De Wikipedia, la enciclopedia libre
Ir a navegaciónSaltar a buscar
Póster de propaganda de la Segunda Guerra Mundial que popularizó la frase de advertencia "Los labios sueltos hunden barcos "

La seguridad de operaciones ( OPSEC ) es un proceso que identifica información crítica para determinar si las acciones amistosas pueden ser observadas por la inteligencia enemiga, determina si la información obtenida por los adversarios podría interpretarse como útil para ellos y luego ejecuta medidas seleccionadas que eliminan o reducen la explotación del adversario. de información crítica amigable.

Propaganda anti-rumores del Cuerpo de Mujeres del Ejército (1941-1945)

En un sentido más general, OPSEC es el proceso de protección de datos individuales que podrían agruparse para ofrecer una imagen más amplia (denominada agregación). OPSEC es la protección de la información crítica que se considera esencial para la misión de los comandantes militares, los líderes superiores, la administración u otros órganos de toma de decisiones. El proceso da como resultado el desarrollo de contramedidas , que incluyen medidas técnicas y no técnicas, como el uso de software de cifrado de correo electrónico , tomar precauciones contra escuchas, prestar mucha atención a una foto que ha tomado (como elementos en el fondo), o no hablar abiertamente en los sitios de redes sociales sobre la información de la lista de información crítica de la unidad, actividad u organización.

El término "seguridad de las operaciones" fue acuñado por el ejército de los Estados Unidos durante la Guerra de Vietnam .

La ingeniería social es el arte de manipular a las personas para que realicen acciones o divulguen información confidencial, en lugar de irrumpir o utilizar técnicas técnicas de craqueo.

Proceso

OPSEC es un proceso iterativo de cinco pasos que ayuda a una organización a identificar piezas específicas de información que requieren protección y a emplear medidas para protegerlas:

  1. Identificación de información crítica: La información crítica es información sobre intenciones amistosas, capacidades y actividades que permiten a un adversario planificar de manera efectiva para interrumpir sus operaciones. La Regulación 530-1 del Ejército de los EE. UU. Ha redefinido la información crítica en cuatro categorías amplias, utilizando el acrónimo CALI: capacidades, actividades, limitaciones (incluidas las vulnerabilidades) e intenciones. [1] Este paso da como resultado la creación de una Lista de información crítica (CIL). Esto permite que la organización concentre los recursos en información vital, en lugar de intentar proteger toda la información clasificada o confidencial no clasificada. La información crítica puede incluir, entre otros, programas de despliegue militar, información organizativa interna, detalles de las medidas de seguridad, etc.
  2. Análisis de amenazas: una amenaza proviene de un adversario: cualquier individuo o grupo que pueda intentar interrumpir o comprometer una actividad amiga. La amenaza se divide además en adversarios con intención y capacidad. Cuanto mayor sea la intención y la capacidad combinadas del adversario, mayor será la amenaza. Este paso utiliza múltiples fuentes, como actividades de inteligencia, aplicación de la ley e información de fuente abierta para identificar posibles adversarios a una operación planificada y priorizar su grado de amenaza.
  3. Análisis de vulnerabilidades: Examinar cada aspecto de la operación planificada para identificar indicadores OPSEC que podrían revelar información crítica y luego comparar esos indicadores con las capacidades de recopilación de inteligencia del adversario identificadas en la acción anterior. Se puede pensar en la amenaza como la fuerza de los adversarios, mientras que en la vulnerabilidad se puede pensar en la debilidad de las organizaciones amigas.
  4. Evaluación del riesgo: Primero, los planificadores analizan las vulnerabilidades identificadas en la acción anterior e identifican posibles medidas OPSEC para cada vulnerabilidad. En segundo lugar, se seleccionan medidas específicas de OPSEC para su ejecución en función de una evaluación de riesgos realizada por el comandante y el personal. El riesgo se calcula en función de la probabilidad de divulgación de información crítica y el impacto si se produce dicha divulgación. La probabilidad se subdivide en el nivel de amenaza y el nivel de vulnerabilidad. La premisa central de la subdivisión es que la probabilidad de compromiso es mayor cuando la amenaza es muy capaz y dedicada, mientras que las organizaciones amigas están simultáneamente expuestas.
  5. Aplicación de medidas OPSEC apropiadas: El comando implementa las medidas OPSEC seleccionadas en la evaluación de la acción de riesgo o, en el caso de operaciones y actividades futuras planificadas, incluye las medidas en planes OPSEC específicos. Las contramedidas deben monitorearse continuamente para garantizar que continúen protegiendo la información actual contra las amenazas relevantes. [2] La Regulación 530-1 del Ejército de los Estados Unidos [3] se refiere a "Medidas" como el término general, con categorías de "Control de Acción" (controlar las propias acciones); "Contramedidas" (contrarrestar la recopilación de inteligencia del adversario); y "contraanálisis" (que crea dificultades para los analistas adversarios que buscan predecir intenciones amistosas) como herramientas para ayudar a un profesional de OPSEC a proteger la información crítica.

