Estás viendo una versión antigua de esta página. Ve a la versión actual.

Comparar con el actual Ver el historial de la página

« Anterior Versión 3 Siguiente »

Índice:



Objeto del procedimiento


El objeto de este procedimiento es la definición de cuál es el proceso para transferir proyectos o productos avanzados que surgen de ámbitos específicos ajenos al ámbito de producción.


  • CASO 1. Proyectos o productos desarrollados en el ámbito del I+D+i con un alcance acotado al mismo.
  • CASO2. Proyectos o productos de terceros (proveedores u organizaciones externas) cedidos al Servicio Andaluz de Salud para su uso.
  • CASO3. Proyectos o productos desarrollados en el ámbito TIC local/provincial para su uso a nivel regional corporativo.
  • CASO 4. Proyectos o productos desarrollados en el ámbito local o provincial de las instituciones del Servicio Andaluz de Salud para su uso local/provincial


Alcance

Este procedimiento aplica al Servicio Andaluz de Salud, en adelante SAS, y entidades vinculadas o dependientes que se encuentren adscritas orgánicamente al SAS.

En su ámbito material, en relación con las actividades detalladas en el objeto de este documento, esta norma es aplicable a todos los sistemas de información del SAS, ya sean de ámbito regional, de ámbito provincial o de ámbito local de un determinado centro.

En su ámbito profesional aplica a todos los profesionales TIC, especialmente a jefes de proyecto, responsables de sistemas y subdirecciones TIC provinciales. Es aplicable también a cualquier otro profesional o empresa que preste servicios TIC para el SAS o que para la prestación de sus servicios se requiera la implantación de herramientas TIC de cualquier tipo, ya sean de forma interna (on-premise), ubicadas en la nube o de app móviles. Igualmente aplica a aquellos profesionales que en sus funciones y atribuciones tenga las competencias para la adquisición y/o puesta en marcha de sistemas de información o servicios de cualquier índole que conlleven la implantación de sistemas de información.


Registro

El registro de las solicitudes para solicitar la transferencia de productos a soluciones corporativas se hace en ayudaDIGITAL, en la entrada Alta de sistema de información como solución corporativa

Normativa aplicable

Cumplimiento legal

  • DECRETO 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
  • Orden de 9 de junio de 2016, por la que se efectúa el desarrollo de la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
  • Decreto 70/2017, de 6 de junio, por el que se modifica el Decreto 1/2011, de 11 de enero, por el que se establece la política de seguridad de las tecnologías de la información y comunicaciones en la Administración de la Junta de Andalucía.
  • El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. Este procedimiento deriva del control del marco organizativo. 4, Procedimiento de autorización.
  • Resolución de 22 de octubre de 2020, de la Secretaría General para la Administración Pública, por la que se aprueba el Código de Conducta en el uso de las Tecnologías de la Información y la Comunicación para profesionales públicos de la Administración de la Junta de Andalucía.

Normativa interna

  • Este procedimiento deriva de la Resolución de 8 de abril de 2021, de la Dirección Gerencia del Servicio Andaluz de Salud, por la que se aprueba la Política de Seguridad de las Tecnologías de la información y la comunicación del Servicio Andaluz de Salud.
  • Norma 004 Proceso de Autorización aprobada el 18 de enero de 2022 en su acta nº 2 por el comité de seguridad interior y seguridad TIC del Servicio Andaluz de Salud.

Contexto

Definimos el ámbito de producción como el conjunto de sistemas de información que el Servicio Andaluz de Salud pone a disposición de los profesionales para ejercer su trabajo de asistencia sanitaria, gestión de personal o gestión logística y económica entre otros, así como de los ciudadanos en las distintas formas de relación con el Servicio Andaluz de Salud.

¿Por qué?

En múltiples ocasiones encontramos soluciones adoptadas en un escenario puntual que se llevan a ámbito productivo sin tener en cuenta las consideraciones necesarias para asegurar su mantenimiento, seguridad, escalabilidad y gobernanza necesarias.

Ejemplos claros son algunos proyectos provenientes del ámbito de la investigación que suponen la validación de una prueba de concepto que puede llegar a ser exitosa y que genera expectativas en los usuarios finales para resolver una problemática en un ámbito mayor del inicialmente contemplado en el proyecto de investigación y en el informe del comité de ética, y que sobrepasan la línea de la investigación para solventar una problemática del ámbito de la producción en los centros.

