Tema 11 – Gestión de Portfolio SI y Mapa Soluciones Digitales SAS

📊 TEMA 11: GESTIÓN DE PORTFOLIO DE SISTEMAS DE INFORMACIÓN. MAPA DE SOLUCIONES DIGITALES. SISTEMAS DE INFORMACIÓN TRANSVERSALES DEL SERVICIO ANDALUZ DE SALUD

👨‍🏫 Hola, soy Esteban Castro, tu preparador para esta oposición. Este Tema 11 es absolutamente estratégico porque te da la visión de conjunto de toda la infraestructura TIC del SAS. No se trata solo de memorizar nombres de sistemas, sino de entender cómo se gestiona el portfolio completo, cómo se priorizan inversiones, y cómo todos los sistemas se integran para dar servicio a 8 millones de andaluces. Es uno de los temas que más cae en examen porque conecta con tu día a día como técnico especialista. ¡Vamos a por él!

🎯 1. CONTEXTUALIZACIÓN Y RELEVANCIA DEL TEMA

La gestión del portfolio de sistemas de información representa uno de los pilares fundamentales en la gobernanza TIC de cualquier organización sanitaria moderna. En el contexto del Servicio Andaluz de Salud, estamos hablando de gestionar más de 150 aplicaciones corporativas, decenas de sistemas críticos que atienden diariamente a profesionales sanitarios en más de 1.500 centros, y una infraestructura que debe garantizar disponibilidad 24×7 para servicios esenciales como la Historia Clínica Digital (DIRAYA) o la receta electrónica.

Este tema no solo es crucial para aprobar la oposición, sino que define exactamente el trabajo que realizarás una vez consigas la plaza. La Dirección General de Sistemas de Información y Comunicaciones (DGSIC) del SAS necesita técnicos especialistas que comprendan no solo la tecnología, sino la estrategia, el gobierno y la gestión integral del ecosistema digital sanitario.

💡 Concepto Clave: ¿Qué es la Gestión de Portfolio de Sistemas de Información?

La gestión de portfolio de SI es el conjunto de procesos, métodos y tecnologías mediante los cuales una organización identifica, categoriza, evalúa, selecciona, prioriza, autoriza y controla sus programas y proyectos TIC, alineándolos con sus objetivos estratégicos y optimizando el uso de recursos limitados (presupuesto, personal, infraestructura).

A diferencia de la gestión de proyectos (que se centra en el «cómo hacer»), la gestión de portfolio responde al «qué hacer» y «qué NO hacer». En el SAS, con un presupuesto TIC limitado y múltiples necesidades asistenciales, esta disciplina es vital.

1.1. Relevancia para el Técnico Especialista en Informática del SAS

Como futuro técnico especialista, tu trabajo diario estará inmerso en este ecosistema de aplicaciones y sistemas. Necesitarás comprender:

La arquitectura corporativa: Cómo se relacionan DIRAYA, SIGLO, GERHONTE, InterSAS y el resto de sistemas.
Las dependencias tecnológicas: Qué pasa si cae el Directorio Activo (DMSAS), qué sistemas se ven afectados.
Los procesos de gestión del cambio: Cómo se despliega una actualización crítica de Receta XXI sin afectar la asistencia.
La priorización de incidencias: Por qué DIRAYA tiene prioridad máxima sobre otros sistemas.
La seguridad transversal: Cómo se aplica el ENS a todos los sistemas del portfolio.

1.2. Importancia en la Oposición

⚠️ Atención: Tema de Alta Frecuencia en Exámenes

Analizando las convocatorias de los últimos años (2019-2024), el Tema 11 aparece de forma recurrente en dos modalidades:

Preguntas directas: «¿Qué herramienta corporativa utiliza la DGSIC para gestión documental?» (Respuesta: Confluence)
Casos prácticos: Escenarios de integración entre sistemas, diseño de arquitecturas, análisis de impacto de caídas de servicio.

Además, este tema es transversal: conecta con Seguridad (Tema 35-37), ITIL (Tema 12), Arquitecturas (Tema 22), Desarrollo (Temas 14-16), y prácticamente con todo el bloque técnico. Dominarlo te da ventaja competitiva.

1.3. Conexión con la Práctica Diaria

📋 Caso Real: Jornada de un Técnico Especialista en el SAS

8:00 AM – Revisas el cuadro de mando de AyudaDigital: 23 incidencias abiertas, 3 críticas en DIRAYA.

9:00 AM – Reunión del Comité de Cambios: se aprueba el despliegue de un parche crítico de seguridad en los servidores de aplicaciones de SIGLO.

11:00 AM – Un médico no puede acceder a PDI (Pruebas Diagnósticas por Imagen). Verificas en IDENTIC que su usuario está activo, compruebas conectividad con el PACS, revisas logs en los servidores de integración InterSAS.

14:00 PM – Documentas en Confluence el procedimiento de resolución de la incidencia para que otros técnicos puedan consultarlo.

16:00 PM – Participas en la reunión de planificación del proyecto de migración de Receta XXI a la nueva plataforma cloud híbrida.

Todo esto es gestión de portfolio en acción: sistemas interrelacionados, priorización, gestión del conocimiento, arquitectura, servicios, proyectos…

1.4. Esquema General del Tema

Este tema lo estructuraremos en los siguientes grandes bloques:

Fundamentos de la Gestión de Portfolio de SI: Marco conceptual, diferencias con gestión de proyectos y programas, ciclo de vida del portfolio.
Marcos de Referencia y Mejores Prácticas: COBIT 2019, ITIL 4, ISO/IEC 20000, metodologías de priorización.
Gobierno TIC en el SAS: Estructura organizativa de la DGSIC, comités de decisión, políticas corporativas.
Mapa de Soluciones Digitales del SAS: Clasificación de sistemas (asistenciales, gestión, corporativos), arquitectura de integración.
Sistemas de Información Transversales: Análisis detallado de los sistemas core (DIRAYA, IDENTIC, InterSAS, AyudaDigital, etc.).
Arquitectura Corporativa y Tecnológica: CPDs, red corporativa, modelo cloud híbrido, alta disponibilidad.
Seguridad y Cumplimiento Normativo: ENS, RGPD, ISO 27001 en el portfolio del SAS.
Tendencias y Retos Futuros: IA en sanidad, blockchain, IoMT, ciberseguridad avanzada.

💪 Consejo de Esteban: Este tema puede parecer abrumador por la cantidad de sistemas y acrónimos. Mi recomendación: no intentes memorizarlo todo de golpe. Primero entiende la lógica, la arquitectura, cómo se relacionan los sistemas. Luego, con esa base sólida, los nombres y características específicas se quedan mucho mejor. Usa mapas mentales, esquemas, flashcards para los sistemas concretos. Y sobre todo, relaciona cada sistema con su función asistencial o de gestión real. Cuando entiendas el «para qué», el «qué» se memoriza solo.

🏛️ 2. FUNDAMENTOS DE LA GESTIÓN DE PORTFOLIO DE SISTEMAS DE INFORMACIÓN

2.1. Definición y Conceptos Básicos

El Portfolio de Sistemas de Información (también llamado Application Portfolio Management – APM) es el conjunto completo de aplicaciones, sistemas, servicios digitales y proyectos TIC que una organización posee, desarrolla, mantiene o planifica adquirir, junto con los procesos de gobierno necesarios para su gestión estratégica.

🎯 Diferenciación Fundamental: Portfolio vs Programa vs Proyecto

Nivel	Definición	Horizonte Temporal	Ejemplo en el SAS
Portfolio	Conjunto de programas, proyectos y sistemas alineados con la estrategia organizacional	Permanente (estratégico)	Todo el ecosistema TIC del SAS (~150 aplicaciones + infraestructura)
Programa	Conjunto de proyectos relacionados gestionados de forma coordinada	Medio-largo plazo (2-5 años)	Programa «Salud Digital Andalucía 2022-2027» (incluye múltiples proyectos: renovación DIRAYA, telemedicina, IA, etc.)
Proyecto	Esfuerzo temporal para crear un producto, servicio o resultado único	Corto-medio plazo (6-24 meses)	Proyecto «Migración de Receta XXI a Cloud Híbrido» (objetivo concreto, fecha inicio/fin, entregables definidos)

2.2. Objetivos de la Gestión de Portfolio en Organizaciones Sanitarias

En el contexto específico del SAS, la gestión de portfolio persigue los siguientes objetivos estratégicos:

Alineación Estratégica: Garantizar que las inversiones TIC soporten directamente los objetivos asistenciales del SAS (mejora de la calidad asistencial, reducción de listas de espera, medicina personalizada, etc.).
Optimización de Recursos: Con presupuestos limitados, decidir qué proyectos ejecutar, cuáles posponer y cuáles cancelar basándose en criterios objetivos de valor, riesgo y coste.
Gestión del Riesgo: Identificar sistemas obsoletos, dependencias tecnológicas críticas, vulnerabilidades de seguridad o cumplimiento normativo (ENS, RGPD) en el portfolio.
Maximización del Valor: Priorizar proyectos con mayor impacto en la asistencia sanitaria, satisfacción de profesionales y pacientes, eficiencia operativa.
Balance del Portfolio: Mantener un equilibrio entre proyectos de innovación (IA, telemedicina), mantenimiento evolutivo (DIRAYA, SIGLO) y soporte operativo (AyudaDigital).
Transparencia y Gobierno: Proporcionar visibilidad a la dirección del SAS sobre el estado del portfolio, costes totales de propiedad (TCO), retorno de inversión (ROI).

