Seguridad del ciclo de inteligencia

Aspecto de los programas de inteligencia nacional

Los programas de inteligencia nacional y, por extensión, las defensas generales de las naciones, son vulnerables a los ataques. La función de la seguridad del ciclo de inteligencia es proteger el proceso incorporado al ciclo de inteligencia y aquello que éste defiende. Para proteger el ciclo de inteligencia intervienen varias disciplinas. Uno de los desafíos es que existe una amplia gama de amenazas potenciales, por lo que la evaluación de amenazas , si se completa, es una tarea compleja. Los gobiernos intentan proteger tres cosas:

• Su personal de inteligencia
• Sus instalaciones y recursos de inteligencia
• Sus operaciones de inteligencia

Defender el programa de inteligencia en su conjunto significa, como mínimo, adoptar medidas para contrarrestar las principales disciplinas de las técnicas de recopilación de inteligencia:

• Inteligencia Humana ( HUMINT )
• Inteligencia de señales ( SIGINT )
• Inteligencia de imágenes ( IMINT )
• Inteligencia de medición y firma ( MASINT )
• Inteligencia Técnica ( TECHINT )
• Inteligencia de fuentes abiertas ( OSINT )

A estas se añade al menos una disciplina complementaria, la contrainteligencia (CI), que, además de defender las seis anteriores, puede producir por sí misma inteligencia positiva. Gran parte, aunque no todo, de lo que produce proviene de casos especiales de HUMINT.

Además de complementar la recolección de inteligencia, existen disciplinas de protección adicionales, que probablemente no produzcan inteligencia:

• Seguridad física (PHYSEC)
• Seguridad del personal (PERSEC)
• Seguridad de las comunicaciones (COMSEC)
• Seguridad del sistema de información (INFOSEC)
• Clasificación de seguridad
• Seguridad de operaciones (OPSEC)

Estas disciplinas, junto con la inteligencia estratégica, forman la seguridad del ciclo de inteligencia , que, a su vez, forma parte de la gestión del ciclo de inteligencia . Las disciplinas implicadas en la "seguridad positiva", o medidas mediante las cuales la propia sociedad recopila información sobre su seguridad real o potencial, complementan la seguridad. Por ejemplo, cuando la inteligencia de las comunicaciones identifica un transmisor de radio en particular como uno utilizado únicamente por un país en particular, detectar ese transmisor dentro del propio país sugiere la presencia de un espía al que la contrainteligencia debería apuntar.

CI se refiere a los esfuerzos realizados por las organizaciones de inteligencia para evitar que las organizaciones de inteligencia hostiles o enemigas recopilen y recopilen con éxito información en su contra. Frank Wisner , un conocido ejecutivo de operaciones de la CIA, dijo de la autobiografía del Director de la CIA, Allen W. Dulles , ^[1] que Dulles "elimina la idea errónea popular de que la contrainteligencia es esencialmente una actividad negativa y reactiva, que se mueve sólo o principalmente en reacción a las situaciones que se le imponen y en contra de las iniciativas montadas por la oposición". Más bien, ve que puede ser más eficaz, tanto en la recopilación de información como en la protección de los servicios de inteligencia amigos, cuando ataca de manera creativa pero enérgica la "estructura y el personal de los servicios de inteligencia hostiles". ^[2] En los manuales del Ejército de los EE. UU. de 1991 ^[3] y 1995 que tratan sobre contrainteligencia, ^[4] la CI tenía un alcance más amplio contra las entonces principales disciplinas de recopilación de inteligencia. Si bien la MASINT se definió como una disciplina formal en 1986, ^{[5] [6]} estaba lo suficientemente especializada como para no ser discutida en los documentos generales de contrainteligencia de los siguientes años.

Todos los departamentos y agencias estadounidenses con funciones de inteligencia son responsables de su propia seguridad en el extranjero. ^[7]

En muchos gobiernos, la responsabilidad de proteger los servicios de inteligencia y militares está dividida. Históricamente, la CIA asignaba la responsabilidad de proteger a su personal y operaciones a su Oficina de Seguridad, mientras que asignaba la seguridad de las operaciones a múltiples grupos dentro de la Dirección de Operaciones: el personal de contrainteligencia y la unidad de área (o funcional), como la División de Rusia Soviética. En un momento dado, la unidad de contrainteligencia operaba de forma bastante autónoma, bajo la dirección de James Jesus Angleton . Más tarde, las divisiones operativas tenían ramas de contrainteligencia subordinadas, así como un personal de contrainteligencia central más pequeño. Aldrich Ames estaba en la Rama de Contrainteligencia de la División de Europa, donde era responsable de dirigir el análisis de las operaciones de inteligencia soviéticas. Los servicios militares estadounidenses han tenido una división similar e incluso más compleja.

