Seguridad del ciclo de inteligencia

Aspecto de los programas nacionales de inteligencia.

Los programas nacionales de inteligencia y, por extensión, las defensas generales de las naciones, son vulnerables a los ataques. El papel de la seguridad del ciclo de inteligencia es proteger el proceso incorporado en el ciclo de inteligencia y aquello que éste defiende. Varias disciplinas se dedican a proteger el ciclo de inteligencia. Uno de los desafíos es que existe una amplia gama de amenazas potenciales, por lo que la evaluación de las amenazas , si se completa, es una tarea compleja. Los gobiernos intentan proteger tres cosas:

• Su personal de inteligencia
• Sus instalaciones y recursos de inteligencia.
• Sus operaciones de inteligencia

Defender el programa general de inteligencia, como mínimo, significa tomar medidas para contrarrestar las principales disciplinas de las técnicas de recopilación de inteligencia:

• Inteligencia Humana ( HUMINT )
• Inteligencia de Señales ( SIGINT )
• Inteligencia de imágenes ( IMINT )
• Inteligencia de Medición y Firma ( MASINT )
• Inteligencia Técnica ( TECHINT )
• Inteligencia de código abierto ( OSINT )

A ellas se suma al menos una disciplina complementaria, la contrainteligencia (CI), que, además de defender las seis anteriores, puede por sí misma producir inteligencia positiva. Gran parte, pero no todo, de lo que produce proviene de casos especiales de HUMINT.

También complementan la recopilación de inteligencia otras disciplinas protectoras, que es poco probable que produzcan inteligencia:

• Seguridad física (PHYSEC)
• Seguridad del personal (PERSEC)
• Seguridad de las comunicaciones (COMSEC)
• Seguridad del sistema de información (INFOSEC)
• Clasificación de seguridad
• Seguridad de operaciones (OPSEC)

Estas disciplinas, junto con la CI, forman la seguridad del ciclo de inteligencia , que, a su vez, forma parte de la gestión del ciclo de inteligencia . Las disciplinas involucradas en la "seguridad positiva", o medidas mediante las cuales la propia sociedad recopila información sobre su seguridad real o potencial, complementan la seguridad. Por ejemplo, cuando la inteligencia de comunicaciones identifica un transmisor de radio en particular como uno utilizado sólo por un país en particular, detectar ese transmisor dentro del propio país sugiere la presencia de un espía al que la contrainteligencia debería apuntar.

CI se refiere a los esfuerzos realizados por las organizaciones de inteligencia para evitar que las organizaciones de inteligencia hostiles o enemigas recopilen con éxito información de inteligencia contra ellas. Frank Wisner , un conocido ejecutivo de operaciones de la CIA, dijo de la autobiografía del Director de Inteligencia Central Allen W. Dulles , ^[1] que Dulles "elimina la idea errónea popular de que la contrainteligencia es esencialmente una actividad negativa y receptiva, que mueve sólo o principalmente en reacción a situaciones que se le imponen y en contra de iniciativas montadas por la oposición". Más bien, ve que puede ser más efectivo, tanto en la recopilación de información como en la protección de los servicios de inteligencia amigos, cuando ataca de manera creativa pero vigorosa la "estructura y el personal de servicios de inteligencia hostiles ^[2] En los manuales del ejército de EE. UU. de 1991 ^[3] y 1995 que trataban de contrainteligencia, ^[4] CI tenía un alcance más amplio contra las entonces principales disciplinas de recopilación de inteligencia, mientras que MASINT se definió como una disciplina formal en 1986, ^{[. 5] [6]} era lo suficientemente especializado como para no ser discutido en documentos generales de contrainteligencia de los próximos años.

Todos los departamentos y agencias estadounidenses con funciones de inteligencia son responsables de su propia seguridad en el exterior. ^[7]

En muchos gobiernos, la responsabilidad de proteger los servicios militares y de inteligencia está dividida. Históricamente, la CIA asignó la responsabilidad de proteger a su personal y sus operaciones a su Oficina de Seguridad, mientras que asignó la seguridad de las operaciones a múltiples grupos dentro de la Dirección de Operaciones: el personal de contrainteligencia y la unidad de área (o funcional), como la División de Rusia Soviética. . En un momento dado, la unidad de contrainteligencia operó de forma bastante autónoma, bajo la dirección de James Jesus Angleton . Más tarde, las divisiones operativas tuvieron ramas de contrainteligencia subordinadas, así como un personal central de contrainteligencia más pequeño. Aldrich Ames estaba en la Rama de Contrainteligencia de la División Europa, donde era responsable de dirigir el análisis de las operaciones de inteligencia soviéticas. Los servicios militares estadounidenses han tenido una división similar e incluso más compleja.

