGITAL – Portal de Soporte a Usuarios

Portal web con documentación, manuales, FAQs, tutoriales en vídeo, y formularios de soporte para profesionales del SAS. Tiene contenido sobre todos los sistemas corporativos.

3.3.5. Sistema de Gestión de Identidades y Accesos (IAM)

• Directorio LDAP corporativo: 110.000+ cuentas de usuario
• Active Directory: Para autenticación en sistemas Windows
• SSO (Single Sign-On): Autenticación única para múltiples aplicaciones
• MFA (Multi-Factor Authentication): En proceso de implantación para accesos críticos (ej: admin de sistemas)
• Gestión de roles y permisos: RBAC (Role-Based Access Control) con roles clínicos estándar

3.4. SISTEMAS PARA PACIENTES Y CIUDADANÍA

3.4.1. ClicSalud+ – Portal Web del Paciente

ClicSalud+ es la ventana digital del SAS hacia los pacientes. Permite autogestión de múltiples trámites:

Funcionalidades:

• Cita previa: Pedir, modificar, anular citas de Atención Primaria y Especializada
• Consulta de historial clínico: El paciente ve sus diagnósticos, tratamientos, informes (excepto anotaciones de profesionales protegidas)
• Acceso a informes: Descargar informes de pruebas (analíticas, radiografías, altas hospitalarias…)
• Consulta de medicación activa: Qué medicamentos están prescritos actualmente
• Certificados: Descarga de certificado de empadronamiento sanitario, certificado de vacunaciones…
• Gestión de tarjeta sanitaria: Solicitud de duplicados, actualización de datos
• Agenda de vacunación infantil: Recordatorios automáticos

Autenticación:

• Cl@ve: Sistema de identificación electrónica del Estado (usuario/contraseña, Cl@ve PIN, certificado digital)
• Cl@ve Permanente: Para usuarios frecuentes

Seguridad:

• Categoría ENS: MEDIA (el paciente solo ve sus propios datos)
• Cifrado TLS 1.3
• Auditoría de accesos

3.4.2. App Salud Andalucía (móvil iOS/Android)

La app móvil del SAS, con funcionalidades similares a ClicSalud+ optimizadas para smartphone:

• Gestión de citas con notificaciones push
• Código QR de tarjeta sanitaria (identificación sin tarjeta física)
• Consulta de historial clínico
• Descarga de informes
• Videoconsulta (en fase de ampliación)
• Más de 7,5 millones de descargas

3.4.3. InterSAS – Trámites Online para Ciudadanía

Plataforma web (distinta de ClicSalud+, aunque hay solapamiento funcional) para trámites administrativos:

• Solicitud de tarjeta sanitaria (nuevos empadronados, extranjeros…)
• Cambio de centro de salud/médico de familia
• Elección de hospital para partos
• Consulta de estado de trámites

3.4.4. Salud Responde (955 54 50 60)

No es estrictamente un sistema TIC, pero tiene integración con sistemas corporativos:

• Call center con operadores 24/7
• Gestión telefónica de citas (alternativa a online para personas sin competencias digitales)
• Consulta de información sanitaria
• Derivación a emergencias (061) si procede
• CRM integrado con Diraya y SIGLO

3.5. SISTEMAS DE INNOVACIÓN Y TELEMEDICINA

3.5.1. Plataforma de Telemedicina

En expansión desde COVID-19:

• Teleconsulta: Videollamadas profesional-paciente (consultas de seguimiento, Atención Primaria, Salud Mental…)
• Telemonitorización: Dispositivos conectados que envían constantes (glucómetros en diabetes, pulsioxímetros en EPOC…)
• Teledermatología: Envío de fotos de lesiones cutáneas para valoración
• Telepsiquiatría: Consultas de salud mental por videoconferencia (reduce estigma, aumenta accesibilidad)

Tecnología:

• Plataforma de videoconferencia segura (cifrado E2E)
• Integración con Diraya para acceso a historia clínica durante la consulta
• Registro automático de teleconsulta en historia clínica

4. Marco Normativo y Estratégico del Portfolio de SI del SAS

4.1. Normativa de Seguridad: Esquema Nacional de Seguridad (ENS)

El Real Decreto 311/2022, de 3 de mayo, regula el Esquema Nacional de Seguridad (ENS), que es de aplicación obligatoria a todos los sistemas de información del sector público, incluido el SAS.

