Suscríbase y conozca cada mes novedades de GESCONSULTOR y mejores prácticas para
sus proyectos de Sistemas de Gestión. Consulte y acepte la Política de Privacidad

Roles, responsabilidades y competencias en el ENS (Guía CCN-STIC-801)

La Seguridad de la Información que el ENS promueve está íntimamente ligada a la gestión de los roles, responsabilidades, competencias, segregación de funciones y criterios de resolución de conflictos en el entorno organizativo del proyecto. En este sentido, el propio texto normativo del ENS hace continua mención a estas cuestiones, define roles requeridos y, entre su catálogo de Guías, ha sido desarrollada una específica para aportar criterio en estas cuestiones. Concretamente, la Guía CCN-STIC 801.

Este especial énfasis en las cuestiones relacionadas con las Personas y/u Órganos que intervienen dentro del amplio concepto de “Administración Electrónica”  responde a la contrastada evidencia que indica que un porcentaje muy elevado de incidentes relacionados con la seguridad TIC derivan de acciones u omisiones de personas en la Organización, por lo que los redactores del ENS y de sus Guías han tratado estos aspectos organizativos de la seguridad con el fin de minimizar y controlar la casuística que está en la causa raíz de estos problemas.

En el Esquema Nacional de Seguridad y la guía 801 del CCN, se definen una serie de roles y funciones, así como la posibilidad de establecer una serie de Comités para la Gestión de la Seguridad en la Organización. Concretamente se citan los siguientes perfiles principales:

  • # Responsable de Información: A nivel de gobierno, especifica los requisitos de la información en materia de seguridad.
  • # Responsable del Servicio: A nivel de gobierno, establece los requisitos de servicio en materia de seguridad.
  • # Responsable de Seguridad: Supervisa y coordina la seguridad de la información que se trata y de los servicios prestados por los sistemas de información en su ámbito de responsabilidad, además de promover la formación y concienciación en materia de seguridad.
  • # Responsable del Sistema: A nivel operacional, desarrolla y mantiene el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
  • # Administrador de la Seguridad: Se encarga, a nivel de ejecución, de la implementación y mantenimiento de las medidas de seguridad aplicables necesarias así como la gestión del Sistema de Información.

De igual forma, se especifica también la posibilidad de formar una serie de Comités para la gestión y toma de decisiones. Concretamente:

  • Comité de Seguridad de la Información
  • Comité de Seguridad Corporativa

GesConsultor GRC permite definir todas las estructuras organizativas existentes (Departamentos, Áreas, Secciones, etc.), los roles (ENS y otros afectados por este Marco) y asignarlos a las Personas / Órganos / Comités / Terceros que los asumen.

Estos roles y los titulares de los mismos son asignados a los Servicios, Informaciones y Sistemas identificados en el Organismo y, con ello, se obtiene un mapa organizativo completo que no solo refleja el catálogo de componentes base del ENS sino también las dependencias de los servicios respecto a sus responsables y, con ello, la base del tratamiento de riesgos vinculados al entorno organizacional, fundamental para el mapa de riesgos global.

Dentro del proyecto de cumplimiento del ENS estas estructuras organizativas aparecen en todas las fases del ciclo de vida del mismo, con lo que las responsabilidades en las actividades a desarrollar, grados de cumplimiento, planes de actuación, etc, contemplan en todo momento las cuestiones relacionadas con su asignación y responsabilización.

ENS - Comités y Roles conforme a CCN-STIC-801