Responsables según el ENS – Tareas y Responsabilidades

by | ISO 27001 | 0 comments

Conocer cuáles son los responsables según el ENS es algo que debes tener muy en cuenta si quieres cumplir con el Esquema Nacional de Seguridad.

El Esquema Nacional de Seguridad (ENS), en el artículo 11 define los diferentes roles que deben existir para cumplir con el Real Decreto 311/2022.

En este artículo vas a encontrar:

  • El detalle de los diferentes responsables según el ENS.
  • Un desglose de las tareas y responsabilidades de cada uno de los responsables.
  • Una “estructura mínima” que te permite cumplir con el ENS si tu organización es pequeña y no puedes tener todos los roles en tu organización.
  • Ejemplos prácticos que ilustran cada función, para que puedas trasladarlo a tu organización.

Gráficamente lo que te voy a explicar en este artículo es lo siguiente:

esquema responsables y roles segun ENS

Contents

Responsables según el ENS

Según el artículo 11 del Esquema Nacional de Seguridad los diferentes responsables deben ser:

  • El responsable del servicio.
  • El responsable de seguridad.
  • El responsable de la información.
  • El responsable del sistema.

Esta es la estructura ideal de los diferentes responsables que deben existir para cumplir con el ENS y la estructura ideal para el Comité de Seguridad que propone el ENS.

Para cada uno de estos responsables te voy a detallar cuáles son las tareas y responsabilidades de cada uno de ellos.

Pero no en todas las organizaciones se puede mantener esta estructura de responsables ya que no es viable.

Y por lo tanto, debes de tener una estructura mínima de responsables con una serie de controles para evitar la concentración de responsabilidades (te lo detallo más adelante).

Tareas y responsabilidades del Responsable del Servicio

El responsable del servicio es la persona que tiene la autoridad de establecer los requisitos de un servicio en materia de seguridad.

Es decir, de establecer cuáles deben ser los niveles de seguridad para los servicios que presta la organización.

Algunas de sus tareas son:

  • Definir cuáles son los servicios críticos y las medidas de seguridad: accesos a áreas privadas, acceso por VPN, sistemas de transacciones económicas, etc.
  • Establecer cuáles deben ser los requisitos de disponibilidad para cada servicio: qué porcentaje de disponibilidad debe tener ese servicio.
  • Trabajar con el Responsable de Seguridad para introducir los servicios dentro de la continuidad del negocio: planes de recuperación, de copias de seguridad.

Tareas y Responsabilidades del Responsable de la Seguridad

El responsable de seguridad es la persona encargada de tener una visión global del negocio y mantener la seguridad de la información de todas las actividades y servicios que se llevan a cabo en ella.

Es el encargado de establecer protocolos de uso de contraseñas, cifrado de datos, establecer alarmas a los sistemas de información, actualización de sistemas de información, etc.

Entre sus tareas te podría decir que este rol debe:

  • Definir las reglas de seguridad de los sistemas de información: contraseñas, accesos a sistemas, acceso a datos, privilegios de accesos, etc.
  • Supervisar las medidas de seguridad.
  • Gestionar incidentes de seguridad.
  • Elaborar la Declaración de Aplicabilidad (en base al Anexo II del ENS)
  • Coordinar la formación y concienciación del personal.

Tareas y Responsabilidades del Responsable de la Información

El responsable de la información es la persona encargada del uso que va a hacer de la información desde el interior y del acceso a información que se pueda tener desde el exterior.

Y, por lo tanto, el responsable de su protección.

Estamos hablando de una persona que tiene responsabilidad cuando aparece un error o una negligencia y como consecuencia lleva asociado un incidente de confidencialidad y/o de integridad y/o de disponibilidad de la información.

Entre alguna de sus tareas se encuentran las siguientes:

  • Definir cómo categorizar la información: es el responsable de categorizar cada tipo de dato: BAJO, MEDIO, ALTO (según el Anexo I del ENS).
  • Valorar las consecuencias cuando ocurre un incidente de seguridad y cómo afecta a la organización.
  • Describir cómo debe protegerse los tipos de datos identificados (junto con el Responsable de Seguriad).
  • Aprobar políticas de seguridad y actualización de las mismas.

Tareas y Responsabilidades del Responsable del sistema de Información

El responsable del sistema de información es la persona encargada de gestionar el buen funcionamiento de los sistemas de información propios que utilice la organización.

