Cómo obtener una autorización de seguridad: Una guía completa
Esta guía trata sobre cómo los profesionales de ciberseguridad pueden obtener una autorización de seguridad. Las autorizaciones de seguridad son una faceta importante del trabajo en la industria de la ciberseguridad y esta guía describirá los diferentes tipos de autorizaciones de seguridad, qué tipos de trabajos requieren autorizaciones de seguridad y el proceso a seguir para obtener una autorización de seguridad.
Para los fines de este artículo, una autorización de seguridad es una determinación oficial de que una persona puede acceder a cierto nivel de información clasificada, según lo determine una agencia del gobierno de los Estados Unidos.
Por supuesto, hay otros tipos de autorizaciones de seguridad emitidas por otras entidades gubernamentales y no gubernamentales de todo el mundo, pero como cuestión práctica, el alcance de esta discusión se limitará a las autorizaciones emitidas por agencias del gobierno federal de los EE.
Descripción general de la autorización de seguridad
Todos los empleados del gobierno federal de los Estados Unidos se someten a una investigación básica de sus antecedentes penales y de crédito. Esto asegura que todos los empleados federales sean «confiables, confiables, de buena conducta y carácter, y de lealtad completa e inquebrantable a los Estados Unidos».»
Además, los puestos de empleo federales que incluyen acceso a información confidencial requieren una autorización de seguridad. Esto incluye a las personas empleadas por empresas privadas en calidad de contratista para el gobierno federal. Esta autorización debe obtenerse para determinar la fiabilidad del solicitante antes de concederle acceso a la información de seguridad nacional.
Las autorizaciones de seguridad se estructuran de manera jerárquica, y cada designación indica el nivel máximo de información clasificada a la que puede acceder el titular de la autorización. De menos restrictivo a más restrictivo, los niveles de clasificación son:
- Confidencial Este tipo de autorización de seguridad proporciona acceso a información que puede causar daños a la seguridad nacional si se divulga sin autorización. Debe ser objeto de una nueva investigación cada 15 años. Una autorización confidencial requiere una Verificación de Agencia Nacional con Verificación de Agencia Local y Verificación de Crédito (NACLC).
- Secreto Este tipo de autorización de seguridad proporciona acceso a información que puede causar daños graves a la seguridad nacional si se divulga sin autorización. Debe ser objeto de una nueva investigación cada 10 años. Una autorización secreta requiere un NACLC y una investigación de crédito; también debe ser re-investigada cada 10 años. Los requisitos de investigación para las autorizaciones del Departamento de Defensa (DoD), que se aplican a la mayoría de las situaciones de contratistas civiles, están contenidos en la emisión del Programa de Seguridad del Personal conocida como Reglamento 5200.2-R del DoD, en la parte C3.4.2.
- Top Secret (TS) Este tipo de autorización de seguridad proporciona acceso a información que puede causar daños excepcionalmente graves a la seguridad nacional si se divulga sin autorización. Debe ser objeto de una nueva investigación cada cinco años. Top Secret es una autorización más estricta. A menudo se otorga una autorización TS como resultado de una Investigación de Antecedentes de Alcance Único (SSBI). Las autorizaciones de TS, en general, permiten un acceso a datos que afectan la seguridad nacional, la lucha contra el terrorismo/contrainteligencia u otros datos altamente confidenciales. Hay muchos menos individuos con autorizaciones de TS que autorizaciones secretas. En la mayoría de los casos, una persona con autorización de Alto Secreto se somete a una nueva investigación cada cinco años.
Haber obtenido un determinado nivel de habilitación de seguridad no significa que el titular de la habilitación tenga acceso automáticamente a la información habilitada para ese nivel de habilitación o se le dé acceso a ella. Para manejar legalmente la información clasificada, el titular de la autorización debe tener una «necesidad de saber» clara, además del nivel adecuado de autorización para la información. La necesidad de saber es determinada generalmente por un oficial de divulgación asignado a la oficina de origen para la información clasificada.
