Responsables del Esquema Nacional de Seguridad

Reciente publicado el borrador del Proyecto de Real Decreto de modificación del RD 3/2010 en el que se regula el Esquema Nacional de Seguridad, que a pesar de haber tenido una revisión en 2015, ésta estaba ya bastante desfasada, desde Infordisa hemos decidido hacer una serie de artículos en los que analizaremos la nueva ley en profundidad.
Logo de esquema nacional de seguridad
En este primer artículo hablaremos sobre cómo la inminente modificación de la ley, por fin aclara cómo repartir los diferentes Roles y Responsabilidades a la Entidad, ya que es uno de los temas que más dudas genera a la hora de sentar las bases de nuestro SGSI ( Sistema de Gestión de Seguridad de la Información) en las entidades con pocos recursos como Ayuntamientos de menos de 20.000 habitantes o en los Consejos Comarcales.
El artículo 11 habla sobre la Diferenciación de Responsabilidades de seguridad:
Citamos textualmente:

Artículo 11. Diferenciación de responsabilidades.

1. En los sistemas de información se diferenciará al responsable de la información, al responsable del servicio, al responsable de la seguridad y al responsable del sistema.

2. La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

3. La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.

Ahora sí, en el punto 1 se hace referencia al responsable del sistema, que en la antigua ley RD 3/2010, no salía en elartículo 10: Seguridad como función diferenciada, donde sólo hablaba del Responsable de la Información, Responsable del Servicio y Responsable de la Seguridad. Al aparecer en este artículo indica implícitamente la obligatoriedad de realizar el nombramiento correspondiente, lo que al no aparecer en la antigua versión del ENS, quedaba en el aire sobre si era obligatorio designarlo o no.
El punto 2 indica que la figura de responsable de seguridad estará diferenciada del responsable de la prestación del servicio (responsable del sistema). Esto, a priori, puede parecer que "complica" las cosas a las administraciones pequeñas y con pocos recursos, donde sólo suele haber una sola persona al frente de las tareas de IT, donde si asume ambas responsabilidades, entraría en claro conflicto con este artículo. Sin embargo, el artículo 13, nos vuelve a aclarar situaciones como ésta. Citemos de nuevo:

Artículo 13. Organización e implantación del proceso de seguridad

(…)

2. La política de seguridad, en aplicación del principio de diferenciación de responsabilidades a que se refiere el artículo 11 y según se detalla en la sección 3.1 del Anexo II de este real decreto, deberá identificar inequívocamente a los responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización, distinguiendo los siguientes roles:

a) El responsable de la información determinará los requisitos de la información tratada.
b) El responsable del servicio determinará los requisitos de los servicios prestados.
c) El responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfagan los requisitos y reportará sobre estas cuestiones.

Hasta aquí no indica nada nuevo que no se haya desarrollado en la guía CCN-STIC 801, pero está bien que quede bien especificado en la ley en un artículo. Seguimos:

d) El responsable del sistema, por sí oa través de recursos propios o contratados, se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema, de la supervisión de la operación diaria del mismo pudiendo delegar en administradoras u operadoras bajo su responsabilidad .

Este punto aclara que en caso de no poder disponer de recursos propios (personal) se podrá externalizar esta responsabilidad a una empresa externa a través de contratación de este servicio, siendo éstos los encargados de implementar la seguridad establecida (que previamente habrá decidido el Responsable de Seguridad), y de la supervisión en la operación diaria. Hay que matizar que dada la ley de contratación del sector público, si se recurre a externalizar esta figura, se tendrá que licitar el servicio por la duración que se decida.

3. El responsable de la seguridad será distinto del responsable del sistema, salvo en aquellas situaciones excepcionales en las que la ausencia justificada de recursos haya necesario que, de modo temporal, ambas funciones recaigan en la misma persona.

Una vez más, recalca que la figura del responsable de seguridad será diferente a la del Responsable del Sistema, pero esta vez "flexibiliza" el incumplimiento del artículo 11 que comentábamos antes, permitiendo que en situaciones en entidades pequeñas con recursos limitados, de forma excepcional, justificada y de modo temporal (y recalcamos temporal), estas figuras pueden recaer sobre la misma persona. Es muy probable que el Auditor que nos venga a certificar nuestro SGSI, en la primera auditoría nos lo pase indicando que habrá que resolverlo antes de la próxima auditoría externa (bianual).

4. Una instrucción técnica de seguridad regulará el Esquema de Certificación de Responsables de la Seguridad, que recogerá las condiciones y requisitos exigibles en esta figura.

Este punto es bastante sorprendente, ya que indica por primera vez que la figura del Responsable de la Seguridad estará Regulada mediante una ITS (Instrucción Técnica de Seguridad), y es más que probable que al igual que ocurre con el DPD, esta figura deberá estar Certificada (CISO) por alguna entidad externa (ENAC, Ecouncil, IQNet, AENOR…), obligando así a que esta figura, que tiene la responsabilidad de determinar los requisitos de seguridad, supervisar la seguridad y en definitiva, “dirigir la batuta” del SGSI, esté bien formado y preparado para garantizar la seguridad y el bienestar de los sistemas de la información de la entidad.

5. En el caso de servicios externalizados, salvo por causa justificada y documentada, la organización prestataria de dichos servicios deberá designar un POC (Punto o Persona de Contacto) de Seguridad de la información, que cuente con el apoyo de los órganos de dirección, y que canalice y supervise, tanto el cumplimiento de los requisitos de seguridad del servicio que presta o solución que provea, como las comunicaciones relativas a la seguridad de la información, así como la gestión de los incidentes para el ámbito del servicio que provea.

Este POC de seguridad, será el propio Responsable de Seguridad de la organización contratada o formará parte de su área o tendrá comunicación directa con la misma. Todo ello sin perjuicio de que la responsabilidad última resida en la entidad del sector público destinataria de los citados servicios.

Este punto habla bastante por sí solo, y es bueno que deba indicarse cuáles serán los puntos de contacto con los responsables de seguridad de los servicios externalizados y establecer la metodología de comunicación para garantizar el cumplimiento de la seguridad en los servicios prestados. También da a entender la posibilidad de externalizar la figura del responsable de seguridad, aunque la responsabilidad última recaiga en la propia entidad. Si contextualizamos estos dos puntos con otras leyes de este 2021 como es la 43/2021 en lo que entre otras cosas establece las funciones del Responsable de la Seguridad de la Información en las empresas de servicios esenciales, es probable que obtengamos pistas sobre cómo irá esta Instrucción técnica de Seguridad referida en el punto 4.
En Infordisa disponemos de consultores y técnicos especializados, certificados y con gran experiencia para poder asumir tanto la figura de Responsable de la Seguridad como la figura de Responsable del Sistema y al mismo tiempo garantizar el artículo 11: Diferenciación de Responsabilidades. 

¿Necesitas ayuda con el ENS?

Puede ponerse en contacto con nosotros ya sea a través del siguiente formulario o con uno de nuestros comerciales de INFORDISA para obtener más información sobre estos servicios.
Jordi Sala

Jordi Sala

Responsable de Marketing

Deja una comentario

Tu dirección de correo electrónico no será publicada. Los campos requeridos están marcados *

Publicar comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Otras publicaciones que te pueden interesar