Acceso y seguridad de datos

From Wiki
Revision as of 14:58, 18 March 2024 by DEV (talk | contribs)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Other languages:

Intro

Ahora que finalmente hemos creado nuestro archivo digital, se nos podría perdonar por estar ansiosos por compartirlo con los usuarios previstos y las comunidades beneficiarias, tal como lo imaginamos al comienzo del proceso en nuestros principios rectores.

Sin embargo, proporcionar acceso al contenido de cualquier archivo, y especialmente a un archivo de violaciones de derechos humanos, no es un asunto simple ni directo. El acceso está estrechamente vinculado a la preservación, pero también a casi todos los demás procesos y funciones de un archivo digital. Más estrechamente, sin embargo, el acceso está relacionado con la función de seguridad de los datos de un archivo.

Estas dos funciones son el foco de la tercera etapa del ciclo de vida de un archivo digital: su apertura segura al mundo.

Acceso

Brindar acceso al contenido del archivo es un acto de equilibrio entre dos de nuestros principios rectores: definir el objetivo para proporcionar el mayor acceso posible a nuestro archivo y definir nuestra responsabilidad de salvaguardar los datos y adherirnos a las normas legales y éticas con respecto a la privacidad, sensibilidad, confidencialidad y derechos de autor de los datos. Un plan de acceso bien pensado y claro ayudará a lograr ese equilibrio.

El plan de acceso de un archivo debe guiar tanto la toma de decisiones como la implementación relacionadas con la provisión de acceso. No existe una plantilla para un plan de acceso a archivos digitales, pero podemos identificar cinco elementos que el plan debería describir y definir.

¡ALERTA DE RECURSOS!: Planificación para el acceso

En una publicación reciente, “Levels of Born-Digital Access”, de Digital Library Foundation (EE.UU.), se proporciona en detalle un enfoque sistemático para planificar diferentes niveles y modos de acceso.

Imagen compartida por AVIPA, organización socia de GIJTR en Guinea

Objetivos de acceso

Si bien la meta relacionada con el acceso a nuestro archivo puede ser genérica, como proporcionar un acceso amplio, el plan de acceso' debe especificar objetivos más concretos que contribuirán a esa meta. Por ejemplo, podríamos establecer un objetivo de crear un conjunto de ayudas de búsqueda útiles para facilitar el uso, o podríamos procurar que los modos de acceso sean sencillos de usar y estén fácilmente disponibles.

Los objetivos específicos que establezcamos, por supuesto, serán diferentes para los distintos archivos, dependiendo de sus metas, usuarios, contenido, etc. Independientemente de estas diferencias, la determinación de objetivos claros y concretos nos permitirá desarrollar y luego implementar un plan integral adaptado a nuestras necesidades y requisitos.

Usuarios y modos de uso

Los usuarios de un archivo tienen una importancia fundamental: son el motivo de su existencia. La razón por la que buscamos preservar el contenido de nuestro archivo a largo plazo es que esté disponible para los futuros usuarios.

Por lo tanto, el plan de acceso debe basarse en las necesidades y requisitos de los usuarios. Más que eso, el plan debe contemplar una relación bidireccional con los usuarios, de modo que sus aportes den forma a la manera en que el archivo desarrolla sus políticas y prácticas de acceso.

En el nivel primario, debemos diferenciar entre usuarios internos (archivo y personal de la organización) y usuarios externos. Dentro del grupo de usuarios internos, habrá distintos niveles de acceso, según el rol de la persona y sus necesidades relacionadas con el acceso. Algunos miembros del personal tendrán acceso sin restricciones, mientras que otros pueden tener restricciones en términos de diferentes grupos de material o en términos del tipo de acceso que tienen (por ejemplo, para ver o administrar archivos).

Al planificar el acceso de usuarios externos, podemos distinguir entre el acceso público totalmente abierto y el acceso proporcionado a grupos predefinidos de usuarios, como usuarios registrados, miembros de organizaciones externas seleccionadas, entre otros. El plan de acceso debería definir el nivel de acceso que se brindará a cada uno de estos grupos de usuarios externos.

