1. Introducción y Contextualización

La seguridad de la información en el sector público español, y especialmente en el ámbito sanitario, se ha convertido en un pilar fundamental de la Transformación Digital. Cuando hablamos del Esquema Nacional de Seguridad (ENS) y de la protección de infraestructuras críticas, no estamos hablando de teoría abstracta… estamos hablando de proteger las historias clínicas de 8,5 millones de andaluces en Diraya, de garantizar que los hospitales puedan seguir funcionando ante un ciberataque, de asegurar que la receta electrónica no se caiga un lunes por la mañana cuando hay miles de personas esperando sus medicamentos.

El Real Decreto 311/2022, de 3 de mayo, que regula el Esquema Nacional de Seguridad, es el marco normativo que establece la política de seguridad en la utilización de medios electrónicos en el sector público. Es de aplicación obligatoria para todas las Administraciones Públicas españolas, y por tanto, para el Servicio Andaluz de Salud.

Por otro lado, la Ley 8/2011, de 28 de abril, de Protección de Infraestructuras Críticas (LPIC), desarrollada por el Real Decreto 704/2011, establece el marco para proteger aquellas infraestructuras cuyo funcionamiento es indispensable y no permite soluciones alternativas. En el contexto del SAS, esto incluye sistemas como el centro de datos principal, la red corporativa sanitaria, y sistemas críticos como Diraya o el sistema de cita previa.

1.1. Relevancia para el Técnico Especialista en Informática del SAS

Como técnico del SAS, te enfrentarás diariamente a situaciones donde el ENS será tu guía:

• Categorización de sistemas: ¿Es Diraya un sistema ALTO? ¿Y el portal ClicSalud+?
• Gestión de incidentes: Un ransomware afecta a un servidor de aplicaciones. ¿Cómo documentarlo según ENS?
• Auditorías de cumplimiento: Cada dos años, los sistemas deben auditarse. ¿Estás preparado?
• Control de accesos: ¿Quién puede ver qué en Diraya? El ENS lo regula.
• Respaldo y recuperación: Los planes de continuidad son obligatorios para categoría ALTA.

1.2. Importancia en la Oposición

Las estadísticas no mienten: el ENS aparece en prácticamente todos los exámenes del SAS de los últimos años. Las preguntas suelen centrarse en:

• Artículos concretos del RD 311/2022 (especialmente sobre auditorías, categorización, roles)
• Diferencias entre categorías BÁSICA, MEDIA y ALTA
• Principios básicos del ENS
• Medidas de seguridad específicas (las famosas [op.exp], [mp.per], etc.)
• Relación entre ENS e infraestructuras críticas

2. El Esquema Nacional de Seguridad (ENS)

2.1. Marco Normativo y Evolución

El ENS nace de la necesidad de establecer un marco común de seguridad para todas las Administraciones Públicas. Su evolución ha sido:

El Real Decreto 311/2022 es el que debes conocer a fondo. Deroga el anterior y trae cambios significativos en las medidas de seguridad, en los plazos de auditoría, y en la coordinación con el CCN-CERT (Centro Criptológico Nacional – Capacidad de Respuesta a Incidentes).

2.2. Ámbito de Aplicación

El ENS se aplica a:

• Toda la Administración General del Estado
• Administraciones de las Comunidades Autónomas (incluida la Junta de Andalucía)
• Entidades Locales
• Organismos y entidades de derecho público vinculadas o dependientes de las Administraciones Públicas

En el contexto del SAS, esto significa que todos los sistemas de información corporativos están sujetos al ENS: Diraya, BDU (Base de Datos de Usuarios), Receta XXI, sistemas de gestión hospitalaria, portales web, sistemas de BI Corporativo, etc.