Algunas de las tareas generales de CI se describen como

• Desarrollar, mantener y difundir datos de amenazas multidisciplinarios y archivos de inteligencia sobre organizaciones, lugares y personas de interés para la CI. Esto incluye infraestructuras insurgentes y terroristas y personas que puedan ayudar en la misión de CI.
• Capacitar al personal en todos los campos de la seguridad. Un componente de esto es la sesión informativa sobre amenazas multidisciplinarias. Las sesiones informativas pueden y deben ser personalizadas, tanto en su alcance como en su nivel de clasificación. Las sesiones informativas podrían utilizarse para familiarizar a los comandos respaldados con la naturaleza de la amenaza multidisciplinaria que se plantea contra el comando o la actividad.

¿Cambios en la doctrina para proteger todo el ciclo de inteligencia?

Sin embargo, la definición estadounidense de contrainteligencia se está estrechando, mientras que la definición de Seguridad de Operaciones (OPSEC) parece estar ampliándose. Los manuales de principios de los años 1990 describían a la CI como responsable de la detección general de amenazas al ciclo de inteligencia y la protección frente a ellas. Con las declaraciones de la Estrategia Nacional de Contrainteligencia 2005-2007, ya no está claro qué función es responsable de la protección general del ciclo de inteligencia. En esta reciente doctrina estadounidense, aunque no necesariamente la de otros países, la contrainteligencia (CI) se considera ahora principalmente como una contraofensiva de la Inteligencia Humana (HUMINT, por sus siglas en inglés) al Servicio de Inteligencia Exterior (FIS, por sus siglas en inglés). FIS es un término técnico que abarca tanto a las naciones como a los grupos no nacionales, entre los que se incluyen los terroristas o el crimen organizado que intervienen en áreas que se consideran amenazas fundamentales a la seguridad nacional.

La Estrategia Nacional de Contrainteligencia de 2005 ^[8] establece la misión de la IC como:

• operaciones antiterroristas
• aprovechar ventaja:
• Proteger la tecnología de defensa crítica
• Derrotar la negación y el engaño extranjeros
• Nivelar el campo de juego económico
• Informar la toma de decisiones en materia de seguridad nacional
• Construir un sistema nacional de IC

La doctrina de inteligencia conjunta de los Estados Unidos de 2007 ^[9] limita su ámbito principal a la lucha contra la inteligencia humana, que normalmente incluye la lucha contra el terrorismo. No siempre está claro, en virtud de esta doctrina, quién es responsable de todas las amenazas de recopilación de inteligencia contra un recurso militar o de otro tipo. El alcance completo de la doctrina de contrainteligencia militar de los Estados Unidos se ha trasladado a una publicación clasificada, la Publicación Conjunta (JP) 2-01.2, Contrainteligencia y apoyo de inteligencia humana a las operaciones conjuntas , por lo que públicamente se desconoce si ese problema se aclara allí.

Contramedidas a disciplinas de cobro específicas

A continuación se enumeran contramedidas más específicas contra las disciplinas de recopilación de inteligencia.

Contra-HUMINT

Consulte detalles adicionales sobre el Proyecto Slammer , que fue un esfuerzo del personal de la Comunidad de Inteligencia, bajo el Director de Inteligencia Central, para desarrollar las características del Proyecto Slammer, un estudio de espionaje patrocinado por la Comunidad de Inteligencia.

Los aspectos de seguridad física, como los puestos de guardia y los guardias ambulantes que desafían a personas no identificadas, sin duda ayudan a contrarrestar la inteligencia humana. La educación en materia de seguridad, que también forma parte de la seguridad operacional , es importante para este esfuerzo.

