El Esquema Nacional de Seguridad define cuatro roles diferenciados: el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema. La regla fundamental es que el responsable de la seguridad debe ser distinto del responsable del sistema, sin dependencia jerárquica entre ambos, para garantizar la separación de funciones.
Cuando una organización empieza a implantar el Esquema Nacional de Seguridad (ENS), uno de los primeros tropiezos llega al repartir los papeles. ¿Quién decide qué? ¿Puede el jefe de informática ser también el responsable de seguridad? ¿Dónde encaja el delegado de protección de datos? Estas dudas son comprensibles, porque el ENS exige una estructura organizativa concreta que no siempre coincide con la jerarquía habitual de una entidad.
En esta guía explico, con la norma en la mano, los cuatro roles que define el ENS, qué decide cada uno y por qué la separación entre el responsable de la seguridad y el responsable del sistema no es un capricho burocrático, sino una garantía de control. Si vienes de leer la guía completa del Esquema Nacional de Seguridad, aquí profundizamos en la parte organizativa que muchos proyectos descuidan.
¿Qué roles define el ENS y dónde están regulados?
La base normativa es el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad. Su artículo 11, titulado precisamente «Diferenciación de responsabilidades», obliga a que la política de seguridad de cada entidad identifique con claridad a los responsables de las siguientes funciones:
- Responsable de la información: determina los requisitos de la información tratada.
- Responsable del servicio: determina los requisitos de los servicios prestados.
- Responsable de la seguridad: determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisa la implantación de las medidas necesarias y reporta sobre estas cuestiones.
- Responsable del sistema: se encarga de la operación del sistema (su gestión, explotación y mantenimiento).
El desarrollo concreto de cómo se organiza el proceso de seguridad lo encontramos en el artículo 13 del RD 311/2022, «Organización e implantación del proceso de seguridad». Y a un nivel más operativo, la guía CCN-STIC-801, «Responsabilidades y funciones en el ENS», publicada por el Centro Criptológico Nacional, desarrolla en detalle cada figura, sus tareas y las relaciones entre ellas. Esta guía es la referencia práctica que utilizo en cualquier proyecto de implantación, porque traduce la norma a una estructura de gobierno aplicable.
Conviene tener clara una idea de partida: estos cuatro roles son funciones, no necesariamente cuatro personas distintas. Una misma persona puede acumular varias de estas funciones, salvo en una combinación concreta que la norma prohíbe expresamente y que veremos más adelante.
¿Quién es el responsable de la información?
El responsable de la información es quien decide qué necesita la información para estar adecuadamente protegida. Dicho de otro modo, fija los requisitos de seguridad de la información en función de su valor para la organización: qué nivel de confidencialidad, integridad, trazabilidad y autenticidad exige cada conjunto de datos.
Es una figura de negocio, no técnica. Normalmente recae en quien tiene la responsabilidad última sobre los datos tratados: el titular de un área, un director de un departamento o el responsable funcional de un determinado tipo de información. Su decisión sobre los requisitos de la información condiciona después la categorización del sistema y, con ella, las medidas de seguridad que habrá que aplicar.
Un error frecuente es dejar este rol vacío o asignarlo por defecto al área de informática. No tiene sentido: el departamento técnico no es quien mejor conoce el valor de negocio de la información ni las consecuencias de su pérdida o difusión. Esa valoración corresponde a quien gestiona el dato desde la perspectiva de la actividad de la entidad.
¿Quién es el responsable del servicio?
El responsable del servicio es el equivalente al anterior, pero referido a los servicios que la entidad presta. Determina los requisitos de seguridad de cada servicio: cuánta disponibilidad necesita, qué nivel de continuidad es aceptable, qué tiempo máximo de interrupción puede tolerarse sin causar un perjuicio grave.
Pensemos en un servicio público electrónico, como la presentación telemática de una solicitud o la consulta de un expediente. El responsable del servicio es quien decide que ese servicio debe estar disponible en un horario determinado, que una caída prolongada tendría un impacto alto y que, por tanto, exige unas garantías concretas. De nuevo, es una decisión de negocio o de prestación, no técnica.
