(ES) ENS - ¿Es obligatoria la división de responsabilidades citada en la Guía CCN- STIC 801?

Aunque su confección obedece a criterios amplia e internacionalmente reconocidos, los contenidos de las Guías CCN-STIC son recomendaciones, no mandatos imperativos.
La división de responsabilidades expresada en la Guía CCN-STIC 801 responde al mandato del art. 10 del ENS, cuando señala:
"En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio y el responsable de la seguridad. El responsable de la información determinará los requisitos de la información tratada; el responsable del servicio determinará los requisitos de los servicios prestados; y el responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios. La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios. La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos."
La división de responsabilidades enunciada en la Guía CCN-STIC 801 es una recomendación, desarrollada para el mejor cumplimiento de lo dispuesto en el ENS, recomendación que se contiene de nuevo en la medida de seguridad "Segregación de funciones y tareas [op.acc.3]." del Anexo II y que vuelve a encontrarse, como uno de los objetivos de la Auditoría de Seguridad, en el Anexo III.1.
Llegado este punto, merece la pena insistir en la precisa exigencia que enuncia el antedicho art. 10 del ENS, cuando prohíbe que la función del Responsable de Seguridad recaiga en la misma persona que el Responsable del Servicio.