π TEMA 35
La Seguridad de las TecnologΓas de la InformaciΓ³n
Esquema Nacional de Seguridad | MAGERIT | ISO 27001 | Ciberseguridad en el SAS
1. IntroducciΓ³n y ContextualizaciΓ³n
Β‘Bienvenido al Tema MΓ‘s CrΓtico de Tu OposiciΓ³n!
ΒΏPor quΓ© es tan importante este tema? Mira, te voy a ser sincero desde el principio. La seguridad de la informaciΓ³n no es solo otro tema mΓ‘s del temario. Es EL tema transversal que cruza todo lo que hace un TΓ©cnico Especialista en InformΓ‘tica del SAS. ΒΏRecuerdas el Tema 34 sobre bases de datos Oracle? Pues bien, sin seguridad, toda esa infraestructura de Diraya, BDU, receta electrΓ³nicaβ¦ serΓa vulnerable a ataques que podrΓan comprometer datos de salud de 8.5 millones de andaluces.
PiΓ©nsalo asΓ: cada vez que un mΓ©dico accede a Diraya para ver la historia clΓnica de un paciente, cada vez que se dispensa una receta electrΓ³nica, cada vez que se realiza una analΓtica y los resultados viajan por la Red Corporativa del SASβ¦ la seguridad estΓ‘ ahΓ, invisible pero absolutamente crΓtica. Y tΓΊ, como futuro TΓ©cnico Especialista, serΓ‘s uno de los guardianes de esa seguridad.
β οΈ DATO REAL DE EXΓMENES RECIENTES
En las últimas convocatorias (2023-2025), entre el 15-20% de las preguntas del examen han versado sobre seguridad: ENS, MAGERIT, ISO 27001, RGPD, ciberseguridad⦠AdemÑs, es habitual que caigan casos prÑcticos completos sobre categorización de sistemas según el ENS o anÑlisis de incidentes de seguridad. No es un tema para estudiar por encima.
1.1. Encaje en el Temario y ConexiΓ³n con Otros Temas
Este Tema 35 se articula de forma natural con varios temas del temario especΓfico. Vamos a verlo claro para que entiendas cΓ³mo todo encaja:
| Tema Relacionado | ConexiΓ³n con Seguridad (Tema 35) | Ejemplo PrΓ‘ctico SAS |
|---|---|---|
| Tema 34 (SGBD Relacionales) | Seguridad en bases de datos Oracle: cifrado TDE, auditorΓa, control de acceso RBAC, respaldos RMAN | Cifrado de historias clΓnicas en Diraya, auditorΓa de accesos a datos de pacientes |
| Tema 36 (ENS) | Desarrollo detallado del Esquema Nacional de Seguridad | CategorizaciΓ³n de Diraya como sistema ALTO |
| Tema 37 (MAGERIT) | AnΓ‘lisis y gestiΓ³n de riesgos | AnΓ‘lisis de riesgos del sistema de receta electrΓ³nica |
| Tema 38 (RGPD) | ProtecciΓ³n de datos personales de salud (categorΓa especial) | EvaluaciΓ³n de impacto DPIA de la app ClicSalud+ |
| Tema 32 (Seguridad en Redes) | Firewalls, IDS/IPS, VPN, segmentaciΓ³n de red | Acceso remoto seguro de profesionales a la Red Corporativa |
π‘ CONCEPTO CLAVE: La seguridad de la informaciΓ³n es un proceso continuo, no un estado. Implica identificar activos, analizar riesgos, aplicar medidas, monitorizar, detectar incidentes, responder y mejorar. Es un ciclo PDCA (Plan-Do-Check-Act) aplicado a la protecciΓ³n de la informaciΓ³n.
1.2. ΒΏPor QuΓ© es CrΓtico en el SAS?
El Servicio Andaluz de Salud gestiona informaciΓ³n sensibilΓsima. Estamos hablando de:
- β 8.5 millones de historias clΓnicas digitales en Diraya
- β 150 millones de recetas electrΓ³nicas anuales
- β Datos genΓ©ticos, oncolΓ³gicos, de salud mental (categorΓa especial RGPD)
- β MΓ‘s de 100,000 profesionales accediendo a sistemas corporativos
- β 1,500 centros sanitarios conectados a la Red Corporativa
- β Sistemas crΓticos 24/7: urgencias, UCI, quirΓ³fanos, laboratorios
Un fallo de seguridad en el SAS no es solo un problema tΓ©cnico. Puede significar:
- π¨ Riesgo para la vida de pacientes: si un ransomware cifra las historias clΓnicas durante una urgencia
- βοΈ Responsabilidad legal: multas RGPD de hasta 20 millones de euros o 4% del presupuesto
- π° DaΓ±o reputacional: pΓ©rdida de confianza de ciudadanos en el sistema sanitario
- π° Coste econΓ³mico: recuperaciΓ³n de sistemas, indemnizaciones, pΓ©rdida de productividad
π CASO REAL: Ataque Ransomware al SEPE (2021)
En marzo de 2021, el Servicio PΓΊblico de Empleo Estatal sufriΓ³ un ataque de ransomware Ryuk que dejΓ³ fuera de servicio todos sus sistemas durante semanas. El impacto:
- β 710 oficinas sin poder atender presencialmente
- β Prestaciones por desempleo retrasadas
- β Sistemas no recuperados completamente hasta mayo
- π° Coste estimado: varios millones de euros
LecciΓ³n para el SAS: Este tipo de incidentes son reales y ocurren. La ciberseguridad en sanidad no es opcional, es existencial. Por eso el SAS invierte fuertemente en seguridad, planes de continuidad y formaciΓ³n continua.
2. Objetivos, Estrategias y PolΓticas de Seguridad
2.1. Los Cinco Objetivos Fundamentales
La seguridad de la informaciΓ³n persigue proteger cinco dimensiones fundamentales. Y aquΓ viene algo importante: el Esquema Nacional de Seguridad (ENS) define exactamente estas cinco dimensiones para categorizar los sistemas. Las tienes que memorizar porque caen constantemente en exΓ‘menes:
| DimensiΓ³n | DefiniciΓ³n | Ejemplo en el SAS | Consecuencia de Fallo |
|---|---|---|---|
| 1. CONFIDENCIALIDAD | Solo acceden a la informaciΓ³n quienes estΓ‘n autorizados | Un mΓ©dico solo puede ver historias de sus pacientes asignados | ExposiciΓ³n datos salud β RGPD β multa + daΓ±o reputacional |
| 2. INTEGRIDAD | La informaciΓ³n no ha sido alterada de forma no autorizada | Una analΓtica de glucosa no puede ser modificada por error o sabotaje | Decisiones clΓnicas errΓ³neas β riesgo paciente |
| 3. DISPONIBILIDAD | La informaciΓ³n estΓ‘ accesible cuando se necesita | Diraya debe estar disponible 24/7 para urgencias | Imposibilidad de atender pacientes β paralizaciΓ³n asistencial |
| 4. AUTENTICIDAD | Se puede verificar la identidad de usuarios y origen de datos | Firma electrΓ³nica de recetas por el mΓ©dico prescriptor | SuplantaciΓ³n de identidad β prescripciones fraudulentas |
| 5. TRAZABILIDAD | Se registran y pueden auditar acciones sobre la informaciΓ³n | Logs de quiΓ©n accediΓ³ a quΓ© historia clΓnica y cuΓ‘ndo | Imposibilidad de detectar accesos indebidos o investigar incidentes |
π― TRUCO MNEMOTΓCNICO
Para memorizar las 5 dimensiones del ENS, usa el acrΓ³nimo Β«CI-DATΒ»:
- Confidencialidad
- Integridad
- Disponibilidad
- Autenticidad
- Trazabilidad
O si prefieres: Β«Cinco Ingenieros Desarrollan Aplicaciones TrazablesΒ» π
2.2. Estrategias de Seguridad: Enfoque por Capas (Defensa en Profundidad)
Una estrategia de seguridad eficaz no se basa en una única barrera, sino en múltiples capas de defensa. Es como un castillo medieval: no solo tiene murallas exteriores, también tiene foso, torres de vigilancia, puertas fortificadas, guardias en el interior⦠Si un atacante supera una capa, aún quedan otras.
π° Modelo de Seguridad en Capas del SAS
| Capa | Controles de Seguridad | ImplementaciΓ³n SAS |
|---|---|---|
| 1. PerΓmetro de Red | Firewalls, IPS/IDS, Anti-DDoS | Firewalls Palo Alto en CPD, segmentaciΓ³n VLAN, DMZ para servicios pΓΊblicos |
| 2. Acceso a Aplicaciones | AutenticaciΓ³n multifactor, SSO, control de acceso | Sistema IDENTIC (LDAP corporativo), certificados digitales para profesionales |
| 3. Datos | Cifrado en reposo y trΓ‘nsito, enmascaramiento, DLP | TDE en Oracle para Diraya, TLS 1.3 en comunicaciones, cifrado AES-256 |
| 4. Endpoints | Antimalware, EDR, control de dispositivos, hardening | McAfee EPO, control de USB, actualizaciΓ³n automΓ‘tica Windows |
| 5. FΓsica | Control de acceso fΓsico, videovigilancia, CCTV | CPD Tier III en MΓ‘laga con biomΓ©tricos, tarjetas RFID, monitorizaciΓ³n 24/7 |
| 6. Personas | FormaciΓ³n, concienciaciΓ³n, simulacros | FormaciΓ³n anual obligatoria ENS, campaΓ±as anti-phishing, polΓticas de uso aceptable |
π‘ PRINCIPIO FUNDAMENTAL: La seguridad perfecta no existe. El objetivo es hacer que el coste de atacar sea superior al beneficio que obtendrΓa el atacante. Se trata de gestiΓ³n de riesgos, no de eliminaciΓ³n total del riesgo (que es imposible).
2.3. PolΓtica de Seguridad: El Marco de Gobernanza
La polΓtica de seguridad es el documento estratΓ©gico de mΓ‘s alto nivel que define quΓ© se protege, por quΓ©, cΓ³mo y quiΓ©n es responsable. En el SAS existe una PolΓtica de Seguridad de las TecnologΓas de la InformaciΓ³n y Comunicaciones aprobada por la DirecciΓ³n Gerencia que establece:
- π Principios rectores: seguridad desde el diseΓ±o, mΓnimo privilegio, segregaciΓ³n de funciones
- π― Objetivos de seguridad: alineados con el ENS y con la misiΓ³n asistencial del SAS
- π₯ Roles y responsabilidades: quiΓ©n es responsable de quΓ© (RACI)
- π MΓ©tricas y KPIs: cΓ³mo se mide el nivel de seguridad
- βοΈ Cumplimiento normativo: ENS, RGPD, normas sectoriales
- π RevisiΓ³n y mejora continua: actualizaciΓ³n periΓ³dica de la polΓtica
π Marco Normativo de la PolΓtica de Seguridad SAS
- πΉ Real Decreto 311/2022 β Esquema Nacional de Seguridad (ENS)
- πΉ Reglamento UE 2016/679 β RGPD (datos de salud = categorΓa especial)
- πΉ Ley OrgΓ‘nica 3/2018 β LOPDGDD
- πΉ Ley 11/2007 β Acceso electrΓ³nico de los ciudadanos a los servicios pΓΊblicos
- πΉ Decreto 534/2021 β AdministraciΓ³n ElectrΓ³nica del SAS
- πΉ Estrategia Andaluza de Ciberseguridad 2022-2025
- πΉ PolΓtica TIC de la Junta de AndalucΓa
2.4. OrganizaciΓ³n de la Seguridad: Roles y Responsabilidades
El ENS (artΓculo 10) define claramente los roles de seguridad. Es MUY importante que los conozcas porque suelen caer preguntas especΓficas en el examen:
| Rol ENS | Responsabilidad | En el SAS |
|---|---|---|
| Responsable de la InformaciΓ³n | Define requisitos de la informaciΓ³n tratada (quΓ© necesita protegerse) | DirecciΓ³n Asistencial (define que las historias clΓnicas son nivel ALTO) |
| Responsable del Servicio | Define requisitos de los servicios prestados (disponibilidad, continuidad) | DirecciΓ³n de Sistemas de InformaciΓ³n (garantiza que Diraya estΓ© 24/7) |
| Responsable del Sistema | Define requisitos tΓ©cnicos y funcionales del sistema | Jefe de Proyecto Diraya (arquitectura, tecnologΓa, operaciΓ³n) |
| Responsable de Seguridad | SUPERVISA que se cumplen los requisitos de seguridad, coordina medidas, reporta | CISO (Chief Information Security Officer) del SAS o Responsable de Seguridad TI |
β οΈ PREGUNTA TΓPICA DE EXAMEN
El rol de SUPERVISIΓN en el ENS lo desempeΓ±a:
A) El responsable de la informaciΓ³n
B) El responsable del servicio
C) El responsable de la seguridad β
(CORRECTA)
D) El responsable del sistema
Esta pregunta cayΓ³ literalmente en el examen SAS 2023. El responsable de seguridad es quien supervisa el cumplimiento.
3. Esquema Nacional de Seguridad (ENS)
Vamos con el bloque fuerte. El ENS es, sin exagerar, uno de los pilares de este tema y del examen. Es de aplicaciΓ³n obligatoria para todas las administraciones pΓΊblicas, incluido el SAS. Y no solo eso: su cumplimiento es auditable y sancionable.
3.1. ΒΏQuΓ© es el ENS y Por QuΓ© Existe?
El Esquema Nacional de Seguridad es el marco normativo que establece la polΓtica de seguridad en la utilizaciΓ³n de medios electrΓ³nicos en el sector pΓΊblico espaΓ±ol. Se aprobΓ³ inicialmente mediante Real Decreto 3/2010, y actualmente estΓ‘ vigente la versiΓ³n actualizada del Real Decreto 311/2022, de 3 de mayo.
π‘ RAZΓN DE SER DEL ENS: Garantizar que los ciudadanos puedan confiar en que sus datos estΓ‘n protegidos cuando interactΓΊan electrΓ³nicamente con las administraciones. Sin esta confianza, la transformaciΓ³n digital del sector pΓΊblico serΓa imposible.