En este punto es relevante recordar que los criterios y requisitos que ha de cumplir un sistema en el ámbito de la investigación y los que ha de cumplir en el ámbito de la producción, para un sector crítico como la salud y la provisión de los servicios sanitarios, son totalmente distintos. Ejemplos de ello son los requisitos de seguridad, disponibilidad (24x7), tiempo de reacción ante incidentes, niveles de soporte, etc.

Cabe recordar que en el Servicio Andaluz de Salud, es la Subdirección de las Tecnologías de la Información y Comunicaciones (STIC), a la que están adscritas las Subdirecciones Provinciales TIC, el único órgano competente en materia TIC, y por tanto el único capacitado para ejercer las mismas.

El coste principal de los sistemas de información no radica en su desarrollo, sino en el mantenimiento y soporte posterior de los mismos, siendo la STIC la responsable y la garante de asegurar dicho servicio conforme a los requisitos legales y tecnológicos de seguridad, gobernanza, fiabilidad, disponibilidad, etc. determinado por la legislación vigente y la estrategia de Transformación Digital y Salud Digital del Sistema Sanitario Público de Andalucía.


Otros ejemplos con las mismas consecuencias suelen provenir de proyectos de colaboración entre diferentes grupos funcionales de los centros y proveedores que ceden temporalmente el uso gratuito de sistemas de información propios hasta que se aseguran que dicha cesión ha generado una necesidad no cubierta en el ámbito de la producción, lo cual supone un problema de pérdida de servicio al no estar garantizada esa fase de mantenimiento y soporte anteriormente referida.

Podemos extrapolar estas casuísticas tanto a desarrollos en el ámbito web como en el ámbito de la movilidad u otros canales.

Estas prácticas, que consisten en el despliegue e implantación de cualquier tipo de software o hardware dentro de una organización sin la aprobación ni el control de esta por parte de los órganos competentes se denominan SHADOW IT.

La shadow IT puede presentarse en forma tales como sistemas de información, aplicaciones móviles, sistemas en la nube o alguna combinación de estos, incluyendo el despliegue de elementos hardware.

En un sistema de salud, la shadow IT puede ocasionar efectos adversos que atentan contra los derechos de los pacientes y su seguridad al desagregar y distribuir la historia clínica en sistemas no conocidos ni controlados por la organización.

Por otro lado, los sistemas de información desplegados en los sistemas de salud deben cumplir con una variada legislación, RGPD, LOPD, ENS, NIS, Infraestructuras Críticas, Autonomía del Paciente…. que los sistemas en la shadow IT no contemplan en su diseño en la mayoría de las ocasiones.

Estos sistemas no han sido evaluados por la organización desde la perspectiva de la ciberseguridad, convirtiéndose así en posibles fuentes de vulnerabilidades que pueden se aprovechadas para poner en riesgo a todos los sistemas de información de la organización.


Para solventar y evitar estas problemáticas es elemento clave la gobernanza de las competencias de TIC en el ámbito de la producción, y con ello, la transición ordenada de cualquiera de estas iniciativas al ámbito competencial correcto, antes de pasar a dar servicio en el ámbito de la producción.


Proceso de transferencia de un sistema de información a ámbito de producción (local, provincial o regional).


Flujo de toma de decisiones


Actores del flujo

ORIGEN: Grupo o ámbito específico que ha  desarrollado o venido utilizando el sistema de información y que pretende que se lleve al ámbito de producción (o su extensión de producción provincial a producción regional corporativa). Suele ser una iniciativa I+D+i que incluye un sistema de información, una cesión de un producto software por un tercero para su uso en desktop o app para prueba de concepto o similar, una iniciativa local o provincial, etc., así como desarrollos o adquisiciones locales/provinciales para uso propio (local/provincial) independientemente de que se quieran hacer corporativos o no.



SPONSOR: Responsable funcional con competencia directiva a nivel provincial o regional que respalda la solicitud de transferencia al ámbito de producción correspondiente. Es el responsable de negocio ORIGINAL de la solicitud.


ÁREA REFERENTE FUNCIONAL: Unidad responsable funcional competente al nivel regional. Tiene entre otros la competencia de designar al funcional del sistema de información si se realiza la transferencia al ámbito de producción correspondiente.

