AO:

AUDITORIA DE SISTEMAS
GRUPO:

ACTIVIDAD FECHA:

CASO DE ESTUDIO
Proteccin de la informacin sobre seguridad nacional en la Drug Enforcement Administration
La Drug Enforcement Administration se estableci en 1973 bajo el Department of Justice para respetar
las leyes y regulaciones relativas al uso y distribucin de drogas legales e Ilegales. La agenda cuenta
con 7000 agentes y otros empleados con oficinas ubicadas en todo el mundo. La DEA usa sistemas de
informacin para el procesamiento de informacin altamente sensible y de seguridad nacional,
captada por una gran variedad de fuentes. Tal informacin incluye datos detallados de traficantes de
drogas conocidos o sospechosos, e informantes y datos sobre operaciones nacionales o internacionales
contra las drogas.
La DEA mantiene algunos de estos datos en papel y otros en forma computarizada. Est dando menos
nfasis a mejorar las estadsticas de arrestos y capturas y ms a analizar sistemticamente a las
organizaciones de trfico de drogas para dirigir los esfuerzos ms eficazmente. Reemplaz su equipo
anticuado en sus 19 divisiones con 2,000 estaciones de trabajo de alta velocidad Unisys, que enlazan
todas sus divisiones con una base central.
La orden ejecutiva 12356, fechada el 2 de abril de 1982, requiere que las agencias federales establezcan
controles para asegurar que la informacin clasificada quede protegida y vigilada contra el acceso no
autorizado. La poltica del Department of Justice requiere que sus dependencias integrantes,
incluyendo la DEA, garanticen que salvaguardas de seguridad adecuadas estn en su lugar para sus
sistemas de cmputo y para identificar aquellos sistemas que procesan datos clasificados.
En febrero de 1991, la DEA inform al Justice Department que tena un inventario de computadoras
que procesaban informacin clasificada. El inventario se basaba en una encuesta conducida por el
Office of Security Programs. La General Accounting Office encontr que en este inventario no se
incluan las computadoras que las oficinas centrales de la DEA y las de su Divisin B utilizan para
procesar datos clasificados, porque las oficinas centrales nunca fueron encuestadas y porque la
Divisin B nunca respondi a las solicitudes de esta informacin. La Divisin A de la DEA no inform
sobre sistemas de cmputo clasificados en la res-puesta a la encuesta de la Office of Security Programs.
La GAO tambin encontr que el personal de la Divisin A usaba computadoras para procesar la
informacin clasificada. De acuerdo con los lineamientos federales, la poltica del Justice Department
requiere que los sistemas de cmputo que procesen informacin clasificada sean autorizados por el
Department Security Officer y tengan las salvaguardas de seguridad necesarias, incluyendo las que
protegen datos clasificados transmitidos por redes. La GAO observ muchas instancias en donde las
oficinas generales de la DEA y el personal de la divisin usaban el sistema Office Automation de la DEA
rutinariamente para procesar datos clasificados. Este sistema no haba sido autorizado para procesar
informacin nacional de seguridad, y la DEA no haba realizado un anlisis de riesgo del sistema.
La DEA inici la instalacin del sistema Office Automation en 1987. Las estaciones de trabajo de la
Office Automation de la DEA operaban abiertamente, con reas no protegidas y usando dispositivos
de almacenamiento de discos fijos. Los lineamientos federales no aconsejan el uso de este equipo
porque la informacin puede almacenarse inadvertidamente en el disco fijo de la computadora y ser
vulnerable a la recuperacin por personas no autorizadas. Los lincamientos recomiendan el equipo de
cmputo con medios de almacenamiento separables para el procesamiento de la informacin
clasificada en reas abiertas. (La U.S. Attorney's Office en Lexington, Kentucky, hizo historia cuando
vendi equipo de cmputo suplementario del De-partment of Justice que contena material delicado
del gran jurado y datos sobre informadores confidenciales.)
El equipo no tena la proteccin TEMPEST, que es una tecnologa que protege al equipo de cmputo
evitando que las emisiones electromagnticas sean interceptadas y descifradas por especialistas. Las
estaciones de trabajo estaban enlazadas por medio de lneas de comunicaciones de datos no
codificadas. La red de la Office Automation permiti que las personas laboraran en las estaciones de
trabajo en una oficina y acezaran datos almacenados en estaciones de otros por doquier. Cualquier
empleado de la DEA poda usar el sistema para obtener informacin clasificada almacenada en la
estacin de trabajo de otro empleado sin que ste lo supiera. Los empleados del equipo original de
Ing. Ren Guerrero Vergel
 AO:
AUDITORIA DE SISTEMAS
GRUPO:

ACTIVIDAD FECHA:

proveedores tenan acceso a las estaciones de trabajo de la Office Automation porque las palabras de
pase del sistema entre-gado por el proveedor nunca fueron cambiadas.
La GAO estudi los procedimientos de la DEA para el control de acceso a reas en donde se usa el
equipo de cmputo. En la tabla se resumen los resultados del anlisis de la GAO de la seguridad fsica
en la DEA.