2.3. Principios Básicos del ENS

El ENS se sustenta sobre una serie de principios básicos que aparecen constantemente en las preguntas de examen. Vamos a verlos uno por uno, porque entenderlos es clave:

a) Seguridad Integral

La seguridad no es solo tecnología. Implica aspectos tecnológicos (firewalls, cifrado), pero también organizativos (políticas, procedimientos), legales (cumplimiento normativo) y humanos (formación, concienciación). Cuando en el SAS implementas una medida de seguridad, no basta con instalar un antivirus; necesitas formar a los usuarios, documentar procedimientos, y establecer responsabilidades.

b) Gestión de la Seguridad Basada en los Riesgos

No todos los sistemas tienen los mismos riesgos ni requieren las mismas medidas. El ENS exige realizar un análisis de riesgos (metodología MAGERIT) para identificar activos, amenazas, vulnerabilidades e impactos. A partir de ahí, se determinan las medidas de seguridad proporcionales al riesgo.

c) Prevención, Detección, Respuesta y Recuperación

La seguridad no es solo prevenir ataques (aunque ojalá). También hay que detectarlos cuando ocurren (sistemas SIEM), responder adecuadamente (planes de respuesta a incidentes), y recuperarse (backups, planes de continuidad). Es un ciclo continuo.

d) Existencia de Líneas de Defensa

También conocido como «defensa en profundidad». No confíes en una sola barrera. Si un atacante supera tu firewall, debe encontrarse con segmentación de red, con control de accesos a nivel de aplicación, con cifrado de datos, con monitorización… Múltiples capas de seguridad.

e) Vigilancia Continua

La seguridad no es un estado, es un proceso. Los sistemas deben ser monitorizados continuamente. En el SAS, herramientas como Centreon o sistemas SIEM monitorizan 24/7 los sistemas críticos.

f) Reevaluación Periódica

Las amenazas evolucionan, las tecnologías cambian, los sistemas se modifican. Por eso el ENS exige reevaluar periódicamente las medidas de seguridad. De ahí las auditorías obligatorias cada dos años.

g) Diferenciación de Responsabilidades

El ENS define claramente los roles de seguridad: Responsable de la Información, Responsable del Servicio, Responsable de Seguridad, Responsable del Sistema… Cada uno con sus funciones y responsabilidades específicas. En el examen, suelen preguntar sobre estos roles.

2.4. Categorización de los Sistemas de Información

Uno de los aspectos más importantes (y más preguntados en el examen) es la categorización de los sistemas. El ENS establece tres categorías según el nivel de seguridad requerido: BÁSICA, MEDIA y ALTA.

La categorización se realiza evaluando el impacto que tendría un incidente de seguridad sobre las siguientes cinco dimensiones de seguridad:

Niveles de Impacto por Dimensión

Para cada dimensión, se evalúa el impacto potencial de un incidente de seguridad en tres niveles:

• BAJO: El daño es limitado, afecta a un número reducido de personas o tiene consecuencias menores.
• MEDIO: El daño es significativo, puede implicar incumplimiento de normativa, daño reputacional, o afectar a un número considerable de ciudadanos.
• ALTO: El daño es muy grave, puede poner en peligro vidas, implicar incumplimiento grave de leyes, o afectar masivamente a los ciudadanos.

Determinación de la Categoría del Sistema

Una vez evaluado el impacto en cada dimensión, la categoría del sistema se determina así:

Ejemplos de Categorización en el SAS

2.5. Auditorías y Certificación de Conformidad

El ENS establece requisitos diferentes según la categoría del sistema en cuanto a declaración/certificación de conformidad y auditorías periódicas.

