OposAs / Categorías SAS / Volver a Técnico/a Especialista en Informática / Tema 35

Tema 35. La seguridad de las tecnologías de la información: objetivos, estrategias, políticas, organización y planificación. La evaluación y certificación de la seguridad de las tecnologías de la información. Medidas de seguridad (físicas, técnicas, organizativas y legales). Planes de contingencia y recuperación ante desastres. Respaldo y continuidad. Política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y del Servicio Andaluz de Salud. Estrategia Europea, Nacional y Andaluza de Ciberseguridad.

Tema específico de Técnico/a Especialista en Informática
Probar demo gratis

1. La seguridad de las tecnologías de la información: objetivos, estrategias, políticas, organización y planificación

🎯 Idea clave

  • La seguridad TIC en la Junta de Andalucía se articula mediante un marco normativo específico encabezado por el Decreto 1/2011, modificado posteriormente por el Decreto 70/2017 y complementado por el Decreto 171/2020.
  • Los objetivos de la política combinan garantías técnicas, concienciación del personal, modelo integral de gestión y cumplimiento legislativo según el artículo 4 del Decreto 1/2011.
  • La Estrategia Andaluza de Ciberseguridad 2022-2026 constituye el instrumento general de planificación estratégica que orienta la hoja de ruta de la comunidad autónoma.
  • La organización se estructura en un modelo de gobernanza con el Comité de Seguridad TIC como órgano estratégico y la Unidad de Seguridad TIC Corporativa como ejecutora de funciones transversales.
  • La política del SAS extiende el marco autonómico al ámbito sanitario con obligado cumplimiento para todos sus centros, servicios y personas usuarias.

📚 Desarrollo

Marco normativo fundacional. El Decreto 1/2011, de 11 de enero, establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, posteriormente modificado por el Decreto 70/2017 y complementado por el Decreto 171/2020 en materia de seguridad interior. Esta normativa define tres principios vertebrales que sustentan toda la arquitectura de seguridad: confidencialidad, integridad y calidad, y disponibilidad y continuidad de los servicios.

Objetivos de la política. El artículo 4 del Decreto 1/2011 determina cuatro objetivos esenciales: garantizar a la ciudadanía andaluza que sus datos personales se gestionan conforme a estándares y buenas prácticas de seguridad; aumentar el nivel de concienciación en materia de seguridad TIC del personal al servicio de la Administración; establecer las bases de un modelo integral de gestión de la seguridad; y garantizar el cumplimiento de la legislación vigente aplicable. Estos objetivos revelan una concepción multidimensional que abarca aspectos técnicos, organizativos, culturales y de confianza pública.

Estrategia de planificación. La Estrategia Andaluza de Ciberseguridad 2022-2025, prorrogada al ejercicio 2026 por Acuerdo del Consejo de Gobierno de 30 de diciembre de 2025, constituye el instrumento general de planificación de las políticas de ciberseguridad de la Junta de Andalucía. Elaborada por la Agencia Digital de Andalucía con participación de centros directivos y organismos competentes, dispone de una inversión prevista de 60 millones de euros y establece ocho objetivos estratégicos orientados a la colaboración interinstitucional, el refuerzo de capacidades públicas, la mejora de la cibercultura ciudadana y el desarrollo del sector empresarial de la ciberseguridad.

Relación entre estrategia y normativa básica. La Estrategia Andaluza no sustituye al Decreto 1/2011 ni al Esquema Nacional de Seguridad, sino que orienta la planificación, prioridades y capacidades. Mientras el decreto establece la política y organización básicas y el ENS fija principios y requisitos mínimos, la estrategia marca la hoja de ruta para responder a amenazas actuales, impulsar la digitalización segura y reforzar la resiliencia de la comunidad autónoma, alineándose con el marco europeo y nacional.

Organización institucional. La política andaluza articula una estructura organizativa dual. En el nivel corporativo, el Comité de Seguridad TIC de la Junta de Andalucía actúa como órgano colegiado de coordinación y gobierno con funciones estratégicas, definiendo objetivos, supervisando el cumplimiento normativo y decidiendo sobre criterios comunes. La Unidad de Seguridad TIC Corporativa asume funciones ejecutivas y transversales, generando directrices corporativas y coordinando la actividad de las unidades de seguridad de las consejerías. Este modelo refleja una gobernanza descentralizada en cada entidad pero con capacidad corporativa para fijar reglas comunes.

Política específica del SAS. El Servicio Andaluz de Salud dispone de su propia Política de Seguridad TIC como documento corporativo de referencia, de obligado cumplimiento para servicios centrales, centros e instituciones sanitarias integradas, personas usuarias de sus sistemas y terceros que compartan información o presten servicios relacionados. Su finalidad es establecer objetivos y responsabilidades para proteger activos de información, medios tecnológicos y servicios relacionados, reconociendo que la información constituye uno de los activos más importantes para la prestación de servicios sanitarios públicos de calidad.

