Revisión de la política de seguridad de la información de EE. UU.
Defensa Nacional.- 1994.- Diciembre.- P. 24, 25.
Revisión de la política de seguridad de la información de EE.UU.
La Junta de Política de Seguridad de la Información de EE. UU., presidida por el Subsecretario de Defensa y el Director de la Agencia Central de Inteligencia (CIA), es responsable de preparar recomendaciones legislativas y administrativas para gestionar los procedimientos para el manejo de documentación clasificada y mejorar la confiabilidad y eficacia de los sistemas de seguridad. . El Comité está compuesto por los Subsecretarios o sus equivalentes del Estado Mayor Conjunto de las Fuerzas Armadas, el Consejo de Seguridad Nacional, los Departamentos de Estado y los Departamentos de Energía, Justicia y Comercio.
Se aplican las recomendaciones del Comité a asignaciones de sistemas de seguridad militares, de inteligencia, industriales y comerciales que en un grado u otro afectan la seguridad nacional de los Estados Unidos.
El presidente Clinton, en su directiva, encomendó al Comité la tarea de garantizar la seguridad de la tecnología de la información de la nación mediante la creación de sistemas de seguridad simplificados, unificados y rentables. El Comité debe encontrar un compromiso razonable entre la necesidad de simplificar los flujos de información y proteger la confidencialidad de la información.
Las operaciones militares en el Golfo Pérsico demostraron que cierta información tenía un nivel de secreto tan alto que era inaccesible para quienes la necesitaban desesperadamente. La mayoría de los sistemas de seguridad existentes están obsoletos. Se centran en proteger contra amenazas que en realidad pueden no existir (por ejemplo, detectar a un agente ruso trepando la valla de una instalación protegida a plena luz del día). Sin embargo, estos mismos sistemas ignoran la posibilidad de que un miembro del personal se lleve documentos clasificados en un maletín para su posterior transferencia a posibles adversarios estadounidenses.
Los sectores comercial e industrial desperdician mucho dinero en duplicaciones innecesarias.
Otras deficiencias incluyeron la falta de métodos efectivos para evaluar las amenazas, medidas para proporcionar información sobre las amenazas a quienes la necesitan; hay un retraso en el desarrollo de medidas efectivas para contrarrestar las amenazas a la seguridad.
Durante la «Guerra Fría» El gobierno abordó esporádicamente los problemas de seguridad de la información. Este enfoque fragmentado dio lugar a una serie de problemas.
Con los próximos cambios en la política de seguridad de la información, se espera que la principal industria de defensa se beneficie enormemente. Al mismo tiempo, la industria enfrenta demandas complejas y a menudo contradictorias del Departamento de Defensa, agencias de inteligencia y otras agencias gubernamentales. Los requisitos de la industria para herramientas y sistemas de seguridad a menudo superan los requisitos gubernamentales para la seguridad de la información. Hay demasiadas inspecciones y aceptaciones del mismo equipo por parte de diferentes agencias de seguridad gubernamentales que utilizan estándares diferentes. Por ejemplo, las empresas de desarrollo deben informar sobre todos los documentos confidenciales relacionados con el desarrollo. Se gasta mucho tiempo y dinero en esto. Es necesario que exista un único organismo que realice todos los controles, inspecciones y aceptaciones y se guíe por normas uniformes
Se espera que el Comité de Política de Seguridad de la Información preste especial atención a prevenir acciones maliciosas por parte del personal de sistemas de información, informática y seguridad, especialmente los empleados que ya han recibido autorización de seguridad. Según los datos disponibles, la mayoría de los crímenes que amenazan la seguridad nacional de Estados Unidos han sido cometidos durante las últimas décadas por esas personas. Esto quedó especialmente demostrado en el caso de A. Ames, cuyos detalles se incluyeron de una forma u otra en las recomendaciones del Comité.