2.3. Ciclo de Vida de la Gestión de Portfolio

La gestión de portfolio no es un evento puntual, sino un proceso continuo que sigue un ciclo de vida bien definido:

♻️ Ciclo de Vida de Portfolio Management (Modelo COBIT)

1. IDENTIFICACIÓN → Inventariar todos los sistemas, aplicaciones, proyectos actuales y propuestos
↓
2. CATEGORIZACIÓN → Clasificar por tipo (asistencial/gestión/corporativo), criticidad, tecnología, estado del ciclo de vida
↓
3. EVALUACIÓN → Analizar valor de negocio, coste, riesgo, cumplimiento, estado técnico
↓
4. SELECCIÓN → Decidir qué iniciativas aprobar, posponer o rechazar
↓
5. PRIORIZACIÓN → Ordenar proyectos según criterios estratégicos, asignar recursos
↓
6. AUTORIZACIÓN → Formalizar la decisión, asignar presupuesto y equipos
↓
7. EJECUCIÓN Y MONITORIZACIÓN → Seguimiento de KPIs, gestión de cambios, reporting
↓
8. REVISIÓN Y OPTIMIZACIÓN → Análisis post-implementación, lecciones aprendidas, rebalanceo del portfolio
↓
[BUCLE: volver a IDENTIFICACIÓN para nuevas necesidades]

📋 Ejemplo Práctico: Evaluación de un Proyecto en el SAS

Proyecto propuesto: «Implementación de sistema de IA para priorización de TACs de tórax en sospecha de cáncer de pulmón»

Fase de Evaluación (multicriteria):

Valor asistencial: ALTO (mejora tiempo de diagnóstico, puede salvar vidas)
Coste estimado: 450.000€ (licencias IA, integración con PACS, formación)
Complejidad técnica: MEDIA-ALTA (integración DICOM, validación clínica, cumplimiento RGPD)
Riesgo: MEDIO (tecnología probada en otros SSAA, pero validación regulatoria compleja)
Alineación estratégica: MUY ALTA (encaja en línea prioritaria «Medicina de precisión» del Plan Digital SAS)
Plazo: 18 meses (piloto + extensión progresiva)

Decisión del Comité de Portfolio: APROBADO con prioridad ALTA, arranque Q1 2025, integración con módulo PDI de DIRAYA.

2.4. Dimensiones de Análisis del Portfolio

Para gestionar eficazmente un portfolio complejo como el del SAS, se analizan múltiples dimensiones:

2.4.1. Dimensión de Valor de Negocio

Impacto en objetivos asistenciales (reducción de tiempos de espera, mejora de diagnóstico)
Satisfacción de profesionales sanitarios (usabilidad, productividad)
Experiencia del paciente (acceso digital, telemedicina)
Eficiencia económica (reducción de costes operativos, aprovechamiento de recursos)

2.4.2. Dimensión Técnica

Estado del ciclo de vida tecnológico (emergente, estable, madura, obsoleta)
Deuda técnica acumulada (código legacy, dependencias obsoletas)
Calidad del software (bugs, vulnerabilidades, performance)
Arquitectura y patrones (monolito vs microservicios, on-premise vs cloud)

2.4.3. Dimensión de Riesgo

Riesgo de seguridad y cumplimiento (ENS, RGPD, LOPD-GDD)
Riesgo operativo (falta de documentación, personal clave único, SPoF – Single Point of Failure)
Riesgo de obsolescencia (fin de soporte del fabricante, tecnologías descontinuadas)
Riesgo de interoperabilidad (sistemas aislados, falta de estándares)

2.4.4. Dimensión Financiera

TCO – Total Cost of Ownership (coste total: licencias + hardware + mantenimiento + personal)
ROI – Return On Investment (retorno esperado de la inversión)
CapEx vs OpEx (inversión inicial vs coste operativo recurrente)
Presupuesto comprometido vs disponible

📚 3. MARCOS DE REFERENCIA Y MEJORES PRÁCTICAS

3.1. COBIT 2019 (Control Objectives for Information and Related Technologies)

COBIT es el marco de gobierno y gestión TI más reconocido internacionalmente, desarrollado por ISACA. Su versión más reciente (COBIT 2019) proporciona un modelo integral para alinear TI con los objetivos de negocio.

🎯 COBIT y la Gestión de Portfolio

COBIT 2019 incluye el dominio APO05 – Managed Portfolio (Gestión del Portfolio), que establece:

Objetivo: Mantener un portfolio de programas y servicios TI alineados con la estrategia empresarial.
Prácticas clave: Establecer un inventario de inversiones TI, definir criterios de valoración, priorizar iniciativas, optimizar el portfolio periódicamente.
Entradas: Estrategia empresarial, presupuesto disponible, necesidades de stakeholders.
Salidas: Portfolio priorizado, decisiones de inversión, roadmap de proyectos.

3.2. ITIL 4 – Portfolio Management

ITIL (Information Technology Infrastructure Library) es el estándar de facto para la gestión de servicios TI. ITIL 4 incorpora la práctica de Portfolio Management dentro del Service Value System (SVS).

3.2.1. Diferencias entre Portfolio de Proyectos y Portfolio de Servicios

Aspecto	Portfolio de Proyectos	Portfolio de Servicios (ITIL)
Enfoque	Iniciativas temporales de cambio	Servicios continuos en operación
Horizonte	Duración del proyecto (6-24 meses típicamente)	Ciclo de vida completo del servicio (años)
Componentes	Proyectos de desarrollo, migración, implantación	Catálogo de servicios, SLAs, componentes de configuración (CMDB)
Ejemplo SAS	Proyecto «Nueva versión DIRAYA 5.0»	Servicio «Historia Clínica Digital» (DIRAYA como servicio operativo 24×7)

En el SAS, ambas visiones coexisten y se complementan: proyectos introducen cambios que luego se estabilizan como servicios gestionados según ITIL.

3.3. ISO/IEC 20000 – Gestión de Servicios TI

La norma ISO/IEC 20000 es el estándar internacional certificable para la gestión de servicios TI, alineado con ITIL. Establece requisitos para un Sistema de Gestión de Servicios (SMS) efectivo.

📜 Relevancia para el SAS

El SAS, al ser una organización pública sanitaria con responsabilidades críticas, debe demostrar:

Madurez en gestión de servicios: Procesos documentados, medibles y mejorables.
Cumplimiento con estándares internacionales: ISO 20000 facilita auditorías, acreditaciones y comparativas (benchmarking) con otros servicios de salud.
Calidad del servicio: Catálogo de servicios, SLAs, gestión de incidencias y problemas con métricas claras.

3.4. Metodologías de Priorización de Proyectos

Ante recursos limitados, es fundamental priorizar. Algunas metodologías utilizadas en la gestión de portfolio del SAS:

3.4.1. Análisis Multicriterio (MCA – Multi-Criteria Analysis)

Se definen criterios ponderados (ej: valor asistencial 40%, viabilidad técnica 30%, coste 20%, riesgo 10%) y se puntúa cada proyecto. Los proyectos con mayor puntuación total se priorizan.

3.4.2. Matriz de Priorización Valor-Esfuerzo

         ↑ VALOR
         |
    ALTO |  [Quick Wins]     |  [Proyectos Estratégicos]
         |  (hacer YA)       |  (planificar bien, ejecutar)
         |------------------ |---------------------------
         |                   |
    BAJO |  [Quizás más      |  [Money Pits]
         |   adelante]       |  (evitar o replantear)
         |___________________|___________________________
             BAJO              ALTO  → ESFUERZO

Ejemplo SAS:

Quick Win: Implementar notificaciones push en ClicSalud+ para recordatorios de citas (alto valor, bajo esfuerzo)
Estratégico: Migrar DIRAYA a arquitectura cloud híbrida (alto valor, alto esfuerzo)
Money Pit: Desarrollar un sistema custom de gestión de parking cuando existen soluciones empaquetadas (bajo valor, alto esfuerzo)

3.4.3. Método MoSCoW (aplicado a Portfolio)

Must Have: Proyectos críticos, regulatorios o de alta prioridad asistencial (ej: parche de seguridad crítico ENS).
Should Have: Proyectos importantes pero no bloqueantes (ej: mejora de usabilidad en módulo de enfermería DIRAYA).
Could Have: Proyectos deseables si hay recursos (ej: integración con dispositivos wearables).
Won’t Have (this time): Proyectos descartados en esta iteración del portfolio (ej: blockchain para trazabilidad de medicamentos – interesante pero aún inmaduro).