Imagen compartida por FAMDEGUA, organización socia de GIJTR en Guatemala.


Con respecto al acceso público abierto, el plan debería especificar si dicho acceso se puede proporcionar para grupos seleccionados de material en el archivo digital o para una colección completa. Asimismo, debería definir cómo se puede acceder al material, es decir, si solo está disponible para ser visto o también para ser copiado y reutilizado.

Niveles de acceso

Para proporcionar acceso personalizado a diferentes grupos de materiales, primero necesitaremos categorizarlos según su estado de seguridad. Podemos hacer esto utilizando los metadatos recopilados en el proceso de descripción y de preparación para el ingreso. Si se recopilan correctamente, los metadatos deberían permitirnos mapear claramente cualquier contenido que deba considerarse “sensible”. Los datos de archivo pueden ser confidenciales debido a consideraciones legales, de seguridad o personales. Marcar el material como “sensible” puede implicar un uso limitado como, por ejemplo, solo en el sitio, o un acceso cerrado o condicional.

El número y los nombres de los niveles de acceso que creemos pueden variar según nuestras necesidades, pero deberían cubrir las siguientes tres categorías básicas:

  • Acceso abierto: los materiales abiertos están disponibles para su uso sin restricciones conocidas. Los usuarios pueden acceder directamente a los materiales. El acceso puede ocurrir en un punto de acceso público en el sitio o en línea.
  • Acceso condicional: esto se refiere a colecciones que incluyen tanto material abierto como material con restricciones. Estas restricciones pueden incluir materiales que se consideren confidenciales o que estén protegidos por derechos de autor. El “acceso condicional” es un continuo que incluye documentos con diferentes niveles de acceso restringido.
  • Cerrado: los materiales cerrados no se ponen a disposición de los usuarios. No obstante, pueden eventualmente estar disponibles después de un período de embargo. Las colecciones o materiales pueden cerrarse si contienen información protegida por la ley aplicable, información privada, privilegiada o sensible.

Modos y condiciones de acceso

El acceso al material de archivo digital se puede brindar de tres modos principales:

  • Acceso in situ: el acceso al contenido del archivo se proporciona en una computadora dedicada de acceso público en el sitio con medidas de seguridad implementadas. Este es un modo de acceso solo de visualización, por lo que no se permite copiar el contenido de ninguna forma.
  • Acceso remoto controlado: se proporciona acceso a un grupo limitado de usuarios, ya sea a través de una red informática local (LAN) o mediante una plataforma de acceso remoto seguro en línea. Este tipo de acceso a menudo se proporciona a usuarios internos que no son personal de archivo pero que trabajan en proyectos conexos. Además, este modo de acceso se puede brindar a organizaciones asociadas que trabajan en proyectos conjuntos relacionados con archivos o a investigadores individuales seleccionados. La organización puede especificar si este modo de acceso incluye solo permisos de visualización o si los usuarios también pueden copiar elementos digitales.
  • Acceso abierto: se proporciona en el sitio o a través de un sitio web o una plataforma en línea dedicada. Aunque abierto, el acceso aún puede controlarse, por ejemplo, requiriendo a los futuros usuarios que se registren antes de emplear el archivo, o que presenten una solicitud justificada de aprobación de acceso, o algo similar. El acceso abierto permite la copia de material digital de archivo, bajo la presunción de que el acceso solo se brinda al material público que permite su reproducción.

Esquema de niveles de acceso

Teniendo en cuenta que se deben proporcionar diferentes modos de acceso a material con distintos niveles de acceso permitidos para diferentes grupos de usuarios, para evitar confusiones, podría ser útil que un archivo cree un esquema de niveles de acceso como parte del plan de acceso. Dicho esquema ofrece una descripción general de “quién tiene acceso a qué y cómo” en forma de tabla, como la que se muestra en el ejemplo de la Figura 14. El esquema puede ser una herramienta útil para el diseño y la implementación técnica y logística de los niveles de acceso planificados.