Contra-SIGINT

Las organizaciones militares y de seguridad proporcionarán comunicaciones seguras y podrán supervisar sistemas menos seguros, como teléfonos comerciales o conexiones generales a Internet, para detectar información inapropiada que pase a través de ellos. Educación sobre la necesidad de utilizar comunicaciones seguras e instrucciones sobre cómo utilizarlas correctamente para que no se vuelvan vulnerables a la interceptación técnica especializada . Es posible que se necesiten métodos que incluyan cifrado y seguridad del flujo de tráfico además de, o en lugar de, el blindaje especializado del equipo.

La gama de métodos posibles en la lucha contra la SIGINT cubre una amplia gama de lo que es apropiado en una zona de combate y lo que se puede hacer en un laboratorio de investigación. En el extremo del combate, si se puede apuntar a una antena de interceptación SIGINT enemiga, bombardearla a fondo y a su electrónica asociada definitivamente terminará su carrera como amenaza SIGINT. De una manera un poco menos dramática, se la puede tomar bajo ataque electrónico y dirigirle señales electromagnéticas lo suficientemente fuertes como para ocultar cualquier señal amiga, y tal vez para sobrecargar y destruir la electrónica de la instalación SIGINT. La protección SIGINT para edificios de oficinas puede requerir que una habitación esté protegida electrónicamente.

Contra-IMINT

Los métodos básicos para contrarrestar la IMINT son saber cuándo el oponente utilizará la fotografía contra el propio bando e interferir en la toma de imágenes. En algunas situaciones, especialmente en sociedades libres, debe aceptarse que los edificios públicos siempre pueden ser objeto de fotografías u otras técnicas.

Las contramedidas incluyen la colocación de escudos visuales sobre objetivos sensibles o su camuflaje. Al contrarrestar amenazas como los satélites de imágenes, el conocimiento de las órbitas puede guiar al personal de seguridad a detener una actividad, o tal vez cubrir las partes sensibles, cuando el satélite está sobrevolando. Esto también se aplica a las imágenes de aeronaves y vehículos aéreos no tripulados, aunque el expediente más directo de derribarlos, o atacar su área de lanzamiento y apoyo, es una opción en tiempos de guerra.

Contraintección OSINT

Si bien el concepto precede con creces al reconocimiento de una disciplina de OSINT , la idea de censurar material directamente relevante para la seguridad nacional es una defensa básica de OSINT. En las sociedades democráticas, incluso en tiempos de guerra, la censura debe vigilarse con atención para que no viole la libertad de prensa razonable, pero el equilibrio se establece de manera diferente en diferentes países y en diferentes momentos.

En general, se considera que Gran Bretaña tiene una prensa muy libre, pero el Reino Unido tiene el DA-Notice, anteriormente el sistema D-notice. Muchos periodistas británicos consideran que este sistema se utiliza de manera justa, aunque siempre hay discusiones. En el contexto específico de la contrainteligencia, cabe señalar que Peter Wright , un ex miembro de alto rango del Servicio de Seguridad que dejó su servicio sin su pensión, se mudó a Australia antes de publicar su libro Spycatcher . Si bien gran parte del libro era un comentario razonable, sí revelaba algunas técnicas específicas y sensibles, como la Operación RAFTER , un medio para detectar la existencia y configuración de receptores de radio.

Seguridad de operaciones

Aunque los principios de OPSEC se remontan al comienzo de la guerra, la formalización de OPSEC como doctrina estadounidense comenzó con un estudio de 1965 llamado PURPLE DRAGON, ordenado por el Estado Mayor Conjunto, para determinar cómo los norvietnamitas podrían obtener una advertencia temprana de los ataques de los cazabombarderos ROLLING THUNDER contra el Norte, y de las misiones ARC LIGHT B-52 contra el Sur. ^[10]

La metodología utilizada fue considerar qué información necesitaría saber el adversario para frustrar los vuelos y las fuentes de las cuales podría recopilar esta información.

Al equipo le resultó evidente que, si bien existían programas tradicionales de contramedidas de seguridad e inteligencia, no era suficiente confiar únicamente en ellos para negarle información crítica al enemigo, especialmente información e indicadores relacionados con intenciones y capacidades. El grupo concibió y desarrolló la metodología de análisis de las operaciones estadounidenses desde un punto de vista adversario para averiguar cómo se obtenía la información.

El equipo recomendó entonces medidas correctivas a los comandantes locales. Tuvieron éxito en lo que hicieron y, para describir lo que habían hecho, acuñaron el término "seguridad de operaciones".