Algunas de las tareas generales de CI se describen como

• Desarrollar, mantener y difundir datos multidisciplinarios sobre amenazas y archivos de inteligencia sobre organizaciones, ubicaciones e individuos de interés para CI. Esto incluye infraestructura insurgente y terrorista e individuos que pueden ayudar en la misión de CI.
• Educar al personal en todos los campos de la seguridad. Un componente de esto es la sesión informativa multidisciplinaria sobre amenazas. Las sesiones informativas pueden y deben adaptarse, tanto en su alcance como en su nivel de clasificación. Luego se podrían utilizar sesiones informativas para familiarizar a los comandos apoyados con la naturaleza de la amenaza multidisciplinaria planteada contra el comando o la actividad.

¿Cambios en la doctrina para proteger todo el ciclo de inteligencia?

Sin embargo, la definición estadounidense de contrainteligencia se está reduciendo, mientras que la definición de Seguridad de Operaciones (OPSEC) parece estar ampliándose. Los manuales de principios de la década de 1990 describían a la CI como responsable de la detección general y la protección contra las amenazas al ciclo de inteligencia. Con las declaraciones de la Estrategia Nacional de Contrainteligencia 2005-2007, ya no está claro qué función es responsable de la protección general del ciclo de inteligencia. En esta reciente doctrina estadounidense, aunque no necesariamente la de otros países, la contrainteligencia (CI) ahora se ve principalmente como una contraparte de la Inteligencia Humana HUMINT al Servicio de Inteligencia Exterior (FIS). FIS es un término técnico que cubre tanto naciones como grupos no nacionales, estos últimos incluyen terroristas o crimen organizado involucrados en áreas que se consideran amenazas fundamentales a la seguridad nacional.

La Estrategia Nacional de Contrainteligencia de 2005 ^[8] establece la misión de CI como:

• operaciones antiterroristas
• aprovechar la ventaja:
• proteger la tecnología de defensa crítica
• derrotar la negación y el engaño extranjeros
• nivelar el campo de juego económico
• informar la toma de decisiones de seguridad nacional
• construir un sistema nacional de CI

La doctrina de inteligencia conjunta de Estados Unidos de 2007 ^[9] restringe su alcance principal a la lucha contra el HUMINT, que normalmente incluye la lucha contra el terrorismo. No siempre está claro, según esta doctrina, quién es responsable de todas las amenazas de recopilación de inteligencia contra un recurso militar o de otro tipo. El alcance completo de la doctrina de contrainteligencia militar estadounidense ha sido trasladado a una publicación clasificada, Publicación Conjunta (JP) 2-01.2, Counterintelligence and Human Intelligence Support to Joint Operations , por lo que públicamente se desconoce si allí se aclara ese problema.

Contramedidas a disciplinas de cobranza específicas

A continuación se enumeran contramedidas más específicas contra las disciplinas de recopilación de inteligencia.

Contra-HUMINT

Vea detalles adicionales sobre el Proyecto Slammer , que fue un esfuerzo del personal de la Comunidad de Inteligencia, bajo la dirección del Director de Inteligencia Central, para idear las características del Proyecto Slammer, un estudio de espionaje patrocinado por la Comunidad de Inteligencia.

Los aspectos de seguridad física, como los puestos de guardia y los guardias ambulantes que desafían a personas no identificadas, ciertamente ayudan a contrarrestar la HUMINT. La educación en seguridad, que también forma parte de OPSEC , es importante para este esfuerzo.

Contra-SIGINT

Las organizaciones militares y de seguridad proporcionarán comunicaciones seguras y pueden monitorear sistemas menos seguros, como teléfonos comerciales o conexiones generales a Internet, para detectar información inapropiada que pasa a través de ellos. Educación sobre la necesidad de utilizar comunicaciones seguras e instrucción sobre su uso adecuado para que no se vuelvan vulnerables a la interceptación técnica especializada . Es posible que se necesiten métodos que incluyan cifrado y seguridad del flujo de tráfico además de, o en lugar de, un blindaje especializado del equipo.