🏥 4. GOBIERNO TIC EN EL SERVICIO ANDALUZ DE SALUD

4.1. Estructura Organizativa: La Dirección General de Sistemas de Información y Comunicaciones (DGSIC)

La DGSIC es el órgano responsable de la planificación, desarrollo, implantación y mantenimiento de los sistemas de información y comunicaciones del SAS. Su estructura organizativa (simplificada) incluye:

🏛️ Estructura DGSIC (Esquema Funcional)

Dirección General de SI y Comunicaciones (DGSIC)
│
├── Subdirección de Planificación y Gobierno TIC
│   ├── Oficina de Portfolio y Estrategia Digital
│   ├── Arquitectura Empresarial
│   └── Gestión de Demanda y Relación con Cliente
│
├── Subdirección de Desarrollo y Mantenimiento de Aplicaciones
│   ├── Área de Sistemas Asistenciales (DIRAYA, Receta XXI, PDI)
│   ├── Área de Sistemas de Gestión (GERHONTE, SIGLO, SUR)
│   └── Área de Desarrollo Web y Portales
│
├── Subdirección de Infraestructuras y Operaciones
│   ├── CPDs y Cloud (Centro de Proceso de Datos)
│   ├── Redes y Comunicaciones
│   ├── Servicios Corporativos (Correo, Directorio Activo, etc.)
│   └── AyudaDigital (Service Desk)
│
└── Subdirección de Seguridad de la Información
    ├── Ciberseguridad y SOC
    ├── Gestión de Identidades (IDENTIC)
    └── Cumplimiento ENS/RGPD

⚠️ Para el Examen: Conoce la Estructura

Es frecuente que en el examen pregunten sobre competencias de cada área. Por ejemplo: «¿Qué área de la DGSIC se encarga de la gestión del portfolio de aplicaciones?» Respuesta: Subdirección de Planificación y Gobierno TIC, concretamente la Oficina de Portfolio.

4.2. Comités de Gobierno y Decisión

El gobierno TIC del SAS se articula a través de varios comités especializados:

4.2.1. Comité Estratégico de TIC

Composición: Director General DGSIC, Subdirectores, representantes de Direcciones Generales del SAS (Asistencia Sanitaria, Gestión Económica, etc.).
Frecuencia: Trimestral.
Función: Aprobar el portfolio de proyectos estratégicos, revisar el avance del Plan Digital, asignar presupuestos.

4.2.2. Comité de Portfolio (Application Portfolio Review Board)

Composición: Jefes de Servicio de la DGSIC, arquitectos empresariales, responsables de presupuesto.
Frecuencia: Mensual.
Función: Evaluar nuevas solicitudes de proyectos, priorizar backlog, decidir cancelaciones o reasignaciones de recursos.

4.2.3. Comité de Gestión del Cambio (CAB – Change Advisory Board)

Composición: Change Manager, representantes de operaciones, seguridad, aplicaciones.
Frecuencia: Semanal.
Función: Aprobar cambios en sistemas productivos (despliegues, parches, configuraciones). Aplicación de ITIL Change Management.

4.2.4. Comité de Seguridad de la Información

Composición: Responsable de Seguridad de la Información (RSI), subdirectores, DPO (Data Protection Officer).
Frecuencia: Mensual.
Función: Supervisar el cumplimiento del ENS y RGPD, revisar incidentes de seguridad, aprobar políticas de seguridad.

4.3. Políticas y Procedimientos Corporativos

📜 Normativa Interna Clave del SAS

Política de Seguridad de la Información del SAS (actualización conforme a ENS 2022).
Normativa de uso de sistemas de información (código de conducta para profesionales).
Procedimiento de Gestión de Cambios (basado en ITIL Change Management).
Procedimiento de Alta/Baja de Usuarios (integrado con IDENTIC y GERHONTE-RR.HH.).
Política de Gestión de Activos TIC (inventariado en CMDB corporativa).
Normativa de Desarrollo Seguro (DevSecOps, revisiones de código, pruebas de penetración).

🗺️ 5. MAPA DE SOLUCIONES DIGITALES DEL SERVICIO ANDALUZ DE SALUD

5.1. Clasificación de Sistemas del SAS

El portfolio de aplicaciones del SAS se puede clasificar en cuatro grandes categorías funcionales:

5.1.1. Sistemas de Información Asistenciales

Son los sistemas directamente utilizados por profesionales sanitarios para la atención al paciente. Criticidad: MÁXIMA.

Sistema	Descripción	Usuarios	Tecnología Base
DIRAYA	Historia Clínica Digital unificada del SAS. Módulos: Atención Primaria, Hospitalaria, Urgencias, Enfermería, Teleconsulta, etc.	~40.000 profesionales sanitarios	Java EE, Oracle DB, arquitectura SOA
BDU (Base de Datos de Usuarios)	Registro único de pacientes del SSPA. Tarjeta Sanitaria Individual (TSI).	Sistema interno de identificación	Oracle DB, servicios web
BPS (Base de Prestaciones del SAS)	Gestión de prestaciones sanitarias: prótesis, ortoprótesis, oxigenoterapia, etc.	Profesionales y gestores	Oracle, aplicación web
Receta XXI / Receta Electrónica	Prescripción y dispensación electrónica de medicamentos. Integrado con farmacias.	Médicos, farmacéuticos	Java, interoperabilidad FHIR
PDI (Pruebas Diagnósticas por Imagen)	Integración con PACS (Picture Archiving and Communication System). Gestión de estudios radiológicos.	Radiólogos, médicos solicitantes	DICOM, HL7, integración PACS
LIS (Laboratory Information System)	Gestión de analíticas clínicas. Integración con autoanalizadores de laboratorio.	Personal de laboratorio, médicos	HL7 v2, sistemas específicos por hospital

5.1.2. Sistemas de Información de Gestión

Aplicaciones para la gestión administrativa, económica y de recursos humanos. Criticidad: ALTA.

Sistema	Descripción	Ámbito
GERHONTE	Gestión integral de Recursos Humanos: nóminas, selección, formación, control horario	RR.HH. del SAS (~100.000 profesionales)
SUR (Sistema Unificado de Recursos)	Gestión económica y financiera: presupuestos, contabilidad, facturación	Gestión económica de centros SAS
SIGLO (Sistema Integral de Gestión Logística)	Gestión de almacenes, compras, inventario de material sanitario y no sanitario	Logística hospitalaria y AP
AGESCON (Agenda Confección)	Gestión de agenda de profesionales sanitarios, configuración de consultas	Gestión de centros de salud y hospitales
COAN (Contabilidad Analítica)	Costes por proceso, centro de coste, actividad asistencial	Controlling y gestión económica

5.1.3. Sistemas Corporativos Transversales

Infraestructura y servicios que soportan todas las aplicaciones del SAS. Criticidad: CRÍTICA.

Sistema	Descripción	Función Clave
IDENTIC	Plataforma de Gestión de Identidades y Accesos (IAM – Identity and Access Management)	Provisión automatizada de cuentas, SSO (Single Sign-On), autorización basada en roles (RBAC)
DMSAS (Directorio Maestro SAS)	Directorio Activo corporativo (Active Directory) basado en Microsoft	Autenticación centralizada, gestión de políticas de grupo (GPO), estructura organizativa
InterSAS / ESB Corporativo	Bus de Servicios Empresariales (Enterprise Service Bus) para integración de sistemas	Interoperabilidad, orquestación de servicios, transformación de mensajes HL7/FHIR/SOAP/REST
AyudaDigital	Service Desk corporativo del SAS (basado en BMC Remedy / ServiceNow)	Gestión de incidencias, peticiones, problemas, cambios (ITIL). Portal de autoservicio.
Confluence	Repositorio corporativo de gestión del conocimiento (wiki colaborativa de Atlassian)	Documentación técnica, procedimientos, manuales, base de conocimiento para soporte
JIRA	Gestión de proyectos ágiles, seguimiento de tareas y desarrollo de software	Backlog de proyectos, Scrum/Kanban boards, tracking de bugs y evolutivos
Altiris (Symantec Endpoint Management)	Gestión centralizada de puestos de trabajo (despliegue de software, parches, inventario)	Distribución masiva de actualizaciones, control de configuración de PCs
Correo Corporativo (Exchange/Office 365)	Sistema de correo electrónico y colaboración corporativa	Comunicación interna, calendarios, contactos

5.1.4. Portales y Sistemas Orientados al Ciudadano

Canales digitales para que pacientes y ciudadanos accedan a servicios sanitarios online.

Sistema	Descripción	Servicios Principales
ClicSalud+	Portal del paciente y app móvil del SAS	Cita online, consulta de analíticas, receta electrónica, historia clínica resumida, vacunación
Portal Profesional SAS	Intranet corporativa para profesionales sanitarios	Acceso a aplicaciones, noticias, normativa interna, formación online
AVISA (Atención Virtual de Salud Andalucía)	Plataforma de consulta no presencial y telemedicina	Videoconsulta, chat médico, teledermatología, telemonitorización
Salud Responde (955 545 060)	Centro de contacto telefónico sanitario integrado con sistemas de información	Asesoramiento sanitario 24h, cita telefónica, integración con DIRAYA

📋 Caso Práctico de Examen: Integración de Sistemas

Enunciado: Un médico de familia intenta prescribir un medicamento a un paciente en DIRAYA, pero el sistema le indica «Error al verificar cobertura de prestación farmacéutica». Identifique los sistemas implicados en este proceso y el posible punto de fallo.

Análisis:

DIRAYA (módulo de prescripción): Sistema origen de la petición.
BDU: Verifica la identidad del paciente y su Tarjeta Sanitaria Individual (TSI).
InterSAS/ESB: Bus de integración que enruta la petición.
BPS (Base de Prestaciones): Valida si el paciente tiene cobertura para ese medicamento (posible punto de fallo).
Receta XXI: Sistema destino donde se registra finalmente la prescripción.

Diagnóstico probable: Fallo de comunicación entre DIRAYA e InterSAS, o caída temporal del servicio BPS. Verificar logs en InterSAS, estado del servicio BPS en el cuadro de mando de operaciones.

