Argumentación: Una auditoría informática es un examen sistemático, objetivo e independiente de los sistemas de información que tiene como finalidad evaluar múltiples dimensiones: seguridad (protección contra amenazas), integridad (datos no modificados sin autorización), disponibilidad (sistemas operativos cuando se necesitan), cumplimiento normativo y eficiencia operativa. Esta es la definición estándar según ISO 19011, COBIT 2019 e ISACA.

Argumentación: El artículo 34 del Real Decreto 311/2022 (ENS) establece expresamente que los sistemas de información de categoría ALTA deben someterse a auditoría regular al menos una vez al año. Esta periodicidad refleja la criticidad de estos sistemas (como Diraya, InterSAS, BPS en el SAS) que gestionan información sensible y proporcionan servicios esenciales. La auditoría debe ser realizada por auditores independientes cualificados.

Argumentación: La auditoría de seguridad evalúa específicamente los controles de seguridad de la infraestructura tecnológica: seguridad en redes (firewalls, IDS/IPS), servidores (hardening, parches), aplicaciones (vulnerabilidades), bases de datos (accesos, cifrado), controles de acceso, autenticación, gestión de vulnerabilidades y análisis de riesgos. En el SAS, incluiría evaluación de seguridad perimetral del CPD, seguridad de servidores Oracle y protección de comunicaciones InterSAS.

Argumentación: El ENS (medida op.exp.8 – Registro de actividad) exige que los registros de auditoría sean centralizados, protegidos en integridad (para evitar alteraciones), conservados durante períodos mínimos (2-3 años para ALTO, 1-2 años para MEDIO) y que incluyan información de trazabilidad completa: quién, qué, cuándo, desde dónde, resultado de la acción. En el SAS esto implica herramientas SIEM como Splunk o ELK Stack para centralización, y protección criptográfica de logs.

Argumentación: Las certificaciones ISO 27001 (Seguridad de la Información) e ISO 20000 (Gestión de Servicios TI) tienen un ciclo de certificación de 3 años. Durante este período, se realizan auditorías de seguimiento anuales (años 1 y 2) y al tercer año se ejecuta una auditoría de recertificación completa que renueva el certificado por otros 3 años. Este esquema está establecido por organismos de acreditación como ENAC y aplica globalmente según IAF (International Accreditation Forum).

Argumentación: La norma ISO/IEC 29119 es el estándar internacional específico para procesos de pruebas de software (Software Testing). Establece conceptos, procesos, documentación y técnicas de testing en todo el ciclo de vida del desarrollo. En auditorías de desarrollo de aplicaciones del SAS (como nuevos módulos de Diraya o actualizaciones de BPS), se verifica el cumplimiento de esta norma: plan de pruebas, casos de prueba, pruebas unitarias/integración/sistema, trazabilidad de requisitos, informes de defectos y criterios de aceptación.

Argumentación: La diferencia fundamental radica en la INDEPENDENCIA organizativa. Auditoría interna: realizada por empleados de la propia entidad (departamento de auditoría interna del SAS), conocen a fondo la organización, menor coste, disponibilidad continua, pero menor independencia. Auditoría externa: realizada por consultoras o auditores externos independientes, máxima objetividad, experiencia multisectorial, obligatoria para ENS ALTO y certificaciones ISO, pero mayor coste y curva de aprendizaje inicial. El ENS exige auditoría externa para categoría ALTA precisamente por la mayor independencia que garantiza.

Argumentación: El Real Decreto 311/2022 (ENS) establece en su artículo 34 que los sistemas de categoría MEDIA deben auditarse cada 2 años. Estos sistemas tienen menor criticidad que los ALTO pero mayor que BAJO. En el SAS, ejemplos serían: ClicSalud+ (portal ciudadano sin datos críticos de historia clínica completa), gestores documentales hospitalarios, sistemas de gestión administrativa. La auditoría puede ser realizada por auditor externo independiente o equipo interno con formación especializada.

Argumentación: MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) es la metodología oficial desarrollada por el CCN-CERT (Centro Criptológico Nacional) específicamente para el sector público español. El ENS la menciona como metodología de referencia para realizar análisis de riesgos. MAGERIT está alineada con ISO 31000 y permite identificar activos, amenazas, vulnerabilidades, impactos y salvaguardas. Incluye la herramienta PILAR para su aplicación práctica. En auditorías ENS del SAS se verifica que el análisis de riesgos se haya realizado siguiendo MAGERIT o metodología equivalente.

