Modificación inminente del ENS

Reciente publicado el borrador del Proyecto de Real Decreto de modificación del RD 3/2010 en el que se regula el Esquema Nacional de Seguridad, que a pesar de haber tenido una revisión en el 2015, ésta estaba ya bastante desfasada, desde Infordisa hemos decidido hacer una serie de artículos en el que analizaremos la nueva ley en profundidad.

Logo de esquema nacional de seguridad

En este primer artículo hablaremos sobre cómo la inminente modificación de la ley aclara el cómo repartir los diferentes Roles y Responsabilidades en la Entidad, ya que es uno de los temas que más dudas genera la hora de establecer las bases de nuestro SGSI (Sistema de Gestión de Seguridad de la Información) en las entidades con menos pocos recursos como Ayuntamientos de menos de 20.000 habitantes o los Consejos Comarcales.

El Artículo 11 habla sobre la Diferenciación de Responsabilidades de seguridad:

Citamos textualmente:

Artículo 11. Diferenciación de responsabilidades.

1. En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema.

2. La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

3. La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.

Ahora si, el punto 1 se hace referencia al responsable del sistema, que en la antigua ley RD 3/2010, no salía en el artículo 10: Seguridad como funciones diferenciadas, donde sólo hablaba del Responsable de la Información, Responsable del Servicio y Responsable de la Seguridad. Al aparecer en este artículo indica implícitamente la obligatoriedad de hacer el nombramiento correspondiente, lo que al no aparecer en la antigua versión de la ENS, quedaba en el aire sobre si era obligatorio designarlo o no.

El punto 2, indica que la figura de responsable de seguridad estará diferenciada del responsable de la prestación del servicio (responsable del sistema). Esto, a priori, puede parecer que «complica» las cosas a las administraciones pequeñas y con pocos recursos, donde sólo suele haber una sola persona al frente de las tareas de IT, donde si asume ambas responsabilidades, entraría en claro conflicto con este artículo. No obstante, el artículo 13, nos vuelve a aclarar situaciones como ésta. Citemos de nuevo:

Artículo 13. Organización e implantación del proceso de seguridad

(…)

2. La política de seguridad, en aplicación del principio de diferenciación de responsabilidades a que se refiere el artículo 11 y según se detalla en la sección 3.1 del Anexo II de este real decreto, deberá identificar inequívocamente a los responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización, distinguiendo los siguientes roles:

a) El responsable de la información determinará los requisitos de la información tratada.
b) El responsable del servicio determinará los requisitos de los servicios prestados.
c) El responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.

Hasta aquí no indica nada nuevo que no se haya desarrollado en la guía CCN-STIC 801, pero está bien que quede bien especificado en la ley en un artículo. Seguimos:

d) El responsable del sistema, por sí o a través de recursos propios o contratados, se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema, de la supervisión de la operación diaria del mismo pudiendo delegar en administradores u operadores bajo su responsabilidad.

Este punto aclara que en caso de no poder disponer de recursos propios (personal) se podrá externalizar esta responsabilidad a una empresa externa a través de contratación de este servicio, siendo estos los encargados de implementar la seguridad establecida (que previamente habrá decidido el responsable de Seguridad), y de la supervisión en la operación diaria. Hay que matizar que dada la ley de contratación del sector público, si se recurre a externalizar esta figura, se deberá licitar el servicio para la duración que se decida.

3. El responsable de la seguridad será distinto del responsable del sistema, salvo en aquellas situaciones excepcionales en las que la ausencia justificada de recursos haga necesario que, de manera temporal, ambas funciones recaigan en la misma persona.

Una vez más, recalca que la figura del responsable de seguridad será diferente a la del Responsable del Sistema, pero esta vez «flexibiliza» el incumplimiento del artículo 11 que comentábamos antes, permitiendo que en situaciones en entidades pequeñas con recursos limitados, de forma excepcional, justificada y de manera temporal (y recalcamos temporal), estas figuras pueden recaer sobre la misma persona. Es muy probable que el Auditor que venga a certificar nuestro SGSI, en la primera auditoría nos lo pase indicando que habrá que resolverlo antes de la próxima auditoría externa (bianual).

4. Una instrucción técnica de seguridad regulará el Esquema de Certificación de Responsables de la Seguridad, que recogerá las condiciones y requisitos exigibles en esta figura.

Este punto se fuerza sorprendente, ya que indica por primera vez que la figura del Responsable de la Seguridad estará Regulada mediante una ITS (Instrucción Técnica de Seguridad), y es más que probable que al igual que ocurre con el DPD, esta figura deberá estar Certificada (CISO) por alguna entidad externa (ENAC, Ecouncil, IQNet, AENOR…), obligando así que esta figura, que tiene la responsabilidad de determinar los requisitos de seguridad, supervisar la seguridad y en definitiva, «dirigir la batuta» del SGSI, esté bien formado y preparado para garantizar la seguridad y bienestar de los sistemas de la información de la entidad.

5. En el caso de servicios externalizados, salvo por causa justificada y documentada, la organización prestataria de dichos servicios deberá designar un POC (Punto o Persona de Contacto) de Seguridad de la información, que cuente con el apoyo de los órganos de dirección, y que canalice y supervise, tanto el cumplimiento de los requisitos de seguridad del servicio que presta o solución que provea, como las comunicaciones relativas a la seguridad de la información, así como la gestión de los incidentes para el ámbito del servicio que provea.

Este POC de seguridad, será el propio Responsable de Seguridad de la organización contratada o formará parte de su área o tendrá comunicación directa con la misma. Todo ello sin perjuicio de que la responsabilidad última resida en la entidad del sector público destinataria de los citados servicios.

Este punto habla bastante por sí solo, y es bueno que se tenga que indicar cuáles serán los puntos de contacto con los responsables de seguridad de los servicios externalizados y establecer la metodología de comunicación para garantizar el cumplimiento de la seguridad en los servicios prestados. También da a entender la posibilidad de externalizar la figura del responsable de seguridad, aunque la responsabilidad última recaiga en la propia entidad. Si contextualizamos estos dos puntos con otras leyes de este 2021 como es la 43/2021 en el que entre otras cosas establece las funciones del Responsable de la Seguridad de la Información en las empresas de servicios esenciales, es probable que obtengamos pistas sobre cómo irá esta Instrucción técnica de Seguridad que hace referencia el punto 4.

A Infordisa disponemos de consultores y técnicos especializados, certificados y con gran experiencia para poder asumir tanto la figura de Responsable de la Seguridad como la figura de Responsable del Sistema y al mismo tiempo garantizar el artículo 11: Diferenciación de Responsabilidades. Puede ponerse en contacto con nosotros ya sea a través del siguiente formulario o de uno de nuestros comerciales de Infordisa para obtener más información sobre estos servicios.

¿Necesitas ayuda con el ENS?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.