  • En el ámbito asistencial esté Área corresponde con el Servicio de Coordinación de SSII (SCSI).
  • En otros ámbitos como el de RRHH o el económico financiero, este rol es ejercido por otras áreas.


COMISION DE SSII: Comisión regional de SSII cuyo objeto es la toma de decisiones a nivel de organización sobre la idoneidad de abordar diferentes proyectos relativos a SSII. Ejerce de Máximo Sponsor de las diferentes propuestas, y por último quien en última instancia decide sobre el aporte de estas soluciones a la organización. Forman parte de dicha comisión:

  • La Dirección General de Humanización, Planificación, Coordinación y Cuidados
  • El Subdirector General de Tecnologías de la Información y las Comunicaciones (STIC)
  • Coordinador del Servicio de Coordinación de SSII.
  • Subdirección de gestión de la información
  • Referentes nominados por las distintas Direcciones Generales.
  • Otros actores que la Comisión considere oportuno.


ÁREA DE PROYECTOS PROVINCIAL: Área responsable de la gestión de los proyectos de sistemas de información a nivel provincial. Será la responsable final de la gestión del proyecto si se realiza la transferencia a nivel provincial. No es posible realizar dicha gestión si no se cuenta con un soporte contractual, convenio y recursos propios que permitan ejecutar el mantenimiento y soporte del sistema de información.

ÁREA DE SOLUCIONES CORPORATIVAS Y SOCIEDAD DIGITAL: Área responsable de la gestión de los proyectos de sistemas de información a nivel regional. Vela por el alineamiento de los SSII con la estrategia de SSII, el mapa de productos corporativos y su roadmap. Será la responsable final de la gestión del proyecto si se realiza la transferencia a nivel regional. No es posible realizar dicha gestión si no se cuenta con un soporte contractual, convenio o recursos propios que permitan ejecutar el mantenimiento y soporte del sistema de información. 

ÁREAS TÉCNICAS STIC: Las distintas unidades técnicas a nivel provincial o regional corporativo, dependiendo del ámbito de producción objetivo, que tienen competencia en los diversos aspectos que afectan al sistema de información. Entre otras:

  • OTM > Oficina Técnica de Movilidad
  • OTI > Oficina Técnica de Interoperabilidad
  • OTBI > Oficina Técnica de Business Intelligence (explotación, analítica e inteligencia de datos-, etc)
  • ARQ > Área de Arquitectura
  • SISTEMAS > Área de Sistemas
  • USTIC > Unidad de Seguridad TIC


Descripción del flujo

  1. Todos los sistemas de información, locales o provinciales, deberían pasar por un proceso de autorización antes de su puesta en producción. En un ámbito específico -ORIGEN- se pretende generalizar el uso de un sistema de información (en adelante PRODUCTO) que bien no se ha utilizado previamente o hasta ese momento se ha restringido a un escenario concreto para extender su utilización como herramienta en el ámbito de producción y, casi siempre, ampliando su uso a un colectivo mayor de usuarios. El ORIGEN debe identificar un SPONSOR de negocio (asistencial/económico/gestión de personal, etc) con competencia suficiente en el nivel del ámbito de producción al que se pretende llevar el PRODUCTO y trasladarle la necesidad o beneficios del uso de estos SSII. En caso de no existencia de un SPONSOR competente, el requerimiento no sigue adelante. En caso positivo, el SPONSOR, avala la necesidad y traslada la solicitud de transferencia a entorno productivo independiente de su ámbito (local, provincial o regional) para ser valorada tanto por el ÁREA REFERENTE FUNCIONAL competente al entorno productivo objetivo como por el Coordinador de Estrategia del ÁREA DE SOLUCIONES CORPORATIVAS Y SOCIEDAD DIGITAL.
    1. El ÁREA REFERENTE FUNCIONAL competente evalúa la idoneidad del mismo a nivel funcional.
    2. Coordinador de Estrategia del ÁREA DE SOLUCIONES CORPORATIVAS Y SOCIEDAD DIGITAL evalúa cómo encaja la solución en el mapa de productos corporativos y su roadmap, o si no procede introducir el PRODUCTO por ser un elemento no alineado o estratégicamente ya cubierto en la implementación de la Estrategia de SSII.
    3. Coordinador de Estrategia del ÁREA DE SOLUCIONES CORPORATIVAS Y SOCIEDAD DIGITAL evalúa igualmente si la solución encaja como solución provincial o como solución regional.
      1. Si alguna de las evaluaciones es negativa, se informará al SPONSOR elevando informe argumentado negativo.
      2. Si ambas evaluaciones son positivas, el resultado de dichas evaluaciones es remitido a la COMISIÓN DE SSII, quien en última instancia se pronunciará sobre la idoneidad o no del sistema de información propuesto.
  2. Si no es aceptada la solución
    1. La Comisión de SSII informará al SPONSOR y al ORIGEN sobre dicha decisión.
  3. Si encaja como solución provincial.
    1. Ambos dictámenes son recogidos por el Área de proyectos provincial, que en caso de dictamen negativo informa al SPONSOR argumentando adecuadamente. 
    2. En caso de dictamen positivo, el Área de proyectos provincial toma contacto con el ORIGEN y solicita información de todas las características técnicas que proceda.
    3. Traslada a las ÁREAS TÉCNICAS STIC competentes las distintas características para que estas realicen un diagnóstico del cumplimiento de la normativa de la que son garantes y el tipo de cambios que serían necesarios para aceptar el PRODUCTO en su caso. Dichos diagnósticos son devueltos al Área de gestión de proyectos provincial, quien aúna los diagnósticos de las distintas ÁREAS TÉCNICAS STIC y evalúa de forma consolidada si el PRODUCTO:
      1. OPCIÓN 1. Debe ser excluido por incompatibilidades normativas.
        1. En este caso, se eleva informe argumentado negativo al SPONSOR.
      2. OPCIÓN2. Podría ser admitido pero necesita abordar cambios sustanciales en algunos aspectos técnicos o normativos.
        1. En este caso se realiza informe con el listado de cambios sustanciales a abordar y se traslada al ORIGEN.
        2. Si se abordan dichos cambios por parte del ORIGEN, se retoma el proceso con la evaluación por parte de las ÁREAS TÉCNICAS STIC para diagnosticar si ya se han subsanado los impedimentos. En caso de no abordarse o no subsanarse acorde a las indicaciones, queda excluido.
      3. OPCIÓN3. Puede ser admitido para abordar su uso en ámbito de producción y no necesita ninguna adaptación o las adaptaciones necesarias no son sustanciales y pueden realizarse como parte del proyecto de paso del PRODUCTO al ámbito de producción. En este caso debe identificarse si el mantenimiento a futuro y soporte del PRODUCTO una vez en ámbito productivo se realizará:
        1. Con recursos técnicos propios de la Subdirección Provincial TIC, en cuyo caso el Equipo Provincial TIC deberá evaluar si cuenta con recursos propios suficientes ya que será responsable tanto de la gestión como del mantenimiento y soporte del PRODUCTO tras su transferencia desde el ORIGEN.
          1. En caso negativo, informa al SPONSOR en este sentido argumentando adecuadamente.
          2. En caso positivo, el ORIGEN realiza la transferencia del PRODUCTO y el ÁREA REFERENTE FUNCIONAL confirmará quien será designado como responsable funcional del PRODUCTO ya como sistema de información productivo. El EQUIPO TIC PROVINCIAL asume su gestión, mantenimiento y soporte en el ámbito productivo provincial.
        2. Con recursos proporcionados por un proveedor o equipo externo, en cuyo caso el Equipo Provincial TIC deberá asegurarse de que existe la financiación y el soporte contractual, convenio o herramienta formal administrativa que permitan gestionar el mantenimiento y soporte en el ámbito productivo provincial por parte de un tercero de forma acorde a los procedimientos provinciales de manera que el ÁREA DE GESTIÓN DE PROYECTOS PROVINCIAL gestiona y el tercero (ORIGEN u otro) se encuentra obligado a prestar el servicio correspondiente.
          1. En caso negativo, informa al SPONSOR en este sentido argumentando adecuadamente.
          2. En caso positivo, el ORIGEN realiza la transferencia del PRODUCTO y el ÁREA REFERENTE FUNCIONAL confirmará quien será designado como responsable funcional del PRODUCTO ya como sistema de información productivo. El EQUIPO TIC PROVINCIAL asume su gestión, mantenimiento y soporte en el ámbito productivo provincial, ejecutando a través de la herramienta contractual o convenio identificado.
  4. Si encaja como solución regional.
    1. Ambos dictámenes son recogidos por el Área de Soluciones Corporativas y Sociedad Digital, que en caso de dictamen negativo informa al SPONSOR argumentando adecuadamente. 
    2. En caso de dictamen positivo, el Área de Soluciones Corporativas y Sociedad Digital toma contacto con el ORIGEN y solicita información de todas las características técnicas que proceda.
    3. Traslada a las ÁREAS TÉCNICAS STIC competentes las distintas características para que estas realicen un diagnóstico del cumplimiento de la normativa de la que son garantes y el tipo de cambios que serían necesarios para aceptar el PRODUCTO en su caso. Dichos diagnósticos son devueltos al Área de Soluciones Corporativas y Sociedad Digital, quien aúna los diagnósticos de las distintas ÁREAS TÉCNICAS STIC y evalúa de forma consolidada si el PRODUCTO:
      1. OPCIÓN 1. Debe ser excluido por incompatibilidades normativas.
        1. En este caso, se eleva informe argumentado negativo al SPONSOR.
      2. OPCIÓN 2. Podría ser admitido pero necesita abordar cambios sustanciales en algunos aspectos técnicos o normativos.
        1. En este caso se realiza informe con el listado de cambios sustanciales a abordar y se traslada al ORIGEN.
        2. Si se abordan dichos cambios por parte del ORIGEN, se retoma el proceso con la evaluación por parte de las ÁREAS TÉCNICAS STIC para diagnosticar si ya se han subsanado los impedimentos. En caso de no abordarse o no subsanarse acorde a las indicaciones, queda excluido.
      3. OPCIÓN 3. Puede ser admitido para abordar su uso en ámbito de producción y no necesita ninguna adaptación o las adaptaciones necesarias no son sustanciales y pueden realizarse como parte del proyecto de paso del PRODUCTO al ámbito de producción. En este caso debe identificarse si el mantenimiento a futuro y soporte del PRODUCTO una vez en ámbito productivo se realizará:
        1. Con recursos técnicos propios de la Subdirección Provincial TIC que solicita la corporativización, en cuyo caso el Equipo Provincial TIC deberá evaluar si cuenta con recursos propios suficientes ya que será responsable del mantenimiento y soporte del PRODUCTO tras su paso al ámbito de producción corporativo.
          1. En caso negativo, se informa al SPONSOR en este sentido argumentando adecuadamente.
          2. En caso positivo, el ORIGEN realiza la transferencia del PRODUCTO al EQUIPO TIC PROVINCIAL que actuará desde entonces con rol de proveedor, y al ÁREA DE SOLUCIONES CORPORATIVAS Y SOCIEDAD DIGITAL que gestionará a nivel corporativo dicho producto. El ÁREA REFERENTE FUNCIONAL confirmará quien será designado como responsable funcional del PRODUCTO ya como sistema de información productivo.
        2. Con recursos proporcionados por un proveedor o equipo externo, en cuyo caso el ÁREA DE SOLUCIONES CORPORATIVAS Y SOCIEDAD DIGITAL deberá asegurarse de que existe la financiación y el soporte contractual, convenio o herramienta formal administrativa que permita gestionar el mantenimiento y soporte en el ámbito productivo regional corporativo por parte de un tercero de forma acorde a los procedimientos corporativos de manera que el ÁREA DE SOLUCIONES CORPORATIVAS Y SOCIEDAD DIGITAL gestiona y el tercero (ORIGEN, u otro tras la transferencia desde el ORIGEN) se encuentra obligado a prestar el servicio correspondiente.
          1. En caso negativo, la iniciativa de llevar el PRODUCTO a entorno productivo corporativo queda pendiente de la existencia de la financiación y soporte contractual.
          2. En caso positivo, del ORIGEN realiza la transferencia del PRODUCTO al proveedor con el soporte contractual identificado y el ÁREA DE SOLUCIONES CORPORATIVAS Y SOCIEDAD DIGITAL planifica y ejecuta la transferencia de la gestión al ámbito corporativo con el nivel que se haya indicado. El ÁREA REFERENTE FUNCIONAL confirmará quien será designado como responsable funcional del PRODUCTO ya como sistema de información productivo.




  • Sin etiquetas