Establecimiento dentro del Departamento de Defensa

Después de que la Guerra de Vietnam terminara en 1973, el JCS adoptó la instrucción OPSEC desarrollada por la rama OPSEC del CINCPAC y la publicó como Publicación 18 del JCS, “Doctrina para la seguridad de las operaciones”. Originalmente clasificada, se publicó una versión no clasificada al año siguiente. El JCS publicó la primera Guía de planificación de inspecciones OPSEC del JCS y distribuyó esta publicación dentro del Departamento de Defensa y a otras agencias federales.

El JCS comenzó a organizar una serie de conferencias anuales sobre OPSEC para representantes de todo el gobierno. Los asistentes discutieron formas de adaptar el concepto de OPSEC desarrollado para operaciones de combate al entorno de tiempos de paz. A fines de la década de 1970, los servicios militares establecieron sus propios programas de OPSEC y publicaron directivas y reglamentos de implementación. A fines de la década, estaban realizando sus propias encuestas.

Establecimiento fuera del DOD

Después de la guerra de Vietnam, varias de las personas que habían participado en el desarrollo o la aplicación del concepto OPSEC ya trabajaban para la Agencia de Seguridad Nacional (NSA) o empezaron a trabajar con ella. Como resultado, la NSA desempeñó un papel importante en la adaptación de OPSEC a las operaciones en tiempos de paz y en la comunicación informal de conceptos OPSEC a otras agencias. Así, las agencias no pertenecientes al Departamento de Defensa comenzaron a establecer sus propios programas y OPSEC estaba en camino de convertirse en un programa nacional.

Establecimiento dentro del DOE

El DOE comenzó a asumir un papel en la aplicación de OPSEC en tiempos de paz participando en las conferencias de OPSEC del JCS e interactuando con otras agencias federales. En 1980, el DOE comenzó a establecer su propio programa OPSEC y, en 1983, el Departamento tenía el único programa OPSEC formal fuera del DOD. Desde entonces, el DOE ha seguido perfeccionando y adaptando el concepto OPSEC para satisfacer las necesidades específicas de su misión.

En 1983, el DOE fue miembro del Grupo Interinstitucional Superior de Inteligencia (SIG-I), un grupo asesor del Consejo de Seguridad Nacional. El SIG-I propuso el establecimiento de una política nacional sobre seguridad operacional y la formación de un Comité Asesor Nacional sobre Seguridad Operacional (NOAC).

En 1988, el presidente Ronald Reagan emitió la Directiva de Decisión de Seguridad Nacional 298 (NSDD-298) que estableció una política nacional y describió el proceso de cinco pasos de la OPSEC. También se dispuso dentro de la NSDD-298, la creación del Personal de Apoyo Interagencial de la OPSEC (IOSS). La misión del IOSS es ayudar a implementar el programa OPSEC a nivel nacional según lo indique el presidente. La NSDD ordena al IOSS que proporcione o facilite capacitación en OPSEC y actúe como consultor para los departamentos y agencias ejecutivas que deben tener programas OPSEC. La seguridad de las operaciones (OPSEC), en un significado ampliamente aceptado, ^[11] se relaciona con la identificación de la información que es más crítica para proteger con respecto a las operaciones futuras y la planificación de actividades para:

• Identificar aquellas acciones que pueden ser observadas por los sistemas de inteligencia adversarios
• Determinar indicadores que los sistemas de inteligencia adversarios podrían obtener y que podrían interpretarse o combinarse para obtener información crítica a tiempo para que sea útil para los adversarios.
• Diseñar y ejecutar medidas que eliminen o reduzcan a un nivel aceptable las vulnerabilidades de las acciones amigas a la explotación del adversario.

Contrariamente a la definición del Departamento de Defensa de los EE. UU. , una página web de 2007 de la Junta de Inteligencia de los EE. UU. ^[12] describe ( énfasis añadido ) "el Programa de Seguridad de Operaciones Nacionales (OPSEC, por su sigla en inglés), un medio para identificar, controlar y proteger información y evidencia no clasificada asociada con los programas y actividades de seguridad nacional de los EE. UU. Si no se protege, dicha información a menudo brinda una oportunidad para que la exploten adversarios o competidores que trabajan en contra de los intereses de los EE. UU."

Si bien existen preocupaciones legítimas sobre adversarios que explotan las sociedades abiertas, debe haber vigilancia porque una definición más amplia de OPSEC ha creado preocupaciones de que la seguridad nacional puede usarse para ocultar funciones políticamente embarazosas o marginalmente legales, en lugar de proteger funciones legítimas.

¿Qué constituye la OPSEC? Una Directiva de Decisión de Seguridad Nacional de nivel presidencial la formalizó ^[13] en cinco pasos, cuyos detalles han sido ampliados por el Departamento de Energía ^[14]

1. Identificación de la información crítica que debe protegerse: Un aspecto básico del proceso OPSEC es determinar qué información, si estuviera disponible para uno o más adversarios, perjudicaría la capacidad de una organización para llevar a cabo de manera eficaz la operación o actividad. Esta información crítica constituye los "secretos básicos" de la organización, es decir, los pocos fragmentos de información que son fundamentales para la misión de la organización o la actividad específica. La información crítica suele estar, o debería estar, clasificada o menos protegida como información sensible no clasificada.
2. Análisis de las amenazas: Conocer quiénes son los adversarios y qué información necesitan para alcanzar sus objetivos es esencial para determinar qué información es verdaderamente crítica para la eficacia de la misión de una organización. En cualquier situación dada, es probable que haya más de un adversario y que cada uno esté interesado en distintos tipos de información. También debe determinarse la capacidad del adversario para recopilar, procesar, analizar y utilizar la información, es decir, la amenaza.
3. Análisis de las vulnerabilidades: determinar las vulnerabilidades de la organización implica un análisis de sistemas de cómo la organización lleva a cabo realmente la operación o actividad. La organización y la actividad deben verse como las verán los adversarios, proporcionando así la base para comprender cómo funciona realmente la organización y cuáles son las vulnerabilidades reales, en lugar de las hipotéticas.
4. Evaluación de los riesgos: las vulnerabilidades y las amenazas específicas deben ser compatibles. Cuando las vulnerabilidades son grandes y la amenaza adversaria es evidente, se espera el riesgo de explotación por parte del adversario. Por lo tanto, se debe asignar una alta prioridad a la protección y tomar medidas correctivas. Cuando la vulnerabilidad es leve y el adversario tiene una capacidad de recolección marginal, la prioridad debe ser baja.
5. Aplicación de las contramedidas: Es necesario desarrollar contramedidas que eliminen las vulnerabilidades, amenazas o utilidad de la información para los adversarios. Las posibles contramedidas deben incluir alternativas que puedan variar en eficacia, viabilidad y costo. Las contramedidas pueden incluir cualquier cosa que tenga probabilidades de funcionar en una situación particular. La decisión de implementar o no contramedidas debe basarse en un análisis de costo/beneficio y en una evaluación de los objetivos generales del programa.

Alcance de OPSEC

La OPSEC complementa (énfasis en (NSDD 298)) las medidas de seguridad física, de información, de personal, informática, de señales, de comunicaciones y electrónica. Obsérvese que esto no incluye la contrainteligencia humana (HUMINT) ni la contrainteligencia humana (IMINT). Si se redefine la definición de contrainteligencia para que abarque la contrainteligencia humana (HUMINT), comienza a surgir un alcance, aunque todavía parece faltar un término oficial que abarque la totalidad de la seguridad contra todas las amenazas. Esta serie de artículos simplemente intenta definirla para la seguridad de la inteligencia.

Kurt Haase, del Programa OPSEC de la Oficina de Operaciones del DOE de Nevada, acuñó otra forma de describir el alcance: se titula "Leyes de OPSEC":

• 1. Si no conoce la amenaza, ¿cómo sabe qué debe proteger? Aunque las amenazas específicas pueden variar de un sitio a otro o de un programa a otro, los empleados deben conocer las amenazas reales y las supuestas. En cualquier situación dada, es probable que haya más de un adversario, aunque cada uno puede estar interesado en información diferente.
• 2. Si no sabes qué proteger, ¿cómo sabes que lo estás protegiendo? El "qué" es la información crítica y sensible, o el objetivo, que los adversarios necesitan para alcanzar sus objetivos.
• 3. Si no se protege la información crítica y sensible, ¡el adversario gana! Las evaluaciones de vulnerabilidad de OPSEC (conocidas como "evaluaciones de OPSEC", OA, o a veces como "encuestas") se llevan a cabo para determinar si la información crítica es vulnerable o no a la explotación. Una OA es un análisis crítico de "lo que hacemos" y "cómo lo hacemos" desde la perspectiva de un adversario. También se revisan los procedimientos internos y las fuentes de información para determinar si se produce una divulgación involuntaria de información sensible.