Acción inmediata: Escalar incidencia crítica en AyudaDigital, prioridad P1 (afecta a prescripción de medicamentos). Equipo de guardia verifica conectividad y estado de servicios.

5.2. Arquitectura de Integración: El Papel de InterSAS

La interoperabilidad entre los múltiples sistemas del SAS es un reto arquitectónico de primer orden. Históricamente, muchas organizaciones sanitarias cayeron en el «infierno de integraciones punto a punto»:

❌ Problema: Integraciones Punto a Punto (Arquitectura Legacy)

    DIRAYA ←→ Receta XXI
      ↕           ↕
     BDU  ←→    BPS
      ↕           ↕
     PDI  ←→   SIGLO
      ↕           ↕
     LIS  ←→  GERHONTE

Resultado: N*(N-1)/2 integraciones = INSOSTENIBLE
Con 10 sistemas: 45 integraciones a mantener

La solución moderna: ESB (Enterprise Service Bus) centralizado.

✅ Solución: Arquitectura ESB con InterSAS

    DIRAYA ────┐
    Receta XXI─┤
    BDU ───────┤
    BPS ───────┼──→ [InterSAS / ESB] ←─→ [Servicios Externos]
    PDI ───────┤      (Oracle SOA)          │
    LIS ───────┤                            ├─→ Receta electrónica SNS
    SIGLO ─────┤                            ├─→ Historia Clínica SNS
    GERHONTE ──┘                            └─→ Servicios Junta de Andalucía

Ventajas:
• Desacoplamiento: los sistemas no se conocen entre sí
• Transformación: InterSAS convierte HL7 ↔ FHIR ↔ SOAP ↔ REST
• Orquestación: flujos complejos (ej: admisión hospitalaria)
• Trazabilidad: todos los mensajes logados
• Escalabilidad: añadir un sistema nuevo = 1 sola integración

5.2.1. Estándares de Interoperabilidad Sanitaria en el SAS

HL7 v2.x: Estándar de mensajería clásico (ADT – admisiones, ORM – órdenes, ORU – resultados). Muy utilizado en integración con PACS y LIS.
HL7 v3 / CDA (Clinical Document Architecture): Documentos clínicos estructurados (informes de alta, vacunación). Base del informe de continuidad asistencial.
HL7 FHIR (Fast Healthcare Interoperability Resources): Estándar moderno basado en REST API y JSON. Utilizado en nuevas integraciones (app ClicSalud+, APIs para terceros).
DICOM (Digital Imaging and Communications in Medicine): Estándar para imágenes médicas. Integración PDI-PACS.
SNOMED CT: Terminología clínica estandarizada. Codificación de diagnósticos, procedimientos.
CIE-10-MC / CIE-10-ES: Clasificación Internacional de Enfermedades, versión española. Codificación de CMBD (Conjunto Mínimo Básico de Datos).

💡 Consejo para el Examen: Interoperabilidad

Las preguntas sobre estándares de interoperabilidad son MUY frecuentes. Memoriza:

HL7 v2: Mensajería legacy, aún muy usado en hospitales (laboratorios, PACS).
HL7 FHIR: Futuro, API REST, JSON, móvil, cloud. El SAS lo está adoptando progresivamente.
CDA: Documentos clínicos XML. Informe de alta, vacunación.
DICOM: Solo imágenes médicas (radiología).

🔒 6. SEGURIDAD Y CUMPLIMIENTO NORMATIVO EN EL PORTFOLIO DEL SAS

6.1. Esquema Nacional de Seguridad (ENS) – Real Decreto 311/2022

El ENS es de obligado cumplimiento para todos los sistemas de información de las Administraciones Públicas españolas, incluido el SAS. Establece principios, requisitos mínimos y medidas de seguridad para proteger la información tratada.

📜 Categorización de Sistemas según ENS

Cada sistema del portfolio SAS debe ser categorizado según el impacto potencial de un incidente de seguridad en las dimensiones de:

Disponibilidad (D): Impacto si el sistema no está accesible.
Integridad (I): Impacto si los datos se alteran indebidamente.
Confidencialidad (C): Impacto si se accede sin autorización a la información.
Autenticidad (A): Impacto si no se puede verificar la identidad de usuarios/sistemas.
Trazabilidad (T): Impacto si no se puede auditar las operaciones.

Niveles de impacto: BAJO, MEDIO, ALTO. El nivel global del sistema es el nivel más alto de cualquiera de sus dimensiones.

Ejemplo de Categorización ENS en Sistemas del SAS:

Sistema	D	I	C	A	T	Categoría ENS
DIRAYA (Historia Clínica)	ALTA	ALTA	ALTA	ALTA	ALTA	ALTA
Receta XXI	ALTA	ALTA	ALTA	ALTA	ALTA	ALTA
ClicSalud+ (Portal Paciente)	MEDIA	ALTA	ALTA	MEDIA	MEDIA	ALTA
SIGLO (Logística)	MEDIA	MEDIA	BAJA	MEDIA	MEDIA	MEDIA
Web Informativa SAS (pública)	BAJA	BAJA	BAJA	BAJA	BAJA	BAJA

⚠️ Consecuencias de la Categorización ENS

La categoría ENS determina las medidas de seguridad obligatorias:

Categoría BAJA: Medidas básicas (ej: antivirus, copias de seguridad).
Categoría MEDIA: Medidas reforzadas (ej: segregación de redes, SIEM básico, auditorías periódicas).
Categoría ALTA: Medidas máximas (ej: cifrado datos en reposo, autenticación multifactor, SOC 24×7, auditorías anuales certificadas, RGPD – EIPD obligatoria, redundancia geográfica).

DIRAYA y Receta XXI, al ser categoría ALTA, requieren el máximo nivel de protección. Esto impacta costes, arquitectura, procedimientos operativos.

6.2. RGPD y LOPDGDD: Protección de Datos en Sistemas Sanitarios

Los datos de salud son «categoría especial de datos» según el artículo 9 del RGPD. Su tratamiento tiene requisitos adicionales y sanciones más severas en caso de incumplimiento.

6.2.1. Principios RGPD aplicados al Portfolio del SAS

Licitud, lealtad y transparencia: Base legal del tratamiento (consentimiento del paciente, interés público sanitario art. 9.2.h RGPD).
Limitación de la finalidad: Los datos se recogen para asistencia sanitaria, no pueden usarse para otros fines sin nueva legitimación.
Minimización de datos: Solo recoger y almacenar los datos estrictamente necesarios.
Exactitud: Garantizar que los datos clínicos son correctos y están actualizados.
Limitación del plazo de conservación: Historia clínica se conserva mínimo 15 años tras el último acceso (normativa sanitaria). Pero datos no necesarios deben eliminarse.
Integridad y confidencialidad: Medidas técnicas y organizativas (ENS + medidas adicionales RGPD).
Responsabilidad proactiva (accountability): Demostrar cumplimiento (registros de actividades de tratamiento, auditorías, EIPD).

6.2.2. Evaluación de Impacto en Protección de Datos (EIPD / DPIA)

Obligatoria para sistemas que impliquen «alto riesgo» para los derechos y libertades de las personas. En el SAS, prácticamente todos los sistemas asistenciales requieren EIPD:

📋 Ejemplo EIPD: Nuevo Módulo de IA para Priorización de Radiología en DIRAYA

Descripción del tratamiento: Sistema de inteligencia artificial que analiza informes de TACs de tórax para priorizar estudios con sospecha de cáncer de pulmón.

Riesgos identificados:

Tratamiento automatizado con impacto en salud (decisión sobre prioridad de diagnóstico).
Categoría especial de datos (datos de salud).
Posibles sesgos del algoritmo (falsos negativos = no priorizar un caso grave).
Acceso a datos históricos de muchos pacientes para entrenamiento del modelo.

Medidas de mitigación:

Supervisión médica: la IA sugiere, pero siempre hay validación humana.
Auditoría del algoritmo: pruebas de sesgo, explicabilidad (XAI).
Anonimización/pseudonimización de datos de entrenamiento.
Consentimiento informado y derecho de oposición del paciente.
Auditoría continua de resultados (falsos positivos/negativos).

Aprobación: EIPD revisada por DPO del SAS y aprobada por Comité de Seguridad antes de puesta en producción.

6.3. Otras Normativas Aplicables al Portfolio TIC del SAS

ISO/IEC 27001:2022: Estándar internacional de gestión de seguridad de la información. Muchas organizaciones sanitarias buscan certificación ISO 27001.
ISO 27799:2016: Aplicación específica de ISO 27001 a la gestión de seguridad en información sanitaria.
Ley 41/2002, de Autonomía del Paciente: Regula el acceso, confidencialidad y conservación de la Historia Clínica.
Decreto 534/2021 de la Junta de Andalucía: Administración electrónica en el ámbito del SAS.
Guías CCN-STIC: Centro Criptológico Nacional, guías específicas para cumplimiento ENS (ej: CCN-STIC 825 para virtualización, CCN-STIC 807 para criptografía).

🚀 7. TENDENCIAS Y RETOS FUTUROS EN LA GESTIÓN DE PORTFOLIO DEL SAS

7.1. Transformación Digital y Cloud Híbrido

El SAS está en plena transformación hacia un modelo de cloud híbrido: combinación de infraestructura on-premise (CPDs propios) con servicios cloud públicos (AWS, Azure, Google Cloud) y cloud comunitario (Red SARA, nube de la Junta de Andalucía).

