Tema 76: Seguridad de las Tecnologías de la Información | Oposición Ingeniero Informático SAS

Tema 76

La Seguridad de las Tecnologías de la Información

Objetivos, estrategias, medidas y planes de contingencia aplicados al Servicio Andaluz de Salud

1. Introducción

🎯 ¿Por qué este tema es fundamental para tu oposición?

Mira, vamos a ser claros desde el principio: este tema es de los que SÍ o SÍ va a caer en tu examen. Y no es casualidad. La seguridad en sanidad no es un capricho burocrático, es literalmente la diferencia entre que un hospital pueda atender emergencias o que se quede paralizado por un ransomware. ¿Recuerdas los ataques a hospitales en 2021? Pues eso.

Como futuro Ingeniero Informático del SAS, vas a ser responsable de sistemas que manejan datos de salud de 8,5 millones de andaluces. Datos que, si se filtran, no solo pueden arruinar vidas… también pueden costarte tu plaza y responsabilidades legales muy serias.

La seguridad de las tecnologías de la información en el ámbito sanitario representa uno de los pilares fundamentales sobre los que se sustenta la Transformación Digital del Sistema Sanitario Público de Andalucía (SSPA). No estamos hablando de teoría abstracta: cuando Diraya cae en el Hospital Virgen del Rocío, más de 50.000 profesionales sanitarios se quedan sin acceso a las historias clínicas de sus pacientes. Es literal: sin seguridad, no hay asistencia sanitaria moderna.

Este tema aborda los objetivos estratégicos de la seguridad (la famosa triada CIA: Confidencialidad, Integridad y Disponibilidad), las políticas y medidas que debemos implementar (físicas, técnicas, organizativas y legales), y los planes de contingencia que garantizan que, pase lo que pase, los servicios críticos sigan funcionando.

⚠️ Conexión directa con tu trabajo diario

Cuando entres en el SAS como Ingeniero Informático, te encontrarás gestionando:

Incidentes de seguridad en Diraya (accesos no autorizados, intentos de intrusión)
Auditorías ENS de sistemas categorizados como ALTO
Planes de backup y recuperación ante desastres
Cumplimiento RGPD en el tratamiento de datos de salud
Implementación de medidas del Esquema Nacional de Seguridad

1.1. Relevancia en el contexto del SAS

El Servicio Andaluz de Salud gestiona algunos de los sistemas de información más críticos de la administración autonómica. Hablamos de:

Diraya (Historia de Salud Digital): Sistema centralizado con datos clínicos de toda la población andaluza. Categoría ENS: ALTA en confidencialidad, integridad y disponibilidad.
Receta XXI: Sistema de prescripción electrónica que permite dispensar medicación en cualquier farmacia de Andalucía. Su caída paraliza la dispensación farmacéutica.
Nódulo (PACS): Almacenamiento y visualización de imágenes médicas. En urgencias, su disponibilidad es crítica para el diagnóstico.
JARA: Gestión de citas. Millones de andaluces dependen de este sistema para acceder a la sanidad pública.

Estos sistemas no pueden fallar. Y cuando digo «no pueden», lo digo literalmente: un RTO (Recovery Time Objective) de Diraya en un hospital de referencia es de menos de 1 hora. Más allá de ese tiempo, la atención sanitaria se ve comprometida gravemente.

1.2. Marco normativo aplicable

La seguridad de la información en el SAS no es opcional. Viene impuesta por un marco normativo complejo pero bien definido:

Normativa	Ámbito	Aplicación en SAS
RD 311/2022 (ENS)	Seguridad sistemas AAPP	Obligatorio. Diraya, Receta XXI → Categoría ALTA
RGPD (UE 2016/679)	Protección datos personales	Datos de salud = categoría especial (art. 9)
LOPDGDD (LO 3/2018)	Adaptación española RGPD	DPO obligatorio, notificación brechas 72h
Ley 41/2002	Autonomía del paciente	Confidencialidad historia clínica, auditoría accesos
Ley 8/2011	Infraestructuras críticas	SAS = operador crítico, PSO obligatorio

1.3. Estructura del tema

A lo largo de este tema, vamos a ir construyendo tu conocimiento paso a paso, como si estuviéramos diseñando la estrategia de seguridad de un hospital desde cero:

Objetivos de seguridad: ¿Qué queremos proteger y por qué? (La triada CIA y más allá)
Estrategias y políticas: ¿Cómo organizamos la seguridad? (Del papel de la dirección al técnico de sistemas)
Medidas de seguridad: ¿Qué implementamos? (Físicas, técnicas, organizativas, legales)
Planes de contingencia: ¿Qué hacemos cuando todo falla? (BCP, DRP, backup)
Evaluación y certificación: ¿Cómo sabemos que estamos seguros? (Auditorías, ENS, ISO 27001)
Políticas específicas del SAS: ¿Cómo lo aplicamos en sanidad andaluza?
Estrategias de ciberseguridad: Desde Europa hasta Andalucía

💡 Consejo de estudio

Este tema tiene mucha normativa. Mi recomendación: no intentes memorizarlo todo de golpe. Primero entiende los conceptos (qué es RPO, RTO, la triada CIA…), luego aprende cómo se aplican en el SAS (Diraya, Receta XXI), y solo al final memoriza los artículos y fechas concretas de las leyes. La comprensión primero, la memorización después.

2. Objetivos de la Seguridad de las Tecnologías de la Información

Vale, aquí viene lo primero que tienes que tatuarte en la cabeza: los objetivos de seguridad no son una lista arbitraria que alguien se inventó. Son las propiedades que DEBEN cumplir nuestros sistemas para que podamos confiar en ellos. Y cuando digo «confiar», hablo en serio: confiar para que un médico pueda diagnosticar, para que un paciente reciba el tratamiento correcto, para que no haya fugas de datos sensibles…

2.1. La Triada CIA: Los tres pilares fundamentales

2.1.1. Confidencialidad

La confidencialidad garantiza que la información solo sea accesible para personas autorizadas. Suena simple, ¿verdad? Pues es la madre de todos los problemas en sanidad.

⛔ Escenario real de fallo de confidencialidad

Un auxiliar administrativo del Hospital Virgen de las Nieves accede a la historia clínica de Diraya de un familiar para «ver cómo está». Técnicamente puede hacerlo porque tiene acceso al sistema. Legalmente, acaba de cometer una infracción MUY GRAVE según la Ley 41/2002. Resultado: expediente disciplinario, posible sanción de hasta 600.000€ por el RGPD, y denuncia penal por revelación de secretos.

Aplicación en el SAS:

Control de acceso basado en roles (RBAC): En Diraya, un médico de digestivo NO puede ver las notas de psiquiatría a menos que esté justificado clínicamente.
Auditoría de accesos: Cada vez que alguien abre una historia clínica, queda registrado: quién, cuándo, desde dónde. Esto es obligatorio por la Ley 41/2002.
Cifrado de datos: Los datos en reposo en las bases de datos de Diraya están cifrados (TDE – Transparent Data Encryption). Las comunicaciones usan TLS 1.3.
Segregación de redes: La red clínica está separada de la administrativa mediante VLANs y firewalls.

2.1.2. Integridad

La integridad asegura que la información no ha sido alterada de forma no autorizada. En sanidad, esto es CRÍTICO. Una prescripción médica modificada puede matar a un paciente.

⚠️ ¿Por qué importa tanto la integridad en sanidad?

Imagina que un médico prescribe 1 comprimido de un medicamento cada 12 horas. Si alguien (maliciosamente o por error) modifica eso a 10 comprimidos cada 2 horas, el paciente puede sufrir una sobredosis fatal. Por eso en Receta XXI se usa firma electrónica: cualquier modificación invalida la receta.

Aplicación en el SAS:

Firma electrónica: Las prescripciones en Receta XXI están firmadas digitalmente por el médico. No se pueden alterar sin invalidar la firma.
Hashes criptográficos: Los documentos clínicos importantes (informes de alta, consentimientos informados) tienen hashes que permiten detectar modificaciones.
Control de versiones: Diraya mantiene un histórico de modificaciones. Si cambias un dato, queda registrado qué era antes, qué es ahora, quién lo cambió y cuándo.
Backups inmutables: Los backups de sistemas críticos se almacenan en modo WORM (Write Once, Read Many) para prevenir ransomware.

2.1.3. Disponibilidad

La disponibilidad garantiza que los sistemas estén operativos cuando se necesitan. En un hospital, esto no es negociable. Si Diraya cae en urgencias, las consecuencias pueden ser fatales.

En el SAS, hablamos de sistemas con disponibilidad 24/7/365. No hay «horario de oficina» en un hospital. Un infarto no espera a que se reinicie el servidor.

ℹ️ Niveles de disponibilidad en el SAS

Según la criticidad del sistema, establecemos diferentes objetivos:

Tier 1 (Crítico): Diraya, Receta XXI, Nódulo en urgencias → Disponibilidad 99,99% (52 minutos de caída al año máximo). RTO < 1 hora.
Tier 2 (Alto): JARA, sistemas administrativos → Disponibilidad 99,9% (8,76 horas de caída al año). RTO < 4 horas.
Tier 3 (Medio): Sistemas de gestión interna → Disponibilidad 99% (3,65 días de caída al año). RTO < 24 horas.

Aplicación en el SAS:

Arquitectura redundante: Diraya funciona en clústeres activo-activo. Si un servidor cae, otro toma el relevo automáticamente.
Hot Site: El SAS tiene un CPD principal en Sevilla y un Hot Site en Málaga. Replicación de datos continua (RPO = 15 minutos).
Balanceo de carga: Múltiples servidores de aplicación distribuyen el trabajo para evitar saturación.
SAI y generadores: En los CPDs hospitalarios hay sistemas de alimentación ininterrumpida (SAI) con autonomía de 15-30 minutos, y generadores diesel con autonomía de 72 horas.
Monitorización 24/7: El SOC (Security Operations Center) del SAS vigila continuamente el estado de los sistemas críticos.

2.2. Objetivos adicionales: Más allá de la triada CIA

La triada CIA es fundamental, pero en el mundo real (y especialmente en sanidad) necesitamos más garantías:

2.2.1. Autenticidad

Verificar que quien dice ser el médico Juan Pérez es REALMENTE el médico Juan Pérez. No vale con un usuario y contraseña simple.

En el SAS:

Certificados digitales: Los profesionales sanitarios del SAS tienen certificados digitales para firmar documentos clínicos.
Autenticación multifactor (MFA): Para accesos remotos a Diraya desde fuera del hospital: certificado + usuario/contraseña + token SMS o app móvil.
Tarjetas sanitarias con chip: Para identificación de profesionales en puestos clínicos.

2.2.2. Trazabilidad / No repudio

Poder demostrar quién hizo qué, cuándo y desde dónde. En términos legales, que nadie pueda negar haber realizado una acción.

✅ La trazabilidad salva vidas (y empleos)

Caso real: Un paciente denuncia que se accedió indebidamente a su historia clínica. Gracias a los logs de auditoría de Diraya, se puede demostrar exactamente quién accedió, desde qué terminal, en qué fecha y hora. Si el acceso estaba justificado (el médico le estaba atendiendo), el profesional queda exonerado. Si no había justificación, queda demostrada la infracción.

En el SAS:

Logs de auditoría: Obligatorios por la Ley 41/2002. Se conservan al menos 5 años.
Firma electrónica: Garantiza el no repudio. Si firmas una prescripción, no puedes negar después que la hiciste tú.
SIEM (Security Information and Event Management): Centraliza y correlaciona logs de todos los sistemas para detectar anomalías.

2.2.3. Privacidad

Protección de datos personales según el RGPD. Los datos de salud son categoría especial (artículo 9 RGPD), lo que implica medidas reforzadas.

En el SAS:

Delegado de Protección de Datos (DPO): Obligatorio en el SAS. Supervisa el cumplimiento del RGPD.
Evaluaciones de Impacto (EIPD): Obligatorias antes de implementar nuevos sistemas que traten datos de salud.
Principio de minimización: Solo se recogen los datos estrictamente necesarios.
Derechos ARCO: Los pacientes pueden ejercer sus derechos de Acceso, Rectificación, Cancelación y Oposición sobre sus datos.

2.3. Resumen: Objetivos de seguridad integrados

Objetivo	Pregunta clave	Ejemplo en Diraya
Confidencialidad	¿Solo pueden ver quienes deben ver?	Control de acceso por roles, cifrado
Integridad	¿Los datos son correctos y no han sido alterados?	Firma electrónica, hashes, control de versiones
Disponibilidad	¿El sistema está operativo cuando lo necesito?	Clústeres HA, Hot Site, balanceo de carga
Autenticidad	¿Puedo verificar la identidad de usuarios y origen de datos?	Certificados digitales, MFA
Trazabilidad	¿Puedo demostrar quién hizo qué y cuándo?	Logs de auditoría, firma electrónica
Privacidad	¿Se protegen los datos personales según RGPD?	DPO, EIPD, derechos ARCO

3. Estrategias, Políticas, Organización y Planificación

Muy bien, ya sabemos QUÉ queremos proteger (los objetivos de seguridad). Ahora toca la pregunta del millón: ¿CÓMO lo organizamos? Porque una cosa es saber que necesitas confidencialidad, integridad y disponibilidad… y otra muy distinta es conseguir que una organización de 100.000 empleados (como el SAS) trabaje de forma coordinada para lograrlo.

3.1. Estrategia de Seguridad

La estrategia de seguridad es la visión a largo plazo. Es el documento donde la dirección del SAS dice: «Estos son nuestros objetivos de seguridad para los próximos 3-5 años, y así es como vamos a conseguirlos».

ℹ️ Componentes de una estrategia de seguridad

Análisis de riesgos: ¿Cuáles son nuestras amenazas? (Ransomware, fugas de datos, caídas de sistemas…)
Objetivos estratégicos: ¿Qué queremos conseguir? (Cumplimiento ENS ALTO, certificación ISO 27001…)
Inversiones necesarias: ¿Cuánto cuesta? (Hardware redundante, SOC 24/7, formación…)
Plan de implementación: ¿Cómo lo hacemos y en qué orden? (Roadmap a 3 años)
Métricas de éxito: ¿Cómo medimos si lo estamos consiguiendo? (KPIs)

En el SAS: La estrategia de seguridad está alineada con el Plan de Transformación Digital del SSPA 2022-2027 y la Estrategia de Ciberseguridad de Andalucía 2022-2025.

3.2. Política de Seguridad

La política de seguridad es el documento formal que establece las normas y directrices de seguridad que TODOS en la organización deben cumplir. Es como el «código penal» de la seguridad informática del SAS.

Características de una buena política de seguridad:

Aprobada por la máxima dirección: En el SAS, por la Dirección General. Sin apoyo directivo, una política no sirve de nada.
Obligatorio cumplimiento: No es opcional. El incumplimiento tiene consecuencias (desde amonestaciones hasta despido disciplinario).
Revisada periódicamente: Al menos cada 2 años, o antes si hay cambios normativos importantes (como cuando entró en vigor el RGPD).
Comunicada a TODOS: No vale tener una política guardada en un cajón. Debe estar publicada, accesible, y los empleados deben firmar que la conocen.

