La era digital en la que vivimos, está propulsada por la intrusión de las Tecnologías de la Información y la Comunicación en nuestras vidas, de forma han supuesto toda una revolución en los patrones de demanda y consumo de empresas y familias, con un impacto directo sobre nuestra economía y sociedad. Este impacto ha cambiado nuestra forma de hacer negocios y nuestra manera de relacionarnos, aunque sigue manteniéndose constante la necesidad de ser identificado, disponer de una identidad para poder hacer negocios, comprar algo o simplemente tener amigos.
En el contexto de Internet, el concepto de identidad es ligeramente distinto del que acabamos de presentar, y podemos diferenciar entre identidad digital e identidad personal, de la que hemos hablado en la sección anterior. La principal diferencia radica en la posibilidad de que un individuo pueda tener diferentes identidades ante una misma entidad, mientras que esto no sucede con la identidad personal: Tu identidad ante una misma entidad es única, aunque no tiene por qué coincidir con la de otras entidades.
Definimos la identidad digital como:
Conjunto de datos que describen de forma única a una entidad y su relación con otras entidades.
Ahora, el concepto de entidad no se limitará a personas físicas, sino podría referirse a personas jurídicas, ficticias o fallecidas, no siendo un requisito la existencia de un cuerpo físico, ni su presencia, ni la necesidad de ser observable, lo cual también es una diferencia con el concepto de identidad personal. Existe una viñeta muy ilustrativa sobre este concepto, en el que se pueden ver dos perros con un ordenador, y como uno le dice a otro: “En Internet nadie sabe que eres un perro”.
El uso de “conjunto de datos” en la definición nos invita a pensar en bases de datos que contienen registros individuales, donde los atributos de estos registros son características representativas de cada individuo. Entre estos atributos, encontraremos dos tipos de atributos:
- unos que nos permitirán identificar de manera única un registro de entre todos, y que llamaremos identificadores,
- y otros que no nos servirán para identificar el registro, pero sí nos servirán para verificar la identidad, y que llamaremos verificadores.
Quizás en algún momento, usted tuvo una cuenta de correo electrónico. Si reflexiona sobre ello, esta cuenta de correo representa una identidad digital asociada a su identidad personal. Su proveedor le solicitó una serie de datos personales (en los que no quizás no se le obligó a ser sincero), le pidió que introdujera una contraseña (atributo verificador), y finalmente le asignó su dirección de correo electrónico (atributo identificador). Su identidad digital queda completamente identificada mediante su dirección de correo, donde encontrará un identificador único (el nombre de usuario que eligió) y la relación con su proveedor (el @dominio_del_proveedor), que por el identificador (usuario@dominio) sabemos que se trata un proveedor de correo electrónico.
El papel de los atributos verificadores de la identidad es fundamental en la relación entre el proveedor de la identidad y el propietario de la misma, porque nos permite resolver el dilema “¿cómo podemos reconocer a una entidad?”, ¿cómo una entidad puede asegurarse de que otra es quien dice ser?. Ya en los años setenta IBM procuró dar respuesta a este dilema, ofreciendo tres posibles formas de que una entidad reconociera a otra:
- Un secreto compartido, algo que se sabe o se recuerda, responder a la pregunta “qué sabes”
- Algo que se posee, responder a la pregunta “qué tienes”
- Alguna característica física que se tiene, responder a la pregunta “qué eres”
En cualquiera de estos casos, la entidad que debe reconocer a la otra tendrá almacenado un atributo con la respuesta a la pregunta y que actuará como verificador de identidad.
Con el paso del tiempo se ha demostrado que lo más cómodo para los administradores de sistemas es gestionar un secreto compartido (clave, pin, frase, etc) o algo poseído (smartcard, tarjeta rfid, etc), frente a características físicas basadas en tecnologías biométricas, porque ¿cómo resetea un administrador tu huella dactilar?, además de los inconvenientes que suceden con algunos de nuestros rasgos físicos tras sufrir accidentes o simplemente la edad haga mella en nosotros.