Figura 14. Ejemplo de un esquema de niveles de acceso con una descripción general de los niveles de acceso para diferentes grupos de usuarios y diferentes grupos de material.
Colección 1 Colección 2 Colección 3 Colección 4
Personal del archivo Abierta Abierta Abierta Abierta
Personal del proyecto Abierta Abierta Conditional (ver y copiar) Condicional (solo lectura)
Personal de las organi- zaciones socias Abierta Abierta Conditional (ver y copiar) Cerrada
Público en general Abierta Condicional Condicional Cerrada

Apertura del acceso de nivel abierto

Es útil aquí realizar una distinción entre un enfoque pasivo y uno activo para la provisión de acceso. Un caso de enfoque de acceso pasivo sería un archivo creado con el objetivo principal de la preservación a largo plazo del material, por razones históricas, legales o de otro tipo. La provisión de acceso podría ser una preocupación secundaria para un archivo de este tipo y sus labores en esta área podrían limitarse a brindar acceso solo a los materiales solicitados o brindar acceso solo en el sitio. El enfoque de dichos archivos sería responder a las solicitudes de los usuarios y garantizar que brinde el nivel adecuado de acceso al material para diferentes grupos de usuarios (por ejemplo instituciones, investigadores, etc.).

Sin embargo, la mayoría de las OSC que trabajan con archivos de violaciones de derechos humanos probablemente tomarán otra opción, un enfoque activo para la provisión de acceso, que se centra en facilitar y ofrecer el mayor acceso posible a sus usuarios.

El enfoque de acceso activo se refiere predominantemente al modo de “acceso abierto” y no incluye materiales con nivel de acceso “cerrado”. Para que nuestro modo de “acceso abierto” sea verdaderamente abierto, debemos considerar la accesibilidad, la capacidad de búsqueda y la usabilidad del acceso al archivo y su contenido.

La accesibilidad se refiere a la facilidad de acceso al archivo para todos. Por ejemplo, deberíamos pensar si cualquier persona con una conexión a internet, incluso inestable o débil, puede acceder al archivo; qué tan difícil es encontrar y cargar el portal de acceso en línea, si se puede usar en dispositivos móviles, entre otros puntos. Con respecto a la accesibilidad para personas con discapacidades, deberíamos considerar proporcionar una nota a nivel de colección sobre qué materiales nacidos en formato digital cumplen con las necesidades de accesibilidad o qué se requiere para brindar materiales para personas con discapacidades visuales y auditivas. Algunas medidas adicionales podrían introducir soluciones prácticas, como un lector de pantalla, contraste de color o la incorporación de etiquetas para definir el orden de lectura.


¡ALERTA DE RECURSOS!
Las Pautas de Accesibilidad para el Contenido Web (WCAG, por su sigla en inglés) son un estándar internacional que brinda documentación y orientación sobre cómo hacer que el contenido en línea sea más accesible para las personas con discapacidades.

La capacidad de búsqueda para nuestros usuarios determina cuán fácil o difícil es para ellos encontrar lo que buscan en nuestro archivo. La capacidad de búsqueda de nuestro archivo dependerá del tipo y la calidad de los metadatos que recopilamos sobre nuestro material, así como qué tan bien los organizamos y los proporcionamos a los usuarios del archivo. El uso de diferentes metadatos como “etiquetas” o “palabras clave” asociadas con ciertos elementos o grupos ayudará a los usuarios a encontrarlos más fácilmente. Además, podemos ofrecer a un usuario un mapa de nuestro archivo para guiarlo, mediante la preparación de un catálogo utilizando las descripciones de las colecciones, series y otros elementos de la estructura de nuestro archivo. Sin embargo, la capacidad de búsqueda de cualquier archivo accesible en línea dependerá principalmente de la calidad de la búsqueda que se pueda realizar a través de un motor de búsqueda dedicado.

La usabilidad de un archivo se relaciona con lo fácil que es usarlo. Eso incluye, por ejemplo, cómo se ve y se siente el punto de acceso en línea de un archivo, así como qué tipo de experiencia de usuario crea. Una plataforma de acceso en línea bien diseñada y organizada puede atraer a más usuarios y estimular a los visitantes actuales a usarla más. Puede estimular aún más proyectos novedosos relacionados con archivos y ampliar el alcance tanto de su uso como de sus beneficiarios.