Jerarquía y responsabilidad. La política de seguridad TIC de la Junta se articula en una jerarquía documental que desciende desde la política general hasta procedimientos e instrucciones técnicas específicos de cada organismo. La preservación de la seguridad TIC constituye objetivo común de todas las personas al servicio de la Administración, responsables del uso correcto de los activos TIC, cumplimiento de normas de uso, protección de credenciales y comunicación de incidencias, trascendiendo el ámbito meramente tecnológico para involucrar a toda la organización.

🧩 Elementos esenciales

  • Decreto 1/2011: Norma básica que establece la política de seguridad TIC en la Administración de la Junta de Andalucía y sus organismos dependientes.
  • Tres principios vertebrales: Confidencialidad, integridad y calidad, y disponibilidad y continuidad de los servicios TIC.
  • Artículo 4 del Decreto 1/2011: Fija los objetivos de garantizar gestión segura de datos, concienciación del personal, modelo integral de gestión y cumplimiento legislativo.
  • Estrategia Andaluza 2022-2026: Instrumento de planificación estratégica aprobado en octubre 2022 y prorrogado a 2026 mediante Acuerdo del Consejo de Gobierno.
  • Agencia Digital de Andalucía: Organismo impulsor de la estrategia y elaboradora del documento con participación interinstitucional.
  • Comité de Seguridad TIC: Órgano colegiado de coordinación y gobierno con funciones estratégicas, definición de objetivos y supervisión normativa.
  • Unidad de Seguridad TIC Corporativa: Responsable de funciones ejecutivas, generación de criterios corporativos y coordinación transversal de unidades sectoriales.
  • Política del SAS: Documento corporativo de referencia para el Servicio Andaluz de Salud de obligado cumplimiento organizativo.
  • Jerarquía documental: Estructura que va desde política general hasta procedimientos específicos de cada organismo y sistema.
  • Responsabilidad general: Toda persona al servicio de la Administración es responsable del uso correcto de activos TIC, no solo el personal informático.
  • Modelo de gobernanza: Seguridad descentralizada en consejerías y entidades con capacidad corporativa para fijar criterios comunes.

🧠 Recuerda

  • El Decreto 1/2011 es el pilar normativo fundamental de la seguridad TIC andaluza.
  • La Estrategia Andaluza 2022-2026 prorroga su vigencia hasta 2026, no finaliza en 2025.
  • El Comité de Seguridad TIC decide sobre criterios comunes y responde ante incidentes que afecten a activos TIC.
  • La seguridad TIC es responsabilidad de todas las personas al servicio de la Administración.
  • La política del SAS protege activos de información en centros sanitarios, servicios centrales y terceros relacionados.
  • La estrategia no sustituye al decreto ni al ENS, sino que los complementa orientando la planificación.
  • Los tres principios vertebrales son confidencialidad, integridad y calidad, y disponibilidad y continuidad.
  • La Unidad Corporativa coordina las unidades de seguridad de las distintas consejerías y entidades.
  • La política del SAS establece objetivos y responsabilidades para proteger activos de información y medios tecnológicos.
  • El artículo 4 del Decreto 1/2011 contiene los cuatro objetivos básicos de la política de seguridad.

2. La evaluación y certificación de la seguridad de las tecnologías de la información

🎯 Idea clave

  • La evaluación de seguridad TIC es el proceso sistemático mediante el cual se comprueba objetivamente si un producto, sistema o servicio satisface requisitos de seguridad previamente definidos.
  • La certificación constituye el reconocimiento formal emitido por un organismo competente que declara, con base en la evaluación, el cumplimiento de dichos requisitos.
  • En el sector público español, el Esquema Nacional de Seguridad distingue entre autoevaluación para sistemas de categoría básica y auditoría formal para sistemas de categoría media y alta.
  • Common Criteria (ISO/IEC 15408) proporciona el marco técnico internacional para la evaluación de productos de tecnologías de la información.
  • La Entidad Nacional de Acreditación (ENAC) reconoce la competencia técnica de los laboratorios y entidades de certificación que operan en España.
  • El Cybersecurity Act de la Unión Europea establece un marco de esquemas de certificación, siendo el EUCC el primer esquema publicado basado en Common Criteria.

📚 Desarrollo

Definición conceptual. La evaluación de la seguridad es el proceso técnico y metodológico que determina de forma objetiva si un producto, sistema, servicio o proceso cumple con requisitos de seguridad definidos previamente. Su resultado materializa en un informe técnico de evaluación que fundamenta la decisión posterior de certificación.

Certificación y acreditación. La certificación es el acto formal por el cual un organismo competente declara que el objeto evaluado satisface los requisitos establecidos, generando un certificado con valor reconocido jurídicamente y de mercado. La acreditación, distinta de la certificación, es el proceso por el que se reconoce la competencia técnica de un laboratorio o entidad para realizar evaluaciones o certificaciones, función que en España ejerce la Entidad Nacional de Acreditación (ENAC).