                ⚠️ Documentos de la Política de Seguridad del SAS
                Política General de Seguridad de la Información del SSPA: El documento marco que establece los principios generales.
Normativa de Uso de Sistemas de Información: Qué puedes y qué no puedes hacer con los sistemas del SAS (prohibido usar USBs personales, por ejemplo).
Política de Control de Acceso: Cómo se conceden, revisan y revocan los permisos.
Política de Seguridad en el Puesto de Trabajo: Escritorio limpio, bloqueo de pantalla, prohibición de post-its con contraseñas…
Política de Backup y Recuperación: Frecuencias, retenciones, pruebas de restauración.
Política de Gestión de Incidentes: Cómo reportar, clasificar y responder a incidentes de seguridad.

            

3.3. Normas y Procedimientos

Las políticas son declaraciones de intenciones. Los procedimientos son las instrucciones paso a paso de cómo hacer las cosas. Ejemplos:

Procedimiento de Alta de Usuario: Cómo crear una cuenta en Diraya cuando entra un nuevo médico.
Procedimiento de Baja de Usuario: Qué hacer cuando alguien deja el SAS (CRÍTICO: revocar accesos inmediatamente).
Procedimiento de Gestión de Incidentes: Qué hacer cuando detectas un ransomware.
Procedimiento de Backup: Qué sistemas, qué frecuencia, dónde se almacenan, cómo se prueban.

3.4. Organización de la Seguridad: Roles y Responsabilidades

La seguridad no es responsabilidad de una sola persona. Es un esfuerzo colectivo con roles bien definidos. El ENS (Esquema Nacional de Seguridad) establece cuatro roles clave:

3.4.1. Responsable de la Información

Determina qué hay que proteger y en qué medida. No es un técnico, es el «dueño» del sistema desde el punto de vista funcional.

En el SAS: El Director-Gerente de un hospital es el Responsable de la Información de Diraya en su centro. Él decide qué datos clínicos se recogen, quién debe tener acceso, etc.

3.4.2. Responsable del Servicio

Garantiza la prestación del servicio. Se asegura de que los sistemas estén disponibles y funcionando correctamente.

En el SAS: El Director de la Unidad de Sistemas de Información de un hospital es el Responsable del Servicio de los sistemas TI del centro.

3.4.3. Responsable de Seguridad

Diseña e implementa las medidas de seguridad. Es el técnico especialista en ciberseguridad.

En el SAS: Hay un Responsable de Seguridad a nivel corporativo (en la Dirección General de Tecnologías de la Información) y Responsables de Seguridad en cada gran hospital.

3.4.4. Responsable del Sistema

Gestiona técnicamente los sistemas TI. Administra servidores, bases de datos, redes…

En el SAS: Los Ingenieros Informáticos y Técnicos de Sistemas que trabajan en los CPDs hospitalarios son Responsables del Sistema.

⛔ Segregación de funciones: Un principio de oro

En una organización bien diseñada, estas cuatro funciones NO deben recaer en la misma persona. ¿Por qué? Porque si el administrador de sistemas es el mismo que audita los accesos, puede ocultar sus propias meteduras de pata (o peor, sus malas intenciones).

En el SAS, un Ingeniero Informático puede ser Responsable del Sistema de varios servidores, pero NO debe ser al mismo tiempo el Responsable de Seguridad que audita esos servidores.

3.5. Comité de Seguridad

El Comité de Seguridad es el órgano colegiado que supervisa y coordina la seguridad. Funciones:

Aprobar políticas de seguridad
Revisar incidentes graves y proponer mejoras
Decidir inversiones en seguridad
Coordinar la respuesta ante crisis (p.ej., un ciberataque masivo)

Composición típica en el SAS:

Director General de Tecnologías de la Información (preside)
Responsable de Seguridad corporativo
Delegado de Protección de Datos (DPO)
Representantes de áreas críticas (Diraya, Receta XXI, infraestructuras)
Asesor jurídico

3.6. Planificación de la Seguridad: El Ciclo PDCA

La seguridad no es algo que haces una vez y te olvidas. Es un proceso continuo de mejora. Para eso usamos el ciclo PDCA (Plan-Do-Check-Act), también conocido como ciclo de Deming:

✅ El Ciclo PDCA aplicado a la seguridad del SAS

PLAN (Planificar):
- Análisis de riesgos con metodología MAGERIT
- Definición de medidas de seguridad
- Categorización de sistemas según ENS
- Presupuesto y planificación temporal
DO (Hacer):
- Implementación de las medidas planificadas
- Formación de personal
- Despliegue de herramientas (SIEM, firewalls, cifrado…)
CHECK (Verificar):
- Auditorías de seguridad (internas y externas)
- Tests de penetración (pentesting)
- Revisión de logs y alertas del SOC
- Métricas y KPIs (número de incidentes, tiempos de respuesta…)
ACT (Actuar/Mejorar):
- Corrección de vulnerabilidades detectadas
- Actualización de políticas y procedimientos
- Lecciones aprendidas de incidentes
- Propuestas de mejora para el siguiente ciclo

Este ciclo se repite continuamente. La seguridad nunca está «terminada».

4. Medidas de Seguridad

Ahora viene la chicha del tema, lo que de verdad vas a implementar en tu día a día como Ingeniero Informático del SAS. Las medidas de seguridad se clasifican en cuatro grandes bloques, y sí… las cuatro son igual de importantes. No vale con poner firewalls y olvidarte del resto.

🎯 Los cuatro pilares de las medidas de seguridad

Piensa en la seguridad como una cadena. Una cadena es tan fuerte como su eslabón más débil. Puedes tener el firewall más sofisticado del mundo (medida técnica), pero si dejas la puerta del CPD abierta (medida física) o tus empleados usan «123456» como contraseña (medida organizativa), estás perdido.

4.1. Medidas de Seguridad Físicas

Las medidas físicas protegen los activos tangibles: servidores, redes, CPDs… Son las que a veces se infravaloran porque no parecen «informáticas», pero créeme: un intruso físico en tu CPD puede hacer más daño en 5 minutos que un hacker remoto en 5 meses.

4.1.1. Control de Acceso Físico

Objetivo: Que solo personal autorizado pueda acceder físicamente a infraestructuras críticas.

Medidas implementadas en CPDs del SAS:

Zonas de seguridad diferenciadas:
- Zona pública: Áreas de recepción (acceso libre)
- Zona restringida: Oficinas técnicas (tarjeta de empleado)
- Zona de alta seguridad: CPD (tarjeta + biometría + registro)
Control biométrico: Huella dactilar o reconocimiento facial para acceder al CPD
Registro de visitas: Todo acceso al CPD queda registrado (quién, cuándo, acompañante autorizado)
Videovigilancia 24/7: Cámaras en todos los accesos y zonas críticas, con grabación de al menos 30 días
Esclusas de seguridad: Sistema de dos puertas donde la segunda no se abre hasta que la primera está cerrada
Alarmas de intrusión: Detectores de movimiento que se activan fuera del horario laboral

⚠️ Caso real: El técnico que «no era técnico»

Hospital público (no del SAS, pero ilustrativo): Un individuo con ropa de trabajo y una caja de herramientas dijo que venía a «revisar el aire acondicionado del CPD». No había registro de ningún aviso, pero el personal de seguridad le dejó pasar sin verificar. Resultado: robó 6 discos duros con datos de pacientes. Valor del daño: millonario (multa RGPD + daño reputacional + costes de notificación).

Lección: TODO acceso al CPD debe estar previamente autorizado y registrado, aunque sea el técnico de la limpieza.

4.1.2. Protección de Instalaciones

Control ambiental:

Temperatura: 20-22°C constante. Los servidores generan MUCHO calor. Sin refrigeración, se apagan automáticamente en minutos.
Humedad: 45-55%. Demasiada humedad = condensación y cortocircuitos. Muy poca = electricidad estática que puede dañar componentes.
Sistemas redundantes: Dos equipos de aire acondicionado. Si uno falla, el otro asume la carga.
Monitorización continua: Sensores que alertan al SOC si la temperatura supera los 24°C.

Protección eléctrica:

SAI (Sistema de Alimentación Ininterrumpida): Baterías que proporcionan energía durante 15-30 minutos en caso de corte eléctrico. Tiempo suficiente para que arranquen los generadores.
Generadores diésel: Con autonomía de al menos 72 horas. Se prueban mensualmente.
Doble acometida eléctrica: Dos líneas de suministro independientes desde diferentes subestaciones. Si una falla, la otra continúa.
PDUs (Power Distribution Units): Distribución inteligente de energía a los racks. Monitorización del consumo.

Protección contra incendios:

Detección temprana: Sensores de humo VESDA (Very Early Smoke Detection Apparatus) que detectan partículas mínimas antes de que haya fuego visible.
Extinción por gas inerte: NO se usa agua (destruiría los servidores). Se usa gas inerte (FM-200, Novec 1230) que desplaza el oxígeno sin dañar equipos.
Compartimentación: El CPD está dividido en secciones con puertas cortafuegos. Si hay incendio en una zona, no se propaga.
Pulsadores de emergencia: EPO (Emergency Power Off) que cortan la electricidad del CPD en caso de emergencia grave.

⛔ NUNCA uses agua para apagar un incendio en un CPD

Aunque parezca obvio, hay casos documentados de personal de seguridad usando extintores de agua en salas de servidores. Resultado: todos los equipos destruidos. Un incendio localizado → pérdida total del CPD.

4.1.3. Protección de Equipos

Racks cerrados con llave: Los servidores están en armarios metálicos cerrados. No cualquiera puede tocarlos.
Anclajes físicos: Los servidores críticos están anclados al suelo. No se pueden «llevar» fácilmente.
Etiquetado y inventariado: Cada equipo tiene su número de serie y está en el inventario. Si desaparece, se detecta.
Destrucción certificada de soportes: Los discos duros en desuso NO se tiran a la basura. Se destruyen con trituradora certificada (certificado de destrucción obligatorio por RGPD).
Clear Desk Policy: En los puestos de trabajo, al finalizar la jornada: escritorio limpio, documentos guardados bajo llave, pantalla bloqueada.

4.2. Medidas de Seguridad Técnicas

Aquí es donde brillas como ingeniero informático. Las medidas técnicas son las que implementas mediante tecnología: software, hardware, configuraciones…

4.2.1. Control de Acceso Lógico

Gestión de identidades (IAM – Identity and Access Management):

Directorio centralizado: En el SAS se usa Active Directory (AD) para gestionar las cuentas de usuario. Un único punto de administración.
Control de acceso basado en roles (RBAC): Los permisos se asignan por roles, no individualmente.
- Rol «Médico Urgencias» → Acceso completo a Diraya en urgencias
- Rol «Administrativo Citas» → Solo acceso a JARA
- Rol «Enfermería Planta» → Acceso a constantes vitales en Diraya, pero no a prescripciones
Principio de mínimo privilegio: Cada usuario tiene SOLO los permisos que necesita para su trabajo. Ni más ni menos.
Segregación de funciones: Nadie puede realizar todas las fases de un proceso crítico solo. Por ejemplo, quien aprueba una compra no puede ser el mismo que ejecuta el pago.

Autenticación multifactor (MFA):

✅ MFA: La medida que más ransomware ha parado

Estadística real: El 99,9% de los ataques de compromiso de cuentas se previenen con MFA. ¿Por qué? Porque aunque el atacante tenga tu contraseña (phishing, base de datos filtrada…), sin el segundo factor (tu móvil, token físico, biometría) no puede entrar.

MFA en el SAS:

Acceso remoto a Diraya: VPN + certificado digital + usuario/contraseña + código SMS
Acceso a servidores críticos: Certificado digital + contraseña + token RSA
Administradores de sistemas: Tarjeta inteligente + PIN + huella dactilar para operaciones críticas

Políticas de contraseñas:

Longitud mínima: 12 caracteres
Complejidad: mayúsculas, minúsculas, números, símbolos
Caducidad: 90 días (aunque hay debate sobre si esto sigue siendo una buena práctica)
Historial: No se pueden reutilizar las últimas 12 contraseñas
Bloqueo tras intentos fallidos: 5 intentos → cuenta bloqueada 30 minutos
Prohibición de contraseñas comunes: Lista negra de contraseñas típicas (123456, password, SAS2024…)

4.2.2. Criptografía

La criptografía es tu mejor amiga para garantizar confidencialidad e integridad. Dos tipos principales:

Cifrado en reposo (Data at Rest):

TDE (Transparent Data Encryption): Las bases de datos de Diraya están cifradas. Si alguien roba los discos duros, no puede leer los datos sin las claves.
Cifrado de disco completo (FDE): Los portátiles de los profesionales del SAS tienen BitLocker activado. Si pierdes el portátil, los datos están protegidos.
Cifrado de backups: Las copias de seguridad se cifran antes de enviarse al centro de respaldo. AES-256.

Cifrado en tránsito (Data in Transit):

TLS 1.3: Todas las comunicaciones entre cliente y servidor usan TLS 1.3 (TLS 1.0 y 1.1 están prohibidos por vulnerabilidades conocidas).
VPN IPsec: Las conexiones entre CPDs hospitalarios y el CPD central usan VPN con cifrado IPsec.
HTTPS obligatorio: Todos los portales web del SAS usan HTTPS. HTTP está deshabilitado.

Firma electrónica:

Recetas electrónicas: Firmadas digitalmente por el médico prescriptor. Garantiza autenticidad e integridad.
Informes clínicos: Los informes de alta, consentimientos informados, etc. se firman digitalmente.
Certificados cualificados: Los profesionales sanitarios del SAS tienen certificados digitales emitidos por una Autoridad de Certificación acreditada.

4.2.3. Seguridad de Red

Segmentación de red (VLANs):

Segmento	Propósito	Acceso desde otros segmentos
Red Clínica	Diraya, Nódulo, sistemas asistenciales	MUY restringido. Solo profesionales sanitarios
Red Administrativa	Gestión, RRHH, contabilidad	Separada de la clínica. No pueden ver datos de pacientes
Red IoT Médico	Dispositivos médicos conectados (bombas, monitores)	Aislada. Solo comunicación con sistemas autorizados
Red Invitados/WiFi	Pacientes y visitantes	TOTALMENTE aislada. Sin acceso a redes internas
Red de Gestión	Administración de infraestructura	Solo administradores. Out-of-band management

Firewalls:

Firewall perimetral: Protege la conexión del hospital a Internet. Inspección profunda de paquetes (DPI).
Firewalls internos: Entre segmentos de red. Políticas de «default deny» (todo prohibido por defecto, se permiten solo conexiones autorizadas).
Next-Generation Firewalls (NGFW): No solo filtran por IP/puerto, también inspeccionan el contenido de las aplicaciones (por ejemplo, bloquean Facebook pero permiten aplicaciones médicas específicas).

IDS/IPS (Sistemas de Detección/Prevención de Intrusiones):

IDS (Intrusion Detection System): Detecta comportamientos sospechosos y alerta. Modo pasivo (observa pero no bloquea).
IPS (Intrusion Prevention System): Detecta Y bloquea automáticamente. Modo activo.
Ubicación: En el perímetro y en puntos críticos internos (antes de la red clínica, por ejemplo).

