El ENS (schéma national de sécurité espagnol) define cuatro roles diferenciados: el responsable de l'information, el responsable du service, el responsable de la sécurité y el responsable du système. La regla fundamental es que el responsable de la sécurité debe ser distinto del responsable du système, sin dependencia jerárquica entre ambos, para garantizar la séparation des fonctions.
Cuando una organización empieza a implantar l'ENS (schéma national de sécurité espagnol), uno de los primeros tropiezos llega al repartir los papeles. ¿Quién decide qué? ¿Puede el jefe de informática ser también el responsable de seguridad? ¿Dónde encaja el delegado de protección de datos? Estas dudas son comprensibles, porque l'ENS exige una estructura organizativa concreta que no siempre coincide con la jerarquía habitual de una entidad.
En esta guía explico, con la norma en la mano, los cuatro roles que define l'ENS, qué decide cada uno y por qué la separación entre el responsable de la sécurité y el responsable du système no es un capricho burocrático, sino una garantía de control. Si vienes de leer la guía completa dl'ENS (schéma national de sécurité espagnol), aquí profundizamos en la parte organizativa que muchos proyectos descuidan.
¿Qué roles define l'ENS y dónde están regulados?
La base normativa es el Décret royal 311/2022, de 3 de mayo, por el que se regula l'ENS (schéma national de sécurité espagnol). Su artículo 11, titulado precisamente «Diferenciación de responsabilidades», obliga a que la politique de sécurité de cada entidad identifique con claridad a los responsables de las siguientes funciones:
- Responsable de l'information: determina los requisitos de la información tratada.
- Responsable du service: determina los requisitos de los servicios prestados.
- Responsable de la sécurité: determina las decisiones para satisfacer los requisitos de sécurité de l'information y de los servicios, supervisa la mise en œuvre de las medidas necesarias y reporta sobre estas cuestiones.
- Responsable du système: se encarga de la operación del sistema (su gestión, explotación y mantenimiento).
El desarrollo concreto de cómo se organiza el proceso de seguridad lo encontramos en el artículo 13 del RD 311/2022, «Organización e mise en œuvre del proceso de seguridad». Y a un nivel más operativo, la guía CCN-STIC-801, «Responsabilidades y funciones en l'ENS», publicada por el Centre National Cryptologique (CCN), desarrolla en detalle cada figura, sus tareas y las relaciones entre ellas. Esta guía es la referencia práctica que utilizo en cualquier proyecto de mise en œuvre, porque traduce la norma a una estructura de gobierno aplicable.
Conviene tener clara una idea de partida: estos cuatro roles son funciones, no necesariamente cuatro personas distintas. Una misma persona puede acumular varias de estas funciones, salvo en una combinación concreta que la norma prohíbe expresamente y que veremos más adelante.
¿Quién es el responsable de l'information?
El responsable de l'information es quien decide qué necesita la información para estar adecuadamente protegida. Dicho de otro modo, fija los requisitos de sécurité de l'information en función de su valor para la organización: qué nivel de confidencialidad, integridad, trazabilidad y autenticidad exige cada conjunto de datos.
Es una figura de negocio, no técnica. Normalmente recae en quien tiene la responsabilidad última sobre los datos tratados: el titular de un área, un director de un departamento o el responsable funcional de un determinado tipo de información. Su decisión sobre los requisitos de la información condiciona después la categorización del sistema y, con ella, las mesures de sécurité que habrá que aplicar.
Un error frecuente es dejar este rol vacío o asignarlo por defecto al área de informática. No tiene sentido: el departamento técnico no es quien mejor conoce el valor de negocio de la información ni las conséquences de su pérdida o difusión. Esa valoración corresponde a quien gestiona el dato desde la perspectiva de la actividad de la entidad.
¿Quién es el responsable du service?
El responsable du service es el equivalente al anterior, pero referido a los servicios que la entidad presta. Determina los exigences de sécurité de cada servicio: cuánta disponibilidad necesita, qué nivel de continuidad es aceptable, qué tiempo máximo de interrupción puede tolerarse sin causar un perjuicio grave.
Pensemos en un servicio público electrónico, como la presentación telemática de una solicitud o la consulta de un expediente. El responsable du service es quien decide que ese servicio debe estar disponible en un horario determinado, que una caída prolongada tendría un impacto alto y que, por tanto, exige unas garantías concretas. De nuevo, es una decisión de negocio o de prestación, no técnica.