Técnicas OPSEC

Las medidas de OPSEC pueden incluir, entre otras, contraimágenes, encubrimiento, ocultamiento y engaño.

De acuerdo con (NSDD 298), el Director de la Agencia de Seguridad Nacional es designado Agente Ejecutivo para la capacitación interinstitucional en materia de OPSEC. En esta capacidad, tiene la responsabilidad de ayudar a los departamentos y agencias ejecutivas, según sea necesario, a establecer programas de OPSEC; desarrollar y proporcionar cursos de capacitación interinstitucional en materia de OPSEC; y establecer y mantener un Personal de Apoyo Interinstitucional en materia de OPSEC (IOSS), cuyos miembros incluirán, como mínimo, un representante del Departamento de Defensa, el Departamento de Energía, la Agencia Central de Inteligencia, la Oficina Federal de Investigaciones y la Administración de Servicios Generales. El IOSS:

• Realizar capacitación interinstitucional y a nivel nacional sobre OPSEC para ejecutivos, gerentes de programas y especialistas en OPSEC;
• Actuar como consultor de los departamentos y agencias ejecutivas en relación con el establecimiento de programas OPSEC y encuestas y análisis OPSEC; y
• Proporcionar un personal técnico OPSEC para el SIG-I.

Nada en esta directiva:

• Tiene por objeto infringir las autoridades y responsabilidades del Director de la Central de Inteligencia para proteger las fuentes y métodos de inteligencia, ni las de ningún miembro de la Comunidad de Inteligencia, tal como se especifica en la Orden Ejecutiva N.º 12333; o
• Implica una autoridad por parte del Grupo Interinstitucional SIG-I para Contramedidas (Política) o del NOAC para examinar las instalaciones u operaciones de cualquier departamento o agencia ejecutiva sin la aprobación del jefe de dicho departamento o agencia ejecutiva.

La NSDD 298 precedió a la creación de un Director de Inteligencia Nacional (DNI), que asumió algunas responsabilidades que anteriormente tenía el Director de Inteligencia Central (DCI). El Director de Inteligencia Central ya no era el jefe de la comunidad de inteligencia y pasó a llamarse Director de la Agencia Central de Inteligencia (DCIA). El Ejecutivo Nacional de Contrainteligencia (NCIX), que reportaba directamente al DNI, también fue creado después de la NSDD 298. Por lo tanto, no está claro si las responsabilidades en cursiva (arriba) del DCI pueden haber pasado al DNI o al NCIX.

Seguridad de las comunicaciones

La seguridad de las comunicaciones forma parte esencial de la contrainteligencia, impidiendo que un adversario intercepte información sensible que se transmite, especialmente a través del espacio libre, pero también a través de redes cableadas susceptibles de ser interceptadas. Incluye varias disciplinas, incluidas las destinadas a proteger la adquisición hostil de información, ya sea a partir de los patrones de flujo de mensajes , o del contenido de los mensajes (por ejemplo, el cifrado) . También incluye una serie de disciplinas que protegen contra la emanación inadvertida de información desprotegida de los sistemas de comunicaciones.

Seguridad física

Este artículo analiza la seguridad física en el contexto de la seguridad del ciclo de la información; consulte Seguridad física para obtener una visión más general del tema. La protección tanto de la información sensible en formato legible para humanos como de los equipos y claves criptográficas es el complemento de la seguridad de las comunicaciones. La criptografía más sólida del mundo no puede proteger la información que, al no enviarse a través de canales criptográficos sólidos, queda en un área donde puede ser copiada o robada.

Es útil examinar algunos de los extremos de la seguridad física para tener un estándar de referencia. Una Instalación Compartimentada de Inteligencia Sensible (SCIF, por sus siglas en inglés) de los EE. UU. es una sala o un conjunto de salas, con estándares de construcción estrictos, ^[15] para contener los materiales más sensibles, y donde pueden tener lugar discusiones de cualquier nivel de seguridad. Una SCIF no es un búnker y podría retrasar, pero ciertamente no detener, un intento decidido de ingreso con explosivos.