La gama de métodos posibles en Counter-SIGINT cubre una amplia gama desde lo que es apropiado en una zona de combate hasta lo que se puede hacer en un laboratorio de investigación. Al final del combate, si se puede atacar una antena de interceptación SIGINT enemiga, bombardearla a fondo y sus componentes electrónicos asociados definitivamente pondrá fin a su carrera como amenaza SIGINT. De una manera un poco menos dramática, puede ser atacado electrónicamente y enviarle señales electromagnéticas lo suficientemente fuertes como para ocultar cualquier señal amiga y tal vez sobrecargar y destruir la electrónica de la instalación SIGINT. La protección SIGINT para edificios de oficinas puede requerir que una habitación esté blindada electrónicamente.

Contra-IMINT

Los métodos básicos para contrarrestar IMINT son saber cuándo el oponente utilizará imágenes contra el propio bando e interferir con la toma de imágenes. En algunas situaciones, especialmente en sociedades libres, se debe aceptar que los edificios públicos siempre puedan estar sujetos a fotografía u otras técnicas.

Las contramedidas incluyen poner protección visual sobre objetivos sensibles o camuflarlos. Al contrarrestar amenazas como las de los satélites, el conocimiento de las órbitas puede guiar al personal de seguridad a detener una actividad, o tal vez a cubrir las partes sensibles, cuando el satélite está sobre sus cabezas. Esto también se aplica a las imágenes de aviones y vehículos aéreos no tripulados, aunque el recurso más directo de derribarlos o atacar su área de lanzamiento y apoyo es una opción en tiempos de guerra.

Contra-OSINT

Si bien el concepto precede con creces al reconocimiento de una disciplina de OSINT , la idea de censura de material directamente relevante para la seguridad nacional es una defensa básica de OSINT. En las sociedades democráticas, incluso en tiempos de guerra, la censura debe ser vigilada cuidadosamente para que no viole una libertad de prensa razonable, pero el equilibrio se establece de manera diferente en diferentes países y en diferentes momentos.

Generalmente se considera que Gran Bretaña tiene una prensa muy libre, pero el Reino Unido tiene el DA-Notice, anteriormente sistema D-notice . Muchos periodistas británicos consideran que este sistema se utiliza de forma justa, aunque siempre hay discusiones. En el contexto específico de la contrainteligencia, cabe señalar que Peter Wright , antiguo miembro de alto rango del Servicio de Seguridad que abandonó su servicio sin su pensión, se trasladó a Australia antes de publicar su libro Spycatcher . Si bien gran parte del libro fue un comentario razonable, reveló algunas técnicas específicas y sensibles, como la Operación RAFTER , un medio para detectar la existencia y configuración de receptores de radio.

Seguridad de las operaciones

Aunque los principios de OPSEC se remontan al comienzo de la guerra, la formalización de OPSEC como doctrina estadounidense comenzó con un estudio de 1965 llamado PURPLE DRAGON, ordenado por el Estado Mayor Conjunto, para determinar cómo los norvietnamitas podrían obtener una alerta temprana de ROLLING THUNDER. ataques con cazabombarderos contra el Norte y misiones ARC LIGHT B-52 contra el Sur. ^[10]

La metodología utilizada fue considerar qué información necesitaría saber el adversario para frustrar los vuelos y las fuentes de las cuales podría recopilar esta información.

Se hizo evidente para el equipo que, si bien existían programas tradicionales de contramedidas de seguridad e inteligencia, depender únicamente de ellos era insuficiente para negar información crítica al enemigo, especialmente información e indicadores relacionados con intenciones y capacidades. El grupo concibió y desarrolló la metodología de análisis de las operaciones estadounidenses desde un punto de vista adversarial para descubrir cómo se obtuvo la información.

Luego, el equipo recomendó acciones correctivas a los comandantes locales. Tuvieron éxito en lo que hicieron y, para denominar lo que habían hecho, acuñaron el término "seguridad de operaciones".