También se encarga de supervisar la contratación y uso de sistemas de información de terceros (acceso a repositorios externos, servicios externos, etc).

Entre algunas de sus tareas se encuentran las siguientes:

  • Gestionar y operar los sistemas de información correctamente: asegurar que los servidores, bases de datos, aplicaciones funcionan correctamente.
  • Implementar y supervisar medidas de seguridad en los sistemas de información: protección contra virus, firewalls, control de accesos.
  • Realizar el mantenimiento de los sistemas de información: actualizaciones de software, parches de seguridad, confirmar la realización de copias de seguridad.
  • Analizar la implementación de nuevos sistemas de información propios o de terceros.

Estructura mínima de responsables según el ENS para organizaciones pequeñas

En organizaciones de tamaño pequeño, no es viable mantener esta estructura de cuatro roles diferentes ejecutados por cuatro personas diferentes.

Pero se puede mantener una estructura mínima tal y como se indica en la Guía de Seguridad CCN-STIC 801

El Esquema Nacional de Seguridad (ENS) establece que se debe evitar la concentración de funciones, por lo tanto te voy a proponer esta estructura mínima y adicionalmente una serie de controles compensatorios para garantizar la no concentración de funciones.

Los dos roles que puedes tener en tu organización si es pequeña son los siguientes:

  • Responsable de Seguridad Integral.
  • Responsable de Sistemas y Operación.

¿Por qué estos dos roles?

Porque es la forma más sencilla de cumplir con el artículo 11.2 del Esquema Nacional de Seguridad que dice así “…La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información concernidos”.

Es decir, que lo que quiere el ENS es que existan dos figuras diferenciadas:

  • Por un lado el rol que se encargue de la seguridad general.
  • Por otro el rol que se encargue de ejecutar las medidas de seguridad definidas por el rol de la seguridad general.

Por lo tanto, te propongo ahora que leas esta propuesta de dos roles y los controles compensatorios que he definido para cada uno.

Responsable de Seguridad Integral

Este rol agrupa las funciones de Responsable de la Seguridad, Responsable de la Información y Responsable del Servicio.

Es el encargado de gestionar tanto la seguridad de la información como la protección de los servicios que la organización ofrece.

Algunas de las funciones son:

  • Definir y clasificar la información: Establecer los niveles de seguridad (confidencialidad, integridad y disponibilidad) según la sensibilidad de la información, y clasificarla en consecuencia.
  • Establecer los requisitos de seguridad para los servicios: Asegurarse de que los servicios que la organización presta cumplen con los niveles de seguridad necesarios (por ejemplo, exigir que todos los servicios de acceso en línea estén protegidos mediante cifrado SSL y autenticación de dos factores).
  • Supervisar la implementación y cumplimiento de políticas de seguridad: Aprobar las medidas de seguridad implementadas, asegurando que estén alineadas con las políticas internas y el ENS.
  • Gestionar los incidentes de seguridad y la continuidad de los servicios: Proponer y coordinar el plan de respuesta ante incidentes y garantizar que los servicios críticos sigan funcionando, incluso en situaciones de emergencia (por ejemplo, cuándo activar un plan de recuperación)

Responsable de Sistemas y Operación

Este rol lleva a cabo las funciones del Responsable del Sistema. Se encarga de la operación y mantenimiento de la infraestructura tecnológica y la implementación de las medidas de seguridad de manera operativa.

Algunas de las funciones son:

  • Mantener la infraestructura tecnológica operativa: Gestionar, mantener y actualizar los sistemas y servidores, asegurando que estén siempre disponibles, funcionando correctamente y actualizados (por ejemplo llevar a cabo las actualizaciones de software en los servidores de la red de la organización)
  • Implementar controles de seguridad: Aplicar las medidas de seguridad definidas por el Responsable de Seguridad Integral, como configuraciones de firewalls, control de accesos y cifrado de datos.
  • Gestión de accesos: Asegurarse de que las personas adecuadas tengan acceso a los sistemas y datos correctos, y que se sigan los procedimientos para la creación, modificación y eliminación de cuentas de usuario.
  • Respuestas ante incidentes de seguridad: Gestionar la respuesta técnica ante incidentes de seguridad, como un ataque de malware o una brecha de seguridad, restaurando los sistemas afectados.

