Ya hemos comentado en este blog algunos aspectos relativos al Esquema Nacional de Seguridad. A saber, origen, alcance, finalidad, actores involucrados y un resumen de contenidos. Quería ahora centrar el foco de atención en uno de los aspectos que considero más destacados dentro del Esquema Nacional de Seguridad. Me refiero a la figura del Responsable de Seguridad que define el propio Esquema.
Creo que es obvio que toda tarea que no tenga un responsable detrás corre el riesgo de no ser ejecutada convenientemente, o simplemente no ser ejecutada. Solo por este hecho la necesidad de que exista la figura del responsable de seguridad en el contexto del Esquema Nacional de Seguridad es obvia y, por el bien de la seguridad, es además imprescindible.
En su artículo 10, el Esquema Nacional de Seguridad dice:
Existirá una instancia diferenciada que establezca los requisitos de seguridad y vele por su cumplimiento acorde a la normativa que sea de aplicación.
También existirá un procedimiento para dictaminar sobre los conflictos que surjan entre la prestación de los servicios y su seguridad, de forma que se alcance un equilibrio entre los mismos, que será aprobado por el responsable del servicio.»
En este artículo puede verse como se definen tres responsabilidades diferenciadas sobre un mismo servicio (nótese que hablamos de responsabilidades, no de personas):
- la mencionada responsabilidad en la seguridad del servicio,
- la responsabilidad de la prestación del servicio y
- la responsabilidad del servicio.
En la práctica podemos hablar de una o de varias personas; pueden consultar entradas anteriores en las que comentábamos la figura del responsable de seguridad o CSO.
Por si el anterior artículo les resulta interpretable en alguno de sus términos, el Esquema Nacional de Seguridad dice explícitamente en su Anexo III punto 1.1:
a) Existencia de la figura del responsable de seguridad con autoridad sobre todas las personas relacionadas con sistemas de información y que informa a la dirección.»
Es decir, el primer punto que se auditará (en el futuro dedicaremos una entrada a las auditorias de seguridad en el contexto del Esquema Nacional de Seguridad) será la existencia de un responsable de seguridad, quien dispondrá de la autoridad necesaria sobre TODAS las personas relacionadas con los sistemas de información.
Así pues, definida la figura del responsable de seguridad veamos que atribuciones explicita el propio Esquema Nacional de Seguridad para la misma. En su artículo 34, en los puntos 6 y 7 dice:
7. En el caso de los sistemas de categoría ALTA, visto el dictamen de auditoría, el responsable del sistema podrá acordar la retirada de operación de alguna información, de algún servicio o del sistema en su totalidad, durante el tiempo que estime prudente y hasta la satisfacción de las modificaciones prescritas.»
Además, en su Anexo II punto 2.3 el Esquema Nacional de Seguridad versa:
Como podemos leer, la responsabilidad y el poder ejecutivo real que el Esquema Nacional de Seguridad otorga a la figura del Responsable de Seguridad no es baladí. El Responsable de Seguridad es el responsable último de que las medidas de seguridad que nos exige el propio Esquema estén efectivamente implantadas y sean eficaces (si no eficientes). Podrá decidir sobre la conveniencia de llegar a limitar, modificar e incluso parar la prestación de alguno de los servicios o sistemas bajo su responsabilidad. En definitiva, tendrá poder ejecutivo real y transversal.
Desde mi punto de vista, lo que el Esquema Nacional de Seguridad dice acerca del responsable de seguridad es muy acertado. Si alguna crítica cabe hacer esta iría en la línea de enfatizar aún más el poder ejecutivo transversal de esta responsabilidad. ¿Por qué? Porque veo aparecer por el horizonte un conocido problema de los administradores de sistemas: El Director XXXX no les hace ni caso cuando le dicen que su password debe caducar al menos cada 6 meses. Como este ejemplo debe haber miles que responden al mismo patrón: “El de sistemas no es nadie para decirme a mí lo que tengo que hacer”. Bueno, pues va a resultar que sí que es alguien, alguien con mucho poder tácito y, en breve, con un poder ejecutivo fundamentado en una Ley.
Una pregunta, ¿de dònde, o còmo, deduces que el responsable de seguridad está en el àrea de sistemas?
Bien visto. El último párrafo es solo opinión. Nada indica en ningún sitio del ENS que la figura del Responsable de Seguridad vaya a caer en TIC (mucho menos en sistemas).
Digo más. Es cierto que actualmente, en determinados organismos públicos, la figura del responsable de seguridad de la LOPD cae en puestos, si no políticos, que también, sí justo antes de ese escalafón. Significa eso que efectivamente esa responsabilidad cae muy a menudo fuera de TIC (y por tanto de sistemas).
La motivación de ese último párrafo venia del siguiente argumento:
1. Informática es vista en muchos organismos (públicos y privados) casi casi como un mal necesario (exagerando un poco, lo que quiero decir es que, desde mi punto de vista, no se le da la importancia real que debiera). Esto suele implicar que el peso específico del departamento no es de los mejores dentro de esas organizaciones. Lo que a su vez deriva en que esa persona de TIC tiene que ejecutar acciones para las que no tienen poder ejecutivo explicito en la jerarquía de la organización. Léase, frustración al canto.
2. Además creo seguro que esa figura caerá en TIC en más de uno y en más de dos organismos públicos. Creo que en última instancia esto es una verdad estadística aunque el ENS no diga en ningún sitio que así deba ser.
Pues bien, mi último párrafo, mi crítica al ENS, se ubicaba en los casos donde se dé el 1 (en mayor o menor medida) y el 2. Creo que si otorgamos mayor poder explícito a esa figura del Responsable de Seguridad evitaremos esas frustraciones posteriores, incrementando la probabilidad de que la seguridad sea una realidad y no solo un papel firmado.
Poniendome cenizo y por resumir: Sería una pena que el ENS (creo que muy bien parido en general) quedara en un cajón porque el responsable de seguridad es alguien que se cansó de decirle a la gente lo que tenía que hacer.