Categorización de sistemas del SAS:

Obligaciones clave del ENS para sistemas CATEGORÍA ALTA:

• Análisis de riesgos: Metodología MAGERIT (o ISO 27005). Revisión al menos cada 2 años
• Declaración de Aplicabilidad: Documento que indica qué medidas de seguridad se aplican y cuáles no (y por qué)
• Plan de Adecuación: Cómo se implementarán las medidas no conformes
• Auditoría ENS: Cada 2 años, por auditor externo certificado
• Informe de Estado de Seguridad: Anual, remitido al CCN-CERT
• Notificación de incidentes: Incidentes graves (categoría ALTA o MUY ALTA) al CCN-CERT en <48h
• SOC 24/7: Centro de Operaciones de Seguridad con monitorización continua
• Cifrado de datos: En reposo (BBDD) y en tránsito (TLS 1.2 mínimo, preferible 1.3)
• Gestión de vulnerabilidades: Parcheado en plazos definidos (críticas <7 días, altas <30 días)
• Copias de seguridad: Con pruebas periódicas de recuperación

Guías CCN-STIC aplicables al SAS:

• CCN-STIC 804: Guía de implantación del ENS
• CCN-STIC 891: Esquema Nacional de Seguridad en el ámbito sanitario (¡específica para salud!)
• CCN-STIC 823: Utilización de cloud computing (migración SAS a cloud híbrido)
• CCN-STIC 817: Gestión de ciberincidentes

4.2. Protección de Datos: RGPD y LOPDGDD

El Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD) regulan el tratamiento de datos personales, y son de aplicación directa en el SAS.

Datos de salud = Categoría especial (art. 9 RGPD):

• Prohibición general de tratamiento, SALVO que concurra alguna excepción
• En el SAS, la base jurídica es: «interés público en el ámbito de la salud pública» (art. 9.2.i) y «medicina preventiva/asistencia sanitaria» (art. 9.2.h)
• NO se necesita consentimiento explícito del paciente para tratamiento asistencial (sería absurdo: «¿consiente que guardemos su historia clínica?»). Pero SÍ para otros fines (investigación, salvo excepciones; publicidad…)

Derechos de los interesados en el SAS:

• Acceso: El paciente puede consultar su historia clínica (vía ClicSalud+ o solicitando copia presencial). Límite: no accede a anotaciones subjetivas del profesional
• Rectificación: Si hay datos erróneos (ej: dirección equivocada), se corrigen
• Supresión («derecho al olvido»): NO aplica en historia clínica. La legislación sanitaria obliga a conservar historia clínica mínimo 5 años tras alta/último contacto (Ley 41/2002)
• Oposición: El paciente puede oponerse a tratamientos no imprescindibles (ej: no quiero que mis datos se usen en investigación)
• Portabilidad: El paciente puede solicitar copia de su historia clínica en formato electrónico estándar (HL7 CDA)

EIPD (Evaluación de Impacto en Protección de Datos):

Obligatoria cuando el tratamiento presenta alto riesgo para derechos de los interesados. En el SAS:

• Diraya: EIPD completada ✓
• BPS: EIPD completada (alto riesgo por volumen y perfilado) ✓
• Cualquier sistema nuevo con IA que trate datos de salud: EIPD obligatoria
• Telemedicina con IoMT: EIPD obligatoria

Delegado de Protección de Datos (DPD/DPO):

El SAS, como administración pública que trata datos de salud a gran escala, está obligado a tener DPD. Funciones:

• Asesorar sobre cumplimiento RGPD
• Supervisar cumplimiento (auditorías internas)
• Punto de contacto con AEPD (Agencia Española de Protección de Datos)
• Atender a ejercicios de derechos de interesados

4.3. Interoperabilidad y Administración Electrónica

Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas:

• Obliga a la administración a relacionarse electrónicamente con ciudadanos (Sede Electrónica del SAS)
• Derecho de los ciudadanos a no aportar documentos que ya obren en poder de otra administración (principio de «solo una vez» – interoperabilidad entre registros públicos)

Ley 40/2015 de Régimen Jurídico del Sector Público:

• Regula esquemas de interoperabilidad
• Archivo electrónico (el SAS debe conservar documentos electrónicos con validez jurídica)

Reglamento eIDAS (Reglamento UE 910/2014):

• Identificación electrónica (Cl@ve es un sistema eIDAS-notificado)
• Firma electrónica (el SAS acepta certificados cualificados de firma)
• Confianza en transacciones electrónicas

4.4. Normativa Sanitaria Específica

Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica:

• Regula la historia clínica: contenido, custodia, acceso
• Conservación mínima 5 años desde alta/último contacto
• Consentimiento informado

Ley 14/1986, de 25 de abril, General de Sanidad:

• Marco general del SNS
• Derechos y deberes de pacientes

Decreto 208/2015, de 14 de julio, por el que se regula el sistema de historia clínica digital integrada del SSPA:

• Marco normativo de Diraya a nivel andaluz
• Define accesos, responsabilidades, trazabilidad

4.5. Normas ISO Aplicables

ISO/IEC 27001:2022 – Sistemas de Gestión de Seguridad de la Información (SGSI):

• Estándar internacional de referencia para seguridad TI
• El SAS NO está certificado ISO 27001 (no es obligatorio, lo obligatorio es ENS), pero aplica muchos de sus controles porque ENS y 27001 son compatibles

ISO 27799:2016 – Gestión de la Seguridad de la Información en Sanidad:

• Extensión de ISO 27001 específica para sector salud
• Controles adicionales: confidencialidad de historias clínicas, acceso en urgencias, interoperabilidad segura…

ISO/IEC 20000:2018 – Gestión de Servicios TI:

• Basado en ITIL, certifica que la gestión de servicios TI cumple estándares de calidad
• El SAS NO tiene certificación ISO 20000, pero aspira a alinearse progresivamente

4.6. Planes y Estrategias Vigentes (2024-2028)

Estrategia de Salud Digital de Andalucía 2024-2030

Es el documento estratégico rector de la transformación digital sanitaria en Andalucía. Ejes principales:

1. Empoderamiento del ciudadano:
   • Ampliar servicios digitales accesibles (ClicSalud+, App)
   • Acceso completo a historia clínica
   • Herramientas de autocuidado
2. Profesionales empoderados:
   • Mejora de usabilidad de Diraya
   • Herramientas de soporte a la decisión clínica (IA)
   • Puesto de trabajo digital flexible
3. Transformación de procesos asistenciales:
   • Telemedicina en todos los niveles asistenciales
   • Telemonitorización de crónicos
   • Hospitalización en domicilio tecnológicamente apoyada
4. Datos e inteligencia artificial:
   • Explotación del BPS para medicina personalizada
   • IA para diagnóstico por imagen (radiología, dermatología, patología)
   • Predicción de riesgos y reingresos
5. Infraestructuras digitales avanzadas:
   • Migración a cloud híbrido
   • 5G en hospitales para IoMT
   • Ciberseguridad reforzada

Estrategia Andaluza de Ciberseguridad 2022-2025

Enmarca la ciberseguridad del sector público andaluz, incluido SAS:

• Cumplimiento integral del ENS en todos los sistemas
• SOC autonómico coordinado con CCN-CERT
• Formación y concienciación en ciberseguridad
• Ejercicios de respuesta a incidentes (ciber-simulacros)

