CSO Público. El Responsable de Seguridad en el Esquema Nacional de Seguridad
Ya hemos comentado en este blog algunos aspectos relativos al
Esquema Nacional de Seguridad. A saber, origen, alcance, finalidad,
actores involucrados y un resumen de contenidos. Quería ahora centrar
el foco de atención en uno de los aspectos que considero más destacados dentro del Esquema Nacional de Seguridad. Me refiero a la figura del Responsable de Seguridad que define el propio Esquema.
Creo que es obvio que toda tarea que no tenga un responsable detrás corre el riesgo de no ser ejecutada convenientemente, o simplemente no ser ejecutada. Solo por este hecho la necesidad de que exista la figura del responsable de seguridad en el contexto del Esquema Nacional de Seguridad es obvia y, por el bien de la seguridad, es además imprescindible.
En su artículo 10, el Esquema Nacional de Seguridad dice:
Por si el anterior artículo les resulta interpretable en alguno de sus términos, el Esquema Nacional de Seguridad dice explícitamente en su Anexo III punto 1.1:
Así pues, definida la figura del responsable de seguridad veamos que atribuciones explicita el propio Esquema Nacional de Seguridad para la misma. En su artículo 34, en los puntos 6 y 7 dice:
Desde mi punto de vista, lo que el Esquema Nacional de Seguridad dice acerca del responsable de seguridad es muy acertado. Si alguna crítica cabe hacer esta iría en la línea de enfatizar aún más el poder ejecutivo transversal de esta responsabilidad. ¿Por qué? Porque veo aparecer por el horizonte un conocido problema de los administradores de sistemas: El Director XXXX no les hace ni caso cuando le dicen que su password debe caducar al menos cada 6 meses. Como este ejemplo debe haber miles que responden al mismo patrón: “El de sistemas no es nadie para decirme a mí lo que tengo que hacer”. Bueno, pues va a resultar que sí que es alguien, alguien con mucho poder tácito y, en breve, con un poder ejecutivo fundamentado en una Ley.
Autor: Sergio Sáez
Fuente: Security Art Work
Creo que es obvio que toda tarea que no tenga un responsable detrás corre el riesgo de no ser ejecutada convenientemente, o simplemente no ser ejecutada. Solo por este hecho la necesidad de que exista la figura del responsable de seguridad en el contexto del Esquema Nacional de Seguridad es obvia y, por el bien de la seguridad, es además imprescindible.
En su artículo 10, el Esquema Nacional de Seguridad dice:
«La seguridad como función diferenciada. La responsabilidad de la seguridad de los sistemas de información debe estar diferenciada de la responsabilidad sobre la prestación de los servicios. Existirá una instancia diferenciada que establezca los requisitos de seguridad y vele por su cumplimiento acorde a la normativa que sea de aplicación.En este artículo puede verse como se definen tres responsabilidades diferenciadas sobre un mismo servicio (nótese que hablamos de responsabilidades, no de personas):
También existirá un procedimiento para dictaminar sobre los conflictos que surjan entre la prestación de los servicios y su seguridad, de forma que se alcance un equilibrio entre los mismos, que será aprobado por el responsable del servicio.»
- la mencionada responsabilidad en la seguridad del servicio,
- la responsabilidad de la prestación del servicio y
- la responsabilidad del servicio.
Por si el anterior artículo les resulta interpretable en alguno de sus términos, el Esquema Nacional de Seguridad dice explícitamente en su Anexo III punto 1.1:
«La seguridad de los sistemas de información de una organización será auditada en los siguientes términos: a) Existencia de la figura del responsable de seguridad con autoridad sobre todas las personas relacionadas con sistemas de información y que informa a la dirección.»Es decir, el primer punto que se auditará (en el futuro dedicaremos una entrada a las auditorias de seguridad en el contexto del Esquema Nacional de Seguridad) será la existencia de un responsable de seguridad, quien dispondrá de la autoridad necesaria sobre TODAS las personas relacionadas con los sistemas de información.
Así pues, definida la figura del responsable de seguridad veamos que atribuciones explicita el propio Esquema Nacional de Seguridad para la misma. En su artículo 34, en los puntos 6 y 7 dice:
«6. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.
7. En el caso de los sistemas de categoría ALTA, visto el dictamen de auditoría, el responsable del sistema podrá acordar la retirada de operación de alguna información, de algún servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta la satisfacción de las modificaciones prescritas.»Además, en su Anexo II punto 2.3 el Esquema Nacional de Seguridad versa:
«La relación de medidas seleccionadas se formalizará en un documento denominado Declaración de Aplicabilidad, firmado por el responsable de la seguridad del sistema.»Como podemos leer, la responsabilidad y el poder ejecutivo real que el Esquema Nacional de Seguridad otorga a la figura del Responsable de Seguridad no es baladí. El Responsable de Seguridad es el responsable último de que las medidas de seguridad que nos exige el propio Esquema estén efectivamente implantadas y sean eficaces (si no eficientes). Podrá decidir sobre la conveniencia de llegar a limitar, modificar e incluso parar la prestación de alguno de los servicios o sistemas bajo su responsabilidad. En definitiva, tendrá poder ejecutivo real y transversal.
Desde mi punto de vista, lo que el Esquema Nacional de Seguridad dice acerca del responsable de seguridad es muy acertado. Si alguna crítica cabe hacer esta iría en la línea de enfatizar aún más el poder ejecutivo transversal de esta responsabilidad. ¿Por qué? Porque veo aparecer por el horizonte un conocido problema de los administradores de sistemas: El Director XXXX no les hace ni caso cuando le dicen que su password debe caducar al menos cada 6 meses. Como este ejemplo debe haber miles que responden al mismo patrón: “El de sistemas no es nadie para decirme a mí lo que tengo que hacer”. Bueno, pues va a resultar que sí que es alguien, alguien con mucho poder tácito y, en breve, con un poder ejecutivo fundamentado en una Ley.
Autor: Sergio Sáez
Fuente: Security Art Work
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!