Con la nueva Oficina Federal de Ciberseguridad, el Consejo Federal quería reforzar la seguridad informática en Suiza. Sin embargo, el centro de competencia ya no es responsable de proteger a la administración federal.
La seguridad en la administración federal es más que TI: una nueva oficina especializada debe garantizar un enfoque integral.
La promesa de hace un año era clara: el gobierno federal quería aprovechar sinergias y aunar fuerzas en el ámbito de la ciberseguridad. Con eso explicó la consejera federal Viola Amherd a principios de diciembre: por qué la nueva Oficina Federal de Ciberseguridad (BACS) llegará al Departamento de Defensa.
El BACS está a punto de comenzar. El 1 de enero surgirá la nueva Oficina Federal de lo que hoy es el Centro Nacional de Ciberseguridad (NCSC). El actual delegado de ciberseguridad, Florian Schütz, está al mando. Sin embargo, ya no queda mucho de la prometida unión de fuerzas. Además, las competencias en el ámbito de la ciberseguridad están divididas.
El Consejo Federal ha decidido esta semana transferir la protección de la administración federal contra los ciberataques a un nuevo organismo. Esta oficina especializada en seguridad de la información formará parte de la nueva Secretaría de Estado de Política de Seguridad (Sepos), que también se creará en la DDPS a principios de año. Sin embargo, actualmente todavía se encuentra sin línea.
El gobierno federal aún no ha supervisado suficientemente la seguridad informática
Por ejemplo, la oficina especializada ahora es responsable de establecer los requisitos técnicos mínimos para la seguridad informática para toda la administración federal. También debe aprobar excepciones u organizar controles. Hoy en día, un departamento del NCSC se encarga de estas tareas.
El motivo de la renovada reorganización de la seguridad informática es un enfoque holístico. En la Secretaría de Estado también estarán ubicados los departamentos especializados para controles de seguridad personal y seguridad operativa. Controlan a las personas a las que se les permite acceder a información clasificada o a las empresas que aceptan pedidos confidenciales para el gobierno federal.
Hoy en día existe un vacío en este ámbito, como lo demostró el caso de la empresa de TI Xplain en junio. Los delincuentes robaron datos de Xplain y los publicaron en la web oscura. Esto también incluyó información confidencial de la administración federal, que es cliente de Xplain. Según informes hubo Deficiencias de seguridad en los sistemas informáticos de Xplain. Revisado el gobierno federal nunca lo ha hecho.
La oficina especializada en seguridad de la información se ocupará en el futuro de la seguridad de las empresas proveedoras. Sin embargo, no se trata sólo de cuestiones técnicas de seguridad informática, sino también, por ejemplo, de precauciones organizativas.
La reorganización restringirá significativamente el alcance de la Oficina Federal de Ciberseguridad. Sólo es responsable de proteger la economía y especialmente la infraestructura crítica. Se elimina el laborioso desarrollo de especificaciones internas y tareas administrativas, lo que también puede aportar ventajas para la Oficina Federal.
Al mismo tiempo, en la administración federal ya no existe un centro de competencias claro en materia de ciberseguridad. La gran pregunta, por ejemplo, es quién comparecerá ante los medios en caso de un ciberataque al gobierno federal o a un proveedor. En Xplain fue Schütz. En el futuro, tal vez podría ser el Secretario de Estado de Política de Seguridad, aunque la seguridad informática operativa no es el área central de un diplomático como Thomas Greminger. como candidato al cargo aplica.
Los departamentos se resisten a los requisitos
Esta constelación plantea más preocupaciones. Los requisitos de seguridad informática encuentran repetidamente resistencia en los departamentos y oficinas. Entonces necesitas a alguien que trabaje en el tema seco y técnico dentro de la administración. Un diplomático con rango de Secretario de Estado tampoco parece especialmente adecuado en este caso. Por ello se teme que la nueva constelación no aumente la seguridad informática de la administración federal.
El Departamento de Defensa es consciente de que crear la nueva unidad especializada lleva tiempo. Por lo tanto, durante el próximo año y medio la responsabilidad de proteger la administración federal seguirá siendo de la Oficina Federal de Ciberseguridad. Sin embargo, esto también significa que las autoridades responsables deben seguir centrándose mucho en cuestiones organizativas, en lugar de poder finalmente concentrarse tranquilamente en mejorar la seguridad informática.
Para la nueva Secretaría de Estado, la nueva oficina especializada en seguridad de la información supone una una mayor distracción de la tarea real. Oficialmente, el nuevo Secretario de Estado sigue siendo responsable de la política de seguridad. Pero la mayoría de los empleados se ocuparán de cuestiones de seguridad operativa.
La DDPS ya habla de una “Secretaría de Estado de Seguridad”. Este debería ser el centro de competencia para la política de seguridad y garantizar una seguridad integral de la información para el gobierno federal.