Por un lado, desde el lanzamiento del DNIe, la sintetización de un medio de identidad digital democrático (estandarizado, interempresarial, único y válido para los empleados de una compañía, los trabajadores externos, proveedores y clientes), era un reto que ha sido resuelto en gran medida. Por tanto, la gestión de identidad dentro de una empresa, que tantas ramificaciones y puntos de consideración tiene, ya dispone de un medio que estandariza la identificación digital.
El asunto que todavía es polémico en los círculos de expertos, es el comportamiento del usuario, cuando la empresa le solicite un documento “personal” para su uso en un entorno profesional. Hace años, se pensaba que los usuarios, y sobre todo determinados colectivos, podrían ser muy reacios a “ceder” un documento personal, pero hoy en día, se confía más en que esto no sea un problema.
Si bien en los círculos donde puedan existir mayores reticencias, la empresa podría utilizar otro dispositivo de identificación como principal medio de acceso, quedando para el resto de ámbitos el DNIe como posible segunda opción (ante la pérdida u olvido del primero), de forma que sea el propio usuario el que decida si quiere utilizarlo o no.
El uso del DNIe, en conjunción con los mecanismos de gestión de la identidad, involucrados en la empresa, permitirá realizar operaciones como: login seguro al sistema operativo, aplicaciones web o propietarias de la empresa, acceso remoto seguro, etc. Además simplifica mucho la relación con otros players, como pueden ser partners externos o proveedores, donde el uso del DNIe, hace que la organización no tenga que suministrar y gestionar otros medios más costosos o inseguros de acceso a nuestra información.
Por otra parte, una gestión de la identidad basada en roles, permitirá un aumento de la productividad de la empresa debido a la simplificación de los procesos de alta, baja y cambio de la identidad asociada a un rol. Más aún, los sistemas tradicionales sólo consideraban los procesos vinculados con los sistemas y aplicaciones, dejando una laguna o agujero de seguridad muy importante en la empresa: LA RED. De todos es sabido que las empresas gastan (invierten les gusta decir a otros) la mayor parte de su presupuesto en la seguridad perimetral, pero son los ataques internos los de peores consecuencias. El disponer de un control de acceso a la RED, vinculado y asociado a la identidad digital, basada en el rol de dicha identidad en la empresa, permitirá que nadie sin “permiso” use la red, y que nadie con un permiso asociado a un rol, tenga la opción de “atacar” otros sistemas; ya que restringe el uso de la red al uso de las aplicaciones y sistemas descritas en su propio rol.
Este rol puede llegar a definir los horarios válidos de uso de la red, las ubicaciones permitidas, el nivel de seguridad del dispositivo a conectar (nivel de parches del S.O. y de las aplicaciones instaladas, o si un usuario tiene permiso de tener instalada o funcionando una determinada aplicación). Además, puede adaptarse a dicho nivel: completo, restringido (no se cumple todo, pero el nivel de riesgo es aceptable temporalmente) o cuarentena.
Por tanto, una empresa en la que se vincule la identidad digital basada en DNIe con un sistema de roles, que además estén sincronizados con todos los sistemas implicados, permitirá estar muy, muy cerca de una utopía: que la configuración de la RED, de los SISTEMAS, y de las APLICACIONES, sea realizada automática e inmediatamente por el departamento de RRHH, al dar de alta, baja o cambiar el rol del empleado dentro del Sistema de Gestión de la Identidad de la compañía.
Asociación @asLAN.