3.2. Γmbito de AplicaciΓ³n
El ENS se aplica a:
- β AdministraciΓ³n General del Estado y sus organismos pΓΊblicos
- β Administraciones de las Comunidades AutΓ³nomas (incluida Junta de AndalucΓa y SAS)
- β Entidades que integran la AdministraciΓ³n Local
- β Entidades de Derecho PΓΊblico vinculadas o dependientes
Esto significa que TODOS los sistemas de informaciΓ³n del SAS estΓ‘n sujetos al ENS: Diraya, BPS, receta electrΓ³nica, INFOWEB, sistemas de gestiΓ³n econΓ³mica, recursos humanos, etc.
3.3. Principios BΓ‘sicos del ENS
El artΓculo 5 del RD 311/2022 establece 14 principios bΓ‘sicos. Para el examen, es fundamental que conozcas los mΓ‘s importantes:
| Principio | Significado | AplicaciΓ³n SAS |
|---|---|---|
| 1. Seguridad integral | Se abordan aspectos organizativos, procedimentales, tΓ©cnicos y fΓsicos | No basta con firewalls, tambiΓ©n hace falta formaciΓ³n, polΓticas, CPD seguro |
| 2. GestiΓ³n de riesgos | La seguridad se basa en anΓ‘lisis de riesgos (MAGERIT) | Se analizan amenazas a Diraya antes de definir medidas |
| 3. PrevenciΓ³n, detecciΓ³n, respuesta y conservaciΓ³n | Ciclo continuo: evitar incidentes, detectarlos rΓ‘pido, responder y preservar evidencias | SIEM para detectar, equipo CSIRT para responder, backups para conservar |
| 4. LΓneas de defensa | MΓΊltiples capas de seguridad (defensa en profundidad) | Firewall + IDS + antivirus + cifrado + autenticaciΓ³n multifactor |
| 5. Vigilancia continua | MonitorizaciΓ³n permanente 24/7 | SOC (Security Operations Center) del SAS con monitorizaciΓ³n continua |
| 6. ReevaluaciΓ³n periΓ³dica | Las medidas de seguridad se revisan regularmente | AuditorΓas ENS cada 2 aΓ±os (obligatorio para categorΓa MEDIA/ALTA) |
| 7. DiferenciaciΓ³n de responsabilidades | Roles claramente definidos y segregados | Quien desarrolla no es quien despliega en producciΓ³n (DevOps con segregaciΓ³n) |
π PREGUNTA REAL β Examen TFA Medio 2025
Β«Indique cuΓ‘l de los siguientes es un principio bΓ‘sico del ENS:Β»
A) IdentificaciΓ³n, correcciΓ³n y protecciΓ³n
B) Monitoreo, intervenciΓ³n y preservaciΓ³n
C) Existencia de lΓneas de defensa β
(CORRECTA)
D) Vigilancia discontinua
La opciΓ³n D es una trampa: el ENS establece vigilancia CONTINUA, no discontinua.
3.4. CategorizaciΓ³n de Sistemas segΓΊn el ENS
Este apartado es CRΓTICO y cae constantemente en exΓ‘menes. La categorizaciΓ³n determina el nivel de medidas de seguridad que hay que aplicar.
3.4.1. Niveles de Seguridad por DimensiΓ³n
Para cada una de las 5 dimensiones (C-I-D-A-T), el ENS establece 3 niveles segΓΊn el impacto de un incidente:
| Nivel | Impacto | Ejemplos de Consecuencias |
|---|---|---|
| BAJO | Perjuicio limitado, fΓ‘cilmente reparable | Molestias menores, retrasos cortos, costes reducidos |
| MEDIO | Perjuicio grave, reparable con esfuerzo | DaΓ±o significativo, incumplimiento normativo, costes importantes |
| ALTO | Perjuicio muy grave, difΓcilmente reparable | Riesgo para vidas, pΓ©rdidas econΓ³micas mayores, daΓ±o irreversible |
3.4.2. CategorΓa del Sistema = MAX(niveles de sus 5 dimensiones)
REGLA FUNDAMENTAL: La categorΓa del sistema es la del nivel MΓS ALTO de sus dimensiones. Si tienes 4 dimensiones en BAJO y 1 en ALTO β el sistema es de categorΓa ALTA.
π EJEMPLO: CategorizaciΓ³n de Diraya (Historia ClΓnica Digital)
| DimensiΓ³n | Nivel | JustificaciΓ³n |
|---|---|---|
| Confidencialidad | ALTO | Datos de salud = categorΓa especial RGPD. ExposiciΓ³n β multa masiva + daΓ±o reputacional grave |
| Integridad | ALTO | AlteraciΓ³n de datos clΓnicos β decisiones errΓ³neas β riesgo vital pacientes |
| Disponibilidad | ALTO | CaΓda de Diraya en urgencias β imposibilidad atender pacientes β riesgo vital |
| Autenticidad | ALTO | SuplantaciΓ³n mΓ©dico β prescripciones fraudulentas β daΓ±o pacientes |
| Trazabilidad | ALTO | Sin logs β imposible investigar accesos indebidos β sanciΓ³n RGPD + imposibilidad probar responsabilidades |
RESULTADO: Diraya es un sistema de categorΓa ALTA
Consecuencias:
- β Requiere auditorΓa de seguridad cada 2 aΓ±os (art. 31 ENS)
- β Necesita certificaciΓ³n de conformidad por organismo acreditado
- β Debe aplicar todas las medidas ENS en nivel ALTO (75 controles)
- β Obligatorio tener plan de continuidad documentado y probado
β οΈ CASO PRΓCTICO TΓPICO DE EXAMEN
Te van a dar un supuesto con las 5 dimensiones valoradas y tienes que determinar la categorΓa. Ejemplo real del examen TFA Agencia 2023:
Β«Un sistema tiene:
- Confidencialidad: MEDIO (incumplimiento material norma jurΓdica)
- Integridad: BAJO (reducciΓ³n apreciable capacidad organizaciΓ³n)
- Disponibilidad: MEDIO (RTO de 1 dΓa)
- Autenticidad: BAJO (perjuicio menor fΓ‘cilmente reparable)
- Trazabilidad: MEDIO
ΒΏCuΓ‘l es la categorΓa del sistema?Β»
Respuesta: MEDIA (porque el nivel mΓ‘s alto es MEDIO en 3 dimensiones)
3.5. DeclaraciΓ³n de Aplicabilidad y Conformidad
| CategorΓa | DeclaraciΓ³n/CertificaciΓ³n | QuiΓ©n la realiza | Validez |
|---|---|---|---|
| BΓSICA | DeclaraciΓ³n de conformidad | El propio responsable del sistema | 2 aΓ±os |
| MEDIA | CertificaciΓ³n de conformidad | Entidad de certificaciΓ³n acreditada ENAC | 2 aΓ±os |
| ALTA | CertificaciΓ³n de conformidad | Entidad de certificaciΓ³n acreditada ENAC | 2 aΓ±os |
π PREGUNTA REAL β TFA Agencia 2023
«¿CuΓ‘l de las siguientes categorΓas requerirΓ‘ un proceso de declaraciΓ³n de conformidad segΓΊn el ENS?Β»
A) Sistemas de categorΓa BΓSICA β
(CORRECTA)
B) Sistemas de categorΓa MEDIA
C) Sistemas de categorΓa ALTA
D) Ninguno requiere declaraciΓ³n, todos necesitan certificaciΓ³n
Las categorΓas MEDIA y ALTA requieren certificaciΓ³n por entidad acreditada, solo BΓSICA requiere declaraciΓ³n.
3.6. AuditorΓas de Seguridad ENS
El artΓculo 31 del RD 311/2022 establece la obligatoriedad de auditorΓas regulares:
π ArtΓculo 31: AuditorΓa Regular de la Seguridad
Β«Los sistemas de informaciΓ³n comprendidos en el Γ‘mbito de aplicaciΓ³n de este real decreto serΓ‘n objeto de una auditorΓa regular ordinaria que verifique el cumplimiento de los requisitos del ENS al menos cada dos aΓ±os, pudiendo extenderse durante tres meses adicionales cuando concurran impedimentos de fuerza mayor no imputables a la entidad.Β»
β οΈ PREGUNTA LITERAL β Examen TFA Medio 2025
Β«SegΓΊn el artΓculo 31 del Real Decreto 311/2022 (ENS), los sistemas deben ser auditados:Β»
A) Al menos cada 18 meses, extensiΓ³n de 6 meses
B) Al menos cada 2 aΓ±os, sin posibilidad de extensiΓ³n
C) Al menos cada 2 aΓ±os, extensiΓ³n de 3 meses β
(CORRECTA)
D) Al menos cada 12 meses, extensiΓ³n de 6 meses hasta mΓ‘ximo 36
4. MAGERIT: MetodologΓa de AnΓ‘lisis y GestiΓ³n de Riesgos
MAGERIT es la metodologΓa oficial del sector pΓΊblico espaΓ±ol para el anΓ‘lisis y gestiΓ³n de riesgos de los sistemas de informaciΓ³n. EstΓ‘ desarrollada por el CCN-CERT (Centro CriptolΓ³gico Nacional) y es la herramienta fundamental para cumplir con el principio ENS de Β«gestiΓ³n de riesgosΒ».
4.1. ΒΏQuΓ© es MAGERIT?
MAGERIT = MetodologΓa de AnΓ‘lisis y GestiΓ³n de Riesgos de los Sistemas de InformaciΓ³n de las Administraciones PΓΊblicas
Es un mΓ©todo sistemΓ‘tico para:
- 1οΈβ£ Identificar los activos de informaciΓ³n
- 2οΈβ£ Valorar su importancia para la organizaciΓ³n
- 3οΈβ£ Identificar las amenazas a las que estΓ‘n expuestos
- 4οΈβ£ Estimar el impacto y la probabilidad de materializaciΓ³n
- 5οΈβ£ Calcular el riesgo (Impacto Γ Probabilidad)
- 6οΈβ£ Proponer medidas de seguridad (salvaguardas)
- 7οΈβ£ Calcular el riesgo residual tras aplicar medidas
4.2. Conceptos Fundamentales de MAGERIT
| Concepto | DefiniciΓ³n | Ejemplo en Diraya |
|---|---|---|
| ACTIVO | Recurso del sistema de informaciΓ³n que tiene valor para la organizaciΓ³n | Base de datos Oracle con historias clΓnicas, servidor de aplicaciΓ³n, datos de pacientes |
| AMENAZA | Evento que puede causar un incidente de seguridad | Ransomware, acceso no autorizado, fallo hardware, error humano |
| VULNERABILIDAD | Debilidad que puede ser explotada por una amenaza | Sistema operativo sin parchear, contraseΓ±a dΓ©bil, falta de cifrado |
| IMPACTO | Consecuencia de que se materialice la amenaza | ExposiciΓ³n de 10,000 historias clΓnicas β multa RGPD + daΓ±o reputacional |
| RIESGO | Probabilidad Γ Impacto | Si hay 30% probabilidad de ransomware e impacto de 1Mβ¬ β riesgo = 300Kβ¬ |
| SALVAGUARDA | Medida de seguridad que reduce el riesgo | Backup diario, antivirus, formaciΓ³n usuarios, firewall |
| RIESGO RESIDUAL | Riesgo que queda tras aplicar salvaguardas | Tras backup y antivirus, riesgo de ransomware baja de 300K⬠a 50K⬠|
4.3. Tipos de AnΓ‘lisis de Riesgos en MAGERIT
MAGERIT contempla dos enfoques segΓΊn la categorΓa ENS del sistema:
| Tipo | CaracterΓsticas | CuΓ‘ndo se Usa | Ejemplo |
|---|---|---|---|
| CUALITATIVO | Usa escalas discretas (Muy Bajo, Bajo, Medio, Alto, Muy Alto) | Sistemas categorΓa BΓSICA o MEDIA. AnΓ‘lisis rΓ‘pido. | Β«El riesgo de fuga de datos es ALTOΒ» |
| CUANTITATIVO | Usa valores numΓ©ricos y monetarios (euros, probabilidades %) | Sistemas categorΓa ALTA. Decisiones de inversiΓ³n en seguridad. | Β«El riesgo de fuga de datos es 250,000β¬/aΓ±oΒ» |
| SEMIFORMAL | Usa catΓ‘logo de amenazas, lenguaje especΓfico, semΓ‘ntica definida | Nivel intermedio | CatΓ‘logo CCN-CERT de amenazas |
| FORMAL | Fundamento matemΓ‘tico reconocido (estadΓstica, teorΓa de probabilidades) | Sistemas crΓticos categorΓa ALTA | AnΓ‘lisis de disponibilidad con modelos Markov |
π PREGUNTA REAL β TFA Agencia 2023
Β«Dado que el sistema ha sido categorizado como de categorΓa ALTA de acuerdo con el ENS, la medida de seguridad [op.pl.1] sobre AnΓ‘lisis de Riesgos requerirΓ‘:Β»
A) AnΓ‘lisis de riesgos informal, en lenguaje natural
B) AnΓ‘lisis semiformal con catΓ‘logo bΓ‘sico de amenazas
C) AnΓ‘lisis formal con fundamento matemΓ‘tico reconocido internacionalmente β
(CORRECTA)
D) Ninguna de las anteriores
Para categorΓa ALTA, el ENS exige anΓ‘lisis de riesgos FORMAL.
β οΈ PREGUNTA TΓPICA β Examen TFA Medio 2025
«¿Qué elemento distingue principalmente el anÑlisis cualitativo del cuantitativo en MAGERIT?»