Declaración vs. Certificación de Conformidad

Auditorías Regulares (Artículo 31 del RD 311/2022)

Este artículo es MUY PREGUNTADO en los exámenes:

2.6. Organización y Responsabilidades en el ENS

El ENS define con claridad los roles de seguridad. Esto también es muy preguntado en los exámenes:

a) Responsable de la Información

Es quien determina qué información debe manejarse y los requisitos de seguridad que debe cumplir. En el SAS, por ejemplo, el responsable de la información de las historias clínicas define qué profesionales pueden acceder y bajo qué condiciones.

b) Responsable del Servicio

Decide qué servicios deben prestarse, define los requisitos funcionales, y establece los niveles de servicio (SLA). Por ejemplo, el responsable del servicio de cita previa online define que debe estar disponible 24/7.

c) Responsable de la Seguridad

Es quien supervisa, controla y evalúa el cumplimiento de las medidas de seguridad. Reporta directamente a la alta dirección. En el SAS, coordina con el CCN-CERT, realiza análisis de riesgos, gestiona incidentes de seguridad.

d) Responsable del Sistema

Se encarga de la operación del sistema de información. Es quien implementa las medidas de seguridad técnicas y organizativas en el día a día.

e) Administradores del Sistema

Realizan las tareas de administración del sistema: instalación, configuración, mantenimiento de servicios TIC.

f) Operadores STIC (Seguridad de las TIC)

Responsables de la operación diaria de los servicios de seguridad. Monitorizan, detectan incidencias, y reportan al Responsable de Seguridad.

2.7. Medidas de Seguridad del ENS

El Anexo II del RD 311/2022 establece un amplio catálogo de medidas de seguridad organizadas en tres marcos:

• [org] Marco Organizativo: Políticas, procedimientos, gestión de personal.
• [op] Marco Operacional: Operación diaria del sistema, gestión de cambios, copias de seguridad.
• [mp] Medidas de Protección: Controles técnicos de acceso, cifrado, antimalware.

Algunas medidas clave que suelen aparecer en exámenes:

3. Protección de Infraestructuras Críticas

3.1. Ley 8/2011 de Protección de Infraestructuras Críticas (LPIC)

La Ley 8/2011, de 28 de abril, establece el marco para la protección de las infraestructuras críticas en España. Se considera infraestructura crítica aquella cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales.

Sectores Estratégicos

La LPIC identifica los siguientes sectores estratégicos (entre otros):

• Sector Salud: Hospitales, centros de salud, sistemas de información sanitaria.
• Energía (generación, transporte, distribución eléctrica).
• Transporte (ferrocarril, aviación, puertos).
• Tecnologías de la Información y las Comunicaciones (TIC).
• Agua (abastecimiento y control).
• Alimentación.
• Administración (sistemas de administración electrónica).

En el contexto del SAS, el sector salud es especialmente relevante. Los grandes hospitales (como el Virgen del Rocío, Carlos Haya, Virgen de las Nieves) y los sistemas de información críticos (Diraya, centros de datos corporativos) pueden ser considerados infraestructuras críticas.

Operadores Críticos y Planes de Seguridad del Operador (PSO)

Un operador crítico es la entidad pública o privada propietaria o gestora de una infraestructura crítica. Si el SAS gestiona un sistema que se declara como infraestructura crítica, debe elaborar un Plan de Seguridad del Operador (PSO) que incluya:

• Análisis de riesgos específicos de la infraestructura.
• Medidas de seguridad física (control de accesos, videovigilancia).
• Medidas de seguridad lógica (ciberseguridad).
• Planes de respuesta ante incidentes y emergencias.
• Coordinación con las Fuerzas y Cuerpos de Seguridad del Estado.

3.2. Real Decreto 704/2011: Desarrollo de la LPIC

El Real Decreto 704/2011, de 20 de mayo, desarrolla la LPIC estableciendo procedimientos y requisitos para:

• Identificación y designación de infraestructuras críticas.
• Elaboración y aprobación de Planes de Seguridad del Operador.
• Creación del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC).
• Coordinación entre operadores críticos y autoridades.

3.3. Relación entre ENS e Infraestructuras Críticas

El ENS y la LPIC son complementarios:

• El ENS establece las medidas de seguridad para todos los sistemas de información del sector público.
• La LPIC establece requisitos adicionales y específicos para aquellas infraestructuras cuyo fallo tendría un impacto crítico en los servicios esenciales.

