Digo más. Es cierto que actualmente, en determinados organismos públicos, la figura del responsable de seguridad de la LOPD cae en puestos, si no políticos, que también, sí justo antes de ese escalafón. Significa eso que efectivamente esa responsabilidad cae muy a menudo fuera de TIC (y por tanto de sistemas).

La motivación de ese último párrafo venia del siguiente argumento:
1. Informática es vista en muchos organismos (públicos y privados) casi casi como un mal necesario (exagerando un poco, lo que quiero decir es que, desde mi punto de vista, no se le da la importancia real que debiera). Esto suele implicar que el peso específico del departamento no es de los mejores dentro de esas organizaciones. Lo que a su vez deriva en que esa persona de TIC tiene que ejecutar acciones para las que no tienen poder ejecutivo explicito en la jerarquía de la organización. Léase, frustración al canto.
2. Además creo seguro que esa figura caerá en TIC en más de uno y en más de dos organismos públicos. Creo que en última instancia esto es una verdad estadística aunque el ENS no diga en ningún sitio que así deba ser.

Pues bien, mi último párrafo, mi crítica al ENS, se ubicaba en los casos donde se dé el 1 (en mayor o menor medida) y el 2. Creo que si otorgamos mayor poder explícito a esa figura del Responsable de Seguridad evitaremos esas frustraciones posteriores, incrementando la probabilidad de que la seguridad sea una realidad y no solo un papel firmado.

Poniendome cenizo y por resumir: Sería una pena que el ENS (creo que muy bien parido en general) quedara en un cajón porque el responsable de seguridad es alguien que se cansó de decirle a la gente lo que tenía que hacer.