WAF (Web Application Firewall):

Protege las aplicaciones web (ClicSalud+, portales de citas…) de ataques como:
- SQL Injection
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- DDoS (Distributed Denial of Service)

4.2.4. Seguridad en Sistemas

Hardening (endurecimiento) de servidores:

Principio de superficie de ataque mínima: Desinstalar todo lo que no se use. Si el servidor es una base de datos, no necesita navegador web instalado.
CIS Benchmarks: Guías de configuración segura publicadas por el Center for Internet Security. El SAS sigue estos estándares.
Deshabilitar servicios innecesarios: Por ejemplo, en un servidor web no necesitas el servicio de impresión.
Configuración de auditoría: Logs de eventos de seguridad activados y configurados para enviarse al SIEM.

Gestión de parches (Patch Management):

⛔ El 60% de las brechas de seguridad explotan vulnerabilidades conocidas

Vulnerabilidades para las que YA EXISTE un parche disponible, pero no se ha aplicado. WannaCry (el ransomware que paralizó hospitales en 2017) explotó una vulnerabilidad de Windows para la que Microsoft había publicado un parche… 2 meses antes del ataque.

Moraleja: Parchear no es opcional. Es tu responsabilidad más crítica.

Proceso de patch management en el SAS:

Detección: Herramientas automáticas (WSUS para Windows, Satellite para Linux) detectan sistemas desactualizados.
Evaluación: ¿El parche es crítico? ¿Afecta a sistemas en producción?
Pruebas: Antes de aplicar en producción, se prueba en entorno de test.
Despliegue: Se aplica en producción en ventanas de mantenimiento programadas.
Verificación: Se comprueba que el parche se aplicó correctamente y no causó efectos secundarios.
Documentación: Registro de qué se parchó, cuándo y por quién.

Plazos de parcheo según criticidad (ENS):

Crítico: 7 días naturales
Alto: 30 días naturales
Medio: 90 días naturales
Bajo: En la siguiente ventana de mantenimiento programada

Antimalware:

Endpoints: Todos los PCs, portátiles y servidores tienen antivirus empresarial (no el gratuito de casa). Actualización de firmas diaria.
Servidores: Antivirus específicos para servidores (menor impacto en rendimiento).
Correo electrónico: Gateway de correo con antispam y antimalware. Bloquea adjuntos peligrosos (.exe, .bat, .scr…).
EDR (Endpoint Detection and Response): Sistemas avanzados que no solo detectan malware conocido (firmas), sino comportamientos sospechosos (análisis heurístico y machine learning).

4.2.5. Monitorización y Detección

SIEM (Security Information and Event Management):

El SIEM es el cerebro del SOC. Recopila logs de TODOS los sistemas y los correlaciona para detectar incidentes de seguridad.

Ejemplo de correlación en el SIEM del SAS:

10:15h – Usuario «juan.perez» intenta acceder a Diraya desde Madrid (IP 80.58.x.x)
10:16h – Mismo usuario intenta acceder desde Sevilla (IP interna hospital)
10:17h – 15 intentos fallidos de contraseña desde Madrid
🚨 ALERTA SIEM: «Posible compromiso de cuenta – acceso simultáneo desde ubicaciones incompatibles»
Respuesta automática: Bloquear cuenta, alertar al SOC, notificar al usuario

SOC (Security Operations Center) 24/7:

Analistas de seguridad: Personas (sí, humanos) que revisan las alertas del SIEM y deciden qué es falso positivo y qué es incidente real.
Turnos 24/7: Los ataques no tienen horario. El SOC tampoco.
Playbooks de respuesta: Procedimientos predefinidos para cada tipo de incidente (malware detectado → aislar equipo, analizar, erradicar).
Escalado: Si un incidente es grave, se escala a equipos especializados (CSIRT del SAS, CSIRT Andalucía, CCN-CERT…).

4.3. Medidas de Seguridad Organizativas

Las medidas organizativas son las que dependen de las personas y los procesos. Puedes tener la tecnología más puntera, pero si tus empleados usan «123456» como contraseña o pinchan en phishing… estás perdido.

4.3.1. Gestión de Personal

Formación y concienciación:

✅ La formación en seguridad es OBLIGATORIA por el ENS

No es opcional. El ENS exige que todo el personal reciba formación periódica en seguridad de la información. En el SAS, esto se traduce en:

Curso online anual obligatorio para TODOS los empleados (incluido personal sanitario no técnico)
Formación específica para técnicos de sistemas (certificaciones, cursos avanzados…)
Campañas de concienciación (carteles, emails, simulacros de phishing…)

Temas de la formación:

Reconocimiento de phishing y otros ataques de ingeniería social
Uso seguro de contraseñas (gestores de contraseñas, no reutilizar…)
Protección de datos personales (RGPD básico)
Política de escritorio limpio
Qué hacer si detectas un incidente de seguridad
Uso seguro de dispositivos personales (BYOD)

Acuerdos de confidencialidad:

Todo empleado del SAS firma un acuerdo de confidencialidad al incorporarse.
Los empleados con acceso a datos especialmente sensibles (administradores de BBDD, personal de RRHH…) firman acuerdos reforzados.
El incumplimiento puede llevar a despido disciplinario.

Proceso de alta/baja de empleados:

Alta: Solicitud formal, aprobación del responsable, creación de cuenta con permisos mínimos necesarios, formación inicial.
Baja: CRÍTICO – Revocación inmediata de accesos (mismo día de la baja). Recuperación de tarjetas, tokens, portátiles… Cambio de contraseñas de cuentas compartidas si las conocía.

⛔ El empleado descontento que se va

Escenario real en otras organizaciones: Un administrador de sistemas sabe que van a despedirle. El día antes, crea backdoors (puertas traseras) en los sistemas para seguir accediendo después de irse. O peor: borra datos críticos como venganza.

Prevención: Cuando hay un despido conflictivo, revocar accesos ANTES de comunicarlo al empleado. Y auditar todo lo que hizo en sus últimos días de trabajo.

4.3.2. Gestión de Terceros

El SAS no funciona solo. Tiene proveedores de TI, empresas de mantenimiento, consultoras… Todos ellos son riesgos potenciales.

Cláusulas de seguridad en contratos: Obligaciones específicas de protección de datos, auditorías, notificación de incidentes…
Acuerdos de encargado de tratamiento (RGPD art. 28): Si el proveedor va a tratar datos personales por cuenta del SAS, hay que firmar un contrato específico que cumpla el RGPD.
Auditorías a proveedores: El SAS se reserva el derecho de auditar la seguridad de sus proveedores críticos.
Acceso limitado: Los técnicos de mantenimiento solo acceden con supervisión. No se les dan cuentas de administrador permanentes.

4.3.3. Gestión de Incidentes

Un incidente de seguridad es cualquier evento que comprometa (o pueda comprometer) la confidencialidad, integridad o disponibilidad de la información.

Clasificación de incidentes:

Nivel	Descripción	Ejemplo	Respuesta
CRÍTICO	Impacto severo en servicios críticos	Ransomware en Diraya	Inmediata. Escalado a CSIRT. Activación DRP
ALTO	Potencial impacto grave	Vulnerabilidad crítica sin parche en servidor expuesto	En 1 hora. Parcheo urgente o aislamiento
MEDIO	Impacto moderado	Phishing exitoso, cuenta comprometida	En 4 horas. Bloqueo cuenta, cambio contraseña
BAJO	Impacto mínimo	Intento de acceso no autorizado (bloqueado)	En 24 horas. Registro y análisis

Fases de gestión de incidentes:

Detección: SIEM, SOC, usuarios reportan…
Contención: Aislar el problema para que no se extienda (desconectar servidor de la red, bloquear IPs atacantes…)
Erradicación: Eliminar la causa raíz (eliminar malware, cerrar vulnerabilidad, revocar credenciales comprometidas…)
Recuperación: Volver a la normalidad (restaurar desde backup, reconectar sistemas…)
Lecciones aprendidas: Análisis post-mortem. ¿Cómo pasó? ¿Cómo lo prevenimos en el futuro?

4.3.4. Gestión de Cambios

Cambiar cosas en producción es peligroso. Un cambio mal hecho puede tumbar servicios críticos.

Proceso de control de cambios:

Solicitud formal: Todo cambio debe estar documentado y justificado.
Evaluación de riesgos: ¿Qué puede salir mal? ¿Qué sistemas afecta?
Aprobación: Por el CAB (Change Advisory Board) – comité que revisa cambios importantes.
Planificación: Fecha, hora (ventana de mantenimiento), procedimiento paso a paso, plan de rollback.
Pruebas: En entorno de test antes de producción.
Implementación: Siguiendo el procedimiento aprobado.
Verificación: ¿Funcionó como se esperaba?
Documentación: Actualizar documentación técnica.

⚠️ Cambios de emergencia

Algunos cambios no pueden esperar a la próxima ventana de mantenimiento (parche de seguridad crítico, caída de sistema…). Para estos casos existe el procedimiento de «cambio de emergencia»:

Aprobación simplificada (no hace falta CAB completo, basta con el responsable de seguridad o el responsable del servicio)
Documentación mínima (pero documentación al fin y al cabo)
Revisión posterior (en el siguiente CAB se revisa qué pasó y si se hizo bien)

4.4. Medidas de Seguridad Legales

Las medidas legales son las obligaciones que vienen impuestas por leyes y regulaciones. No son opcionales: son obligatorias.

4.4.1. Marco Normativo

Norma	Año	Obligaciones clave para el SAS
RGPD	2016 (aplicable 2018)	Consentimiento, derechos ARCO, DPO, EIPD, notificación brechas 72h
LOPDGDD	2018	Adaptación española. Régimen sancionador, DPO obligatorio sector público
ENS (RD 311/2022)	2022	Categorización, medidas de seguridad, auditorías, certificación
Ley 41/2002	2002	Confidencialidad historia clínica, consentimiento informado, auditoría accesos
Ley 8/2011	2011	Infraestructuras críticas. SAS = operador crítico. PSO obligatorio

4.4.2. Obligaciones del RGPD en el SAS

Principios del tratamiento de datos:

Licitud, lealtad y transparencia: El paciente debe saber qué datos se recogen y para qué.
Limitación de la finalidad: Solo usar los datos para el fin por el que se recogieron (asistencia sanitaria, gestión administrativa…).
Minimización de datos: Solo recoger lo estrictamente necesario.
Exactitud: Mantener los datos actualizados.
Limitación del plazo de conservación: No guardar datos eternamente. Historia clínica: mínimo 5 años, pero máximos definidos.
Integridad y confidencialidad: Medidas técnicas y organizativas apropiadas.

Base de legitimación para datos de salud (art. 9 RGPD):

Los datos de salud son categoría especial. Prohibición general de tratarlos… SALVO excepciones. La más relevante para el SAS:

Artículo 9.2.h: «el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria»

Esto significa que cuando un médico del SAS accede a Diraya para atender a un paciente, NO necesita pedir consentimiento expreso. La base de legitimación es la prestación de asistencia sanitaria.

Pero ojo: Si el médico accede a la historia clínica de un paciente que NO está atendiendo (curiosidad, familiar…), ahí SÍ hay infracción grave del RGPD.

Delegado de Protección de Datos (DPO):

Obligatorio en administraciones públicas (art. 37 RGPD)
Funciones:
- Informar y asesorar sobre obligaciones RGPD
- Supervisar cumplimiento
- Cooperar con la autoridad de control (AEPD)
- Punto de contacto para los interesados
Independencia: No recibe instrucciones sobre cómo hacer su trabajo. Reporta directamente a la máxima dirección.

Evaluación de Impacto (EIPD):

Obligatoria cuando un tratamiento puede suponer un alto riesgo para derechos y libertades (art. 35 RGPD)
Cuándo es obligatoria en el SAS:
- Nuevo sistema que trate datos de salud a gran escala
- Sistemas de videovigilancia extensiva
- Tratamientos que impliquen decisiones automatizadas con efectos significativos
- Tratamiento de datos genéticos o biométricos
Contenido: Descripción del tratamiento, evaluación de necesidad y proporcionalidad, análisis de riesgos, medidas para mitigarlos.

Registro de Actividades de Tratamiento (RAT):

Obligatorio para responsables y encargados del tratamiento (art. 30 RGPD)
Contenido: Qué datos se tratan, con qué finalidad, quién tiene acceso, plazos de conservación, medidas de seguridad…
En el SAS: Existe un RAT corporativo que documenta todos los tratamientos de datos personales (Diraya, RRHH, nóminas, formación…).

Notificación de brechas de seguridad:

⛔ 72 horas: El plazo que no puedes saltarte

Si hay una brecha de seguridad que suponga un riesgo para derechos y libertades (filtración de datos de pacientes, por ejemplo), el SAS tiene 72 horas desde que la detecta para notificarlo a la AEPD.

Si el riesgo es alto, también hay que notificar a los afectados.

Incumplimiento: multa de hasta 10 millones de euros o 2% de la facturación anual (el mayor).

4.4.3. Obligaciones del ENS

Categorización de sistemas:

Todo sistema de información de la administración pública debe estar categorizado según el ENS en función del impacto de un incidente en confidencialidad, integridad y disponibilidad:

Categoría	Impacto	Ejemplo en SAS
BAJO	Daño limitado	Sistema de gestión de eventos internos
MEDIO	Daño grave	Portal de empleados (acceso a nóminas, vacaciones…)
ALTO	Daño muy grave o catastrófico	Diraya, Receta XXI, Nódulo

Medidas de seguridad según categoría:

BAJO: Medidas básicas (contraseñas robustas, antivirus, backup semanal…)
MEDIO: Medidas básicas + medidas adicionales (MFA, SIEM, auditorías anuales…)
ALTO: Medidas básicas + adicionales + medidas reforzadas (Hot Site, cifrado extremo-extremo, auditorías semestrales, pentesting anual…)

Auditorías ENS:

Sistemas categoría ALTA: Auditoría cada 2 años (recomendado anual)
Sistemas categoría MEDIA: Autoauditoría cada 2 años
Sistemas categoría BAJA: Revisión interna periódica

Certificación ENS:

Las auditorías pueden ser realizadas por el CCN-CERT o por auditores externos acreditados.
Si se cumplen las medidas, se obtiene la Certificación ENS, que acredita públicamente el nivel de seguridad.
La certificación se publica en el portal PAe (Administración Electrónica).

5. Evaluación y Certificación de la Seguridad

Vale, has implementado todas las medidas de seguridad. Genial. Pero… ¿cómo sabes que funcionan? ¿Cómo demuestras ante un auditor (o ante un juez, si las cosas se tuercen) que has hecho las cosas bien?

Respuesta: evaluando y certificando.

5.1. Auditorías de Seguridad

Una auditoría de seguridad es un examen sistemático de los sistemas, políticas y procedimientos para verificar que cumplen con los requisitos de seguridad.

5.1.1. Tipos de auditorías

Por alcance:

Auditoría técnica: Análisis de configuraciones, vulnerabilidades, controles técnicos (firewalls, cifrado…).
Auditoría organizativa: Revisión de políticas, procedimientos, formación, gestión de incidentes…
Auditoría física: Inspección de CPDs, controles de acceso físico, protección ambiental…

Por enfoque:

Auditoría de cumplimiento: ¿Cumplimos con ENS, RGPD, ISO 27001…?
Test de penetración (pentesting): Simular un ataque real para identificar vulnerabilidades explotables.
Análisis de vulnerabilidades: Escaneo automático de sistemas para detectar vulnerabilidades conocidas.
Auditoría de código: Revisión del código fuente de aplicaciones para detectar fallos de seguridad (SQL injection, XSS…).