Marco internacional. Common Criteria (ISO/IEC 15408) y la metodología CEM (Common Evaluation Methodology) constituyen la referencia técnica esencial para la evaluación de productos TI. El acuerdo CCRA (Common Criteria Recognition Agreement) facilita el reconocimiento mutuo internacional de certificaciones, evitando duplicidades en evaluaciones entre países adheridos.

Marco europeo. El Cybersecurity Act establece en el ámbito de la Unión Europea un marco común de esquemas de certificación de ciberseguridad. Dentro de este marco, el esquema EUCC (European Union Common Criteria-based Cybersecurity Certification Scheme) constituye el primer esquema ya publicado, basado precisamente en Common Criteria para productos TI.

Esquema Nacional de Seguridad. El Real Decreto 311/2022 regula la evaluación y certificación en el sector público español. El artículo 19 integra expresamente la certificación funcional de productos de seguridad en la lógica de adquisición, remitiendo al Organismo de Certificación del Centro Criptológico Nacional (CCN). El artículo 38 regula la conformidad de los sistemas con el ENS, estableciendo un procedimiento específico según la categoría de seguridad asignada.

Procedimientos de conformidad ENS. La conformidad con el Esquema Nacional de Seguridad se acredita mediante autoevaluación en sistemas de categoría básica, o mediante auditoría formal en sistemas de categoría media o alta. Las auditorías deben realizarse cada dos años en sistemas de categoría media y alta, y son ejecutadas por entidades certificadoras acreditadas por ENAC bajo la norma ISO/IEC 17065 o similar.

Distintivos y herramientas. Los Distintivos ENS, gestionados por el CCN, reconocen públicamente la conformidad del sistema con el esquema, existiendo tres niveles correspondientes a las categorías de seguridad: ENS Básico, ENS Medio y ENS Alto, con vigencia bianual o trianual. El CCN certifica productos TI destinados a la Administración Pública y pone a disposición la herramienta INES (Informe Nacional del Estado de Seguridad) para que los organismos reporten su estado de cumplimiento, así como guías técnicas CCN-STIC que apoyan la implementación y verificación del esquema.

🧩 Elementos esenciales

  • Evaluación: proceso técnico y metodológico objetivo para determinar si un producto, sistema o servicio TIC cumple requisitos de seguridad predefinidos.
  • Certificación: decisión formal adoptada por un organismo competente que declara, sobre la base de una evaluación, el cumplimiento de requisitos específicos de seguridad.
  • Acreditación: reconocimiento formal de la competencia técnica de un laboratorio o entidad para realizar evaluaciones o certificaciones, ejercida en España por ENAC.
  • Common Criteria (ISO/IEC 15408): estándar internacional que proporciona el marco metodológico para la evaluación de la seguridad de productos de tecnologías de la información.
  • CCRA (Common Criteria Recognition Agreement): acuerdo internacional que establece el reconocimiento mutuo de certificaciones Common Criteria entre países signatarios.
  • Cybersecurity Act: regulación europea que establece el marco para los esquemas de certificación de ciberseguridad en la Unión Europea.
  • EUCC: primer esquema de certificación europeo publicado, basado en Common Criteria para productos TI.
  • Auditoría ENS: revisión formal realizada por entidades acreditadas por ENAC bajo ISO/IEC 17065, obligatoria para sistemas de categoría media y alta cada dos años.
  • Distintivos ENS: reconocimiento público gestionado por el CCN que acredita la conformidad de un sistema con el Esquema Nacional de Seguridad en tres niveles: Básico, Medio y Alto.
  • CCN: organismo competente para la certificación de productos de seguridad TIC en la Administración Pública española y gestor de los Distintivos ENS.
  • INES: herramienta del CCN que permite a los organismos públicos reportar el estado de cumplimiento del ENS y generar informes sectoriales comparativos.
  • Guías CCN-STIC: documentos técnicos de apoyo para la implementación del ENS, incluyendo las guías 803 (valoración), 804 (medidas), 805 (política), 808 (verificación) y 844 (manual de INES).

🧠 Recuerda

  • Evaluación es el proceso técnico, certificación es la declaración formal y acreditación es el reconocimiento de competencia técnica del evaluador.
  • Common Criteria evalúa productos TI; ISO/IEC 27001 certifica sistemas de gestión; el ENS regula la conformidad de sistemas en el sector público español.
  • En el ENS, categoría básica implica autoevaluación, mientras que categorías media y alta requieren auditoría formal bianual por entidades acreditadas por ENAC.
  • El CCN certifica productos y gestiona los Distintivos ENS; la ENAC acredita a las entidades que pueden auditar y certificar.
  • Los Distintivos ENS tienen validez de dos o tres años y certifican el nivel de cumplimiento del esquema ante terceros.
  • El CCRA evita duplicidades al permitir el reconocimiento internacional de certificaciones Common Criteria entre países adheridos.
  • El Cybersecurity Act y el esquema EUCC representan el marco de certificación europeo basado en los mismos estándares internacionales.
  • Las guías CCN-STIC y la herramienta INES son recursos prácticos del CCN para facilitar la implementación y el reporte del estado de seguridad.