Esta es una consideración especialmente importante para las OSC que trabajan con archivos de violaciones de derechos humanos, ya que su objetivo a menudo no solo es proporcionar acceso, sino también estimular y facilitar a diferentes organizaciones e individuos para que usen material de archivo en sus propios proyectos, investigaciones y actividades.

La tecnología nos permite crear toda una gama de diferentes plataformas de acceso en línea, con una variedad de formatos, formas de presentación visual, herramientas y otras características útiles. Estas soluciones pueden ser impactantes y muy atractivas para los usuarios, lo cual genera múltiples beneficios tanto para ellos como para el archivo.

Sin embargo, también debemos tener en cuenta que cualquier solución técnica para una plataforma de acceso en línea que deseemos implementar deberá ser interoperable y compatible con nuestro sistema de archivo digital y cualquier herramienta de software externa pertinente que utilicemos.

Acceso a tecnologías y herramientas

Proporcionar un nivel variado de acceso seguro a nuestro contenido para diferentes grupos de usuarios, utilizando diferentes modos de acceso, requiere un importante soporte tecnológico que incluye tanto hardware como software.

Afortunadamente, como se sugirió anteriormente en este manual, siempre que hayamos considerado nuestras futuras necesidades de provisión de acceso en el momento en que seleccionamos nuestro sistema de archivo digital, ahora podemos confiar en él para la tecnología básica necesaria para la implementación de nuestro plan de acceso. Por ejemplo, si habíamos previsto la necesidad de proporcionar diferentes niveles de acceso a diferentes usuarios, tanto internos como externos, nuestro sistema de archivo digital podrá brindar soporte para ello.

Sin embargo, tendremos que invertir más tiempo y recursos en soluciones técnicas, sobre todo en términos de un enfoque activo, si deseamos aprovechar estas capacidades básicas de acceso. Esto incluiría el uso de software y aplicaciones que permitan el desarrollo de herramientas y servicios de archivo digital de los que los usuarios puedan beneficiarse, así como la mejora del diseño, la facilidad de uso y la experiencia general del usuario de nuestra plataforma de acceso en línea.

La elección de las herramientas de software que usaremos para desarrollar nuestra plataforma de acceso en línea dependerá completamente de nuestros requisitos: el tipo de plataforma que queremos crear, los servicios que ofrecerá, los usuarios a los que se dirigirá, etc. Un consejo útil para la selección del software es buscar en línea una plataforma de acceso a archivos en línea que se parezca a la que desea desarrollar, y luego determine qué software y tecnologías se usaron para crearla.

Además de las tecnologías relacionadas con la provisión de acceso abierto, si planeamos brindar acceso seguro en forma remota o en el sitio, necesitaremos considerar soluciones tecnológicas adicionales. Para el acceso en el sitio, esto incluiría una computadora específica que no esté conectada a ninguna red informática local o a internet. También es posible que necesitemos otro hardware o software para acceder a un grupo o formato específico del material. El modo de acceso remoto seguro también requeriría un software especializado, que debe instalarse no solo en el archivo, administrativamente, sino también por parte de los usuarios mismos en sus dispositivos.

Seguridad de archivos digitales

La protección de nuestras valiosas colecciones y de cualquier persona que pueda verse perjudicada por el uso indebido, la alteración, el robo o la destrucción del contenido del archivo es un tema importante para las organizaciones que trabajan con archivos que documentan violaciones de derechos humanos. Cualquier archivo digital se enfrenta a una amplia gama de posibles amenazas a la integridad y protección de su contenido. El número y la probabilidad de estas amenazas solo aumenta para los archivos de derechos humanos. Van desde amenazas a los medios de almacenamiento de archivos mediante ataques cibernéticos al sistema de información del archivo, hasta intentos de acceder a los datos de forma no autorizada.

