📋 Índice de Contenidos

1. Introducción y Contextualización
2. Filosofía y Principios del Desarrollo Ágil
3. El Manifiesto Ágil
4. SCRUM: Marco de Trabajo Ágil
5. KANBAN: Gestión Visual del Flujo
6. LEAN Software Development
7. DevOps: Cultura de Colaboración
8. DevSecOps: Seguridad Integrada
9. Casos Prácticos en el SAS
10. Cuestionario de Autoevaluación (30 Preguntas)
11. Mapa Conceptual
12. Conclusiones y Estrategia de Estudio
13. Referencias Normativas y Bibliográficas

1. Introducción y Contextualización 🎯

1.1. Relevancia para el Técnico Especialista en Informática del SAS

Como Técnico Especialista en Informática del SAS, tu trabajo no se limita a mantener sistemas heredados. El SAS está migrando activamente hacia:

• Desarrollo iterativo e incremental en aplicaciones críticas como Diraya
• Ciclos de entrega continuos (CI/CD) para apps móviles de pacientes
• Equipos multidisciplinares que incluyen desarrolladores, operaciones y seguridad
• Automatización de despliegues en infraestructuras cloud híbridas
• Integración de seguridad desde el diseño (shift-left security)

Todo esto requiere dominar las metodologías ágiles. No es opcional: es tu día a día.

1.2. Contexto Histórico: Del Waterfall al Agile

Para entender realmente el valor del desarrollo ágil, necesitas saber de dónde venimos:

1.3. ¿Por qué el SAS Apuesta por Agile?

El sector sanitario presenta desafíos únicos que hacen imprescindibles las metodologías ágiles:

1. Cambios normativos frecuentes: El RGPD, la Ley de Protección de Datos, el ENS… Las normativas cambian y los sistemas deben adaptarse rápido.
2. Necesidades clínicas en evolución: Los profesionales sanitarios necesitan nuevas funcionalidades en Diraya constantemente. No pueden esperar 2 años a una gran release.
3. Integración con múltiples sistemas: Diraya debe interoperar con receta electrónica, con el sistema de citas, con laboratorios… La coordinación entre equipos es crítica.
4. Alta disponibilidad requerida: Los sistemas sanitarios no pueden «caerse». Los despliegues deben ser frecuentes pero seguros.
5. Seguridad crítica: Los datos de salud son sensibles. La seguridad debe estar integrada desde el inicio (DevSecOps).

1.4. Relación con Otros Temas del Temario

Este tema no es un «tema aislado». Se conecta directamente con:

• Tema 14 (Ciclo de Vida del Software): Las metodologías ágiles son modelos de ciclo de vida iterativo-incremental
• Tema 16 (Construcción de Sistemas): Las pruebas en Agile son continuas y automatizadas
• Tema 17 (Herramientas de Desarrollo): Git, Jenkins, Docker… son herramientas clave para Agile/DevOps
• Tema 35-36 (Seguridad): DevSecOps integra seguridad en el ciclo ágil
• Tema 12 (ITIL): ITIL 4 incorpora principios ágiles en la gestión de servicios TI

2. Filosofía y Principios del Desarrollo Ágil 🧘

Antes de meternos en SCRUM, Kanban, DevOps… necesitas entender la filosofía que sustenta todo esto. Porque las metodologías ágiles no son solo «formas de trabajar»: son una mentalidad, una cultura.

2.1. La Filosofía Ágil: Mindset, No Framework

Lo primero que debes comprender: Agile no es una metodología, es una filosofía. SCRUM es una metodología. Kanban es una metodología. DevOps es una cultura. Pero Agile es el mindset (mentalidad) que sustenta todo.

¿Qué significa esto en la práctica?

1. Personas sobre procesos: Un equipo cohesionado es más valioso que un proceso perfecto
2. Software funcionando sobre documentación: Mejor entregar valor real que documentos extensos
3. Colaboración con el cliente sobre negociación contractual: El cliente es parte del equipo, no un adversario
4. Respuesta al cambio sobre seguir un plan: La adaptación es más valiosa que la rigidez

2.2. Principios Fundamentales del Desarrollo Ágil

Más allá de los 4 valores, existen principios operativos que guían el trabajo ágil. Vamos a verlos aplicados al contexto del SAS:

Principio 1: Entrega Continua de Valor

En el SAS: En lugar de esperar 6 meses para lanzar una gran actualización de Diraya con 50 funcionalidades nuevas, se entregan incrementos cada 2-3 semanas con 2-3 funcionalidades funcionando. Los médicos empiezan a usarlas de inmediato y dan feedback.