El proceso mediante el cual una entidad reconoce la identidad de otra, o dicho de otra forma, verifica su identidad digital, se conoce como autenticación. Este proceso tiene lugar cuando dos entidades tienen que comunicarse y una requiere algún servicio de la otra, de manera análoga, a lo que hacemos a diario para cualquier gestión que requiera nuestro DNI: Primero nos identificamos y luego solicitamos algún servicio a la entidad prestadora.
Gestión de la identidad digital
La proliferación del uso de las Tecnologías de la Información y Comunicación en la sociedad y nuestra economía, han generado toda una eclosión de nuevos servicios y aplicaciones, empezando por nuestro trabajo diario: en nuestras organizaciones ya no basta con disponer de acceso a la red, ahora necesitamos correo electrónico, mensajería instantánea y un sinfín de accesos a las distintas aplicaciones con las que tenemos que interactuar a diario: contabilidad, gestión de personal, documentación, gestión de incidencias, ERP, base de datos, formación continua, ... con el agravante de que para cada uno de estos servicios necesitamos una identidad digital. Cuando la cantidad de identidades digitales y servicios empiezan a tener un volumen considerable, aparece en los administradores de sistemas la necesidad de poder gestionarlos y administrarlas de forma eficiente.
La aparición de esta necesidad viene acompañada del desarrollo de políticas y procesos organizativos encargados de proveer una identidad digital con la que conseguir el acceso a los sistemas de información de nuestra organización. Este conjunto de políticas y procesos conforman lo que llamamos gestión de la identidad digital, o simplemente gestión de la identidad, dado que su mayor aplicación y evolución ha devenido con las TICs. En la mayoría de los casos consistirá en automatizar los procesos de provisión de usuarios y roles, gestión de contraseñas y control de acceso, y encontraremos elementos comunes:
- Un metadirectorio que unifique las bases de datos de identidades de diversos tipos y fabricantes en un repositorio único y consolidado, en forma de servicio que acumula información de identidades desde diferentes fuentes de datos a lo largo de la organización, combinando toda o parte de esta información dentro de una visión integrada y unificada.
- Single Sign On (SSO), como mecanismo de autenticación que permite a los usuarios registrarse una única vez y acceder a múltiples aplicaciones para las que dispone de autorización.
Solucionar eficientemente la Gestión de la Identidad (digital) ha desarrollado todo un sector de actividad económica dentro del mundo del software empresarial, que representa nuevas oportunidades de negocio para el sector, y engloba soluciones interrelacionadas que generalmente incluyen la gestión centralizada de cuentas de acceso (provisión/desprovisión/sincronización), autenticación (Single Sign On), derechos y restricciones.
Factores de éxito en la gestión de la identidad
El centro del escenario que se acaba de presentar, está ocupado por el servicio final que se ofrece al usuario: Lo importante es poder acceder al servicio como recurso de información, y el esfuerzo se realiza en hacer que esto sea posible en el menor tiempo posible, y de una forma homogénea. Este ha sido el enfoque, que llamamos tradicional, de la gestión de la identidad. Así, el éxito de este tipo de soluciones está condicionado por dos factores principalmente:
- La complejidad del sistema en su conjunto, que estará en función de las aplicaciones que se usen para implementarla y, como los usuarios deban interactuar con ellas: Sistemas en los que se deben formar a los usuarios de manera explícita estarán abocados al fracaso. El usuario debe percibir la gestión de su identidad como una ventaja que le facilita la vida, no que se la complica.
- La usabilidad de la solución final; si el diseño no tiene en cuenta que debe interactuar con usuarios con distintos grados de formación, y no se orienta a que resulte sencillo para los menos preparados, apenas se usará, y si se les obliga a ello, acabarán usando Posits bajo del teclado y en el lateral del monitor.
A pesar que lo importante sea proveer acceso a los servicios y recursos de información, las políticas y procesos que se desarrollen para la gestión de la identidad, deben ser simples y sencillos, y el software que se use para implantarlos debe ser usable por cualquiera, sin prácticamente ninguna formación previa en la herramienta.
