Modificació inminent de l'ENS

Recent publicat l’esborrany del Projecte de Real Decret de modificació del RD 3/2010 en el qual es regula l’Esquema Nacional de Seguretat, que tot i haver tingut una revisió al 2015, aquesta estava ja força desfasada, des de Infordisa hem decidit fer una sèrie d’articles en el que analitzarem la nova llei en profunditat.

Logo de esquema nacional de seguridad

En aquest primer article parlarem sobre com la imminent modificació de la llei, per fi aclareix el com repartir els diferents Rols i Responsabilitats a l’Entitat, ja que és un dels temes que més dubtes genera alhora d’establir les bases del nostre SGSI (Sistema de Gestió de Seguretat de la Informació) en les entitats amb pocs recursos com Ajuntaments de menys de 20.000 habitants o als Consells Comarcals.

L’article 11 parla sobre la Diferenciació de Responsabilitats de seguretat:

Citem textualment:

Artículo 11. Diferenciación de responsabilidades.

1. En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema.

2. La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

3. La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.

Ara si, al punt 1 es fa referència al responsable del sistema, que a l’antiga llei RD 3/2010, no sortia a l’article 10: Seguridad como función diferenciada, on només parlava del Responsable de la Informació, Responsable del Servei i Responsable de la Seguretat. Al aparèixer en aquest article indica implícitament la obligatorietat de fer el nomenament corresponent, cosa que al no aparèixer a l’antiga versió de l’ENS, quedava a l’aire sobre si era obligatori designar-lo o no.

El punt 2, indica que la figura de responsable de seguretat estarà diferenciada del responsable de la prestació del servei (responsable del sistema). Això, a priori, pot semblar que “complica” les coses a les administracions petites i amb pocs recursos, on només hi sol haver una sola persona al capdavant de les tasques d’IT, on si assumeix totes dues responsabilitats, entraria en clar conflicte amb aquest article. No obstant, l’article 13, ens torna a aclarir situacions com aquesta. Citem de nou:

Artículo 13. Organización e implantación del proceso de seguridad

(…)

2. La política de seguridad, en aplicación del principio de diferenciación de responsabilidades a que se refiere el artículo 11 y según se detalla en la sección 3.1 del Anexo II de este real decreto, deberá identificar inequívocamente a los responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización, distinguiendo los siguientes roles:

a) El responsable de la información determinará los requisitos de la información tratada.
b) El responsable del servicio determinará los requisitos de los servicios prestados.
c) El responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.

Fins aquí no indica res nou que no s’hagi desenvolupat a la guia CCN-STIC 801, però està bé que quedi ben especificat a la llei en un article. Seguim:

d) El responsable del sistema, por sí o a través de recursos propios o contratados, se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema, de la supervisión de la operación diaria del mismo pudiendo delegar en administradores u operadores bajo su responsabilidad.

Aquest punt aclareix que en cas de no poder disposar de recursos propis (personal) es podrà externalitzar aquesta responsabilitat a una empresa externa a través de contractació d’aquest servei, sent aquests els encarregats d’implementar la seguretat establerta (que prèviament haurà decidit el Responsable de Seguretat), i de la supervisió en l’operació diària. Cal matisar que donada la llei de contractació del sector públic, si es recorre a externalitzar aquesta figura, s’haurà de licitar el servei per la durada que es decideixi.

3. El responsable de la seguridad será distinto del responsable del sistema, salvo en aquellas situaciones excepcionales en las que la ausencia justificada de recursos haga necesario que, de manera temporal, ambas funciones recaigan en la misma persona.

Un cop més, recalca que la figura del responsable de seguretat serà diferent a la del Responsable del Sistema, però aquest cop “flexibilitza” l’incompliment de l’article 11 que comentàvem abans, permetent que en situacions en entitats petites amb recursos limitats, de forma excepcional, justificada i de manera temporal (i recalquem temporal), aquestes figures poden recaure sobre la mateixa persona. És molt probable que l’Auditor que ens vingui a certificar el nostre SGSI, a la primera auditoria ens ho passi indicant que caldrà resoldre-ho abans de la propera auditoria externa (bianual).

4. Una instrucción técnica de seguridad regulará el Esquema de Certificación de Responsables de la Seguridad, que recogerá las condiciones y requisitos exigibles en esta figura.

Aquest punt es força sorprenent, ja que indica per primer cop que la figura del Responsable de la Seguretat estarà Regulada mitjançant una ITS (Instrucció Tècnica de Seguretat), i és més que probable que igual que passa amb el DPD, aquesta figura haurà d’estar Certificada (CISO) per alguna entitat externa (ENAC, Ecouncil, IQNet, AENOR…), obligant així que aquesta figura, que te la responsabilitat de determinar els requisits de seguretat, supervisar la seguretat i en definitiva, “dirigir la batuta” del SGSI, estigui ben format i preparat per garantir la seguretat i benestar dels sistemes de la informació de l’entitat.

5. En el caso de servicios externalizados, salvo por causa justificada y documentada, la organización prestataria de dichos servicios deberá designar un POC (Punto o Persona de Contacto) de Seguridad de la información, que cuente con el apoyo de los órganos de dirección, y que canalice y supervise, tanto el cumplimiento de los requisitos de seguridad del servicio que presta o solución que provea, como las comunicaciones relativas a la seguridad de la información, así como la gestión de los incidentes para el ámbito del servicio que provea.

Este POC de seguridad, será el propio Responsable de Seguridad de la organización contratada o formará parte de su área o tendrá comunicación directa con la misma. Todo ello sin perjuicio de que la responsabilidad última resida en la entidad del sector público destinataria de los citados servicios.

Aquest punt parla bastant per si sol, i és bo que s’hagi d’indicar quins seran els punts de contacte amb els responsables de seguretat dels serveis externalitzats i establir la metodologia de comunicació per garantir el compliment de la seguretat en els serveis prestats. També dona a entendre la possibilitat d’externalitzar la figura del responsable de seguretat, tot i que la responsabilitat última recaigui en la pròpia entitat. Si contextualitzem aquest dos punts amb altres lleis d’aquest 2021 com és la 43/2021 en el que entre altres coses estableix les funcions del Responsable de la Seguretat de la Informació en les empreses de serveis essencials, és probable que obtinguem pistes sobre com anirà aquesta Instrucció tècnica de Seguretat que fa referència el punt 4.

A Infordisa disposem de consultors i tècnics especialitzats, certificats i amb gran experiència per poder assumir tant la figura de Responsable de la Seguretat com la figura de Responsable del Sistema i alhora garantir l’article 11: Diferenciación de Responsabilidades. Podeu posar-vos en contacte amb nosaltres ja sigui a través del següent formulari o amb un dels nostres comercials d’INFORDISA per a obtenir mes informació sobre aquests serveis.

Necessites ajuda amb l’ENS?

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *

Aquest lloc utilitza Akismet per reduir els comentaris brossa. Apreneu com es processen les dades dels comentaris.