Ventajas del Cloud Híbrido:

Escalabilidad elástica: Ante picos de demanda (ej: campaña vacunación COVID), escalar en cloud público temporalmente.
Continuidad de negocio mejorada: DR (Disaster Recovery) replicando datos críticos en cloud geográficamente distribuido.
Innovación acelerada: Servicios PaaS (Platform as a Service) para desarrollo ágil, IA, Big Data sin gestionar infraestructura.
Optimización de costes: Modelo OpEx vs CapEx, pagar por uso real.

Retos del Cloud Híbrido en Sanidad:

Cumplimiento RGPD: Transferencias internacionales de datos, cláusulas contractuales tipo, Privacy Shield.
Soberanía del dato sanitario: Debate sobre si datos de salud deben residir en cloud extranjero. Preferencia por cloud europeo o nacional.
Latencia y conectividad: Aplicaciones críticas (DIRAYA en quirófano) requieren latencias milisegundos, difícil garantizar desde cloud público.
Vendor lock-in: Dependencia de proveedores cloud, costes de migración entre clouds.

7.2. Inteligencia Artificial y Machine Learning en Sanidad

La IA está llegando al portfolio del SAS en múltiples casos de uso:

Diagnóstico asistido por IA: Detección de patologías en imagen médica (cáncer piel, retinopatía diabética, nódulos pulmonares).
Predicción de riesgo: Modelos que predicen reingresos hospitalarios, sepsis, deterioro clínico en UCI.
Procesamiento de Lenguaje Natural (NLP): Extracción de información de informes clínicos no estructurados, asistente virtual para ciudadanos (chatbot en ClicSalud+).
Optimización operativa: IA para gestión de camas hospitalarias, optimización de quirófanos, predicción de demanda en urgencias.

⚠️ Consideraciones Éticas y Regulatorias de la IA Sanitaria

Reglamento de IA de la UE (AI Act): Sistemas de IA en salud clasificados como «alto riesgo», requisitos estrictos de validación, supervisión humana, transparencia.
Explicabilidad (XAI – Explainable AI): Los modelos de IA médica deben poder justificar sus decisiones («por qué el algoritmo priorizó este caso»).
Sesgo algorítmico: Riesgo de que modelos entrenados con datos no representativos discriminen a ciertos grupos (género, edad, etnia).
Validación clínica: Estudios prospectivos antes de despliegue masivo, aprobación por comités de ética e investigación.

7.3. Ciberseguridad Avanzada y Gestión de Ciberamenazas

El sector sanitario es uno de los más atacados por cibercriminales (ransomware, robo de datos, ataques DDoS). El SAS debe evolucionar su ciberseguridad:

SOC (Security Operations Center) 24×7: Monitorización continua de eventos de seguridad (SIEM), correlación de alertas, respuesta a incidentes.
Threat Intelligence: Inteligencia sobre amenazas específicas al sector sanitario (IoCs – Indicators of Compromise, TTPs – Tactics, Techniques, Procedures).
Zero Trust Architecture: Modelo de seguridad «nunca confiar, siempre verificar» (microsegmentación, autenticación continua, mínimo privilegio).
Red Team / Blue Team / Purple Team: Ejercicios de simulación de ataques para probar defensas, mejorar detección y respuesta.
Gestión de vulnerabilidades y parcheo: Criticidad en dispositivos médicos IoMT (Internet of Medical Things) que a menudo no se pueden parchear fácilmente.

7.4. Interoperabilidad Semántica y Datos Masivos (Big Data)

El SAS gestiona un volumen ingente de datos clínicos (millones de historias, billones de registros de analíticas, petabytes de imágenes DICOM). El reto: convertir estos datos en conocimiento útil.

Iniciativas de Big Data en Salud:

Data Lake Corporativo: Repositorio centralizado de datos del SSPA para análisis avanzado (investigación, epidemiología, Business Intelligence).
Interoperabilidad semántica: Más allá de intercambiar mensajes HL7, que los sistemas «entiendan» el significado clínico (SNOMED CT, ontologías médicas, FHIR con terminologías vinculadas).
Analítica predictiva poblacional: Identificar pacientes de alto riesgo (crónicos complejos), estratificar población, medicina preventiva.
Real World Evidence (RWE): Usar datos clínicos reales (no ensayos clínicos controlados) para investigación y mejora de guías clínicas.

💡 Reto Técnico: Calidad del Dato

El mayor obstáculo del Big Data sanitario no es tecnológico, sino la calidad del dato: datos incompletos, inconsistentes, no estructurados, duplicados. Iniciativas de gobierno del dato, estandarización de la captura, formación de profesionales en codificación correcta (CIE-10, SNOMED) son clave para el éxito del portfolio analítico del SAS.

7.5. Medicina Personalizada y Genómica

La medicina de precisión requiere integrar datos genómicos con la historia clínica electrónica. Esto plantea retos de portfolio:

Almacenamiento: Un genoma humano completo secuenciado ocupa ~200GB. Multiplicado por miles de pacientes, requiere infraestructura masiva.
Privacidad extrema: Los datos genómicos son identificadores únicos, no anonimizables (siempre se puede reidentificar). Máximas medidas de seguridad.
Interoperabilidad genómica: Estándares emergentes (HL7 FHIR Genomics, GA4GH – Global Alliance for Genomics and Health).
Interpretación clínica: Integrar sistemas de apoyo a la decisión que traduzcan variantes genéticas en recomendaciones terapéuticas (farmacogenética).

📝 8. CONCLUSIONES Y RECOMENDACIONES DE ESTUDIO

🎯 Ideas Clave para el Examen

Visión de conjunto: El Tema 11 no es solo listar sistemas, es entender la ARQUITECTURA, el GOBIERNO y la GESTIÓN ESTRATÉGICA del portfolio completo.
Sistemas transversales son críticos: IDENTIC, DMSAS, InterSAS, AyudaDigital aparecen constantemente en preguntas. Domínalos.
Interoperabilidad: Diferencia HL7 v2 vs FHIR, entiende el papel del ESB (InterSAS), conoce los estándares (DICOM, CDA, SNOMED).
Seguridad omnipresente: Cualquier pregunta de portfolio puede llevar «¿y cómo se garantiza la seguridad?» → ENS categoría ALTA, RGPD datos salud, EIPD, cifrado, auditoría.
Casos prácticos: Practica escenarios de fallos de integración, decisiones de priorización de proyectos, análisis de arquitecturas. El tribunal valora la capacidad de aplicar conocimientos a casos reales.

8.1. Estrategia de Memorización

🧠 Técnicas que Funcionan

Mapa mental del portfolio: Dibuja un árbol con los 4 grandes bloques (asistenciales, gestión, corporativos, portales) y cuelga cada sistema. Visualiza las dependencias (ej: todo depende de DMSAS e IDENTIC).
Flashcards para sistemas: Anverso: «SIGLO», Reverso: «Sistema Integral de Gestión Logística – almacenes, compras, inventario material sanitario». Herramienta: Anki (con repetición espaciada).
Acrónimos personalizados: Para recordar sistemas de gestión: «GESAC» (GERHONTE, SUR, SIGLO, AGESCON, COAN). Inventa los tuyos.
Casos narrativos: Imagina un día completo de un paciente: se da de alta en BDU → pide cita en AGESCON → es atendido y se registra en DIRAYA → le prescriben en Receta XXI → se le hace un TAC en PDI → se le da de alta y el informe va por CDA → revisa sus datos en ClicSalud+. Esto te fija el flujo.
Conexión con otros temas: Tema 11 (portfolio) + Tema 12 (ITIL) + Tema 35 (seguridad) + Tema 38 (RGPD) = combo mortal en examen. Estudia las intersecciones.

8.2. Aplicabilidad Práctica en el Puesto

Una vez apruebes (que lo harás 💪), este tema será tu día a día:

Soporte de aplicaciones: Resolver incidencias de DIRAYA, SIGLO, AyudaDigital. Necesitas conocer su arquitectura, integraciones, puntos débiles.
Proyectos de implantación: Participarás en despliegues de nuevos módulos, migraciones, actualizaciones. El conocimiento del portfolio te permite anticipar impactos.
Gestión de cambios: Evaluar si un cambio en InterSAS afecta a 5 sistemas o a 50. Entender dependencias es vital.
Seguridad: Aplicar controles ENS, responder a auditorías, gestionar incidentes de seguridad. Sin visión de portfolio, trabajas a ciegas.
Mejora continua: Proponer optimizaciones, detectar sistemas obsoletos, identificar oportunidades de consolidación.

8.3. Conexiones con Otros Temas del Temario

Tema Relacionado	Conexión con el Tema 11
Tema 12: ITIL	Portfolio de servicios ITIL se aplica a los sistemas del SAS. Catálogo de servicios, SLAs, gestión de cambios.
Tema 13: Herramientas de gestión TIC	JIRA, Confluence, AyudaDigital son herramientas para gestionar proyectos y operaciones del portfolio.
Tema 22: Arquitecturas de sistemas	Arquitectura tecnológica del SAS (CPDs, virtualización, HA) soporta el portfolio de aplicaciones.
Tema 35-37: Seguridad (ENS, análisis de riesgos, MAGERIT)	Categorización ENS de cada sistema, análisis de riesgos del portfolio completo.
Tema 38: RGPD	Protección de datos en sistemas sanitarios. EIPD para sistemas de portfolio.
Tema 42: Sistemas de información del SAS (detalle asistenciales, económicos, RR.HH.)	Profundiza en cada sistema que aquí hemos visto en el mapa general.
Tema 43: AyudaDigital (Service Desk)	Centro neurálgico de soporte a todos los sistemas del portfolio.