En el SAS, un sistema puede cumplir con el ENS (por ejemplo, categoría ALTA en Diraya) y además estar sujeto a la LPIC si se considera infraestructura crítica (por ejemplo, el centro de datos principal del SAS).

4. Conexión con Otros Marcos Normativos

4.1. ENS y RGPD

El Reglamento General de Protección de Datos (RGPD) y el ENS son complementarios pero tienen enfoques distintos:

En el SAS, al manejar datos de salud (categoría especial según RGPD artículo 9), debes cumplir AMBAS normativas: el RGPD para la protección de datos personales, y el ENS para la seguridad de los sistemas que los procesan.

4.2. ENS e ISO 27001

La principal diferencia entre el ENS e ISO 27001 (norma internacional de sistemas de gestión de seguridad de la información) es el carácter de cumplimiento:

• ISO 27001: Certificación voluntaria. Las organizaciones eligen certificarse para demostrar buenas prácticas.
• ENS: Cumplimiento obligatorio para el sector público español según la Ley 40/2015.

Ambos son compatibles y muchas organizaciones implementan ambos marcos de forma integrada.

5. Aplicación del ENS en el SAS: Casos Prácticos

5.1. Caso Práctico: Categorización de Diraya

Situación: Debes determinar la categoría de seguridad del sistema Diraya según el ENS.

Análisis por dimensiones:

• [C] Confidencialidad: ALTA. Las historias clínicas contienen datos sensibles. Un acceso no autorizado vulnera la intimidad y supone incumplimiento del RGPD.
• [I] Integridad: ALTA. La modificación no autorizada de datos clínicos puede poner en riesgo vidas (por ejemplo, cambiar un grupo sanguíneo, una alergia).
• [D] Disponibilidad: ALTA. Los profesionales sanitarios necesitan acceso inmediato a las historias para tomar decisiones clínicas. La indisponibilidad puede comprometer la asistencia.
• [T] Trazabilidad: ALTA. Es imprescindible auditar quién accedió a qué historia y cuándo, tanto por requisitos legales como para detectar accesos indebidos.
• [A] Autenticidad: ALTA. Debe garantizarse que las prescripciones y diagnósticos provienen de profesionales autorizados.

Conclusión: Diraya es categoría ALTA, ya que múltiples dimensiones alcanzan nivel ALTO. Esto implica:

• Certificación de conformidad por entidad externa.
• Auditorías cada 2 años.
• Plan de continuidad obligatorio.
• Medidas de seguridad reforzadas.

5.2. Caso Práctico: Incidente de Vishing en el SAS

Situación: Un atacante llama por teléfono a un administrativo del SAS haciéndose pasar por el servicio técnico de Diraya y solicita sus credenciales de acceso. El administrativo, sin sospechar, las facilita.

Preguntas del examen:

1. ¿Qué tipo de ataque es? Respuesta: Vishing (voice phishing), un ataque de ingeniería social por teléfono.
2. ¿Qué medida del ENS debe reforzarse prioritariamente? Respuesta: [mp.per.4] Formación. La ingeniería social se combate principalmente con concienciación y formación del personal.

5.3. Caso Práctico: Auditoría ENS de un Sistema MEDIO

Situación: El portal ClicSalud+ (categoría MEDIA) debe auditarse según el ENS.

Pasos:

1. Contratar una entidad externa acreditada para realizar la certificación de conformidad.
2. La auditoría verifica que se cumplen las medidas de seguridad del Anexo II del RD 311/2022 aplicables a categoría MEDIA.
3. Se revisan políticas, procedimientos, controles técnicos (accesos, copias de seguridad, cifrado), y evidencias (logs, documentación).
4. La entidad emite un informe de auditoría indicando el grado de cumplimiento.
5. Si hay deficiencias, el SAS debe implementar un plan de acción para subsanarlas.
6. El plazo es cada 2 años, extensible 3 meses por fuerza mayor.