A) El uso de escalas de valores discretos para valorar activos y amenazas β
(CORRECTA)
B) La implementaciΓ³n de controles de seguridad especΓficos
C) El tiempo necesario para realizar el anΓ‘lisis
D) La necesidad de usar la herramienta PILAR
4.4. PILAR: Herramienta de Apoyo a MAGERIT
PILAR es la aplicaciΓ³n informΓ‘tica desarrollada por el CCN-CERT para facilitar la aplicaciΓ³n de MAGERIT. Permite:
- β Modelar el sistema de informaciΓ³n (activos, relaciones)
- β Seleccionar amenazas del catΓ‘logo CCN-CERT
- β Valorar activos en las 5 dimensiones ENS (C-I-D-A-T)
- β Calcular riesgos automΓ‘ticamente
- β Proponer salvaguardas segΓΊn ENS
- β Generar informes de anΓ‘lisis de riesgos
π PREGUNTA REAL β Examen SAS 2023
«¿CuÑl de las siguientes dimensiones de seguridad es una en la que permite analizar los riesgos la solución PILAR?»
A) Continuidad
B) Resiliencia
C) Disponibilidad β
(CORRECTA)
D) Fiabilidad
PILAR permite analizar las 5 dimensiones ENS: Confidencialidad, Integridad, Disponibilidad, Autenticidad y Trazabilidad. Β«ContinuidadΒ» y Β«ResilienciaΒ» no son dimensiones ENS.
4.5. Proceso de AnΓ‘lisis de Riesgos MAGERIT (Paso a Paso)
π CASO PRΓCTICO: AnΓ‘lisis de Riesgos del Sistema de Receta ElectrΓ³nica (Receta XXI)
PASO 1: IdentificaciΓ³n de Activos
- [A01] Base de datos de medicamentos prescritos
- [A02] Servidor de aplicaciΓ³n Receta XXI
- [A03] Interfaz web para mΓ©dicos
- [A04] Interfaz para farmacias
- [A05] Sistema de firma electrΓ³nica
- [A06] Comunicaciones (Red Corporativa SAS)
PASO 2: ValoraciΓ³n de Activos (dimensiones ENS)
| Activo | C | I | D | A | T |
|---|---|---|---|---|---|
| [A01] BD medicamentos | ALTO | ALTO | ALTO | ALTO | ALTO |
| [A02] Servidor aplicaciΓ³n | MEDIO | ALTO | ALTO | MEDIO | ALTO |
PASO 3: IdentificaciΓ³n de Amenazas
- [T.1] Errores de los usuarios (prescripciΓ³n errΓ³nea)
- [T.5] AverΓas del sistema (caΓda servidor)
- [T.9] Fuga de informaciΓ³n (acceso no autorizado a recetas)
- [T.11] CΓ³digo malicioso (ransomware)
- [T.15] ModificaciΓ³n no autorizada de informaciΓ³n (alteraciΓ³n recetas)
PASO 4: EstimaciΓ³n de Impacto y Probabilidad
| Amenaza | Activo | Probabilidad | Impacto | Riesgo |
|---|---|---|---|---|
| [T.9] Fuga informaciΓ³n | [A01] BD | Media (50) | Muy Alto (100) | 5000 (CRΓTICO) |
| [T.5] AverΓa sistema | [A02] Servidor | Media (50) | Alto (80) | 4000 (ALTO) |
| [T.1] Error usuario | [A03] Interfaz | Alta (75) | Medio (50) | 3750 (ALTO) |
PASO 5: Propuesta de Salvaguardas
- β [mp.com.2] Cifrado de comunicaciones (TLS 1.3)
- β [mp.info.3] Cifrado de datos en BD (TDE Oracle)
- β [op.exp.4] Backup diario con retenciΓ³n 30 dΓas
- β [mp.per.4] FormaciΓ³n usuarios en prescripciΓ³n segura
- β [op.cont.1] Plan de continuidad con RTO < 4 horas
- β [mp.acc.6] Control de acceso basado en roles (RBAC)
PASO 6: CΓ‘lculo de Riesgo Residual
| Amenaza | Riesgo Inicial | Salvaguardas | Riesgo Residual |
|---|---|---|---|
| [T.9] Fuga informaciΓ³n | 5000 | Cifrado + RBAC | 800 (BAJO) |
| [T.5] AverΓa | 4000 | Backup + Plan continuidad | 600 (BAJO) |
DECISIΓN: Los riesgos residuales son aceptables. Se aprueba el sistema para producciΓ³n con las salvaguardas propuestas.
5. Medidas de Seguridad (FΓsicas, TΓ©cnicas, Organizativas y Legales)
El Anexo II del ENS establece 75 controles de seguridad organizados en 3 grandes marcos y mΓΊltiples familias. Estas medidas son de aplicaciΓ³n obligatoria segΓΊn la categorΓa del sistema. Vamos a verlas de forma estructurada porque es un apartado denso pero muy preguntado en exΓ‘menes.
5.1. Estructura de las Medidas ENS
| Marco | Familias | NΒΊ Medidas |
|---|---|---|
| org (Organizativas) | OrganizaciΓ³n, OperaciΓ³n, Acceso, Continuidad | 27 medidas |
| op (Operacionales) | PlanificaciΓ³n, ExplotaciΓ³n, Control de acceso, Continuidad | 24 medidas |
| mp (Medidas de ProtecciΓ³n) | Equipos, Comunicaciones, Soportes, Aplicaciones, Personal, Servicios subcontratados | 24 medidas |
5.2. Medidas de Seguridad Organizativas (org)
5.2.1. Marco Organizativo (org)
| CΓ³digo | Medida | AplicaciΓ³n SAS |
|---|---|---|
| [org.1] | PolΓtica de seguridad | PolΓtica de Seguridad TIC del SAS aprobada por DirecciΓ³n Gerencia |
| [org.2] | Normativa de seguridad | Procedimientos operativos, guΓas de configuraciΓ³n segura, manuales de usuario |
| [org.3] | Procedimientos de seguridad | Procedimiento de gestiΓ³n de incidentes, de alta/baja usuarios, de backup/restore |
| [org.4] | Proceso de autorizaciΓ³n | AutorizaciΓ³n formal antes de poner en producciΓ³n cualquier sistema o cambio relevante |
5.3. Medidas de Seguridad Operacionales (op)
5.3.1. PlanificaciΓ³n (op.pl)
| CΓ³digo | Medida | AplicaciΓ³n SAS |
|---|---|---|
| [op.pl.1] | AnΓ‘lisis de riesgos | MAGERIT con PILAR. CategorΓa ALTA β anΓ‘lisis formal |
| [op.pl.2] | Arquitectura de seguridad | SegmentaciΓ³n red en DMZ/Interna/GestiΓ³n, defensa en profundidad |
| [op.pl.3] | AdquisiciΓ³n de nuevos componentes | Requisitos de seguridad en pliegos de contrataciΓ³n TIC |
| [op.pl.4] | Dimensionamiento/GestiΓ³n de capacidad | MonitorizaciΓ³n capacidad servidores, almacenamiento, red (prevenciΓ³n caΓdas por saturaciΓ³n) |
5.3.2. Control de Acceso (op.acc)
| CΓ³digo | Medida | AplicaciΓ³n SAS |
|---|---|---|
| [op.acc.4] | SegregaciΓ³n de funciones y tareas | Quien desarrolla no despliega en producciΓ³n. DBA β Auditor |
| [op.acc.5] | Proceso de gestiΓ³n de derechos de acceso | Workflow formal de alta/modificaciΓ³n/baja de permisos en IDENTIC |
| [op.acc.6] | Mecanismo de autenticaciΓ³n | Usuario+contraseΓ±a + certificado digital para acceso remoto |
β οΈ PREGUNTA REAL β TFA Agencia 2023
Β«SegΓΊn la medida [op.acc.4] sobre SegregaciΓ³n de funciones, el Refuerzo R1 (SegregaciΓ³n rigurosa) implica:Β»
A) Las capacidades de desarrollo y operaciΓ³n no recaen en la misma persona
B) Las personas que autorizan y controlan el uso son distintas
C) La misma persona no aΓΊna funciones de configuraciΓ³n y mantenimiento, ni auditorΓa con cualquier otra funciΓ³n β
(CORRECTA)
D) Existen cuentas con privilegios de auditorΓa personalizadas
5.4. Medidas de ProtecciΓ³n (mp)
5.4.1. ProtecciΓ³n de Equipos (mp.eq)
| CΓ³digo | Medida | AplicaciΓ³n SAS |
|---|---|---|
| [mp.eq.1] | Puesto de trabajo | Sistema LeTSAS (Linux Terminal SAS), escritorios bloqueables, pantallas privacidad |
| [mp.eq.2] | PortΓ‘tiles | Cifrado de disco BitLocker, VPN obligatoria para acceso remoto |
| [mp.eq.3] | Dispositivos mΓ³viles | MDM (Mobile Device Management), borrado remoto, segregaciΓ³n datos personales/corporativos |
5.4.2. ProtecciΓ³n de Comunicaciones (mp.com)
| CΓ³digo | Medida | AplicaciΓ³n SAS |
|---|---|---|
| [mp.com.1] | PerΓmetro seguro | Cortafuegos perimetral (Palo Alto/Fortinet) con reglas restrictivas |
| [mp.com.2] | ProtecciΓ³n de la confidencialidad | TLS 1.3 para Diraya, VPN IPSec para interconexiΓ³n centros |
| [mp.com.3] | ProtecciΓ³n de la integridad y autenticidad | Certificados digitales para firma electrΓ³nica recetas, autenticaciΓ³n mutua TLS |
| [mp.com.4] | SegregaciΓ³n de redes | VLANs separadas: ClΓnica / Administrativa / GestiΓ³n / Invitados / IoT mΓ©dico |
π Ejemplo Real: SegregaciΓ³n de Redes en Hospital SAS
VLAN 10 - Red ClΓnica Diraya β Acceso a HIS, PACS, LIS VLAN 20 - Red Administrativa β ERP, RRHH, email corporativo VLAN 30 - Red de GestiΓ³n β Acceso a switches, routers, SAI VLAN 40 - Red WiFi Profesionales β Acceso a intranet y Diraya VLAN 50 - Red WiFi Pacientes β Internet filtrado, sin acceso interno VLAN 60 - Red IoT MΓ©dico β Monitores, bombas infusiΓ³n, ventiladores VLAN 99 - Red Cuarentena β Equipos con malware detectado Firewall inter-VLAN: Reglas explΓcitas de quΓ© puede hablar con quΓ© IDS/IPS: MonitorizaciΓ³n trΓ‘fico anΓ³malo entre VLANs
5.4.3. ProtecciΓ³n de la InformaciΓ³n (mp.info)
| CΓ³digo | Medida | AplicaciΓ³n SAS |
|---|---|---|
| [mp.info.1] | Datos en reposo | Cifrado TDE (Transparent Data Encryption) en Oracle para BD Diraya |
| [mp.info.2] | Datos en trΓ‘nsito | TLS 1.3 obligatorio, deshabilitar SSL v2/v3 y TLS 1.0/1.1 |
| [mp.info.3] | Copias de seguridad | Backup cifrado AES-256, almacenamiento off-site, pruebas restore trimestrales |
| [mp.info.6] | Limpieza de documentos | DestrucciΓ³n segura de soportes con datos sensibles (trituradoras certificadas) |
5.4.4. ProtecciΓ³n de las Aplicaciones (mp.sw)
| CΓ³digo | Medida | AplicaciΓ³n SAS |
|---|---|---|
| [mp.sw.1] | Desarrollo seguro | OWASP Top 10, anΓ‘lisis cΓ³digo estΓ‘tico (SonarQube), revisiΓ³n seguridad pre-producciΓ³n |
| [mp.sw.2] | AceptaciΓ³n y puesta en servicio | Pruebas penetraciΓ³n antes de producciΓ³n, certificaciΓ³n conformidad ENS |
5.5. ClasificaciΓ³n de Medidas segΓΊn CategorΓa del Sistema
Las medidas ENS tienen diferentes niveles de aplicaciΓ³n segΓΊn la categorΓa del sistema:
| Nivel | CategorΓa BAJA | CategorΓa MEDIA | CategorΓa ALTA |
|---|---|---|---|
| AplicaciΓ³n | Obligatorio | Obligatorio + Refuerzos | Obligatorio + Todos los Refuerzos |
| AnΓ‘lisis Riesgos | Simplificado | Formal periΓ³dico | Formal riguroso + revisiΓ³n anual |
| AuditorΓa | No obligatoria | Cada 2 aΓ±os | Cada 2 aΓ±os + auditorΓa continua |
| DocumentaciΓ³n | BΓ‘sica | Completa | Exhaustiva + trazabilidad completa |
π‘ Ejemplos de CategorizaciΓ³n SAS
- ALTA: Diraya Historia Digital, Base de Datos Γnica (datos personales salud + millones de registros)
- MEDIA: Portal profesionales SAS, sistema gestiΓ³n citas
- BAJA: Web informativa hospital (sin datos personales), catΓ‘logo servicios
5.6. Medidas de Seguridad FΓsica
Aunque el ENS integra la seguridad fΓsica dentro de las medidas tΓ©cnicas y organizativas, es importante destacar aspectos especΓficos crΓticos en el SAS:
- Control de acceso biomΓ©trico: Huella dactilar + tarjeta RFID para acceso a salas de servidores
- Videovigilancia 24/7: CΓ‘maras con grabaciΓ³n mΓnimo 30 dΓas, monitorizaciΓ³n en tiempo real
- DetecciΓ³n incendios: Sistema VESDA (Very Early Smoke Detection Apparatus) + extinciΓ³n gas inerte FM-200
- Control ambiental: Temperatura 18-24Β°C, humedad 40-60%, doble alimentaciΓ³n elΓ©ctrica + SAI + grupo electrΓ³geno
- ProtecciΓ³n contra inundaciones: Sala elevada, detectores nivel agua, drenaje automΓ‘tico
- Jaulas de seguridad: Racks con cerradura individual para equipos crΓticos
5.7. Medidas de Seguridad Legales
El cumplimiento normativo es una medida de seguridad en sΓ misma. En el Γ‘mbito sanitario del SAS, confluyen mΓΊltiples marcos legales:
| Marco Legal | ObligaciΓ³n | Responsable SAS |
|---|---|---|
| RGPD + LOPDGDD | ProtecciΓ³n datos personales salud (categorΓa especial) | Delegado ProtecciΓ³n Datos (DPO) |
| Ley 41/2002 | AutonomΓa paciente, confidencialidad historia clΓnica | DirecciΓ³n Asistencial |
| ENS (RD 311/2022) | Seguridad sistemas informaciΓ³n AAPP | Responsable de Seguridad (RSI) |
| Ley 39/2015 | Procedimiento administrativo electrΓ³nico | Responsable AdministraciΓ³n ElectrΓ³nica |
| Directiva NIS2 | Ciberseguridad operadores esenciales (sanidad incluida) | CISO + ComitΓ© Ciberseguridad |
β οΈ Sanciones por Incumplimiento
RGPD: Hasta 20 millones β¬ o 4% facturaciΓ³n anual (el mayor)
ENS: Responsabilidad patrimonial por daΓ±os + pΓ©rdida certificaciΓ³n
Ley 41/2002: Responsabilidad penal por vulneraciΓ³n secreto (art. 199 CP): prisiΓ³n 1-4 aΓ±os
Ejemplo real: Multa 600.000β¬ a hospital por accesos indebidos a historias clΓnicas de famosos
6. Planes de Contingencia y RecuperaciΓ³n ante Desastres
Un Plan de Contingencia es el conjunto de procedimientos diseΓ±ados para responder ante situaciones de emergencia que puedan afectar la disponibilidad de los sistemas de informaciΓ³n. En el SAS, donde la disponibilidad de Diraya puede significar literalmente vida o muerte, estos planes son crΓticos.