Por ejecutor:

Auditoría interna: Realizada por el propio SAS (equipo de auditoría interna o CSIRT).
Auditoría externa: Realizada por empresa especializada independiente. Mayor credibilidad.

5.1.2. Proceso de una auditoría de seguridad

Planificación: Definir alcance (qué sistemas se van a auditar), objetivos (cumplimiento ENS, detección de vulnerabilidades…), metodología.
Recopilación de información: Documentación (políticas, procedimientos, diagramas de red…), entrevistas con personal, acceso a sistemas para análisis técnico.
Análisis: Revisión de evidencias, tests técnicos, verificación de controles.
Identificación de hallazgos: Clasificación por gravedad (crítico, alto, medio, bajo).
Informe: Documento detallado con:
- Resumen ejecutivo (para dirección)
- Hallazgos detallados (para técnicos)
- Recomendaciones de mejora
- Plan de acción propuesto
Seguimiento: Verificar que se implementan las recomendaciones.

✅ Las auditorías no son el enemigo

Hay una percepción de que las auditorías son «alguien que viene a buscar fallos para castigarnos». ERROR. Las auditorías son tu aliado:

Te ayudan a detectar problemas ANTES de que los exploten los atacantes
Te dan argumentos para pedir presupuesto («el auditor dice que necesitamos esto, no soy yo»)
Demuestran due diligence (diligencia debida) si hay un incidente: «hicimos auditorías, implementamos las recomendaciones, hicimos lo que pudimos razonablemente»

5.2. Metodologías de Análisis de Riesgos

El análisis de riesgos es el proceso de identificar amenazas, evaluar su probabilidad e impacto, y decidir qué controles implementar.

5.2.1. MAGERIT

MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) es la metodología OFICIAL para las administraciones públicas españolas. Desarrollada por el CCN (Centro Criptológico Nacional).

Componentes de MAGERIT:

Activos: Qué tenemos (servidores, datos, aplicaciones, redes, personal…)
Amenazas: Qué puede pasar (incendio, fallo hardware, ransomware, fuga de datos…)
Vulnerabilidades: Debilidades que facilitan las amenazas (servidor sin parches, puerta CPD sin cerrar…)
Salvaguardas: Controles que reducen el riesgo (firewall, backup, formación…)
Impacto: Daño si se materializa la amenaza (económico, reputacional, legal…)
Riesgo: Probabilidad × Impacto

Proceso MAGERIT:

Inventario de activos
Valoración de activos (qué valor tienen para la organización)
Identificación de amenazas
Evaluación de vulnerabilidades
Cálculo del riesgo intrínseco (sin controles)
Identificación de salvaguardas existentes
Cálculo del riesgo residual (con controles actuales)
Decisión: ¿El riesgo residual es aceptable? Si no → implementar más controles
Plan de tratamiento del riesgo

Herramientas MAGERIT:

PILAR: Herramienta software gratuita del CCN para hacer análisis de riesgos con MAGERIT.
Catálogos de elementos: Listados de activos, amenazas y salvaguardas típicos para facilitar el análisis.

5.2.2. ISO 27005

Estándar internacional de gestión de riesgos de seguridad de la información. Más genérico que MAGERIT (no específico de administraciones públicas).

Similar en concepto a MAGERIT, pero con enfoque internacional y mayor flexibilidad metodológica.

5.2.3. OCTAVE

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) es una metodología desarrollada por el Carnegie Mellon University.

Enfoque más orientado a autoevaluación por parte de la propia organización (menos dependiente de consultores externos).

5.3. Certificaciones de Seguridad

Una certificación es un reconocimiento formal de que un sistema cumple con un estándar de seguridad.

5.3.1. Certificación ENS

Ya la hemos mencionado varias veces. Es la certificación OBLIGATORIA para administraciones públicas españolas.

Niveles de conformidad:

ENS Básico: Sistemas categoría BAJA
ENS Medio: Sistemas categoría MEDIA
ENS Alto: Sistemas categoría ALTA (Diraya, Receta XXI…)

Proceso de certificación:

Autoevaluación inicial
Implementación de medidas
Auditoría por CCN-CERT o auditor acreditado
Corrección de no conformidades
Emisión del certificado (válido 2 años)
Renovación periódica

5.3.2. ISO 27001

ISO 27001 es el estándar internacional más reconocido de gestión de seguridad de la información.

Estructura:

Cláusulas 4-10: Requisitos del Sistema de Gestión de Seguridad de la Información (SGSI)
Anexo A: 114 controles de seguridad (organizativos, técnicos, físicos…)

Beneficios de certificarse en ISO 27001:

Credibilidad internacional (ISO es reconocida mundialmente)
Mejora continua (el estándar obliga a ciclos PDCA)
Ventaja competitiva (en concursos públicos, tener ISO 27001 suma puntos)
Reducción de riesgos (implementas controles probados internacionalmente)

Certificación: Por entidad certificadora acreditada (ENAC en España). Auditorías anuales de seguimiento + recertificación cada 3 años.

5.3.3. ISO 27017 e ISO 27018

ISO 27017: Guía de controles de seguridad para servicios cloud.

Aplicable si el SAS contrata servicios cloud para alojar sistemas (cada vez más común)
Controles específicos para cloud: gestión de máquinas virtuales, segregación entre clientes, trazabilidad de logs…

ISO 27018: Protección de datos personales en cloud.

Complementa a ISO 27017 con enfoque RGPD
Requisitos de transparencia, portabilidad de datos, notificación de accesos de autoridades…

5.3.4. ISO 27799

ISO 27799: Gestión de seguridad de información en salud.

Específica para el sector sanitario. Adapta ISO 27002 (código de buenas prácticas) al contexto de la salud.

Controles específicos sanitarios:

Gestión de historias clínicas
Protección de datos de salud
Seguridad en dispositivos médicos conectados (IoMT)
Intercambio seguro de información clínica

6. Planes de Contingencia y Recuperación ante Desastres

Vale, ahora viene la pregunta que nadie quiere hacerse pero que TODOS debemos responder: ¿Qué hacemos cuando todo se va a la mierda?

Y sí, he dicho «mierda» porque es exactamente lo que sientes cuando a las 3 de la madrugada te llaman para decirte que un ransomware ha cifrado los servidores de Diraya. O cuando un incendio destruye el CPD principal. O cuando una inundación… ya me entiendes.

🆘 La diferencia entre BCP y DRP

Mucha gente confunde estos dos conceptos. Vamos a aclararlo de una vez:

BCP (Business Continuity Plan): Plan de continuidad del NEGOCIO. Enfoque: ¿Cómo mantenemos los servicios críticos funcionando pase lo que pase? Incluye personas, procesos, instalaciones, comunicaciones, tecnología…
DRP (Disaster Recovery Plan): Plan de recuperación ante DESASTRES. Enfoque: ¿Cómo recuperamos los SISTEMAS TI después de un desastre? Es un subconjunto del BCP, más técnico.

Piénsalo así: El BCP te dice cómo seguir atendiendo pacientes aunque el hospital esté en llamas. El DRP te dice cómo recuperar Diraya desde el backup.

6.1. Plan de Continuidad de Negocio (BCP)

El BCP es la estrategia global para garantizar que los servicios esenciales del SAS continúen funcionando ante cualquier tipo de disrupción.

6.1.1. Análisis de Impacto en el Negocio (BIA)

El BIA (Business Impact Analysis) es el primer paso. Consiste en responder estas preguntas:

¿Qué procesos son críticos? Urgencias, UCI, quirófanos, dispensación farmacéutica…
¿Cuánto tiempo podemos estar sin ellos? (MTD – Maximum Tolerable Downtime)
¿Cuánta pérdida de datos podemos aceptar? (RPO – Recovery Point Objective)
¿Qué sistemas TI los soportan? Diraya para urgencias, Nódulo para diagnóstico por imagen…
¿Qué recursos necesitamos? Personal, instalaciones, equipos, suministros…
¿Cuál es el impacto si fallan? Económico, reputacional, legal, vidas en riesgo…

                ⚠️ Ejemplo de BIA en el Hospital Virgen del Rocío
                
                    
                            Proceso
                            Criticidad
                            MTD
                            Sistemas TI
                            Impacto
                        

                    
                            Urgencias
                            CRÍTICO
                            0 minutos
                            Diraya, Nódulo
                            Vidas en riesgo
                        

                            Quirófanos programados
                            ALTO
                            4 horas
                            Diraya, Nódulo
                            Cancelación cirugías
                        

                            Consultas externas
                            MEDIO
                            8 horas
                            Diraya, JARA
                            Reprogramación
                        

                            Gestión administrativa
                            BAJO
                            24 horas
                            ERP, RRHH
                            Retrasos administrativos
                        

                
            

Proceso	Criticidad	MTD	Sistemas TI	Impacto
Urgencias	CRÍTICO	0 minutos	Diraya, Nódulo	Vidas en riesgo
Quirófanos programados	ALTO	4 horas	Diraya, Nódulo	Cancelación cirugías
Consultas externas	MEDIO	8 horas	Diraya, JARA	Reprogramación
Gestión administrativa	BAJO	24 horas	ERP, RRHH	Retrasos administrativos

6.1.2. Estrategias de Continuidad

Para el personal:

Equipos de respaldo: Personal entrenado que puede asumir funciones críticas si el titular no está disponible
Teletrabajo: Capacidad de trabajar remotamente si el edificio no es accesible
Redistribución: Mover personal de áreas no críticas a áreas críticas temporalmente

Para las instalaciones:

Sede alternativa: Ubicación alternativa donde operar si el edificio principal no está disponible
Acuerdos de reciprocidad: Usar instalaciones de otro hospital temporalmente
Instalaciones móviles: Unidades móviles de diagnóstico, quirófanos de campaña…

Para la tecnología:

Hot Site: CPD alternativo operativo en todo momento (ahí entra el DRP)
Cloud híbrido: Capacidad de migrar cargas de trabajo a cloud si el CPD on-premise falla
Redundancia: Componentes duplicados (servidores, redes, almacenamiento…)

6.1.3. Equipo de Gestión de Crisis

Cuando hay una crisis, necesitas un equipo que tome decisiones rápidas y coordinadas.

Composición típica en el SAS:

Director Gerente: Máxima autoridad, toma decisiones finales
Director TI: Coordina la respuesta técnica
Responsable de Seguridad: Evalúa el incidente, propone medidas
Responsable de Comunicación: Gestiona comunicación interna y externa
Asesor Jurídico: Implicaciones legales (notificaciones RGPD, denuncias…)
Enlace con proveedores: Coordina con proveedores críticos (cloud, hardware, software…)

Sala de crisis:

Ubicación física designada (y alternativa si la principal no está accesible)
Comunicaciones redundantes (teléfono, videoconferencia, radio…)
Acceso a documentación crítica (DRP, contactos, diagramas de red…)
Pizarras, monitores para seguimiento de la situación en tiempo real

6.1.4. Comunicaciones en Crisis

Durante una crisis, la comunicación es CRÍTICA. El caos y los rumores pueden hacer tanto daño como el incidente en sí.

Plan de comunicación:

Interna: ¿Cómo informamos al personal? Emails, intranet, SMS masivos, reuniones…
Externa: ¿Cómo informamos a pacientes, prensa, autoridades?
Portavoz único: Una sola persona autorizada para hablar públicamente (evita mensajes contradictorios)
Mensajes preparados: Comunicados preescritos para diferentes escenarios (se personalizan según el caso concreto)

⛔ No mintáis en la comunicación de crisis

Tentación: «No pasa nada, todo está controlado» cuando en realidad es un desastre.

Resultado: Cuando la verdad sale (y SIEMPRE sale), la pérdida de confianza es irreparable.

Mejor: «Hemos tenido un incidente grave, estamos trabajando 24/7 para solucionarlo, os mantendremos informados cada X horas.»

6.2. Plan de Recuperación ante Desastres (DRP)

Ahora sí, entramos en lo técnico puro y duro. El DRP se centra en recuperar los sistemas TI.

6.2.1. Conceptos clave: RPO y RTO

Estos dos acrónimos son FUNDAMENTALES. Te los preguntarán en el examen seguro.

RPO (Recovery Point Objective) – Objetivo de Punto de Recuperación:

Definición: La máxima cantidad de datos que podemos permitirnos perder.
Se mide en tiempo: «¿Hasta cuándo atrás podemos retroceder en el tiempo?»
Ejemplo: RPO = 15 minutos → Podemos perder como máximo los últimos 15 minutos de datos.
Determina: Frecuencia de backups y tipo de replicación.

RTO (Recovery Time Objective) – Objetivo de Tiempo de Recuperación:

Definición: El tiempo máximo que podemos estar sin el sistema.
Se mide en tiempo: «¿Cuánto tiempo tenemos para recuperar?»
Ejemplo: RTO = 1 hora → El sistema debe estar operativo en menos de 1 hora.
Determina: Tipo de arquitectura de recuperación (Hot Site, Warm Site, Cold Site).

Sistema SAS	RPO	RTO	Estrategia
Diraya (Hospital referencia)	15 minutos	1 hora	Hot Site + Replicación síncrona local + Asíncrona remota
Receta XXI	30 minutos	2 horas	Hot Site + Replicación asíncrona
JARA (Citas)	1 hora	4 horas	Warm Site + Backup cada hora
Sistemas administrativos	24 horas	24 horas	Cold Site + Backup diario

✅ Truco para recordar RPO vs RTO

RPO = Point (punto en el tiempo) = DATOS → ¿Cuántos datos perdemos?

RTO = Time (tiempo) = DISPONIBILIDAD → ¿Cuánto tardamos en recuperar?

6.2.2. Centros de Respaldo (DR Sites)

Cold Site (Sitio Frío):

Qué es: Instalaciones con infraestructura básica (espacio, electricidad, conectividad), pero SIN equipos instalados.
Tiempo de activación: Varios días (hay que llevar los equipos, instalarlos, configurarlos…)
Coste: Bajo (solo pagas el alquiler del espacio)
RPO/RTO: Alto (varios días)
Uso en SAS: Sistemas no críticos

Warm Site (Sitio Templado):

Qué es: Instalaciones con equipos ya instalados y configurados, pero con datos no actualizados al 100%.
Tiempo de activación: Varias horas (hay que restaurar los últimos backups, sincronizar, validar…)
Coste: Medio
RPO/RTO: Medio (horas)
Uso en SAS: Sistemas importantes pero no críticos (JARA, portales web…)

Hot Site (Sitio Caliente):

Qué es: Réplica exacta del CPD principal, con datos replicados en tiempo real (o casi real), lista para asumir la carga inmediatamente.
Tiempo de activación: Minutos (puede ser automático)
Coste: Alto (es como tener dos CPDs completos)
RPO/RTO: Muy bajo (minutos)
Uso en SAS: Sistemas CRÍTICOS (Diraya, Receta XXI, Nódulo en urgencias)

6.2.3. Estrategias de Replicación

Replicación Síncrona:

Cómo funciona: Cada escritura en el sistema principal se replica INMEDIATAMENTE en el secundario. La operación no se confirma hasta que ambos la tienen.
RPO: Cero (o casi cero). No hay pérdida de datos.
Limitación: Distancia. La latencia de red hace que sea inviable más allá de ~100 km.
Coste: Alto rendimiento (las operaciones van más lentas porque esperan la confirmación del secundario)
Uso en SAS: Replicación entre el CPD principal del hospital y el Hot Site local (mismo edificio o edificio cercano)

Replicación Asíncrona:

Cómo funciona: Las escrituras en el principal se confirman inmediatamente. La replicación al secundario ocurre «cuando puede», con un pequeño retraso.
RPO: Minutos. Puedes perder los últimos cambios no replicados.
Limitación: Ninguna de distancia. Puede replicar a miles de km.
Coste: Bajo impacto en rendimiento
Uso en SAS: Replicación del Hot Site local a un DR Site remoto (Sevilla → Málaga, por ejemplo)

💡 Arquitectura típica de Diraya

Hospital Virgen del Rocío (Sevilla):

CPD Principal: Edificio A
Hot Site local: Edificio B (500m de distancia) → Replicación SÍNCRONA (RPO = 0)
DR Site remoto: Hospital Regional de Málaga → Replicación ASÍNCRONA (RPO = 15 min)

Escenarios:

Falla CPD Principal: Hot Site local toma el control automáticamente en ~2 minutos. Sin pérdida de datos.
Desastre en todo el complejo hospitalario (terremoto, atentado…): DR Site remoto toma el control en ~1 hora. Pérdida de hasta 15 min de datos.