También hay dos categorías de información clasificada que requieren restricciones adicionales de manejo y acceso:
- Información compartimentada sensible (SCI), que incluye fuentes, métodos y procesos de inteligencia. Al igual que con una autorización de ST, una autorización de SCI se asigna solo después de que el candidato haya pasado por los rigores de una SSBI y un proceso especial de adjudicación para evaluar la investigación. Sin embargo, el acceso al SCI solo se asigna en «compartimentos». Estos compartimentos están necesariamente separados entre sí con respecto a la organización, de modo que una persona con acceso a un compartimento no necesariamente tendrá acceso a otro. Cada compartimento podrá incluir sus propios requisitos especiales adicionales y un proceso de separación. Una persona puede tener acceso a un compartimento o leerlo en él durante cualquier período de tiempo.
- Programas de acceso especial (SAP), que son proyectos y programas altamente sensibles.El Departamento de Defensa establece PAE cuando la vulnerabilidad de información específica se considera excepcional y las reglas normales para determinar la elegibilidad para el acceso no se consideran suficientes para proteger la información. Los SAP se suelen emplear para mejorar las medidas de seguridad que imponen estrictamente la necesidad de saber. El número de personas autorizadas para acceder a dichos programas suele mantenerse bajo. La información sobre la nueva tecnología militar, por ejemplo, requiere con frecuencia ese acceso especial.
Estas categorías especiales se refieren a información clasificada que se ha considerado particularmente vulnerable, y las normas de elegibilidad y los requisitos de investigación para el acceso a las autorizaciones de SCI y SAPs son más altos que para otras autorizaciones.
Las autorizaciones de seguridad están activas solo durante el tiempo en que una persona ocupa el trabajo original para el que se designó la autorización. El titular de la autorización puede volver a ser investigado en cualquier momento, pero se requiere una revisión formal después del número de años prescrito.
Una autorización puede reactivarse en ciertos casos sin pasar de nuevo por todo el proceso de investigación. Sin embargo, la interrupción en el empleo del candidato debe ser de menos de dos años y la investigación original no puede tener más de 5, 10 o 15 años para las categorías de alto secreto, secreto y confidencial, respectivamente.
Historial de autorizaciones de seguridad
La autoridad para clasificar la información y otorgar autorizaciones de seguridad para acceder a esa información se encuentra en las Órdenes Ejecutivas (EOS) y la ley federal de EE. Los orígenes de las autorizaciones de seguridad se remontan a la Ley Pendleton de 1883, que requería que los solicitantes de empleo federal poseyeran el carácter, la reputación, la confiabilidad y la aptitud para el empleo necesarios.
En 1941, la Orden Ejecutiva 8781 estableció el requisito de que el FBI tomase las huellas dactilares e investigase a todos los empleados federales, y en 1948 el Departamento de Defensa unificó el programa de seguridad militar e implementó normas y procedimientos similares a los puestos en vigor para los civiles bajo la Orden Ejecutiva 9835.
La Orden Ejecutiva 10450 (1953) reemplazó a E. O. 9835 y requirió investigaciones de empleados federales para determinar su confiabilidad, confiabilidad, buena conducta y carácter, y lealtad a los Estados Unidos. Exigía que el empleo fuera «claramente compatible con el interés de la seguridad nacional».»
Actualmente, la Información de Seguridad Nacional (NSI) está clasificada bajo la OE 13526 con cierta libertad adicional proporcionada por la Directiva de Agentes Ejecutivos de Seguridad 4, Directrices Adjudicativas de Seguridad Nacional.
Trabajos que requieren una autorización de seguridad
Muchas agencias federales y contratistas federales que trabajan con esas agencias necesariamente requieren que sus empleados tengan autorizaciones de seguridad para hacer su trabajo.
La necesidad de una autorización de seguridad está dictada por la necesidad de manejar información confidencial o clasificada en lugar de una descripción de trabajo específica.
Independientemente de la descripción del trabajo, es más probable que el empleo dentro de ciertas agencias gubernamentales requiera una autorización de seguridad. El empleo en un establecimiento protegido por el gobierno también requiere una autorización de seguridad. Algunos ejemplos de organismos que pueden requerir niveles más altos de autorización son:
- Agencia Central de Inteligencia
- Seguridad Nacional
- Agencia de Inteligencia de Defensa
- Oficina de Inteligencia de Seguridad Nacional
- Administración para el Control de Drogas
- Oficina Federal de Investigaciones
- Agencia Nacional de Inteligencia Geoespacial
- Oficina Nacional de Reconocimiento
Cualquier persona que tenga acceso a datos clasificados requiere una autorización a un nivel superior al que los datos que debe manejar son clasificados. Por esta razón, se requieren autorizaciones de seguridad para una amplia gama de puestos, desde el personal directivo superior hasta el de conserjería. Los puestos que pueden requerir una autorización de seguridad incluyen secretarias, oficiales de seguridad, bibliotecarios, administradores de sistemas y personal de apoyo informático que tiene acceso a documentos o sistemas clasificados.
