1. ¿Qué mecanismos engloba la gestión de la identidad?
Las organizaciones deben ser capaces de identificar a todos los involucrados en sus procesos de negocio de forma inequívoca. Por tanto, en lo relativo a los recursos de información, se debe controlar qué personas acceden, con qué derechos, y cuándo. Ciertamente, este desafío no es trivial, ya que los diferentes tipos de actores posibles (ciudadanos, usuarios, empleados, partners, clientes y proveedores) disponen de privilegios distintos cuando acceden a la información, aplicaciones o instalaciones físicas, y estos privilegios a menudo deben ser modificados o revocados completamente a lo largo del tiempo.
Este entorno aconseja disponer de un método rápido, seguro y con garantía de fiabilidad para proporcionar y gestionar los derechos de acceso de los diferentes actores involucrados.
Si se desea forzar el cumplimiento de las políticas de seguridad de la información para toda la empresa, en primer lugar los distintos repositorios de información deben estar permanente actualizados, y su información debe ser consistente. En segundo lugar, se debe disponer de un punto central de administración desde el que sea posible actualizar el perfil de autorizaciones de los usuarios para todos los sistemas y para todas las plataformas.
Al igual que al entrar en un país o a las instalaciones de una compañía, es necesario identificarse, también se requiere de una identificación al acceder a los recursos informáticos de la empresa. La autenticación es el proceso mediante el cual los usuarios se identifican a sí mismos, junto con sus derechos, para realizar determinadas acciones. Métodos de autenticación como la biometría, smart cards, o tokens de seguridad, aumentan considerablemente la seguridad del proceso de autenticación.
Gracias a la Gestión de la Identidad y Acceso es más sencillo cumplir con los requerimientos legales de tipo general, nacional e internacional, y con los requerimientos internos de las organizaciones, ya que permiten documentar los mecanismos de control existentes, y comprobar si las autorizaciones disponibles para los usuarios cumplen las regulaciones legales y políticas corporativas.
2. ¿Cómo se consigue una autentificación robusta y a la vez simple para los sistemas de información de la empresa?
Enfocados al acceso seguro, sería conveniente reemplazar las passwords de acceso a los sistemas de información de las organizaciones por opciones de autenticación fuertes, tales como smart cards, tokens, OTP, biometría de huella o palma de la mano, y tarjetas de proximidad. El dni-e es una alternativa de autenticación a tener en cuenta en su característica digital, que aporta importantes características de seguridad.
Además es necesario resolver las cuestiones de seguridad relativas a la gestión de paswords y accesos de los usuarios a aplicaciones de diferentes tecnologías (cliente/servidor, Windows, Java, web, etc.), eliminando la necesidad de recordar y teclear las credenciales cada vez que se accede a una aplicación.
Para dar un enfoque más completo, se puede pensar en integrar la seguridad en el acceso a aplicaciones con la seguridad de acceso a edificios a partir de la identidad del usuario, y la configuración de políticas que permitan o denieguen el acceso a la red basado en la ubicación física del usuario.
Hay sistemas que dan solución a estas cuestiones y se denominan sistemas Single Sign On. Una de las prioridades de los responsables de seguridad y administradores de sistemas es que el salto a la autenticación robusta y simple a través de SSO sea rápida, y sin necesidad de modificar las aplicaciones ni los directorios de usuarios en su implementación.
3. ¿Cómo se consigue saber quién es quién?
La posibilidad de cerrar un trato mediante un apretón de manos queda muy lejos en los entornos actuales de procesos de negocio, en los que el vehículo de comunicación son las modernas redes. Por otro lado, existe un amplio abanico de servicios antes disponibles solamente a través de ventanilla, y que cada vez se ofrecen en mayor medida por vía telemática. En cualquier caso la pregunta es ¿quién está al otro lado de la red?
Para ayudar a responder a esta pregunta y como alternativa a las contraseñas estáticas, que se sitúan en la parte más baja del escalafón de seguridad, disponemos actualmente de diversos métodos de autenticación basados en biometría, certificación digital, o contraseñas de un solo uso.
En cuanto a las tecnologías de doble factor de autenticación, cabe destacar el dni-e, que ha llegado para ser utilizado por parte de los ciudadanos en sus relaciones con las entidades públicas y privadas, y además puede utilizarse dentro de la empresa privada o en las administraciones públicas por parte de sus empleados. Es decir, como una herramienta laboral (por decirlo de alguna manera) de forma que se integre dentro de los procesos de acceso a sistemas y aplicaciones, o de firma-e. Desde el punto de vista técnico, ya hay referencias de proyectos que lo están utilizando.
La biometría, que aporta una enorme comodidad al usuario en sus variantes de huella digital o palma de la mano, permite la posibilidad de añadir un tercer factor de autenticación.
El proceso de comparación de la huella puede hacerse dentro una smart card, de forma que la huella “patrón” siempre está dentro de la smart card, y se denomina Match on Card. También puede hacerse dentro de un servidor especialmente securizado, donde se aloja la base de datos de huellas, denominándose entonces Match Off Card.
Los sensores biométicos ya tienen precios que hacen factible su despliegue, y se presentan tanto en formato independiente, como integrados en teclados de sobremesa o en PCs portátiles y en dispositivos móviles.
Asociación @asLAN.
