viernes, 10 de agosto de 2012

Confidencialidad, Disponibilidad e Integridad: ¿Qué falta en la conversación?

Dentro de una comunidad puede haber difusión de contenidos, mientras
que desde fuera de la comunidad no hay ningún tipo de acceso
(imagen desde  http://icetechnologies.com)

Con estas tres palabras, Confidencialidad, Disponibilidad e Integridad, muchas veces se resume el tema de la seguridad informacional. Pero, como observamos la semana pasada, la seguridad es una conversación que tiene perspectivas diferentes según se aborde desde la Arquitectura de Información o desde la Ingeniería Informática. Una orientación no es mejor que la otra, son enfoques diferentes y complementarios. Hoy continuaremos aportando algunas distinciones adicionales, procurando siempre mantener un lenguaje asequible tanto a directores de servicios de información como a desarrolladores de aplicaciones.

Retomemos la conversación desde los tres puntos claves en los que el Arquitecto de Información se centra, antes que nada, cuando trabaja el tema de seguridad:

1) Todo el que tiene que tener acceso a ciertos contenidos, debe tenerlos.
2) La funcionalidad debe permitir la operación segura, estable, de los sistemas de información y sus reglas.
3) En todo momento, la información debe mantener su integridad, como información.

Como al primero de estos puntos ya nos referimos (Ver Seguridad informacional bajo la perspectiva del Arquitecto de Información), trabajaremos hoy con los dos últimos:

La Arquitectura de información debe garantizar que la funcionalidad permita la operación segura, estable, de los sistemas de información y sus reglas. Cada quien no sólo debe tener acceso a ciertos contenidos de la base de información (punto uno), sino que debe poder hacer con ellos lo que se espera que pueda hacer. En esa dinámica de uso cotidiano, los contenidos crecen y se desarrollan, mientras la información debe mantener la coherencia, la estructura, la practicidad, la integridad con la que fueron definidas las reglas iniciales. Para un novel esto es algo que se da por hecho, sin embargo, en las dinámicas que impone el uso pueden haber degradaciones en la consistencia de la información o en las premisas que se hicieron cuando se construyó un sistema. De allí que lo sano sea, entre otras cosas, una cierta labor de medición y seguimiento de esta coherencia informacional y esto debe incluirse en las conversaciones y las actividades.

En el tercer punto se toca el aspecto de la Integridad. Hay que señalar que aunque en la literatura (y numerosas páginas de la Internet) se habla de ella, la conversación muchas veces se realiza dentro de marcos excesivamente tecnológicos que dejan de lado aspectos importantes de la gestión de información: En concreto, hay que distinguir lo que puede ser integridad de datos, que garantizan los informáticos en sus contextos y con sus herramientas, de la integridad de información con la que trabajan los Arquitectos de Información.

La conversación es interesante, porque puede haber integridad de datos sin que haya integridad en la información: Si se rompió la conexión entre uno de los títulos de un documento, o entre un cierto dato y el objeto de información al que pertenece, por ejemplo, lo más probable es que las revisiones de integridad de bases de datos señalen que éstas están correctas, pero las revisiones de integridad de información señalen las faltas.

El punto es que para el usuario final, la pérdida de integridad de información puede ser tan nefasta como la pérdida de integridad física de los dispositivos que la contienen.

Reuniendo los comentarios de la semana pasada (ver) con los de ésta podemos notar que aunque en muchos discursos se establece que la Seguridad de información tiene que ver con tres aspectos básicos: Confidencialidad, Disponibilidad e Integridad, en la práctica la discusión que se hace es, en demasiadas ocasiones, menos útil de lo que debería porque no se comprenden o no se abordan las diferencias y complementos entre los enfoques de la Informática y de la Arquitectura de información. En nuestra experiencia, si no se conversa adicionalmente sobre Acceso, Comunidades y Objetos de información y sobre Funcionalidad e Integridad dinámica de información se dejan por fuera aspectos que son claves para las organizaciones. En otras palabras, siempre hay que tener en cuenta que el estudio de la seguridad informacional tiene perspectivas y contextos.

No hay comentarios: