Aunque su confección obedece a criterios amplia e internacionalmente reconocidos, los contenidos de las Guías CCN-STIC son recomendaciones, no mandatos imperativos.
La división de responsabilidades expresada en la Guía CCN-STIC 801 responde al mandato del art. 10 del ENS, cuando señala:
_"En_ _los_ _sistemas_ _de_ _información_ _se_ _diferenciará_ _el_ _responsable_ _de_ _la_ _información,_ _el_ _responsable_ _del_ _servicio_ _y_ _el_ _responsable_ _de_ _la_ _seguridad._ _El responsable_ _de la_ _información_ _determinará_ _los requisitos de_ _la_ _información_ _tratada;_ _el_ _responsable_ _del_ _servicio_ _determinará_ _los_ _requisitos_ _de_ _los_ _servicios_ _prestados;_ _y_ _el_ _responsable_ _de_ _seguridad_ _determinará_ _las_ _decisiones_ _para_ _satisfacer_ _los_ _requisitos_ _de_ _seguridad_ _de_ _la_ _información_ _y_ _de_ _los_ _servicios._ _La_ _responsabilidad_ _de_ _la_ _seguridad_ _de_ _los_ _sistemas_ _de_ _información_ _estará_ _diferenciada_ _de_ _la_ _responsabilidad_ _sobre_ _la_ _prestación_ _de_ _los_ _servicios._ _La_ _política_ _de_ _seguridad_ _de_ _la_ _organización_ _detallará_ _las_ _atribuciones_ _de_ _cada_ _responsable_ _y_ _los_ _mecanismos_ _de_ _coordinación_ _y_ _resolución_ _de_ _conflictos."_
La división de responsabilidades enunciada en la Guía CCN-STIC 801 es una recomendación, desarrollada para el mejor cumplimiento de lo dispuesto en el ENS, recomendación que se contiene de nuevo en la medida de seguridad "Segregación de funciones y tareas \[op.acc.3\]." del Anexo II y que vuelve a encontrarse, como uno de los objetivos de la Auditoría de Seguridad, en el Anexo III.1.
Llegado este punto, merece la pena insistir en la precisa exigencia que enuncia el antedicho art. 10 del ENS, cuando prohíbe que la función del Responsable de Seguridad recaiga en la misma persona que el Responsable del Servicio.
\\
\\
\\
\\
\\
\\
\\
\\
\\ |