Argumentación: El Anexo A de la norma ISO/IEC 27001:2022 (versión actualizada vigente) contiene exactamente 93 controles de seguridad organizados en 4 categorías: Controles Organizacionales (37), Controles de Personas (8), Controles Físicos (14) y Controles Tecnológicos (34). En una auditoría ISO 27001 se evalúa la Declaración de Aplicabilidad (SoA) donde la organización declara qué controles aplican a su contexto. NO todos los 93 controles son obligatorios implementar, pero SÍ deben evaluarse todos para justificar cuáles aplican y cuáles se excluyen con argumentación documentada.

Argumentación: La norma ISO 19011 (Directrices para auditoría de sistemas de gestión) establece 7 principios de auditoría, siendo la INDEPENDENCIA el que específicamente exige que los auditores sean independientes de la actividad auditada y actúen de manera objetiva y libre de conflictos de interés. Esto garantiza imparcialidad en hallazgos y conclusiones. Un auditor NO puede auditar procesos de los que sea responsable, áreas donde tenga intereses personales o donde existan relaciones que comprometan objetividad. En el SAS, un administrador de sistemas NO podría auditar su propia infraestructura.

Argumentación: El ENS establece en la medida op.exp.8 (Registro de actividad) que los registros de auditoría de sistemas de categoría ALTA deben conservarse entre 2 y 3 años. Este período permite investigaciones forenses profundas, auditorías retrospectivas, análisis de patrones de acceso a largo plazo y cumplimiento de obligaciones legales (RGPD requiere capacidad de demostrar cumplimiento). En el SAS, sistemas como Diraya deben mantener logs de accesos a historias clínicas durante este período para garantizar trazabilidad completa ante posibles incidentes de privacidad o reclamaciones de pacientes.

Argumentación: ISO/IEC 20000 es el estándar internacional de Gestión de Servicios de TI (IT Service Management – ITSM), basado en las mejores prácticas de ITIL 4. Evalúa procesos como gestión de incidencias, problemas, cambios, configuración, niveles de servicio (SLAs), continuidad, capacidad. Es complementaria a ISO 27001 porque mientras 27001 se centra en SEGURIDAD de la información, 20000 se centra en CALIDAD y EFICIENCIA de servicios TI. En auditorías del SAS, ISO 20000 verifica que el soporte técnico, mantenimiento de Diraya, gestión de cambios en sistemas críticos y atención a usuarios se prestan con calidad medible mediante KPIs.

Argumentación: Diraya es el sistema corporativo de Historia Clínica Digital del SAS, clasificado como ENS ALTO por contener datos de salud de categoría especial (art. 9 RGPD), afectar a 8,5 millones de usuarios, ser crítico para la prestación sanitaria y tener impacto muy alto en confidencialidad, integridad y disponibilidad. Como ENS ALTO, requiere auditoría anual obligatoria por auditor externo independiente. Otros sistemas ENS ALTO del SAS incluyen: InterSAS (interoperabilidad), BPS (Base de Población y Receta Electrónica) y BDU (Base de Datos de Usuarios).

Argumentación: El CCN-CERT (Centro Criptológico Nacional – Capacidad de Respuesta a Incidentes de Seguridad de la Información) es el organismo dependiente del CNI que coordina la ciberseguridad en el sector público español. Emite las guías CCN-STIC (Serie de Normas Técnicas de Seguridad de las TIC) que complementan el ENS con directrices prácticas. Ejemplos: CCN-STIC 808 (guía de auditoría ENS), CCN-STIC 807 (criptología), CCN-STIC 814 (seguridad en DevOps). Coordina respuestas ante ciberataques al sector público, alertas de vulnerabilidades y certificación de auditores ENS.

Argumentación: Las herramientas SIEM (como Splunk, ELK Stack, IBM QRadar, ArcSight) agregan, centralizan, correlacionan y analizan logs de múltiples fuentes (firewalls, servidores, aplicaciones, bases de datos). Permiten detección de amenazas en tiempo real, análisis forense, cumplimiento normativo (ENS, RGPD), alertas automatizadas y generación de informes de auditoría. En auditorías del SAS se verifica que existe SIEM operativo, que todos los sistemas críticos envían logs, que hay alertas configuradas para eventos de seguridad y que los logs están protegidos en integridad.

Argumentación: DPIA (Data Protection Impact Assessment), en español EIPD (Evaluación de Impacto en la Protección de Datos), es obligatoria según artículo 35 RGPD cuando un tratamiento, especialmente con nuevas tecnologías, entrañe alto riesgo para derechos y libertades. Ejemplos obligatorios: elaboración de perfiles a gran escala, tratamiento masivo de datos sensibles (salud, datos biométricos), observación sistemática de zonas públicas (videovigilancia masiva). En el SAS, Diraya requiere EIPD por tratamiento masivo de datos de salud. La EIPD incluye: descripción del tratamiento, evaluación de necesidad/proporcionalidad, análisis de riesgos y medidas de mitigación.