Tanto el responsable de la información como el del servicio alimentan la categorización del sistema. Sus exigencias, traducidas a niveles en las dimensiones de seguridad, determinan si el sistema es de categoría básica, media o alta, y eso a su vez fija el conjunto de medidas obligatorias. Si quieres entender cómo se estructuran esas medidas, lo explico en el artículo sobre los controles del ENS: marcos organizativo, operacional y de protección.
¿Quién es el responsable de la seguridad en el ENS?
El responsable de la seguridad es la figura central del ENS desde el punto de vista de la gestión. Según el artículo 11, le corresponde determinar las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisar la implantación de las medidas necesarias y reportar sobre estas cuestiones a la dirección.
Es importante entender qué significa esto en la práctica. El responsable de la seguridad no opera el sistema ni configura los servidores. Su trabajo es decidir cómo se protege la información y el servicio para cumplir los requisitos que fijaron los responsables de la información y del servicio, vigilar que esas medidas se implanten de verdad y dar cuenta del estado de la seguridad. Es un rol de dirección y supervisión, no de ejecución técnica.
Entre sus funciones habituales están: mantener la política de seguridad alineada con la norma, impulsar el análisis de riesgos, validar la Declaración de Aplicabilidad, hacer seguimiento de las medidas, coordinar la respuesta ante incidentes y servir de interlocutor con la dirección y, en su caso, con el Centro Criptológico Nacional. Para que pueda desempeñar este papel necesita autoridad real y acceso directo a la dirección de la entidad.
La política de seguridad que da soporte a todo esto debe estar redactada con rigor, porque es el documento que nombra los roles y reparte las responsabilidades. Si tu organización trabaja también con la la norma ISO 27001, conviene alinear ambos marcos desde la política de seguridad de la información (ISO 27001 y ENS) para no duplicar estructuras de gobierno.
¿Quién es el responsable del sistema?
El responsable del sistema es quien opera el sistema de información: se ocupa de su gestión, explotación y mantenimiento en el día a día. Es la figura más técnica de las cuatro y la que está más cerca de la infraestructura.
Sus tareas incluyen el desarrollo, la operación y el mantenimiento del sistema durante todo su ciclo de vida, la definición de su topología y sistema de gestión, la aplicación de los procedimientos operativos de seguridad y la suspensión del manejo de información o la prestación del servicio si detecta deficiencias graves de seguridad, comunicándolo al responsable de la seguridad. En entornos grandes este rol puede apoyarse en administradores de seguridad del sistema, que ejecutan tareas concretas bajo su dirección.
Aquí es donde aparece la regla de separación más conocida del ENS, y la que da sentido a todo el reparto de roles.
¿Por qué el responsable de la seguridad no puede ser el del sistema?
El artículo 11 del RD 311/2022 establece una regla tajante: el responsable de la seguridad será distinto del responsable del sistema, y no existirá dependencia jerárquica entre ambos. Esta separación es el corazón del principio de diferenciación de responsabilidades.
La razón es de control. El responsable del sistema es quien opera, configura y mantiene; el responsable de la seguridad es quien supervisa que esa operación cumple los requisitos de seguridad y reporta sobre ello. Si ambas funciones recayeran en la misma persona, esa persona estaría supervisando su propio trabajo: sería juez y parte. La separación garantiza que quien vigila la seguridad no es quien decide cómo se ejecuta la operación, de manera que las deficiencias se detecten y se eleven, en lugar de quedar tapadas por conveniencia o por presión operativa.
La ausencia de dependencia jerárquica refuerza esta independencia. No basta con que sean dos personas: el responsable de la seguridad no puede estar subordinado al responsable del sistema (ni a la inversa), porque entonces la supervisión perdería su valor. Por eso el responsable de la seguridad debe reportar a la dirección o a un órgano de gobierno, no a la cadena técnica.
Es la misma lógica de separación de funciones que se aplica en otros ámbitos de control, como la auditoría interna frente a la operación, o la gestión de riesgos frente a la toma de decisiones de negocio. Quien ejecuta no se controla a sí mismo.