Establecimiento dentro del DOD

Después de que terminó la Guerra de Vietnam en 1973, el JCS adoptó la instrucción OPSEC desarrollada por la rama OPSEC de CINCPAC y la publicó como Publicación 18 del JCS, “Doctrina para la seguridad de las operaciones”. Originalmente clasificado, al año siguiente se publicó una versión no clasificada. El JCS publicó la primera Guía de planificación de encuestas OPSEC del JCS y distribuyó esta publicación dentro del DOD y otras agencias federales.

La JCS comenzó a presentar una serie de conferencias OPSEC anuales para representantes de todo el gobierno. Los asistentes discutieron formas de adaptar el concepto OPSEC desarrollado para operaciones de combate al entorno de tiempos de paz. A finales de la década de 1970, los servicios militares establecieron sus propios programas OPSEC y publicaron directivas y reglamentos de implementación. A finales de la década, estaban realizando sus propias encuestas.

Establecimiento fuera del DOD

Después de la Guerra de Vietnam, varias de las personas que habían estado involucradas en el desarrollo o la aplicación del concepto OPSEC ya estaban trabajando o comenzaron a trabajar con la Agencia de Seguridad Nacional (NSA). Como resultado, la NSA jugó un papel importante en la adaptación de OPSEC a las operaciones en tiempos de paz y en la comunicación informal de los conceptos de OPSEC a otras agencias. Así, las agencias ajenas al Departamento de Defensa comenzaron a establecer sus propios programas y OPSEC estaba en camino de convertirse en un programa nacional.

Establecimiento dentro del DOE

El DOE comenzó a asumir un papel en la aplicación de OPSEC en tiempos de paz participando en las conferencias OPSEC del JCS e interactuando con otras agencias federales. En 1980, el DOE comenzó a establecer su propio programa OPSEC y, en 1983, el Departamento tenía el único programa OPSEC formal fuera del DOD. Desde entonces, el DOE ha seguido perfeccionando y adaptando el concepto OPSEC para satisfacer las necesidades específicas de su misión.

En 1983, el DOE era miembro del Grupo Interinstitucional Superior de Inteligencia (SIG-I), un grupo asesor del Consejo de Seguridad Nacional. SIG-I propuso el establecimiento de una política nacional sobre OPSEC y la formación de un Comité Asesor Nacional de OPSEC (NOAC).

En 1988, el presidente Ronald Reagan emitió la Directiva de Decisión de Seguridad Nacional 298 (NSDD-298) que estableció una política nacional y describió el proceso de cinco pasos de OPSEC. También se ordenó dentro del NSDD-298 el establecimiento del Personal de Apoyo Interinstitucional de OPSEC (IOSS). La misión de la IOSS es ayudar en la implementación del programa OPSEC a nivel nacional según lo indique el Presidente. La NSDD ordena a la IOSS que proporcione o facilite capacitación en OPSEC y actúe como consultor para los departamentos y agencias ejecutivas que deben tener programas OPSEC. La seguridad de las operaciones (OPSEC), en un significado ampliamente aceptado, ^[11] se relaciona con la identificación de la información que es más crítica para proteger con respecto a operaciones futuras y la planificación de actividades para:

• Identificar aquellas acciones que pueden ser observadas por los sistemas de inteligencia adversarios.
• Determinar indicadores que los sistemas de inteligencia del adversario podrían obtener y que podrían interpretarse o ensamblarse para obtener información crítica a tiempo para que sea útil para los adversarios.
• Diseñar y ejecutar medidas que eliminen o reduzcan a un nivel aceptable las vulnerabilidades de las acciones amigas a la explotación adversaria.

Contrariamente a la definición del Departamento de Defensa de EE.UU. , una página web de 2007 de la Junta de Inteligencia de EE.UU. ^[12] describe ( énfasis añadido ) "el Programa de Seguridad de Operaciones Nacionales (OPSEC) - un medio para identificar, controlar y proteger información no clasificada y evidencia asociada con Programas y actividades de seguridad nacional de Estados Unidos, si no se protegen, dicha información a menudo brinda una oportunidad para que la exploten adversarios o competidores que trabajan en contra de los intereses de Estados Unidos".