Tanto el responsable de l'information como el del servicio alimentan la categorización del sistema. Sus exigencias, traducidas a niveles en las dimensiones de seguridad, determinan si el sistema es de categoría básica, media o alta, y eso a su vez fija el conjunto de medidas obligatorias. Si quieres entender cómo se estructuran esas medidas, lo explico en el artículo sobre los controles dl'ENS: marcos organizativo, operacional y de protección.
¿Quién es el responsable de la sécurité en l'ENS?
El responsable de la sécurité es la figura central dl'ENS desde el punto de vista de la gestión. Según el artículo 11, le corresponde determinar las decisiones para satisfacer los exigences de sécurité de la información y de los servicios, supervisar la mise en œuvre de las medidas necesarias y reportar sobre estas cuestiones a la dirección.
Es importante entender qué significa esto en la práctica. El responsable de la sécurité no opera el sistema ni configura los servidores. Su trabajo es decidir cómo se protege la información y el servicio para cumplir los requisitos que fijaron los responsables de la información y del servicio, vigilar que esas medidas se implanten de verdad y dar cuenta del estado de la seguridad. Es un rol de dirección y supervisión, no de ejecución técnica.
Entre sus funciones habituales están: mantener la politique de sécurité alineada con la norma, impulsar el analyse de risques, validar la Declaración de Aplicabilidad, hacer seguimiento de las medidas, coordinar la respuesta ante incidentes y servir de interlocutor con la dirección y, en su caso, con el Centre National Cryptologique (CCN). Para que pueda desempeñar este papel necesita autoridad real y acceso directo a la dirección de la entidad.
La politique de sécurité que da soporte a todo esto debe estar redactada con rigor, porque es el documento que nombra los roles y reparte las responsabilidades. Si tu organización trabaja también con la la norma ISO 27001, conviene alinear ambos marcos desde la politique de sécurité de l'information (ISO 27001 y ENS) para no duplicar estructuras de gobierno.
¿Quién es el responsable du système?
El responsable du système es quien opera el sistema de información: se ocupa de su gestión, explotación y mantenimiento en el día a día. Es la figura más técnica de las cuatro y la que está más cerca de la infraestructura.
Sus tareas incluyen el desarrollo, la operación y el mantenimiento del sistema durante todo su ciclo de vida, la definición de su topología y sistema de gestión, la aplicación de los procedimientos operativos de seguridad y la suspensión del manejo de información o la prestación del servicio si detecta deficiencias graves de seguridad, comunicándolo al responsable de la sécurité. En entornos grandes este rol puede apoyarse en administradores de seguridad del sistema, que ejecutan tareas concretas bajo su dirección.
Aquí es donde aparece la regla de separación más conocida dl'ENS, y la que da sentido a todo el reparto de roles.
¿Por qué el responsable de la sécurité no puede ser el del sistema?
El artículo 11 del RD 311/2022 establece una regla tajante: el responsable de la sécurité será distinto del responsable du système, y no existirá dependencia jerárquica entre ambos. Esta separación es el corazón del principio de différenciation des responsabilités.
La razón es de control. El responsable du système es quien opera, configura y mantiene; el responsable de la sécurité es quien supervisa que esa operación cumple los exigences de sécurité y reporta sobre ello. Si ambas funciones recayeran en la misma persona, esa persona estaría supervisando su propio trabajo: sería juez y parte. La separación garantiza que quien vigila la seguridad no es quien decide cómo se ejecuta la operación, de manera que las deficiencias se detecten y se eleven, en lugar de quedar tapadas por conveniencia o por presión operativa.
La ausencia de dependencia jerárquica refuerza esta independencia. No basta con que sean dos personas: el responsable de la sécurité no puede estar subordinado al responsable du système (ni a la inversa), porque entonces la supervisión perdería su valor. Por eso el responsable de la sécurité debe reportar a la dirección o a un órgano de gobierno, no a la cadena técnica.
Es la misma lógica de séparation des fonctions que se aplica en otros ámbitos de control, como la auditoría interna frente a la operación, o la gestión de riesgos frente a la toma de decisiones de negocio. Quien ejecuta no se controla a sí mismo.
