Y con este tercer artículo terminamos esta serie sobre “Organizaciones Privadas en el Esquema Nacional de Seguridad”. En este caso, hablaremos sobre roles en el Sector Público y en el Sector Privado. Puedes consultar aquí la primera parte y la segunda.

5.1 Responsable del Servicio y Responsable de la Información

Desde el punto de vista expresado en los apartados precedentes, los únicos servicios, según los entiende el ENS, son los prestados por el Sector Público. En consecuencia, es el organismo público el que debe nombrar un Responsable del Servicio y un Responsable de la Información que esos servicios traten. En ocasiones asumen dicho rol los responsables del área entre cuyas competencias está la prestación de algunos de esos servicios a la ciudadanía.

El operador perteneciente al Sector Privado no requiere nombrarlos, ya que seguirá las directrices de dichos roles en el organismo público al que le presta servicios para adecuar sus sistemas. Aunque un organismo público materialice sus servicios en base a servicios contratados externamente, sigue teniendo la responsabilidad de valorarlos a través de sus propios Responsables del Servicio y de la Información. Se admite que ambos roles puedan llegar a recaer en una misma persona.

Puede ser aceptable, aunque no frecuente, que la organización perteneciente al Sector Privado nombre a su vez a un Responsable del Servicio y a un Responsable de la Información, según los entiende el ENS. Esto puede ser con Roles específicos o equiparando otros roles existentes. En ese caso lo sustancial es que no pueden llevar la iniciativa, sino coordinarse y asumir las valoraciones y disposiciones de sus homónimos en el organismo público, que a la postre son los que se responsabilizan de los servicios públicos prestados a la ciudadanía, estén externalizados o no. En la práctica lo que ocurre es que únicamente se coordinan a través de Responsable de Seguridad del organismo público.

5.2 Comité de Seguridad y roles del ENS

El operador perteneciente al Sector Privado deberá disponer de un Responsable de Seguridad, que deberá velar por el cumplimiento de las medidas de seguridad en los sistemas, en su área de competencia delegada, debiendo coordinarse de ser necesario con el Responsable de Seguridad del organismo, que tendrá una visión holística al tener responsabilidad sobre todos los sistemas, propios y externalizados.

Lo mismo debe considerarse respecto al Comité de Seguridad, si se dispone en cualquiera de ambos (El Sector Público que contrata y/o el Sector Privado que es contratado).

Análogamente se requerirá un Responsable o Administrador del sistema para todo aquello que requiera ser administrado técnicamente respecto al servicio contratado, por lo que es imprescindible en el Operador Privado que administra sistemas o subsistemas por cuenta del Sector Público.

El organismo público que contrata, en el hipotético caso de que no dispusiera de ningún sistema debido a tenerlos todos externalizados, ya no requerirá asignar internamente la figura de Responsable del Sistema, y se apoyará en la del operador privado contratado. Si en vez de uno, los operadores contratados son varios, entonces sí que tiene sentido disponer de Responsable del Sistema en el organismo público, aunque sea a efectos de coordinación.

Se vislumbra que deberá estudiarse detenidamente cada caso particular, para encontrar la solución más efectiva en función del nivel de externalización, de los recursos disponibles y de la estructura y categoría de los sistemas.

5.3 Organizaciones multinacionales del Sector Privado

Estamos inmersos en una economía global, por lo que cada vez es más frecuente que organizaciones pertenecientes al Sector Privado aporten soluciones, o presten servicios, a las Administraciones Públicas en calidad de filial española de determinado grupo multinacional.

En esos casos, lo primero que solemos encontrarnos es que ya disponen de un sistema integrado de gestión (SIG) constituido por varias normas ISO, muchos de cuyos instrumentos organizativos – Por ejemplo políticas, normas internas, procedimientos, instrucciones operativas- se gestionan a nivel grupal.

Expresaré para empezar que debe estudiarse cada caso particular, siendo arriesgado e injusto generalizar. No obstante, no podemos olvidar, a diferencia de lo que ocurre con la norma ISO 27001, que el ENS es una norma española, concretamente amparada por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Ello quiere decir que no puede aprovecharse la política general integrada del grupo multinacional que actúa como proveedor, habitualmente en inglés y muy generalista, sino que como mínimo debe definirse un anexo a la misma que trate los requisitos del ENS, acorde a lo que dispone la medida de seguridad “Org.1 Política de Seguridad” del Anexo II del ENS, escrito en idioma español para facilitar su comprensión por parte del sujeto obligado por la norma, que requiera conocer dicha política.

Pensemos que es una práctica habitual que se le requiera al proveedor no únicamente el Certificado de Conformidad con las disposiciones del ENS, sino también el último informe detallado de auditoría y la política. Esta última para conocer a grandes rasgos cómo se gestiona la seguridad al amparo del ENS y el Informe de Auditoría para conocer cómo se garantizan las que sean de aplicación de las 75 medidas de seguridad que dispone el Anexo II del ENS. Es algo imprescindible para poder coordinar la seguridad entre ambas organizaciones.

En cuanto a los Roles, no deberían hacer referencia y materializarse en personas del grupo fuera del territorio Español, ya que a mi entender iría en contra de la “ratio legis” de la norma. Ya sé que, como indica el segundo párrafo del art. 3 del RS 3/2010, los sistemas que tratan información clasificada están excluidos del ámbito de aplicación del ENS, al estar regulados por Ley 9/1968, de 5 de abril, de Secretos Oficiales y demás normas de desarrollo, pero aun así estamos hablando de todo el Sector Público Español y organizaciones vinculadas o relacionadas, ya sea en base a sus competencias, o por ser proveedoras. En cualquier caso, deberían cumplir fielmente las funciones y requisitos que se especifican en la política, o el anexo a la política, o en el posible documento de roles y comités vinculado que suele disponerse en sistemas de gestión de seguridad de la información.

En ese sentido, si ya existe un Comité de Seguridad o equivalente en la sede internacional de la organización privada, propongo se cree un sub-comité local en España o uno de específico para cumplir con las disposiciones del ENS. Igual sucede con el Responsable de Seguridad, con los Administradores de Seguridad si existen y con el Responsable o Administrador del Sistema que, implícitamente, ya constituyen un grupo local, por lo que no ha de resultar demasiado difícil implementarlo.

Únicamente recordar que no debe depender jerárquicamente el Responsable de Seguridad del Responsable del Sistema, de modo que exista total imparcialidad en las decisiones, en pro de la seguridad, por parte del primero de ellos.

  1. Documentos consultados

[1] BOE. “Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad (ITS) de Conformidad con el Esquema Nacional de Seguridad”.

ITS de Conformidad

[2] Carlos Galán y José María Molina. Guía de Centro Criptológico Nacional “CCN-STIC-830 Ámbito de aplicación del Esquema Nacional de Seguridad”.

CCN-STIC-830

– [3] Apartado 5.4 “Terceras partes” de la Guía de Centro Criptológico Nacional “CCN-STIC-803 Valoración de los sistemas”, última edición revisada por José Antonio Mañas y AUDERTIS.

CCN-STIC-803