Una Evaluación OPSEC es la aplicación formal del proceso a una operación o actividad existente por parte de un equipo multidisciplinario de expertos. Las evaluaciones identifican los requisitos para las medidas OPSEC adicionales y los cambios necesarios a las existentes. [4] Además, los planificadores de OPSEC, en estrecha colaboración con el personal de Asuntos Públicos, deben desarrollar los Elementos Esenciales de Información Amistosa (EEFI) que se utilizan para evitar la divulgación pública inadvertida de información crítica o sensible. [5] El término "EEFI" se está eliminando gradualmente en favor de "Información crítica", por lo que todas las agencias afectadas usan el mismo término, minimizando la confusión.

Historia

Vietnam

En 1966, el almirante estadounidense Ulysses Sharp estableció un equipo de seguridad multidisciplinario para investigar el fracaso de ciertas operaciones de combate durante la guerra de Vietnam . Esta operación se denominó Operación Dragón Púrpura e incluyó personal de la Agencia de Seguridad Nacional y el Departamento de Defensa . [6]

Cuando concluyó la operación, el equipo de Purple Dragon codificó sus recomendaciones. Llamaron al proceso "Seguridad de las operaciones" para distinguir el proceso de los procesos existentes y garantizar el apoyo interinstitucional continuo. [7]

NSDD 298

En 1988, el presidente Ronald Reagan firmó la Directiva de Decisión de Seguridad Nacional (NSDD) 298. Este documento estableció el Programa de Seguridad de Operaciones Nacionales y nombró al Director de la Agencia de Seguridad Nacional como el agente ejecutivo para el apoyo interinstitucional de OPSEC. Este documento también estableció el personal de apoyo interinstitucional de OPSEC (IOSS). [8]

Solicitud internacional y del sector privado

Aunque originalmente se desarrolló como una metodología militar de EE. UU., La seguridad de operaciones se ha adoptado en todo el mundo para operaciones militares y del sector privado . En 1992, la Organización del Tratado del Atlántico Norte ( OTAN ) agregó OPSEC a su glosario de términos y definiciones. [9]

El sector privado también ha adoptado OPSEC como medida defensiva contra los esfuerzos de recopilación de inteligencia competitiva . [10]

Las empresas militares y de seguridad e información del sector privado a menudo requieren profesionales de OPSEC. La certificación a menudo se obtiene inicialmente de organizaciones militares o gubernamentales, como:

  • Elemento de apoyo de la OPSEC del ejército de EE. UU. [11]
  • Equipo de apoyo de la OPSEC de la Marina de los EE. UU. [12]
  • Equipo de apoyo de US Marine OPSEC [13]
  • Equipo de apoyo de la OPSEC de la Fuerza Aérea de EE. UU. [14]
  • Oficina de Política y Gestión de Seguridad de la Guardia Costera de EE. UU. [15]
  • Elemento de apoyo conjunto de OPSEC. [dieciséis]
  • Personal de apoyo interinstitucional de OPSEC. [17]

Otras medidas que impactan a OPSEC

Ver también

  • Solo para uso oficial - FOUO
  • Seguridad de información
  • Seguridad del ciclo de inteligencia
  • Seguridad
  • Cultura de seguridad
  • Sensible pero no clasificado - SBU
  • Información no clasificada controlada - CUI
  • Ingeniería social