6.2.4. Fases del Plan de Recuperación

Activación:
- Determinar si se debe activar el DRP (criterios claros en el documento)
- Quién tiene autoridad para activarlo (Director TI, Responsable de Seguridad…)
- Notificar al equipo de recuperación
- Activar la sala de crisis
Respuesta inicial (primeras horas):
- Evaluar el alcance del desastre
- Proteger vidas (si hay riesgo físico)
- Contener el incidente (si es un ciberataque, aislar sistemas comprometidos)
- Evaluar la viabilidad de recuperación en el sitio principal vs activar DR Site
Recuperación (siguientes días):
- Activar el DR Site si es necesario
- Restaurar sistemas según orden de prioridad (Tier 1 → Tier 2 → Tier 3…)
- Validar integridad de datos restaurados
- Comunicar progreso a stakeholders
Vuelta a la normalidad:
- Reparar/reconstruir el sitio principal
- Sincronizar datos del DR Site al principal
- Failback (volver a operar desde el sitio principal)
- Restablecer la replicación normal
Revisión post-incidente:
- Análisis post-mortem: ¿Qué pasó? ¿Por qué? ¿Cómo se detectó?
- ¿El DRP funcionó como esperábamos? ¿Qué mejorar?
- Actualizar el DRP con las lecciones aprendidas
- Informe ejecutivo para la dirección

6.2.5. Pruebas del DRP

Un DRP que no se prueba es papel mojado. Cuando hay un desastre real NO es el momento de descubrir que el procedimiento no funciona.

Tipos de pruebas:

Tipo	Descripción	Impacto en producción	Frecuencia recomendada
Desk Check	Revisión documental del plan. «¿Tiene sentido? ¿Están los contactos actualizados?»	Ninguno	Trimestral
Walkthrough	Simulación de escenarios con el equipo reunido. «Si pasa X, ¿qué hacemos?»	Ninguno	Semestral
Simulacro parcial	Probar componentes específicos (restaurar una BBDD de test desde backup)	Ninguno o mínimo	Trimestral
Simulacro completo	Activación real del DR Site, failover completo	Alto (ventana de mantenimiento)	Anual

⛔ Pruebas del DRP: La multa de 5 millones

Caso real (fuera de España): Hospital grande, DRP bien documentado, DR Site contratado. Un ransomware cifra todo. Activan el DRP… y descubren que:

Los backups estaban corruptos (nadie había intentado restaurarlos en 2 años)
Las credenciales del DR Site habían caducado
El contacto del proveedor del DR Site ya no trabajaba allí

Resultado: 3 semanas sin sistemas, pérdida de datos, multa regulatoria de 5 millones por no cumplir su propio DRP.

Lección: Prueba, prueba, y vuelve a probar.

7. Respaldo y Continuidad

El backup es tu póliza de seguros. Nunca la necesitas… hasta que la necesitas DESESPERADAMENTE.

7.1. Políticas de Backup

7.1.1. La regla de oro: 3-2-1

✅ Estrategia 3-2-1

3 copias de los datos:
- 1 copia en producción (los datos originales)
- 2 copias de backup
2 tipos de soporte diferentes:
- Por ejemplo: disco + cinta
- O: disco on-premise + cloud
- Motivo: si falla un tipo de soporte, tienes otro
1 copia offsite (fuera del sitio principal):
- Si hay un incendio/inundación que destruye el CPD, al menos tienes una copia en otro lugar

Ejemplo aplicado al SAS:

Copia 1: Datos en producción en el CPD principal (discos SAN)
Copia 2: Backup en disco en el mismo CPD (NAS de backup, restauración rápida)
Copia 3: Backup en cinta que se envía físicamente al DR Site remoto (Málaga)
Bonus: Backup adicional en cloud (Azure Backup) para redundancia extra

7.1.2. Tipos de Backup

Backup Completo (Full):

Qué copia: TODO
Ventajas: Restauración rápida (solo necesitas el último full)
Desventajas: Lento, consume mucho espacio, ventana de backup larga
Uso típico: Semanal o mensual

Backup Incremental:

Qué copia: Solo lo que cambió desde el ÚLTIMO backup (sea full o incremental)
Ventajas: Rápido, consume poco espacio
Desventajas: Restauración lenta (necesitas el full + TODOS los incrementales)
Ejemplo:
- Domingo: Full
- Lunes: Incremental (cambios desde domingo)
- Martes: Incremental (cambios desde lunes)
- Miércoles: Incremental (cambios desde martes)
Para restaurar el miércoles, necesitas: Full domingo + Incremental lunes + Incremental martes + Incremental miércoles

Backup Diferencial:

Qué copia: Todo lo que cambió desde el ÚLTIMO FULL
Ventajas: Compromiso entre full e incremental. Restauración más rápida que incremental.
Desventajas: Cada día el diferencial es más grande (el viernes copia todo lo que cambió desde el domingo)
Ejemplo:
- Domingo: Full
- Lunes: Diferencial (cambios desde domingo)
- Martes: Diferencial (cambios desde domingo)
- Miércoles: Diferencial (cambios desde domingo)
Para restaurar el miércoles, necesitas: Full domingo + Diferencial miércoles

Tipo	Velocidad backup	Espacio consumido	Velocidad restauración	Complejidad
Completo	Lento	Mucho	Rápida	Baja
Incremental	Rápido	Poco	Lenta	Alta
Diferencial	Medio	Medio	Media	Media

7.1.3. Estrategia típica en el SAS

Para Diraya (sistema crítico):

Diario (L-V): Incremental a las 02:00h
Semanal (Sábado): Diferencial a las 22:00h
Mensual (Primer domingo): Completo a las 22:00h
Replicación continua: Hot Site (RPO 15 min)
Backup en cloud: Semanal (diferencial) a Azure

Para sistemas administrativos:

Diario: Incremental
Semanal: Completo

7.2. Sistemas de Almacenamiento para Backup

7.2.1. Soportes

Disco (Backup to Disk – B2D):

Ventajas: Rápido para backup y restauración, acceso aleatorio
Desventajas: Más caro por TB, menor durabilidad a largo plazo
Uso: Backups recientes (últimos 30 días) para restauración rápida
Tecnologías: NAS (Network Attached Storage), cabinas de discos dedicadas

Cinta (Tape):

Ventajas: Muy barato por TB, larga durabilidad (30+ años si se almacena bien), portabilidad
Desventajas: Lento, acceso secuencial (para leer el final de la cinta hay que rebobinar toda)
Uso: Retención a largo plazo, backup offsite
Tecnologías: LTO (Linear Tape-Open) – el estándar actual es LTO-9 (18TB sin comprimir, 45TB con comprimir)

Cloud:

Ventajas: Offsite automático, escalable, sin gestión de hardware
Desventajas: Coste recurrente, dependencia de conectividad, tiempos de restauración (bajar TBs por internet lleva tiempo)
Uso: Backup secundario, DR as a Service
Proveedores: Azure Backup, AWS S3 Glacier, Google Cloud Storage Nearline

7.2.2. Arquitecturas de almacenamiento

SAN (Storage Area Network):

Red dedicada de almacenamiento, separada de la red de datos
Protocolo Fibre Channel o iSCSI
Rendimiento muy alto, latencia muy baja
Uso: Almacenamiento de producción (bases de datos, máquinas virtuales…)

NAS (Network Attached Storage):

Almacenamiento compartido en red de datos (Ethernet)
Protocolo NFS (Linux) o SMB/CIFS (Windows)
Más fácil de gestionar que SAN
Uso: Compartir ficheros, backup to disk

Object Storage:

Almacenamiento cloud, acceso por API HTTP/S
Protocolo S3 (estándar de facto)
Escalabilidad ilimitada (en teoría)
Uso: Backup cloud, archivo de imágenes médicas (PACS)

7.3. Retención de Backups

No puedes guardar todos los backups para siempre. Hay que definir políticas de retención.

7.3.1. Normativa sanitaria

Ley 41/2002 – Historia clínica:

Mínimo 5 años desde la fecha de alta de cada proceso asistencial
Algunos documentos específicos: hasta 20 años (informes de quirófano, consentimientos informados de intervenciones graves…)
En el caso de fallecimiento del paciente: desde la fecha de fallecimiento

Datos administrativos:

Según normativa contable/administrativa
Generalmente: 6 años (plazo de prescripción tributaria)

7.3.2. Política de retención típica en el SAS

Frecuencia	Soporte	Retención	Ubicación
Diarios	Disco	30 días	CPD principal
Semanales	Disco + Cinta	3 meses	CPD principal + Offsite
Mensuales	Cinta	7 años	Offsite (búnker de cintas)
Anuales	Cinta	20 años	Offsite (archivo histórico)

7.4. Restauración y Pruebas de Backup

⛔ Un backup sin probar = NO existe

No sabes si tu backup funciona hasta que intentas restaurar. Y el momento de un desastre real NO es el mejor momento para descubrir que tu backup está corrupto.

7.4.1. Tipos de restauración

Restauración de ficheros individuales:

Usuario borró un documento por error
Restauración selectiva de ficheros concretos
Rápido (minutos)

Restauración de base de datos completa:

Corrupción de BBDD
Restaurar el último backup consistente
Medio (horas, depende del tamaño)

Restauración de servidor completo (BMR – Bare Metal Recovery):

Fallo hardware total del servidor
Restaurar SO + aplicaciones + datos en un servidor nuevo (o máquina virtual)
Lento (varias horas o días, depende del tamaño y complejidad)

7.4.2. Programa de pruebas de backup

Frecuencia recomendada:

Sistemas críticos (Diraya): Prueba trimestral de restauración completa
Sistemas importantes: Prueba semestral
Sistemas normales: Prueba anual

Qué probar:

Restauración completa en entorno de test
Verificar integridad de datos
Medir tiempos (para validar que cumples tus RTOs)
Documentar problemas encontrados y corregirlos

Documentación:

Acta de cada prueba con fecha, sistema probado, resultado, problemas, acciones correctivas
Estas actas son evidencia para auditorías

7.5. Backups inmutables (protección anti-ransomware)

El ransomware moderno es sofisticado. No solo cifra los datos en producción… también BUSCA y DESTRUYE los backups.

Solución: Backups inmutables (WORM – Write Once, Read Many):

Una vez escrito el backup, NO se puede modificar ni borrar durante el periodo de retención
Ni siquiera el administrador puede borrarlo (previene tanto ransomware como borrado accidental/malicioso)
Implementación:
- Cintas físicas: Por naturaleza WORM (una vez grabado, no se puede sobreescribir sin borrar todo)
- Object Storage con Object Lock: S3 Object Lock (AWS), Azure Immutable Blob Storage
- Appliances de backup: Muchos tienen modo inmutable (Veeam, Commvault…)

8. Política de Seguridad de las TIC en la Junta de Andalucía y el SAS

Muy bien, hasta ahora hemos hablado de conceptos generales. Ahora toca aterrizarlos en TU contexto: Andalucía y el Servicio Andaluz de Salud.

8.1. Marco Normativo Andaluz

8.1.1. Decreto 311/2022 – ENS en Andalucía

El Real Decreto 311/2022 del Esquema Nacional de Seguridad es de ámbito estatal, pero Andalucía tiene su propia adaptación y desarrollo normativo.

Aplicación obligatoria: Todas las consejerías, agencias y entes de la Junta de Andalucía (incluido el SAS) deben cumplir el ENS
Categorización obligatoria: Todos los sistemas deben estar categorizados (BAJO, MEDIO, ALTO)
Auditorías periódicas: Según categoría
Certificación pública: Los sistemas categorizados ALTO deben publicar su conformidad ENS

8.1.2. Decreto 534/2021 – Administración Electrónica del SAS

Este decreto regula específicamente la administración electrónica en el ámbito del Servicio Andaluz de Salud.

Aspectos clave para seguridad:

Firma electrónica obligatoria: Para profesionales sanitarios en actos que requieran garantía de autoría
Notificaciones electrónicas: Seguras y con acuse de recibo
Expediente electrónico: Garantías de integridad, autenticidad y conservación
Interoperabilidad: Con otras administraciones (AGE, otras CCAA…)

8.2. Política de Seguridad Corporativa del SAS

El SAS tiene una política de seguridad propia, más específica que las normas generales de la Junta.

