Buenas tardes a todos.
Tengo una duda acerca de la incompatibilidad de las funciones de los responsables según el ENS.
Qué funciones no pueden ser ejecutadas por la misma personal: responsable de seguridad con responsable de servicio o el responsable de seguridad con el responsable de sistema.
Muchas gracias
Responsables según ENS
-
cantimploro
- PreparaTIC XXI
- Mensajes: 1010
- Registrado: 20 Jul 2010, 09:09
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Responsables según ENS
Responsable de seguridad debe ser distinto al responsable del sistema.
https://www.ccn-cert.cni.es/publico/sec ... xfaq4.html
https://www.ccn-cert.cni.es/publico/sec ... xfaq4.html
-
dianardv
- Usuario registrado
- Mensajes: 38
- Registrado: 19 Ago 2013, 11:24
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Responsables según ENS
Muchas gracias por tu pronta respuesta.
El caso es que me confunde el art 10 del ENS, la respuesta de la pregunta 4.8 y la 4.7 que adjunto a continuación. ¿Cual es la correcta?
Artículo 10. La seguridad como función diferenciada.
En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio y el responsable de la seguridad.
El responsable de la información determinará los requisitos de la información tratada; el responsable del servicio determinará los requisitos de los servicios prestados; y el responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.
La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.
4.7 ¿Puede una misma persona ser Responsable de la Información, Responsable del Servicio y Responsable de Seguridad?, ¿qué roles son incompatibles en una misma persona?
Ya hemos visto que el ENS prohíbe, explícitamente, que el Responsable del Sistema sea la misma persona que el Responsable de Seguridad. Obviamente, quién está legitimado para pronunciarse sobre la idoneidad de las medidas de seguridad adoptadas para securizar un Sistema, no puede ser la misma persona encargada de su explotación.
Hecha esta salvedad, nos preguntamos hasta qué punto el resto de las responsabilidades enunciadas en el ENS son susceptibles de ser asumidas de manera unificada.
4.8 ¿Es obligatoria la división de responsabilidades citada en la Guía STIC-801?
.....
Llegado este punto, merece la pena insistir en la precisa exigencia que enuncia el antedicho art. 10 del ENS, cuando prohíbe que la función del Responsable de Seguridad recaiga en la misma persona que el Responsable del Servicio.
El caso es que me confunde el art 10 del ENS, la respuesta de la pregunta 4.8 y la 4.7 que adjunto a continuación. ¿Cual es la correcta?
Artículo 10. La seguridad como función diferenciada.
En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio y el responsable de la seguridad.
El responsable de la información determinará los requisitos de la información tratada; el responsable del servicio determinará los requisitos de los servicios prestados; y el responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.
La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.
4.7 ¿Puede una misma persona ser Responsable de la Información, Responsable del Servicio y Responsable de Seguridad?, ¿qué roles son incompatibles en una misma persona?
Ya hemos visto que el ENS prohíbe, explícitamente, que el Responsable del Sistema sea la misma persona que el Responsable de Seguridad. Obviamente, quién está legitimado para pronunciarse sobre la idoneidad de las medidas de seguridad adoptadas para securizar un Sistema, no puede ser la misma persona encargada de su explotación.
Hecha esta salvedad, nos preguntamos hasta qué punto el resto de las responsabilidades enunciadas en el ENS son susceptibles de ser asumidas de manera unificada.
4.8 ¿Es obligatoria la división de responsabilidades citada en la Guía STIC-801?
.....
Llegado este punto, merece la pena insistir en la precisa exigencia que enuncia el antedicho art. 10 del ENS, cuando prohíbe que la función del Responsable de Seguridad recaiga en la misma persona que el Responsable del Servicio.
-
bridget
- PreparaTIC XXII
- Mensajes: 254
- Registrado: 07 May 2006, 17:26
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Responsables según ENS
Para profundizar más en el tema, te aconsejo te descargues la guía gratuita CCN-STIC-801
En ella hablan de los roles mínimos incompatibles, el de Seguridad es incompatible con los otros dos roles (Información, Servicio) pero en estructuras mínimas, el Responsable de la Información y el del Servicio pueden coincidir.
