Cambio en el Responsable de la Información

Esquema Nacional de Seguridad

¿Un cambio en el Responsable de la Información o del Servicio implicaría una nueva valoración de los servicios en el Esquema Nacional de Seguridad?

De acuerdo con lo establecido en el apartado 3.2. de la “Guía de Seguridad de las TIC CCN-STIC 803. ENS. Valoración de los Sistemas”, la valoración de la información la determina el responsable de la información, pero no de manera arbitraria, sino teniendo en cuenta:

  • Su naturaleza.
  • La normativa que le pueda ser de aplicación.

Es decir, se realiza una valoración de acuerdo con unos criterios de impacto aplicables a todas las dimensiones. En el proceso de valoración deberemos analizar para cada dimensión (confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad), los criterios de impacto establecidos en el apartado 2.1. de la Guía de Seguridad de las TIC CCN-STIC 803.

Es el responsable de la información quien realiza estas valoraciones, pero no de manera arbitraria, sino aplicando unos criterios de impacto.

Un cambio de responsable no tiene por qué implicar un cambio de valoración, siempre y cuando la información y el servicio se mantengan inalterables.

Conclusiones:

  • El responsable de la información valora los servicios de acuerdo con unos criterios de impacto aplicables a todas las dimensiones, y no de manera arbitraria.
  • Siempre que el cambio de responsable no implique un cambio en la naturaleza del servicio o la información, consideramos que no es necesario volver a realizar una nueva valoración.
  • 18 Agosto, 2021
  • Olga Martínez
  • Blog
  • 2 min
Volver al blog