Principio 2: Bienvenida al Cambio

En el SAS: Imagina que a mitad del desarrollo del módulo de vacunación COVID, cambia el protocolo de vacunación y ahora hay que registrar datos adicionales. En Waterfall, esto sería un cambio costosísimo. En Agile, se adapta el Sprint siguiente y listo.

Principio 3: Entregas Frecuentes

En el SAS: Los despliegues en Diraya se hacen semanalmente en ventanas de mantenimiento. DevOps permite automatizar estos despliegues con riesgo mínimo.

Principio 4: Colaboración Diaria

En el SAS: El Product Owner (normalmente un médico o enfermero con conocimiento clínico) trabaja codo con codo con el equipo de desarrollo. No es alguien que entrega requisitos y se va: está cada día disponible.

Principio 5: Equipos Motivados y Autónomos

En el SAS: Los equipos Scrum del SAS tienen autonomía para decidir cómo implementar las historias de usuario. No hay un «jefe» que les dice cómo programar. Confía en ellos y dales las herramientas que necesitan.

Principio 6: Conversación Cara a Cara

En el SAS: Las Daily Standup Meetings (reuniones diarias de 15 minutos) son presenciales o por videoconferencia. No se sustituyen por emails. La comunicación directa es más eficiente.

Principio 7: Software Funcionando como Medida de Progreso

En el SAS: No se mide el progreso por «documentos entregados» o «líneas de código escritas». Se mide por funcionalidades desplegadas en producción que los usuarios pueden usar.

Principio 8: Desarrollo Sostenible

En el SAS: No hay «crunch time» permanente. Los sprints son de 2-3 semanas con ritmo constante. No se puede pedir al equipo que trabaje 60 horas/semana indefinidamente. Eso quema a la gente y genera errores.

Principio 9: Excelencia Técnica

En el SAS: Code reviews, testing automatizado, estándares de código, arquitectura limpia… La calidad técnica no se sacrifica por la velocidad. De hecho, la calidad técnica es lo que permite la velocidad sostenible.

Principio 10: Simplicidad

En el SAS: No desarrolles funcionalidades «por si acaso». Solo lo que el usuario necesita ahora. YAGNI (You Aren’t Gonna Need It) es un principio ágil fundamental.

Principio 11: Equipos Auto-organizados

En el SAS: El equipo Scrum decide internamente quién hace qué tarea. No hay un «project manager» asignando tareas. El equipo se auto-organiza.

Principio 12: Reflexión y Mejora Continua

En el SAS: Al final de cada Sprint, hay una Retrospectiva donde el equipo analiza qué salió bien, qué salió mal, y qué van a mejorar en el próximo Sprint. Es el kaizen (mejora continua) aplicado al desarrollo software.

3. El Manifiesto Ágil 📜

En febrero de 2001, 17 desarrolladores de software se reunieron en Snowbird, Utah (EE.UU.). Estaban hartos de los métodos tradicionales pesados y rígidos. De esa reunión salió el Manifiesto por el Desarrollo Ágil de Software.

Este manifiesto no es «teoría bonita»: es la base de todo lo que vas a estudiar en este tema y lo que aplicas cada día en el SAS.

3.1. Los Cuatro Valores del Manifiesto

El manifiesto establece 4 valores. Y ojo con la redacción, porque es importante:

3.2. Los Doce Principios del Manifiesto

Los 4 valores se concretan en 12 principios operativos. Vamos a verlos con ejemplos del SAS:

3.3. Firmantes del Manifiesto

Los 17 firmantes originales del Manifiesto Ágil incluyen a figuras muy relevantes en el mundo del software:

• Kent Beck – Creador de Extreme Programming (XP) y Test-Driven Development (TDD)
• Ken Schwaber y Jeff Sutherland – Co-creadores de SCRUM
• Martin Fowler – Experto en refactoring y arquitectura de software
• Robert C. Martin (Uncle Bob) – Autor de «Clean Code»
• Alistair Cockburn – Creador de Crystal metodology

Estos nombres son importantes porque cada uno contribuyó con metodologías específicas (SCRUM, XP, Crystal…) que luego se englobaron bajo el paraguas «Agile».

4. SCRUM: Marco de Trabajo Ágil 🏉

SCRUM es el marco de trabajo ágil más utilizado en el mundo. En el SAS, la mayoría de los equipos de desarrollo de Diraya, apps móviles, y nuevos proyectos trabajan con SCRUM.

Importante: SCRUM no es una «metodología», es un marco de trabajo (framework). ¿Cuál es la diferencia? Una metodología te dice exactamente qué hacer paso a paso. Un marco de trabajo te da las reglas del juego, pero tú decides cómo jugar.

4.1. ¿Qué es SCRUM?

SCRUM es un marco de trabajo iterativo e incremental para gestionar proyectos complejos. Se basa en ciclos de trabajo cortos llamados Sprints (normalmente 2-4 semanas) donde se entrega un incremento de producto potencialmente desplegable.

Origen del nombre: «Scrum» viene del rugby, donde el «scrum» es esa formación donde todo el equipo trabaja junto para avanzar el balón. Es una metáfora perfecta: todo el equipo trabaja junto para avanzar el producto.

4.2. Los Tres Pilares de SCRUM

4.3. Los Roles en SCRUM

SCRUM define 3 roles y solo 3. No hay «project managers», no hay «team leaders». Esos roles no existen en SCRUM.

4.3.1. Product Owner (PO)

Es la voz del cliente dentro del equipo. Tiene la autoridad para decidir QUÉ se construye y en qué ORDEN.

Responsabilidades del PO:

• Gestionar el Product Backlog (la lista priorizada de funcionalidades pendientes)
• Priorizar las historias de usuario según valor de negocio
• Aceptar o rechazar el trabajo completado en cada Sprint
• Estar disponible para el equipo para resolver dudas sobre requisitos
• Participar activamente en Sprint Planning y Sprint Review

4.3.2. Scrum Master (SM)

Es el facilitador del proceso Scrum. Su misión es asegurar que el equipo entiende y sigue las reglas de Scrum, y eliminar impedimentos que bloqueen al equipo.

Responsabilidades del SM:

• Facilitar todas las ceremonias Scrum (Daily, Planning, Review, Retrospective)
• Eliminar impedimentos que bloqueen al equipo (problemas técnicos, organizativos, etc.)
• Proteger al equipo de interrupciones externas durante el Sprint
• Entrenar al equipo en prácticas ágiles
• Fomentar la mejora continua

4.3.3. Development Team (Equipo de Desarrollo)

Son los profesionales que hacen el trabajo de entregar el incremento de producto. En software, incluye desarrolladores, testers, DBAs, etc.

Características del Development Team:

• Auto-organizado: Deciden internamente quién hace qué y cómo
• Multifuncional: Tienen todas las habilidades necesarias para entregar el incremento (no dependen de equipos externos)
• No hay sub-equipos: No hay «equipo frontend» y «equipo backend». Todos son Development Team
• No hay títulos individuales: Todos son «desarrolladores», no hay «senior developer» o «junior developer» en Scrum (aunque en la práctica sí los hay por temas salariales)
• Tamaño recomendado: 3-9 personas. Menos de 3 no hay masa crítica. Más de 9 la coordinación se vuelve compleja

4.4. Los Artefactos de SCRUM

Los «artefactos» son los elementos tangibles que Scrum produce. Son 3:

4.4.1. Product Backlog

Es la lista ordenada de todo lo que se conoce que es necesario en el producto. Es dinámica: crece y cambia constantemente.

Características:

• Ordenado por prioridad (lo más importante arriba)
• Evoluciona continuamente (se añaden, eliminan, refinan elementos)
• Los elementos del Product Backlog se llaman Product Backlog Items (PBIs). Normalmente son Historias de Usuario
• El Product Owner es el dueño del Product Backlog

Refinamiento del Product Backlog:

Es una actividad continua donde el equipo y el PO añaden detalles, estimaciones y orden a los elementos del Product Backlog. No es una ceremonia formal, pero suele hacerse mid-sprint.

4.4.2. Sprint Backlog

Es el conjunto de elementos del Product Backlog seleccionados para el Sprint, más un plan para entregarlos.

Características:

• Se crea en la Sprint Planning
• Es propiedad del Development Team (no del PO ni del SM)
• Puede modificarse durante el Sprint (si el equipo descubre que hace falta más/menos trabajo)
• Incluye las historias de usuario Y las tareas técnicas necesarias para completarlas

4.4.3. Incremento

Es la suma de todos los Product Backlog Items completados durante el Sprint y todos los Sprints anteriores. Al final de cada Sprint, el Incremento debe estar en condición «Done» (hecho) y potencialmente desplegable.

Definición de «Done» (DoD):

Es el acuerdo del equipo sobre qué significa que algo está «terminado». Es crítica porque elimina ambigüedades.

4.5. Las Ceremonias (Eventos) de SCRUM

SCRUM define 5 eventos formales (time-boxed, es decir, con tiempo máximo definido):

4.5.1. Sprint

Es el contenedor de todos los demás eventos. Tiene duración fija (1-4 semanas, típicamente 2 semanas) y en cuanto termina uno, empieza otro.

Reglas del Sprint:

• Durante el Sprint NO se hacen cambios que pongan en peligro el objetivo del Sprint
• La calidad no disminuye
• El alcance puede clarificarse y renegociarse entre el PO y el Development Team
• Un Sprint puede cancelarse (solo el PO puede hacerlo), pero es muy raro y costoso

4.5.2. Sprint Planning (Planificación del Sprint)

Es la reunión donde el equipo decide QUÉ se va a hacer en el Sprint y CÓMO se va a hacer.

Duración máxima: 8 horas para un Sprint de 1 mes (proporcionalmente menos para Sprints más cortos; para Sprint de 2 semanas: 4 horas máximo)

Participantes: Todo el Scrum Team (PO + SM + Development Team)

Preguntas que se responden:

1. ¿Qué puede entregarse en el Incremento resultante del Sprint? (El PO presenta las historias de usuario más prioritarias del Product Backlog, y el equipo decide cuántas puede comprometerse a completar)
2. ¿Cómo se conseguirá hacer el trabajo necesario? (El Development Team descompone las historias en tareas técnicas y estima esfuerzo)

Salida de la Sprint Planning:

• El Sprint Goal (objetivo del Sprint): Una frase que resume el propósito del Sprint
• El Sprint Backlog: Las historias seleccionadas + tareas técnicas

4.5.3. Daily Scrum (Reunión Diaria)

Es una reunión diaria de máximo 15 minutos donde el Development Team sincroniza su trabajo y planifica las próximas 24 horas.

Características:

• Duración: Máximo 15 minutos, a la misma hora y lugar cada día
• Participantes: Development Team (obligatorio). PO y SM pueden asistir pero no participan activamente
• Formato típico: Cada miembro responde 3 preguntas:
  1. ¿Qué hice ayer que ayudó al equipo a cumplir el Sprint Goal?
  2. ¿Qué voy a hacer hoy para ayudar al equipo a cumplir el Sprint Goal?
  3. ¿Hay algún impedimento que me bloquea o bloquea al equipo?
• NO es una reunión de reporte al jefe: Es una reunión del equipo para el equipo

4.5.4. Sprint Review (Revisión del Sprint)

Es la reunión al final del Sprint donde el equipo muestra el Incremento (el trabajo completado) a los stakeholders y obtiene feedback.

Duración máxima: 4 horas para un Sprint de 1 mes (para Sprint de 2 semanas: 2 horas)

Participantes: Scrum Team + Stakeholders invitados (usuarios, dirección, otros equipos…)

Qué se hace:

1. El Product Owner explica qué elementos del Product Backlog se completaron («Done») y cuáles no
2. El Development Team hace una demo del Incremento funcionando (no PowerPoint, código funcionando real)
3. Los stakeholders dan feedback
4. El Product Owner discute el Product Backlog y proyecta fechas de entrega basándose en el progreso
5. El grupo colabora sobre qué hacer a continuación (input para la siguiente Sprint Planning)

4.5.5. Sprint Retrospective (Retrospectiva del Sprint)

Es la reunión donde el equipo reflexiona sobre su propio proceso de trabajo y define mejoras concretas para el próximo Sprint.

Duración máxima: 3 horas para un Sprint de 1 mes (para Sprint de 2 semanas: 1.5 horas)

Participantes: Solo el Scrum Team (PO + SM + Development Team). Los stakeholders NO participan (es una reunión interna)

Cuándo ocurre: Después de la Sprint Review y antes de la siguiente Sprint Planning

Qué se analiza:

• ¿Qué salió bien en el Sprint?
• ¿Qué salió mal o podría mejorar?
• ¿Qué vamos a hacer diferente en el próximo Sprint?

Salida: Al menos 1 mejora concreta que el equipo implementará en el próximo Sprint

4.6. Métricas en SCRUM

SCRUM utiliza varias métricas para medir el progreso y la salud del proyecto:

4.6.1. Velocity (Velocidad)

Es la cantidad de trabajo (medida en story points) que un equipo puede completar en un Sprint. Se calcula promediando los últimos 3-5 Sprints.

4.6.2. Burndown Chart (Gráfico de Quemado)

Gráfico que muestra el trabajo restante (eje Y) frente al tiempo (eje X). Idealmente, la línea baja de forma constante hasta llegar a cero al final del Sprint.

4.6.3. Burnup Chart (Gráfico de Acumulación)

Muestra el trabajo completado (eje Y) frente al tiempo (eje X). Útil para proyectos largos con múltiples Sprints.

4.6.4. Cumulative Flow Diagram (CFD)

Este gráfico es más típico de Kanban, pero algunos equipos Scrum también lo usan. Muestra el estado de las historias de usuario a lo largo del tiempo (To Do, In Progress, Done).

4.7. SCRUM en el SAS: Casos Reales

5. KANBAN: Gestión Visual del Flujo 📊

Si SCRUM es como el rugby (trabajo en equipo por sprints), KANBAN es como una cadena de producción optimizada. Viene de Toyota y su sistema de manufactura Just-In-Time.

KANBAN no es una metodología de desarrollo de software per se: es un método de gestión del flujo de trabajo. Y es muy popular en el SAS para equipos de operaciones, soporte, y mantenimiento.

5.1. ¿Qué es KANBAN?

KANBAN (看板 en japonés, literalmente «tarjeta visual») es un método para gestionar el trabajo basado en:

1. Visualizar el trabajo: Todo el trabajo se representa en un tablero visual
2. Limitar el Work In Progress (WIP): Solo puedes tener un número limitado de tareas «en progreso» simultáneamente
3. Gestionar el flujo: Mides y optimizas el tiempo que tarda cada tarea en completarse
4. Mejorar continuamente: Experimentas con cambios y mides resultados

5.2. Diferencias Clave entre SCRUM y KANBAN

5.3. Los 6 Principios de KANBAN

5.4. Métricas Clave en KANBAN

5.4.1. Lead Time

Es el tiempo total desde que se hace una petición hasta que se entrega. Es lo que le importa al cliente.

5.4.2. Cycle Time

Es el tiempo desde que se empieza a trabajar en algo hasta que se termina. Excluye el tiempo de espera.

5.4.3. Cumulative Flow Diagram (CFD)

Es el diagrama estrella de KANBAN. Muestra el estado de las tareas a lo largo del tiempo.

5.4.4. Throughput

Número de tareas completadas por unidad de tiempo (ej: incidencias resueltas por día).

5.5. KANBAN en el SAS: Caso Práctico

6. LEAN Software Development 🎯

LEAN viene del Toyota Production System (manufactura de coches). Mary y Tom Poppendieck lo adaptaron al desarrollo de software en 2003.

La filosofía LEAN se resume en: «Maximizar el valor eliminando el desperdicio».

6.1. Los 7 Principios de LEAN Software Development

6.2. Value Stream Mapping (VSM)

Es una técnica LEAN para mapear el flujo de valor: desde que se pide una funcionalidad hasta que se entrega al usuario.

7. DevOps: Cultura de Colaboración 🔄

DevOps no es una metodología ni una herramienta: es una cultura. Es la unión de Development (Desarrollo) y Operations (Operaciones).

Históricamente, estos dos mundos estaban separados y en conflicto:

• Developers: «Queremos desplegar funcionalidades nuevas rápido»
• Operations: «Queremos estabilidad y disponibilidad, nada de cambios»

DevOps rompe ese muro y hace que ambos trabajen juntos con un objetivo común: entregar valor rápido Y de forma estable.

7.1. Los Tres Caminos de DevOps (The Three Ways)

7.2. Prácticas Clave de DevOps

7.2.1. Integración Continua (CI – Continuous Integration)

Los desarrolladores integran su código en el repositorio central múltiples veces al día. Cada integración dispara un build automatizado y tests.