Argumentación: La Fase de Trabajo de Campo (Field Work) es donde se recopilan evidencias mediante: revisión documental (políticas, procedimientos, manuales), entrevistas estructuradas (con responsables TI, DPO, administradores de sistemas, usuarios), análisis técnico (revisión de configuraciones, logs, análisis de código), pruebas de seguridad (escaneo de vulnerabilidades, pruebas de penetración), observación directa de controles y verificación de cumplimiento de medidas. Dura típicamente 4-8 semanas en auditorías ENS del SAS. Es la fase más extensa e intensiva en recursos, donde auditores obtienen datos objetivos para fundamentar hallazgos.

Argumentación: El Real Decreto 1112/2018 transpone la Directiva UE 2016/2102 estableciendo obligación de que sitios web y apps móviles del sector público sean accesibles cumpliendo nivel AA de WCAG 2.1 (Web Content Accessibility Guidelines). Incluye: declaración de accesibilidad, mecanismo de feedback, auditorías periódicas, excepciones documentadas. En auditorías del SAS se verifica: cumplimiento WCAG 2.1 AA en ClicSalud+, portales de cita previa, apps móviles; existencia de declaración de accesibilidad actualizada; canal de comunicación para incidencias de accesibilidad; contraste de colores, navegación por teclado, textos alternativos en imágenes.

Argumentación: SGSI (en inglés ISMS – Information Security Management System) es el sistema estructurado de gestión que incluye políticas, procedimientos, procesos, recursos humanos, tecnología y controles para gestionar riesgos de seguridad de la información de manera sistemática. Basado en ciclo PDCA (Planificar-Hacer-Verificar-Actuar), incluye: política de seguridad, análisis de riesgos (identificación de activos, amenazas, vulnerabilidades), tratamiento de riesgos (implementación de controles del Anexo A ISO 27001), monitorización continua, auditorías internas, revisión por dirección, mejora continua. ISO 27001 certifica que una organización ha implementado un SGSI robusto y conforme a estándares internacionales.

Argumentación: El RGPD prohíbe en principio el tratamiento de datos de salud (categoría especial – art. 9.1) pero el artículo 9.2.h establece una excepción: el tratamiento es lícito cuando sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia sanitaria o tratamiento de tipo sanitario o social, o gestión de sistemas y servicios de asistencia sanitaria o social. Además, requiere base del artículo 6 (habitualmente interés público – 6.1.e para AAPP sanitarias o protección de intereses vitales – 6.1.d). En el SAS, Diraya trata datos de salud bajo art. 9.2.h + 6.1.e, sin necesitar consentimiento explícito del paciente para asistencia.

Argumentación: El artículo 33 del RGPD establece que el responsable del tratamiento debe notificar a la autoridad de control (AEPD en España) las violaciones de seguridad de datos personales en un plazo de 72 horas desde que tuvo constancia de ella, salvo que sea improbable que entrañe riesgo para derechos y libertades de las personas. La notificación debe incluir: naturaleza de la violación, categorías y número aproximado de interesados afectados, datos de contacto del DPO, descripción de consecuencias probables y medidas adoptadas o propuestas. Si la brecha supone alto riesgo, además debe comunicarse a los interesados afectados sin dilación indebida (art. 34). En el SAS, una brecha en Diraya requiere notificación inmediata a AEPD.

Argumentación: CISA, emitida por ISACA (Information Systems Audit and Control Association), es la certificación GOLD STANDARD para auditores de sistemas de información reconocida globalmente. Cubre: proceso de auditoría, gobernanza y gestión de TI, adquisición/desarrollo/implementación de sistemas, operaciones/mantenimiento/soporte, protección de activos de información. Requiere experiencia profesional (5 años en auditoría/seguridad/control TI) y examen riguroso. En el SAS, tener CISA acredita competencia profesional para realizar auditorías ENS, ISO 27001, cumplimiento RGPD. Otras certificaciones ISACA complementarias: CISM (gestión seguridad), CRISC (riesgos TI).

Argumentación: El diseño gráfico de la interfaz (UI/UX) NO es objeto de auditoría de bases de datos. Las auditorías de BBDD se centran en aspectos técnicos de seguridad, integridad, disponibilidad y cumplimiento: control de accesos (principio de mínimo privilegio, segregación de funciones), cifrado (TDE – Transparent Data Encryption, SSL/TLS en conexiones), logs de auditoría (quién accedió a qué datos), backups (frecuencia, integridad, ubicación offsite, pruebas de recuperación), parches de seguridad, configuración segura, gestión de vulnerabilidades. El diseño gráfico es responsabilidad de auditoría de aplicaciones a nivel de usabilidad/accesibilidad, NO de auditoría de BBDD a nivel de infraestructura de datos.