Puede haber variaciones individuales en la construcción según las condiciones específicas; los estándares para uno dentro de un edificio seguro dentro de una base militar en los EE. UU. continentales no son tan estrictos como uno en un edificio de oficinas en un país hostil. Si bien, en el pasado, se suponía que el propio SCIF y una gran cantidad de dispositivos electrónicos en él necesitaban blindaje especializado y costoso, y otros métodos, para protegerse contra escuchas clandestinas (la mayoría de estos están bajo la palabra clave no clasificada TEMPEST ), TEMPEST generalmente se ha dejado de lado para las instalaciones en los EE. UU. continentales. En el otro extremo, el área segura de conferencias y trabajo en la Embajada de los EE. UU. en Moscú, donde el nuevo edificio estaba lleno de micrófonos ocultos, tenía medidas de seguridad adicionales que lo convertían en una "burbuja" dentro de una habitación lo más segura posible. Sin embargo, en cada caso, los planes deben ser aprobados previamente por un experto en seguridad calificado, y el SCIF debe inspeccionarse antes de su uso y volver a inspeccionarse periódicamente.

Las instalaciones para material menos sensible no necesitan la protección física que proporciona un SCIF. Si bien se deben consultar las políticas más recientes, TOP SECRET necesita un archivador de alta seguridad con alarma (con respuesta) y cerradura de combinación; SECRET puede flexibilizar el requisito de alarma pero seguir exigiendo el mismo archivador de alta seguridad; CONFIDENTIAL puede aceptar un archivador normal, al que se le ha soldado un soporte a cada cajón y una barra de acero resistente que atraviesa los soportes y se asegura con un candado de combinación.

Otras medidas de seguridad podrían ser cerrar cortinas o persianas sobre la ventana de una habitación donde se maneja información clasificada, y podría ser fotografiado por un adversario a una altura comparable a la de la ventana.

No importa cuán físicamente seguro pueda ser un SCIF, no es más seguro que las personas que tienen acceso a él. Una grave violación de seguridad fue cometida por un empleado, Christopher John Boyce , que trabajaba dentro del SCIF que albergaba equipos de comunicaciones y almacenaba documentos para una instalación de TRW en Redondo Beach, California. En esta instalación, entre otros programas sensibles, TRW construyó satélites de reconocimiento estadounidenses para la Oficina Nacional de Reconocimiento y la Agencia Central de Inteligencia . ^[16] Boyce robó documentos y se los dio a un traficante de drogas, Andrew Daulton Lee , quien los vendió a la KGB soviética . Las medidas de seguridad del personal son tan importantes como la seguridad física. Las medidas contra la HUMINT podrían haber detectado la transferencia de documentos y su traslado a la Embajada soviética en la Ciudad de México.

Seguridad del personal

Muchas de las mayores incursiones enemigas en los secretos de un país provienen de personas en las que el gobierno ya confiaba. Lógicamente, si su servicio desea descubrir los secretos de su oponente, no debe intentar reclutar a una persona que no tenga acceso a esos secretos, a menos que la persona que reclute le dé acceso a esa persona.

El proceso general para determinar si una persona es de confianza es la habilitación de seguridad ; el término británico, utilizado en muchos países de la Commonwealth, es verificación positiva . En los puestos más sensibles, las habilitaciones se renuevan periódicamente. Se supone que los indicios de un posible compromiso, como patrones de gasto que no son coherentes con los ingresos conocidos de la persona, deben comunicarse a los oficiales de seguridad del personal.

La autorización de seguridad es un punto de partida, pero, respetando los derechos individuales, es conveniente aplicar un cierto grado de supervisión. Algunas de las peores traiciones estadounidenses de los últimos años han tenido un origen económico, como en el caso de Aldrich Ames y Robert Hanssen . Las revisiones electrónicas de los registros financieros, que alertan si hay irregularidades que deben comprobarse, pueden ser uno de los medios menos intrusivos para comprobar si hay ingresos inexplicables. Hay casos en los que esas comprobaciones simplemente revelaron una herencia y no se plantearon más preguntas.