Beneficios:

• Detectar errores de integración temprano (no al final del Sprint)
• Reducir conflictos de merge
• Tener siempre una versión desplegable

7.2.2. Despliegue Continuo (CD – Continuous Deployment)

Todo cambio que pasa los tests se despliega automáticamente a producción. Sin intervención manual.

Continuous Delivery vs Continuous Deployment:

• Continuous Delivery: Los cambios están listos para producción, pero el despliegue requiere aprobación manual
• Continuous Deployment: Todo cambio aprobado por tests se despliega automáticamente sin intervención humana

En el SAS: Por temas de seguridad y criticidad, Diraya usa Continuous Delivery (no Deployment). Los cambios llegan automáticamente a preproducción, pero el paso a producción requiere aprobación del responsable técnico y se hace en ventanas de mantenimiento.

7.2.3. Infraestructura como Código (IaC)

La infraestructura (servidores, redes, balanceadores…) se define en código y se versiona como cualquier otro código.

Herramientas: Terraform, Ansible, Puppet, Chef

Beneficios IaC en el SAS:

• Reproducibilidad: Crear entornos idénticos (DEV, TEST, PROD) con un comando
• Versionado: Si un cambio rompe algo, rollback al commit anterior
• Documentación: La infraestructura está documentada en el código
• Auditoría: Todo cambio de infraestructura queda registrado en Git

7.2.4. Monitorización y Observabilidad

No basta con desplegar rápido: hay que saber QUÉ está pasando en producción en tiempo real.

3 Pilares de la Observabilidad:

1. Logs: Registros de eventos (ELK Stack: Elasticsearch, Logstash, Kibana)
2. Métricas: Datos numéricos (Prometheus, Grafana)
3. Traces: Seguimiento de requests (Jaeger, Zipkin)

En el SAS:

• Logs: Todos los logs de Diraya (aplicación, BD, sistema operativo) centralizados en ELK Stack. Si un usuario reporta un error, el técnico busca en Kibana los logs de esa transacción.
• Métricas: Grafana muestra dashboards con: usuarios conectados, tiempo respuesta promedio, requests/segundo, uso CPU/RAM/disco de cada servidor.
• Traces: Si una consulta a Diraya tarda 5 segundos, el tracing muestra dónde se va el tiempo: 0.1s API Gateway, 0.2s aplicación, 4.5s base de datos, 0.2s respuesta. Ahí está el cuello de botella.

7.2.5. ChatOps

Ejecutar operaciones DevOps desde herramientas de chat (Slack, Microsoft Teams).

7.3. DevOps en el SAS: Métricas y KPIs

Las 4 métricas clave de DevOps (según el libro «Accelerate»):

Estas métricas clasifican a las organizaciones en:

• Elite Performers: Despliegues bajo demanda, Lead Time <1 hora, MTTR <1 hora, Change Failure Rate <5%
• High Performers: Despliegues diarios/semanales
• Medium Performers: Despliegues mensuales
• Low Performers: Despliegues semestrales/anuales

El SAS está en proceso de transición de Medium a High Performer.

8. DevSecOps: Seguridad Integrada 🔒

DevSecOps es la evolución natural de DevOps: integrar la seguridad desde el inicio del ciclo de desarrollo, no como un «checkpoint» al final.

El término viene de: Development + Security + Operations

8.1. ¿Por Qué DevSecOps es Crítico en el SAS?

El SAS gestiona datos de categoría especial según el RGPD: datos de salud. Las consecuencias de una brecha de seguridad son graves:

• Legales: Sanciones de hasta 20 millones € o 4% de la facturación global (RGPD)
• Reputacionales: Pérdida de confianza de pacientes y profesionales
• Asistenciales: Si un ransomware bloquea Diraya, se paraliza la atención sanitaria
• Normativas: Incumplimiento del ENS-MEDIO (obligatorio para el SAS)

Por eso la seguridad NO puede ser un afterthought. Debe estar integrada desde el minuto 1.

8.2. Shift-Left Security

El concepto clave de DevSecOps es «Shift-Left»: mover la seguridad hacia la izquierda del ciclo de desarrollo (hacia el inicio).

8.3. Prácticas de DevSecOps

8.3.1. Threat Modeling (Modelado de Amenazas)

En la fase de diseño, identificar amenazas potenciales y diseñar controles.

