Seguridad informacional bajo la perspectiva del Arquitecto de Información

En cada problema de desarrollo de espacios que requieren de construcción civil
funcional, las perspectivas del Ingeniero y del Arquitecto son complementarias.
Analogías existen en servicios de información (foto:  http://www.velavke.co.za  )

La semana pasada vimos que la Seguridad informacional tiene muchas aristas y mencionamos algunas de ellas, señalando en la conversación que el tema cambia de forma significativa los puntos claves y el lenguaje con el que se debe manejar según la perspectiva funcional que tomemos y que, por eso, siempre hay que aclarar de qué seguridad estamos hablando. Como veremos hoy, la aproximación a la seguridad en Arquitectura de Información resulta natural en las conversaciones cotidianas de los gerentes de servicios de información y por eso para los desarrolladores de soluciones y responsables de servicios resulta conveniente manejar las distinciones que exponemos a continuación.

Mucha de la literatura que leemos en la Internet no lo aclara, pero hay abordajes de Seguridad informacional que son más propios de Ingeniería informática y aproximaciones que están más ligadas a la Arquitectura de Información. Quizá con los primeros enfoques colocamos pilares para los segundos, pero la relación es de complementariedad y no de jerarquía.

Muy en concreto, la semana pasada mencionamos tres puntos críticos conversación de seguridad con el Arquitecto de Información: 1) Todo el que tiene que tener acceso a ciertos contenidos, debe tenerlos. 2) La funcionalidad debe permitir la operación segura, estable, de los sistemas de información y sus reglas. 3) La información debe mantener su integridad, como información. Comentemos:

En relación al primer punto, se dice fácil que hay asegurar todo el que tiene que tener acceso a ciertos contenidos lo tenga. Pero hay detalles que están vinculados con lo que se llama disponibilidad lógica y observaciones que hay que hacer sobre la confidencialidad. Veamos:

El acceso a los contenidos mencionado arriba requiere de la disponibilidad, e implica, desde luego, en la misma afirmación, un lado prohibitivo complementario: que no se tenga acceso a lo que no se debe tener, que ciertos contenidos luzcan como no disponibles. De allí que la disponibilidad lógica que ocupa al Arquitecto de Información no es la física que ocupa al Ingeniero de infraestructura. Es decir, no se trata de que los equipos estén encendidos, operacionales y las bases de datos estén trabajando. Eso es seguridad física. Antes bien el punto para el Arquitecto de información es que los contenidos deben estar accesibles según ciertas reglas establecidas institucionalmente para las comunidades involucradas en cada caso.

En relación a la confidencialidad, es importante entender algunas complejidades adicionales, propias del quehacer cotidiano institucional. En una organización las personas son miembros de equipos (comunidades, instancias organizativas) que comparten información: confidencialidad significa que desde afuera de una comunidad no se debe tener acceso a ciertos contenidos, pero hay que observar que internamente, dentro de la comunidad, puede haber hasta difusión. Este detalle hay que examinarlo en el contexto de cada tipo de contenido y cada comunidad involucrada o no con él. Como las propiedades son además dinámicas (varían en el tiempo) y como las personas pueden ser miembros de varias comunidades, se requiere de herramientas para manejar contenidos o bases de información. No son suficientes las herramientas básicas que proporcionan las bases de datos.

En nuestro próximo post comentaremos sobre los puntos dos y tres mencionados arriba y aportaremos algunas distinciones sobre seguridad informacional que son importantes tener claro cuando uno participa en equipos que desarrollan soluciones de gestión de información o cuando se es responsable de servicios.