6.1. Conceptos Fundamentales
6.2. Fases del Plan de Contingencia
| Fase | Objetivo | Actividades Clave | Responsable SAS |
|---|---|---|---|
| 1. PrevenciΓ³n | Evitar que ocurra el incidente | Copias seguridad, redundancia HW, monitorizaciΓ³n | Equipo Operaciones CPD |
| 2. DetecciΓ³n | Identificar el incidente lo antes posible | Sistemas monitorizaciΓ³n 24/7, alertas automΓ‘ticas | NOC (Network Operations Center) |
| 3. Respuesta Inmediata | Contener el daΓ±o | Activar procedimientos emergencia, aislar sistemas afectados | Jefe de Guardia TIC |
| 4. RecuperaciΓ³n | Restaurar el servicio | Ejecutar plan DRP, activar CPD alternativo si procede | ComitΓ© Crisis TIC |
| 5. ReanudaciΓ³n | Volver a la normalidad | Migrar de vuelta a producciΓ³n principal, verificar integridad | Responsable Sistemas |
| 6. Post-mortem | Aprender del incidente | AnΓ‘lisis causa raΓz, actualizar documentaciΓ³n, formaciΓ³n | ComitΓ© Seguridad + RSI |
6.3. Estructura del Plan de Contingencia SAS
El Plan de Contingencia TIC del SAS debe incluir obligatoriamente:
- Alcance y Objetivos: Sistemas incluidos (Diraya, BDU, Receta XXI, etc.), RTO/RPO por sistema
- AnΓ‘lisis de Impacto al Negocio (BIA): Criticidad de cada sistema, dependencias entre sistemas
- IdentificaciΓ³n de Amenazas: Incendio CPD, ciberataque ransomware, fallo elΓ©ctrico prolongado, terremoto, inundaciΓ³n
- Estrategias de RecuperaciΓ³n: Hot site, warm site, cold site, cloud DR
- Procedimientos Operativos: Paso a paso quΓ© hacer en cada escenario
- Equipos y Responsabilidades: Matriz RACI clara, cadena de mando, nΓΊmeros contacto 24/7
- Recursos Necesarios: HW alternativo, SW licencias, enlaces comunicaciones respaldo
- Plan de ComunicaciΓ³n: CΓ³mo informar a direcciΓ³n, profesionales, pacientes, prensa
- Pruebas y Mantenimiento: Simulacros anuales, actualizaciΓ³n trimestral documentaciΓ³n
π Caso PrΓ‘ctico: Incendio en CPD Principal SAS
ESCENARIO: 03:00 AM β Incendio en sala elΓ©ctrica CPD Granada. ActivaciΓ³n FM-200 exitosa pero daΓ±os en UPS. EstimaciΓ³n reparaciΓ³n: 48 horas.
SISTEMAS AFECTADOS:
- Diraya Historia Digital (CRΓTICO β RTO 4h)
- Receta XXI (CRΓTICO β RTO 2h)
- BDU Base Datos Γnica (CRΓTICO β RTO 4h)
- Portal Profesionales (ALTO β RTO 8h)
ACCIONES INMEDIATAS (T+15 min):
- 03:15 β Jefe Guardia TIC activa Nivel 3 β Desastre Mayor
- 03:20 β Convocatoria ComitΓ© Crisis (Zoom): Director TIC + RSI + DBA + Networking
- 03:25 β DecisiΓ³n: Activar CPD Respaldo Sevilla (warm site)
- 03:30 β DBA inicia restore ΓΊltimo backup Diraya (02:45 AM β RPO 15 min cumplido)
RECUPERACIΓN (T+4h):
- 04:00 β VerificaciΓ³n integridad BD restaurada
- 05:00 β Pruebas funcionales Diraya con 5 usuarios piloto
- 06:00 β DNS apunta a Sevilla, Diraya online β
- 07:00 β Comunicado profesionales: servicio restaurado, posible pΓ©rdida datos 02:45-03:00
RTO Real: 3h 45 min (objetivo 4h cumplido β )
RPO Real: 15 min (objetivo 15 min cumplido β )
6.4. Tipos de Sitios de RecuperaciΓ³n
| Tipo | CaracterΓsticas | RTO | Coste | Uso SAS |
|---|---|---|---|---|
| Hot Site | CPD duplicado con datos replicados en tiempo real | < 1 hora | Muy alto | Diraya (replicaciΓ³n Oracle DataGuard) |
| Warm Site | CPD con HW preparado, restore backup reciente | 4-12 horas | Medio | Sistemas administrativos, portales |
| Cold Site | Espacio fΓsico con infraestructura bΓ‘sica | > 72 horas | Bajo | Sistemas no crΓticos, almacenamiento histΓ³rico |
| Cloud DR | RecuperaciΓ³n en nube pΓΊblica/hΓbrida | Variable (2-24h) | Medio (pago uso) | Aplicaciones no reguladas, desarrollo |
6.5. Pruebas del Plan de Contingencia
El ENS obliga a realizar pruebas periΓ³dicas del plan. Tipos de pruebas:
π‘ Lecciones Aprendidas β Simulacro SAS 2024
Hallazgos del ΓΊltimo simulacro completo:
- β RTO Diraya cumplido: 3h 20min (objetivo 4h)
- β DocumentaciΓ³n DNS desactualizada, retrasΓ³ conmutaciΓ³n 45 min
- β 3 servidores aplicaciΓ³n con versiΓ³n Java desincronizada respecto a producciΓ³n
- β ComunicaciΓ³n con usuarios excelente: portal info actualizado cada 30 min
- β οΈ Consumo ancho de banda CPD alternativo 92% durante pico β dimensionar
Acciones correctivas: Automatizar sincronizaciΓ³n configuraciones, aumentar BW a 2Γ10 Gbps
7. Respaldo y Continuidad de Negocio
Mientras que el Plan de Contingencia se centra en la recuperaciΓ³n TIC tras un desastre, el Plan de Continuidad de Negocio (BCP β Business Continuity Plan) tiene una visiΓ³n mΓ‘s amplia: cΓ³mo la organizaciΓ³n sanitaria SAS puede seguir prestando asistencia sanitaria cuando los sistemas TIC fallen.
7.1. Diferencia entre DR y BC
| Aspecto | Disaster Recovery (DR) | Business Continuity (BC) |
|---|---|---|
| Alcance | TecnologΓa (TIC) | Toda la organizaciΓ³n |
| Enfoque | Reactivo (despuΓ©s del desastre) | Proactivo (preparaciΓ³n previa) |
| Objetivo | Restaurar sistemas informΓ‘ticos | Mantener servicios crΓticos del negocio |
| Responsable | Director TIC / RSI | DirecciΓ³n Gerencia / ComitΓ© DirecciΓ³n |
| Ejemplo SAS | Recuperar Diraya en CPD alternativo | Atender pacientes urgentes aunque Diraya estΓ© caΓdo (papel, telΓ©fono) |
7.2. Estrategia de Copias de Seguridad (Backup)
Las copias de seguridad son la piedra angular de cualquier estrategia de recuperaciΓ³n. En el SAS manejamos datos altamente sensibles (salud) con requisitos legales estrictos de conservaciΓ³n.
7.2.1. Tipos de Backup
| Tipo | QuΓ© se Copia | Ventajas | Desventajas | Uso SAS |
|---|---|---|---|---|
| Completo (Full) | Todo | Restore rΓ‘pido | Lento, mucho espacio | Domingos 00:00 |
| Incremental | Solo cambios desde ΓΊltimo backup | RΓ‘pido, poco espacio | Restore lento (necesita full + todos incrementales) | Lunes-SΓ‘bado 02:00 |
| Diferencial | Cambios desde ΓΊltimo full | Restore medio (full + ΓΊltimo diferencial) | Ocupa mΓ‘s que incremental | Alternativa a incremental en algunos sistemas |
| Snapshot | Imagen instantΓ‘nea (cabinas SAN) | Inmediato, sin parar servicio | No es backup off-site | Antes de cambios crΓticos |
7.2.2. Regla 3-2-1 (Best Practice Backup)
- 3 copias de los datos (1 producciΓ³n + 2 backup)
- 2 soportes diferentes (ej: disco + cinta)
- 1 copia off-site (fuera del CPD principal)
Ampliado a 3-2-1-1-0:
- +1: Una copia offline (air-gapped, protecciΓ³n anti-ransomware)
- +0: Cero errores de verificaciΓ³n (test restore periΓ³dico)
π Estrategia Backup Diraya (ProducciΓ³n Real SAS)
COPIA 1 - ProducciΓ³n: ββ BD Oracle Diraya en cabina NetApp (RAID 10, doble controladora) COPIA 2 - Backup Primario (Mismo CPD): ββ Snapshot cabina NetApp cada 4 horas (retenciΓ³n 48h) ββ Backup incremental diario β Disco DEDUP (Data Domain) ββ Backup full domingos β Disco DEDUP COPIA 3 - Backup Secundario (Off-site): ββ ReplicaciΓ³n asΓncrona a CPD Sevilla (RPO 15 min) ββ Copia cinta LTO-9 mensual β BΓΊnker externo COPIA 4 - Backup Offline (Air-gapped): ββ Copia cinta LTO-9 trimestral β Caja fuerte banco (protecciΓ³n ransomware) RetenciΓ³n Legal (Ley 41/2002): ββ Historia clΓnica: MΓnimo 5 aΓ±os desde alta ββ Informes crΓticos: 15 aΓ±os ββ Datos menores: Hasta mayorΓa edad + 5 aΓ±os
7.2.3. Pruebas de Restore (Lo MΓ‘s Importante)
β οΈ CRΓTICO β Β«Un backup sin probar es SchrΓΆdingerβs BackupΒ»
Existe el backup pero no sabes si funciona hasta que lo necesitas. Y para entonces ya es tarde.
Caso real 2019: Hospital descubre en pleno ransomware que sus backups de 6 meses estΓ‘n corruptos. PΓ©rdida de datos irreparable.
ObligaciΓ³n ENS: Pruebas restore trimestrales documentadas + restore completo anual.
7.3. Alta Disponibilidad vs. Continuidad
Hay confusiΓ³n frecuente entre estos conceptos. Aclaremos:
| CaracterΓstica | Alta Disponibilidad (HA) | Continuidad de Negocio (BC) |
|---|---|---|
| Objetivo | Minimizar downtime planificado y no planificado | Seguir operando tras desastre mayor |
| TecnologΓa | Clustering, load balancing, failover automΓ‘tico | CPD alternativo, procedimientos manuales |
| Alcance Fallo | Componente (servidor, disco, red) | Sitio completo (incendio, terremoto) |
| Tiempo RecuperaciΓ³n | Segundos/minutos (automΓ‘tico) | Horas/dΓas (intervenciΓ³n humana) |
| MΓ©trica | Disponibilidad % (ej: 99,99% = 52 min/aΓ±o downtime) | RTO / RPO |
| Ejemplo Diraya | Cluster 3 servidores aplicaciΓ³n + balanceador | CPD Sevilla con Oracle DataGuard |
7.4. Niveles de Disponibilidad
| SLA (%) | Downtime AΓ±o | Coste Relativo | Uso SAS |
|---|---|---|---|
| 99% (two nines) | 3,65 dΓas | Bajo | Aplicaciones internas no crΓticas |
| 99,9% (three nines) | 8,76 horas | Medio | Portal profesionales, citas |
| 99,99% (four nines) | 52,56 minutos | Alto | Diraya, Receta XXI |
| 99,999% (five nines) | 5,26 minutos | Muy alto | Sistemas vida/muerte (UCI, quirΓ³fanos) |
π‘ CΓ‘lculo Disponibilidad
Disponibilidad (%) = (Tiempo Total β Tiempo CaΓdo) / Tiempo Total Γ 100
Ejemplo Diraya 2024: 365 dΓas = 525.600 minutos. CaΓdas totales: 45 minutos.
Disponibilidad = (525.600 β 45) / 525.600 Γ 100 = 99,991% β
7.5. Procedimientos Modo Degradado
Cuando Diraya cae, ΒΏquΓ© hacemos? No podemos decirle al infarto que espere 4 horas. El Plan de Continuidad incluye procedimientos en modo degradado:
π Protocolo CaΓda Diraya en Urgencias
- T+0 min: DetecciΓ³n caΓda. Triaje avisa a Sistemas.
- T+5 min: ActivaciΓ³n Modo Papel:
- Impresos historia clΓnica de urgencias en papel (disponibles siempre)
- Consulta historial llamando a AdmisiΓ³n (tienen backup lectura BD replicada)
- PrescripciΓ³n manual en talonario oficial (vΓ‘lido legalmente 24h)
- T+4 horas: EstimaciΓ³n restore sistema.
- T+4h a T+48h: TranscripciΓ³n papel β Diraya por auxiliares administrativos (horas extra, personal refuerzo).
Coste estimado caΓda 24h Diraya: 180.000β¬ (horas extra transcripciΓ³n + pΓ©rdida productividad)
8. PolΓtica de Seguridad TIC en Junta de AndalucΓa y SAS
La PolΓtica de Seguridad TIC es el documento de mΓ‘s alto nivel que define los principios, objetivos y responsabilidades en materia de seguridad de la informaciΓ³n. En el caso del SAS, existe una polΓtica corporativa de la Junta de AndalucΓa que luego se concreta en directrices especΓficas para el Γ‘mbito sanitario.
8.1. Marco Normativo de la PolΓtica de Seguridad
| Documento | Alcance | AprobaciΓ³n |
|---|---|---|
| PolΓtica de Seguridad TIC Junta de AndalucΓa | Toda la AdministraciΓ³n autonΓ³mica | Consejo de Gobierno |
| Normativa Desarrollo PolΓtica TIC | Procedimientos y guΓas tΓ©cnicas | ConsejerΓa de Justicia, AdministraciΓ³n Local y FunciΓ³n PΓΊblica |
| PolΓtica Seguridad EspecΓfica SAS | Servicio Andaluz de Salud | DirecciΓ³n Gerencia SAS |
| Procedimientos Operativos SAS | Instrucciones detalladas por Γ‘mbito | DirecciΓ³n TIC SAS |
8.2. Estructura de la PolΓtica de Seguridad TIC
Una PolΓtica de Seguridad TIC completa debe incluir:
8.2.1. Elementos Obligatorios segΓΊn ENS
- Objeto y Alcance: A quΓ© sistemas, datos y personas aplica
- Roles y Responsabilidades:
- Responsable de la InformaciΓ³n: DirecciΓ³n Asistencial (propietaria de datos clΓnicos)
- Responsable del Sistema: Director TIC SAS
- Responsable de Seguridad (RSI): Jefe Servicio Seguridad TIC
- Responsable del Servicio: Jefes aplicaciΓ³n (Diraya, Receta XXI, etc.)
- Administradores de Sistemas: TΓ©cnicos con acceso privilegiado
- Usuarios: 100.000+ profesionales SAS
- Marco Normativo de Referencia: ENS, RGPD, ISO 27001, normativa sanitaria
- Principios BΓ‘sicos de Seguridad:
- Seguridad como proceso continuo, no producto puntual
- PrevenciΓ³n, detecciΓ³n, respuesta y recuperaciΓ³n
- Defensa en profundidad (mΓΊltiples capas seguridad)
- MΓnimo privilegio
- SegregaciΓ³n de funciones
- GestiΓ³n del riesgo como enfoque central
- CategorizaciΓ³n de Sistemas: MetodologΓa MAGERIT para clasificar segΓΊn dimensiones (C, I, D, A, T)
- DeclaraciΓ³n Aplicabilidad (SOA): QuΓ© medidas ENS se aplican y cuΓ‘les no (con justificaciΓ³n)
- AnΓ‘lisis de Riesgos: ObligaciΓ³n de realizar MAGERIT formal en sistemas ALTA
- GestiΓ³n de Incidentes: Procedimiento notificaciΓ³n, escalado, resoluciΓ³n
- Plan de ConcienciaciΓ³n: FormaciΓ³n obligatoria anual en seguridad para todos los empleados
- AuditorΓas y Revisiones: AuditorΓa bienal sistemas MEDIA/ALTA
- Mejora Continua: Ciclo PDCA (Plan-Do-Check-Act)
8.3. Organismos de Gobernanza de Seguridad en SAS
| Γrgano | ComposiciΓ³n | FunciΓ³n Principal | Periodicidad |
|---|---|---|---|
| ComitΓ© de Seguridad TIC | Director TIC, RSI, Responsables Servicio, DPO | Decisiones estratΓ©gicas seguridad, aprobar inversiones | Trimestral |
| ComitΓ© Operativo Seguridad | RSI, Jefes Γrea TIC, Arquitecto Seguridad | Seguimiento medidas, anΓ‘lisis incidentes, mejoras | Mensual |
| Equipo Respuesta Incidentes (CSIRT SAS) | RSI, Analistas Seguridad, Administradores | GestiΓ³n incidentes 24/7, anΓ‘lisis forense | Permanente (guardias) |
| ComitΓ© de ProtecciΓ³n de Datos | DPO, RSI, DirecciΓ³n Asistencial, JurΓdico | Cumplimiento RGPD, evaluaciones impacto | Trimestral |
8.4. PolΓticas EspecΓficas Derivadas
De la PolΓtica General de Seguridad TIC se derivan polΓticas especΓficas por Γ‘reas:
- PolΓtica de Control de Acceso: GestiΓ³n identidades, autenticaciΓ³n, autorizaciΓ³n, RBAC
- PolΓtica de ContraseΓ±as: Complejidad (12 caracteres, mayΓΊsculas+minΓΊsculas+nΓΊmeros+sΓmbolos), caducidad 90 dΓas, no reutilizaciΓ³n ΓΊltimas 5
- PolΓtica de Uso Aceptable: QuΓ© pueden/no pueden hacer usuarios con recursos TIC corporativos
- PolΓtica de Backup y RecuperaciΓ³n: Frecuencia, retenciΓ³n, pruebas restore
- PolΓtica de GestiΓ³n de Parches: CrΓticos < 48h, Importantes < 7 dΓas, Opcionales < 30 dΓas
- PolΓtica de Cifrado: TLS 1.3 obligatorio, AES-256 para datos reposo, gestiΓ³n claves (HSM)
- PolΓtica BYOD: Dispositivos personales en red corporativa (contenedor trabajo, MDM, borrado remoto)
- PolΓtica Trabajo Remoto: VPN obligatoria, 2FA, no WiFi pΓΊblicas sin VPN
- PolΓtica Desarrollo Seguro: OWASP, anΓ‘lisis estΓ‘tico cΓ³digo, pentest pre-producciΓ³n
- PolΓtica ContrataciΓ³n TIC: Requisitos seguridad en pliegos, clΓ‘usulas SLA/penalizaciones
β οΈ Ejemplo PolΓtica: GestiΓ³n de ContraseΓ±as SAS
Requisitos tΓ©cnicos:
- Longitud mΓnima: 12 caracteres
- Complejidad: 3 de 4 (mayΓΊsculas, minΓΊsculas, nΓΊmeros, sΓmbolos)
- Caducidad: 90 dΓas usuarios estΓ‘ndar, 60 dΓas administradores
- Historial: No reutilizar ΓΊltimas 5 contraseΓ±as
- Bloqueo: 5 intentos fallidos β bloqueo 30 minutos
- Prohibido: Nombres propios, fechas, palabras diccionario, secuencias (123456, qwerty)
Excepciones:
- Cuentas servicio: ContraseΓ±as 24 caracteres, gestionadas en bΓ³veda (CyberArk), no caducan
- Acceso crΓtico (producciΓ³n): 2FA obligatorio (contraseΓ±a + token TOTP)
Cumplimiento: Controles automatizados Active Directory + auditorΓa trimestral cuentas dΓ©biles
8.5. ConcienciaciΓ³n y FormaciΓ³n
El factor humano es el eslabΓ³n mΓ‘s dΓ©bil. El 90% de brechas de seguridad tienen componente de error humano (phishing, ingenierΓa social, contraseΓ±as dΓ©biles).
- FormaciΓ³n obligatoria inicial: 4 horas e-learning antes de activar usuario (ENS, RGPD, uso aceptable)
- Reciclaje anual: 2 horas actualizaciΓ³n normativa + casos reales
- PΓldoras mensuales: Email con caso real del mes (phishing intentado, ransomware, etc.)
- Simulacros phishing: EnvΓo emails falsos trimestrales. Quien cae β formaciΓ³n especΓfica
- CampaΓ±a cartelerΓa: PΓ³sters en centros sanitarios (no dejar sesiΓ³n abierta, cuidado USB desconocidos)
- CertificaciΓ³n especΓfica administradores: Curso 40h seguridad para perfiles con acceso privilegiado
π EstadΓsticas ConcienciaciΓ³n SAS 2024
- Simulacro Phishing Q1/2024: 15.000 emails enviados β 8% clicΓ³ enlace malicioso (1.200 profesionales)
- Simulacro Phishing Q4/2024: 15.000 emails enviados β 3% clicΓ³ β (mejora 60% tras formaciΓ³n especΓfica)
- Incidentes reportados por usuarios: +45% respecto 2023 (buena seΓ±al, mΓ‘s vigilancia)
- Tiempo medio detecciΓ³n phishing: 2024: 18 minutos / 2023: 4 horas β
9. Estrategias de Ciberseguridad: Europea, Nacional y Andaluza
La ciberseguridad es una prioridad estratΓ©gica a todos los niveles de gobierno. Vamos a analizar las estrategias desde la UE hasta AndalucΓa, porque en examen te pueden preguntar por cualquiera de ellas.
9.1. Estrategia Europea de Ciberseguridad
9.1.1. Directiva NIS2 (Network and Information Security)
La Directiva (UE) 2022/2555 (NIS2), que sustituye a NIS1 de 2016, es el marco legal europeo de ciberseguridad. EspaΓ±a debe trasponerla antes de octubre 2024.
- β AmpliaciΓ³n sectores cubiertos: Sanidad ahora es operador esencial (antes opcional)
- β Umbrales mΓ‘s bajos: Incluye empresas medianas (250+ empleados o 50Mβ¬ facturaciΓ³n)
- β Requisitos tΓ©cnicos mΓ‘s estrictos: GestiΓ³n riesgos, notificaciΓ³n incidentes < 24h, auditorΓas
- β Sanciones mΓ‘s duras: Hasta 10Mβ¬ o 2% facturaciΓ³n mundial (el mayor)
- β Responsabilidad personal directivos: Los CEOs/CIOs pueden ser personalmente responsables
- β Cadena de suministro: ObligaciΓ³n evaluar proveedores crΓticos TIC
β οΈ SAS como Operador Esencial segΓΊn NIS2
El Servicio Andaluz de Salud, al gestionar hospitales y centros salud que prestan asistencia a 8,5 millones de personas, estΓ‘ clasificado como Operador de Servicios Esenciales bajo NIS2.
Obligaciones directas:
- Implementar medidas tΓ©cnicas y organizativas gestiΓ³n riesgos
- Notificar incidentes significativos a INCIBE-CERT en < 24 horas
- AuditorΓas seguridad periΓ³dicas por terceros independientes
- Planes continuidad negocio y recuperaciΓ³n desastres
- Cifrado y controles acceso robustos
- GestiΓ³n segura cadena suministro (proveedores SW crΓticos)
9.1.2. ENISA (Agencia Europea Ciberseguridad)
ENISA publica guΓas y recomendaciones tΓ©cnicas de ciberseguridad. Documentos relevantes para sanidad:
- Β«Procurement Guidelines for Cybersecurity in HospitalsΒ» (2020): CΓ³mo comprar TIC segura para hospitales
- Β«Threat Landscape for the Healthcare SectorΒ» (2023): Amenazas especΓficas sanitarias (ransomware hospital, robo datos pacientes)
- Β«Good Practices for Security of IoTΒ» (2023): Especialmente relevante para dispositivos mΓ©dicos conectados
9.2. Estrategia Nacional de Ciberseguridad (EspaΓ±a)
9.2.1. Estrategia Nacional de Ciberseguridad 2019
Aprobada por Consejo de Seguridad Nacional el 28/11/2019. Ejes estratΓ©gicos:
- Garantizar una Internet libre y segura para ciudadanos y empresas
- Fortalecer capacidades ciberdefensa de instituciones pΓΊblicas
- Alcanzar autonomΓa tecnolΓ³gica estratΓ©gica (reducir dependencia tech extranjera)
- ColaboraciΓ³n pΓΊblico-privada en ciberseguridad
- Impulsar I+D+i en tecnologΓas de ciberseguridad
9.2.2. Organismos Nacionales de Ciberseguridad
| Organismo | Dependencia | FunciΓ³n | RelaciΓ³n con SAS |
|---|---|---|---|
| CCN-CERT | Centro CriptolΓ³gico Nacional (CNI) | Ciberseguridad sector pΓΊblico | NotificaciΓ³n incidentes SAS, recepciΓ³n alertas CCN-CERT |
| INCIBE-CERT | Instituto Nacional Ciberseguridad (INCIBE) | Ciberseguridad ciudadanos y empresas | CoordinaciΓ³n NIS2, formaciΓ³n, avisos pΓΊblicos |
| DSN | Presidencia Gobierno | CoordinaciΓ³n estratΓ©gica nacional | Sanidad clasificada como infraestructura crΓtica |
| ComisiΓ³n Nacional Mercados (CNMC) | Independiente | SupervisiΓ³n NIS2 operadores telecom | Proveedores conectividad SAS (Orange, TelefΓ³nica) |
9.2.3. GuΓas CCN-STIC (Aplicables a SAS)
El CCN publica guΓas tΓ©cnicas (CCN-STIC) de obligada aplicaciΓ³n en AAPP. Algunas especialmente relevantes para SAS:
| GuΓa | TΓtulo | AplicaciΓ³n SAS |
|---|---|---|
| CCN-STIC 804 | GuΓa implementaciΓ³n ENS β CategorΓa MEDIA | MayorΓa sistemas SAS (portales, aplicaciones gestiΓ³n) |
| CCN-STIC 805 | GuΓa implementaciΓ³n ENS β CategorΓa ALTA | Diraya, BDU, sistemas clΓnicos crΓticos |
| CCN-STIC 807 | CriptologΓa de empleo en el ENS | Algoritmos permitidos (AES-256, RSA-4096), gestiΓ³n claves |
| CCN-STIC 808 | VerificaciΓ³n cumplimiento ENS | Checklist auditorΓa interna antes de auditorΓa oficial |
| CCN-STIC 817 | GestiΓ³n de ciberincidentes | Procedimientos CSIRT SAS, notificaciΓ³n CCN-CERT |
| CCN-STIC 825 | Esquema Nacional EvaluaciΓ³n y CertificaciΓ³n | Productos HW/SW certificados para uso en SAS (cortafuegos, HSMβ¦) |
π‘ Niveles de NotificaciΓ³n Incidentes a CCN-CERT
| Nivel | Severidad | Plazo NotificaciΓ³n | Ejemplo SAS |
|---|---|---|---|
| CRΓTICO | Afecta servicio esencial | < 1 hora | Ransomware cifra Diraya |
| MUY ALTO | Gran impacto potencial | < 4 horas | Fuga masiva datos pacientes |
| ALTO | Impacto significativo | < 24 horas | DDoS portal profesionales |
| MEDIO | Impacto moderado | < 1 semana | Phishing dirigido a directivos |
| BAJO | Impacto mΓnimo | Informe mensual | Malware detectado y bloqueado en endpoint |
9.3. Estrategia Andaluza de Ciberseguridad
AndalucΓa tiene su propia estrategia de ciberseguridad coordinada con la nacional pero adaptada a particularidades autonΓ³micas.