Aunque existen preocupaciones legítimas acerca de que los adversarios exploten las sociedades abiertas, se debe estar atento a que una definición más amplia de OPSEC haya creado preocupaciones de que la seguridad nacional pueda usarse para ocultar funciones políticamente embarazosas o marginalmente legales, en lugar de proteger funciones legítimas.

¿Qué constituye OPSEC? Una Directiva de Decisión de Seguridad Nacional a nivel presidencial lo formalizó ^[13] en cinco pasos, cuyos detalles han sido ampliados por el Departamento de Energía ^[14]

1. Identificación de la información crítica a proteger: Un elemento básico del proceso OPSEC es determinar qué información, si estuviera disponible para uno o más adversarios, dañaría la capacidad de una organización para llevar a cabo efectivamente la operación o actividad. Esta información crítica constituye los "secretos centrales" de la organización, es decir, las pocas pepitas de información que son centrales para la misión de la organización o la actividad específica. La información crítica generalmente está, o debería estar, clasificada o menos protegida como información confidencial no clasificada.
2. Análisis de las amenazas: Saber quiénes son los adversarios y qué información requieren para cumplir sus objetivos es esencial para determinar qué información es verdaderamente crítica para la efectividad de la misión de una organización. En cualquier situación dada, es probable que haya más de un adversario y cada uno de ellos puede estar interesado en diferentes tipos de información. También debe determinarse la capacidad del adversario para recopilar, procesar, analizar y utilizar información, es decir, la amenaza.
3. Análisis de las vulnerabilidades: La determinación de las vulnerabilidades de la organización implica un análisis de sistemas de cómo la organización lleva a cabo realmente la operación o actividad. La organización y la actividad deben verse como las verán los adversarios, proporcionando así la base para comprender cómo opera realmente la organización y cuáles son las vulnerabilidades verdaderas, y no hipotéticas.
4. Evaluación de los riesgos: deben cotejarse las vulnerabilidades y las amenazas específicas. Cuando las vulnerabilidades son grandes y la amenaza del adversario es evidente, se espera el riesgo de explotación por parte del adversario. Por lo tanto, es necesario asignar una alta prioridad a la protección y tomar medidas correctivas. Cuando la vulnerabilidad es leve y el adversario tiene una capacidad de recolección marginal, la prioridad debe ser baja.
5. Aplicación de las contramedidas: Es necesario desarrollar contramedidas que eliminen las vulnerabilidades, amenazas o utilidad de la información para los adversarios. Las posibles contramedidas deben incluir alternativas que puedan variar en efectividad, viabilidad y costo. Las contramedidas pueden incluir cualquier cosa que pueda funcionar en una situación particular. La decisión de implementar contramedidas debe basarse en un análisis de costo/beneficio y una evaluación de los objetivos generales del programa.

Alcance de OPSEC

OPSEC complementa (énfasis en (NSDD 298)) medidas de seguridad físicas, de información, de personal, informáticas, de señales, de comunicaciones y electrónicas. Tenga en cuenta que esto no incluye el contador-HUMINT o el contador-IMINT. Si se redefine la definición de contrainteligencia para cubrir la contra-HUMINT, comienza a surgir un alcance, aunque todavía parece faltar un término oficial para abordar la totalidad de la seguridad contra todas las amenazas. Esta serie de artículos simplemente intenta definirlo para la seguridad de la inteligencia.

Kurt Haase, del Programa OPSEC de la Oficina de Operaciones del DOE de Nevada, acuñó otra forma de describir el alcance para simplificar la comprensión de OPSEC; se titula "Leyes de OPSEC":

• 1. Si no conoce la amenaza, ¿cómo sabe qué proteger? Aunque las amenazas específicas pueden variar de un sitio a otro o de un programa a otro. Los empleados deben ser conscientes de las amenazas reales y supuestas. En cualquier situación dada, es probable que haya más de un adversario, aunque cada uno pueda estar interesado en información diferente.
• 2. Si no sabes qué proteger, ¿cómo sabes que lo estás protegiendo? El "qué" es la información crítica y sensible, o objetivo, que los adversarios requieren para alcanzar sus objetivos.
• 3. Si no la proteges (la información crítica y sensible), ¡el adversario gana! Las evaluaciones de vulnerabilidad OPSEC (denominadas "evaluaciones OPSEC" - OA - o, a veces, "encuestas") se llevan a cabo para determinar si la información crítica es vulnerable o no a la explotación. Un OA es un análisis crítico de "lo que hacemos" y "cómo lo hacemos" desde la perspectiva de un adversario. También se revisan los procedimientos internos y las fuentes de información para determinar si hay una divulgación involuntaria de información confidencial.

