El futuro del ecosistema de identidad es móvil
17 December, 2014
category: Seguridad en Internet
Por Neville Pattinson, vicepresidente senior, ventas gubernamentales, Gemalto Norteamérica
Según el Centro de Investigaciones Pew, 90% de los estadounidenses adultos poseen un teléfono celular y 58% tienen un teléfono inteligente. Y aún más, el 63% de los adultos propietarios de celulares emplean sus teléfonos para conectarse en línea, y un 34% de los usuarios de Internet se conectan mayormente utilizando sus teléfonos y no una computadora. Incluso existe una palabra para describir el temor de estar sin un dispositivo móvil: nomofobia.
Nuestras identidades, tanto en un sentido metafórico como tecnológico, están atadas a nuestros teléfonos móviles. Aunque la mayoría de nosotros reconoce que los teléfonos móviles no son la forma más segura de intercambiar información y acceder a contenido, el factor conveniencia es el que predomina. Incluso el presidente Obama, cuando asumió el cargo no renunciaba a su BlackBerry.
De modo que, ¿Cuál es la solución? ¿Cómo mantenemos la libertad y la conveniencia de utilizar nuestros dispositivos personales, y además observar altos estándares de seguridad? ¿Puede realmente lograrse tal cosa?
La respuesta breve es que ‘sí’, en parte indudablemente por el fervor que se ha despertado en nuestro país y que se ejemplifica en NSTIC.
La actual falta de seguridad en que uno sea quien dice ser afecta tanto a las compañías como a los gobiernos porque se ven incapacitados para facilitarle a los empleados ciertas comunicaciones en línea mediante dispositivos personales, debido a los mecanismos inadecuados para la autenticación. Esto resulta irónico y lamentable, dada la generalización de la práctica BYOD (Trae tu propio dispositivo) en los centros de trabajo.
El ecosistema de identidad, según lo concibe NSTIC, es un entorno en línea que posibilitará que las personas validen sus identidades en forma segura y con una revelación mínima de su información personal puedan efectuar transacciones y lograr una interacción confiable.
Esto es algo necesario y que será de beneficios para todos. Actualmente los empleados trabajan fuera de la oficina y deben acceder a datos corporativos seguros para realizar sus tareas diarias. Un informe de Nasscom/Deloitte estima que la oportunidad del mercado móvil empresarial a nivel global debe crecer a una tasa compuesta anual del 15% y alcanzar $140,000 millones en 2020.
Es incluso más significativo que el límite entre los sectores personal y empresarial se hace más difuso. Un estudio de Ipsos MORI/Huddle encontró que cerca de tres cuartos (73%) de los empleados de oficina de EEUU emplean tabletas propiedad de la empresa para descargar software y aplicaciones personales mientras que un 52% utilizan laptops, tabletas y teléfonos inteligentes personales para guardar y trabajar con contenido de la empresa.
Los empleados quieren acceder a los recursos corporativos – correo regular, correo encriptado, servicios corporativos en línea – mediante sus teléfonos móviles, y lo hacen gústele o no a los ejecutivos informáticos y de seguridad. Asimismo, las corporaciones e instituciones no quieren limitar a sus empleados imponiéndoles políticas restrictivas. Como muchos empleados utilizan sus teléfonos móviles en lugar de laptops, las soluciones de seguridad en esos dispositivos deben estar a la par con las soluciones de seguridad en las laptops y ordenadores de escritorio.
Pero el ecosistema está muy fragmentado. Hay un sinnúmero de teléfonos inteligentes en el mercado y actualmente no existe un método en uso para la autenticación.
En la gama inferior de la autenticación están las credenciales suaves no gestionadas, conocidas más comúnmente como nombres de usuario y contraseñas. Después tenemos las credenciales suaves gestionadas, como los certificados de software. Más arriba están las credenciales derivadas en línea, como es un servidor seguro en la nube. En la cuarta escala están las credenciales derivadas, encontradas en la Tarjeta Universal de Circuito Integrado (UICC), el elemento seguro incorporado o Entorno de Ejecución Confiable. Por último, las credenciales más seguras son las credenciales de tarjeta inteligente.
Estos son solo algunas de las opciones. Pero en el caso de BYOD (“Trae tu propio dispositivo”), para lograr la mayor efectividad, necesitamos encontrar un común denominador y una implementación estándar para credenciales seguras.
Un ámbito de pruebas a considerar es el gobierno. Los empleados federales requieren hardware seguro para manejar la información de alta sensibilidad. En realidad, un elemento seguro incorporado en un teléfono con un entorno de ejecución confiable es la mejor elección para las aplicaciones de seguridad empresarial de los empleados gubernamentales.
Basada en GSMA, Java Card y GlobalPlatform Standards, la tarjeta universal de circuito integrado (UICC) es el único denominador común para la credencialización fuerte en dispositivos móviles. Por ello, la opción más lógica para la política BYOD del gobierno es una Tarjeta de Acceso Común (Common Access Card) y/o una tarjeta de verificación de identidad personal (PIV) Card en la tarjeta inteligente UICC para un teléfono móvil.
Es importante que esta solución es agnóstica al dispositivo. La UICC segura puede insertarse en diversos dispositivos móviles, y puede moverse de teléfono en teléfono.
La buena noticia es que ya se desarrollan programas piloto que emplean esas tecnologías seguras. La seguridad y la autenticación son problemas que preocupan a la dirección de la empresa, no solo al departamento informático. Todos estos son positivos cambios de paradigmas. Nuestra meta como sociedad debe ser luchar por alcanzar el día en que las tecnologías que mejoran la privacidad se utilicen en todas partes. Tengo confianza en que llegaremos a eso.
Además de su cargo en Gemalto, Pattinson es el vicepresidente técnico de Smart Card Alliance y miembro de la junta directiva del Grupo Directivo de Ecosistema de Identidad de NSTIC. Con anterioridad prestó servicios por cinco años en el Comité Asesor sobre Integridad y Privacidad de Datos del Departamento de Seguridad Nacional.