La detección de otras vulnerabilidades puede deberse simplemente a una buena gestión. Si alguien tiene conflictos constantes con sus compañeros, es una buena gestión de personas, no sólo de seguridad, que un gerente hable con esa persona o la haga hablar con un programa de asistencia al empleado. No se considera una descalificación buscar asistencia de salud mental; puede considerarse una decisión excelente. En el caso de personas con acceso de seguridad especialmente alto, se les puede solicitar que vean a un terapeuta de una lista de profesionales con autorización de seguridad, por lo que no hay problema si se les olvida algo delicado o si necesitan hablar sobre un conflicto.

Referencias

1. Dulles, Allen W. (1977). El arte de la inteligencia . Greenwood. ISBN 0-8371-9452-0.Dulles-1977.
2. Wisner, Frank G. (22 de septiembre de 1993). "On The Craft of Intelligence". CIA-Wisner-1993. Archivado desde el original el 15 de noviembre de 2007. Consultado el 3 de noviembre de 2007 .
3. Departamento del Ejército de los Estados Unidos (15 de enero de 1991). «Manual de campo 34-37: Operaciones de inteligencia y guerra electrónica (IEW) de escalones superiores al cuerpo (EAC)» . Consultado el 5 de noviembre de 2007 .
4. Departamento del Ejército de Estados Unidos (3 de octubre de 1995). «Field Manual 34-60: Counterintelligence» (Manual de campo 34-60: contrainteligencia) . Consultado el 4 de noviembre de 2007 .
5. Personal de apoyo interinstitucional de seguridad operacional (IOSS) (mayo de 1996). "Manual sobre amenazas a la inteligencia de seguridad operacional: Sección 2, Actividades y disciplinas de recopilación de inteligencia". Sección 2 de la IOSS . Consultado el 3 de octubre de 2007 .
6. Ejército de los EE. UU. (mayo de 2004). «Capítulo 9: Medición e inteligencia de señales». Manual de campo 2-0, Inteligencia . Departamento del Ejército. FM2-0Ch9. Archivado desde el original el 26 de julio de 2007. Consultado el 3 de octubre de 2007 .
7. Matschulat, Austin B. (2 de julio de 1996). "Coordinación y cooperación en contrainteligencia". CIA-Matschulat-1996. Archivado desde el original el 10 de octubre de 2007. Consultado el 3 de noviembre de 2007 .
8. Van Cleave, Michelle K. (abril de 2007). "Counterintelligence and National Strategy" (PDF) . Escuela de Educación Ejecutiva de Seguridad Nacional, Universidad de Defensa Nacional (NDU). USNDU-Van Cleave-2007. Archivado desde el original (PDF) el 28 de noviembre de 2007. Consultado el 5 de noviembre de 2007 .
9. Estado Mayor Conjunto (22 de junio de 2007). «Joint Publication 2-0: Intelligence» (PDF) . US JP 2-0 . Consultado el 5 de noviembre de 2007 .
10. "Historia de OPSEC" (PDF) . Archivado desde el original (PDF) el 21 de mayo de 2013. Consultado el 5 de noviembre de 2005 .
11. Departamento de Defensa de Estados Unidos (12 de julio de 2007). «Joint Publication 1-02 Department of Defense Dictionary of Military and Associated Terms» (PDF) . Archivado desde el original (PDF) el 23 de noviembre de 2008. Consultado el 1 de octubre de 2007 .
12. US Intelligence Board (2007). "Planning and Direction". USIB 2007. Archivado desde el original el 22 de septiembre de 2007. Consultado el 22 de octubre de 2007 .
13. "Directiva de decisión de seguridad nacional 298: Programa de seguridad de operaciones nacionales". 15 de julio de 2003. NSDD 298. Consultado el 5 de noviembre de 2007 .
14. Departamento de Energía. "Manual básico sobre seguridad operacional (OPSEC)". Archivado desde el original el 28 de octubre de 2007. Consultado el 5 de noviembre de 2007 .
15. Directiva del Director de la CIA (18 de noviembre de 2002). "Estándares de seguridad física para instalaciones de información confidencial compartimentada". DCID 6/9 . Consultado el 5 de noviembre de 2005 .
16. Lindsey, Robert (1979). El halcón y el muñeco de nieve: una historia real de amistad y espionaje . Lyons Press. ISBN 1-58574-502-2.