En los anexos de este documento que te recomiendo viene todo explicado.
En ella hablan de los roles mínimos incompatibles, el de Seguridad es incompatible con los otros dos roles (Información, Servicio) pero en estructuras mínimas, el Responsable de la Información y el del Servicio pueden coincidir.
En los anexos de este documento que te recomiendo viene todo explicado.
-
bridget
- PreparaTIC XXII
- Mensajes: 254
- Registrado: 07 May 2006, 17:26
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Responsables según ENS
Ah, una cosita, el Administrador de Seguridad no es lo mismo que el Responsable de Seguridad. A veces (en mi empresa por ejemplo) el Administrador de Seguridad es parte del departamento a cargo del Responsable del Servicio, pero no actúa por su cuenta sino siempre aplicando las medidas que el Responsable de Seguridad le dicta, teniendo cuidado de no afectar al servicio, claro.
Esto es como en la vida real, el que es juez no puede ser parte, y el que administra el sistema no puede decicidir qué medidas implantar o no, porque haría siempre lo más cómodo y no lo mejor desde el punto de vista de la seguridad (lo de seguridad siempre somos los malotes allá donde vamos, porque damos mucho trabajo a los de sistemas, comunicaciones, desarrollo...) Y ellos a nosotros muchos quebraderos de cabeza porque implementan servicios a veces sin considerar que tienen que cumplir unas características de seguridad definidas por nosotros de acuerdo a las políticas de aplicación (ENS, LOPD, etc.)
Esto es como en la vida real, el que es juez no puede ser parte, y el que administra el sistema no puede decicidir qué medidas implantar o no, porque haría siempre lo más cómodo y no lo mejor desde el punto de vista de la seguridad (lo de seguridad siempre somos los malotes allá donde vamos, porque damos mucho trabajo a los de sistemas, comunicaciones, desarrollo...) Y ellos a nosotros muchos quebraderos de cabeza porque implementan servicios a veces sin considerar que tienen que cumplir unas características de seguridad definidas por nosotros de acuerdo a las políticas de aplicación (ENS, LOPD, etc.)
-
dianardv
- Usuario registrado
- Mensajes: 38
- Registrado: 19 Ago 2013, 11:24
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Responsables según ENS
Muchas gracias bridget por las aclaraciones.
Pero lo que me hacía el lio era la frase del art 10
...
La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.
...
y las contradicciones en las respuestas de las preguntas frecuentes.
Pero creo que ya lo he entendido.
Gracias
Pero lo que me hacía el lio era la frase del art 10
...
La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.
...
y las contradicciones en las respuestas de las preguntas frecuentes.
Pero creo que ya lo he entendido.
Gracias
-
cantimploro
- PreparaTIC XXI
- Mensajes: 1010
- Registrado: 20 Jul 2010, 09:09
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Responsables según ENS
Tienes razón que la redacción es confusa, y la interpretación que hace el CCN, aunque lógica, no se puede derivar directamente de la redacción del RD.
La próxima versión del ENS, ya en desarrollo y que afortunadamente no os toca estudiar, da un paso adelante en el sentido de que muchas de las actuales recomendaciones pasan a ser normas jurídicamente vinculantes (normas técnicas de seguridad o NTS, tal y como ya existen las NTI para el ENI). Es de esperar que muchas de estas ambigüedades desaparezcan.
La próxima versión del ENS, ya en desarrollo y que afortunadamente no os toca estudiar, da un paso adelante en el sentido de que muchas de las actuales recomendaciones pasan a ser normas jurídicamente vinculantes (normas técnicas de seguridad o NTS, tal y como ya existen las NTI para el ENI). Es de esperar que muchas de estas ambigüedades desaparezcan.
.