9.3.1. Plan Director de Ciberseguridad de AndalucΓa (2021-2025)
Aprobado por Consejo de Gobierno en diciembre 2020. Ejes prioritarios:
- Gobernanza y coordinaciΓ³n: ComitΓ© AutonΓ³mico Ciberseguridad liderado por ConsejerΓa Presidencia
- ProtecciΓ³n infraestructuras crΓticas: Sanidad (SAS), educaciΓ³n (universidades), emergencias (112)
- CapacitaciΓ³n profesional: CreaciΓ³n Escuela Andaluza Ciberseguridad, 500 especialistas formados 2021-2025
- ConcienciaciΓ³n ciudadana: CampaΓ±as seguridad digital para poblaciΓ³n general
- Fomento ecosistema ciberseguridad: AtracciΓ³n empresas sector, startups, I+D
9.3.2. CSIRT-AndalucΓa
Creado en 2021, es el equipo de respuesta incidentes de la Junta de AndalucΓa. Funciones:
- MonitorizaciΓ³n 24/7: SOC con herramientas SIEM (IBM QRadar) monitorizando trΓ‘fico de red, logs, alertas
- CoordinaciΓ³n con CCN-CERT: RecepciΓ³n alertas nacionales, notificaciΓ³n incidentes crΓticos
- Respuesta incidentes: Soporte tΓ©cnico a organismos afectados (incluyendo SAS)
- AnΓ‘lisis forense: InvestigaciΓ³n post-incidente, identificaciΓ³n vectores ataque
- Threat intelligence: Compartir IoCs (Indicators of Compromise) entre organismos
- Ejercicios de ciberresiliencia: Simulacros coordinados (ej: Β«CyberEx AndalucΓa 2024Β» con hospitales)
9.3.3. Iniciativas EspecΓficas Sanidad
- Objetivo: Elevar nivel ciberseguridad de 45 hospitales SAS a estΓ‘ndares NIS2
- InversiΓ³n: 18 millones β¬ (fondos EU β NextGenerationEU)
- Actuaciones:
- ImplantaciΓ³n EDR (Endpoint Detection & Response) en 60.000 equipos
- ActualizaciΓ³n firewalls perimetrales con IPS/IDS avanzados
- Despliegue NAC (Network Access Control) en hospitales de referencia
- FormaciΓ³n especializada: 200 administradores certificados en ciberseguridad sanitaria
- AuditorΓas penetraciΓ³n externas en 15 hospitales
- Estado 2024: 70% completado, cumplimiento NIS2 previsto junio 2025 β
π Incidente Real: Ransomware Hospital Provincial CΓ³rdoba (Simulacro 2023)
Escenario simulado:
- T+0: Viernes 22:00h β Cifrado masivo servidores archivo por ransomware Β«LockBit 3.0Β»
- T+15 min: NOC detecta anomalΓa, activa protocolo nivel CRΓTICO
- T+30 min: CSIRT-AndalucΓa confirma ransomware, notifica CCN-CERT
- T+1h: Aislamiento red hospital, corte Internet, activaciΓ³n Plan Contingencia
- T+2h: AnΓ‘lisis forense: Entrada vΓa email phishing miΓ©rcoles, movilidad lateral jueves-viernes
- T+4h: ActivaciΓ³n CPD alternativo, restore Diraya desde backup (pΓ©rdida 2h datos)
- T+12h: Servicios crΓticos restaurados, hospital operando en modo limitado
- T+72h: RestauraciΓ³n completa, limpieza malware finalizada
Lecciones aprendidas:
- β Backup funcionΓ³ correctamente, RPO respetado
- β Phishing inicial no fue detectado por usuarios (formaciΓ³n insuficiente)
- β SegmentaciΓ³n red deficiente permitiΓ³ movilidad lateral rΓ‘pida
- β CoordinaciΓ³n CSIRT-AndalucΓa + SAS excelente
- β οΈ ComunicaciΓ³n con pacientes mejorable (retrasos informativos)
Acciones correctivas: Refuerzo formaciΓ³n phishing, implementaciΓ³n microsegmentaciΓ³n red (proyecto 2024-2025)
10. Conclusiones
La seguridad de las tecnologΓas de la informaciΓ³n en el Servicio Andaluz de Salud no es un lujo ni una opciΓ³n, es una obligaciΓ³n legal, tΓ©cnica y Γ©tica. Cada dΓa, 8,5 millones de andaluces confΓan en que sus datos de salud mΓ‘s Γntimos estΓ©n protegidos mientras accedemos a ellos para darles la mejor atenciΓ³n posible.
Ideas Clave para el Examen (Memoriza Esto):
Aplicabilidad PrΓ‘ctica en tu Futuro Puesto TFA-STI:
Como TΓ©cnico Especialista en InformΓ‘tica del SAS, la seguridad serΓ‘ parte integral de tu trabajo diario:
- AplicarΓ‘s hardening servidores segΓΊn guΓas CCN-STIC
- GestionarΓ‘s copias de seguridad y verificarΓ‘s su integridad
- ImplementarΓ‘s controles de acceso en Diraya (roles, permisos)
- DetectarΓ‘s y responderΓ‘s a incidentes de seguridad (malware, accesos indebidos)
- ParticiparΓ‘s en auditorΓas ENS aportando evidencias tΓ©cnicas
- ColaborarΓ‘s en planes de contingencia (pruebas failover, restores)
- FormarΓ‘s a usuarios en buenas prΓ‘cticas de seguridad
- EvaluarΓ‘s proveedores TIC desde perspectiva de seguridad
La seguridad no es solo Β«cosa de los de seguridadΒ». Es responsabilidad de TODOS los profesionales TIC. Un solo fallo (contraseΓ±a dΓ©bil, patch sin aplicar, backup sin probar) puede comprometer aΓ±os de trabajo y, lo que es peor, poner en riesgo la privacidad de miles de pacientes y la continuidad asistencial.
β Tu Objetivo en este Tema
Al finalizar el estudio de este tema debes ser capaz de:
- Explicar los 5 objetivos de seguridad (D,I,C,A,T) con ejemplos SAS
- Aplicar metodologΓa MAGERIT paso a paso en un caso prΓ‘ctico
- Identificar quΓ© medidas ENS corresponden a cada categorΓa de sistema
- DiseΓ±ar una estrategia de backup 3-2-1 para un sistema crΓtico
- Calcular RTO/RPO y proponer arquitectura de continuidad
- Distinguir entre PolΓtica de Seguridad, Normativa y Procedimientos
- Conocer obligaciones NIS2 para el SAS
- Enumerar organismos de ciberseguridad y sus competencias
Estrategia de Estudio Recomendada:
- Primera lectura completa (3-4 horas): ComprensiΓ³n global del tema, subrayar conceptos clave
- Estudio por secciones (1 semana): Dominar cada secciΓ³n antes de pasar a la siguiente. Hacer esquemas propios.
- MemorizaciΓ³n activa (3 dΓas): Flashcards con definiciones (ENS, MAGERIT, RTO/RPO, NIS2β¦). Repasar maΓ±ana y noche.
- Casos prΓ‘cticos (2 dΓas): Resolver los ejemplos del tema. Inventar tus propios casos similares.
- Cuestionario (1 dΓa): Hacer las 30 preguntas sin mirar. Analizar fallos. Repetir hasta 100% aciertos.
- Repaso espaciado: DΓa 1, DΓa 3, DΓa 7, DΓa 14, DΓa 30 post-estudio inicial.
- ConexiΓ³n con otros temas: Relacionar con Tema 36 (ENS profundidad), Tema 37 (MAGERIT detallado), Tema 38 (RGPD), Tema 42 (sistemas SAS).
Recuerda: Este tema es MUY PREGUNTADO en oposiciones TFA-STI del SAS. Es transversal a casi todo el temario (normativa, tecnologΓa, gestiΓ³n). Dominarlo te darΓ‘ ventaja competitiva real en el examen.
Β‘Γnimo con el estudio! La plaza merece el esfuerzo. πͺ
11. Cuestionario de AutoevaluaciΓ³n (30 Preguntas)
A continuaciΓ³n encontrarΓ‘s 30 preguntas tipo test basadas en exΓ‘menes reales de oposiciones TFA-STI del SAS y en el contenido desarrollado en este tema. Intenta responderlas sin consultar el material de estudio. Al final tienes las respuestas con explicaciones.
π Instrucciones
- Tiempo recomendado: 45 minutos (1,5 min/pregunta)
- Responde primero todas sin mirar
- Marca tus respuestas en un papel
- Al terminar, comprueba con las soluciones
- Analiza cada fallo: ΒΏerror conceptual o despiste?
- Objetivo: >85% aciertos (26/30) para considerar tema dominado
PREGUNTAS (1-30)
1. SegΓΊn el ENS (RD 311/2022), la trazabilidad como objetivo de seguridad se refiere a:
A) La capacidad de recuperar datos tras un desastre
B) La posibilidad de determinar quΓ© ha ocurrido, cuΓ‘ndo, cΓ³mo y quiΓ©n lo ha hecho
C) La protecciΓ³n de la informaciΓ³n frente a modificaciones no autorizadas
D) La garantΓa de que los sistemas estΓ©n operativos cuando se necesiten
2. En la metodologΓa MAGERIT, el valor de un activo se define como:
A) Su coste de adquisiciΓ³n en el mercado
B) El coste de las medidas de seguridad implementadas
C) La valoraciΓ³n del daΓ±o que supondrΓa su pΓ©rdida para la organizaciΓ³n
D) La suma de todos los activos que dependen de Γ©l
3. Un sistema del SAS tiene la siguiente valoraciΓ³n en las 5 dimensiones: D=10, I=10, C=10, A=10, T=10. Su categorΓa ENS serΓ‘:
A) BAJA (la media es 10)
B) MEDIA (hay valores = 10)
C) ALTA (todas las dimensiones estΓ‘n en el mΓ‘ximo nivel)
D) Depende del contexto organizativo, no solo de los valores
4. SegΓΊn el ENS, la medida [op.pl.1] Β«AnΓ‘lisis de riesgosΒ» es obligatoria para sistemas de categorΓa:
A) Solo ALTA
B) MEDIA y ALTA
C) BAJA, MEDIA y ALTA (todas las categorΓas)
D) Solo en sistemas que manejen datos de salud
5. La herramienta PILAR desarrollada por el CCN sirve para:
A) Realizar anΓ‘lisis de riesgos segΓΊn metodologΓa MAGERIT
B) Gestionar incidentes de seguridad
C) Auditar el cumplimiento del ENS
D) Cifrar comunicaciones entre organismos pΓΊblicos
6. En un plan de contingencia, el RPO (Recovery Point Objective) de Diraya es de 15 minutos. Esto significa que:
A) El sistema debe restaurarse en menos de 15 minutos
B) Podemos perder como mΓ‘ximo los ΓΊltimos 15 minutos de datos
C) Cada 15 minutos se hace un backup
D) Los usuarios pueden estar sin acceso 15 minutos
7. Un hospital SAS implementa un CPD alternativo donde los servidores estΓ‘n instalados y configurados, pero los datos se restauran desde backup. Esto es un:
A) Hot site
B) Warm site
C) Cold site
D) Cloud DR
8. La regla 3-2-1 del backup establece:
A) 3 copias, 2 soportes diferentes, 1 off-site
B) 3 tipos de backup (full, incremental, diferencial), 2 al dΓa, 1 semanal
C) 3 niveles RAID, 2 controladoras, 1 rΓ©plica
D) 3 CPDs, 2 enlaces, 1 backup
9. SegΓΊn el ENS, la medida [mp.com.2] sobre cifrado de comunicaciones requiere en su nivel bΓ‘sico:
A) Cualquier algoritmo de cifrado
B) Algoritmos acreditados por el CCN
C) TLS 1.3 obligatoriamente
D) Certificados digitales de la FNMT
10. Un sistema con disponibilidad del 99,99% puede estar caΓdo como mΓ‘ximo al aΓ±o:
A) 52,56 minutos
B) 8,76 horas
C) 3,65 dΓas
D) 5,26 minutos
11. La Directiva NIS2 clasifica al sector sanitario como:
A) Operador de servicios esenciales
B) Proveedor de servicios digitales
C) Operador crΓtico
D) No estΓ‘ incluido en NIS2
12. SegΓΊn NIS2, los incidentes de ciberseguridad significativos deben notificarse a la autoridad competente en un plazo de:
A) 1 hora
B) 24 horas
C) 72 horas
D) 1 semana
13. El organismo nacional responsable de la ciberseguridad del sector pΓΊblico espaΓ±ol es:
A) INCIBE-CERT
B) CCN-CERT
C) ENISA
D) AEPD
14. En MAGERIT, una amenaza se define como:
A) La debilidad de un activo que puede ser explotada
B) Un evento que puede desencadenar un incidente
C) El valor del activo multiplicado por su probabilidad de ocurrencia
D) Las medidas de seguridad necesarias
15. La medida ENS [mp.eq.1] sobre protecciΓ³n del puesto de trabajo incluye:
A) Solo antivirus actualizado
B) Bloqueo automΓ‘tico de pantalla tras perΓodo de inactividad
C) Backup diario del disco duro
D) Acceso biomΓ©trico al equipo
16. Un backup incremental:
A) Copia todos los datos cada vez
B) Copia solo los cambios desde el ΓΊltimo backup completo
C) Copia solo los cambios desde el ΓΊltimo backup (sea completo o incremental)
D) No se usa en producciΓ³n, solo en desarrollo
17. SegΓΊn el RGPD, los datos de salud son:
A) Datos personales ordinarios
B) CategorΓa especial de datos (artΓculo 9)
C) Datos anonimizados
D) Solo estΓ‘n protegidos si son electrΓ³nicos
18. La base de legitimaciΓ³n para que un mΓ©dico del SAS acceda a Diraya durante la asistencia de un paciente es:
A) El consentimiento explΓcito del paciente
B) El interΓ©s legΓtimo del centro sanitario
C) La prestaciΓ³n de asistencia sanitaria (art. 9.2.h RGPD)
D) AutorizaciΓ³n previa de la AEPD
19. El principio de Β«segregaciΓ³n de funcionesΒ» (ENS [op.acc.4]) implica que:
A) Cada usuario debe tener una cuenta diferente
B) Las funciones crΓticas no deben recaer en una sola persona
C) Los datos deben estar segmentados por departamentos
D) Hay que separar la red de producciΓ³n de la de desarrollo
20. Una cabina de almacenamiento con RAID 10 combina:
A) Espejo (RAID 1) + Striping (RAID 0)
B) Paridad simple (RAID 5) + Espejo (RAID 1)
C) Doble paridad (RAID 6)
D) Striping con paridad distribuida
21. El cifrado TDE (Transparent Data Encryption) en Oracle se aplica a:
A) Datos en trΓ‘nsito (TLS)
B) Datos en reposo (almacenados en disco)
C) Datos en memoria RAM
D) Solo a los backups
22. La guΓa CCN-STIC 805 trata sobre:
A) ImplementaciΓ³n ENS en sistemas categorΓa ALTA
B) CriptologΓa de empleo en el ENS
C) GestiΓ³n de incidentes
D) AuditorΓa de sistemas
23. En un anΓ‘lisis MAGERIT, el riesgo se calcula como:
A) Valor activo Γ Probabilidad amenaza Γ DegradaciΓ³n
B) Impacto + Frecuencia
C) (Amenazas β Salvaguardas) Γ Vulnerabilidades
D) CategorΓa sistema Γ Dimensiones afectadas
24. Un Plan de Continuidad de Negocio (BCP) es responsabilidad de:
A) El Director TIC exclusivamente
B) El Responsable de Seguridad (RSI)
C) La DirecciΓ³n Gerencia y el ComitΓ© de DirecciΓ³n
D) Los administradores de sistemas
25. La medida ENS [mp.info.3] sobre copias de seguridad requiere:
A) Solo hacer backups, sin mΓ‘s requisitos
B) Backups cifrados y pruebas periΓ³dicas de restauraciΓ³n
C) Backups solo de sistemas ALTA
D) Backups mensuales como mΓnimo
26. El CSIRT-AndalucΓa es:
A) El comitΓ© de seguridad de la Junta de AndalucΓa
B) El equipo de respuesta a incidentes de seguridad de la Junta
C) Una certificaciΓ³n de ciberseguridad
D) Un protocolo de actuaciΓ³n ante ransomware
27. SegΓΊn el ENS, los sistemas de categorΓa ALTA deben auditarse:
A) Anualmente
B) Cada 2 aΓ±os
C) Cada 3 aΓ±os
D) Solo tras un incidente grave
28. La disponibilidad de un sistema se ve afectada principalmente por:
A) Accesos no autorizados
B) Fallos hardware, software, desastres naturales
C) Modificaciones no autorizadas de datos
D) Fuga de informaciΓ³n
29. Un snapshot de cabina SAN:
A) Es un backup completo off-site
B) Es una copia instantΓ‘nea del volumen sin parar el servicio
C) Requiere parar la base de datos obligatoriamente
D) Solo se puede hacer una vez al dΓa
30. La PolΓtica de Seguridad TIC de una organizaciΓ³n debe ser aprobada por:
A) El Responsable de Seguridad (RSI)
B) El Director TIC
C) La mΓ‘xima autoridad de la organizaciΓ³n (DirecciΓ³n Gerencia)
D) El auditor externo
RESPUESTAS CORRECTAS Y EXPLICACIONES
1. B β La trazabilidad permite determinar quΓ© ha ocurrido, cuΓ‘ndo, cΓ³mo y quiΓ©n lo ha hecho. Es fundamental para auditorΓa forense.
2. C β El valor de un activo en MAGERIT es la valoraciΓ³n del perjuicio que causarΓa su pΓ©rdida, no su coste de compra.
3. C β ALTA. Cuando todas las dimensiones estΓ‘n en el nivel mΓ‘ximo (10), el sistema es categorΓa ALTA obligatoriamente.
4. C β El anΓ‘lisis de riesgos es obligatorio para TODAS las categorΓas (BAJA, MEDIA, ALTA), aunque con diferente profundidad.
5. A β PILAR (Procedimiento InformΓ‘tico LΓ³gico de AnΓ‘lisis de Riesgos) es la herramienta CCN para anΓ‘lisis de riesgos MAGERIT.
6. B β RPO es la cantidad mΓ‘xima de datos que se puede perder. RPO=15 min significa pΓ©rdida mΓ‘xima de 15 minutos de datos.
7. B β Warm site: servidores instalados pero datos se restauran desde backup. RTO tΓpico 4-12 horas.
8. A β Regla 3-2-1: 3 copias de datos, en 2 soportes diferentes, con 1 copia fuera del sitio principal.
9. B β La medida [mp.com.2] requiere algoritmos acreditados por el CCN (no cualquier algoritmo). TLS 1.3 es recomendado pero no obligatorio en nivel bΓ‘sico.
10. A β 99,99% = 52,56 minutos/aΓ±o de downtime mΓ‘ximo. (365 dΓas Γ 24h Γ 60min Γ 0,01% = 52,56 min)
11. A β NIS2 clasifica a la sanidad como Β«Operador de servicios esencialesΒ» por su criticidad.
12. B β NIS2 exige notificaciΓ³n de incidentes significativos en menos de 24 horas.
13. B β CCN-CERT es el responsable de ciberseguridad del sector pΓΊblico espaΓ±ol. INCIBE-CERT es para ciudadanos/empresas privadas.
14. B β Una amenaza es un evento que puede desencadenar un incidente de seguridad. No confundir con vulnerabilidad (debilidad).
15. B β [mp.eq.1] incluye bloqueo automΓ‘tico de pantalla tras inactividad. El antivirus estΓ‘ en [mp.si] (protecciΓ³n software instalado).
16. C β Backup incremental: solo cambios desde el ΓΊltimo backup (sea cual sea: full o incremental). El diferencial copia desde el ΓΊltimo full.
17. B β Los datos de salud son categorΓa especial segΓΊn art. 9 RGPD, con protecciΓ³n reforzada.
18. C β La base legal es art. 9.2.h RGPD (prestaciΓ³n asistencia sanitaria). NO se necesita consentimiento para atenciΓ³n mΓ©dica normal.
19. B β SegregaciΓ³n de funciones: las funciones crΓticas (autorizar, ejecutar, auditar) no deben recaer en una sola persona.
20. A β RAID 10 = RAID 1 (espejo) + RAID 0 (striping). Alta disponibilidad y rendimiento.
21. B β TDE (Transparent Data Encryption) cifra datos en reposo (almacenados en disco). TLS cifra datos en trΓ‘nsito.
22. A β CCN-STIC 805: GuΓa implementaciΓ³n ENS en sistemas categorΓa ALTA. La 804 es para MEDIA.
23. A β Riesgo MAGERIT = Valor activo Γ Frecuencia amenaza Γ DegradaciΓ³n (impacto sobre el activo).
24. C β El BCP es responsabilidad de la DirecciΓ³n Gerencia y ComitΓ© DirecciΓ³n, no solo de TIC (afecta a toda la organizaciΓ³n).
25. B β [mp.info.3]: Backups cifrados + pruebas periΓ³dicas de restauraciΓ³n (muy importante, un backup sin probar es SchrΓΆdingerβs backup).
26. B β CSIRT-AndalucΓa: Equipo de Respuesta a Incidentes de Seguridad de la Junta de AndalucΓa. MonitorizaciΓ³n 24/7.
27. B β Sistemas categorΓa ALTA (y MEDIA) se auditan cada 2 aΓ±os segΓΊn ENS.
28. B β La disponibilidad se ve afectada por fallos hardware/software, desastres, saturaciΓ³n. La A se refiere a acceso no autorizado, la C a fuga.
29. B β Snapshot SAN: copia instantΓ‘nea del volumen sin parar servicio. NO es backup off-site (sigue en misma cabina).
30. C β La PolΓtica de Seguridad debe aprobarla la mΓ‘xima autoridad (DirecciΓ³n Gerencia), no el RSI ni Director TIC.
π AutoevaluaciΓ³n de Resultados
- 26-30 aciertos (>85%): Β‘Excelente! Tema dominado. Repasa solo lo que has fallado.
- 21-25 aciertos (70-85%): Bien, pero necesitas repasar conceptos. Identifica lagunas y refuerza.
- 15-20 aciertos (50-70%): Nivel insuficiente. Estudia de nuevo las secciones con mΓ‘s fallos.
- <15 aciertos (<50%): Reestudiar el tema completo antes de continuar.
12. Mapa Conceptual del Tema
Este mapa conceptual en formato ASCII te ayudarΓ‘ a visualizar las relaciones entre los conceptos clave del tema:
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β SEGURIDAD DE LAS TECNOLOGΓAS DE LA INFORMACIΓN - SAS β
ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
π― OBJETIVOS SEGURIDAD
β
βββββββββββββββββ¬ββββββββΌββββββββ¬ββββββββββββββββ
β β β β β
βββββΌββββ βββββΌββββ β βββββΌββββ βββββΌββββ
β D β β I β β β C β β A β
βDisponiβ βIntegriβ β βConfideβ βAutentiβ
βbilidadβ β dad β β βnciali β β cidadβ
βββββ¬ββββ βββββ¬ββββ β βββββ¬ββββ βββββ¬ββββ
β β β β β
βββββββββββββββββ΄ββββββ΄ββββββββ΄ββββββββββββββββ
β
βββββΌββββ
β T β
βTrazabiβ
β lidad β
βββββ¬ββββ
β
βββββββββββββββββββββββββββββββββββββββββββββ§ββββββββββββββββββββββββββββββββββββββββββββ
β π MARCO NORMATIVO β
β ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ£
β β
β βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ β
β β NIVEL EUROPEO: NIS2 (2022) β Sanidad = Operador Esencial β β
β ββββββββββββββββββββββββββββββββββ¬βββββββββββββββββββββββββββββββββββββββββ β
β β β
β βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ β
β β NIVEL NACIONAL: ENS (RD 311/2022) + Estrategia Ciberseguridad 2019 β β
β β β β
β β β’ 75 Medidas: org (Organizativas) / op (Operacionales) / mp (ProtecciΓ³n)β β
β β β’ CategorizaciΓ³n: BAJA / MEDIA / ALTA (segΓΊn dimensiones D,I,C,A,T) β β
β β β’ AuditorΓa bienal sistemas MEDIA/ALTA β β
β β β’ CCN-CERT: NotificaciΓ³n incidentes CRΓTICOS < 1h β β
β ββββββββββββββββββββββββββββββββββ¬βββββββββββββββββββββββββββββββββββββββββ β
β β β
β βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ β
β β NIVEL AUTONΓMICO: PolΓtica Seguridad TIC Junta + CSIRT-AndalucΓa β β
β β β β
β β β’ Plan Director Ciberseguridad AndalucΓa 2021-2025 β β
β β β’ Programa "Hospitales Ciberseguros" (18Mβ¬, 45 hospitales SAS) β β
β ββββββββββββββββββββββββββββββββββ¬βββββββββββββββββββββββββββββββββββββββββ β
β β β
β βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ β
β β SAS: PolΓtica EspecΓfica + Procedimientos Operativos β β
β β β β
β β β’ Diraya (ALTA), Receta XXI (ALTA), Portales (MEDIA) β β
β β β’ ComitΓ© Seguridad TIC, RSI, CSIRT-SAS, DPO β β
β ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ β
β β
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β π ANΓLISIS Y GESTIΓN DE RIESGOS β
β ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ£
β β
β βββββββββββββββββββββββββββββββββββ β
β β METODOLOGΓA MAGERIT + PILAR β β
β ββββββββββββββββ¬βββββββββββββββββββ β
β β β
β βββββββββββββββββββββββββββββΌββββββββββββββββββββββββββββ β
β β β β β
β ββββββΌββββββ βββββββΌβββββββ ββββββββΌββββββ β
β β ACTIVOS β β AMENAZAS β β VULNERABI β β
β β β β β β LIDADES β β
β β [D01] BD ββββββββββββββββ [T.5] Falloβββββββββββββββ Falta RAIDβ β
β β Diraya β Afecta a β hardware β Explota β Falta backup β
β β Valor:100β β Prob: 50 β β Config dΓ©bil β
β ββββββ¬ββββββ βββββββ¬βββββββ ββββββββ¬ββββββ β
β β β β β
β ββββββββββββββββ¬ββββββββββββ΄βββββββββββββββββββββββββββββ β
β β β
β ββββββΌβββββββ β
β β IMPACTO β = Valor activo Γ DegradaciΓ³n β
β ββββββ¬βββββββ β
β β β
β ββββββΌβββββββ β
β β RIESGO β = Impacto Γ Frecuencia amenaza β
β ββββββ¬βββββββ β
β β β
β ββββββΌβββββββββββ β
β β SALVAGUARDAS β (Medidas de seguridad) β
β β β β
β β β’ [op.exp.4] β Backup diario β
β β β’ [mp.eq.4] β RAID 10 + HA β
β β β’ [op.cont.1] β Plan continuidad β
β ββββββ¬βββββββββββ β
β β β
β ββββββΌβββββββββββ β
β β RIESGO β (Reducido tras salvaguardas) β