También existen obligaciones legales y éticas para todos los archivos, que solo se destacan para aquellos que trabajan con material de violaciones de los derechos humanos. Incluyen la protección de datos privados, sensibles, confidenciales y protegidos por derechos de autor. Para los archivos de derechos humanos, se trata de obligaciones sumamente serias, no sólo por las responsabilidades jurídicas que estipulan. La filtración o publicación de un documento confidencial o delicado, o la divulgación no autorizada de los datos de una persona, podría poner en disputa o incluso en peligro físico a personas u organizaciones relacionadas.

Plan de seguridad del archivo digital

Hay varios aspectos y elementos en la seguridad de un archivo digital, y para asegurarnos de que los abordemos a todos adecuadamente, necesitamos crear un plan de seguridad del archivo digital, que nos guíe en el diseño de procedimientos de seguridad y su implementación.

Imagen compartida por FAMDEGUA, organización socia de GIJTR en Guatemala.

Si bien no existe una plantilla universal, una buena manera de abordar la planificación de la seguridad es enumerar y describir:

  • Obligaciones del archivo en materia de seguridad, en función del material que contiene
  • Funciones relacionadas con la seguridad que el archivo necesita realizar
  • Acciones relacionadas con la seguridad que se tomarán para garantizar que las funciones se realicen correctamente
  • Herramientas y tecnologías necesarias para la implementación

as descripciones de las funciones y obligaciones relacionadas con la seguridad del archivo deben ser detalladas y se debe proveer información concreta sobre los requisitos del archivo.

Un segmento adicional del plan de seguridad se ocupa de diferentes tipos de niveles de seguridad para diferentes materiales y diferentes grupos de usuarios. En esencia, esto refleja el plan de acceso y el esquema de acceso, aunque desde la perspectiva de la seguridad. Por lo tanto, no necesitamos analizar más este segmento. Nos centraremos en la planificación de las responsabilidades, funciones, acciones y herramientas vinculadas a la seguridad del archivo digital.

Responsabilidades y tareas de seguridad

Las principales funciones relacionadas con la seguridad de nuestro archivo surgen de las responsabilidades de seguridad que tenemos con respecto a nuestro contenido, las cuales incluyen:

  • Protección de datos. La principal responsabilidad relacionada con la seguridad de cualquier archivo es garantizar que su contenido no se destruya, modifique o robe, es decir, salvaguardar sus datos. Esto incluye protegerlo de daños, perjuicios o destrucción intencionados o no intencionados causados por el hombre, así como por el medio ambiente.
  • Protección de datos personales. Esto incluye cumplir con las normas de privacidad de datos nacionales e internacionales pertinentes para un archivo determinado. En el caso de los archivos de derechos humanos, esta responsabilidad adquiere una dimensión adicional, ya que la violación de la privacidad de los datos puede tener consecuencias reales y muy negativas para las personas u organizaciones afectadas.
  • Protección de datos confidenciales y sensibles. Con esta obligación, nuevamente, los archivos de derechos humanos adquieren una capa adicional de responsabilidad ética. Se debe dedicar especial cuidado y esfuerzo para garantizar que cualquier material sensible o confidencial se identifique de manera oportuna y adecuada, y luego también se proteja cuidadosamente de acuerdo con los procedimientos desarrollados.
  • Protección de datos con derechos de autor. El archivo debe seguir e implementar las normas pertinentes en el ámbito de la protección de los derechos de autor, en relación tanto con el acceso como con el uso de su contenido.

Funciones y acciones de seguridad

La protección del sistema es la primera función de seguridad de datos para un archivo digital, su primera línea de defensa. Esto se debe a que, para proteger el contenido, es decir, los datos, primero debemos salvaguardar su depósito. La protección del sistema incluye la protección contra fallas del sistema, así como la protección del sistema de archivo digital contra actos maliciosos de corrupción o eliminación.