¿Se pueden acumular roles en una misma persona?
Sí, con un límite claro. Como los cuatro roles son funciones y no necesariamente cuatro personas, en organizaciones pequeñas es habitual y legítimo que una misma persona asuma varias de ellas. Por ejemplo, el responsable de l'information y el del servicio pueden coincidir, o el responsable de la sécurité puede asumir tareas de coordinación adicionales.
La única combinación que la norma prohíbe con carácter general es la de responsable de la sécurité y responsable du système en la misma persona, por la razón de control que acabamos de ver. Ahora bien, el propio artículo 11 contempla una excepción: en situaciones excepcionales, y por una falta justificada de recursos, esas dos funciones podrán recaer en la misma persona o en personas con relación jerárquica entre sí. Pero esa excepción no es gratuita.
Cuando una entidad se acoge a ella, debe aplicar medidas compensatorias que garanticen la finalidad del principio de différenciation des responsabilités. Es decir, hay que demostrar que, pese a la acumulación, existe un mecanismo que preserva el control: por ejemplo, una supervisión externa, una auditoría reforzada, la intervención de un comité de seguridad o un reporte independiente a la dirección. La excepción se documenta, se justifica y se compensa; no se da por hecho.
| Rol | Qué decide o hace | Naturaleza | A quién reporta | Incompatibilidades |
|---|---|---|---|---|
| Responsable de l'information | Determina los requisitos de sécurité de l'information tratada. | Negocio / funcional | Dirección de la entidad | Compatible con el resto de roles. |
| Responsable du service | Determina los exigences de sécurité de los servicios prestados. | Negocio / prestación | Dirección de la entidad | Compatible con el resto de roles. |
| Responsable de la sécurité | Decide cómo satisfacer los exigences de sécurité, supervisa la mise en œuvre de medidas y reporta. | Dirección / supervisión | Dirección u órgano de gobierno (sin pasar por la cadena técnica) | Incompatible con responsable du système (salvo excepción justificada con medidas compensatorias). |
| Responsable du système | Opera el sistema: gestión, explotación y mantenimiento. | Técnica / operativa | Estructura técnica de la entidad | Incompatible con responsable de la sécurité (salvo excepción justificada con medidas compensatorias). |
¿Dónde encaja el Comité de Seguridad de la Información?
Muchas políticas de seguridad incorporan, además de los cuatro roles, un Comité de Seguridad de la Información como órgano de coordinación y gobierno. No es uno de los cuatro responsables del artículo 11, sino una figura colegiada que sirve para coordinar las decisiones de seguridad entre las distintas áreas, resolver conflictos de prioridades y dar respaldo institucional al responsable de la sécurité.
Su utilidad es notable en entidades de cierto tamaño: reúne a la dirección, a los responsables de la información y del servicio, al responsable de la sécurité y, según el caso, a otras figuras como el delegado de protección de datos. Es también el órgano donde se aprueban la politique de sécurité y las grandes líneas del programa, y donde se rinde cuentas del estado de la seguridad. La guide CCN-STIC-801 lo encuadra en el nivel de gobierno, por encima de los niveles de supervisión y operativo.
Si tu organización está empezando, no necesitas montar un comité elaborado desde el primer día, pero sí conviene prever cómo se coordinarán las decisiones. En proyectos de conseil de mise en œuvre dl'ENS suelo recomendar definir el comité en la propia política, aunque al principio se reúna con una frecuencia modesta.
¿Es lo mismo el responsable de la sécurité que el DPO?
No, y conviene insistir en ello porque es una confusión frecuente. El responsable de la sécurité dl'ENS y el delegado de protección de datos (DPO) del Reglamento General de Protección de Datos son figuras distintas, con marcos normativos, funciones y objetivos diferentes.
El responsable de la sécurité vela por la seguridad de los sistemas de información y los servicios conforme al ENS: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de toda la información y los servicios, sean datos personales o no. El DPO, en cambio, supervisa el cumplimiento de la normativa de protección de datos personales y actúa como punto de contacto con la autoridad de control y con los interesados. Su perímetro es el dato personal; el del responsable de la sécurité, todo el sistema.