8.2.1. Política General de Seguridad de la Información del SSPA

Documento marco aprobado por la Dirección General del SAS que establece:

📋 Principios de la Política de Seguridad del SAS

Protección máxima de datos de salud: Los datos clínicos tienen el nivel más alto de protección (RGPD art. 9)
Disponibilidad 24/7: Los sistemas críticos deben estar siempre operativos
Confidencialidad estricta: Solo acceso por necesidad asistencial demostrable
Trazabilidad completa: Todo acceso a historias clínicas queda registrado
Formación continua: Todo el personal recibe formación anual en seguridad
Responsabilidad personal: Cada usuario es responsable de sus accesos y acciones
Cumplimiento normativo: ENS, RGPD, Ley 41/2002 como mínimos
Mejora continua: Ciclo PDCA permanente

8.2.2. Normativas específicas del SAS

Normativa de Uso de Sistemas de Información:

Prohibiciones:
- Uso de dispositivos USB personales en equipos corporativos
- Instalación de software no autorizado
- Acceso a redes sociales desde equipos clínicos
- Compartir credenciales de acceso (usuario/contraseña)
- Dejar sesiones abiertas sin supervisión
Obligaciones:
- Bloqueo de pantalla al ausentarse (< 5 minutos)
- Cambio de contraseña cada 90 días
- Reporte inmediato de incidentes de seguridad
- Participación en formación obligatoria anual

Política de Control de Acceso:

Acceso por roles: Cada profesional tiene acceso según su perfil (médico, enfermería, administrativo…)
Revisión periódica: Cada 6 meses se revisan los permisos de todos los usuarios
Revocación inmediata: Al cambiar de puesto o cesar en el SAS, accesos revocados el mismo día
Justificación de accesos excepcionales: Si un médico necesita acceso a un sistema fuera de su ámbito habitual, debe justificarlo por escrito

Política de Escritorio Limpio (Clear Desk):

No dejar documentos con datos personales en mesas al final de la jornada
Destrucción segura de documentos (trituradoras certificadas)
Ordenadores portátiles guardados bajo llave
Pantallas orientadas para que no sean visibles desde zonas públicas

8.2.3. Medidas específicas del SAS

✅ Controles de seguridad implementados en el SAS

Doble autenticación (MFA): Obligatoria para acceso remoto a Diraya desde fuera de las instalaciones del SAS
Cifrado obligatorio: Todos los portátiles corporativos tienen BitLocker activado
VPN sanitaria: Red privada virtual específica para profesionales sanitarios con acceso desde domicilio
Auditorías aleatorias: Se auditan accesos a historias clínicas de forma aleatoria para detectar accesos indebidos
Alertas automáticas: El SIEM alerta si un usuario accede a historias clínicas fuera de su ámbito habitual
SOC 24/7: Centro de operaciones de seguridad operativo las 24 horas, todos los días del año

8.3. Responsable de Seguridad en el SAS

Organización de la seguridad a nivel corporativo:

Dirección General de Tecnologías de la Información: Máximo responsable TI del SAS
Responsable Corporativo de Seguridad: Diseña y coordina la estrategia de seguridad del SAS
Delegado de Protección de Datos (DPO): Obligatorio por RGPD. Independiente, supervisa cumplimiento de protección de datos
CSIRT SAS: Equipo de respuesta a incidentes de seguridad
Responsables de Seguridad de área: En cada provincia o gran hospital, coordinan la seguridad local

Funciones del Responsable de Seguridad:

Elaborar y mantener actualizada la política de seguridad
Supervisar el cumplimiento del ENS
Coordinar la respuesta ante incidentes de seguridad
Gestionar auditorías y certificaciones
Proponer inversiones en seguridad
Coordinar con CSIRT Andalucía y CCN-CERT
Elaborar informes de estado de seguridad para la dirección

9. Estrategias de Ciberseguridad (Europea, Nacional y Andaluza)

La ciberseguridad no es solo un tema técnico. Es un tema de seguridad nacional. Por eso existen estrategias coordinadas a nivel europeo, nacional y autonómico.

9.1. Estrategia Europea de Ciberseguridad

9.1.1. Directiva NIS2 (2022)

La Directiva NIS2 (Network and Information Security) actualiza la anterior Directiva NIS de 2016. Es el marco europeo de ciberseguridad.

Novedades principales:

Ampliación de sectores: Incluye explícitamente la sanidad como sector esencial
Más obligaciones: Medidas técnicas, organizativas y de gestión de riesgos más estrictas
Notificación de incidentes: Obligatorio notificar incidentes significativos en 24 horas (alerta inicial), 72 horas (notificación completa)
Sanciones: Multas de hasta 10 millones de euros o 2% de la facturación anual
Gobernanza: Responsabilidad de la dirección (no se puede delegar)

Aplicación en el SAS:

El SAS es un operador esencial según NIS2
Debe implementar medidas de gestión de riesgos
Obligación de notificar incidentes graves al CSIRT nacional (INCIBE/CCN-CERT)
Auditorías de cumplimiento

9.1.2. ENISA – Agencia Europea de Ciberseguridad

ENISA (European Union Agency for Cybersecurity) coordina la ciberseguridad a nivel europeo.

Funciones:

Emitir recomendaciones y buenas prácticas
Coordinar respuesta a incidentes transfronterizos
Certificación de productos de ciberseguridad
Formación y concienciación
Ejercicios de ciberdefensa a nivel europeo

9.1.3. Reglamento de Ciberresiliencia (Cyber Resilience Act)

En tramitación (2024-2025). Establecerá requisitos de seguridad obligatorios para productos con componentes digitales vendidos en la UE.

Impacto en sanidad:

Dispositivos médicos conectados (IoMT) deberán cumplir requisitos de ciberseguridad
Software sanitario con certificación de seguridad
Actualizaciones de seguridad durante toda la vida útil del producto

9.2. Estrategia Nacional de Ciberseguridad

9.2.1. Estrategia Nacional 2019-2024 (prorrogada)

España tiene una estrategia nacional que se actualiza periódicamente. La actual (prorrogada hasta nueva publicación) tiene 5 ejes:

🇪🇸 5 Ejes de la Estrategia Nacional de Ciberseguridad

Garantizar la seguridad de redes y sistemas: Protección de infraestructuras críticas (sanidad incluida)
Aumentar capacidades de prevención, detección y respuesta: SOCs, CSIRTs, formación especializada
Mejorar la formación y cultura de ciberseguridad: Desde educación primaria hasta especialización profesional
Fortalecer la investigación y desarrollo: I+D en tecnologías de ciberseguridad
Impulsar la industria nacional de ciberseguridad: Competitividad de empresas españolas del sector

9.2.2. CCN-CERT

CCN-CERT (Centro Criptológico Nacional – Capacidad de Respuesta a Incidentes) es el CSIRT gubernamental de España.

Funciones:

Respuesta a incidentes: En administraciones públicas y sectores estratégicos
Alertas tempranas: Avisos de vulnerabilidades y amenazas
Guías CCN-STIC: Documentación técnica de seguridad (más de 800 guías)
Certificación ENS: Auditorías y certificación de cumplimiento ENS
Formación: Cursos especializados para administraciones públicas

Relación con el SAS:

El SAS debe notificar incidentes graves al CCN-CERT
El CCN-CERT puede auditar sistemas del SAS para certificación ENS
Recibe alertas y recomendaciones del CCN-CERT

9.2.3. INCIBE

INCIBE (Instituto Nacional de Ciberseguridad) es el CSIRT nacional para ciudadanos y sector privado.

Funciones:

Respuesta a incidentes en empresas y ciudadanos
Concienciación y formación
Línea de ayuda en ciberseguridad
Oficina de Coordinación de Ciberseguridad (OCC) – coordina respuesta a grandes incidentes

9.2.4. Ley 8/2011 – Protección de Infraestructuras Críticas

Esta ley identifica y protege las infraestructuras críticas de España. La sanidad es un sector estratégico.

El SAS es operador crítico:

Obligación: Elaborar un Plan de Seguridad del Operador (PSO)
Contenido del PSO:
- Análisis de riesgos
- Medidas de protección (físicas, técnicas, organizativas)
- Planes de contingencia
- Sistema de alertas
- Protocolos de comunicación con autoridades
Auditorías: El Ministerio del Interior puede inspeccionar el cumplimiento
Centro Nacional de Protección de Infraestructuras Críticas (CNPIC): Coordina la protección

9.3. Estrategia Andaluza de Ciberseguridad

9.3.1. Estrategia de Ciberseguridad de Andalucía 2022-2025

Andalucía tiene su propia estrategia, alineada con la nacional y europea, pero adaptada a las peculiaridades autonómicas.

Objetivos estratégicos:

Proteger infraestructuras críticas andaluzas: Incluye explícitamente el SAS
Mejorar capacidades de detección y respuesta: CSIRT Andaluz operativo 24/7
Fomentar cultura de ciberseguridad: Formación en administraciones públicas andaluzas
Impulsar I+D en ciberseguridad: Colaboración con universidades andaluzas
Coordinación institucional: Entre consejerías, ayuntamientos, diputaciones…

9.3.2. CSIRT Andaluz

CSIRT Andaluz (Computer Security Incident Response Team de Andalucía) es el equipo autonómico de respuesta a incidentes.

Funciones:

Coordinación: Respuesta a incidentes en administración autonómica (incluido SAS)
Colaboración: Con CCN-CERT (escalado de incidentes graves)
Alertas: Emisión de avisos de seguridad específicos para Andalucía
Recomendaciones: Guías adaptadas al contexto andaluz
Formación: Capacitación de equipos técnicos de consejerías

9.3.3. Protocolo de respuesta a incidentes en el SAS

Flujo de escalado:

                ⚠️ Cadena de respuesta ante ciberataque en el SAS
                Detección: SOC del SAS detecta ransomware en servidor de Diraya (ejemplo)
Contención inmediata: CSIRT del SAS aísla el servidor afectado
Notificación interna: Alerta al Responsable de Seguridad del SAS y a la Dirección General TI
Evaluación: ¿Es un incidente grave que afecta a servicios críticos?
                        SI: Continúa al paso 5
NO: Gestión interna, registro y seguimiento

                    
Escalado a CSIRT Andaluz: Notificación formal, petición de apoyo
CSIRT Andaluz evalúa: ¿Requiere coordinación con CCN-CERT?
                        SI (afecta a servicios esenciales, operador crítico): Notifica a CCN-CERT
NO: Gestión coordinada SAS-CSIRT Andaluz

                    
CCN-CERT (si procede): Coordinación nacional, recursos especializados, contacto con ENISA si es transfronterizo
Obligación RGPD: Si hay brecha de datos personales → Notificación a AEPD en 72h
Comunicación: Portavoz único del SAS, coordinado con Consejería de Salud
Post-incidente: Informe de lecciones aprendidas, actualización de procedimientos

            

9.3.4. Medidas específicas para sanidad

La Estrategia Andaluza reconoce la criticidad del sector sanitario y establece medidas específicas:

Protección reforzada: Los sistemas sanitarios tienen prioridad en recursos de ciberseguridad
Coordinación SAS-CSIRT Andaluz: Canal directo, respuesta prioritaria
Ejercicios de ciberdefensa: Simulacros periódicos de ciberataques en hospitales
Formación específica: Para personal TI sanitario (peculiaridades de la ciberseguridad en sanidad)
Análisis de amenazas específicas: Threat intelligence enfocado en amenazas al sector salud (ransomware hospitalario, robo de historias clínicas…)

10. Mapa Conceptual del Tema

📊 Visualización Estructurada del Tema 76

Este mapa conceptual muestra la estructura jerárquica de los componentes de seguridad de las TI, desde los objetivos fundamentales hasta las estrategias de implementación específicas en el SAS. Úsalo como guía de repaso: si entiendes cada nodo y sus conexiones, dominas el tema.

🔐 SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN

🎯 OBJETIVOS DE SEGURIDAD

🔒 Confidencialidad: Solo personas autorizadas acceden

✅ Integridad: Información sin alteraciones no autorizadas

⚡ Disponibilidad: Sistemas operativos cuando se necesitan

👤 Autenticidad: Verificación de identidad

📋 Trazabilidad: Registro de accesos y acciones

📋 ESTRATEGIAS Y POLÍTICAS

📜 Política de Seguridad

Directrices formales aprobadas por dirección

Obligado cumplimiento para todos

Revisión periódica y actualización

🏢 Organización

Responsable de la Información

Responsable del Servicio

Responsable de Seguridad

Comité de Seguridad

🛡️ MEDIDAS DE SEGURIDAD

🏗️ Medidas Físicas

🚪 Control de acceso físico: Biometría, tarjetas, videovigilancia

❄️ Protección CPD: Clima controlado, SAI, generadores

🔥 Anti-incendios: Gas inerte, detección temprana

💻 Medidas Técnicas

🔑 Control de Acceso Lógico

Autenticación multifactor (MFA)

Gestión de identidades (IAM)

Principio de mínimo privilegio

Segregación de funciones

🔐 Criptografía

Cifrado en reposo (TDE)

Cifrado en tránsito (TLS 1.3)

Firma electrónica

🌐 Seguridad de Red

Segmentación (VLANs)

Firewalls perimetrales e internos

IDS/IPS

WAF (Web Application Firewall)

👁️ Monitorización y Detección

SIEM (Security Information Event Management)

SOC (Security Operations Center) 24/7

Correlación de logs

EDR (Endpoint Detection Response)

👥 Medidas Organizativas

🎓 Formación y concienciación continua

🚨 Gestión de incidentes de seguridad

🔄 Control de cambios

📊 Gestión de configuración

⚖️ Medidas Legales

RGPD (Reglamento UE 2016/679)

LOPDGDD (Ley Orgánica 3/2018)

ENS (RD 311/2022)

Ley 41/2002 (Autonomía del paciente)

🆘 PLANES DE CONTINGENCIA Y RECUPERACIÓN

📋 BCP – Plan de Continuidad de Negocio

Análisis de Impacto (BIA)

Estrategias de continuidad

Equipo de gestión de crisis

🔄 DRP – Plan de Recuperación ante Desastres

⏱️ Métricas Clave

RPO: Recovery Point Objective (pérdida datos aceptable)

RTO: Recovery Time Objective (tiempo recuperación)

RTA: Recovery Time Actual (tiempo real)

🏢 Centros de Respaldo

Cold Site: Instalaciones sin equipos (días)

Warm Site: Infraestructura básica (horas)

Hot Site: Réplica activa (minutos)

💾 Respaldo y Continuidad

📦 Estrategia 3-2-1

3 copias de los datos

2 tipos de soporte diferentes

1 copia offsite (fuera del sitio)

🔄 Tipos de Backup

Completo: Todo (lento, ocupa mucho)

Incremental: Solo cambios desde último backup

Diferencial: Cambios desde último completo

🔍 EVALUACIÓN Y CERTIFICACIÓN

🔎 Auditorías de Seguridad

Auditorías técnicas (pentest, vulnerabilidades)

Auditorías organizativas (políticas, procedimientos)

Auditorías físicas (CPD, controles acceso)

📊 Análisis de Riesgos

MAGERIT: Metodología oficial AAPP españolas

ISO 27005: Estándar internacional

OCTAVE: Carnegie Mellon

🏆 Certificaciones

ENS: Esquema Nacional de Seguridad (obligatorio AAPP)

ISO 27001: Gestión de seguridad información

ISO 27017: Seguridad cloud

ISO 27018: Protección datos en cloud

🌍 ESTRATEGIAS DE CIBERSEGURIDAD

🇪🇺 Estrategia Europea

Directiva NIS2: Sectores críticos (sanidad)

ENISA: Agencia Ciberseguridad UE

Cyber Resilience Act (en tramitación)

🇪🇸 Estrategia Nacional

CCN-CERT: Centro Criptológico Nacional

INCIBE: Instituto Ciberseguridad

Ley 8/2011: Infraestructuras Críticas

🟢 Estrategia Andaluza

Estrategia Ciberseguridad Andalucía 2022-2025

CSIRT Andaluz: Respuesta a incidentes

Protección específica sistemas sanitarios

🏥 APLICACIÓN EN EL SERVICIO ANDALUZ DE SALUD (SAS)

🔐 Sistema Diraya (Historia Clínica Digital)

Categoría ENS: ALTA (C-A, I-A, D-A)
RPO: 15 minutos (replicación continua)
RTO: 1 hora (hospitales referencia)
Hot Site activo en CPD secundario
Auditoría accesos obligatoria (Ley 41/2002)

💊 Sistema Receta XXI

Categoría ENS: ALTA
Firma electrónica médica obligatoria
Disponibilidad 24/7 (farmacias)
Cifrado extremo-a-extremo

📸 Nódulo (PACS – Sistema Radiología)

Categoría ENS: ALTA (disponibilidad crítica urgencias)
Almacenamiento cifrado imágenes médicas
Backup incremental diario

🛡️ Medidas de Seguridad Específicas SAS

Físicas: CPD principal Sevilla con Hot Site en Málaga
Técnicas: SOC 24/7, MFA acceso remoto, VPN sanitaria
Organizativas: DPO obligatorio, formación anual seguridad
Legales: Cumplimiento RGPD art.9, ENS, Ley 41/2002

🚨 Gestión de Incidentes SAS

CSIRT SAS → CSIRT Andaluz → CCN-CERT → ENISA
Protocolo ransomware: contención, notificación 72h AEPD
Auditorías aleatorias accesos indebidos Diraya

📖 Leyenda del Mapa Conceptual

Nivel 1 (Morado): Concepto central del tema

Nivel 2 (Azul): Bloques principales de contenido

Nivel 3 (Naranja): Categorías específicas

Nivel 4 (Morado claro): Subcategorías y detalles técnicos

Nivel 5 (Verde): Elementos específicos y ejemplos

SAS (Verde degradado): Aplicación práctica en el Servicio Andaluz de Salud

✅ Cómo Usar Este Mapa Conceptual

Visión general: Empieza desde el nivel 1 (centro) hacia abajo
Relaciones: Observa cómo cada nivel se conecta con el siguiente
Profundización: Los colores te indican el nivel de detalle
Aplicación práctica: La sección SAS muestra casos reales
Estudio: Úsalo como índice para repasar cada apartado del tema
Hover interactivo: Pasa el ratón sobre los elementos para destacarlos

💡 Consejos de Estudio con el Mapa

Primera vuelta: Lee el mapa completo para tener visión global
Segunda vuelta: Profundiza en cada nivel jerárquico
Tercera vuelta: Intenta reproducir el mapa de memoria
Conexiones: Identifica relaciones entre diferentes bloques (ej: ENS conecta con Evaluación y Medidas)
Casos prácticos: Usa la sección SAS para aplicar conceptos teóricos

11. Preguntas de Autoevaluación

📝 Instrucciones para el test

Estas 30 preguntas están diseñadas con el nivel de dificultad de la oposición real. No son preguntas sencillas. Los distractores (respuestas incorrectas) son plausibles y requieren conocimiento preciso del tema.

