Bloque 2: Mecanismos de Defensa Operativa¶
Los principios inmutables definen el qué y el por qué. Los mecanismos de defensa operativa definen el cómo sobreviven esos principios en el mundo real: bajo presión de recursos, durante emergencias, frente a fallos en cadena o en ausencia del administrador.
1. Presupuesto de Complejidad¶
Añadir servicios sin control es la vía más rápida hacia un sistema que nadie entiende. Se fija un número máximo de servicios por cada nivel de criticidad. Si se alcanza el límite, hay que retirar o fusionar antes de añadir.
2. Modo de Emergencia y Fast-Track¶
En una emergencia real —cuando la red o la identidad están caídas— el flujo normal de cambios puede estar bloqueado. El modo de emergencia permite saltarlo temporalmente usando credenciales físicas de respaldo, dejando siempre un registro forense.
3. Degradación Independiente del Orquestador¶
Normalmente la degradación la decide el motor de flujos de trabajo. ¿Y si el motor se queda sin recursos? Un vigilante externo, sin dependencias, detecta el fallo y aplica la lista de apagado. La degradación funciona incluso cuando quien debería ordenarla está fuera de combate. Los colectores edge (Alloy) bufferizan, reintentan y toleran desconexión para no perder datos.
4. Nivel 0 y Espejo Local de Dependencias¶
Para reconstruir todo desde cero sin internet, hace falta un kit de rescate físico con herramientas básicas, el mapa del sistema y un guión de arranque. Tres almacenes locales (paquetes OS, imágenes Docker, librerías) garantizan que la reconstrucción sea posible sin conexión exterior.
5. Contratos de Datos para la Despensa¶
Cada fuente de datos externa tiene una ficha técnica que declara cómo deben ser sus datos, cada cuánto se actualizan y qué hacer si la verificación falla. Una verificación semanal automática valida cada fuente antes de que el dato caducado cause un problema.
6. Zona Cero – Enclave de exposición pública¶
Los servicios públicos (blog, tienda, ciencia abierta) viven en un entorno externo aislado. La sincronización es unidireccional: del núcleo al exterior. El enclave no tiene credenciales de vuelta. Si lo comprometen, el núcleo sigue protegido.
7. Presupuesto de Observabilidad¶
No todo se monitoriza igual. Los servicios críticos a fondo, el resto con instrumentación ligera. Si un panel no se consulta en 30 días, se apaga. Si una métrica no provoca acción en 90 días, se deja de recoger. Tres tipos de observabilidad: técnica (infraestructura), operacional (procesos) y UX (experiencia). SkyEye observa los tres pero NO actúa.
8. IA Degradable y Plan de Contingencia¶
Si la GPU (procesador gráfico para IA) de IA falla, el sistema pasa a un modelo ligero en CPU. Si eso tampoco está disponible, se recurre a guías escritas y reglas fijas. La capacidad de diagnóstico se reduce por escalones pero nunca desaparece.
9. Protocolo de Mortalidad y Sucesión¶
Todo sistema debe contemplar la ausencia de su creador. Guía de sucesión para no técnicos, fragmentación de la llave maestra (Shamir), declaración de qué datos sobreviven y cuáles desaparecen, y procedimiento de apagado ordenado y definitivo.
10. Perfiles Dinámicos de Energía¶
Tres estados: Normal (todo), Conservación (batería < 50%, se apaga ocio e IA pesada), Supervivencia (batería < 20%, solo lo imprescindible). Las tareas pesadas se programan en horas solares.