ISACA Journal
Volume 6, 2,017 

Translated Articles 

Identidad digital—¿El nuevo petróleo creará combustible o fuego en la economía actual? 

Dan Blum, CISSP 

La identidad digital tiene el poder de impulsar su empresa hacia adelante...o puede causar que se cuelgue y arda. Cómo lo gobierna y administra hará la gran diferencia.

Piensa en tu estado actual. La mayoría de las implementaciones de administración de identidades y accesos (IAM) en el lugar están desactualizadas y no se adaptan a los volúmenes actuales de personas, datos y cosas, y mucho menos a lo que se aproxima. Pocas organizaciones se han adaptado aún a los problemas emergentes de riesgo regulatorio y privacidad en el entorno global. Sin embargo, aquellos que optimizan sus arquitecturas IAM ahora pueden mejorar la efectividad operacional y reducir el riesgo. Pueden aprovechar las tendencias transformadoras de los dispositivos móviles, la nube, el Internet de las cosas (IoT) y el aprendizaje automático en capacidades innovadoras y habilitadas para la identidad para obtener ventajas competitivas.

El nuevo petróleo

Para reutilizar una cita anterio,1 los datos personales es el nuevo petróleo. Históricamente, las empresas han cosechado ese valor lanzando nuevas ofertas a los clientes en línea y campañas de marketing con pocas limitaciones. Sin embargo, las regulaciones de privacidad cada vez más estrictas están obligando a las compañías globales a obtener y documentar el consentimiento de una manera que cumpla con los estándares específicos de la jurisdicción al aprovechar los datos personales.

Al igual que el petróleo, los datos personales pueden ser tóxicos cuando se derraman. Los estudios basados en datos de la industria muestran que los costos de una infracción en los EE. UU. Pueden fácilmente alcanzar los cientos de millones de dólares estadounidenses.2 Incluso las consecuencias más altas llegarán para las empresas de la Unión Europea (UE) que almacenan la los datos de los ciudadanos una vez que el Reglamento General de Protección de Datos (GDPR)3 entre en vigor en mayo de 2018.

¿Por qué tanta fricción en el nuevo y valiente mundo de la identidad digital? Enfrentando cambios disruptivos a las prácticas y tecnologías comerciales, las personas y las prácticas evolucionan más lentamente que la tecnología. La angustia de los ciudadanos y los consumidores está detrás del riesgo relacionado con la privacidad. El error humano a menudo es la causa principal de los derrames de datos.

La innovación de IAM se trata de la gestión de las relaciones

Hoy, IAM debe cubrir las relaciones de personas, dispositivos móviles, dispositivos de consumo, servicios en la nube, proveedores de servicios y fabricantes. El cumplimiento de la privacidad y la administración del consentimiento deben operar en todos los dominios. Manejada de forma segura, una empresa puede reclamar una historia de éxito, como un aeropuerto internacional que ha aprovechado la identidad en los modelos de entrega en la nube para escalar operaciones por más de 40 millones de pasajeros al año en medio de exigentes requisitos de seguridad.4

Llamar a la acción

Manejadas en forma inseguras, las violaciones a los datos personales pueden poner a una compañía en una pared de vergüenza.5 Por otro lado, incluso evitar infracciones y cumplir con las regulaciones no garantiza las ganancias. Según Ctrl-Shift, Liz Brandt, un enfoque puramente basado en el cumplimiento de GDPR podría ofrecer una victoria Pyrrhic, lo que resulta en el cumplimiento de un 20 por ciento menos de clientes y la pérdida de permiso para comercializar a un 60 por ciento más.6 Para evitar esto:

  • Moderniza la arquitectura
  • Adoptar principios de privacidad
  • Adoptar un enfoque de identidad y de ingeniería de privacidad

Modernizar la arquitectura (Federar, no agregar)

El auge de las redes de área local (LAN) y el Internet comercial en los años 90 generaron oleadas de innovación que nos brindaron el protocolo ligero de acceso a directorios (LDAP) y productos de provisión de identidad empresarial diseñados para consolidar la información de identidad en servicios como el Directorio activo de Microsoft. Los directorios centralizados se convirtieron en un pilar del control interno. Ahora que las regulaciones de soberanía de datos se están extendiendo globalmente, los directorios centralizados desaparecerán.

Sin ellos, ¿qué sigue? En la segunda edad dorada de la identidad,7 directorios se moverán a la nube y se distribuirán, virtualizarán y abstractarán mucho más. OAuth, Open ID Connect y otros estándares proporcionan una capacidad de “identidad federada” que reemplaza a LDAP al habilitar el inicio de sesión único entre dominios, la administración de atributos y el control de acceso.

Las empresas exitosas están integrando IAM con aplicaciones a través de interfaces de programación de aplicaciones (API) aprovechando OAuth y estándares relacionados. Internamente, las organizaciones deberían integrar IAM con recursos humanos (RR.HH.), concientización/capacitación, gestión de relaciones con proveedores y análisis de seguridad. Externamente, deberían construir una gestión coherente de los procesos de las relaciones con los clientes a través de sus diversas unidades de negocios. Las soluciones de identidad como servicio (IDaaS) están ganando adeptos al facilitar la integración de identidad en diversos ecosistemas de TI, incluidos los entornos de software como servicio (SaaS).

Adoptar principios de privacidad en el proceso de negocio

Australia, Canadá, la Unión Europea y muchas otras jurisdicciones imponen fuertes derechos de privacidad que consideran a las personas propietarias de los datos personales. Además del cumplimiento, las compañías tienen otros incentivos para obtener la privacidad correcta. Adoptar principios amigables con la privacidad y comunicarlos claramente puede alentar a los clientes para compartir información que de otro modo tendrían que contener.

