Estimados sobre el tema de correo seguro sector público, y esperando no decir alguna tontería, pienso lo siguiente:
De pronto si me abstraigo de la tecnología, me queda más claro. Voy a trasladar el caso a un mundo no tecnológico. Los correos (cartas en papeles), que se envían de un funcionario a otro, deben tener una copia en algún lado, es decir, debe haber un registro de la comunicación (cartas). Vamos a suponer que este registro sea un departamento de documentación y archivo (secretaría). Si alguien quiere realizar una investigación sobre un tema, proceso, trámite interno, etc, acude a los archivos de ese departamento, o los de los usuarios respectivos. Estos no deben estar accesible fácilmente, así que se guardan en un archivero con llaves. Quien tiene esta llave? La person encargada del archivo del departamento de archivo, quien además ha firmado acuerdos de confidencialidad respectivos. En una carta enviada por el funcionario A, al funcionario B, existen 3 copias de esta. La que tiene el funcionario A, el funcionario B y secretaría. Cada uno tiene su llave propia para proteger la información de la que es responsable. El funcionario A, de su archivero personal en la institución, lo mismo el funcionario B, tendrá su propia llave. En el caso de Secretaría el encargado de archivero tendrá su propia llave. Si el funcionario A o B pierde su registro de aquella carta, o pierde la llave o eliminó por error o deliberadamente la carta, siempre queda en Secretaría una copia. Claro, lo mismo puede suceder en Secretaría, pero esta tiene sus mecanismos institucionales (no personales) de protección: copias de las llaves que las tiene el jefe del funcionario encargado, sistemas contra incendio, cámaras de seguridad, etc. Si por alguna razón se requiere hacer una investigación sobre estos funcionarios (A y B), y se necesita tener acceso a sus correos osea cartas (cosa que si no me equivoco lo permite la ley) las entidades pertinentes tendrán que solicitar a secretaría esta información. Esto se ve hasta aquí, similar como se manejaban los comunicados (memos) en una institución. Ahora todo queda en el Quipux, en los servidores, y en Secretaría de cada institución una copia porque hay el mal hábito de imprimir los Quipux. En el mundo tecnológico, creería debe ser algo similar. Solo que el departamento de secretaría, en este caso es el servidor central de correo que tendría cifrado su base de datos, y la clave la conoce el administrador, y existe todo un protocolo de seguridad (o debería existir) respecto a la salvaguarda de las claves. Y este administrador tiene firmado sus acuerdos de confidencialidad (o debería). Lo usuarios podrían eliminar los correos o perder las claves, por error o deliberadamente. Es necesario el registro centralizado de los correos. Y claro el cifrado de los datos en el disco duro del usuario, estaría bien siempre y cuando la información institucional tenga una copia centralizada. En cuanto a Información sensible institucional, no debe ser el usuario quien tenga el poder o dominio absoluto de dicha información, en cuanto a su acceso. Las comunicaciones electrónicas, bueno esto es otro tema, comunicación en tránsito que no es lo mismo que información almacenada, registro, base de datos, etc. La comunicación en tránsito, obedece a otra naturaleza a mi criterio. Saludos. _______________________________________________ Lista de Correo Asociacion@listas.asle.ec Visite http://listas.asle.ec/mailman/listinfo/asociacion para modificar las opciones de suscripción (suscribirse, retirarse, etc). Participa en las listas y próximo foro, como socio de ASLE http://www.asle.ec/portal2/node/7 Visita el canal IRC #asle en irc.freenode.org para consultas en tiempo real. Todo mensaje que sea enviado a esta lista es público (especialmente los que contengan una nota de confidencialidad) y cualquiera puede hacer el uso que desee de él.