Metodología STRIDE (Microsoft):

• Spoofing (Suplantación)
• Tampering (Manipulación)
• Repudiation (Repudio)
• Information Disclosure (Divulgación de información)
• Denial of Service (Denegación de servicio)
• Elevation of Privilege (Elevación de privilegios)

Ejemplo en el SAS: Al diseñar el módulo de receta electrónica, se hace threat modeling identificando:

• Amenaza: Médico suplantado prescribe medicación peligrosa (Spoofing)
• Control: Autenticación multifactor + certificado digital
• Amenaza: Modificación de dosis en tránsito (Tampering)
• Control: Firma digital de la receta + HTTPS con TLS 1.3

8.3.2. Secure Coding Standards

Estándares de codificación segura que el equipo sigue:

• OWASP Top 10: Las 10 vulnerabilidades web más críticas
• SANS Top 25: Los 25 errores de software más peligrosos
• CWE (Common Weakness Enumeration): Catálogo de debilidades de software

8.3.3. SAST (Static Application Security Testing)

Análisis estático del código para detectar vulnerabilidades sin ejecutarlo.

Herramientas: SonarQube, Checkmarx, Fortify, Veracode

En el SAS: Cada commit a Diraya pasa por SonarQube que busca:

• SQL Injections
• XSS (Cross-Site Scripting)
• Hard-coded passwords
• Uso de algoritmos criptográficos débiles (MD5, SHA1)
• Path Traversal
• Deserialización insegura

Si SonarQube detecta una vulnerabilidad CRÍTICA, el build falla automáticamente.

8.3.4. DAST (Dynamic Application Security Testing)

Análisis dinámico: probar la aplicación en ejecución simulando ataques.

Herramientas: OWASP ZAP, Burp Suite, Acunetix

En el SAS: Cada viernes por la noche, OWASP ZAP escanea automáticamente la versión de Diraya en preproducción, simulando ataques típicos (SQL injection, XSS, CSRF…). El lunes por la mañana, el equipo revisa el informe y prioriza fixes.

8.3.5. Dependency Scanning

Escanear dependencias (librerías de terceros) en busca de vulnerabilidades conocidas.

Herramientas: OWASP Dependency-Check, Snyk, WhiteSource

8.3.6. Container Security

Si usas Docker/Kubernetes, escanear imágenes de contenedores.

Herramientas: Trivy, Clair, Anchore

En el SAS: Antes de subir una imagen Docker de Diraya al registro, Trivy la escanea buscando:

• Vulnerabilidades en el sistema operativo base (Alpine Linux, Ubuntu…)
• Vulnerabilidades en las librerías incluidas
• Secretos hard-coded en la imagen
• Configuraciones inseguras

8.3.7. Secrets Management

NUNCA hard-codear contraseñas, API keys, certificados en el código.

Herramientas: HashiCorp Vault, AWS Secrets Manager, Azure Key Vault

8.3.8. Infrastructure Security (ENS Compliance)

En el SAS, cumplir el Esquema Nacional de Seguridad (ENS) es obligatorio. DevSecOps ayuda a automatizar controles ENS:

8.4. Pipeline DevSecOps Completo en el SAS

9. Casos Prácticos en el Servicio Andaluz de Salud 🏥

10. Cuestionario de Autoevaluación 📝

30 preguntas tipo test basadas en exámenes reales del SAS y el contenido del tema. Nivel de dificultad: OPOSICIÓN.

