¿Cómo definirían la identidad digital? ¿Cómo se construye y se mantiene?
En Internet los servicios Web 2.0, que están proliferando a pasos agigantados, están posibilitando la aparición de servicios prestados desde la red o servicios en la nube. Esta nube de servicios carece a día de hoy de una gestión global de identificación de usuarios con objeto de saber en cada momento quién habla con quién.
Todo apunta a la necesidad cada vez más inminente de empezar a definir un estándar mediante el cual, tras una identificación inequívoca en la red, se pueda ir generando una identidad única para cada usuario, que denominaríamos identidad digital, y que se podría basar en conjuntos y subconjuntos de atributos vivos y accesibles en función de las credenciales de autenticación empleadas.
En este sentido, la identidad digital (conjunto global de atributos asociados a un ente único), se podría presentar de manera global, parcial o selectiva dentro de cada uno de los contextos en los que se identifique dicho ente, en función del ámbito que cubra (Ej.: personal, laboral, bancario, fiscal, etc.) y que deberían residir en un repositorio de uso global. Además, los diferentes grupos de atributos que definen las diferentes facetas de la identidad digital de un usuario, cambian con el tiempo y la actividad de dicho usuario dentro de los servicios de los que vaya haciendo uso.
Y la identificación digital vendría definida como el proceso por el cual una persona, grupo, organización, etc., se presenta de modo inequívoco, mediante el uso de algún tipo de credencial (por supuesto, pudiendo disponer de varios tipos de credenciales según el tipo de acceso o de servicio destino), con el objeto de utilizar un determinado servicio (página o portal web, base de datos, transacción bancaria, etc.) de modo seguro, y garantizando que se dejan disponibles los atributos de nuestra identidad digital que consideremos estrictamente necesarios, quedando el resto ocultos.
Como ejemplo a diferentes tipos posibles de instancias (subconjuntos de atributos) de identidad relativas a un mismo usuario, podrían ser de Navegación (no aportaría datos privados), Personal, Comunitaria (uso en grupos de colaboración), Profesional, Bancaria, Estatal, etc.
La tecnología de gestión de identidades está presente desde hace mucho tiempo, aunque de una manera dispersa y heterogénea. La tendencia natural hacia la que nos dirigimos radica en la convergencia de toda esa información de identificación en una infraestructura común y compartida. Nos referimos a la definición de un conjunto de estándares y protocolos de gestión de la identidad digital y no a la creación de una base de datos centralizada y universal.
¿Qué medidas de Seguridad requiera la Identidad Digital?
Entre las características que debe reunir un sistema de identidad seguro, se encuentra la seguridad en la garantía de la identidad, que asegura que el sujeto que se identifica es quien dice ser; la seguridad en la gestión de la identidad, en relación a proporcionar un mecanismo seguro y privado para la accesibilidad a los atributos de la identidad y atributos que definen al sujeto en dicho ámbito; y la seguridad en el control de la identidad por parte del sujeto, que en todo momento pueda decidir de manera fiable qué subconjunto o instancia de su identidad comparte, en función del servicio que esté utilizando.
Seguridad en el proceso de identificación: selección de métodos de autentificación seguros o robusto. Seleccionar en cada ámbito, el proceso de autentificación a usar, dependiendo de la criticidad de los datos y del nivel de confidencialidad de la información y servicio en uso: desde accesos con login/contraseña para ámbitos donde las instancias de identidad a usar sean no confidenciales, hasta accesos de identificación biométrica y/o con certificados para servicios de ámbito más crítico y confidencial. Sin mencionar la posibilidad de hacer uso tanto de SSO, como de procesos de auth mixta si así se desease.
Seguridad en la gestión de la identidad: Acceso a los atributos de la identidad mediante canales de comunicación seguros (SSL, VPN, etc.), almacenamiento de la información con un nivel de cifrado que cumpla con las exigencias mínimas de las normativas de seguridad, organización de la información almacenada de manera distribuida en bases de datos o repositorios de información seguros e indexados, y confidencialidad del resto de la información asociada al usuario, que no sea necesaria para el servicio en uso. Además, es necesario garantizar la legitimidad de la entidad que en un momento dado demanda acceso o información sobre la identidad de un sujeto.
Seguridad en el control de la identidad propia: El propietario de la identidad, debería poder definir individualmente el ámbito y periodo de validez de cada uno de los atributos que le definen, así como la definición del tipo de uso que se pueda dar a cada uno de ellos. A su vez, estos datos de control deberían contemplarse dentro del nivel de seguridad ya definido en el apartado anterior.
Además, sería necesario garantizar en cualquiera de los ámbitos el cumplimiento de las diferentes normativas de seguridad de protección de datos existentes, como pudiera ser, por ejemplo, LOPD, lo que implicaría un conjunto de medidas de seguridad adicionales asociadas a las meramente ligadas al servicio descrito.
¿Ventajas y riesgos?
Ventajas: La simplicidad y rapidez en el acceso a servicios existentes, así como en la incorporación de nuevas ofertas de servicios a prestar desde la nube.
Desventajas: Disponer de un estándar lo suficientemente robusto, como para obtener la confianza incondicional de los usuarios (empresas, personas, etc.) en la delegación de la gestión de determinadas funciones y datos.
Riesgos por falta de seguridad: Robo de identidad (Ej.: mediante el uso de phishing o pharming), violación en la privacidad de los datos, replicación desmedida de datos personales o la inconsistencia en los propios datos entre diferentes repositorios contenedores.
Asociación @asLAN.
