CASO DE ESTUDIO

Protección de la información sobre seguridad nacional en la Drug Enforcement

Administration
La Drug Enforcement Administration se estableció en 1973 bajo abiertas. (La U.S. Attorney's Office en Lexington, Kentucky, hizo
el Department of Justice para respetar las leyes y regulaciones historia cuando vendió equipo de cómputo suplementario del
relativas al uso y distribución de drogas legales e ¡legales. La De-partment of Justice que contenía material delicado del gran
agenda cuenta con 7000 agentes y otros empleados con oficinas jurado y datos sobre informadores confidenciales.)
ubicadas en todo el mundo. La DEA usa sistemas de información El equipo no tenía la protección TEMPEST, que es una
para el procesamiento de información altamente sensible y de tecnología que protege al equipo de cómputo evitando que las
seguridad nacional, captada por una gran variedad de fuentes. emisiones electromagnéticas sean interceptadas y descifradas
Tal información incluye datos detallados de traficantes de drogas por especialistas. Las estaciones de trabajo estaban enlazadas
conocidos o sospechosos, e informantes y datos sobre por medio de líneas de comunicaciones de datos no codificadas.
operaciones nacionales o internacionales contra las drogas. La red de la Office Automation permitió que las personas
La DEA mantiene algunos de estos datos en papel y otros en laboraran en las estaciones de trabajo en una oficina y
forma computarizada. Está dando menos énfasis a mejorar las accesaran datos almacenados en estaciones de otros por
estadísticas de arrestos y capturas y más a analizar doquier. Cualquier empleado de la DEA podía usar el sistema
sistemáticamente a las organizaciones de tráfico de drogas para para obtener información clasificada almacenada en la estación
dirigir los esfuerzos más eficazmente. Reemplazó su equipo de trabajo de otro empleado sin que éste lo supiera. Los
anticuado en sus 19 divisiones con 2,000 estaciones de trabajo empleados del equipo original de proveedores tenían acceso a
de alta velocidad Unisys, que enlazan todas sus divisiones con las estaciones de trabajo de la Office Automation porque las
una base central. palabras de pase del sistema entregado por el proveedor nunca
La orden ejecutiva 12356, fechada el 2 de abril de 1982, requiere fueron cambiadas.
que las agencias federales establezcan controles para asegurar La GAO estudió los procedimientos de la DEA para el control de
que la información clasificada quede protegida y vigilada contra acceso a áreas en donde se usa el equipo de cómputo. En la
el acceso no autorizado. La política del Department of Justice tabla se resumen los resultados del análisis de la GAO de la
requiere que sus dependencias integrantes, incluyendo la DEA, seguridad física en la DEA.
garanticen que salvaguardas de seguridad adecuadas estén en
Oficinas División A División
su lugar para sus sistemas de cómputo y para identificar aquellos
matrices B
sistemas que procesan datos clasificados.
de la DEA
En febrero de 1991, la DEA informó al Justice Department que
tenía un inventario de computadoras que procesaban Acceso a las áreas X X X
información clasificada. El inventario se basaba en una encuesta sensibles controlado en
conducida por la Office of Security Programs. La General forma inadecuada
Accounting Office encontró que en este inventario no se incluían
Individuos sin X X X
las computadoras que las oficinas centrales de la DEA y las de
su División B utilizan para procesar datos clasificados, porque vigilancia de seguridad
las oficinas centrales nunca fueron encuestadas y porque la trabajando en áreas
División B nunca respondió a las solicitudes de esta información. sensibles
La División A de la DEA no informó sobre sistemas de cómputo
clasificados en la respuesta a la encuesta de la Office of Security Computadoras sin X X X
Programs. La GAO también encontró que el personal de vigilancia dejadas
la'División A usaba computadoras para procesar la información encendidas 'acceso
clasificada. De acuerdo con los lineamientos federales, la
política del Justice Department requiere que los sistemas de Material hecho en X X
cómputo que procesen información clasificada sean autorizados computadora sin
por el Department Security Officer y tengan las salvaguardas de vigilancia y a la mano
seguridad necesarias, incluyendo las que protegen datos
Documentos sin X X X
clasificados transmitidos por redes. La GAO observó muchas
instancias en donde las oficinas generales de la DEA y el vigilancia y a la mano
personal de la división usaban el sistema Office Automation de la
Cajas fuertes abiertas X X
DEA rutinariamente para procesar datos clasificados. Este
sistema no había sido autorizado para procesar información y sin vigilancia
nacional de seguridad, y la DEA no había realizado un análisis Estado operacional de computadoras que permite al usuario tener
acceso a los archivos y jalar información.
de riesgo del sistema.
