Ya hemos comentado en este blog algunos aspectos relativos al Esquema Nacional de Seguridad. A saber, origen, alcance, finalidad, actores involucrados y un resumen de contenidos. Quería ahora centrar el foco de atención en uno de los aspectos que considero más destacados dentro del Esquema Nacional de Seguridad. Me refiero a la figura del Responsable de Seguridad que define el propio Esquema.
Creo que es obvio que toda tarea que no tenga un responsable detrás corre el riesgo de no ser ejecutada convenientemente, o simplemente no ser ejecutada. Solo por este hecho la necesidad de que exista la figura del responsable de seguridad en el contexto del Esquema Nacional de Seguridad es obvia y, por el bien de la seguridad, es además imprescindible.
En su artículo 10, el Esquema Nacional de Seguridad dice:
Existirá una instancia diferenciada que establezca los requisitos de seguridad y vele por su cumplimiento acorde a la normativa que sea de aplicación.
También existirá un procedimiento para dictaminar sobre los conflictos que surjan entre la prestación de los servicios y su seguridad, de forma que se alcance un equilibrio entre los mismos, que será aprobado por el responsable del servicio.»
En este artículo puede verse como se definen tres responsabilidades diferenciadas sobre un mismo servicio (nótese que hablamos de responsabilidades, no de personas):
- la mencionada responsabilidad en la seguridad del servicio,
- la responsabilidad de la prestación del servicio y
- la responsabilidad del servicio.
En la práctica podemos hablar de una o de varias personas; pueden consultar entradas anteriores en las que comentábamos la figura del responsable de seguridad o CSO.
Por si el anterior artículo les resulta interpretable en alguno de sus términos, el Esquema Nacional de Seguridad dice explícitamente en su Anexo III punto 1.1:
a) Existencia de la figura del responsable de seguridad con autoridad sobre todas las personas relacionadas con sistemas de información y que informa a la dirección.»
Es decir, el primer punto que se auditará (en el futuro dedicaremos una entrada a las auditorias de seguridad en el contexto del Esquema Nacional de Seguridad) será la existencia de un responsable de seguridad, quien dispondrá de la autoridad necesaria sobre TODAS las personas relacionadas con los sistemas de información.
Así pues, definida la figura del responsable de seguridad veamos que atribuciones explicita el propio Esquema Nacional de Seguridad para la misma. En su artículo 34, en los puntos 6 y 7 dice:
7. En el caso de los sistemas de categoría ALTA, visto el dictamen de auditoría, el responsable del sistema podrá acordar la retirada de operación de alguna información, de algún servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta la satisfacción de las modificaciones prescritas.»
Además, en su Anexo II punto 2.3 el Esquema Nacional de Seguridad versa:
Como podemos leer, la responsabilidad y el poder ejecutivo real que el Esquema Nacional de Seguridad otorga a la figura del Responsable de Seguridad no es baladí. El Responsable de Seguridad es el responsable último de que las medidas de seguridad que nos exige el propio Esquema estén efectivamente implantadas y sean eficaces (si no eficientes). Podrá decidir sobre la conveniencia de llegar a limitar, modificar e incluso parar la prestación de alguno de los servicios o sistemas bajo su responsabilidad. En definitiva, tendrá poder ejecutivo real y transversal.
Desde mi punto de vista, lo que el Esquema Nacional de Seguridad dice acerca del responsable de seguridad es muy acertado. Si alguna crítica cabe hacer esta iría en la línea de enfatizar aún más el poder ejecutivo transversal de esta responsabilidad. ¿Por qué? Porque veo aparecer por el horizonte un conocido problema de los administradores de sistemas: El Director XXXX no les hace ni caso cuando le dicen que su password debe caducar al menos cada 6 meses. Como este ejemplo debe haber miles que responden al mismo patrón: “El de sistemas no es nadie para decirme a mí lo que tengo que hacer”. Bueno, pues va a resultar que sí que es alguien, alguien con mucho poder tácito y, en breve, con un poder ejecutivo fundamentado en una Ley.