                            ┌─────────────────────────────────┐
                            │  DESARROLLO ÁGIL DE SOFTWARE    │
                            │  (Manifiesto Ágil 2001)         │
                            └────────────┬────────────────────┘
                                         │
                   ┌─────────────────────┼─────────────────────┐
                   │                     │                     │
        ┌──────────▼──────────┐ ┌───────▼────────┐ ┌─────────▼─────────┐
        │   4 VALORES DEL     │ │  12 PRINCIPIOS  │ │   METODOLOGÍAS    │
        │  MANIFIESTO ÁGIL    │ │   OPERATIVOS    │ │      ÁGILES       │
        └──────────┬──────────┘ └────────────────┘ └─────────┬─────────┘
                   │                                          │
          ┌────────┴────────┐                    ┌────────────┼────────────┐
          │                 │                    │            │            │
   ┌──────▼──────┐  ┌──────▼──────┐      ┌──────▼────┐ ┌────▼─────┐ ┌───▼────┐
   │  PERSONAS   │  │  SOFTWARE   │      │   SCRUM   │ │  KANBAN  │ │  LEAN  │
   │    SOBRE    │  │FUNCIONANDO  │      │           │ │          │ │        │
   │  PROCESOS   │  │    SOBRE    │      └─────┬─────┘ └────┬─────┘ └───┬────┘
   └─────────────┘  │DOCUMENTACIÓN│            │            │           │
                    └─────────────┘            │            │           │
                                               │            │           │
   ┌────────────────────────────────────┬──────┴────────────┼───────────┤
   │                                    │                   │           │
┌──▼────────────┐              ┌────────▼──────────┐ ┌─────▼──────┐ ┌─▼──────┐
│  ROLES SCRUM  │              │  EVENTOS SCRUM    │ │  ARTEFACTOS│ │ MÉTRICAS│
├───────────────┤              ├───────────────────┤ ├────────────┤ ├─────────┤
│• Product      │              │• Sprint           │ │• Product   │ │• Lead   │
│  Owner        │              │• Sprint Planning  │ │  Backlog   │ │  Time   │
│• Scrum Master │              │• Daily Scrum      │ │• Sprint    │ │• Cycle  │
│• Development  │              │• Sprint Review    │ │  Backlog   │ │  Time   │
│  Team         │              │• Sprint           │ │• Incremento│ │• CFD    │
└───────────────┘              │  Retrospective    │ └────────────┘ │• WIP    │
                               └───────────────────┘                └─────────┘

                    ┌─────────────────────────────────────┐
                    │         EVOLUCIÓN ÁGIL              │
                    └──────────────┬──────────────────────┘
                                   │
              ┌────────────────────┼────────────────────┐
              │                    │                    │
       ┌──────▼──────┐      ┌──────▼──────┐     ┌──────▼──────┐
       │   DEVOPS    │      │ DEVSECOPS   │     │   SCRUMBAN  │
       │ (Dev + Ops) │      │(Dev+Sec+Ops)│     │ (Scrum +    │
       └──────┬──────┘      └──────┬──────┘     │  Kanban)    │
              │                    │             └─────────────┘
    ┌─────────┼─────────┐          │
    │         │         │          │
┌───▼────┐┌───▼────┐┌──▼───┐  ┌───▼───────┐
│CI/CD   ││ IaC    ││ChatOps│  │Shift-Left │
├────────┤├────────┤├───────┤  │Security   │
│Jenkins ││Terraform│Slack  │  ├───────────┤
│GitLab │││Ansible ││Teams  │  │• SAST     │
│GitHub │││        ││       │  │• DAST     │
│Actions│││        ││       │  │• Dep Check│
└────────┘└────────┘└───────┘  │• Container│
                                │  Security │
┌──────────────────────────┐    └───────────┘
│ PILARES DEVOPS           │
├──────────────────────────┤
│1. FLOW (Flujo)           │
│2. FEEDBACK               │
│3. CONTINUOUS LEARNING    │
└──────────────────────────┘

┌──────────────────────────────────────────────────────────┐
│           APLICACIÓN EN EL SAS                           │
├──────────────────────────────────────────────────────────┤
│                                                          │
│  SCRUM          → Desarrollo Diraya (nuevas features)   │
│  KANBAN         → ayudaDIGITAL (Service Desk)           │
│  DEVOPS         → CI/CD para apps móviles               │
│  DEVSECOPS      → Cumplimiento ENS + RGPD               │
│  LEAN           → Optimización procesos desarrollo       │
│                                                          │
│  OBJETIVO: Transformación Digital SSPA 2022-2027        │
└──────────────────────────────────────────────────────────┘

┌──────────────────────────────────────────────────────────┐
│          MÉTRICAS CLAVE DE ÉXITO                         │
├──────────────────────────────────────────────────────────┤
│  SCRUM     → Velocity (puntos/sprint)                    │
│             → Burndown Chart                             │
│  KANBAN    → Lead Time / Cycle Time                      │
│             → CFD (Cumulative Flow Diagram)              │
│             → Throughput                                 │
│  DEVOPS    → Deployment Frequency                        │
│             → Lead Time for Changes                      │
│             → MTTR (Mean Time to Restore)                │
│             → Change Failure Rate                        │
└──────────────────────────────────────────────────────────┘