¿Qué principios? Podemos resumir los principios8 de GDPR como un ejemplo:

  • Proporcionar un procesamiento justo, legal y transparente de información personal.
  • Limitar el uso a los propósitos declarados.
  • Limitar la recolección.
  • Asegurar la calidad de los datos.
  • Limitar los períodos de retención.
  • Permitir que las personas eliminen o eliminen registros donde sea posible o legalmente requerido.
  • Proporcionar seguridad de datos.
  • Demostrar cumplimiento.

Adopte un enfoque de ingeniería de identidad y privacidad

Las empresas que “hablan con éxito” con principios de privacidad también deben “walk the walk” dando a los clientes herramientas fáciles de usar para controlar sus propios datos de forma adecuada al servicio prestado. Ganar corazones y mentes sobre la privacidad puede ganar participación en medio de la próxima rotación de GDPR.

El próximo desafío es extender de forma segura la funcionalidad de identidad y privacidad a través de los ecosistemas de socios globales. El comercio minorista en línea está convergiendo con el comercio minorista de ladrillo y mortero, y ambos están convergiendo con medios, dispositivos móviles, servicios financieros y servicios comerciales. Con el uso de arquitecturas federadas modernizadas, las innovadoras arquitecturas IAM pueden proporcionar a los clientes una experiencia conveniente en todos estos dominios sin el obstáculo de otra contraseña de usuario (YAUP). Pueden mantener la coherencia de la marca y confiar en el proceso.

Pocos han dominado el desafío de la experiencia del cliente multi dominio hasta la fecha. Ya sea que la autenticación del cliente de la interfaz de usuario es demasiado débil para ser tan ampliamente confiable, los intermediarios de confianza no están disponibles para transferir los atributos necesarios para la autorización, o los procesos de negocio de back-end no están integrados en todos los dominios. Adopción adicional de autenticación multifactorial y estándares de grupos tales como FIDO Alliance9 para autenticación en línea ayudará. Pero las organizaciones también necesitan desarrollar o suscribirse a las arquitecturas de concentradores de proveedores de identidad sofisticados (IDP) e interconectarlas mediante API.

Lamentablemente, regulaciones como GDPR aumentarán el riesgo para las compañías que interconectan sus ecosistemas y marcas en línea. El YAUP (aun otra contraseña de usuario) no desaparecerá fácilmente. Pero hay oportunidades para agregar maquinaria de privacidad y consentimiento al entorno federado de identidad. Por ejemplo, nuevos estándares como el acceso administrado por el usuario (UMA)10 y La Especificación de Recepción de Consentimiento11 están surgiendo, lo que facilitará que los clientes controlen los datos personales y su uso y/o implementen procesos de consentimiento explícitos.

Para impulsar el negocio en la segunda edad dorada de la identidad, todos debemos ser innovadores.

Notas finales

1 Rotella, P.; “Is Data the New Oil?,” Forbes. com, 2 April 2012, https://www.forbes.com/sites/perryrotella/2012/04/02/is-data-the-new-oil/#64ee40a57db3
2 Blum, D.; “Security Business Case for Breach Risk Reduction (Part 1),” Security Architects Partners, 13 April 2016, http://security-architect.com/security-business-case-part1/
3 Karczewska, J.; “COBIT 5 and the GDPR,” COBIT Focus, 29 May 2017, www.isaca.org/COBIT/focus/Pages/cobit-5-and-the-gdpr.aspx
4 Okta, Gatwick Airport Takes Flight With Okta, https://www.okta.com/customers/gatwick-airport/
5 Information Is Beautiful, World’s Biggest Data Breaches, 5 January 2017, www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
6 Brandt, L.; “GDPR: Spend It and Sink It or Spend It and Grow It,” LinkedIn, 23 February 2017, https://www.linkedin.com/pulse/gdpr-spend-sink-grow-liz-brandt-nee-brown-
7 Blum, D.; “The Second Golden Age of Identity,” Security Architects Partners, 22 November 2016, http://security-architect.com/second-golden-age-identity/
8 Gabel, D.; Hickman, T.; “Chapter 6: Data Protection Principles—Unlocking the EU General Data Protection Regulation,” White & Case, 22 July 2016, https://www.whitecase.com/publications/article/chapter-6-data-protection-principles-unlocking-eu-general-data-protection
9 FIDO Alliance, https://fidoalliance.org/
10 Kantara Initiative, UMA, 14 March 2017, https://kantarainitiative.org/confluence/display/uma/Home
11 Kantara Initiative, Consent Receipt Specification, 8 May 2017, https://kantarainitiative.org/confluence/display/infosharing/Consent+Receipt+Specification

Dan Blum, CISSP
Es un consultor principal de Security Architects Partners. Como experto internacionalmente reconocido en seguridad, privacidad, computación en la nube y gestión de identidad, lidera y ofrece proyectos de consultoría que abarcan múltiples industrias. Anteriormente un vicepresidente galardonado dentro de Golden Quill y analista distinguido en Gartner, ha dirigido o contribuido a proyectos tales como evaluaciones de seguridad y privacidad en la nube, evaluaciones de programas de seguridad, revisiones de marcos de gestión de riesgos y arquitecturas de administración de identidades. Ha brindado contratos de consultoría de seguridad técnica en todas las áreas de dominios de protección de datos, incluida la encriptación/ administración de claves, prevención de pérdida de datos, administración de acceso privilegiado y autorización empresarial. Blum ha participado en grupos industriales como ISACA, CSA, Iniciativa Kantara, OASIS y otros.

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.