Plan de Transformación Digital de la Junta de Andalucía (Agenda Digital 2030)

Marco más amplio donde se enmarca la Estrategia de Salud Digital:

• Conectividad: fibra y 5G en todo el territorio
• Administración electrónica 100%
• Impulso a la IA y el dato
• Capacitación digital de ciudadanos

Proyecto Salud Andalucía Digital (financiado con Next Generation EU)

Proyecto emblemático con fondos europeos de recuperación COVID-19:

• Modernización de infraestructuras TIC del SAS
• Migración a cloud híbrido
• Refuerzo de ciberseguridad
• Telemedicina masiva
• IA en radiología y diagnóstico

5. Innovación y Retos Futuros del Portfolio de SI del SAS

5.1. Inteligencia Artificial en Sanidad

La IA va a transformar el SAS en los próximos 5 años. Algunas aplicaciones ya en marcha o previstas:

IA en Diagnóstico por Imagen:

• Detección de cáncer en mamografías: Algoritmos entrenados en millones de imágenes detectan lesiones sospechosas con precisión > médico humano
• Priorización de TACs de tórax: Detecta neumonías, derrames, nódulos sospechosos y prioriza informes urgentes
• Dermatología: Clasificación de lesiones cutáneas (melanoma vs benigno) a partir de fotos

IA en Soporte a la Decisión Clínica:

• Sugerencias diagnósticas basadas en síntomas + historia + resultados
• Alertas de interacciones medicamentosas avanzadas
• Predicción de riesgo de reingreso hospitalario
• Identificación de pacientes en riesgo de sepsis (en UCI, monitorización continua de constantes + IA)

IA Generativa (GPT-like):

• Asistentes conversacionales para pacientes (chatbot que responde dudas médicas básicas, 24/7)
• Generación automática de informes clínicos: El médico dicta notas por voz, la IA transcribe Y genera informe estructurado (¡esto ahorraría 30-40% del tiempo administrativo de médicos!)
• Búsqueda semántica en historias clínicas: «Dame todos los pacientes con diabetes que han tenido infarto en los últimos 5 años»

5.2. Internet of Medical Things (IoMT) y Wearables

La explosión de dispositivos médicos conectados va a llenar Diraya de datos en tiempo real:

• Glucómetros conectados: Pacientes diabéticos envían glucemias automáticamente, el sistema alerta si hay descompensación
• Pulsioxímetros en EPOC: Pacientes con enfermedad pulmonar crónica monitorizados en casa, el sistema detecta exacerbaciones antes de que lleguen a urgencias
• Holters cardíacos de larga duración: Detectan arritmias que antes pasaban desapercibidas
• Smartwatches: Apple Watch, Fitbit… pueden detectar fibrilación auricular (estudios confirman que detectan arritmias con sensibilidad >90%)

Retos técnicos:

• ¿Cómo integrar streams de datos en tiempo real en Diraya, que no está diseñado para eso?
• ¿Cómo filtrar ruido? Un smartwatch genera miles de datos al día, ¿cuántos son clínicamente relevantes?
• ¿Cómo garantizar que los dispositivos están certificados como productos sanitarios (marcado CE)?
• ¿Cómo proteger la ciberseguridad? Un marcapasos conectado hackeado puede matar a un paciente (no es ciencia ficción, hay vulnerabilidades documentadas)

5.3. Migración a Cloud Híbrido

El SAS está en plena migración desde CPDs on-premise a una arquitectura cloud híbrida:

¿Qué va a cloud público? (Azure Government, AWS GovCloud):

• Entornos de desarrollo y pruebas
• Aplicaciones no críticas (portales web, apps móviles)
• Analítica y BI (aprovecha elasticidad para procesos intensivos)
• Backup offsite (copia de seguridad en cloud como contingencia adicional)

¿Qué se queda on-premise?:

• Diraya (core transaccional crítico)
• Receta XXI
• BDU (master de pacientes, demasiado crítico)
• Sistemas legados con dependencias técnicas complejas

Beneficios esperados:

• Escalabilidad: Si hay un pico de demanda (ej: campaña vacunación COVID), se escala automáticamente
• Innovación: Acceso a servicios cloud avanzados (IA, IoT, analítica en tiempo real)
• Resiliencia: Cloud providers tienen SLA 99,99%, mejor que CPD propio
• Coste: Pago por uso vs inversión CAPEX en hardware que se deprecia

Retos:

• Cumplimiento normativo: ¿Los datos de salud pueden estar en servidores fuera de España? (Sí, si hay cláusulas contractuales tipo RGPD + cloud certificado ENS)
• Vendor lock-in: Dependencia de un proveedor cloud (estrategia: multicloud o al menos portabilidad vía contenedores)
• Latencia: Aplicaciones en tiempo real (ej: quirófano, UCI) requieren latencia ultrabaja, cloud público puede no ser adecuado

5.4. DevSecOps y Cultura de Seguridad

El SAS está adoptando DevSecOps: integrar seguridad en TODO el ciclo de desarrollo, no como «revisión final»:

• Análisis de código estático (SAST): Herramientas automáticas detectan vulnerabilidades en el código (inyección SQL, XSS…)
• Análisis de dependencias: Detección de librerías con vulnerabilidades conocidas (ej: Log4Shell)
• Escaneo de imágenes Docker: Asegurar que contenedores no tienen malware o vulnerabilidades
• IaC Security (Infrastructure as Code): Validar que configuraciones de infraestructura (Terraform, Ansible) cumplen ENS
• Pipelines CI/CD con gates de seguridad: Si el código no pasa tests de seguridad, no se despliega

5.5. Ciberseguridad Avanzada: Zero Trust y XDR

El modelo tradicional de seguridad («castillo con foso»: red interna segura, internet inseguro) está obsoleto. El nuevo paradigma es Zero Trust:

• «Never trust, always verify»: No confíes en nada por defecto, ni siquiera si está dentro de la red corporativa
• Microsegmentación: Divide la red en zonas pequeñas, cada sistema con controles de acceso estrictos
• Autenticación continua: No solo al login, también durante la sesión (MFA, análisis de comportamiento)
• Privilegio mínimo: Cada usuario/sistema solo tiene acceso a lo estrictamente necesario

XDR (Extended Detection and Response):

Evolución del SOC tradicional. No solo detecta amenazas, las correlaciona en múltiples capas (endpoint, red, cloud, email…) y responde automáticamente:

• Detecta ransomware cifrando archivos en un PC → automáticamente aísla el PC de la red, bloquea el usuario, alerta al SOC
• Detecta conexión desde IP rusa a servidor Diraya a las 3AM → correlaciona con intento de login fallido previo → bloquea IP, alerta administrador

5.6. Retos de Usabilidad y Experiencia de Usuario

Una queja recurrente de profesionales sanitarios: «Diraya es lento, poco intuitivo, me hace perder tiempo que debería dedicar al paciente». Esto es un problema GRAVE:

• Burnout: Médicos quemados por carga administrativa digital
• Errores: Interfaces complejas → errores de registro → riesgo para pacientes
• Resistencia al cambio: Si el sistema es frustrante, los profesionales lo usan «por obligación», no aprovechan todo su potencial

Mejoras en marcha:

• Rediseño UX de Diraya con metodología Design Thinking (involucrar a usuarios finales desde el principio)
• Reconocimiento de voz: Dictar en lugar de escribir (IA transcribe + estructura)
• Autocompletado inteligente: Basado en IA, sugiere diagnósticos/tratamientos frecuentes
• Interfaces contextuales: Cada especialidad ve solo lo relevante (un traumatólogo no necesita ver módulo de obstetricia)

6. Conclusiones y Reflexión Final

Hemos recorrido un viaje exhaustivo por el universo de los Sistemas de Información del SAS. Si has llegado hasta aquí, enhorabuena, porque acabas de asimilar uno de los temas más densos y relevantes de la oposición.

