(ES) ENS - ¿Cuáles son las funciones que debe desarrollar el Responsable del Sistema, según el ENS? ¿Quién debe ser esta persona?

El Responsable del Sistema es un puesto operativo, no un cargo directivo o de gobierno. Suele recibir también la denominación de Responsable de Producción o Explotación, de manera que en él viene a recaer la responsabilidad de la prestación material del servicio.
Según se manifiesta en la Guía CCN-STIC-801, el Responsable del Sistema deberá asumir las siguientes responsabilidades:

• Desarrollar, operar y mantener del Sistema durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.
• Definir la topología y política de gestión del Sistema estableciendo los criterios de uso y los servicios disponibles en el mismo.
• Definir la política de conexión o desconexión de equipos y usuarios nuevos en el Sistema.
• Aprobar los cambios que afecten a la seguridad del modo de operación del Sistema.
• Decidir las medidas de seguridad que aplicarán los suministradores de componentes del Sistema durante las etapas de desarrollo, instalación y prueba del mismo.
• Implantar y controlar las medidas específicas de seguridad del Sistema y cerciorarse de que éstas se integren adecuadamente dentro del marco general de seguridad.
• Determinar la configuración autorizada de hardware y software a utilizar en el Sistema.
• Aprobar toda modificación sustancial de la configuración de cualquier elemento del Sistema.
• Llevar a cabo el preceptivo proceso de análisis y gestión de riesgos en el Sistema.
• Determinar la categoría del sistema según el procedimiento descrito en el Anexo I del ENS y determinar las medidas de seguridad que deben aplicarse según se describe en el Anexo II del ENS.
• Elaborar y aprobar la documentación de seguridad del Sistema.
• Delimitar las responsabilidades de cada entidad involucrada en el mantenimiento, explotación, implantación y supervisión del Sistema.
• Velar por el cumplimiento de las obligaciones del Administrador de Seguridad del Sistema (ASS).
• Investigar los incidentes de seguridad que afecten al Sistema, y en su caso, comunicación al Responsable de Seguridad o a quién éste determine.
• Establecer planes de contingencia y emergencia, llevando a cabo frecuentes ejercicios para que el personal se familiarice con ellos.
• Además, el responsable del sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables de la información afectada, del servicio afectado y el responsable de seguridad, antes de ser ejecutada.

Por tanto, este profesional debe poseer los conocimientos técnicos adecuados, así como la capacidad de gestionar la actividad de los operadores o técnicos de sistemas que tenga a su cargo (si los hubiere).

Por otro lado, nada impide que esta función sea asumida por una persona (o personas) externas a la propia organización (previa formalización contractual) y que pueda reportar al Comité de Seguridad o a los Responsables TIC del organismo. Hacemos notar de nuevo que puede delegarse la función, no la responsabilidad, que será siempre del organismo público. 

¿Cuáles son las funciones que debe desarrollar el Responsable de la Información según el ENS?,
¿quién debe ser?

Según se manifiesta en la Guía CCN-STIC-801, , el Responsable de la Información es la persona (u órgano colegiado con responsabilidad unitaria identificable) que tiene la potestad de establecer los requisitos de la información en materia de seguridad, o, en terminología del ENS, la persona que determina los niveles de seguridad de la información.

Por tanto, lo lógico será que el Responsable de la Información se corresponda con algún funcionario o empleado público (de carrera o de libre designación, según los casos) perteneciente a los niveles de gobierno del organismo público en cuestión (por ejemplo, cargos directivos en la AGE). Nótese que la información de alto nivel que se maneja en un órgano de la Administración Pública o Entidad de Derecho Público cae habitualmente dentro de un grupo reducido de tipos de información, tipos que son muy estables en el tiempo. La valoración se realiza una vez en una fase inicial de implantación del ENS y puede permanecer inalterable durante años.

Como en otras figuras, nada impide que esta responsabilidad pueda recaer en un órgano colegiado (presidido por una persona física, que será la que asumirá la responsabilidad formal de sus actos.) Por ejemplo, tal es el caso del Pleno de un Ayuntamiento, cuando determina y aprueba la valoración hecha de una determinada información y, en su consecuencia, aceptando el riesgo residual que pudiera permanecer tras el preceptivo Análisis de Riesgos y obtención de la Declaración de Aplicabilidad.

Aunque la aprobación formal de los niveles corresponda al responsable de la información, se puede recabar una propuesta al Responsable de Seguridad y conviene que se escuche la opinión del Responsable del Sistema.