Claves para asegurar el futuro de la identidad federada
08 December, 2014
category: Seguridad en Internet
Parte de la serie sobre el futuro de la identidad
Por Thomas J. Smedinghoff, socio, Edwards Wildman Palmer LLP
El concepto de gestión de identidad federada se ha discutido y desarrollado en varias formas durante más de 20 años. Durante ese tiempo hemos sido testigos de un progreso siempre en evolución de nuevas ideas y conceptos, junto con mucho debate y trabajo sobre estándares, políticas, marcos de confianza y requisitos de certificación. ¿Pero ha habido verdadero progreso? ¿En los próximos cinco años la gestión de identidad federada será una realidad para la mayoría de los negocios y usuarios? ¿O simplemente avanzará a la siguiente fase de una discusión interesante, pero mayormente teórica, con solo algunas implementaciones aisladas específicas de sectores y proyectos piloto para prueba de concepto? La respuesta puede depender de la posibilidad de un cambio de enfoque.
Los actuales esfuerzos en desarrollo se orientan en primer lugar a las especificaciones y los temas de política que deben resolverse para crear los llamados sistemas de identidad “confiables”. Esto ha generado mucha discusión sobre el concepto mismo de “confianza”, así como un amplio trabajo en torno a temas tales como niveles de aseguramiento, prueba de identidad, elevación de la confianza, certificación, marcas de confianza, privacidad, seguridad e interoperabilidad. Pero estos esfuerzos ignoran en gran medida un pre-requisito crucial para el éxito: encontrar un modelo de negocios que ofrezca en primer lugar los incentivos apropiados para que los comercios y los usuarios participen en ese sistema confiable.
Imaginen que es el año 1900 y estamos tratando de promover el recién inventado automóvil como el futuro de la transportación. Aunque al parecer el desafío primario es desarrollar estándares para construir coches seguros y fiables, puede que ese no sea el mejor enfoque. En esa etapa inicial en el desarrollo del ecosistema de transporte automotor, lo que realmente se requería eran los incentivos para que los fabricantes produjeran los vehículos y los usuarios los compraran. Y para hacer eso necesitábamos una infraestructura de carreteras, gasolineras y talleres de reparación. En esos primeros tiempos lo más probable es que una orientación hacia los estándares para la producción de coches seguros y confiables no habría proporcionado los incentivos necesarios.
De la misma forma, los esfuerzos dirigidos a asegurar sistemas confiables de identidad federada, aunque importantes, no tendrán éxito si no van acompañados por una atención priorizada hacia la necesidad de incentivar a los comerciantes y a que los usuarios realicen las inversiones y compromisos necesarios para participar en esos sistemas. Esto requiere cumplimentar dos premisas esenciales para el desarrollo de tales incentivos:
-
Identificar modelos de negocios que proporcionen una justificación económica para que todas las partes participen en sistemas de identidad federada.
-
Proveer un marco legal que permita y dé soporte a tales modelos de negocios.
No podemos trabajar bajo el supuesto de que la identidad federada es una idea tan genial que el simple hecho de diseñar requerimientos para un sistema confiable va a estimular una amplia implementación. Hasta que no resolvamos el asunto fundamental de los incentivos, los sistemas de identidad federada son serán una realidad generalizada, con independencia de cuán confiables y protectores de la privacidad sean los estándares, políticas y procesos de certificación que se desarrollen.
¿Qué incentivos han de motivar a los comerciantes y usuarios a participar en los sistemas de identidad federada? A falta de una compulsión por parte del gobierno que obligue al cumplimiento sin importar los costos (por ejemplo, requisitos regulatorios), posiblemente estarán relacionados con modelos de negocios que permitan que los proveedores de información de identidad obtengan ganancias, sea directa o incidentalmente, que las partes confiantes ahorren dinero o extraigan otro valor del proceso, y que los usuarios simplifiquen sus requisitos para el acceso en línea. En todos los casos, el valor recibido en cada uno de los roles debe ser suficiente para justificar el costo o molestia que ocasiona la participación.
Facebook aparentemente se ha dado cuenta de esto y ha implementado un modelo de negocios – login con Facebook – que es posiblemente el sistema de identidad federada en uso más exitoso, atendiendo a su volumen. El mismo está prosperando pese a que opera con un nivel muy bajo de confianza y en gran medida ignora muchos de los principales temas de identidad. En lugar de ello, explota el modelo de negocios de Facebook de una forma que proporciona incentivos económicos tanto para el propio Facebook, como para sus sitios web confiantes y sus usuarios. El reto reside en encontrar uno o más de tales modelos que incentiven los negocios para los sistemas que brindan niveles más elevados de confianza.
Para establecer un clima que facilite el desarrollo de semejantes modelos de negocios generadores de valores, es necesario también un marco legal apropiado. Dicho marco legal puede tomar la forma de una legislación pública, estatutos o reglamentación, pero también puede provenir de la legislación privada, en forma de contratos entre los participantes. Lo más probable es que sea una combinación de ambos.
Con independencia de la estructura, el objetivo es proveer un marco legal que elimine barreras legales inapropiadas donde y en la medida que existan. Esto permite entonces que se implementen modelos de negocios viables, consistentes con una adecuada política pública. Hacer esto requerirá proveer un nivel satisfactorio de certidumbre respecto a las reglas que rigen para los participantes, y distribuir de forma justa las responsabilidades, los riesgos y obligaciones entre los diversos roles.
Al propio tiempo, el marco legal no debe restringir el desarrollo de modelos económicos viables, como por ejemplo, imponer estructuras legales gravosas, exigir a las partes que ejecuten contratos complejos cada vez que realizan una transacción, o situar una obligación de una forma que inhibe la participación. En lugar de ello, debe diseñarse para estimular y apoyar la experimentación basada en el mercado, la cual es necesaria para desarrollar un enfoque de la identidad en línea que estimule a todos los participantes.
En conclusión, lograr que la identidad federada a escala de Internet sea una realidad en los próximos cinco años requerirá resolver mucho más que solamente el problema de la confianza. Requerirá encontrar modelos viables de negocios que proporcionen suficientes beneficios a todos los participantes para incentivarlos en su participación, y al mismo tiempo implementar un marco legal apropiado para apoyar esos modelos de negocios.
Smedinghoff se centra en el campo emergente de la legislación sobre información y las actividades de negocios electrónicos. Ha estado activamente involucrado en desarrollar e-business, e-signature, gestión de identidad, y política legal de seguridad de datos, tanto en los Estados Unidos como a nivel global. También funge como presidente de la Fuerza de Tarea Legal de Gestión de Identidad para la Sección Legal de ABA Business, y es copresidente de su Comité de Ciberseguridad.