Si estás implantando el Esquema Nacional de Seguridad (ENS) en tu empresa, deberás establecer un Comité de Seguridad de la Información.
Hoy te contamos cuáles son sus roles, funciones y responsabilidades.
El Esquema Nacional de Seguridad se actualizó en 2022 tras todos los cambios acontecidos en España y en la Unión Europea por la transformación digital de la sociedad.
Este nuevo ENS se rige por el Real Decreto 311/2022 y establece 4 roles en 2 niveles según su artículo 11. Los cuales también están detallados en la Guía 801 del Centro Criptológico Nacional.
A nivel de Gobierno podemos encontrar:
El Responsable de la Información:
Determina los requisitos de seguridad de la información tratada según los parámetros del anexo I del ENS. Puede tratarse de una persona o de un órgano colegiado.
El Responsable del Servicio:
Determina los requisitos de seguridad de los servicios prestados según los parámetros del anexo I del ENS. Puede tratarse de una persona física singular o de un órgano colegiado, formando parte de lo que se denomina Comité de Seguridad de la Información.
Debe incluir las especificaciones de seguridad en el ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.
A nivel Operativo podemos encontrar:
El Responsable de Seguridad (o CISO)
Determina las decisiones de seguridad pertinentes para satisfacer los requisitos establecidos por el responsable de la información y de los servicios. Deberá ser una persona física jerárquicamente independiente del responsable del sistema. En caso de servicios externalizados, la responsabilidad última la tiene siempre la entidad.
Funciones:
- Elaborar Planes con Medidas para gestionar los riesgos detectados.
- Supervisar y desarrollar las políticas de seguridad, normativas y procedimientos, su efectividad… Haciendo controles periódicos.
- Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad.
- Promover y formar sobre “buenas prácticas” de la organización en materia de ciberseguridad
- Remitir a la autoridad competente las notificaciones de incidencias con efectos adversos.
- Recibir, interpretar y supervisar la aplicación de instrucciones y guías de la autoridad competente
- Recopilar y suministrar información o documentación a la autoridad competente.
El Responsable del Sistema
Se encarga de la operación del Sistema de información atendiendo a las medidas de seguridad determinadas por el responsable de la seguridad. Su responsabilidad puede estar situada dentro de la organización o estar compartimentada. Los informes de autoevaluación y los informes de auditoría serán analizados por el responsable de la seguridad competente, que evaluará las conclusiones del Responsable del Sistema para que adopte las medidas correctivas adecuadas.
Funciones:
- Desarrollar, operar y mantener el sistema.
- Definir la tipología y política de Gestión del Sistema
- La conexión/desconexión de equipos/usuarios
- Aprobar los cambios operativos que afecten al sistema
- Decidir las medidas de seguridad que aplicarán los proveedores de componentes.
- Implantar controlar e integrar medidas específicas de seguridad.
- La configuración autorizada y aprobación de modificaciones sustanciales del hardware y software.
- Mantener actualizado el Análisis de Riesgos en el sistema
- Determinar la Categoría del Sistema (proceso en Anexo I ENS) y las medidas de seguridad que deben aplicarse (Anexo II ENS)
- Elaborar y aprobar la documentación del sistema y determinar las responsabilidades de los involucrados en el mantenimiento, explotación, implantación y supervisión del sistema.
- Ha de investigar Incidentes de Seguridad y comunicarlo a quien corresponda si procede
- Establecer Planes de Contingencia o Emergencia y llevar a cabo ejercicios calendarizados.
- Acordar el uso de determinada información o prestación de servicio si hay vulnerabilidades graves en el sistema, decisión acordada con el Responsable de Seguridad previamente.
En el Artículo 11 del Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad, también establece que:
- “En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema”
- “La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información.”
- “La política de seguridad de la información detalla las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos”.
¿Qué comenta el Marco Operacional Real Decreto 311/2022?
El Marco Operacional Real Decreto 311/2022 comenta la importancia de la “Segregación de Funciones y tareas” donde encontramos los requisitos que han de cumplirse. En concreto, describe “El sistema de control de accesos se organiza de forma que se exija la concurrencia de 2 o más personas para realizar tareas críticas…”. Lo que implica que:
- Las capacidades de desarrollo y operación no recaerán en la misma persona.
- Las personas que autorizan y controlan el uso de la información serán distintas.
- La misma persona no aunará funciones de configuración y mantenimiento del sistema.
- La misma persona no puede aunar funciones de auditoría o supervisión con cualquier otra función.
Una vez establecidos los roles a distintas personas de nuestra organización, y tras diferenciar bien las funciones y responsabilidades de cada una de ellas, ya dispondremos de nuestro Comité de Seguridad de la Información del Esquema Nacional de Seguridad.
Sin embargo, ante cualquier duda, puedes ponerte en contacto con el equipo de consultores especializados en ENS de Ingerter. Quienes te ayudarán a designar cada rol cumpliendo con la más estricta legalidad.
¿Necesitas que te ayudemos a implementarlo?
Desde Grupo Ingertec te ayudamos a implementar tu Esquema Nacional de Seguridad.
Contacta con nosotros para más información y uno de nuestros especialistas se pondrá en contacto contigo.