Controles para evitar la concentración de funciones en los responsables del ENS

La concentración de funciones se refiere a la situación en la que una sola persona tiene la autoridad y responsabilidad sobre varias tareas críticas dentro de la gestión de la seguridad, sin una supervisión adecuada.

Esto puede generar conflictos de interés, falta de objetividad o simplemente errores no detectados que pueden comprometer la seguridad.

Por lo tanto, para esta estructura mínima, te voy a proponer algunos controles compensatorios para los dos roles que te he indicado.

Controles compensatorios para los roles “Responsable de Seguridad Integral” y “Responsable de Sistemas y Operación”

Revisión externa periódica:

Aunque el Responsable de Seguridad Integral y el Responsable de Sistemas y Operación puedan combinar varias funciones, es necesario que realices auditorías externas periódicas (yo te diría, al menos anuales).

En estas auditorías se debe revisar la aplicación de las políticas de seguridad, la gestión de incidentes y el cumplimiento de los controles operativos.

Esta revisión externa te asegurará de que las decisiones y prácticas del responsable de seguridad integral sean verificadas por un tercero y no queden exclusivamente bajo su control.

El objetivo es evitar que una sola persona tenga el control total sobre las decisiones críticas de seguridad sin ningún tipo de supervisión o verificación externa.

Segregación de tareas críticas:

Algunas tareas clave deben ser segregadas para evitar que una sola persona acumule todo el poder de decisión.

Por ejemplo:

  • El responsable de seguridad integral no debe poder aprobar cambios técnicos críticos en los sistemas de forma unilateral. Cualquier cambio importante en la infraestructura tecnológica debe ser aprobado por el Responsable de sistemas y operación.
  • La creación o eliminación de cuentas de acceso debe ser revisada por el Responsable de la Seguridad Integral y validada por el Responsable del Sistema y Operación.

El objetivo es asegurar que las decisiones cruciales sean tomadas con una segunda opinión o verificación para evitar conflictos de interés y mantener la transparencia en los procesos.

Documentación y validación de decisiones

Cualquier decisión importante tomada por el Responsable de Seguridad Integral o el Responsable de Sistemas y Operación debe ser documentada y revisada.

Por ejemplo:

  • modificación de los niveles de seguridad de la información,
  • implementación de nuevas medidas de seguridad
  • Respuestas ante incidentes de seguridad.

El objetivo es mantener un registro claro de las decisiones tomadas y permitir que sean revisadas y validadas por otros miembros del equipo o la alta dirección, para garantizar que se siguen los procedimientos adecuados.

Formación continua y concienciación:

Es fundamental que todo tu personal involucrado en la gestión de la seguridad reciba formación continua sobre buenas prácticas de seguridad y sobre el manejo adecuado de la información y los sistemas.

El Responsable de Seguridad Integral debe asegurarse de que haya un plan de formación bien documentado y que se actualice regularmente.

El objetivo es involucrar a todos los empleados de tu organización en la protección de la información, para que la seguridad no dependa exclusivamente de unos pocos roles dentro de la organización.

En conclusión:

Si llevas a cabo esta estructura mínima de responsables, junto con los controles que te he indicado podrás optimizar los recursos limitado si trabajas en una organización pequeña.

La clave está en mantener una separación adecuada de tareas críticas y contar con revisiones externas que validen el trabajo realizado.

Así, podrás cumplir con las existencias del Esquema Nacional de Seguridad.

Bueno, espero que ahora sí entiendas bien cuáles son las responsabilidades que exige el ENS y cómo aplicarlos a tu organización.

Fecha: 21 abril 2025

Fuente Bibliográfica: Elaboración propia tras lectura del Real Decreto 311/2022 y la guía CCN-STIC-801

Fuente imagen principal: Freepik

Submit a Comment

Your email address will not be published. Required fields are marked *

Ive Consultores te informa que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Iván Torres como responsable de esta web.

Finalidad de la recogida y tratamiento de los datos personales: gestión de los comentarios que realizas en este blog.

Legitimación: Consentimiento del interesado. El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no atender pueda tu solicitud.

Derechos de acceso: podrás rectificar, limitar y suprimir los datos en ivan.torres@iveconsultores.com así como el derecho a presentar una reclamación ante una autoridad de control.

Información adicional: la encontrars en mi página web: http://www.iveconsultores.com, así como consultar mi política de privacidad.