Técnicas OPSEC

Las medidas de OPSEC pueden incluir, entre otras, contraimágenes, encubrimiento, ocultamiento y engaño.

Según (NSDD 298), el Director de la Agencia de Seguridad Nacional es designado Agente Ejecutivo para la capacitación interinstitucional de OPSEC. En esta capacidad, tiene la responsabilidad de ayudar a los departamentos y agencias ejecutivas, según sea necesario, a establecer programas OPSEC; desarrollar y proporcionar cursos de capacitación OPSEC interinstitucionales; y establecer y mantener un Personal de Apoyo Interinstitucional de OPSEC (IOSS), cuyos miembros incluirán, como mínimo, un representante del Departamento de Defensa, el Departamento de Energía, la Agencia Central de Inteligencia, la Oficina Federal de Investigaciones y los Servicios Generales. Administración. La IOSS:

• Llevar a cabo capacitación OPSEC interinstitucional a nivel nacional para ejecutivos, gerentes de programas y especialistas OPSEC;
• Actuar como consultor de departamentos y agencias ejecutivas en relación con el establecimiento de programas OPSEC y encuestas y análisis OPSEC; y
• Proporcionar un personal técnico OPSEC para el SIG-I.

Nada en esta directiva:

• Tiene como objetivo infringir las autoridades y responsabilidades del Director de Inteligencia Central para proteger las fuentes y métodos de inteligencia, ni las de ningún miembro de la Comunidad de Inteligencia como se especifica en la Orden Ejecutiva No. 12333; o
• Implica una autoridad por parte del Grupo Interagencial de Contramedidas (Política) SIG-I o el NOAC para examinar las instalaciones u operaciones de cualquier departamento o agencia Ejecutiva sin la aprobación del jefe de dicho departamento o agencia Ejecutiva.

NSDD 298 precedió a la creación de un Director de Inteligencia Nacional (DNI), quien asumió algunas responsabilidades que anteriormente desempeñaba el Director de Inteligencia Central (DCI). El Director de la Inteligencia Central ya no era el jefe de la comunidad de inteligencia y pasó a ser nombrado Director de la Agencia Central de Inteligencia (DCIA). El Ejecutivo Nacional de Contrainteligencia (NCIX), que depende directamente del DNI, también se creó después del NSDD 298. Por lo tanto, no está claro si las responsabilidades en cursiva (arriba) del DCI pueden haberse trasladado al DNI o al NCIX.

Seguridad de las comunicaciones

La seguridad de las comunicaciones forma una parte esencial de la contrainteligencia, impidiendo que un adversario intercepte información sensible que se transmite, especialmente a través del espacio libre, pero también a través de redes cableadas susceptibles de ser intervenidas. Incluye varias disciplinas, incluidas aquellas para proteger la adquisición hostil de información ya sea de los patrones de flujo de mensajes o del contenido de los mensajes (por ejemplo, cifrado ). También incluye una serie de disciplinas que protegen contra la emanación involuntaria de información no protegida. de los sistemas de comunicaciones.

Seguridad física

Este artículo analiza la seguridad física en el contexto de la seguridad del ciclo de la información; consulte Seguridad física para obtener una visión más general del tema. La protección tanto de la información sensible en formato legible por humanos, como de los equipos y claves criptográficos, es el complemento de la seguridad de las comunicaciones. La criptografía más fuerte del mundo no puede proteger información que, al no ser enviada a través de canales criptográficos fuertes, queda en un área donde puede ser copiada o robada.

Es útil observar algunos de los extremos de la seguridad física para tener un estándar de referencia. Una Instalación de Inteligencia Compartimentada Sensible (SCIF) de EE. UU. es una sala o un conjunto de salas, con estrictos estándares de construcción, ^[15] para contener los materiales más sensibles, y donde pueden tener lugar discusiones de cualquier nivel de seguridad. Un SCIF no es un búnker y podría ralentizar, pero ciertamente no detener, un intento de entrada decidido que utilice explosivos.