El informe de diciembre de 2017 de la Oficina de Rendición de Cuentas del Gobierno de los Estados Unidos (GAO, por sus siglas en inglés) al Congreso afirma: «A partir del 1 de octubre de 2015, la última fecha para la que se dispone de datos, aproximadamente 4,2 millones de empleados gubernamentales y contratistas, en casi 80 agencias del poder ejecutivo, eran elegibles para tener una autorización de seguridad.»
El proceso para obtener una autorización de seguridad
Antes de que el proceso para obtener una autorización de seguridad pueda incluso comenzar, debe existir una necesidad verificable de que la persona que solicita la autorización tenga una. Si bien las empresas con contratos o subvenciones con el gobierno federal pueden requerir que los empleados tengan una autorización de seguridad, ninguna empresa sin un contrato con el gobierno federal puede solicitar una autorización de seguridad de forma independiente.
Solo las personas empleadas por una agencia federal o contratista federal pueden obtener una autorización de seguridad.
Una vez que la agencia o contratista seleccione a un candidato para contratar, el solicitante recibirá una oferta de trabajo que puede depender de la obtención exitosa de una autorización de seguridad. Una vez aceptada la oferta y completados los formularios requeridos, se lleva a cabo una amplia investigación de antecedentes.
El alcance de la investigación de antecedentes necesaria depende de los requisitos del puesto, así como del nivel de autorización de seguridad necesario para el puesto. Este proceso puede llevar varios meses o hasta un año, dependiendo del atraso, la necesidad de más información, la profundidad del proceso de investigación y otros factores.
La Orden Ejecutiva 10450 establece en parte: «El alcance de la investigación se determinará according de acuerdo con el grado de efecto adverso que el ocupante del puesto que se busca cubrir podría provocar, en virtud de la naturaleza del puesto, en la seguridad nacional, pero en ningún caso la investigación incluirá menos que una verificación de la agencia nacional (incluida una verificación de los archivos de huellas dactilares de la Oficina Federal de Investigaciones), y consultas por escrito a las agencias locales apropiadas de aplicación de la ley, antiguos empleadores y supervisores, referencias y escuelas a las que asiste la persona bajo investigación.»
El tiempo requerido para obtener una autorización de seguridad está creciendo y es una preocupación significativa para las agencias y contratistas federales. Algunos casos en los que los individuos tomarían más tiempo de lo normal para ser investigados son muchas residencias anteriores, tener residencias en países extranjeros, tener parientes fuera de los Estados Unidos o vínculos significativos con ciudadanos no estadounidenses.
Si una oficina de contratación solicita una autorización de seguridad provisional, el solicitante puede obtener una autorización de seguridad provisional dentro de unas semanas después de presentar un paquete de seguridad completo. De acuerdo con el Servicio de Seguridad de Defensa (una agencia del Departamento de Defensa), todos los solicitantes de una autorización de seguridad personal presentada por un contratista autorizado serán considerados rutinariamente para la elegibilidad provisional. La elegibilidad provisional solo se otorga cuando el acceso a información clasificada es claramente compatible con los intereses de seguridad nacional de los Estados Unidos. La admisibilidad provisional se concede al mismo tiempo que se inicia la investigación y, en general, permanecerá en vigor hasta que se complete la investigación. En ese momento, el solicitante es considerado para la elegibilidad final.
Si un solicitante siente que es un candidato serio para un puesto que requiere una autorización de seguridad, puede acelerar el proceso recopilando información relevante antes de recibir una oferta de trabajo de la agencia contratadora o contratista. La agencia de contratación o contratista puede dirigir al solicitante a los formularios apropiados para el nivel de autorización requerido para el puesto para el que se está considerando.
La investigación de antecedentes de autorización de seguridad
El componente central en el proceso de obtención de una autorización de seguridad es la investigación de antecedentes. El proceso comienza con el registro del solicitante y la cumplimentación de los formularios correspondientes a través del sitio web de la aplicación de Cuestionarios Electrónicos para el Procesamiento de Investigaciones (e-QIP) de la Oficina de Administración de Personal de los Estados Unidos (OPM). La siguiente fase del proceso implica una investigación llevada a cabo por la OPM, el Departamento de Defensa y la Oficina del Director de Inteligencia Nacional u otro proveedor de servicios de investigación, según el puesto.
