lunes, 12 de septiembre de 2005

La seguridad como propiedad para proporcionar garantias y exigir responsabilidades

Alguna vez ya he comentado en este blog el cambio cultural que suponen la introducción de las tecnologías de la información en nuestro mundo. También he comentado las grandes diferencias que existen entre lo físico y lo digital en relación con la seguridad de la información.

Hoy quiero comentar una noticia que fue objeto de discusión entre un grupo de colegas entorno a dos posiciones:
-Por un lado, algunos defendemos que los nuevos procesos que se implanten con tecnologías de la información deben permitir por un lado exigir las mismas responsabilidades que si estas tecnologías no se utilizaran y deben establecer claramente los responsables en el caso de cualquier tipo de problema.

-Por otro lado, la otra posición defiende que la informática se encuentra construida sobre pilares no deterministas y así no es posible "probar" o "demostrar" cuando se producen errores y por tanto, no pueden determinarse responsabilidades.

La discusión vino generada por la noticia entorno a la anulación de una multa a un australiano por considerar que la foto digital aportada como prueba no cumplia con las minimas garantías para ser considerada como tal. La noticia concreta que se leía via Noticias Hispasec en el enlace: Utilizar MD5 para recurrir las multas de tráfico pone de manifiesto la ligereza con la que se están implantando algunas nuevas formas de hacer las cosas.

La justicia se basa en el principio básico de la presunción de inocencia. Quién acusa a alguien debe probar con indicios o evidencias la autoria del hecho delictivo para que el acusado pueda ser declarado culpable.

¿Qué implica esto en el mundo digital?
Las evidencias del mundo físico son hechos inmutables, es decir, una vez ocurre un suceso las pruebas pueden ser destruidas pero no modificadas. En el mundo digital las pruebas son también datos en si mismos y por tanto, deben garantizarse las propiedades de la integridad y autenticación de los mismos. Ya empiezan a considerarse como propiedades de la información la trazabilidad del uso del servicio y la trazabilidad del acceso a datos.

Sin estas propiedades correctamente garantizadas, una prueba en formato electrónico no podrá garantizar el principio de "inmutablidad de la prueba" y por tanto, será desestimada por los jueces. Ante la duda de poder haber fabricado una prueba digital, será el perito de turno quien deberá deducir si hay garantías suficientes para poder dar por validos los hechos que los log's traten de probar.

Si no estamos considerando estos nuevos requisitos de seguridad en el diseño de los sistemas de información que soporten la Administración electrónica, la validez jurídica de muchos de estos procesos será nula y por tanto, el trabajo del informático que rediseña un proceso administrativo trasformándolo en un proceso informático será inutil al no dotarlo de suficientes garantías para poder luego depurar responsabilidades.

Es un camino duro pero si queremos "construir" algo, no solo basta con levantar el edificio, hay que proporcionar garantías tanto sobre su uso como sobre los requisitos mínimos que se satisfacen y además probar que en el momento de la implantación se cumplen. He ahí el sentido de la certificación del software y el visado de proyectos.

La Informatica por su juventud todavía no es tratada como una verdadera ingeniería. Es un gremio no regularizado en donde no están establecidas competencias de cara al ejercicio profesional.

En la revista del Colegio de Ingenieros de la Region de Murcia se publica un interesante artículo entorno a la naturaleza de la Informática. Puede leerse en el enlace La informática y la Ingeniería.

Debemos pensar que al final la ambigüedad en el funcionamiento y la impunidad a la hora de exigir responsabilidades siempre tiene una misma victima, el usuario final o el analfabeto tecnológico que se ve obligado a utilizar estas nuevas formas de hacer las cosas sin comprender que ocurre por debajo.

¿Qué sería de otros gremios como la arquitectura, la ingeniería civil o la medicina si hubieran sido construidos como lo está siendo la Informática?
 
;