La DEA inició la instalación del sistema Office Automation en
Se encontró otro problema en las oficinas generales y en dos
1987. Las estaciones de trabajo de la Office Automation de la
oficinas divisionales. El personal de limpieza y mantenimiento
DEA operaban abiertamente, con áreas no protegidas y usando
(que no tienen gafetes de seguridad nacional) podía trabajar sin
dispositivos de almacenamiento de discos fijos. Los lineamientos
vigilancia en áreas donde las computadoras procesan
federales no aconsejan el uso de este equipo porque la
información de seguridad nacional. El personal de limpieza podía
información puede almacenarse inadvertidamente en el disco fijo
trabajar sólo en estas áreas antes y después de las horas
de la computadora y ser vulnerable a la recuperación por
normales de labores. Las computadoras de estas oficinas con
personas no autorizadas. Los lincamientos recomiendan el
frecuencia se dejaban encendidas e ina-tendidas. Los
equipo de cómputo con medios de almacenamiento separables
dispositivos eléctricos de tarjeta de control de entrada en las
para el procesamiento de la información clasificada en áreas
puertas, que contenían información de seguridad nacional, se
apagaban durante las horas normales de trabajo. Las puertas se la GAO encontraron muchas instancias en las oficinas centrales y
dejaban abiertas. El personal de seguridad de la división no divisionales de la DEA en donde documentos marcados como
revisaba los registros de tarjetas llaves para ver quién entraba clasificados se quedaban sin cuidado en cubículos abiertos y en
fuera del horario normal de trabajo. La GAO encontró que una de oficinas sin cerrar. Observaron cajas fuertes abiertas y sin
las tarjetas llave reportada como perdida aún estaba activa. Las cuidado en donde el personal de la DEA decía que contenía
tarjetas llave con los mismos códigos de acceso habían sido información sobre seguridad nacional.
asignadas a grupos de personas, incluyendo a quienes no eran Al examinar otro sitio importante, de la DEA, un equipo de
empleados de la DEA. Los empleados de la DEA no llevaban revisión del Department of Justice encontró que: 1) El personal
gafetes de seguridad. de la DEA procesaba y almacenaba información sobre seguridad
La GAO encontró que en la División B no se habían cambiado las nacional en equipo de cómputo no autorizado ni protegido. 2) Las
chapas a las oficinas de la división desde su instalación en 1985. líneas de comunicaciones que enlazaban estaciones de trabajo
La DEA y los empleados de la fuerza de tarea informaron de 17 remotas no estaban salvaguardadas para cumplir con los
instancias en las que sus llaves se habían perdido o habían sido requerimientos de seguridad nacional. 3) Personas con acceso a
hurtadas, incluyendo las llaves maestras en todas las áreas en áreas sensibles carecían de la suficiente identificación de
donde las computadoras procesaban información de seguridad seguridad. 4) El acceso a la Instalación de Información Sensible,
nacional, y en donde los empleados en general captan, analizan que alberga información altamente clasificada, no estaba
y almacenan la información. Un empleado reportó la pérdida de adecuadamente controlado.
un llavero marcado con las iniciales DEA. La División Security Los funcionarios de la DEA dijeron que no conocían ninguna
Office informó a la GAO que las chapas estaban siendo situación en la que la información clasificada estuviera
cambiadas y que la División B está siendo reubicada en un nuevo comprometida.
espacio que cuenta con un sistema de tarjetas llaves. En ambas Fuentes: United States General Accounting Office, "Computer
divisiones de la DEA, la GAO encontró que disquetes Security: DEA Is Not Adequately Protecting National Security
etiquetados con información confidencial se quedaban Information," GAO/IMTEC-92-31 (febrero de 1992), and Jason
rutinariamente sin custodia en estantes abiertos y sin protección. Forsythe, "New Weapons in Drug Wars," In forma tionWEEK
Cualquiera podía tener acceso a ello. La GAO reservó diversas (julio 16, 1990).
instancias en las oficinas generales de la ' DEA en donde
documentos marcados como clasificados se dejaban sin Preguntas del caso de estudio
seguridad en áreas donde trabajaba el personal de limpieza. En 1. Escribir un análisis de las debilidades de control de los
una de ellas, documentos marcados clasificados se dejaban Sistemas de la DEA
fuera en un escritorio cerca de una ventana en el primer piso. 2. ¿Cuáles son las posibles consecuencias de estas debilidades
Luego de notificar a un empleado de la DEA que los documentos en el control?
eran clasificados, los investigadores de la GAO regresaron cinco
minutos después para encontrar que los documentos aún se 3. ¿Qué factores de administración, organización y tecnología
encontraban sin atenderse. En otra ocasión, los investigadores fueron responsables de tales debilidades?
de la GAO encontraron un documento clasificado que yacía 4. ¿Qué recomendaciones haría usted para corregir tales
descuidado en la charola de una máquina de fax que se debilidades?
encontraba en una sala abierta de correo, en donde ningún
personal de la DEA trabaja normalmente. Los investigadores de