3. Medidas de seguridad (físicas, técnicas, organizativas y legales)

🎯 Idea clave

  • El Real Decreto 311/2022 establece el Esquema Nacional de Seguridad como marco principal para las medidas de seguridad en el sector público español.
  • El Anexo II del ENS estructura las medidas en tres grupos: marco organizativo, marco operacional y medidas de protección.
  • El enunciado oficial del tema utiliza una clasificación alternativa en medidas físicas, técnicas, organizativas y legales, siendo ambas perspectivas compatibles entre sí.

📚 Desarrollo

Marco normativo básico. El Esquema Nacional de Seguridad, regulado por el Real Decreto 311/2022 de 3 de mayo, constituye el marco principal para la seguridad de las tecnologías de la información en el sector público español. Este esquema no se limita a proclamar principios generales, sino que exige requisitos mínimos y remite al Anexo II para la aplicación concreta de medidas de seguridad.

Estructura del Anexo II. El anexo mencionado organiza las medidas de seguridad en tres grandes grupos diferenciados: el marco organizativo, identificado como [org]; el marco operacional, señalado como [op]; y las medidas de protección, indicadas como [mp]. Esta estructura responde a una lógica normativa y de implantación práctica de las medidas.

Clasificación pedagógica. Paralelamente, el enunciado oficial del tema recoge una clasificación distinta, frecuente en la literatura académica y de especial utilidad para el estudio: medidas físicas, técnicas, organizativas y legales. Esta división permite abordar las medidas desde una perspectiva más cercana y comprensible para la preparación de oposiciones.

Compatibilidad de enfoques. Ambas perspectivas de clasificación resultan perfectamente compatibles. La estructura del ENS ordena las medidas desde el punto de vista normativo y de implantación operativa, mientras que la clasificación en físicas, técnicas, organizativas y legales permite exponerlas de modo más pedagógico y accesible para los opositores.

🧩 Elementos esenciales

  • ENS (Real Decreto 311/2022): Norma básica que establece requisitos mínimos y remite al Anexo II para medidas específicas.
  • Anexo II del ENS: Estructura las medidas en marco organizativo [org], marco operacional [op] y medidas de protección [mp].
  • Clasificación del enunciado: Agrupa las medidas en físicas, técnicas, organizativas y legales.
  • Perspectiva normativa: La clasificación del ENS se centra en la implantación y el cumplimiento regulatorio.
  • Perspectiva pedagógica: La clasificación físicas/técnicas/organizativas/legales facilita el estudio y comprensión del opositor.

🧠 Recuerda

  • El ENS es el marco principal mediante el RD 311/2022.
  • El Anexo II utiliza las etiquetas [org], [op] y [mp].
  • Existen dos formas de clasificar: la normativa (ENS) y la pedagógica (enunciado).
  • Ambas clasificaciones son compatibles y complementarias.
  • El enunciado oficial prioriza la división en físicas, técnicas, organizativas y legales.

4. Planes de contingencia y recuperación ante desastres

🎯 Idea clave

  • Los planes de contingencia y recuperación ante desastres constituyen el conjunto de documentos, procedimientos, recursos y capacidades que permiten mantener o restablecer los servicios críticos ante incidentes graves.
  • En el Servicio Andaluz de Salud, la planificación de contingencia y recuperación es competencia central de la operación debido a la criticidad de los servicios sanitarios.
  • La interrupción de sistemas como Diraya, Receta XXI, los sistemas de citación o las comunicaciones afecta directamente a la atención al paciente.
  • Estos planes responden a incidentes como ciberataques, fallos masivos de infraestructura, desastres naturales, errores humanos catastróficos y fallos de proveedores.

📚 Desarrollo

Definición integral. Los planes de contingencia y recuperación ante desastres son el conjunto de documentos, procedimientos, recursos y capacidades que permite a una organización mantener o restablecer sus servicios críticos cuando ocurren incidentes graves que comprometen la operativa normal.

Tipos de incidentes. Estos planes deben contemplar la respuesta ante ciberataques, fallos masivos de infraestructura, desastres naturales, errores humanos catastróficos y fallos de proveedores externos que puedan paralizar los sistemas esenciales.

Críticidad en el SAS. En el Servicio Andaluz de Salud, la interrupción de Diraya, Receta XXI, los sistemas de citación, los sistemas departamentales o las comunicaciones afecta directamente a la atención al paciente, por lo que la planificación de contingencia y recuperación constituye una competencia central de la operación sanitaria.

Componentes fundamentales. El apartado aborda los fundamentos, componentes, métricas, tipologías, marcos normativos y aplicación práctica de estos planes, estableciendo un marco completo para garantizar la resiliencia de los servicios TIC sanitarios.

