Para finalizar la temporada actual vamos a exponer los problemas relacionados con las estructuras organizativas requeridas por el Esquema Nacional de Seguridad (Real Decreto 311/2022, ENS en adelante), ya que contemplan una serie de roles que, en la Administración Local, son complicados de implementar por la endémica escasez de recursos.
¿QUÉ REQUIERE EL ENS?
Nivel Gobierno.
- Responsable del Servicio. Determinará los requisitos de seguridad de los servicios prestados.
- Responsable de la Información. Determinará los requisitos de seguridad de la información tratada.
Roles asignados a personas, comités u órganos colegiados. Habitualmente asociados a jefaturas de unidades administrativas dado que, en teoría, son quienes conocen con mayor profundidad las características concretas de un servicio y de la información que trata, muy especialmente los requerimientos legales que les afectan y los datos que gestionan, lo que supone una ayuda relevante para las valoraciones correspondientes. En la práctica, estas personas necesitan una formación y soporte adecuado para que su conocimiento especializado se transforme en criterio aplicable en el ENS. Es admisible que estos roles sean asumidos por un Comité de Seguridad de la Información adecuadamente configurado, manteniendo siempre una participación fluida por parte de las personas responsables de las unidades administrativas.
Nivel Supervisión.
- Responsable de Seguridad. Determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.
Este rol es fundamental pero no fácil de identificar en un Ayuntamiento, ya que, idealmente, debería tener un conocimiento global de las unidades administrativas para interactuar adecuadamente con sus responsables pero también unos conocimientos técnicos globales que le permitan interactuar con el Responsable del Sistema y su equipo técnico. En la práctica, puede nombrarse un Responsable de Seguridad y Responsables de Seguridad Delegados (p.e. por especialidades), así como constituir un Comité al respecto.
Las empresas adjudicatarias de servicios externalizados deben nombrar un Responsable de Seguridad con las potestades suficientes para determinar las decisiones en materia de seguridad que sean necesarias en su organización.
Nivel Operación.
- Responsable del Sistema. Por sí o a través de recursos propios o contratados, se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad.
Este rol requiere de perfiles informáticos con los conocimientos y experiencia necesarios para la implementación, control, mantenimiento y evolución de la seguridad de los sistemas informáticos.
El ENS requiere que el Responsable de Seguridad y el Responsable del Sistema sean independientes y sin relación jerárquica entre ellos, algo que choca frontalmente con la realidad de los Ayuntamientos pequeños e incluso medianos, donde los recursos disponibles no permiten estos planteamientos, por lo que se deben documentar las medidas compensatorias correspondientes para contemplar en la mayor medida posible esta independencia.
PROBLEMA CRÓNICO = ESCASEZ DE RECURSOS
Siempre he defendido el ENS como una gran iniciativa teórica pero con poco realismo para llevarlo a la práctica en diferentes aspectos, muy especialmente cuando se trata de recursos humanos dado que, dentro de la histórica escasez de recursos en general, la escasa (o nula) disponibilidad de personas capacitadas para absorber las tareas que el ENS requiere supone un inhibidor de primer orden para una efectiva implantación y certificación en organismos cuyo volumen de personal es inversamente proporcional al volumen de servicios. Es decir, los Ayuntamientos.
Las diferencias con otros organismos están claras. Un ministerio o consejería gestiona temas determinados y bastante acotados (p.e. bienestar social, educación, sanidad, ordenación territorial, etc) mientras que un Ayuntamiento concentra la mayoría de estos temas dentro de sus competencias o por delegación de otros organismos competentes. Sólo es necesario acudir a los artículos 25 y 26 de la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local (LBRL en adelante) para comprender el…
Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.