En 2010, el soldado Bradley Manning – analista de inteligencia del Ejército de Tierra estadounidense – filtró a Wikileaks miles de documentos clasificados sobre la guerra de Afganistán, así como un cuarto de millón de cables diplomáticos de los Estados Unidos. Estas filtraciones abrieron en Washington un profundo debate sobre el estado de la seguridad de los sistemas de información y comunicaciones (TIC) que tratan información clasificada. En octubre de 2011, el debate culminó con la firma presidencial de la Orden Ejecutiva (Executive Order) 13587 que tenía como objetivo ejecutar reformas estructurales sobre el sistema y los mecanismos existentes para la salvaguarda e intercambio de documentación clasificada.
Estos últimos días, dos hechos han situado de nuevo a la Orden Ejecutiva 13587 en primera línea informativa. Por un lado, altos cargos de la Agencia Nacional de Seguridad (NSA) reconocían la imposibilidad de identificar el número exacto de documentos filtrados por Edward Snowden debido a la inexistencia de servicios de trazabilidad y monitorización de actividades de usuarios en los sistemas TIC de la sede hawaiana de la agencia donde éste trabajaba; y por otro lado, la publicación de las conclusiones del Grupo de trabajo sobre tecnologías aplicadas a la inteligencia y comunicaciones que, constituido a petición del Presidente Obama tras el escándalo Snowden, entre otras conclusiones insta al gobierno a implantar de forma inmediata la Orden Ejecutiva 13587 y aprobar medidas más exigentes en materia de ciberseguridad.
Los sistemas TIC que tratan información clasificada son sometidos a un exigente proceso que debe acreditar que estos cumplen con todos los requisitos de seguridad necesarios para su puesta en producción. Este proceso de acreditación engloba cinco grupos de actividades: documentación de seguridad; seguridad del entorno de operación; seguridad de las emanaciones electromagnéticas, seguridad criptológica y seguridad de las TIC.
La documentación de seguridad es el requisito necesario para iniciar el proceso de acreditación de cualquier sistema TIC. Ésta engloba un concepto de operación que expresa el objeto para el cual se implanta el sistema, indicando el nivel máximo de clasificación de la información que podrá tratar así como sus condiciones de explotación y las principales amenazas a las que éste estará sometido ; un análisis formal de riesgos asociados al sistema TIC, cuyo objetivo es estimar la magnitud del riesgo al que está sometido el sistema; una declaración de requisitos de seguridad en el que se expongan los principios de seguridad de la información que aplican al sistema así como los requisitos de seguridad que deberán ser implantados; y los procedimientos operativos de seguridad que, entre otros, describe de manera precisa el modo en el que se debe manejar la información clasificada, las responsabilidades de los usuarios y administradores, así como los pasos que deben seguirse en caso de incidencia o contingencia.
La seguridad del entorno de operación debe garantizar la seguridad física de las áreas donde se aloje la infraestructura TIC del sistema, así como de aquellas áreas en las que se maneja información clasificada, bien sea en formato papel o electrónico. La seguridad del personal es uno de los elementos clave ya que para el manejo de la información clasificada es necesario que éste disponga de una habilitación personal de seguridad (HPS) y además tenga la necesidad de conocer (Need-to-Know). Por otro lado, la seguridad de los documentos– bien sean en formato papel o electrónicos – deben estar correctamente securizados para evitar fugas de información intencionadas o accidentales. Para ello es necesario disponer, entre otros, de procedimientos de control de la documentación clasificada o medidas técnicas como sistemas de impresión segura, desmagnetizadores homologados para el borrado seguro de datos, trituradoras de papel o armarios blindados.
La seguridad de las emanaciones electromagnéticas lleva consigo la aplicación de técnicas que eviten la emanación de señales de radiofrecuencia que pudieran transmitir información sensible a través de ondas electromagnéticas. Éstas pueden ser generadas intencionadamente, por dispositivos de escuchas, o de manera accidental, a través de sistemas Wifi u otros dispositivos radioeléctricos.
La seguridad criptológica establece la obligatoriedad de uso de aquellos productos certificados por la autoridad nacional de acreditación de sistemas clasificados en cualquiera de sus disciplinas: criptografía, criptoanálisis, esteganografía y esteganoanálisis.
La seguridad de las TIC proporciona a estos sistemas los servicios de seguridad necesarios para garantizar los principios básicos de la seguridad de la información, evitando cualquier pérdida de confidencialidad, disponibilidad, autenticidad e integridad de la misma. Además, deberán proporcionar servicios de auditabilidad y trazabilidad de las actividades que se hayan ejecutado en el sistema. Estos servicios de seguridad deberán, entre otros, identificar y autenticar a los usuarios autorizados, controlar los accesos de estos usuarios en función del Need-to-Know, verificar la integridad de la información, registrar y auditar la actividad de los usuarios y controlar las conexiones desde y hacia el sistema clasificado.
Sin embargo, la evolución tecnológica y el aumento en el nivel de amenaza cibernética obligan no solo a dinamizar el proceso de acreditación de los sistemas TIC que tratan información clasificada; sino también a administrar de forma efectiva y eficiente su seguridad. Para ello es necesario realizar una importante inversión económica en recursos humanos y técnicos para integrar los centros de gestión de seguridad de la información y los centros de explotación de los sistemas mediante interfaces modernos – a nivel de procesos, tecnología y comunicaciones – para obtener y disponer de un conocimiento preciso de ciber-situación, permitiendo con ello la ejecución de análisis de riesgos dinámicos. Igualmente, es necesario adquirir e implementar herramientas y servicios TIC que permitan mejorar el funcionamiento y la seguridad de los sistemas TIC clasificados. En tercer lugar, es conveniente evolucionar del concepto Need-To Know a un modelo Work-Related Access Model que permita llevar a cabo una gestión más granular y precisa de los permisos de acceso a la información; y finalmente se hace necesario realizar planes de concienciación, formación y capacitación continua del personal técnico que administra y gestiona los sistemas TIC, así como de los usuarios finales de los mismos. Y es que debemos recordar siempre que el ser humano es el eslabón más débil en la “cadena” de la seguridad de los sistemas TIC.