Seleccionar página

La definición de responsabilidades en el Esquema Nacional de Seguridad

por | Jul 30, 2024 | Pyme, RGPD

responsabilidades-esquema-nacional-de-seguridad

El Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS) exige unos requisitos mínimos con los que garantizar la seguridad de la información tratada y los servicios prestados por las entidades privadas y administraciones públicas.

 

Importancia de Definir Responsabilidades

Entre los requisitos de obligado cumplimiento para las entidades que quieran que sus sistemas de información cumplan con la normativa y/o quieran pasar la certificación del ENS se encuentra el definir dichas responsabilidades.

Con esta definición de responsabilidades se busca comprometer a todos los miembros de la entidad, algo que en muchas ocasiones no es nada fácil debido a la cantidad de tareas diarias que soportan los trabajadores o debido a la dejadez que, en ocasiones, muestran algunos de los miembros directivos de la entidad.

 

conoce-responsabilidades-esquema-nacional-de-seguridad-ens

 

Perfiles de Responsabilidad y funciones de cada uno

Cumpliendo con la normativa se deben definir los siguientes perfiles: responsable del servicio, responsable de la información, responsable de la seguridad y responsable del sistema.

Las personas designadas para ocupar dichos perfiles tendrán las siguientes funciones:

 

Responsable de la Información

El responsable de la información determinará los requisitos de la información tratada.

 

Responsable del Servicio

El responsable del servicio determinará los requisitos de los servicios prestados.

 

Responsable de la Seguridad

El responsable de la seguridad:

  • Determinará las medidas de seguridad de naturaleza técnica que deberán ser implantadas.
  • Mantendrá y verificará el nivel adecuado de seguridad de la Información manejada y de los servicios electrónicos prestados por los sistemas de información.
  • Promoverá la formación y concienciación en materia de seguridad de la información.
  • Realizará el análisis de riesgos y la declaración de aplicabilidad.
  • Determinará la categoría del sistema, en colaboración con el responsable del sistema, para su eventual aprobación por el Comité de Seguridad de la Información.
  • Participará en la elaboración e implantación de los planes de mejora de la seguridad.
  • Gestionará las auditorías y los procesos de certificación.
  • Elevará al Comité de Seguridad la aprobación de cambios y otros requisitos del sistema.

 

Responsable del Sistema

El responsable del sistema:

  • Se encargará de implementar la seguridad en el sistema y de supervisar la operación diaria del mismo, siempre teniendo la posibilidad de delegar en administradores u operadores que estén bajo su responsabilidad.
  • Detendrá o suspenderá los servicios o el acceso a la información cuando tenga conocimiento de que estos presentan deficiencias graves de seguridad que puedan ser aprovechadas por terceros para realizar ataques.
  • Prestará al responsable de seguridad y/o el Comité de Seguridad asesoramiento para la determinación de la Categoría del Sistema.
  • Gestionará todo lo relacionado con las autorizaciones concedidas a los usuarios del sistema y sus privilegios.
  • Asegurará que se cumplen los controles de seguridad establecidos.
  • Supervisará las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no está comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.
  • Monitorizará el estado de seguridad del sistema y revisará con cierta frecuencia los eventos de seguridad que se produzcan.

 

Separación de Funciones y Medidas Compensatorias

A la hora de definir las responsabilidades, se debe tener en cuenta que el responsable de la seguridad debe ser distinto al responsable del sistema, no debiendo existir dependencia jerárquica entre ambos. En aquellas situaciones excepcionales en las que la ausencia justificada de recursos haga necesario que ambas funciones recaigan en la misma persona o en distintas personas entre las que exista relación jerárquica, deberán aplicarse medidas compensatorias para garantizar la finalidad del principio de diferenciación de responsabilidades previsto en el artículo 11 del Real Decreto 3/2010.

 

definicion-responsabilidades-ens

 

Documentación y Comunicación de Responsabilidades

Dicha definición de roles y responsabilidades deberá quedar documentada en la política de seguridad de la entidad la cual será comunicada a todos los miembros de la entidad.

 

Importancia de una Correcta Definición de Responsabilidades

Es muy importante tener en cuenta realizar correctamente la definición de responsabilidades ya que es el punto de partida para iniciar la adecuación al Esquema Nacional de Seguridad y es algo decisivo para que todo el proceso se realice con éxito.

 

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Abrir chat
1
💬 ¿Necesitas ayuda?
Hola 👋
¿En qué podemos ayudarte?
Sólo consultas comerciales. Para solicitar soporte accede al área de clientes.