Los dispositivos de políticas son mecanismos técnicos de control y registro para hacer cumplir o conciliar reglas de políticas (reglas de uso de la información) y para garantizar la rendición de cuentas en los sistemas de información . [1] Los dispositivos de políticas se pueden utilizar para hacer cumplir políticas u otras restricciones de sistemas dentro y entre sistemas confiables .
La sociedad de la información global emergente consta de muchos sistemas heterogéneos pero interconectados que se gobiernan o gestionan de acuerdo con diferentes políticas, reglas o principios que satisfacen las necesidades locales de gestión de la información. Por ejemplo, los sistemas pueden estar sujetos a diferentes leyes internacionales, nacionales o de otras subdivisiones políticas sobre divulgación de información o privacidad ; o diferentes políticas de gestión de la información o seguridad entre agencias gubernamentales, sistemas de información del gobierno y del sector privado, o productores y consumidores de información confidencial o propiedad intelectual , etc.
Esta red interconectada de sistemas (para la cual Internet , tal como la conocemos actualmente, sirve como capa de transporte ) requiere cada vez más un acuerdo dinámico (negociación) y una mediación técnica sobre qué políticas regirán la información a medida que fluye entre sistemas (es decir, qué políticas de uso regirán qué información va a dónde, bajo qué restricciones y quién tiene acceso a ella para qué fines, etc.). La alternativa al desarrollo de estos mecanismos de mediación para proporcionar una negociación y aplicación automatizadas de políticas a través de la interconexión entre sistemas dispares es la creciente "balcanización" o fragmentación de Internet. [2]
Dado que ninguna política puede regir todos los sistemas o las necesidades de información, se necesitan métodos para conciliar las diferencias entre los sistemas y luego hacer cumplir y supervisar las políticas acordadas a fin de compartir información útil y mantener los sistemas interconectados. Los métodos estáticos actuales basados en el control de acceso de todo o nada son insuficientes para satisfacer las necesidades variables de producción y consumo de información, en particular cuando existen políticas potencialmente en pugna (por ejemplo, el conflicto entre las leyes de divulgación y privacidad) que dependen del contexto. Los mecanismos de control de acceso que simplemente controlan quién tiene acceso entre sistemas dan como resultado silos de información estancos, "jardines amurallados" y una mayor fragmentación de la red. La aplicación de políticas es un término general para describir los mecanismos de control dinámicos y sensibles al contexto que actualmente se están investigando y desarrollando para hacer cumplir las políticas de uso entre sistemas.
Aunque el desarrollo y la aplicación de políticas es en sí un proceso político o cultural, no tecnológico, la arquitectura de sistemas técnicos puede utilizarse para determinar qué oportunidades de políticas existen al controlar los términos en los que se intercambia información o se comportan las aplicaciones en los distintos sistemas. Para mantener los principios de transporte abierto de extremo a extremo incorporados en el diseño actual de Internet (es decir, para evitar la codificación rígida de soluciones de políticas en la capa de transporte o el uso de regímenes estrictos de control de acceso para segmentar la red), se requieren dispositivos de políticas que median entre sistemas para facilitar el intercambio de información y datos y la interoperabilidad de los procesos de gestión .
Los dispositivos de políticas (término genérico que se refiere a cualquier forma de middleware que administra reglas de políticas) pueden mediar entre los propietarios o productores de datos, los agregadores de datos y los usuarios de datos, y entre sistemas o redes institucionales heterogéneos, para hacer cumplir, conciliar y monitorear las políticas y leyes de gestión de información acordadas en todos los sistemas (o entre jurisdicciones) con políticas o necesidades de información divergentes. Los dispositivos de políticas pueden interactuar con datos inteligentes (datos que llevan consigo términos contextuales relevantes para su propio uso), agentes inteligentes (consultas que son autoacreditadas, autenticadoras o adaptativas al contexto) o aplicaciones sensibles al contexto para controlar los flujos de información, proteger la seguridad y la confidencialidad y mantener la privacidad.
Los dispositivos de políticas respaldan los procesos de gestión de información basados en políticas al permitir el procesamiento basado en reglas, la divulgación selectiva y la rendición de cuentas y la supervisión.
Los ejemplos de tecnologías de aplicación de políticas para el procesamiento basado en reglas incluyen filtros analíticos, búsqueda contextual, programas semánticos, herramientas de etiquetado y envoltura, y DRM , entre otros; las tecnologías de aplicación de políticas para la divulgación selectiva incluyen anonimización, personalización de contenido, herramientas de suscripción y publicación, entre otras; y las tecnologías de aplicación de políticas para la rendición de cuentas y la supervisión incluyen autenticación , autorización, registro inmutable e irrepudiable y herramientas de auditoría, entre otras.
El control y la rendición de cuentas sobre los instrumentos de política entre sistemas en competencia se está convirtiendo en un factor determinante para la aplicación y el cumplimiento de las políticas, y seguirá siendo objeto de constantes luchas políticas, corporativas y burocráticas internacionales y nacionales. La transparencia, junto con registros inmutables e irrefutables, son necesarios para garantizar la rendición de cuentas y el cumplimiento de las necesidades de las políticas políticas, operativas y de libertades civiles . Cada vez más, las políticas y leyes de información internacionales y nacionales deberán depender de medios técnicos de aplicación y rendición de cuentas a través de instrumentos de política.
Véase también , Tecnología, seguridad y privacidad: el miedo a Frankenstein, la mitología de la privacidad y las lecciones del rey Ludd, 7 Yale JL & Tech. 123; 9 Intl. J. Comm. L. & Pol'y 8 (2004) en 56-58 (discutiendo los "dispositivos de privacidad" para hacer cumplir las reglas y proporcionar responsabilidad). El concepto de dispositivos de privacidad se originó con el proyecto DARPA Total Information Awareness . Véase la presentación del Dr. John Poindexter, Director, Information Awareness Office (IAO), DARPA , en la Conferencia DARPA-Tech 2002, Anaheim, CA (2 de agosto de 2002); Estudio ISAT 2002, Seguridad con privacidad (13 de diciembre de 2002); y el Informe de la IAO al Congreso sobre el Programa de Concientización sobre Información sobre Terrorismo en A-13 (20 de mayo de 2003) en respuesta a la Resolución de Asignaciones Consolidadas, 2003, N.º 108-7, División M, §111(b) [firmado el 20 de febrero de 2003].