Alcance organizativo. La planificación debe considerar la extensión y distribución del SAS, donde múltiples centros e instituciones sanitarias integradas dependen de la continuidad de los sistemas clínicos y administrativos para garantizar la seguridad del paciente y el cumplimiento de obligaciones legales.

🧩 Elementos esenciales

  • Documentación: Conjunto de documentos formales que establecen las líneas de actuación ante incidentes graves que afectan a los sistemas.
  • Procedimientos: Secuencias detalladas de actuación para mantener operativos o restablecer los servicios críticos.
  • Recursos: Medios técnicos, humanos y materiales necesarios para implementar la recuperación ante desastres.
  • Capacidades: Competencias organizativas y técnicas para responder efectivamente a incidentes de gran magnitud.
  • Servicios críticos: Sistemas como Diraya, Receta XXI, plataformas de citación y comunicaciones cuya indisponibilidad impacta directamente en la asistencia sanitaria.
  • Ciberataques: Principal amenaza contemplada que puede comprometer la integridad y disponibilidad de la información clínica.
  • Fallos masivos: Incidencias en infraestructura que requieren activación de protocolos de recuperación.
  • Errores humanos: Actuaciones catastróficas por parte de usuarios o administradores que comprometen los sistemas.
  • Fallos de proveedores: Interrupciones originadas en terceros que prestan servicios tecnológicos al SAS.

🧠 Recuerda

  • Los planes mantienen o restablecen servicios críticos ante incidentes graves.
  • Son competencia central en el SAS por la naturaleza vital de los servicios sanitarios.
  • Afectan directamente a sistemas como Diraya y Receta XXI.
  • Deben contemplar ciberataques, desastres naturales y fallos de infraestructura.
  • La interrupción de estos sistemas impacta en la seguridad del paciente.
  • Incluyen documentos, procedimientos, recursos y capacidades organizativas.
  • Responden a errores humanos catastróficos y fallos de proveedores.
  • Constituyen el marco normativo y práctico de resiliencia TIC del Servicio Andaluz de Salud.

5. Respaldo y continuidad

🎯 Idea clave

  • El Decreto 1/2011 establece la disponibilidad y continuidad como principio vertebral de la política TIC de la Junta de Andalucía.
  • La Estrategia Andaluza de Ciberseguridad incorpora la continuidad como objetivo estratégico vinculado a la resiliencia de servicios públicos.
  • Los sistemas del SAS se integran en el ecosistema TIC autonómico, beneficiándose de capacidades corporativas centralizadas.
  • La Agencia Digital de Andalucía articula servicios transversales que incluyen la gestión de la continuidad operativa.
  • La continuidad asistencial digital constituye un objetivo específico para el ámbito sanitario dentro del marco estratégico andaluz.

📚 Desarrollo

Marco normativo básico. El Decreto 1/2011, de 11 de enero, establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía, definiendo como principios vertebrales la confidencialidad, la integridad y calidad, y la disponibilidad y continuidad de los servicios tecnológicos.

Instrumento estratégico. La Estrategia Andaluza de Ciberseguridad 2022-2025, aprobada por el Consejo de Gobierno el 18 de octubre de 2022 y prorrogada hasta 2026, sitúa la continuidad dentro de los objetivos orientados a garantizar la resiliencia de la administración digital y los servicios esenciales, incluyendo los sanitarios.

Integración sistemática. Los sistemas de información del Servicio Andaluz de Salud forman parte del ecosistema TIC de la Junta de Andalucía, lo que permite aprovechar infraestructuras corporativas, centros de datos compartidos y servicios centralizados gestionados por la Agencia Digital de Andalucía.

Capacidades centralizadas. La ADA, a través del Centro de Ciberseguridad de Andalucía y su Centro de Operaciones de Seguridad, articula servicios preventivos, de detección y reactivos que sustentan la continuidad operativa, incluyendo el fortalecimiento de infraestructuras y la coordinación de respuesta ante incidentes.

Aplicación sanitario. Para el SAS, el marco autonómico refuerza la necesidad de aplicar estos principios a los servicios clínicos digitales, protegiendo datos de salud y asegurando la continuidad asistencial mediante la integración en las estructuras de ciberseguridad de la Junta.

🧩 Elementos esenciales

  • Decreto 1/2011: normativa que establece la disponibilidad y continuidad como principio fundamental de la política TIC andaluza.
  • Estrategia Andaluza 2022-2025: instrumento de planificación estratégica prorrogado hasta 2026 que incluye la continuidad entre sus objetivos prioritarios.
  • Disponibilidad y continuidad: principio vertebral que garantiza el mantenimiento de los servicios tecnológicos esenciales.
  • Agencia Digital de Andalucía: organismo responsable de articular servicios transversales de seguridad que incorporan la gestión de continuidad.
  • Centro de Ciberseguridad de Andalucía: entidad que opera el SOC de la Junta y provee capacidades de resiliencia operativa.
  • Ecosistema TIC integrado: los sistemas del SAS se benefician de infraestructuras corporativas centralizadas para garantizar su continuidad.
  • Resiliencia: concepto estratégico que vincula la continuidad con la capacidad de mantener servicios ante amenazas y incidentes.

