Política de seguridad del CJIS, bases de datos del FBI

La Política de Seguridad de los Servicios de Información de la Justicia Penal (Criminal Justice Information Services Security Policy o CJIS para abreviar) es una política de gestión de la seguridad administrada por la Oficina Federal de Investigación (Federal Bureau of Investigation o FBI) que contiene “requisitos, directrices y acuerdos de seguridad de la información que reflejan la voluntad de los organismos encargados de hacer cumplir la ley y de la justicia penal de proteger las fuentes, la transmisión, el almacenamiento y la generación de Información de la Justicia Penal (Criminal Justice Information o CJI)”. El objetivo de la Política de Seguridad CJIS era proteger el ciclo de vida completo de la Información de Justicia Penal o CJI, tanto si esta información está en reposo como en tránsito. En este sentido, la Política de Seguridad CJIS también “proporciona orientación para la creación, visualización, modificación, transmisión, difusión, almacenamiento y destrucción de la ICJ”.

¿Qué es el cumplimiento de la Red CJIS y por qué es importante?

Dado que el CJIS es una división del FBI, la división supervisa y gestiona una serie de bases de datos policiales diferentes. Como tales, los organismos encargados de la aplicación de la ley de todo el país dependen de la información recopilada y contenida en estas bases de datos para llevar a cabo sus funciones diarias. Algunas de las bases de datos contenidas en el CJIS son las siguientes:

• El Centro Nacional de Información sobre la Delincuencia o NCIC- El NCIC contiene información relativa a diversas funciones relacionadas con la aplicación de la ley, incluida información sobre personas desaparecidas y la detención de fugitivos.
• National Data Exchange o N-DEx- N-DEx es un sistema “que proporciona a los organismos una herramienta en línea para compartir, buscar, vincular y analizar información más allá de las fronteras jurisdiccionales”.
• National Instant Criminal Background Check Systems o NICS y Next Generation Identification o NGI- El NICS y el NGI son sistemas de bases de datos que contienen un “repositorio de información biométrica y de antecedentes penales”.

Dado que la información contenida en las bases de datos del CJIS es fundamental para las operaciones y funciones de muchos organismos encargados de la aplicación de la ley de todo el mundo, la política de seguridad del CJIS es un medio por el cual el FBI puede garantizar que esta información esté protegida y salvaguardada en todo momento. Con este fin, la Política de Seguridad CJIS “contiene trece requisitos normativos y técnicos independientes que abarcan numerosos temas”. Algunos de los temas de la política incluyen requisitos políticos y contractuales, así como formación sobre concienciación en materia de seguridad, entre otros muchos. Por otra parte, algunos de los temas técnicos incluyen el “despliegue de cifrado para proteger los datos en tránsito”, así como el establecimiento de controles de acceso de los usuarios con el fin de restringirlos.

¿Cuáles son los requisitos de cumplimiento de la Política de Seguridad CJIS?

Los trece requisitos para el cumplimiento de la Política de Seguridad CJIS son los siguientes:

• Acuerdos de intercambio de información- Las organizaciones deben establecer acuerdos formales entre sí antes de compartir la ICJ.
• Formación sobre concienciación en materia de seguridad: “Los empleados que tengan acceso a la ICJ deben recibir formación sobre el cumplimiento de las normas de seguridad del CJIS en los seis primeros meses de su asignación, y la formación debe llevarse a cabo anualmente”.
• Respuesta a incidentes- Las organizaciones son responsables de desarrollar un Plan de Respuesta a Incidentes o IRP con el fin de identificar, contener, erradicar y recuperarse de los incidentes de seguridad en el momento oportuno. Además, cualquier violación de datos o incidente de seguridad relacionado debe comunicarse al Departamento de Justicia.
• Auditoría y rendición de cuentas: “Las organizaciones deben supervisar todos los accesos a la ICJ, incluido quién accede a ella y cuándo. También necesitarán información sobre por qué un usuario accede a los datos, para ayudarles a determinar la legitimidad de las acciones del usuario”.
• Control de acceso: las organizaciones son responsables de aplicar el control de acceso basado en funciones o RBAC, que incluye “funciones como el tipo de trabajo, la ubicación, la dirección IP y las restricciones horarias”.
• Identificación y autenticación: “Para acceder a los datos CJIS, los usuarios deben cumplir las normas de autenticación CJIS, que obligan a los organismos a utilizar la autenticación multifactor (MFA). MFA se basa en dos o más “factores” para autenticar al usuario”.
• Gestión de la configuración: “Las normas de seguridad del CJIS estipulan que sólo los usuarios autorizados pueden realizar cambios de configuración en los sistemas que almacenan CJI, lo que incluye la realización de actualizaciones de software y la adición/eliminación de hardware”.
• Protección física y de soportes: las organizaciones que utilicen datos CJIS deben desarrollar políticas y procedimientos que garanticen “que todos los soportes estén protegidos y se eliminen de forma segura cuando ya no se utilicen”. Este principio constituye dos requisitos diferentes, la protección física y la de los soportes.
• Protección de sistemas y comunicaciones e integridad de la información: “Este ámbito de actuación se refiere a la seguridad general de la red de una organización. Las organizaciones que manejan CJIS deben contar con las salvaguardias necesarias para garantizar que todos los sistemas y protocolos de comunicación están protegidos contra el acceso autorizado”.
• Auditorías formales: las organizaciones que utilicen datos del CJIS estarán sujetas a auditorías formales de seguridad diseñadas para garantizar que dichas organizaciones cumplen todas las normas de seguridad del CJIS.
• Seguridad del personal: “Todos los empleados, contratistas y proveedores que tengan acceso al CJI deberán someterse a un riguroso proceso de selección, que incluye la comprobación de las huellas dactilares en el Sistema Automatizado Integrado de Identificación Dactilar (IAFIS)”.
• Dispositivos móviles: “Las organizaciones deben establecer una “política de uso aceptable” en relación con el modo en que se utilizan los dispositivos móviles, incluidos los sitios web a los que pueden acceder y las aplicaciones que pueden instalar”.

Dado que el intercambio de información ha sido fundamental para el desarrollo de las civilizaciones a lo largo de la historia de la humanidad, las bases de datos como el CJIS representan el equivalente tecnológico de las diversas redes de información que se han utilizado en el pasado. Como tal, el cumplimiento de la red CJIS es un medio por el cual el FBI puede garantizar que todos los datos CJIS a los que acceden los organismos encargados de la aplicación de la ley o las entidades u organizaciones relacionadas estén protegidos en todo momento contra usos no autorizados o daños. Siguiendo los trece requisitos indicados anteriormente, las fuerzas del orden pueden garantizar que no violan la confidencialidad e integridad de los datos CJIS al desempeñar sus diversas funciones y tareas.