β β RESIDUAL β β
β β β β
β β ΒΏAceptable? β ββ> SΓ: ProducciΓ³n / NO: MΓ‘s medidas β
β βββββββββββββββββ β
β β
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β π‘οΈ MEDIDAS DE SEGURIDAD β
β ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ£
β β
β ββββββββββββββββββββ¬βββββββββββββββββββ¬βββββββββββββββββββ¬βββββββββββββββββββ β
β β FΓSICAS β TΓCNICAS β ORGANIZATIVAS β LEGALES β β
β ββββββββββββββββββββΌβββββββββββββββββββΌβββββββββββββββββββΌβββββββββββββββββββ€ β
β β β’ CPD seguro β β’ Firewall β β’ PolΓtica Seg. β β’ ENS (RD 311) β β
β β β’ Control acceso β β’ IDS/IPS β β’ Normativa β β’ RGPD + LOPDGDD β β
β β β’ BiometrΓa β β’ Cifrado β β’ Procedimientos β β’ Ley 41/2002 β β
β β β’ Videovigilanciaβ β’ Antivirus/EDR β β’ Roles β β’ NIS2 β β
β β β’ ExtinciΓ³n gas β β’ Backup β β’ FormaciΓ³n β β’ Ley 39/2015 β β
β β β’ SAI + Grupo β β’ VPN β β’ AuditorΓas β β’ ENI β β
β β β’ ClimatizaciΓ³n β β’ 2FA/MFA β β’ ComitΓ©s β β β
β ββββββββββββββββββββ΄βββββββββββββββββββ΄βββββββββββββββββββ΄βββββββββββββββββββ β
β β
β Medidas ENS (75 controles) β
β β β
β βββββββββββββββββββββββΌββββββββββββββββββββββ β
β β β β β
β ββββββΌβββββ ββββββΌβββββ ββββββΌβββββ β
β β org β β op β β mp β β
β βOrganiza β βOperacio β βProtecciΓ³n β
β β tivas β β nales β β β β
β β β β β β β β
β β27 medid β β24 medid β β24 medid β β
β βββββββββββ βββββββββββ βββββββββββ β
β β
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β πΎ RESPALDO Y CONTINUIDAD (BACKUP + DR + BC) β
β ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ£
β β
β βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ β
β β ESTRATEGIA BACKUP 3-2-1-1-0 β β
β β β β
β β 3 Copias β ProducciΓ³n + 2 backups β β
β β 2 Soportes β Disco + Cinta β β
β β 1 Off-site β CPD alternativo o bΓΊnker β β
β β 1 Offline β Air-gapped (anti-ransomware) β β
β β 0 Errores β Pruebas restore trimestrales obligatorias β β
β ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ β
β β
β βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ β
β β TIPOS DE BACKUP β β
β β β β
β β Full (Completo) ββββββ> Todo βββ> Domingos 00:00 β β
β β Incremental ββββββββββ> Ξ desde ΓΊltimo βββ> Lunes-SΓ‘bado 02:00 β β
β β Diferencial ββββββββββ> Ξ desde full ββ> Alternativa a incremental β β
β β Snapshot (SAN) βββββββ> InstantΓ‘neo ββ> Antes de cambios crΓticos β β
β ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ β
β β
β βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ β
β β PLAN DE CONTINGENCIA TIC (DR) β β
β β β β
β β RPO (Recovery Point Objective) ββ> Dato perdido tolerable (ej: 15 min)β β
β β RTO (Recovery Time Objective) ββ> Tiempo restauraciΓ³n (ej: 4 horas) β β
β β β β
β β Hot Site β> CPD duplicado + replicaciΓ³n real-time ββ> RTO < 1h β β
β β Warm Site β> CPD preparado + restore backup ββ> RTO 4-12h β β
β β Cold Site β> Espacio fΓsico bΓ‘sico ββ> RTO > 72h β β
β ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ β
β β
β βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ β
β β ALTA DISPONIBILIDAD (HA) vs CONTINUIDAD (BC) β β
β β β β
β β HA: Minimizar downtime componente β BC: Operar tras desastre mayor β β
β β Clustering, failover, RAID β CPD alternativo, papel backup β β
β β 99.99% = 52 min/aΓ±o downtime β RTO/RPO del negocio β β
β ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ β
β β
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
β π ESTRATEGIAS DE CIBERSEGURIDAD β
β ββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ£
β β
β EUROPA: NIS2 (2022) ββββββ> Sanidad = Operador Esencial β
β ENISA ββββββ> GuΓas tΓ©cnicas ciberseguridad hospitales β
β β
β ESPAΓA: Estrategia Nacional Ciberseguridad 2019 β
β CCN-CERT ββββββββββ> Sector pΓΊblico (SAS reporta aquΓ) β
β INCIBE-CERT βββββββ> Ciudadanos/empresas privadas β
β GuΓas CCN-STIC ββββ> 804 (MEDIA), 805 (ALTA), 807 (Cripto), 817 (Incid.) β
β β
β ANDALUCΓA: Plan Director Ciberseguridad 2021-2025 β
β CSIRT-AndalucΓa ββ> SOC 24/7, respuesta incidentes β
β Programa "Hospitales Ciberseguros" ββ> 18Mβ¬, 45 hospitales, NIS2 ready β
β β
β SAS: PolΓtica Seguridad TIC especΓfica β
β ComitΓ© Seguridad TIC (trimestral) β
β CSIRT-SAS (permanente) β
β FormaciΓ³n obligatoria anual (100.000+ profesionales) β
β Simulacros phishing trimestrales β
β β
βββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββββ
ββββββββββββββββββββββββββββββββββββββββββββββββββββ
β π― OBJETIVO FINAL: SEGURIDAD β
β INTEGRAL SAS β
β β
β Proteger D,I,C,A,T de sistemas que sostienen β
β asistencia sanitaria a 8,5M andaluces β
β β
β Cumplimiento ENS + NIS2 + RGPD β
β Disponibilidad 99.99% sistemas crΓticos β
β Respuesta incidentes < 1h (CRΓTICOS) β
β RPO Diraya: 15 min | RTO Diraya: 4h β
β β
β βΊ Prevenir βΊ Detectar βΊ Responder βΊ Recuperar β
ββββββββββββββββββββββββββββββββββββββββββββββββββββ
π‘ CΓ³mo Usar este Mapa Conceptual
Este mapa es tu "vista de pΓ‘jaro" del tema. Γsalo para:
- Repasos rΓ‘pidos: Revisar todas las relaciones en 5 minutos
- Antes del examen: Refresco visual final antes de entrar
- Detectar lagunas: Si algo del mapa no lo entiendes, vuelve a esa secciΓ³n
- Crear tu propio mapa: DibΓΊjalo a mano con tus propias palabras (tΓ©cnica muy potente)
13. Referencias Normativas y BibliogrΓ‘ficas
Normativa EspaΓ±ola
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS). BOE nΓΊm. 106, de 4 de mayo de 2022.
- Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo ComΓΊn de las Administraciones PΓΊblicas. BOE nΓΊm. 236, de 2 de octubre de 2015.
- Ley 40/2015, de 1 de octubre, de RΓ©gimen JurΓdico del Sector PΓΊblico. BOE nΓΊm. 236, de 2 de octubre de 2015.
- Ley OrgΓ‘nica 3/2018, de 5 de diciembre, de ProtecciΓ³n de Datos Personales y garantΓa de los derechos digitales (LOPDGDD). BOE nΓΊm. 294, de 6 de diciembre de 2018.
- Ley 41/2002, de 14 de noviembre, bΓ‘sica reguladora de la autonomΓa del paciente y de derechos y obligaciones en materia de informaciΓ³n y documentaciΓ³n clΓnica. BOE nΓΊm. 274, de 15 de noviembre de 2002.
- Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. BOE nΓΊm. 22, de 26 de enero de 2021.
- Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el Γ‘mbito de la AdministraciΓ³n ElectrΓ³nica (ENS v1, derogado pero referencia histΓ³rica).
Normativa Europea
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protecciΓ³n de las personas fΓsicas en lo que respecta al tratamiento de datos personales (RGPD). DOUE L 119/1, de 4 de mayo de 2016.
- Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel comΓΊn de ciberseguridad en toda la UniΓ³n (Directiva NIS2). DOUE L 333/80, de 27 de diciembre de 2022.
- Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificaciΓ³n electrΓ³nica y los servicios de confianza para las transacciones electrΓ³nicas en el mercado interior (eIDAS). DOUE L 257/73, de 28 de agosto de 2014.
Normativa Andaluza
- Decreto 534/2021, de 13 de julio, por el que se aprueba el Reglamento de la AdministraciΓ³n ElectrΓ³nica del Servicio Andaluz de Salud. BOJA nΓΊm. 136, de 16 de julio de 2021.
- Orden de 21 de febrero de 2005, por la que se aprueba la PolΓtica de Seguridad de las TecnologΓas de la InformaciΓ³n y Comunicaciones en la AdministraciΓ³n de la Junta de AndalucΓa. BOJA nΓΊm. 48, de 9 de marzo de 2005 (actualizada).
- Decreto 611/2020, de 24 de junio, por el que se desarrolla el rΓ©gimen jurΓdico de las organizaciones del Sistema Sanitario PΓΊblico de AndalucΓa. BOJA nΓΊm. 122, de 26 de junio de 2020.
GuΓas TΓ©cnicas CCN-STIC (Centro CriptolΓ³gico Nacional)
- CCN-STIC 804: GuΓa de ImplantaciΓ³n del ENS - CategorΓa MEDIA. VersiΓ³n 3.1, octubre 2023.
- CCN-STIC 805: GuΓa de ImplantaciΓ³n del ENS - CategorΓa ALTA. VersiΓ³n 3.1, octubre 2023.
- CCN-STIC 807: CriptologΓa de Empleo en el Esquema Nacional de Seguridad. VersiΓ³n 2.6, agosto 2023.
- CCN-STIC 808: VerificaciΓ³n del cumplimiento de las medidas del ENS. VersiΓ³n 2.2, junio 2023.
- CCN-STIC 817: GestiΓ³n de Ciberincidentes. VersiΓ³n 4.1, febrero 2023.
- CCN-STIC 825: Esquema Nacional de EvaluaciΓ³n y CertificaciΓ³n de la Seguridad de las TecnologΓas de la InformaciΓ³n. VersiΓ³n 1.0, diciembre 2018.
- MAGERIT v3.0: MetodologΓa de AnΓ‘lisis y GestiΓ³n de Riesgos de los Sistemas de InformaciΓ³n. Ministerio de Hacienda y FunciΓ³n PΓΊblica, 2012 (con actualizaciones).
Normas TΓ©cnicas ISO/IEC
- ISO/IEC 27001:2022 - Sistemas de gestiΓ³n de seguridad de la informaciΓ³n. Requisitos.
- ISO/IEC 27002:2022 - CΓ³digo de buenas prΓ‘cticas para controles de seguridad de la informaciΓ³n.
- ISO/IEC 27005:2022 - GestiΓ³n de riesgos de seguridad de la informaciΓ³n.
- ISO 27799:2016 - GestiΓ³n de la seguridad de la informaciΓ³n en la salud usando ISO/IEC 27002.
- ISO/IEC 20000-1:2018 - GestiΓ³n de servicios de tecnologΓas de la informaciΓ³n (ITSM).
- ISO 22301:2019 - Sistemas de gestiΓ³n de continuidad del negocio. Requisitos.
DocumentaciΓ³n ENISA (Agencia Europea Ciberseguridad)
- ENISA (2020): "Procurement Guidelines for Cybersecurity in Hospitals". Diciembre 2020.
- ENISA (2023): "ENISA Threat Landscape for the Healthcare Sector". Junio 2023.
- ENISA (2023): "Good Practices for Security of Internet of Things in the context of Smart Manufacturing". Marzo 2023 (aplicable IoT mΓ©dico).
BibliografΓa General de Seguridad InformΓ‘tica
- Kim, G. et al. (2019). "The Phoenix Project: A Novel about IT, DevOps, and Helping Your Business Win". IT Revolution Press.
- Anderson, R. (2020). "Security Engineering: A Guide to Building Dependable Distributed Systems". 3rd Edition. Wiley.
- Shostack, A. (2014). "Threat Modeling: Designing for Security". Wiley.
- Stallings, W. & Brown, L. (2023). "Computer Security: Principles and Practice". 5th Edition. Pearson.
- NIST (2020). "Framework for Improving Critical Infrastructure Cybersecurity". Version 1.1.
Recursos Online SAS y Junta de AndalucΓa
- Portal SAS: https://www.sspa.juntadeandalucia.es
- ConsejerΓa Salud AndalucΓa: https://www.juntadeandalucia.es/organismos/saludyconsumo.html
- CCN-CERT: https://www.ccn-cert.cni.es
- INCIBE-CERT: https://www.incibe.es
- ENISA: https://www.enisa.europa.eu
- AEPD (Agencia EspaΓ±ola ProtecciΓ³n Datos): https://www.aepd.es
β οΈ Nota Importante sobre Actualizaciones Normativas
La normativa de seguridad y protecciΓ³n de datos estΓ‘ en constante evoluciΓ³n. Es responsabilidad del opositor:
- Verificar la vigencia de las normas citadas en este tema
- Consultar el BOE/BOJA para actualizaciones recientes
- Revisar las guΓas CCN-STIC mΓ‘s recientes (se actualizan periΓ³dicamente)
- Estar al tanto de noticias de ciberseguridad que puedan afectar al SAS
Recomendamos suscribirse a alertas de CCN-CERT e INCIBE-CERT para estar al dΓa.