¿Se pueden acumular roles en una misma persona?
Sí, con un límite claro. Como los cuatro roles son funciones y no necesariamente cuatro personas, en organizaciones pequeñas es habitual y legítimo que una misma persona asuma varias de ellas. Por ejemplo, el responsable de la información y el del servicio pueden coincidir, o el responsable de la seguridad puede asumir tareas de coordinación adicionales.
La única combinación que la norma prohíbe con carácter general es la de responsable de la seguridad y responsable del sistema en la misma persona, por la razón de control que acabamos de ver. Ahora bien, el propio artículo 11 contempla una excepción: en situaciones excepcionales, y por una falta justificada de recursos, esas dos funciones podrán recaer en la misma persona o en personas con relación jerárquica entre sí. Pero esa excepción no es gratuita.
Cuando una entidad se acoge a ella, debe aplicar medidas compensatorias que garanticen la finalidad del principio de diferenciación de responsabilidades. Es decir, hay que demostrar que, pese a la acumulación, existe un mecanismo que preserva el control: por ejemplo, una supervisión externa, una auditoría reforzada, la intervención de un comité de seguridad o un reporte independiente a la dirección. La excepción se documenta, se justifica y se compensa; no se da por hecho.
| Rol | Qué decide o hace | Naturaleza | A quién reporta | Incompatibilidades |
|---|---|---|---|---|
| Responsable de la información | Determina los requisitos de seguridad de la información tratada. | Negocio / funcional | Dirección de la entidad | Compatible con el resto de roles. |
| Responsable del servicio | Determina los requisitos de seguridad de los servicios prestados. | Negocio / prestación | Dirección de la entidad | Compatible con el resto de roles. |
| Responsable de la seguridad | Decide cómo satisfacer los requisitos de seguridad, supervisa la implantación de medidas y reporta. | Dirección / supervisión | Dirección u órgano de gobierno (sin pasar por la cadena técnica) | Incompatible con responsable del sistema (salvo excepción justificada con medidas compensatorias). |
| Responsable del sistema | Opera el sistema: gestión, explotación y mantenimiento. | Técnica / operativa | Estructura técnica de la entidad | Incompatible con responsable de la seguridad (salvo excepción justificada con medidas compensatorias). |
¿Dónde encaja el Comité de Seguridad de la Información?
Muchas políticas de seguridad incorporan, además de los cuatro roles, un Comité de Seguridad de la Información como órgano de coordinación y gobierno. No es uno de los cuatro responsables del artículo 11, sino una figura colegiada que sirve para coordinar las decisiones de seguridad entre las distintas áreas, resolver conflictos de prioridades y dar respaldo institucional al responsable de la seguridad.
Su utilidad es notable en entidades de cierto tamaño: reúne a la dirección, a los responsables de la información y del servicio, al responsable de la seguridad y, según el caso, a otras figuras como el delegado de protección de datos. Es también el órgano donde se aprueban la política de seguridad y las grandes líneas del programa, y donde se rinde cuentas del estado de la seguridad. La guía CCN-STIC-801 lo encuadra en el nivel de gobierno, por encima de los niveles de supervisión y operativo.
Si tu organización está empezando, no necesitas montar un comité elaborado desde el primer día, pero sí conviene prever cómo se coordinarán las decisiones. En proyectos de consultoría de implantación del ENS suelo recomendar definir el comité en la propia política, aunque al principio se reúna con una frecuencia modesta.
¿Es lo mismo el responsable de la seguridad que el DPO?
No, y conviene insistir en ello porque es una confusión frecuente. El responsable de la seguridad del ENS y el delegado de protección de datos (DPO) del Reglamento General de Protección de Datos son figuras distintas, con marcos normativos, funciones y objetivos diferentes.
El responsable de la seguridad vela por la seguridad de los sistemas de información y los servicios conforme al ENS: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de toda la información y los servicios, sean datos personales o no. El DPO, en cambio, supervisa el cumplimiento de la normativa de protección de datos personales y actúa como punto de contacto con la autoridad de control y con los interesados. Su perímetro es el dato personal; el del responsable de la seguridad, todo el sistema.