🧠 Recuerda

  • La continuidad es un principio normativo desde el Decreto 1/2011, no una mera recomendación técnica.
  • El SAS se integra en el marco TIC de la Junta, accediendo a servicios corporativos centralizados.
  • La Estrategia Andaluza mantiene vigencia hasta 2026 mediante prórroga oficial.
  • La ADA coordina tanto la infraestructura como los servicios de seguridad que sustentan la continuidad.
  • La continuidad asistencial digital es un objetivo específico para el ámbito sanitario.
  • Los principios de disponibilidad y continuidad se aplican junto con los de confidencialidad e integridad.

6. Política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía y del Servicio Andaluz de Salud

🎯 Idea clave

  • La Junta de Andalucía dispone de una política corporativa de seguridad TIC establecida por el Decreto 1/2011, de obligado cumplimiento para todos sus organismos incluido el SAS.
  • La normativa se articula en torno a tres principios fundamentales: confidencialidad, integridad y calidad, y disponibilidad y continuidad.
  • El Decreto 1/2011 establece cuatro objetivos específicos: garantizar la gestión conforme a estándares, aumentar la concienciación, establecer un modelo integral de gestión y garantizar el cumplimiento normativo.
  • La Agencia Digital de Andalucía coordina la implantación de la política, mientras que el SAS desarrolla directivas internas adaptadas al entorno sanitario.
  • La Estrategia Andaluza de Ciberseguridad 2022-2025 complementa el marco con ocho objetivos estratégicos y una inversión prevista de 60 millones de euros.
  • El marco se alinea con el Esquema Nacional de Seguridad y se desarrolla mediante una jerarquía documental desde la política general hasta procedimientos específicos.

📚 Desarrollo

Normativa de base. El Decreto 1/2011, de 11 de enero, constituye la norma autonómica central que establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía. Esta norma fue modificada posteriormente por el Decreto 70/2017 y complementada por el Decreto 171/2020, que regula específicamente la política de seguridad interior.

Ámbito de aplicación. El artículo 3 del Decreto 1/2011 establece que la política es de obligado cumplimiento para la Administración de la Junta, sus entidades instrumentales, determinados consorcios y organismos dependientes o vinculados, incluido el Servicio Andaluz de Salud. El artículo 1 define su objeto como regular el tratamiento de activos TIC de titularidad de la Administración o cuya gestión tenga encomendada.

Objetivos corporativos. El artículo 4 del Decreto fija cuatro objetivos específicos: garantizar a la ciudadanía que sus datos serán gestionados conforme a estándares y buenas prácticas; aumentar el nivel de concienciación de las entidades y del personal; establecer las bases de un modelo integral de gestión de la seguridad en ciclo continuo de mejora; y garantizar el cumplimiento de la legislación vigente.

Principios rectores. La política se articula en torno a tres principios vertebrales fundamentales: la confidencialidad de la información, la integridad y calidad de los datos, y la disponibilidad y continuidad de los servicios. Estos principios conforman el marco conceptual sobre el que se desarrollan las medidas de seguridad específicas.

Organización y coordinación. El Decreto 1/2011 crea el Comité de Seguridad TIC de la Junta de Andalucía como órgano colegiado de coordinación. La Agencia Digital de Andalucía asume la función de coordinar la implantación de la política corporativa, garantizando la coherencia con el Esquema Nacional de Seguridad.

Estrategia Andaluza de Ciberseguridad. Aprobada por Acuerdo del Consejo de Gobierno de 18 de octubre de 2022 y publicada en el BOJA número 203 de 2022, este instrumento estratégico establece ocho objetivos orientados a la colaboración interinstitucional, el refuerzo de capacidades públicas, la mejora de la cibercultura ciudadana y el desarrollo del sector empresarial, con una inversión prevista de 60 millones de euros para el periodo 2022-2025.

Aplicación en el SAS. El Servicio Andaluz de Salud vincula su política de seguridad TIC al Decreto 1/2011 y al Esquema Nacional de Seguridad, desarrollando directivas internas específicas adaptadas al entorno sanitario. Cada organismo, incluido el SAS, debe desarrollar y aprobar su propio documento de política de seguridad TIC, así como las normas y procedimientos que adecuen las directrices generales a sus particularidades específicas.

Jerarquía documental. La política se articula en una estructura documental jerárquica que va desde la política general de nivel superior hasta los procedimientos e instrucciones técnicas específicos de cada organismo y sistema, incluyendo mecanismos de seguimiento, auditoría y mejora continua.