Puede haber variaciones individuales en la construcción según condiciones específicas; Los estándares para alguien que se encuentra dentro de un edificio seguro dentro de una base militar en los Estados Unidos continentales no son tan estrictos como los de un edificio de oficinas en un país hostil. Si bien en el pasado se suponía que el propio SCIF y una gran cantidad de componentes electrónicos necesitaban un blindaje especializado y costoso, así como otros métodos, para protegerse contra las escuchas ilegales (la mayoría de estos están bajo la palabra clave no clasificada TEMPEST , TEMPEST generalmente ha En el otro extremo, el área segura de conferencias y trabajo en la Embajada de los Estados Unidos en Moscú, donde el nuevo edificio estaba lleno de micrófonos electrónicos, tenía medidas de seguridad adicionales que lo convertían en una "burbuja" interior tan segura como una habitación lo más posible. Sin embargo, en cada caso, los planes deben ser aprobados previamente por un experto en seguridad calificado, y el SCIF debe ser inspeccionado antes de su uso y reinspeccionado periódicamente.

Las instalaciones para materiales menos sensibles no necesitan la protección física proporcionada por un SCIF. Si bien se deben consultar las políticas más recientes, TOP SECRET necesita un archivador de alta seguridad con alarma (con respuesta) y cerradura de combinación; SECRET puede relajar el requisito de alarma pero seguir requiriendo el mismo archivador de alta seguridad; CONFIDENCIAL puede aceptar un archivador normal, al que se le ha soldado un soporte a cada cajón y una barra de acero resistente que atraviesa los soportes y se asegura con un candado de combinación.

Otras medidas de seguridad podrían ser cerrar cortinas o persianas sobre la ventana de una habitación donde se maneja información clasificada, y podrían ser fotografiados por un adversario a una altura comparable a la de la ventana.

Por muy seguro que sea físicamente un SCIF, no lo es más que las personas que tienen acceso a él. Una violación de seguridad grave la cometió un empleado, Christopher John Boyce , que trabajaba dentro del SCIF que albergaba equipos de comunicaciones y almacenaba documentos para una instalación de TRW en Redondo Beach, California. En estas instalaciones, entre otros programas sensibles, TRW construyó satélites de reconocimiento estadounidenses para la Oficina Nacional de Reconocimiento y la Agencia Central de Inteligencia . ^[16] Boyce robó documentos y se los entregó a un traficante de drogas, Andrew Daulton Lee , quien los vendió a la KGB soviética . Las medidas de seguridad del personal son tan importantes como la seguridad física. Las medidas contra HUMINT podrían haber detectado que los documentos fueron transferidos y llevados a la Embajada soviética en la Ciudad de México.

Personal de Seguridad

Muchas de las mayores penetraciones enemigas de los secretos de un país provinieron de personas en las que ese gobierno ya confiaba. Lógicamente, si su servicio desea descubrir los secretos de su oponente, no intente reclutar a una persona que no tendría acceso a esos secretos, a menos que la persona que reclute le dé acceso a dicha persona.

El proceso general para determinar si se puede confiar en una persona es la autorización de seguridad ; el término británico, utilizado en muchos países de la Commonwealth, es investigación de antecedentes positiva . En los puestos más sensibles, las autorizaciones se renuevan periódicamente. Se supone que los indicios de un posible compromiso, como patrones de gasto que no concuerdan con los ingresos conocidos, deben informarse a los agentes de seguridad del personal.

La autorización de seguridad es un punto de partida, pero, si bien se respetan los derechos individuales, es apropiado un cierto grado de seguimiento. Algunas de las peores traiciones de Estados Unidos en los últimos años han estado motivadas por el dinero, como en el caso de Aldrich Ames y Robert Hanssen . Las revisiones electrónicas de los registros financieros, que alertan si hay irregularidades que deben comprobarse, pueden estar entre los medios menos molestos para comprobar si hay ingresos inexplicables. Hay casos en los que tales controles simplemente revelaron una herencia y no surgieron más preguntas.