Consejo: Haz el test sin mirar las respuestas. Anota tus respuestas y luego verifica. Si fallas más del 20% (6 preguntas), necesitas repasar el tema.

Pregunta 1

En el contexto del Esquema Nacional de Seguridad (ENS), el sistema Diraya del SAS está categorizado como ALTO en confidencialidad, integridad y disponibilidad. ¿Cuál es la frecuencia MÍNIMA de auditoría obligatoria para este sistema según el RD 311/2022?

A) Auditoría anual obligatoria realizada por CCN-CERT
B) Auditoría cada 2 años por auditor acreditado o CCN-CERT
C) Autoauditoría cada 2 años con informe a CCN-CERT
D) Auditoría trimestral para sistemas de categoría ALTA en sanidad

✅ Respuesta correcta: B
Según el ENS (RD 311/2022), los sistemas de categoría ALTA deben ser auditados cada 2 años como mínimo, por auditor acreditado o por el CCN-CERT. Aunque se recomienda hacerlo anualmente, el mínimo obligatorio son 2 años. La opción A es incorrecta porque no es obligatorio que sea anual. La C es incorrecta porque los sistemas ALTO no pueden hacer autoauditoría (solo los MEDIO). La D es incorrecta porque no existe obligación trimestral.

Pregunta 2

Un médico del Hospital Virgen del Rocío accede a la historia clínica en Diraya de un paciente que NO está bajo su atención, alegando que es un familiar cercano. ¿Cuál es la calificación jurídica de esta conducta?

A) Infracción leve según la Ley 41/2002, sancionable con amonestación
B) Infracción grave según RGPD, multa hasta 20 millones de euros o 4% facturación
C) Infracción muy grave según Ley 41/2002, posible despido + infracción RGPD + delito revelación secretos
D) Conducta permitida si el paciente es familiar, según el principio de necesidad asistencial

✅ Respuesta correcta: C
Acceder a una historia clínica sin justificación asistencial es infracción muy grave según la Ley 41/2002, independientemente de que sea familiar. Además, constituye infracción del RGPD (tratamiento no autorizado de datos de categoría especial) y puede ser delito de revelación de secretos (art. 197 CP). El hecho de ser familiar NO legitima el acceso. La base de legitimación en sanidad es la prestación asistencial (RGPD art. 9.2.h), no la relación personal.

Pregunta 3

En el DRP del SAS, Diraya tiene un RPO de 15 minutos y un RTO de 1 hora en hospitales de referencia. ¿Qué arquitectura de replicación y respaldo es la más adecuada para cumplir estos objetivos?

A) Backup incremental diario + Warm Site con restauración manual
B) Hot Site con replicación síncrona local + replicación asíncrona a DR Site remoto
C) Cold Site con backup semanal en cinta + restauración BMR
D) Replicación asíncrona a cloud público con RTO de 4 horas

✅ Respuesta correcta: B
Un RPO de 15 minutos requiere replicación continua (no backup periódico). Un RTO de 1 hora requiere Hot Site (disponible inmediatamente). La arquitectura típica es: replicación síncrona al Hot Site local (RPO=0, para fallo del CPD principal) + replicación asíncrona a DR Site remoto (RPO=15 min, para desastre completo). La A es incorrecta porque backup diario no da RPO de 15 min. La C es incorrecta porque Cold Site tarda días. La D es incorrecta porque RTO de 4 horas no cumple el requisito de 1 hora.

Pregunta 4

Según el RGPD, ¿en qué plazo debe el SAS notificar una brecha de seguridad que suponga un riesgo para los derechos y libertades de los pacientes a la Agencia Española de Protección de Datos (AEPD)?

A) 24 horas desde la detección
B) 48 horas desde la detección
C) 72 horas desde la detección
D) 7 días naturales desde la detección

✅ Respuesta correcta: C
El RGPD (art. 33) establece que las brechas de seguridad que supongan un riesgo para derechos y libertades deben notificarse a la autoridad de control (AEPD en España) en un plazo de 72 horas desde que se tiene conocimiento de la brecha. Si el riesgo es alto, también hay que notificar a los afectados. El incumplimiento puede acarrear multas de hasta 10 millones de euros o 2% de la facturación.

Pregunta 5

En la estrategia de backup 3-2-1 aplicada al SAS, ¿qué significa cada número?

A) 3 backups diarios, 2 semanales, 1 mensual
B) 3 copias de datos, 2 tipos de soporte, 1 copia offsite
C) 3 años de retención, 2 CPDs, 1 cloud
D) 3 niveles de cifrado, 2 autenticaciones, 1 firewall

✅ Respuesta correcta: B
La regla 3-2-1 es una buena práctica de backup que establece: 3 copias de los datos (producción + 2 backups), en 2 tipos de soporte diferentes (por ejemplo, disco + cinta, o disco + cloud), con 1 copia offsite (fuera del sitio principal para proteger contra desastres físicos). Esta estrategia minimiza el riesgo de pérdida total de datos.

Pregunta 6

¿Cuál de las siguientes afirmaciones sobre la diferencia entre backup incremental y diferencial es CORRECTA?

A) El incremental copia todo desde el último full, el diferencial copia solo cambios desde el último backup
B) El incremental copia solo cambios desde el último backup, el diferencial copia todo desde el último full
C) Ambos copian lo mismo, solo cambia el método de compresión
D) El incremental es más rápido en backup pero más lento en restauración que el diferencial

✅ Respuesta correcta: D
El incremental copia solo cambios desde el último backup (sea full o incremental) → backup rápido, pero restauración lenta (necesitas full + TODOS los incrementales). El diferencial copia cambios desde el último full → backup más lento (cada día más grande), pero restauración más rápida (solo full + último diferencial). La B describe correctamente qué copia cada uno, pero la D es más completa al incluir las consecuencias prácticas.

Pregunta 7

En el ENS, ¿qué roles están definidos para la gestión de la seguridad de los sistemas de información?

A) Responsable de la Información, Responsable del Servicio, Responsable de Seguridad, Responsable del Sistema
B) Director TI, CISO, Auditor Interno, DPO
C) Administrador de Sistemas, Administrador de BBDD, Administrador de Red, Auditor
D) Propietario del Dato, Custodio del Dato, Usuario del Dato, Auditor del Dato

✅ Respuesta correcta: A
El ENS define específicamente estos 4 roles: Responsable de la Información (qué proteger), Responsable del Servicio (garantizar prestación), Responsable de Seguridad (diseñar medidas) y Responsable del Sistema (gestión técnica). Estos roles pueden ser desempeñados por distintas personas y deben estar segregados. La B menciona roles reales pero no son los del ENS. La C son roles técnicos específicos. La D es terminología de gobierno del dato, no del ENS.

Pregunta 8

Un ransomware cifra los servidores de Diraya a las 03:00h. El SOC lo detecta a las 03:15h y activa el DRP. Se restaura desde el Hot Site y el sistema vuelve a estar operativo a las 04:30h. ¿Cuál es el RTO real (RTA) en este incidente?

A) 15 minutos
B) 1 hora 15 minutos
C) 1 hora 30 minutos
D) 3 horas

✅ Respuesta correcta: C
El RTO real (llamado RTA – Recovery Time Actual) se mide desde el momento del incidente (03:00h) hasta la recuperación completa (04:30h) = 1 hora 30 minutos. No se mide desde la detección, sino desde el incidente. Los 15 minutos de la opción A sería el tiempo de detección. La B sería si se midiera desde la detección. La D incluiría tiempo previo al incidente.

Pregunta 9

Según la Directiva NIS2, ¿qué obligaciones tienen los operadores esenciales como el SAS en materia de ciberseguridad?

A) Solo implementar medidas técnicas básicas sin obligación de notificación
B) Medidas de gestión de riesgos + notificación de incidentes en 24h (alerta) y 72h (completa) + auditorías
C) Contratar un seguro de ciberriesgos obligatorio de mínimo 5 millones de euros
D) Obtener certificación ISO 27001 renovable anualmente

✅ Respuesta correcta: B
La Directiva NIS2 establece para operadores esenciales: medidas de gestión de riesgos (técnicas, organizativas), notificación de incidentes significativos (alerta en 24h, notificación completa en 72h), auditorías, y responsabilidad de la dirección. Las sanciones pueden llegar a 10 millones de euros o 2% facturación. La sanidad está explícitamente incluida como sector esencial. La A es insuficiente. La C no es obligatoria (aunque recomendable). La D no es requisito de NIS2.

Pregunta 10

¿Cuál es la base de legitimación del RGPD que permite a un médico del SAS acceder a la historia clínica de un paciente que está atendiendo SIN necesidad de pedir consentimiento expreso?

A) Interés legítimo del centro sanitario (art. 6.1.f RGPD)
B) Consentimiento implícito del paciente por acudir al hospital
C) Prestación de asistencia sanitaria (art. 9.2.h RGPD)
D) Obligación legal derivada de la Ley 41/2002

✅ Respuesta correcta: C
El artículo 9.2.h del RGPD permite tratar datos de salud (categoría especial) cuando sea necesario para «prestación de asistencia o tratamiento de tipo sanitario». Por tanto, un médico accediendo a Diraya para atender a un paciente NO necesita consentimiento expreso. La A es incorrecta porque el interés legítimo NO aplica a categorías especiales de datos. La B es incorrecta porque no existe «consentimiento implícito» en RGPD. La D es incorrecta porque la base no es la obligación legal sino la prestación sanitaria.

Pregunta 11

En un CPD del SAS, ¿cuál es la temperatura óptima recomendada para el correcto funcionamiento de los servidores?

A) 10-15°C
B) 20-22°C
C) 25-28°C
D) 30-35°C

✅ Respuesta correcta: B
La temperatura óptima en un CPD es 20-22°C. Temperaturas más bajas (A) aumentan el consumo energético innecesariamente. Temperaturas más altas (C, D) aumentan el riesgo de sobrecalentamiento y fallo de componentes. Los servidores generan mucho calor, por lo que la refrigeración es crítica. La humedad también debe controlarse (45-55%).

Pregunta 12

¿Por qué en los CPDs se utiliza gas inerte (FM-200, Novec 1230) en lugar de agua para extinguir incendios?

A) El gas inerte es más barato y ecológico
B) El agua destruiría los equipos electrónicos, el gas desplaza el oxígeno sin dañarlos
C) El gas actúa más rápido que el agua en todo tipo de incendios
D) La normativa europea prohíbe el agua en edificios públicos

✅ Respuesta correcta: B
El agua es conductora de electricidad y destruiría los equipos electrónicos. Los gases inertes desplazan el oxígeno (sofocando el fuego) sin dañar los equipos. Esto permite que, tras apagar el incendio, los servidores puedan recuperarse. La A es incorrecta (el gas es más caro). La C es incorrecta (el agua puede ser más rápida en otros contextos). La D es falsa.

Pregunta 13

¿Qué metodología de análisis de riesgos es la OFICIAL para las administraciones públicas españolas?

A) ISO 27005
B) NIST SP 800-30
C) MAGERIT
D) OCTAVE

✅ Respuesta correcta: C
MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) es la metodología oficial desarrollada por el CCN para las administraciones públicas españolas. Aunque las otras metodologías son válidas internacionalmente, MAGERIT es la referencia obligada en el sector público español. Incluye la herramienta PILAR para facilitar su aplicación.

Pregunta 14

En la segmentación de red de un hospital del SAS, ¿cuál de estas afirmaciones es CORRECTA?

A) La red clínica y la red administrativa pueden estar en la misma VLAN por eficiencia
B) La red WiFi de invitados debe tener acceso restringido a la red clínica para emergencias
C) La red clínica, administrativa, IoT médico y WiFi invitados deben estar en VLANs separadas con firewalls entre ellas
D) No es necesaria segmentación si todos los dispositivos tienen antivirus actualizado

✅ Respuesta correcta: C
La segmentación de red es una medida de seguridad fundamental. Cada tipo de red debe estar en su propia VLAN: clínica (solo profesionales sanitarios), administrativa (separada de la clínica), IoT médico (dispositivos conectados, muy vulnerables), WiFi invitados (totalmente aislada). Entre ellas debe haber firewalls con políticas restrictivas. La A es peligrosa (mezclar clínica y administrativa). La B es incorrecta (WiFi invitados NUNCA debe acceder a redes internas). La D es ingenua.

Pregunta 15

¿Cuál es el plazo máximo establecido por el ENS para aplicar un parche de seguridad clasificado como CRÍTICO?

A) 24 horas
B) 7 días naturales
C) 15 días naturales
D) 30 días naturales

✅ Respuesta correcta: B
El ENS establece plazos según criticidad del parche: Crítico: 7 días, Alto: 30 días, Medio: 90 días. Estos son plazos máximos desde que el fabricante publica el parche. En la práctica, para sistemas críticos como Diraya, los parches críticos se aplican lo antes posible (a veces en horas si hay explotación activa), pero el mínimo legal son 7 días.

Pregunta 16

¿Qué diferencia fundamental existe entre un IDS y un IPS en seguridad de redes?