Pueden y deben coordinarse, porque la sécurité de l'information es uno de los pilares de la protección de datos, pero no se sustituyen ni deben concentrarse sin más en la misma persona sin valorar conflictos de funciones. Si quieres entender bien la figura del delegado, lo desarrollo en el artículo sobre el delegado de protección de datos: cuándo es obligatorio y qué funciones tiene.
Cómo aterrizar los roles en tu organización
La teoría es clara; lo difícil es llevarla a una entidad real sin generar fricción. Algunas pautas que aplico al definir la estructura de roles dl'ENS:
- Nombrar por escrito. Los cuatro roles se identifican en la politique de sécurité, con nombres y apellidos o, al menos, con cargos concretos. Un rol sin titular no existe a efectos de cumplimiento.
- Respetar la separación seguridad/sistema. Antes de asignar, comprueba que el responsable de la sécurité no es el responsable du système ni depende de él jerárquicamente. Si no hay más remedio, documenta la excepción y diseña las medidas compensatorias.
- Dar autoridad al responsable de la sécurité. Necesita reportar a la dirección y capacidad real para impulsar medidas. Un responsable de seguridad sin acceso a la dirección es una figura decorativa.
- Coordinar con protección de datos. Define cómo se relacionan el responsable de la sécurité y el DPO, sin confundir sus papeles.
- Apoyarse en la guide CCN-STIC-801. Es la referencia que detalla funciones, relaciones y modelos de organización según el tamaño de la entidad.
Este reparto de funciones es uno de los puntos que más se revisan en una auditoría dl'ENS, porque es fácil de comprobar y muy revelador del grado de madurez de la organización. Lo mismo ocurre cuando se integra con un sistema de gestión basado en la ISO 27001: ambos marcos exigen una asignación clara de responsabilidades de seguridad, y conviene unificarla para no mantener dos estructuras paralelas.
Trabajo estos proyectos desde Castilla y León y Las Palmas, acompañando a entidades en la definición de su estructura organizativa de seguridad y en la mise en œuvre completa dl'ENS.
Questions fréquentes
¿Qué roles define l'ENS?
El ENS (schéma national de sécurité espagnol), en el artículo 11 del RD 311/2022, define cuatro roles: el responsable de l'information (fija los requisitos de la información), el responsable du service (fija los requisitos de los servicios), el responsable de la sécurité (decide cómo satisfacer los exigences de sécurité, supervisa y reporta) y el responsable du système (opera el sistema). Son funciones diferenciadas que la politique de sécurité de cada entidad debe identificar con claridad.
¿Quién es el responsable de la sécurité en l'ENS?
Es la figura que determina las decisiones para satisfacer los requisitos de sécurité de l'information y de los servicios, supervisa la mise en œuvre de las medidas necesarias y reporta a la dirección sobre el estado de la seguridad. No opera el sistema: es un rol de dirección y supervisión que necesita autoridad real y reporte directo a la dirección de la entidad, sin depender de la cadena técnica.
¿Se pueden acumular roles en una misma persona?
Sí, varios de los cuatro roles pueden recaer en la misma persona, salvo la combinación de responsable de la sécurité y responsable du système, que la norma prohíbe con carácter general. El artículo 11 permite una excepción en situaciones excepcionales por falta justificada de recursos, pero exige aplicar medidas compensatorias que garanticen la finalidad del principio de différenciation des responsabilités.
¿Qué diferencia hay entre responsable du système y del servicio?
El responsable du service es una figura de negocio que determina los exigences de sécurité de los servicios prestados (disponibilidad, continuidad, impacto de una interrupción). El responsable du système es una figura técnica que opera el sistema de información: su gestión, explotación y mantenimiento. Uno fija qué necesita el servicio; el otro hace funcionar la infraestructura que lo soporta.
Sources
- Décret royal 311/2022, de 3 de mayo, por el que se regula l'ENS (schéma national de sécurité espagnol) (BOE-A-2022-7191) — artículo 11, «Diferenciación de responsabilidades».
- Artículo 13 del RD 311/2022, «Organización e mise en œuvre del proceso de seguridad» (Soporte ENS, Centre National Cryptologique (CCN)).
- Guía CCN-STIC-801, «Responsabilidades y funciones en l'ENS» (CCN-CERT, Centre National Cryptologique (CCN)).