La detección de otras vulnerabilidades puede provenir de cosas que son simplemente una buena gestión. Si alguien choca constantemente con sus colegas, es una buena gestión de personas, no únicamente una gestión de seguridad, que un gerente hable con la persona o le pida que hable con un Programa de Asistencia al Empleado. No se considera una descalificación para buscar asistencia de salud mental; puede considerarse un juicio excelente. Para las personas con acceso de seguridad especialmente alto, se les puede solicitar que vean a un terapeuta de una lista de profesionales con autorización de seguridad, para que no haya problema si se les escapa algo delicado o necesitan discutir un conflicto.

Referencias

1. Dulles, Allen W. (1977). El oficio de la inteligencia . Madera verde. ISBN 0-8371-9452-0. Dulles-1977.
2. Wisner, Frank G. (22 de septiembre de 1993). "Sobre el oficio de la inteligencia". CIA-Wisner-1993. Archivado desde el original el 15 de noviembre de 2007 . Consultado el 3 de noviembre de 2007 .
3. Departamento del Ejército de Estados Unidos (15 de enero de 1991). "Manual de campo 34-37: Operaciones de inteligencia y guerra electrónica (IEW) de Echelons above Corps (EAC)" . Consultado el 5 de noviembre de 2007 .
4. Departamento del Ejército de Estados Unidos (3 de octubre de 1995). «Manual de Campo 34-60: Contrainteligencia» . Consultado el 4 de noviembre de 2007 .
5. Personal de apoyo interinstitucional de OPSEC (IOSS) (mayo de 1996). "Manual de amenazas de inteligencia de seguridad de operaciones: Sección 2, Disciplinas y actividades de recopilación de inteligencia". IOSS Sección 2 . Consultado el 3 de octubre de 2007 .
6. Ejército de EE. UU. (mayo de 2004). "Capítulo 9: Inteligencia de señales y medidas". Manual de Campo 2-0, Inteligencia . Departamento del Ejército. FM2-0Ch9 . Consultado el 3 de octubre de 2007 .
7. Matschulat, Austin B. (2 de julio de 1996). "Coordinación y Cooperación en Contrainteligencia". CIA-Matschulat-1996. Archivado desde el original el 10 de octubre de 2007 . Consultado el 3 de noviembre de 2007 .
8. Van Cleave, Michelle K. (abril de 2007). «Contrainteligencia y Estrategia Nacional» (PDF) . Escuela de Educación Ejecutiva de Seguridad Nacional, Universidad de Defensa Nacional (NDU). USNDU-Van Cleave-2007. Archivado desde el original (PDF) el 28 de noviembre de 2007 . Consultado el 5 de noviembre de 2007 .
9. Estado Mayor Conjunto (22 de junio de 2007). «Publicación conjunta 2-0: Inteligencia» (PDF) . Estados Unidos JP 2-0 . Consultado el 5 de noviembre de 2007 .
10. "Historia de OPSEC" (PDF) . Archivado desde el original (PDF) el 21 de mayo de 2013 . Consultado el 5 de noviembre de 2005 .
11. Departamento de Defensa de Estados Unidos (12 de julio de 2007). "Publicación conjunta 1-02 Diccionario de términos militares y asociados del Departamento de Defensa" (PDF) . Archivado desde el original (PDF) el 23 de noviembre de 2008 . Consultado el 1 de octubre de 2007 .
12. Junta de Inteligencia de Estados Unidos (2007). "Planificación y Dirección". USIB 2007. Archivado desde el original el 22 de septiembre de 2007 . Consultado el 22 de octubre de 2007 .
13. "Directiva 298 de Decisión de Seguridad Nacional: Programa Nacional de Seguridad de Operaciones". 15 de julio de 2003. NSDD 298 . Consultado el 5 de noviembre de 2007 .
14. Departamento de Energía. "Introducción a la seguridad operativa (OPSEC)". Archivado desde el original el 28 de octubre de 2007 . Consultado el 5 de noviembre de 2007 .
15. Director de la Directiva Central de Inteligencia (18 de noviembre de 2002). "Estándares de seguridad física para instalaciones de información sensible compartimentada". DCID 6/9 . Consultado el 5 de noviembre de 2005 .
16. Lindsey, Robert (1979). El halcón y el muñeco de nieve: una historia real de amistad y espionaje . Prensa de Lyon. ISBN 1-58574-502-2.