La principal dirección para solucionar este problema debe ser el estudio de la situación financiera de las personas con acceso a información clasificada, especialmente aquellas que ocupan puestos de responsabilidad. La clasificación estricta de la información en categorías clasificadas y los sistemas de seguridad informática mejorados deberían ayudar a identificar a los empleados que intentan recopilar información que no deberían conocer debido a su puesto oficial. También se deben tener en cuenta los viajes de negocios de empleados al extranjero y los matrimonios con personas con ciudadanía de otros estados.
El trabajo sobre seguridad del personal debe estar centralizado y automatizado. El Servicio Conjunto de Investigación sería un organismo ideal para examinar los antecedentes del personal militar y de inteligencia y actualizar periódicamente sus archivos personales. Se debe adoptar un programa para ayudar a los empleados en situaciones difíciles y resolver sus problemas, ya que la experiencia demuestra que muchos estadounidenses se convierten en espías en un intento de salir de una situación difícil de esta manera.
La práctica de obtener la autorización adecuada es importante para aumentar la seguridad del personal y estudiar al personal con autorización de seguridad. Debería basarse en normas comunes, lo que simplificaría la interacción de los distintos departamentos en este ámbito. Se deben adoptar procedimientos claros y simples aprobados por el gobierno en lugar de procedimientos complejos y a menudo contradictorios que dificultan la realización de las tareas. Actualmente, los departamentos gubernamentales y las organizaciones industriales utilizan 45 formularios diferentes que deben completarse al solicitar una autorización de seguridad. Todos estos formularios esencialmente requieren respuestas a las mismas preguntas. La verificación de tolerancia debe realizarse a través de un canal central. Los tokens de acceso también deberían estandarizarse. Sólo estas dos medidas pueden reducir significativamente la pérdida de tiempo y dinero cuando el personal de seguridad verifica las autorizaciones de los visitantes de otras organizaciones.
Para simplificar las estructuras de los sistemas de seguridad, se debe desarrollar una metodología para estimar los costos de aplicar medidas y medios de seguridad. Actualmente, nadie puede saber cuánto dinero se gasta en seguridad, por lo que es difícil gestionar lo que no se puede medir.
El problema de la seguridad de la información y los sistemas informáticos es cada vez más importante. Las computadoras y las redes de comunicaciones son las más vulnerables a las amenazas, y protegerlas seguirá siendo una tarea importante hasta bien entrado el próximo milenio. Según un representante del Comité de Política de Seguridad de la Información, los recursos de información nacionales de Estados Unidos nunca han sido más accesibles y más vulnerables que ahora. No sólo la información gubernamental es vulnerable, sino también la información, la tecnología y la propiedad intelectual de diversas empresas, organizaciones e individuos. Aunque la interconexión de diferentes industrias y organizaciones es necesaria para el progreso económico, aumenta la vulnerabilidad de los sistemas de información. Los procedimientos de seguridad actuales diseñados para proteger los sistemas informáticos aislados de antaño son ineficaces para los sistemas actuales y futuros.
Reducir esta brecha requerirá una evaluación cuidadosa de las amenazas, una estrategia de inversión sólida y la participación de profesionales de seguridad altamente capacitados y financiación suficiente para la investigación y el desarrollo destinados a encontrar soluciones efectivas y rentables para proteger los sistemas de información clasificados y no clasificados. Aunque las amenazas militares inmediatas a Estados Unidos han disminuido, se debe tener en cuenta que el mundo está lleno de otras amenazas, ya que Estados Unidos es un importante objetivo de inteligencia para muchos países. Hay muchas personas en estos países que quieren tener acceso a los secretos estadounidenses. Sus intereses no se limitan a la información política y militar. Están mostrando un interés creciente por la información económica, científica, técnica y comercial. Por lo tanto, es necesario fortalecer la protección de dicha información y resolver este problema utilizando los últimos métodos avanzados y medios técnicos con los costos financieros más bajos.