Hay una amplia gama de medidas de seguridad de la información que pueden y deben tomarse para proteger el sistema de archivo digital de:

  • Virus informáticos
  • Ataques cibernéticos
  • Fallos y errores del sistema
  • Uso inapropiado o incorrecto del sistema

Las acciones y medidas a tomar, así como los procedimientos que se deben desarrollar para hacer frente a cada una de estas amenazas a la seguridad de la información, serán muy específicos para cualquier sistema de información digital dado. Lo que es universal es que dicha planificación debe realizarse junto con el personal de TI de una organización, con la asistencia de expertos externos, si es necesario y posible. Las acciones de seguridad deben estar bien diseñadas y programadas con anticipación. También deberían incluir un plan para el monitoreo regular de cualquier medida de seguridad implementada para la información.

Ya sea que se trate de datos privados, sensibles, confidenciales o protegidos por derechos de autor, la protección de datos es la esencia de la planificación de seguridad de nuestro archivo, la razón por la que la necesitamos.

Hay tres instrumentos principales o acciones que un archivo puede tomar para proteger sus datos.

A. Control y gestión de accesos: La implementación de diferentes niveles de acceso para distintos grupos de usuarios, potencialmente mediante diferentes modos de acceso, es la principal acción que podemos tomar para proteger el contenido que lo requiera. Como se explicó anteriormente, una condición previa para desarrollar e implementar un control de acceso exitoso es tener metadatos de calidad sobre nuestro contenido, lo cual nos permite identificar el material cuyo acceso debe controlarse. En términos técnicos, esto se implementa mediante el sistema de archivo digital, por medio del cual podemos especificar diferentes niveles de acceso, controlar su implementación y registrar cualquier violación de las reglas.

B. Edición: La edición es el proceso de analizar el contenido de nuestro archivo; identificar información confidencial, sensible o privada, y eliminarla o reemplazarla. Al editar el material de esta manera, podemos hacer que las partes no editadas de un elemento estén abiertamente accesibles para nuestros usuarios. Las técnicas de edición utilizadas con frecuencia incluyen la anonimización y la seudonimización para eliminar información de identificación personal, así como la limpieza de la información de autoría. Esto generalmente se lleva a cabo eliminando o reemplazando la información sensible/privada/confidencial, manteniendo la estructura existente del elemento en la versión que se proporciona a un usuario. Cualquier edición siempre debe realizarse en una copia secundaria de un archivo, nunca en el archivo maestro de archivo original.

C. Cifrado: El cifrado es una técnica informática que protege el material digital convirtiéndolo en un formato incomprensible y codificado. Luego se crea una clave de cifrado que debe usarse para descifrar los datos y convertirlos nuevamente a su forma original. El cifrado se puede aplicar en diferentes niveles, desde un solo archivo hasta un disco duro completo. Sin embargo, el cifrado también aumenta la complejidad del proceso de archivo digital y, por lo tanto, debe evitarse en la medida de lo posible para las copias de archivo. Solo es efectivo cuando un tercero no tiene acceso a la clave de cifrado en uso, razón por la cual la clave debe almacenarse y protegerse de manera segura. La pérdida o destrucción de estas claves haría que los datos se vuelvan inaccesibles. El cifrado debe administrarse y actualizarse activamente para permanecer seguro, ya que puede perder su efectividad con el tiempo.

Tecnologías y herramientas de seguridad

Al proteger y asegurar el sistema de archivo digital, así como su software y aplicaciones, necesitaremos aplicar una serie de soluciones vinculadas a diferentes áreas de seguridad de la información. Estas soluciones deben ser diseñadas por expertos en esta área. En cuanto a las tecnologías implicadas en la protección de nuestros datos de archivo, pueden resultar útiles diferentes herramientas de software para cada acción de seguridad.

¡ALERTA DE RECURSOS!
Con respecto a la edición y el cifrado, hay varias opciones de software disponibles, algunas para funciones y contextos específicos. Se pueden encontrar listas útiles de dichos recursos de software aquí (para edición) y aquí (para encriptación).
Documentos antes de organizar el archivo, imagen compartida por FAMDEGUA, organización asociada a GIJTR en Guatemala
Retrieved from "https://wiki.gijtr.org/index.php?title=Access_and_Data_Security/es&oldid=6680"