❓ 9. CUESTIONARIO DE PREGUNTAS TIPO TEST

A continuación, 30 preguntas de nivel oposición para practicar el Tema 11. Respuestas correctas y explicaciones al final.

PREGUNTA 1

¿Cuál de los siguientes NO es un objetivo principal de la gestión de portfolio de sistemas de información en una organización sanitaria como el SAS?

A) Alinear las inversiones TIC con la estrategia asistencial del SAS

B) Garantizar que todos los proyectos TIC se ejecuten simultáneamente sin priorización

C) Optimizar el uso de recursos limitados (presupuesto, personal, infraestructura)

D) Gestionar el riesgo tecnológico y de cumplimiento normativo del portfolio

PREGUNTA 2

Según el marco COBIT 2019, ¿qué dominio de gestión se ocupa específicamente de la gestión del portfolio de programas y servicios TI?

A) EDM01 – Ensured Governance Framework Setting and Maintenance

B) APO05 – Managed Portfolio

C) BAI01 – Managed Programmes

D) DSS05 – Managed Security Services

PREGUNTA 3

En ITIL 4, ¿cuál es la diferencia fundamental entre el «Portfolio de Proyectos» y el «Portfolio de Servicios»?

A) El portfolio de proyectos solo incluye iniciativas de desarrollo de software

B) El portfolio de servicios se centra en servicios continuos en operación, mientras que el de proyectos gestiona iniciativas temporales de cambio

C) Ambos son sinónimos y se pueden usar indistintamente

D) El portfolio de servicios es solo para servicios externos subcontratados

PREGUNTA 4

¿Qué herramienta corporativa utiliza la Dirección General de Sistemas de Información y Comunicaciones (DGSIC) del SAS para la gestión del conocimiento, funcionando como repositorio y gestor documental orientado a los usuarios TIC?

A) AyudaDigital

B) JIRA

C) Confluence

D) SharePoint

PREGUNTA 5

DIRAYA es el sistema de Historia Clínica Digital unificada del SAS. ¿Cuál de las siguientes afirmaciones sobre DIRAYA es CORRECTA?

A) DIRAYA solo se utiliza en hospitales, no en Atención Primaria

B) DIRAYA incluye módulos para Atención Primaria, Hospitalaria, Urgencias, Enfermería y Teleconsulta

C) DIRAYA es un sistema descentralizado, cada centro tiene su propia instancia independiente

D) DIRAYA no está integrado con otros sistemas del SAS como Receta XXI o BDU

PREGUNTA 6

¿Qué sistema del SAS gestiona la identidad y los accesos de los usuarios, proporcionando provisión automatizada de cuentas y Single Sign-On (SSO)?

A) DMSAS (Directorio Maestro SAS)

B) IDENTIC

C) GERHONTE

D) InterSAS

PREGUNTA 7

InterSAS es el bus de servicios empresariales (ESB) del SAS. ¿Cuál de las siguientes NO es una función de InterSAS?

A) Orquestación de servicios y transformación de mensajes entre sistemas

B) Interoperabilidad entre sistemas heterogéneos (HL7, FHIR, SOAP, REST)

C) Almacenamiento permanente de historias clínicas de pacientes

D) Desacoplamiento de sistemas para evitar integraciones punto a punto

PREGUNTA 8

El sistema SIGLO del SAS se encarga de:

A) Gestión de Recursos Humanos (nóminas, selección, formación)

B) Gestión integral de logística, compras, almacenes e inventario de material sanitario

C) Gestión de la Historia Clínica Digital

D) Gestión de citas médicas y agenda de profesionales

PREGUNTA 9

¿Qué herramienta corporativa del SAS se utiliza para la distribución masiva de software y aplicación de parches en equipos de puesto de usuario?

A) Altiris (Symantec Endpoint Management)

B) SCCM (System Center Configuration Manager)

C) Terminal Server

D) WSUS (Windows Server Update Services)

PREGUNTA 10

Según el Esquema Nacional de Seguridad (ENS – RD 311/2022), un sistema de información se categoriza en función del impacto de un incidente en varias dimensiones. ¿Cuál de las siguientes NO es una dimensión de categorización ENS?

A) Disponibilidad

B) Integridad

C) Confidencialidad

D) Escalabilidad

PREGUNTA 11

Un sistema de información del SAS que gestiona historias clínicas (DIRAYA) tiene categorización ENS ALTA. ¿Cuál de las siguientes medidas de seguridad es OBLIGATORIA para sistemas de categoría ALTA según el ENS?

A) Copias de seguridad semanales

B) Autenticación multifactor (MFA) para accesos privilegiados

C) Antivirus actualizado

D) Contraseñas de mínimo 6 caracteres

PREGUNTA 12

Según el RGPD, los datos de salud se consideran:

A) Datos ordinarios que pueden tratarse libremente

B) Categoría especial de datos personales (art. 9 RGPD) con requisitos adicionales de protección

C) Datos anónimos que no están sujetos al RGPD

D) Datos públicos que pueden publicarse sin consentimiento

PREGUNTA 13

La Evaluación de Impacto en Protección de Datos (EIPD o DPIA) es obligatoria cuando el tratamiento de datos:

A) Implique cualquier tipo de datos personales, independientemente del riesgo

B) Sea probable que entrañe un alto riesgo para los derechos y libertades de las personas

C) Se realice exclusivamente en formato papel

D) Solo la realizan empresas privadas, no administraciones públicas

PREGUNTA 14

¿Cuál es la base de legitimación principal (según RGPD) para que un médico del SAS acceda a la historia clínica de un paciente en DIRAYA durante una consulta asistencial?

A) Consentimiento explícito del paciente en cada acceso

B) Artículo 9.2.h RGPD: necesario para fines de medicina preventiva, diagnóstico médico, prestación de asistencia sanitaria

C) Interés legítimo del centro sanitario (art. 6.1.f RGPD)

D) No se necesita ninguna base legal, es acceso libre

PREGUNTA 15

En una matriz de priorización Valor-Esfuerzo para proyectos de portfolio, ¿cómo se denominan los proyectos que tienen ALTO valor y BAJO esfuerzo?

A) Money Pits (evitar)

B) Proyectos Estratégicos (planificar bien)

C) Quick Wins (hacer inmediatamente)

D) Fill-ins (hacer si sobra tiempo)

PREGUNTA 16

El estándar de interoperabilidad sanitaria HL7 FHIR se caracteriza por:

A) Ser el estándar legacy basado en mensajes delimitados por tuberías (|)

B) Ser un estándar moderno basado en REST API, JSON/XML y recursos clínicos granulares

C) Ser exclusivo para imágenes médicas (radiología)

D) No ser utilizado en el SAS, que solo usa HL7 v2

PREGUNTA 17

¿Qué estándar de interoperabilidad se utiliza específicamente para la transmisión de imágenes médicas entre sistemas PACS y el módulo PDI de DIRAYA?

A) HL7 v2

B) FHIR

C) DICOM

D) CDA (Clinical Document Architecture)

PREGUNTA 18

ClicSalud+ es el portal del paciente del SAS. ¿Cuál de las siguientes funcionalidades NO está disponible en ClicSalud+?

A) Cita médica online

B) Consulta de resultados de analíticas

C) Acceso completo a la historia clínica detallada incluyendo notas clínicas privadas entre profesionales

D) Descarga del certificado de vacunación COVID-19

PREGUNTA 19

AyudaDigital es el Service Desk corporativo del SAS. Según ITIL, ¿cuál de las siguientes NO es una función típica de un Service Desk?

A) Gestión de incidencias reportadas por usuarios

B) Gestión de peticiones de servicio (service requests)

C) Desarrollo de nuevas aplicaciones desde cero

D) Punto de contacto único (Single Point of Contact – SPOC) para usuarios

PREGUNTA 20

En el contexto de arquitectura de sistemas del SAS, ¿qué significa «CPD»?

A) Centro de Planificación Digital

B) Centro de Proceso de Datos

C) Comité de Protección de Datos

D) Consejo de Portfolio Digital

PREGUNTA 21

El modelo de cloud híbrido que está adoptando el SAS combina:

A) Solo infraestructura on-premise (CPDs propios)

B) Solo cloud público (AWS, Azure, Google Cloud)

C) Infraestructura on-premise + cloud público + posiblemente cloud comunitario

D) Ninguna de las anteriores, el SAS no usa cloud

PREGUNTA 22

¿Qué sistema del SAS gestiona integralmente los recursos humanos incluyendo nóminas, selección, formación y control horario?

A) SIGLO

B) GERHONTE

C) SUR

D) AGESCON

PREGUNTA 23

El sistema BDU (Base de Datos de Usuarios) del SAS se encarga de:

A) Almacenar las historias clínicas completas de los pacientes

B) Registro único de pacientes del SSPA y gestión de la Tarjeta Sanitaria Individual (TSI)

C) Gestión de usuarios profesionales del SAS (no pacientes)

D) Base de datos de medicamentos y principios activos

PREGUNTA 24

En una arquitectura de sistemas, evitar el «infierno de integraciones punto a punto» se consigue mediante:

A) Conectar cada sistema directamente con todos los demás (malla completa)

B) Implementar un ESB (Enterprise Service Bus) centralizado como InterSAS

C) Eliminar todas las integraciones y trabajar con sistemas aislados

D) Usar solo tecnologías propietarias de un único fabricante

PREGUNTA 25

SNOMED CT es:

A) Un sistema de gestión de citas médicas

B) Una terminología clínica estandarizada internacional para codificación de conceptos clínicos

C) Un protocolo de red sanitario

D) Una herramienta de Business Intelligence

PREGUNTA 26

Según el método MoSCoW aplicado a portfolio, los proyectos clasificados como «Won’t Have (this time)» son:

A) Los más prioritarios que deben ejecutarse inmediatamente

B) Proyectos importantes pero no bloqueantes

C) Proyectos descartados o pospuestos para esta iteración del portfolio

D) Proyectos en ejecución actualmente

PREGUNTA 27

Un «SOC» (Security Operations Center) en el contexto de ciberseguridad del SAS se encarga de:

A) Desarrollar nuevas aplicaciones seguras

B) Monitorización continua 24×7 de eventos de seguridad, correlación de alertas y respuesta a incidentes

C) Gestión de nóminas del personal de seguridad física

D) Almacenamiento de copias de seguridad offline

PREGUNTA 28

El Comité de Gestión del Cambio (CAB – Change Advisory Board) en el SAS, siguiendo ITIL, tiene como función principal:

A) Aprobar el presupuesto anual de TI

B) Evaluar y aprobar cambios en sistemas productivos para minimizar riesgos e impactos

C) Contratar nuevo personal TIC

D) Desarrollar código de aplicaciones

PREGUNTA 29

La plataforma AVISA (Atención Virtual de Salud Andalucía) proporciona principalmente:

A) Gestión de almacenes hospitalarios

B) Servicios de telemedicina: videoconsulta, chat médico, teledermatología

C) Gestión económica y contabilidad del SAS

D) Distribución masiva de software en puestos de trabajo

PREGUNTA 30

En el contexto de IA aplicada a sanidad, ¿qué significa «XAI» (Explainable AI)?

A) Inteligencia Artificial de Extrema Autonomía

B) Inteligencia Artificial Explicable, que permite entender y justificar las decisiones del modelo

C) Sistema de Archivo de Imágenes eXtendido

D) Protocolo de intercambio de datos entre hospitales

🎯 RESPUESTAS CORRECTAS Y EXPLICACIONES

PREGUNTA 1 – Respuesta: B

La gestión de portfolio implica precisamente PRIORIZAR proyectos, no ejecutar todos simultáneamente. Con recursos limitados, es fundamental decidir qué hacer primero y qué posponer.

PREGUNTA 2 – Respuesta: B

COBIT 2019 define APO05 – Managed Portfolio como el dominio específico para la gestión del portfolio de programas y servicios TI alineados con la estrategia empresarial.

PREGUNTA 3 – Respuesta: B

En ITIL 4, el portfolio de servicios gestiona servicios continuos en operación (ej: DIRAYA como servicio 24×7), mientras que el portfolio de proyectos gestiona iniciativas temporales de cambio (ej: proyecto de migración de DIRAYA a cloud).

PREGUNTA 4 – Respuesta: C

Confluence (Atlassian) es la herramienta wiki colaborativa que usa la DGSIC del SAS para gestión del conocimiento: documentación técnica, procedimientos, manuales, base de conocimiento.

PREGUNTA 5 – Respuesta: B

DIRAYA es la Historia Clínica Digital unificada que cubre todo el SSPA: Atención Primaria, Hospitalaria, Urgencias, Enfermería, Teleconsulta, etc. Es centralizada y altamente integrada con otros sistemas (Receta XXI, BDU, PDI).

PREGUNTA 6 – Respuesta: B

IDENTIC es la plataforma IAM (Identity and Access Management) del SAS que gestiona identidades, provisión automatizada de cuentas, SSO (Single Sign-On) y autorización basada en roles (RBAC). DMSAS es el Directorio Activo subyacente.

PREGUNTA 7 – Respuesta: C

InterSAS (ESB) NO almacena historias clínicas. Su función es integración, orquestación y transformación de mensajes entre sistemas. Las historias se almacenan en DIRAYA.

PREGUNTA 8 – Respuesta: B

SIGLO (Sistema Integral de Gestión Logística) gestiona logística hospitalaria: almacenes, compras, aprovisionamiento, inventario de material sanitario y no sanitario.

PREGUNTA 9 – Respuesta: A

Altiris (Symantec Endpoint Management) es la herramienta corporativa del SAS para distribución masiva de software, parches, control de configuración y gestión de puestos de trabajo.

PREGUNTA 10 – Respuesta: D

Las dimensiones ENS son: Disponibilidad (D), Integridad (I), Confidencialidad (C), Autenticidad (A) y Trazabilidad (T). Escalabilidad NO es una dimensión de categorización ENS (es un requisito técnico, pero no de categorización de impacto de seguridad).

PREGUNTA 11 – Respuesta: B

Sistemas ENS categoría ALTA requieren medidas máximas de seguridad, incluyendo autenticación multifactor (MFA) para accesos privilegiados, cifrado de datos en reposo, SOC 24×7, auditorías anuales certificadas, etc. Las opciones A, C, D son insuficientes para categoría ALTA.

PREGUNTA 12 – Respuesta: B

Según el artículo 9 del RGPD, los datos de salud son «categoría especial de datos personales» que requieren protección reforzada y solo pueden tratarse bajo condiciones específicas (excepciones del art. 9.2).

PREGUNTA 13 – Respuesta: B

La EIPD (Evaluación de Impacto en Protección de Datos) es obligatoria cuando el tratamiento «es probable que entrañe un alto riesgo para los derechos y libertades de las personas físicas» (art. 35 RGPD). Ejemplos: tratamientos a gran escala de categorías especiales de datos, evaluación sistemática y exhaustiva de aspectos personales, tratamiento automatizado con efectos jurídicos.

PREGUNTA 14 – Respuesta: B

La base legal principal para acceso a historia clínica en asistencia sanitaria es el artículo 9.2.h del RGPD: «necesario para fines de medicina preventiva o laboral, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario». NO se requiere consentimiento explícito en cada acceso (sería inviable operativamente).

PREGUNTA 15 – Respuesta: C

En la matriz Valor-Esfuerzo, proyectos con ALTO valor y BAJO esfuerzo se llaman «Quick Wins» (victorias rápidas) y deben priorizarse para ejecución inmediata porque dan mucho retorno con poca inversión.

PREGUNTA 16 – Respuesta: B

HL7 FHIR (Fast Healthcare Interoperability Resources) es el estándar moderno de interoperabilidad sanitaria basado en REST API, JSON/XML y recursos clínicos granulares. Diseñado para aplicaciones móviles, cloud, APIs abiertas. El SAS lo está adoptando progresivamente.

PREGUNTA 17 – Respuesta: C

DICOM (Digital Imaging and Communications in Medicine) es el estándar específico para transmisión, almacenamiento y visualización de imágenes médicas. Se usa en la integración entre PACS (Picture Archiving and Communication System) y el módulo PDI de DIRAYA.

PREGUNTA 18 – Respuesta: C

ClicSalud+ permite al paciente ver un resumen de su historia clínica, pero NO tiene acceso completo a notas clínicas privadas entre profesionales (ej: anotaciones de evolución médica internas, comentarios entre especialistas). Esto es una medida de privacidad y para preservar la relación clínica.

PREGUNTA 19 – Respuesta: C

El Service Desk (AyudaDigital) gestiona incidencias, peticiones y es el punto de contacto con usuarios, pero NO desarrolla aplicaciones desde cero. El desarrollo es función de los equipos de desarrollo de la DGSIC.

PREGUNTA 20 – Respuesta: B

CPD = Centro de Proceso de Datos (Data Center). Es la infraestructura física donde se alojan servidores, sistemas de almacenamiento, redes y equipamiento TIC crítico del SAS.

PREGUNTA 21 – Respuesta: C

El modelo cloud híbrido del SAS combina: infraestructura on-premise (CPDs propios en hospitales), cloud público (AWS, Azure, Google Cloud para ciertos servicios) y posiblemente cloud comunitario (Red SARA, nube de la Junta de Andalucía).

PREGUNTA 22 – Respuesta: B

GERHONTE es el sistema de gestión integral de Recursos Humanos del SAS: nóminas, selección de personal, formación, control horario, carrera profesional. Gestiona datos de ~100.000 profesionales del SAS.

PREGUNTA 23 – Respuesta: B

BDU (Base de Datos de Usuarios) es el registro único de identificación de pacientes del SSPA. Asigna y gestiona la Tarjeta Sanitaria Individual (TSI). Es el sistema maestro de identidad de pacientes, integrado con todos los sistemas asistenciales.

PREGUNTA 24 – Respuesta: B

Un ESB (Enterprise Service Bus) como InterSAS centraliza las integraciones: en lugar de N*(N-1)/2 integraciones punto a punto (con 10 sistemas = 45 integraciones), con ESB tienes solo N integraciones (10 sistemas = 10 integraciones al bus). Desacoplamiento, escalabilidad, mantenibilidad.