🧩 Elementos esenciales

  • Decreto 1/2011: Norma base que establece la política de seguridad TIC en la Administración andaluza y sus organismos.
  • Decreto 70/2017: Modifica el Decreto 1/2011 actualizando aspectos de la política de seguridad.
  • Decreto 171/2020: Regula la política de seguridad interior de la Junta de Andalucía.
  • Tres principios: Confidencialidad, integridad y calidad, y disponibilidad y continuidad.
  • Cuatro objetivos: Gestión conforme a estándares, concienciación, modelo integral de gestión y cumplimiento normativo.
  • Comité de Seguridad TIC: Órgano colegiado de coordinación creado por el Decreto 1/2011.
  • Agencia Digital de Andalucía: Coordina la implantación de la política corporativa en todos los organismos.
  • Estrategia 2022-2025: Plan estratégico aprobado en octubre de 2022 con ocho objetivos y 60 millones de inversión prevista.
  • Aplicación SAS: Desarrollo de directivas internas adaptadas al entorno sanitario dentro del marco autonómico.
  • Jerarquía documental: Estructura que va de la política general a procedimientos específicos de cada sistema.

🧠 Recuerda

  • El Decreto 1/2011 es la norma central de seguridad TIC en Andalucía.
  • Tres principios vertebrales: confidencialidad, integridad y calidad, disponibilidad y continuidad.
  • Cuatro objetivos del artículo 4: estándares, concienciación, gestión integral y cumplimiento.
  • La Agencia Digital de Andalucía coordina la implantación; el Comité de Seguridad TIC es el órgano de coordinación.
  • El SAS debe desarrollar su propia política adaptada al entorno sanitario.
  • La Estrategia Andaluza de Ciberseguridad 2022-2025 prevé 60 millones de inversión.
  • El marco está alineado con el Esquema Nacional de Seguridad.
  • Cada organismo desarrolla su política específica sin perjuicio de las directrices comunes.
  • El Decreto 171/2020 regula la política de seguridad interior.
  • La estrategia fue aprobada en octubre de 2022 y publicada en BOJA 203/2022.

7. Estrategia Europea, Nacional y Andaluza de Ciberseguridad

🎯 Idea clave

  • España cuenta con la Estrategia Nacional de Ciberseguridad 2019, aprobada por el Consejo de Seguridad Nacional, que desarrolla la Estrategia de Seguridad Nacional de 2017 dentro del Sistema de Seguridad Nacional.
  • La ENC 2019 se estructura en cinco objetivos específicos orientados a la resiliencia de redes, el desarrollo digital, la capacitación profesional, el marco normativo y la proyección internacional.
  • Andalucía dispone de la Estrategia Andaluza de Ciberseguridad 2022-2025, prorrogada al ejercicio 2026, como instrumento general de planificación impulsado por la Agencia Digital de Andalucía.
  • La estrategia autonómica aterriza la ciberseguridad en la Comunidad Autónoma con ocho objetivos estratégicos y una inversión prevista de 60 millones de euros.
  • Las estrategias nacional y autonómica son complementarias y no sustituyen al marco normativo específico como el Decreto 1/2011 o el Esquema Nacional de Seguridad.

📚 Desarrollo

Aprobación y ámbito de la ENC. La Estrategia Nacional de Ciberseguridad 2019 fue aprobada por el Consejo de Seguridad Nacional el 12 de abril de 2019, publicándose mediante Orden PCI/487/2019. Se trata de la versión vigente que sustituyó a la primera estrategia de 2013 y desarrolla las previsiones de la Estrategia de Seguridad Nacional de 2017.

Marco legal y objetivos generales. La ENC 2019 se articula sobre la Ley 36/2015 de Seguridad Nacional, integrando la ciberseguridad como dimensión fundamental de la seguridad nacional. Su propósito es garantizar un uso seguro del ciberespacio, protegiendo derechos, libertades y el progreso socioeconómico del país frente a ciberamenazas.

Cinco objetivos estratégicos nacionales. La estrategia nacional se concreta en cinco objetivos específicos: garantizar la seguridad y resiliencia de redes y sistemas; impulsar la ciberseguridad como factor de desarrollo digital; promover la capacitación de profesionales y la concienciación ciudadana; garantizar la seguridad en el ciberespacio mediante el marco normativo y colaboración público-privada; e impulsar la posición de España en el ámbito internacional.

Plan Nacional y actualización. De la ENC deriva el Plan Nacional de Ciberseguridad, que concreta líneas de acción en medidas específicas con responsables, plazos y financiación. Actualmente, la estrategia está siendo objeto de actualización para incorporar la directiva NIS2, la inteligencia artificial y la criptografía postcuántica.

Instrumento andaluz de planificación. La Estrategia Andaluza de Ciberseguridad 2022-2025 fue aprobada por Acuerdo del Consejo de Gobierno el 18 de octubre de 2022, constituyéndose como el instrumento general de planificación de políticas de ciberseguridad de la Junta de Andalucía, elaborada por la Agencia Digital de Andalucía con participación de organismos competentes.