Factores de riesgo en la gestión de la identidad
Saber que existe un sistema, que centraliza nuestros datos personales y nuestras credenciales de acceso a la información, supone en sí mismo una clara amenaza a la seguridad del mismo, y a nuestra privacidad.
La seguridad de un sistema informático consiste en asegurar que los recursos de información sean accedidos de la forma que se decidió que se accedieran, y que su modificación sea realizada por las entidades habilitadas para ello, dentro de su límite de autorización. Comprometer el sistema en el que se centralizan todas las credenciales de acceso, comprometería toda la seguridad informática de la organización, y esta encuentra sus mayores amenazas en las revisadas y actualizadas técnicas de man-in-the-middle, secuestro de sesiones y phising.
Centralizar datos confidenciales como la dirección de correo electrónico, cuentas bancarias, nuestro número de teléfono, cuentas bancarias, el currículum profesional, opciones políticas y religiosas, pone a disposición de cualquiera información que hasta ahora, en el mundo analógico, no había sucedido. La difusión de parte de estos datos, puede suponer un atentado contra nuestro derecho a la privacidad, como ya recogen las legislaciones de la mayoría de países.
El reto más importante a los que debe enfrentarse un sistema de gestión de la identidad es la preservación de la privacidad de los datos confidenciales, de acuerdo con la legislación vigente, y asegurar la seguridad en el acceso a los mismos.
Reputación e identidad digital
La proliferación de los sitios de redes sociales en Internet ha supuesto una eclosión 2.0 de nuevos servicios y aplicaciones en la red, pero en esta ocasión la repercusión ha sido sobre nuestra forma de relacionarnos y no tanto sobre nuestro trabajo diario, si obviamos el hecho de que nos hacen ser menos productivos.
Para poder conseguir acceso a estos nuevos servicios, el usuario de forma voluntaria, cede sus datos aunque no siempre sea consciente de la repercusión que este hecho pueda tener, especialmente por el uso que el proveedor del servicio pueda hacer de su información personal brindándola a terceros. Aunque no exista una retribución económica para poder usar estos servicios, el precio que el usuario debe pagar, es ceder parte de su derecho a la privacidad, lo cual potencia el factor de riesgo de la gestión de nuestra identidad. Este factor de riesgo se potencia aún más con el hecho de que al compartir información no tenemos el control ni la propiedad sobre ella, una veces conscientemente (al verter nuestra opinión en un foro), pero otras ajeno a ello (hacer click en los resultados de google, o al rellenar una encuesta).
Las múltiples identidades digitales que podemos tener en este conglomerado de nuevos servicios, el uso que hacemos de ellas, y la opinión que ello genera, han ampliado el concepto de identidad digital con lo que se conoce como reputación digital, y que se define como:
La imagen que un individuo proyecta en Internet, creada con o sin su propia participación
En este caso no nos referimos a personas humanas como individuos, sino a cualquier entidad con identidad digital, producto, lugar, documento, actividad, aplicación, etc donde ya no es requisito siquiera que exista una identidad digital asociada.
El hecho de que esta imagen sea creada sin nuestra participación, puede tener repercusiones positivas o negativas en nuestra actividad cotidiana, y puede llegar a causar un atentado ya no contra nuestra privacidad sino contra nuestra propia imagen.
Al asociar el concepto de identidad digital y de reputación digital a personas humanas, comprobaremos como el conjunto es análogo al concepto de identidad personal, con el que empezamos este capítulo: la identidad no incluye sólo rasgos físicos que nos diferencian de los demás, sino el cómo nos vemos a nosotros mismos, cómo nos ven los demás y como interactuamos con el resto de la sociedad con el paso del tiempo.
Nuestra identidad en Internet son, el conjunto de datos sobre nosotros mismos que crean y proyectan nuestra propia imagen en la red y nos caracteriza. Ello minimiza las diferencias entre el mundo real y el virtual de Internet; ambos son mundos reales pero ocupan diferentes espacios: inevitablemente se trata de nuestra propia identidad personal en otro escenario, y por ello debemos cuidarla.
La imagen la he sacado del album de César Poyatos en flickr
No hay comentarios:
Publicar un comentario