Ideas Clave para Recordar

1. El Portfolio NO es una lista de proyectos: Es un sistema vivo de gobierno TIC que alinea inversiones con estrategia, gestiona riesgos e interdependencias, y maximiza el valor para la organización. COBIT 2019, ITIL 4 y PM² son tus marcos de referencia.
2. El Mapa de Soluciones es tu GPS: Sin entender cómo encajan las 50+ piezas del puzzle (Diraya, Receta XXI, BPS, Red Corporativa, ESB…), nunca podrás navegar el ecosistema TIC del SAS. La arquitectura de 5 capas te da esa visión holística.
3. Diraya es el Rey, pero no está solo: 8M de historias clínicas, 110K profesionales, 20 años de funcionamiento… Diraya es el sistema core. Pero sin BDU no habría identidad de pacientes, sin Receta XXI no habría prescripción electrónica, sin BPS no habría inteligencia sanitaria.
4. Interoperabilidad = HL7 FHIR: Memoriza esto para el examen. FHIR es el presente y futuro de la interoperabilidad sanitaria. DICOM para imágenes, SNOMED CT para terminología, IHE para perfiles de integración.
5. Seguridad ENS ALTA no es negociable: Diraya, Receta XXI, BDU, BPS, GERHONTE… todos categoría ALTA. Eso significa análisis de riesgos, auditorías bienales, SOC 24/7, cifrado obligatorio, notificación de incidentes. Si suspendes ENS en el examen, suspendes el tema.
6. RGPD + Salud = Complejidad extrema: Datos de salud son categoría especial. EIPD obligatoria en sistemas de alto riesgo. Pseudonimización en BPS. Trazabilidad de accesos. Derechos de pacientes (con límites: NO hay derecho al olvido en historia clínica).
7. El futuro ya está aquí: IA diagnosticando cáncer, wearables monitorizando crónicos, cloud híbrido, DevSecOps, Zero Trust… No estudias para una oposición de 2025, estudias para trabajar en el SAS de 2030.
8. La Estrategia de Salud Digital 2024-2030 es tu hoja de ruta: Empoderamiento ciudadano, profesionales apoyados por IA, telemedicina masiva, datos como activo estratégico, infraestructuras modernas. Este es el norte magnético de toda inversión TIC del SAS.

Aplicabilidad Práctica en tu Futuro Puesto

Como TFA-STI del SAS, este tema no es teoría abstracta. Es tu día a día:

• Te llamarán porque «Diraya va lento en el Hospital de Jaén» → Deberás diagnosticar si es problema de red (Red Corporativa), de infraestructura (CPD), de aplicación (Diraya), de carga (pico de uso)… Tu conocimiento de la arquitectura de 5 capas será crucial.
• Te encargarán analizar riesgos ENS de un nuevo sistema de telemonitorización de crónicos → Identificarás activos (datos de salud, dispositivos IoMT, APIs), amenazas (ciberataques, fallos de dispositivos, pérdida de datos), y propondrás salvaguardas (cifrado, autenticación, auditoría).
• Te pedirán priorizar 5 proyectos TIC con presupuesto limitado → Aplicarás el scoring ponderado que has estudiado: alineación estratégica, valor clínico, ROI, riesgo, cumplimiento, UX.
• Te consultarán sobre cómo integrar una nueva app de telemedicina con Diraya → Dirás: «Vía APIs HL7 FHIR, expuestas a través del API Gateway corporativo, con autenticación OAuth 2.0, y validando categorización ENS del nuevo sistema».
• Un investigador solicitará acceso a datos del BPS → Verificarás que tiene aprobación del Comité Ético, que los datos están pseudonimizados, que firma compromisos de confidencialidad, y que accede vía workspace seguro sin exportar datos.