A) El IDS solo detecta y alerta, el IPS detecta y bloquea automáticamente
B) El IDS trabaja en capa 2, el IPS en capa 3
C) El IDS es hardware, el IPS es software
D) No hay diferencia, son términos sinónimos

✅ Respuesta correcta: A
IDS (Intrusion Detection System): Detecta comportamientos sospechosos y ALERTA (modo pasivo). IPS (Intrusion Prevention System): Detecta Y BLOQUEA automáticamente (modo activo). El IPS está en línea con el tráfico y puede interrumpirlo. El IDS observa una copia del tráfico. Ambos son complementarios: IDS para monitorización sin riesgo de falsos positivos que corten servicios, IPS para protección activa en perímetros críticos.

Pregunta 17

En el SAS, ¿durante cuánto tiempo deben conservarse como MÍNIMO las historias clínicas según la Ley 41/2002?

A) 1 año desde el alta
B) 3 años desde el alta
C) 5 años desde el alta de cada proceso asistencial
D) 10 años desde el alta

✅ Respuesta correcta: C
La Ley 41/2002 establece un mínimo de 5 años desde la fecha de alta de cada proceso asistencial. Algunos documentos específicos (informes de quirófano, consentimientos de intervenciones graves) pueden requerir conservación más larga (hasta 20 años). Esta obligación legal determina las políticas de retención de backups: no puedes borrar datos de historias clínicas antes de cumplir el plazo legal.

Pregunta 18

¿Qué es un backup inmutable (WORM) y por qué es importante frente al ransomware?

A) Backup que se puede leer y escribir múltiples veces para ahorrar espacio
B) Backup que una vez escrito no se puede modificar ni borrar durante el periodo de retención
C) Backup que se cifra automáticamente con AES-256
D) Backup que solo funciona con cintas magnéticas

✅ Respuesta correcta: B
WORM (Write Once, Read Many) significa que el backup una vez escrito, no se puede modificar ni borrar hasta que expire su periodo de retención. Esto protege contra ransomware moderno que no solo cifra datos en producción, sino que también busca y destruye backups. Ni siquiera el administrador puede borrar un backup inmutable. Se implementa con cintas físicas, Object Storage con Object Lock, o appliances específicos.

Pregunta 19

El CCN-CERT es el CSIRT gubernamental de España. ¿Cuál de estas funciones le corresponde?

A) Solo emisión de guías CCN-STIC, sin funciones operativas
B) Respuesta a incidentes en administraciones públicas + alertas + certificación ENS + guías CCN-STIC
C) Respuesta a incidentes en empresas privadas y ciudadanos
D) Legislación sobre ciberseguridad y regulación del sector

✅ Respuesta correcta: B
El CCN-CERT tiene funciones amplias: respuesta a incidentes en AAPP y sectores estratégicos, alertas tempranas, emisión de guías CCN-STIC (más de 800 documentos técnicos), certificación ENS, y formación. La C es función de INCIBE (no CCN-CERT). La D es función del legislador, no del CCN-CERT. El SAS debe notificar incidentes graves al CCN-CERT.

Pregunta 20

En la autenticación multifactor (MFA), ¿cuáles son los tres factores de autenticación?

A) Usuario, contraseña, PIN
B) Algo que sabes, algo que tienes, algo que eres
C) Certificado digital, token físico, biometría
D) Firewall, antivirus, IDS

✅ Respuesta correcta: B
Los tres factores de autenticación son: Algo que sabes (contraseña, PIN), Algo que tienes (móvil, token físico, tarjeta), Algo que eres (biometría: huella, facial, iris). MFA significa usar AL MENOS dos factores de categorías DIFERENTES. La A usa tres cosas que sabes (no es MFA real). La C son ejemplos específicos de los factores, pero no la definición conceptual. La D no tiene nada que ver con autenticación.

Pregunta 21

¿Qué es el ciclo PDCA aplicado a la gestión de la seguridad?

A) Plan-Document-Control-Audit (planificar, documentar, controlar, auditar)
B) Plan-Do-Check-Act (planificar, hacer, verificar, actuar/mejorar)
C) Prevent-Detect-Contain-Analyze (prevenir, detectar, contener, analizar)
D) Policy-Deploy-Check-Approve (política, desplegar, verificar, aprobar)

✅ Respuesta correcta: B
PDCA (también llamado ciclo de Deming) es: Plan (planificar: análisis de riesgos, definir medidas), Do (hacer: implementar medidas), Check (verificar: auditorías, métricas), Act (actuar/mejorar: corregir desviaciones, mejora continua). Es un ciclo iterativo: después de Act vuelves a Plan. Es la base de sistemas de gestión como ISO 27001 y el ENS.

Pregunta 22

En el contexto del SAS, ¿qué sistema es responsabilidad de un Delegado de Protección de Datos (DPO)?

A) Solo gestionar incidentes de seguridad técnicos
B) Supervisar el cumplimiento del RGPD, informar y asesorar, cooperar con AEPD
C) Administrar las bases de datos de Diraya
D) Diseñar la arquitectura de red del hospital

✅ Respuesta correcta: B
El DPO (art. 37-39 RGPD) tiene funciones de supervisión del cumplimiento RGPD, informar y asesorar a la organización, cooperar con la autoridad de control (AEPD), ser punto de contacto para interesados. Es OBLIGATORIO en AAPP. Su posición es independiente (no recibe instrucciones sobre cómo hacer su trabajo). La A es función del CSIRT. La C es función del DBA. La D es función del arquitecto de redes.

Pregunta 23

¿Qué diferencia existe entre TDE (Transparent Data Encryption) y cifrado en tránsito (TLS)?

A) TDE cifra datos en reposo (BBDD), TLS cifra datos en tránsito (comunicaciones)
B) TDE es para Windows, TLS es para Linux
C) TDE usa cifrado simétrico, TLS usa cifrado asimétrico
D) No hay diferencia, son el mismo protocolo

✅ Respuesta correcta: A
TDE (Transparent Data Encryption) cifra datos en reposo (almacenados en disco: bases de datos, ficheros). Si alguien roba el disco duro, no puede leer los datos sin las claves. TLS (Transport Layer Security) cifra datos en tránsito (durante la comunicación por red). Protege contra interceptación (man-in-the-middle). Ambos son complementarios y necesarios. En Diraya se usa TDE para las BBDD y TLS 1.3 para las comunicaciones.

Pregunta 24

Según la Estrategia de Ciberseguridad de Andalucía, ¿qué es el CSIRT Andaluz?

A) Centro de formación en ciberseguridad
B) Equipo de respuesta a incidentes de ciberseguridad de la administración autonómica
C) Empresa privada contratada para auditorías
D) Departamento de marketing digital de la Junta

✅ Respuesta correcta: B
El CSIRT Andaluz (Computer Security Incident Response Team) es el equipo autonómico de respuesta a incidentes de ciberseguridad. Coordina la respuesta en la administración autonómica (incluido el SAS), colabora con CCN-CERT en incidentes graves, emite alertas y recomendaciones. El SAS debe notificar incidentes graves al CSIRT Andaluz, que evalúa si requiere escalado a CCN-CERT.

Pregunta 25

¿Qué es el hardening de servidores?

A) Aumentar la RAM y CPU de los servidores
B) Proceso de endurecimiento: desinstalar lo innecesario, deshabilitar servicios no usados, aplicar configuraciones seguras
C) Instalar solo sistemas operativos Windows Server
D) Comprar hardware más resistente físicamente

✅ Respuesta correcta: B
El hardening (endurecimiento) es el proceso de asegurar un servidor aplicando configuraciones que reducen su superficie de ataque: desinstalar software innecesario, deshabilitar servicios no usados, configurar auditoría, permisos restrictivos, etc. Se usan guías como los CIS Benchmarks. Principio: «Si no se usa, no debe estar instalado». La A es sobre rendimiento, no seguridad. La C es falsa (se puede hacer hardening en cualquier SO). La D confunde hardening con resistencia física.

Pregunta 26

¿Qué es un SIEM y para qué se utiliza en el SAS?

A) Sistema de copias de seguridad incrementales
B) Security Information and Event Management – Correlaciona logs de todos los sistemas para detectar incidentes
C) Software de inventario de equipos
D) Sistema de gestión de identidades (IAM)

✅ Respuesta correcta: B
El SIEM (Security Information and Event Management) es el cerebro del SOC. Recopila logs de TODOS los sistemas (servidores, firewalls, aplicaciones, bases de datos…) y los correlaciona para detectar patrones sospechosos. Ejemplo: detecta que un usuario accede desde Madrid y 5 minutos después desde Sevilla → alerta de posible compromiso de cuenta. En el SAS es fundamental para detectar accesos indebidos a Diraya, intentos de intrusión, etc.

Pregunta 27

En un análisis BIA (Business Impact Analysis) para Diraya, ¿qué parámetro define el tiempo máximo que el servicio puede estar caído sin causar un impacto catastrófico?

A) RPO (Recovery Point Objective)
B) RTO (Recovery Time Objective)
C) MTD (Maximum Tolerable Downtime)
D) SLA (Service Level Agreement)

✅ Respuesta correcta: C
El MTD (Maximum Tolerable Downtime) es el tiempo máximo que un proceso de negocio puede estar sin funcionar antes de causar un impacto inaceptable o catastrófico. Del MTD se deriva el RTO (debe ser inferior al MTD). Por ejemplo, para urgencias de un hospital, el MTD puede ser casi cero (cualquier caída pone vidas en riesgo). El RTO es el objetivo de recuperación técnica. El RPO es sobre datos, no tiempo. El SLA es un acuerdo contractual.

Pregunta 28

¿Cuál de estas afirmaciones sobre la política Clear Desk (escritorio limpio) es CORRECTA?

A) Solo aplica a directivos, no al personal técnico
B) Consiste en mantener el escritorio físicamente ordenado por estética
C) Obliga a no dejar documentos con datos personales en mesas al final de la jornada y destruir documentos de forma segura
D) Es una recomendación opcional sin consecuencias por incumplimiento

✅ Respuesta correcta: C
La política Clear Desk es una medida organizativa que obliga a no dejar documentos con datos personales/confidenciales en mesas al final de la jornada, guardar documentos bajo llave, destruir documentos de forma segura (trituradoras certificadas), orientar pantallas para que no sean visibles desde zonas públicas. Es obligatoria para TODO el personal que maneje datos sensibles (no solo directivos) y su incumplimiento puede tener consecuencias disciplinarias.

Pregunta 29

Según la Ley 8/2011 de Infraestructuras Críticas, el SAS es considerado operador crítico. ¿Qué implica esta designación?

A) Obligación de elaborar un Plan de Seguridad del Operador (PSO) y someterlo a inspección
B) Exención de cumplir el RGPD por ser sector estratégico
C) Prioridad en la asignación de presupuesto público
D) Derecho a usar criptografía militar clasificada

✅ Respuesta correcta: A
Ser operador crítico según Ley 8/2011 implica obligaciones: elaborar un Plan de Seguridad del Operador (PSO) que incluya análisis de riesgos, medidas de protección (físicas, técnicas, organizativas), planes de contingencia, protocolos de comunicación con autoridades. El PSO debe actualizarse periódicamente y puede ser inspeccionado por el Ministerio del Interior. La B es falsa (el RGPD aplica igual). La C es falsa (no hay prioridad presupuestaria automática). La D es falsa.

Pregunta 30

En el modelo de responsabilidad compartida de la seguridad en cloud, ¿de qué es responsable el cliente (SAS) cuando contrata IaaS (Infrastructure as a Service)?

A) Solo de las aplicaciones, el proveedor se encarga de todo lo demás
B) De todo: desde el hardware físico hasta las aplicaciones
C) Del sistema operativo, middleware, aplicaciones, datos y configuración de seguridad. El proveedor del hardware, red y virtualización
D) De nada, el proveedor cloud es responsable de toda la seguridad

✅ Respuesta correcta: C
En IaaS (Infrastructure as a Service), el proveedor es responsable de la infraestructura física (hardware, red, hipervisor). El cliente es responsable del sistema operativo, middleware, runtime, aplicaciones, datos y configuración de seguridad (firewall virtual, cifrado, control de acceso, backups…). Es el modelo de mayor responsabilidad para el cliente. En PaaS el proveedor asume más (SO, middleware). En SaaS el proveedor asume casi todo. Pero en cualquier caso, el cliente SIEMPRE es responsable de sus datos.

✅ Evaluación completada

Baremo orientativo:

27-30 correctas (90-100%): Excelente. Dominas el tema.
24-26 correctas (80-89%): Muy bien. Pequeños repasos y estarás listo.
21-23 correctas (70-79%): Bien. Repasa las áreas donde has fallado.
18-20 correctas (60-69%): Aprobado justo. Necesitas repasar más a fondo.
< 18 correctas (< 60%): Insuficiente. Vuelve a estudiar el tema completo.

Recuerda: En la oposición real, aprobar suele requerir al menos 70-75% de aciertos. No te conformes con menos.

12. Referencias Bibliográficas y Normativas

12.1. Normativa Europea

Reglamento (UE) 2016/679 (RGPD) – Reglamento General de Protección de Datos
Directiva (UE) 2022/2555 (NIS2) – Directiva sobre medidas para un nivel común elevado de ciberseguridad en la Unión
Reglamento eIDAS (UE) 910/2014 – Identificación electrónica y servicios de confianza

12.2. Normativa Nacional

Real Decreto 311/2022 – Esquema Nacional de Seguridad (ENS)
Ley Orgánica 3/2018 (LOPDGDD) – Protección de Datos Personales y garantía de los derechos digitales
Ley 41/2002 – Autonomía del paciente y derechos y obligaciones en materia de información y documentación clínica
Ley 8/2011 – Medidas de protección de infraestructuras críticas
Real Decreto Legislativo 5/2015 – Estatuto Básico del Empleado Público

12.3. Normativa Autonómica (Andalucía)

Decreto 534/2021 – Administración Electrónica del Servicio Andaluz de Salud
Ley 2/1998 – Ley de Salud de Andalucía
Estrategia de Ciberseguridad de Andalucía 2022-2025
Plan de Transformación Digital del SSPA 2022-2027

12.4. Estándares Internacionales

ISO/IEC 27001:2022 – Sistemas de Gestión de Seguridad de la Información
ISO/IEC 27002:2022 – Código de buenas prácticas para controles de seguridad
ISO/IEC 27005:2022 – Gestión de riesgos de seguridad de la información
ISO/IEC 27017:2015 – Controles de seguridad para servicios cloud
ISO/IEC 27018:2019 – Protección de datos personales en cloud
ISO/IEC 27799:2016 – Gestión de seguridad de información en salud

12.5. Guías y Metodologías

MAGERIT v3 – Metodología de Análisis y Gestión de Riesgos (CCN)
Guías CCN-STIC – Serie de guías técnicas del Centro Criptológico Nacional
NIST SP 800-53 – Security and Privacy Controls for Information Systems
CIS Benchmarks – Center for Internet Security – Guías de configuración segura

12.6. Bibliografía Técnica Recomendada

ITIL 4 Foundation – AXELOS. Gestión de Servicios TI
COBIT 2019 – ISACA. Framework de gobierno y gestión de TI empresarial
«Seguridad en Sistemas Informáticos» – Manuel José Fernández (McGraw-Hill)
«Hacking Ético» – Carlos Tori (Ra-Ma)

12.7. Recursos Online

CCN-CERT: https://www.ccn-cert.cni.es
INCIBE: https://www.incibe.es
ENISA: https://www.enisa.europa.eu
AEPD: https://www.aepd.es
Junta de Andalucía – CSIRT Andaluz: https://www.juntadeandalucia.es