Prórroga y vigencia. Inicialmente prevista para 2022-2025, el Consejo de Gobierno acordó el 30 de diciembre de 2025 su prórroga al ejercicio 2026, publicándose en el BOJA el 7 de enero de 2026. La estrategia se alinea con los marcos europeo y nacional pero aterriza específicamente las políticas en la realidad autonómica.

Objetivos y alcance andaluz. La estrategia autonómica define ocho objetivos estratégicos que incluyen fortalecer estructuras de gobierno, reforzar capacidades de prevención, detección y respuesta, cooperar para extender la protección, situar a Andalucía como referente, mejorar capacidades empresariales, impulsar la industria de la ciberseguridad, potenciar el talento y mejorar la cultura de seguridad.

Complementariedad normativa. La Estrategia Andaluza no sustituye al Decreto 1/2011 ni al Esquema Nacional de Seguridad, sino que complementa la política y organización básica con una hoja de ruta estratégica orientada a responder a amenazas actuales, digitalización segura y resiliencia.

🧩 Elementos esenciales

  • Consejo de Seguridad Nacional: órgano que aprueba la Estrategia Nacional de Ciberseguridad 2019.
  • Orden PCI/487/2019: norma de publicación de la ENC 2019 en el ámbito estatal.
  • Ley 36/2015: norma base de Seguridad Nacional que integra la ciberseguridad como dimensión de seguridad nacional.
  • Plan Nacional de Ciberseguridad: instrumento derivado de la ENC que concreta medidas específicas con responsables y plazos.
  • Agencia Digital de Andalucía (ADA): centro directivo impulsor de la Estrategia Andaluza de Ciberseguridad.
  • Acuerdo 18 octubre 2022: fecha de aprobación de la Estrategia Andaluza por el Consejo de Gobierno.
  • Prórroga 2026: acuerdo de 30 diciembre 2025 que extiende la vigencia de la estrategia andaluza al ejercicio 2026.
  • Inversión 60 millones: dotación presupuestaria prevista para la Estrategia Andaluza 2022-2025.
  • Ocho objetivos andaluces: gobernanza, prevención, detección, respuesta, cooperación, referente, empresas, industria, talento y cultura.
  • Tres niveles estratégicos: relación entre estrategia europea (marco general), nacional (ENC) y autonómica (Andaluza).

🧠 Recuerda

  • La ENC 2019 es la versión vigente aprobada por el Consejo de Seguridad Nacional.
  • La Estrategia Andaluza 2022-2025 está prorrogada hasta 2026.
  • La Agencia Digital de Andalucía es la impulsora de la estrategia autonómica.
  • La ENC se articula en cinco objetivos específicos fundamentales.
  • El Plan Nacional concreta la ENC en medidas operativas.
  • La estrategia autonómica aterriza el marco europeo y nacional en Andalucía.
  • Las estrategias complementan pero no sustituyen al Decreto 1/2011 ni al ENS.
  • Los objetivos de gobernanza, prevención y detección son especialmente relevantes para el SAS.
  • La inversión prevista en Andalucía asciende a 60 millones de euros.
  • Las estrategias responden a la digitalización segura y la resiliencia frente a amenazas.
Acceder a la demo
Tema anterior Tema 34. El modelo relacional. Definiciones y conceptos básicos. Arquitectura. Diseño. Normalización. Manipulación: álgebra y cálculo relacional. Modelo entidad– relación. El lenguaje SQL. Normas y estándares para la interoperabilidad entre gestores de bases de datos relacionales. Principales SGBD comerciales. SGBD de código abierto. Tema siguiente Tema 36. El Esquema Nacional de Seguridad. Ley de la protección de las infraestructuras críticas

Prueba la demo si quieres ver el resto

Has visto un tema abierto completo. En la demo puedes comprobar cómo encajan el temario, las preguntas justificadas y los simulacros dentro de OposAs.

Qué vas a probar

Una demo pensada para decidir con criterio

Temario, test y simulacro conectados

La idea no es solo leer un tema: es estudiar con continuidad y comprobar cómo se relaciona con el resto de herramientas.

Preguntas justificadas

Verás explicaciones de la correcta y de las incorrectas para estudiar con más criterio, no solo para memorizar.

Acceso rápido

Con tu nombre y tu email, eliges categoría y te enviamos el acceso por correo sin compromiso.

Gratis Sin compromiso Acceso por email

Solicita ya tu acceso Demo

Sólo tu email, tu nombre y apellidos (si quieres), elige categoría y prueba antes de decidir. Es gratis.

Gratis Sin compromiso Acceso por email

* campos obligatorios

Usaremos tu correo solo para enviarte el acceso. Tras registrarte tendrás 1 hora para abrir el email y pulsar el botón de acceso.

OposAs es una plataforma privada e independiente de preparación. No es una web oficial del Servicio Andaluz de Salud ni de la Junta de Andalucía.

Política de privacidad Política de cookies Aviso legal
Acceso solicitado

Revisa tu correo y también spam.

En tienes el enlace para terminar el autoregistro.

Ábrelo antes de 1 hora.

OposAs