Referencias

  1. ^ https://fas.org/irp/doddir/army/ar530-1.pdf
  2. ^ "El proceso OPSEC" . Asociación de Profesionales de Seguridad de Operaciones. Archivado desde el original el 14 de marzo de 2008 . Consultado el 12 de abril de 2011 .
  3. ^ https://fas.org/irp/doddir/army/ar530-1.pdf
  4. ^ "Glosario de términos de OPSEC" . Personal de apoyo interinstitucional de OPSEC . Consultado el 16 de junio de 2016 .
  5. ^ "Proceso de planificación de operaciones conjuntas y acciones de asuntos públicos" (PDF) . Centro de Información Técnica de Defensa (DTIC). Archivado desde el original (PDF) el 08/08/2016 . Consultado el 16 de junio de 2016 .
  6. ^ "DRAGÓN PÚRPURA: Las formaciones de OPSEC" . Dirección de Aseguramiento de la Información . Agencia de Seguridad Nacional . Consultado el 15 de junio de 2016 .
  7. ^ "El origen de OPSEC- de la boca del dragón" . www.opsecprofessionals.org . Consultado el 16 de junio de 2016 .
  8. ^ "Acerca de IOSS" . Programa Nacional OPSEC . Personal de apoyo interinstitucional de OPSEC . Consultado el 15 de junio de 2016 .
  9. ^ "Glosario de términos y definiciones de la OTAN" (PDF) . AAP-6 . OTAN . Consultado el 16 de junio de 2016 . [ enlace muerto permanente ]
  10. ^ Kahaner, Larry (1997). Inteligencia competitiva . Simon y Schuster . págs. 252-255.
  11. ^ "Entrenamiento del elemento de apoyo de OPSEC del ejército (OSE)" . 1stiocmd.army.mil . Pie. Belvoir, VA: Primer Comando de Operaciones de Información . Consultado el 20 de junio de 2018 .
  12. ^ "Equipo de soporte de seguridad de operaciones navales" . Navy.mil . Washington, DC: Marina de los Estados Unidos . Consultado el 20 de junio de 2018 .
  13. ^ "El programa de seguridad de operaciones del Cuerpo de Marines (OPSEC)" . Marines.mil . Washington, DC: Cuerpo de Marines de Estados Unidos . Consultado el 20 de junio de 2018 .
  14. ^ "Equipo de soporte de OPSEC de la fuerza aérea" . Washington, DC: Fuerza Aérea de EE . UU . Consultado el 20 de junio de 2018 , a través de Facebook.com./
  15. ^ Comandante de la Guardia Costera (22 de abril de 2014). Instrucción del comandante M5510.24A, Programa de seguridad de operaciones (OPSEC) (PDF) . Washington, DC: Guardacostas de Estados Unidos. pag. 1.
  16. ^ "Soporte JIOWC OPSEC" . Base de la Fuerza Aérea Lackland: Centro de Guerra de Operaciones Conjuntas de Información de EE. UU . Consultado el 20 de junio de 2018 , a través de Facebook.com.
  17. ^ "Programa Nacional OPSEC" . iad.gov/ioss/ . Pie. George G. Meade, MD: Personal de apoyo interinstitucional de OPSEC (IOSS) . Consultado el 20 de junio de 2018 .

Enlaces externos

  • Espionage Target You - Película del Departamento de Defensa sobre seguridad operativa en YouTube
  • Sitio de OPSEC del gobierno de EE. UU.
  • Asociación de Profesionales de Seguridad de Operaciones
  • Directiva 298 sobre decisiones de seguridad nacional
  • Purple Dragon , The Origin & Development of the United States OPSEC Program , NSA, 1993.
  • Seguridad de operaciones (JP 3-13.3) PDF Doctrina de seguridad de operaciones del Departamento de Defensa de EE. UU.
  • "Bin Laden Trail 'Stone Cold ' " . Washington Post . 10 de septiembre de 2006.
  • "Después de una década en guerra con Occidente, Al-Qaeda sigue siendo impermeable a los espías" . Washington Post . 20 de marzo de 2008.
  • Cómo realizar una evaluación OPSEC