En resumen: este tema es tu carta de navegación en el océano de los Sistemas de Información del SAS. Domínalo, y tendrás medio examen aprobado y medio trabajo futuro dominado.

Estrategia de Estudio para este Tema

1. Primera lectura completa (2-3 horas): Entiende el panorama general, no te obsesiones con detalles.
2. Segunda lectura con subrayado (3-4 horas): Marca conceptos clave, siglas, normativa, cifras importantes.
3. Crear tu propio resumen/esquema (2 horas): Escribe en papel (o digital) TU versión abreviada. El acto de escribir consolida memoria.
4. Mapas mentales (1 hora): Dibuja el mapa de soluciones del SAS, el ciclo de vida del portfolio, la arquitectura ENS…
5. Flashcards de conceptos clave (1 hora creación + repaso diario): Anki, Quizlet, o fichas físicas.
   • Anverso: «¿Qué es HL7 FHIR?» | Reverso: «Estándar de interoperabilidad sanitaria basado en APIs REST + JSON, permite intercambio de recursos clínicos (Patient, Observation, MedicationRequest…)»
   • Anverso: «Categoría ENS de Diraya» | Reverso: «ALTA (Confidencialidad ALTA, Integridad ALTA, Disponibilidad ALTA)»
6. Resolver cuestionario test (1 hora): Las 25 preguntas que siguen. Si fallas >5, repasa tema.
7. Explicar el tema en voz alta (1 hora): A un compañero, a tu pareja, a tu gato, o a ti mismo delante del espejo. Si puedes explicarlo con fluidez, lo dominas.
8. Repaso espaciado: Día 1 (hoy), Día 3, Día 7, Día 15, Día 30, Día 60. La curva del olvido es real, combátela con repasos periódicos.

7. Casos Prácticos

            TEMA 30: GESTIÓN DEL PORTFOLIO DE SISTEMAS DE INFORMACIÓN
                                    │
            ┌───────────────────────┼───────────────────────┐
            │                       │                       │
    ⚙️ FUNDAMENTOS          📊 MAPA SOLUCIONES      🏛️ SISTEMAS TRANSVERSALES
            │                       │                       │
┌───────────┼───────────┐  ┌───────┼───────┐      ┌───────┼────────┐
│           │           │  │       │       │      │       │        │
CONCEPTOS OBJETIVOS FRAMEWORKS │   DIMENSIONES │   DIRAYA INTERSAS BDU
│           │           │  │       │       │      │       │        │
Portfolio Alineación COBIT  │  Funcional    │   Historia ESB   MPI
Cartera   Optimiz.  ITIL   │  Ámbito       │   Clínica HL7   NUHSA
Activos   Riesgo    TOGAF  │  Tecnología   │   eReceta FHIR  TSI
Valor     Decisión  PM²    │  Criticidad   │   Crítico Integ. Demograf.
                            │               │
                CONSTRUCCIÓN         │          BPS - BIG DATA
                            │               │          SIGLO - LISTAS
                    Levantamiento    │          PACS - IMÁGENES
                    Categoriz.       │          ClicSalud+ - PACIENTE
                    Dependencias     │
                    Visualiz.        │
                                    │
            ┌───────────────────────┴──────────────────────┐
            │                                              │
    🔐 NORMATIVA & GOBIERNO                    🚀 EVOLUCIÓN FUTURA
            │                                              │
┌───────────┼────────────┐              ┌─────────────────┼─────────┐
│           │            │              │                 │         │
ENS 2022 ENI      Dto.534/21      Microservicios    IA/Analítica  Cloud
Seguridad Interop.  Gobierno         Contenedores      Decisión    Híbrido
ALTA      Estándar  Comités          DevSecOps         Predictiva  Escalab.
Auditoría FHIR      Demanda          Kubernetes        NLP/Imagen  SaaS
RGPD      DICOM     Priorización     Zero Trust        IoMT        Azure