Pueden y deben coordinarse, porque la seguridad de la información es uno de los pilares de la protección de datos, pero no se sustituyen ni deben concentrarse sin más en la misma persona sin valorar conflictos de funciones. Si quieres entender bien la figura del delegado, lo desarrollo en el artículo sobre el delegado de protección de datos: cuándo es obligatorio y qué funciones tiene.
Cómo aterrizar los roles en tu organización
La teoría es clara; lo difícil es llevarla a una entidad real sin generar fricción. Algunas pautas que aplico al definir la estructura de roles del ENS:
- Nombrar por escrito. Los cuatro roles se identifican en la política de seguridad, con nombres y apellidos o, al menos, con cargos concretos. Un rol sin titular no existe a efectos de cumplimiento.
- Respetar la separación seguridad/sistema. Antes de asignar, comprueba que el responsable de la seguridad no es el responsable del sistema ni depende de él jerárquicamente. Si no hay más remedio, documenta la excepción y diseña las medidas compensatorias.
- Dar autoridad al responsable de la seguridad. Necesita reportar a la dirección y capacidad real para impulsar medidas. Un responsable de seguridad sin acceso a la dirección es una figura decorativa.
- Coordinar con protección de datos. Define cómo se relacionan el responsable de la seguridad y el DPO, sin confundir sus papeles.
- Apoyarse en la guía CCN-STIC-801. Es la referencia que detalla funciones, relaciones y modelos de organización según el tamaño de la entidad.
Este reparto de funciones es uno de los puntos que más se revisan en una auditoría del ENS, porque es fácil de comprobar y muy revelador del grado de madurez de la organización. Lo mismo ocurre cuando se integra con un sistema de gestión basado en la ISO 27001: ambos marcos exigen una asignación clara de responsabilidades de seguridad, y conviene unificarla para no mantener dos estructuras paralelas.
Trabajo estos proyectos desde Castilla y León y Las Palmas, acompañando a entidades en la definición de su estructura organizativa de seguridad y en la implantación completa del ENS.
Preguntas frecuentes
¿Qué roles define el ENS?
El Esquema Nacional de Seguridad, en el artículo 11 del RD 311/2022, define cuatro roles: el responsable de la información (fija los requisitos de la información), el responsable del servicio (fija los requisitos de los servicios), el responsable de la seguridad (decide cómo satisfacer los requisitos de seguridad, supervisa y reporta) y el responsable del sistema (opera el sistema). Son funciones diferenciadas que la política de seguridad de cada entidad debe identificar con claridad.
¿Quién es el responsable de la seguridad en el ENS?
Es la figura que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisa la implantación de las medidas necesarias y reporta a la dirección sobre el estado de la seguridad. No opera el sistema: es un rol de dirección y supervisión que necesita autoridad real y reporte directo a la dirección de la entidad, sin depender de la cadena técnica.
¿Se pueden acumular roles en una misma persona?
Sí, varios de los cuatro roles pueden recaer en la misma persona, salvo la combinación de responsable de la seguridad y responsable del sistema, que la norma prohíbe con carácter general. El artículo 11 permite una excepción en situaciones excepcionales por falta justificada de recursos, pero exige aplicar medidas compensatorias que garanticen la finalidad del principio de diferenciación de responsabilidades.
¿Qué diferencia hay entre responsable del sistema y del servicio?
El responsable del servicio es una figura de negocio que determina los requisitos de seguridad de los servicios prestados (disponibilidad, continuidad, impacto de una interrupción). El responsable del sistema es una figura técnica que opera el sistema de información: su gestión, explotación y mantenimiento. Uno fija qué necesita el servicio; el otro hace funcionar la infraestructura que lo soporta.
Fuentes
- Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (BOE-A-2022-7191) — artículo 11, «Diferenciación de responsabilidades».
- Artículo 13 del RD 311/2022, «Organización e implantación del proceso de seguridad» (Soporte ENS, Centro Criptológico Nacional).
- Guía CCN-STIC-801, «Responsabilidades y funciones en el ENS» (CCN-CERT, Centro Criptológico Nacional).