Oficinas Divisin A Divisin B

matrices de
la DEA
Acceso a las reas sensibles X X X
controlado en forma
inadecuada
Individuos sin vigilancia de X X X
seguridad trabajando en
reas sensibles
Computadoras sin vigilancia X X X
dejadas encendidas
'acceso
Material hecho en X X
computadora sin vigilancia
y a la mano
Documentos sin vigilancia y a X X X
la mano
Cajas fuertes abiertas y sin X X
vigilancia

Estado operacional de computadoras que permite al usuario tener acceso a los archivos y jalar
informacin.
Se encontr otro problema en las oficinas generales y en dos oficinas divisionales. El personal de
limpieza y mantenimiento (que no tienen gafetes de seguridad nacional) poda trabajar sin vigilancia
en reas donde las computadoras procesan informacin de seguridad nacional. El personal de limpieza
poda trabajar slo en estas reas antes y despus de las horas normales de labores. Las computadoras
de estas oficinas con frecuencia se dejaban encendidas e inatendidas. Los dispositivos elctricos de
tarjeta de control de entrada en las puertas, que contenan informacin de seguridad nacional, se
apagaban durante las horas normales de trabajo. Las puertas se dejaban abiertas. El personal de
seguridad de la divisin no revisaba los registros de tarjetas llaves para ver quin entraba fuera del
horario normal de trabajo. La GAO encontr que una de las tarjetas llave reportada como perdida an
estaba activa. Las tarjetas llave con los mismos cdigos de acceso haban sido asignadas a grupos de
personas, incluyendo a quienes no eran empleados de la DEA. Los empleados de la DEA no llevaban
gafetes de seguridad.
La GAO encontr que en la Divisin B no se haban cambiado las chapas a las oficinas de la divisin
desde su instalacin en 1985. La DEA y los empleados de la fuerza de tarea informaron de 17 instancias
en las que sus llaves se haban perdido o haban sido hurtadas, incluyendo las llaves maestras en todas
las reas en donde las computadoras procesaban informacin de seguridad nacional, y en donde los
empleados en general captan, analizan y almacenan la informacin. Un empleado report la prdida
de un llavero marcado con las iniciales DEA. La Divisin Security Office inform a la GAO que las chapas
estaban siendo cambiadas y que la Divisin B est siendo reubicada en un nuevo espacio que cuenta
con un sistema de tarjetas llaves. En ambas divisiones de la DEA, la GAO encontr que disquetes
etiquetados con informacin confidencial se quedaban rutinariamente sin custodia en estantes
abiertos y sin proteccin. Cualquiera poda tener acceso a ello. La GAO reserv diversas instancias en
las oficinas generales de la ' DEA en donde documentos marcados como clasificados se dejaban sin
seguridad en reas donde trabajaba el personal de limpieza. En una de ellas, documentos marcados
clasificados se dejaban fuera en un escritorio cerca de una ventana en el primer piso. Luego de notificar
Ing. Ren Guerrero Vergel
 AO:
AUDITORIA DE SISTEMAS
GRUPO:

ACTIVIDAD FECHA:

a un empleado de la DEA que los documentos eran clasificados, los investigadores de la GAO regresaron
cinco minutos despus para encontrar que los documentos an se encontraban sin atenderse. En otra
ocasin, los investigadores de la GAO encontraron un documento clasificado que yaca descuidado en
la charola de una mquina de fax que se encontraba en una sala abierta de correo, en donde ningn
personal de la DEA trabaja normalmente. Los investigadores de la GAO encontraron muchas instancias
en las oficinas centrales y divisionales de la DEA en donde documentos marcados como clasificados se
quedaban sin cuidado en cubculos abiertos y en oficinas sin cerrar. Observaron cajas fuertes abiertas
y sin cuidado en donde el personal de la DEA deca que contena informacin sobre seguridad nacional.
Al examinar otro sitio importante, de la DEA, un equipo de revisin del Department of Justice encontr
que:
1) El personal de la DEA procesaba y almacenaba informacin sobre seguridad nacional en equipo de
cmputo no autorizado ni protegido.
2) Las lneas de comunicaciones que enlazaban estaciones de trabajo remotas no estaban
salvaguardadas para cumplir con los requerimientos de seguridad nacional.
3) Personas con acceso a reas sensibles carecan de la suficiente identificacin de seguridad.
4) El acceso a la Instalacin de Informacin Sensible, que alberga informacin altamente clasificada, no
estaba adecuadamente controlado.
Los funcionarios de la DEA dijeron que no conocan ninguna situacin en la que la informacin
clasificada estuviera comprometida.
Fuentes: United States General Accounting Office, "Computer Security: DEA Is Not Adequately
Protecting National Security Information," GAO/IMTEC-92-31 (febrero de 1992), and Jason Forsythe,
"New Weapons in Drug Wars," In formation WEEK (Julio 16, 1990).

PREGUNTAS DEL CASO DE ESTUDIO

1. Escribir un anlisis de las debilidades de control de los 3. Sistemas de la DEA en
2. Cules son las posibles consecuencias de estas debilidades en el control?

3. Qu factores de administracin, organizacin y tecnologa fueron responsables de tales

debilidades?
4. Qu recomendaciones hara usted para corregir tales debilidades?

Ing. Ren Guerrero Vergel

Ing. Ren Guerrero Vergel