Argumentación: Nessus (Tenable) y OpenVAS (Open Vulnerability Assessment System) son herramientas especializadas de escaneo de vulnerabilidades. Detectan: puertos abiertos, servicios expuestos, versiones de software con vulnerabilidades conocidas (CVE), configuraciones inseguras, parches faltantes, credenciales débiles, malware. Generan informes con criticidad (crítico, alto, medio, bajo), descripción técnica de vulnerabilidades, impacto potencial y recomendaciones de remediación. En auditorías del SAS se usan para escanear servidores, firewall, switches, aplicaciones web, identificando vectores de ataque. Otras herramientas similares: Qualys, Rapid7 Nexpose, Acunetix (web apps).

Argumentación: El RD 311/2022 (ENS) establece auditorías obligatorias para categorías ALTA (anual) y MEDIA (bienal), pero para categoría BAJA la auditoría NO es obligatoria, aunque SÍ recomendada aproximadamente cada 3 años como buena práctica. Los sistemas BAJO tienen impacto limitado en seguridad: afectan a pocas personas, datos no sensibles, servicios no críticos. Ejemplos BAJO en SAS: aplicaciones de gestión interna no críticas, herramientas ofimáticas colaborativas, sistemas de registro horario. Aunque no requieren auditoría externa formal, deben cumplir medidas ENS proporcionales a su categoría.

Argumentación: El ENS establece en la medida op.exp.8 (Registro de actividad) que los logs deben garantizar trazabilidad completa mediante las «5 W»: WHO (quién – usuario/proceso), WHAT (qué – acción realizada: acceso, modificación, borrado), WHEN (cuándo – fecha y hora con precisión de segundos), WHERE (dónde – sistema, recurso, registro específico accedido), RESULT (resultado – éxito/fallo, código de error). Esta información permite investigaciones forenses, auditorías retrospectivas, detección de accesos indebidos y cumplimiento del principio de no repudio. En Diraya: registrar quién accedió a qué historia clínica, cuándo, desde qué terminal, con qué resultado.

Argumentación: ISO/IEC 20000 está basada en el marco de mejores prácticas ITIL 4 (Information Technology Infrastructure Library), desarrollado originalmente por el gobierno británico y ahora gestionado por AXELOS. ITIL proporciona guías detalladas sobre gestión de servicios TI: gestión de incidencias (restaurar servicio rápido), gestión de problemas (análisis causa raíz), gestión de cambios (minimizar riesgo en modificaciones), gestión de configuración (CMDB actualizada), gestión de niveles de servicio (SLAs, OLAs), gestión de continuidad. ISO 20000 certifica que una organización implementa estas prácticas con enfoque de sistema de gestión (PDCA). En auditorías del SAS, ISO 20000 verifica que soporte técnico, mantenimiento de Diraya y gestión de cambios siguen procesos estructurados ITIL.

Argumentación: HL7 (Health Level Seven) es el estándar internacional para intercambio de información sanitaria entre sistemas heterogéneos. FHIR (Fast Healthcare Interoperability Resources) es la versión moderna de HL7 basada en APIs RESTful, JSON/XML y recursos modulares (Patient, Observation, MedicationRequest, etc.). En auditorías de desarrollo de aplicaciones sanitarias del SAS se verifica: cumplimiento de estándares HL7/FHIR para interoperabilidad con InterSAS (sistema de interoperabilidad andaluz), intercambio de historia clínica entre hospitales, integración con receta electrónica, envío de informes a registros centrales (CMBD – Conjunto Mínimo Básico de Datos). Otros estándares relevantes: IHE (Integrating Healthcare Enterprise), DICOM (imágenes médicas), SNOMED-CT/CIE-10 (terminología clínica).

Argumentación: La Ley 19/2013 establece el derecho de ciudadanos a acceder a información pública en poder de Administraciones Públicas, incluyendo informes de auditoría, contratos, presupuestos, subvenciones. El artículo 20 regula límites al derecho de acceso cuando pueda perjudicar: seguridad pública, defensa, relaciones exteriores, seguridad de sistemas e infraestructuras críticas, investigaciones en curso, secreto profesional, propiedad intelectual, datos personales. En el SAS, los informes de auditoría ENS de sistemas críticos como Diraya pueden contener información sensible sobre vulnerabilidades que, si se publica íntegramente, podría facilitar ciberataques. Por ello, se publican versiones resumidas SIN detalles técnicos de vulnerabilidades específicas, cumpliendo transparencia pero protegiendo seguridad. El Consejo de Transparencia y Buen Gobierno resuelve reclamaciones sobre denegaciones de acceso.