6. Estrategia de Ciberseguridad en Andalucía

6.1. Estrategia de Ciberseguridad de Andalucía 2022-2025

La Junta de Andalucía ha establecido su propia Estrategia de Ciberseguridad 2022-2025 con ocho objetivos estratégicos:

1. Fortalecer las estructuras de gobierno en ciberseguridad.
2. Reforzar las capacidades de prevención, detección y respuesta a incidentes.
3. Situar a Andalucía como referente a nivel nacional e internacional en ciberseguridad.
4. Mejorar las capacidades en empresas andaluzas.
5. Potenciar el talento y competencias de ciberseguridad en la ciudadanía y profesionales.
6. Fomentar la colaboración público-privada.
7. Impulsar la I+D+i en ciberseguridad.
8. Mejorar la cultura de ciberseguridad en la sociedad andaluza.

7. Herramientas y Metodologías de Análisis de Riesgos

7.1. MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información)

MAGERIT es la metodología oficial española para el análisis y gestión de riesgos de los sistemas de información. Es promovida por el CCN (Centro Criptológico Nacional) y se utiliza para cumplir con el ENS.

MAGERIT define dos tipos de análisis:

• Análisis Cualitativo: Utiliza escalas de valores discretos (bajo, medio, alto) para valorar activos, amenazas, impactos y riesgos. Es más rápido pero menos preciso.
• Análisis Cuantitativo: Utiliza valores numéricos y monetarios para cuantificar riesgos. Es más preciso pero requiere más tiempo y datos.

7.2. PILAR (Herramienta de Análisis de Riesgos)

PILAR es una herramienta informática gratuita desarrollada por el CCN para facilitar la aplicación de MAGERIT. Permite realizar análisis de riesgos de forma sistemática.

Dimensiones de seguridad que analiza PILAR:

• Disponibilidad
• Integridad
• Confidencialidad
• Autenticidad
• Trazabilidad

8. Conclusiones y Estrategia de Estudio

8.1. Estrategia de Memorización

Para la normativa:

• Crea flashcards con artículos clave: Art. 31 (auditorías cada 2 años + 3 meses), Anexo I (categorización), Anexo II (medidas de seguridad).
• Memoriza los principios básicos del ENS con acrónimos: S-G-P-L-V-R-D (Seguridad integral, Gestión de riesgos, Prevención-detección-respuesta-recuperación, Líneas de defensa, Vigilancia continua, Reevaluación periódica, Diferenciación de responsabilidades).

Para las categorías:

• Regla mnemotécnica: «BÁSICA = Bajo solo», «MEDIA = Medio solo o Bajo múltiple», «ALTA = Alto o Medio múltiple».
• Practica con casos del SAS: Diraya (ALTA), ClicSalud+ (MEDIA), Web informativa (BÁSICA).

Para los roles:

• Asocia cada rol con una pregunta: ¿Quién decide QUÉ información? (Responsable de la Información). ¿Quién decide QUÉ servicios? (Responsable del Servicio). ¿Quién SUPERVISA seguridad? (Responsable de Seguridad). ¿Quién OPERA el sistema? (Responsable del Sistema).

8.2. Retos Emergentes y Actualización Continua

La ciberseguridad evoluciona rápidamente. Como futuro técnico del SAS, deberás estar al día en:

• Ransomware en sanidad: Los hospitales son objetivo prioritario de ataques con cifrado de datos y extorsión.
• IoMT (Internet of Medical Things): Dispositivos médicos conectados (bombas de infusión, monitores) que pueden ser vulnerables.
• IA generativa y ciberseguridad: Tanto para defensa (detección automatizada de amenazas) como para ataque (phishing sofisticado generado por IA).
• Cloud híbrida en SAS: La migración de sistemas a la nube requiere adaptar las medidas del ENS a entornos cloud.

9. Cuestionario de Preguntas Tipo Test

Las siguientes 30 preguntas están basadas en exámenes reales del SAS de los años 2019, 2023 y 2025. Practícalas hasta dominarlas.

10. Mapa Conceptual del Tema

11. Referencias Normativas y Bibliográficas