Hay cinco niveles de estándares de investigación que se aplican a las solicitudes de autorizaciones de seguridad. El nivel específico de investigación que es apropiado para un candidato determinado está determinado por la clasificación y el riesgo asociado con la información que el solicitante tendrá que manejar. El formulario e-QIP de OPM necesario para cada nivel se describe en la siguiente tabla.
Tier 1 | Low Risk, Non-Sensitive, including HSPD-12 Credentialing | Form SF85 |
Tier 2 | Moderate Risk Public Trust (MRPT) | Form SF85P |
Tier 3 | Non-Critical Sensitive National Security | Form SF86 |
Tier 4 | High-Risk Public Trust (HRPT) | Form SF85P |
Tier 5 | Critical Sensitive and Special Sensitive National Security, including Top Secret, and SCI | Form SF86 |
El formulario e-QIP utilizado para posiciones sensibles o de seguridad nacional es el SF-86 como se indica en los estándares de investigación de Nivel 3 y Nivel 5. SF85 y SF85P son adecuados para trabajar en puestos de agencias gubernamentales que requieren confianza pública en lugar de preocupaciones de seguridad nacional.
Además y después de la verificación de las respuestas a las preguntas planteadas por el formulario e-QIP de la OPM, muchas investigaciones incluirán una entrevista como parte rutinaria del proceso de investigación. Se le puede pedir al solicitante que responda preguntas relacionadas con su formulario completado. Esto ayuda al investigador a obtener claridad sobre las respuestas incompletas o poco claras en el formulario. Rechazar la entrevista puede resultar en la cancelación de la investigación y la solicitud de autorización de seguridad relacionada.
Además de las preguntas en estos formularios, el investigador también puede hacer una pregunta sobre el cumplimiento de los requisitos de seguridad del solicitante, su honestidad e integridad, su posible vulnerabilidad a la explotación o la coacción, o cualquier otro comportamiento que podría demostrar que el candidato no es confiable, confiable o leal al Gobierno de los Estados Unidos.
El Servicio de Seguridad Diplomática del Departamento de Estado realiza investigaciones de antecedentes de seguridad del personal para el Departamento de Estado y otros organismos federales. El DSS describe el proceso de investigación de antecedentes como los siguientes pasos:
- Un candidato recibe una oferta de empleo condicional y completa y envía el formulario apropiado, ya sea un Cuestionario para Puestos de Seguridad Nacional, un Cuestionario para Puestos No Sensibles o un Cuestionario para Puestos de Confianza Pública, y otros formularios requeridos a la oficina de contratación apropiada.
- La oficina de contratación revisa y envía el cuestionario completado y otros formularios requeridos, conocidos como el paquete de seguridad, al DSS.
- DSS revisa el paquete de seguridad y abre formalmente una investigación de antecedentes.
- DSS lleva a cabo registros y comprobaciones de huellas dactilares en bases de datos comerciales y gubernamentales.
- El DSS verifica y corrobora la información y los eventos clave de la historia pasada y reciente del candidato. Esto puede incluir entrevistas a personas que conocen bien al candidato. El investigador puede realizar una entrevista cara a cara con el candidato como parte del proceso.
- Después de que se complete la investigación, el DSS adjudica y determina la elegibilidad de seguridad nacional del candidato de acuerdo con la Directiva de Agentes Ejecutivos de Seguridad (SEAD) 4: Directrices Adjudicativas de Seguridad Nacional.
- En algunos casos, las investigaciones de antecedentes pueden enviarse a un panel de idoneidad de Recursos Humanos del Departamento de Estado.
- Después de determinar la elegibilidad de seguridad nacional del candidato, el DSS se comunica con la autoridad de contratación apropiada.
Estados Unidos El Código Penal (título 18, sección 1001) establece que falsificar u ocultar un hecho material a sabiendas es un delito grave que puede dar lugar a multas y/o hasta cinco (5) años de prisión.
Además, las agencias federales generalmente despiden, no otorgan una autorización de seguridad o descalifican a las personas que han falsificado material y deliberadamente estos formularios, y esto sigue siendo parte del registro permanente para futuras colocaciones.