PREGUNTA 25 – Respuesta: B

SNOMED CT (Systematized Nomenclature of Medicine – Clinical Terms) es una terminología clínica estandarizada internacional que permite codificar conceptos clínicos (diagnósticos, síntomas, procedimientos, anatomía, fármacos) de forma interoperable. Fundamental para interoperabilidad semántica.

PREGUNTA 26 – Respuesta: C

En el método MoSCoW: Must Have (crítico), Should Have (importante), Could Have (deseable), Won’t Have this time (descartado o pospuesto para esta iteración). Los «Won’t Have» son proyectos que no se ejecutarán en esta ronda del portfolio.

PREGUNTA 27 – Respuesta: B

SOC (Security Operations Center) es el centro de operaciones de ciberseguridad que monitoriza eventos de seguridad 24×7, correlaciona alertas mediante SIEM, detecta amenazas, responde a incidentes, gestiona vulnerabilidades. Es crítico para sistemas categoría ENS ALTA como DIRAYA.

PREGUNTA 28 – Respuesta: B

El CAB (Change Advisory Board) según ITIL es el comité que evalúa, autoriza y prioriza cambios en sistemas productivos. Analiza riesgos, impactos, planes de rollback. Objetivo: minimizar disrupciones en servicios críticos.

PREGUNTA 29 – Respuesta: B

AVISA (Atención Virtual de Salud Andalucía) es la plataforma de telemedicina del SAS: videoconsulta, chat médico, teledermatología, telemonitorización de crónicos. Cobró especial relevancia durante la pandemia COVID-19 y se ha consolidado como canal asistencial.

PREGUNTA 30 – Respuesta: B

XAI (eXplainable AI) o IA Explicable se refiere a modelos de inteligencia artificial cuyos resultados pueden ser entendidos y justificados por humanos. En sanidad es crítico: un médico debe poder entender «por qué la IA recomendó este diagnóstico» para validarlo clínicamente y cumplir requisitos regulatorios (RGPD art. 22, AI Act UE).

🗺️ 10. MAPA CONCEPTUAL DEL TEMA 11

Mapa Conceptual: Gestión de Portfolio de SI del SAS

                                    📊 GESTIÓN DE PORTFOLIO SI - SAS
                                              |
                    ┌─────────────────────────┼─────────────────────────┐
                    |                         |                         |
            🎯 FUNDAMENTOS              🏛️ GOBIERNO TIC           🗺️ MAPA SOLUCIONES
                    |                         |                         |
        ┌───────────┴───────────┐     ┌───────┴────────┐      ┌────────┴──────────┐
    Conceptos    Marcos         DGSIC    Comités       Asistenciales  Gestión
    - Portfolio  - COBIT 2019   - Planif.  - Portfolio    - DIRAYA     - GERHONTE
    - Programa   - ITIL 4       - Desarrollo - CAB        - Receta XXI - SIGLO
    - Proyecto   - ISO 20000    - Infraestr. - Seguridad  - BDU/BPS    - SUR
    - Ciclo vida - Priorización - Seguridad               - PDI/LIS    - AGESCON
                                                                        - COAN
                                              |
                    ┌─────────────────────────┴─────────────────────────┐
                    |                                                   |
            🔗 TRANSVERSALES                                    🌐 CIUDADANO
                    |                                                   |
        ┌───────────┴───────────┐                            ┌─────────┴─────────┐
    - IDENTIC (IAM)        - Altiris                    - ClicSalud+      - AVISA
    - DMSAS (AD)           - Confluence                 - Portal Prof.    - Salud Responde
    - InterSAS (ESB)       - JIRA
    - AyudaDigital (SD)    - Correo
    
                                              |
                    ┌─────────────────────────┴─────────────────────────┐
                    |                         |                         |
            🔒 SEGURIDAD              📐 ARQUITECTURA            🚀 TENDENCIAS
                    |                         |                         |
        - ENS (RD 311/2022)         - CPDs                    - Cloud Híbrido
        - RGPD datos salud          - Red Corporativa         - IA en Salud
        - ISO 27001/27799           - Virtualización          - Big Data
        - Categorización            - Alta Disponibilidad     - Ciberseguridad Avanzada
        - EIPD obligatoria          - Modelo cloud híbrido    - Interoperabilidad Semántica
        - Auditorías                                          - Genómica / Medicina Precisión

📚 11. REFERENCIAS NORMATIVAS Y BIBLIOGRÁFICAS

11.1. Legislación y Normativa Aplicable

Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS). BOE núm. 106, de 04/05/2022.

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD). DOUE L 119, de 04/05/2016.

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). BOE núm. 294, de 06/12/2018.

Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. BOE núm. 274, de 15/11/2002.

Decreto 534/2021, de 20 de julio, de la Junta de Andalucía, por el que se regula la organización territorial y se establecen medidas para la simplificación administrativa en el ámbito del SAS. BOJA núm. 141, de 22/07/2021.

Ley 2/1998, de 15 de junio, de Salud de Andalucía. BOJA núm. 74, de 04/07/1998 (texto consolidado).

11.2. Estándares Internacionales

ISO/IEC 27001:2022: Information security, cybersecurity and privacy protection — Information security management systems — Requirements.

ISO 27799:2016: Health informatics — Information security management in health using ISO/IEC 27001.

ISO/IEC 20000-1:2018: Information technology — Service management — Part 1: Service management system requirements.

HL7 FHIR® v5.0.0 (Fast Healthcare Interoperability Resources). HL7 International. Disponible en: http://hl7.org/fhir/

DICOM Standards (Digital Imaging and Communications in Medicine). NEMA. Disponible en: https://www.dicomstandard.org/

11.3. Marcos de Referencia y Mejores Prácticas

ISACA (2019). COBIT® 2019 Framework: Introduction and Methodology. ISACA, Schaumburg, IL.

AXELOS (2019). ITIL® 4 Foundation. TSO (The Stationery Office), Norwich, UK.

Project Management Institute (2021). A Guide to the Project Management Body of Knowledge (PMBOK® Guide) – Seventh Edition. PMI, Newtown Square, PA.

CCN-CERT (Centro Criptológico Nacional). Guías CCN-STIC de Seguridad de las TIC. Disponible en: https://www.ccn-cert.cni.es/series-ccn-stic.html

11.4. Estrategias y Planes del SAS y SSPA

Servicio Andaluz de Salud (2023). Plan de Transformación Digital del SAS 2022-2027 (documento estratégico interno).

Consejería de Salud y Consumo, Junta de Andalucía (2022). Estrategia de Salud Digital de Andalucía.

Dirección General de Sistemas de Información y Comunicaciones, SAS. Política de Seguridad de la Información del SAS (documento corporativo).

11.5. Bibliografía Complementaria

Fernández, A. & Llorens, F. (2021). Gobierno de las TI para la Universidad Digital. Springer.

Weill, P. & Ross, J. W. (2004). IT Governance: How Top Performers Manage IT Decision Rights for Superior Results. Harvard Business School Press.

van Grembergen, W. & De Haes, S. (2018). Enterprise Governance of Information Technology: Achieving Alignment and Value in Digital Organizations (3rd ed.). Springer.

🏁 PALABRAS FINALES DE ESTEBAN

💪 ¡Enhorabuena por llegar hasta aquí!

Has recorrido un tema extenso, técnico, estratégico… uno de los pilares de la oposición. El Tema 11 no es para memorizarlo en dos días, es para trabajarlo con constancia, relacionarlo con otros temas, practicar con casos, y sobre todo, ENTENDERLO.

Mi consejo final:

📅 Repasa este tema al menos 3-4 veces antes del examen, con espaciado temporal (una semana, dos semanas, un mes).
🗺️ Dibuja el mapa de sistemas del SAS en un papel en blanco, de memoria. Si te atascas, vuelve al tema. Cuando lo hagas fluido, lo dominas.
🧪 Practica con las 30 preguntas tipo test hasta que las contestes perfectas y puedas explicar cada respuesta como si fueras tú el profesor.
🔗 Conecta con otros temas: Cuando estudies ITIL (Tema 12), piensa en cómo se aplica al portfolio. Cuando veas Seguridad (Tema 35), categoriza mentalmente los sistemas del SAS.
📰 Mantente actualizado: Lee noticias de transformación digital del SAS, nuevos proyectos, incidentes de ciberseguridad en sanidad. El tribunal valora que conozcas la actualidad.

Recuerda: Esta oposición no la gana quien más memoriza, la gana quien mejor ENTIENDE. Tú puedes. Yo he visto aprobar a cientos de opositores, y todos tienen algo en común: constancia, método y actitud. Tú ya lo tienes.

Nos vemos en el siguiente tema. ¡A por esa plaza! 🚀

— Esteban Castro, tu preparador

Tema 11 – Gestión de Portfolio de Sistemas de Información del SAS

Oposición: Técnico/a Especialista en Informática del Servicio Andaluz de Salud

Material elaborado por Esteban Castro – Preparador de Oposiciones TIC SAS

Versión: Noviembre 2024 | Actualizado conforme a normativa vigente (ENS RD 311/2022, RGPD, ITIL 4, COBIT 2019)

Este material es propiedad intelectual y está protegido por derechos de autor. Queda prohibida su reproducción, distribución o comunicación pública sin autorización expresa del autor.