Una auditoría realizada por la Oficina del Inspector General (OIG) del Departamento de Justicia ha identificado “debilidades significativas” en la gestión de inventario del FBI y la eliminación de medios de almacenamiento electrónico que contienen información confidencial y clasificada.
El informe destaca numerosos problemas con las políticas y procedimientos o controles para rastrear los medios de almacenamiento recuperados de los dispositivos, así como importantes deficiencias de seguridad física en el proceso de destrucción de los medios.
El FBI ha reconocido estos problemas y está implementando acciones correctivas basadas en las recomendaciones de la OIG.
Hallazgos de la OIG
Auditoría de la OIG destaca varias debilidades en los procedimientos de gestión de inventario y eliminación del FBI para medios de almacenamiento electrónico que contienen información confidencial pero no clasificada (SBU), así como información clasificada de seguridad nacional (NSI).
Las tres conclusiones principales se resumen a continuación:
- El FBI no rastrea ni contabiliza adecuadamente los medios de almacenamiento electrónico, como discos duros internos y unidades USB, una vez que se retiran de dispositivos más grandes, lo que aumenta el riesgo de pérdida o robo de estos soportes.
- El FBI no etiqueta sistemáticamente los medios de almacenamiento electrónico con los niveles de clasificación adecuados (por ejemplo, Secreto, Alto Secreto), lo que podría provocar un mal manejo o acceso no autorizado a información confidencial.
- La OIG también encontró falta de seguridad física en las instalaciones del FBI donde se lleva a cabo la destrucción de los medios. Esto incluye controles de acceso internos inadecuados, almacenamiento no seguro de medios en espera de destrucción y cámaras de vigilancia que no funcionan, todo lo cual aumenta el riesgo de que la información clasificada se vea comprometida.
Fuente: OIG
Recomendaciones y respuesta del FBI
La OIG hizo tres recomendaciones específicas al FBI para abordar los problemas identificados.
- Revisar los procedimientos para garantizar que todos los medios de almacenamiento electrónico que contengan información confidencial o clasificada, incluidos los discos duros retirados de las computadoras destinados a la destrucción, se contabilicen, rastreen, limpien de manera oportuna y se destruyan adecuadamente.
- Implementar controles para garantizar que sus medios de almacenamiento electrónico estén marcados con los niveles de clasificación NSI apropiados, de acuerdo con las políticas y lineamientos aplicables.
- Fortalecer las prácticas de control y seguridad física de sus medios de almacenamiento electrónico en el establecimiento para evitar pérdida o robo.
El FBI reconoció los hallazgos de la auditoría y dijo que estaba desarrollando una nueva directiva titulada “Directriz sobre el control físico y la destrucción de dispositivos y materiales electrónicos clasificados y sensibles”.
Esta nueva política debería ayudar a resolver los problemas identificados en el seguimiento y clasificación de los medios de almacenamiento.
Fuente: OIG
Además, el FBI dijo que está instalando “jaulas” protectoras que servirán como puntos de almacenamiento para los medios y que estarán cubiertas por videovigilancia.
La OIG espera que el FBI proporcione actualizaciones sobre el estado de implementación de las acciones correctivas dentro de los 90 días.