El Servicio de Seguridad de Defensa emite los siguientes estados durante toda la investigación para informar a los candidatos de lo que está sucediendo durante el proceso:
- Recibido El proveedor de servicios de investigación (ISP) ha acusado recibo de la solicitud de investigación y la revisará para verificar su aceptabilidad.
- Inaceptable El ISP determinó que la solicitud de investigación era deficiente. El solicitante recibirá un mensaje con el motivo por el que se rechazó la solicitud. Si el empleado aún requiere una autorización, se deberá iniciar una nueva solicitud de investigación y enviarla con la información corregida.
- Programado El ISP ha determinado que la solicitud de investigación es aceptable y la investigación está actualmente en curso / abierta.
- Cerrado El ISP ha completado la investigación y la investigación ha sido enviada para su adjudicación.
Por qué a un solicitante se le puede negar una autorización de seguridad
Existen varias razones por las que a un solicitante se le puede negar una autorización de seguridad. Las consideraciones principales en una investigación son la honestidad, la franqueza y la minuciosidad del individuo al completar sus formularios de autorización de seguridad.
Se hace todo lo posible por determinar si la concesión o el mantenimiento de los requisitos para obtener una autorización de seguridad es compatible con los intereses de la seguridad nacional. Se puede investigar una amplia variedad de factores.
Es probable que el alcance de una investigación de antecedentes de autorización de seguridad incluya las siguientes características personales, tendencias y comportamiento. Cualquier indicación de que el solicitante puede tener problemas sustanciales en cualquiera de estas áreas probablemente enarbolará una bandera que indique la necesidad de una investigación adicional y la posible denegación de la autorización.
- Lealtad a los Estados Unidos
- Potencial de influencia extranjera
- Una preferencia extranjera
- Comportamiento sexual
- Conducta personal
- Consideraciones financieras
- Consumo de alcohol
- Uso indebido de drogas y sustancias
- Trastornos emocionales, mentales y de personalidad
- Conducta criminal
- Manejo de información protegida
- Actividades externas
- El uso indebido de la tecnología de la información
Las facturas impagadas, así como los cargos penales, a menudo descalifican a un solicitante para su aprobación. Sin embargo, la bancarrota se evaluará caso por caso y no es una descalificación automática. La mala historia financiera es la causa número uno de rechazo, y las actividades en el extranjero y los antecedentes penales también son causas comunes de descalificación.
Es de destacar que los investigadores pueden considerar información disponible públicamente en las redes sociales en relación con una solicitud de autorización de seguridad. La Directiva 5 de Agentes Ejecutivos de Seguridad, Recopilación, Uso y Retención de Información de Medios Sociales de Acceso Público en las Investigaciones y Adjudicaciones de Antecedentes de Seguridad del Personal, codifica la autoridad federal de investigación de antecedentes para incorporar información de medios sociales de acceso público en el proceso de autorización de seguridad.Facebook Instagram
De acuerdo con la Oficina del Director de Inteligencia Nacional, esta política permite a los investigadores considerar el historial de un solicitante en Twitter, Facebook, Instagram y otros sitios similares.
Estas pautas dejan claro que las agencias pueden dirigirse a publicaciones de redes sociales disponibles públicamente, si lo consideran necesario, pero no pueden obligar a las personas a entregar sus contraseñas para cuentas privadas ni proporcionar seudónimos para ningún perfil.
La política establece que los datos de redes sociales recopilados como parte de una verificación de antecedentes no se conservarán a menos que se consideren «relevantes» para la situación de seguridad de la persona en cuestión.
Recursos para obtener una autorización de seguridad
Directrices y actualizaciones relacionadas con autorizaciones de seguridad de los EE. Departamento de Estado.
El portal web del Gobierno para acceder a Formularios Electrónicos de Cuestionarios para el Procesamiento de Investigaciones (e-QIP).
El Reglamento del Programa de Seguridad del Personal del Departamento de Defensa (DoD).
Guía para el Formulario Normalizado (SF) 86.
La información contenida en este artículo no es asesoramiento legal y no es un sustituto de dicho asesoramiento. Las leyes estatales y federales cambian con frecuencia, y la información en este artículo puede no reflejar las leyes de su propio estado o los cambios más recientes a la ley.