07 May, 2014
category: Seguridad en Internet
Por Terry Gold, fundador, IDanalyst LLC
Cuando se trata de identificar credenciales, históricamente mientras más alto es el nivel de garantía, más costoso y complejo ha sido producirlo y gestionarlo. A su vez, esos costos más altos han mantenido las tarjetas inteligentes habilitadas con PKI fuera del alcance de las masas. Solamente las grandes organizaciones podían aspirar a escalar, reducir costos y contratar un proyecto que demandaba trabajar con varios conjuntos de capacidades. Pero la identidad-como-servicio (IDaaS) puede posibilitar que organizaciones menores que no disponen de esos recursos, estén en capacidad de emplear esas tecnologías avanzadas.
Complejidad
Cuando se ejecutan atendiendo a las mejores prácticas en cuanto a seguridad y confianza, los programas de identidad de alta seguridad demandan un conjunto diverso de recursos especializados. Aunque el token – o tarjeta – es lo más visible, esta es solo la punta del iceberg. La mayor complejidad está en la infraestructura back-end requerida para emitir y gestionar de forma segura el sistema más amplio. Esta complejidad se compone además de los muchos puntos de contacto necesarios para integrar, operar, apoyar y conformar las políticas que permiten que todo esto funcione de forma coherente.
Simplificación
Mediante el programa PIV, el gobierno federal de Estados Unidos ha demostrado que es posible reducir la complejidad para las organizaciones que requieren credenciales de alta seguridad. Creando un modelo centrado en proveer un conjunto de capacidades como servicio, el programa ha implementado tarjetas de identificación a millones de individuos en las diferentes agencias.
La realidad es que la complejidad aún existe, pero ahora está diseñada para aquellos que pueden lidiar con la complejidad, eliminando así la carga para los clientes. Los modelos de software como servicio (SaaS) proporcionan una solución lista para usarse, permitiendo que los clientes solo tengan que preocuparse por consumir el servicio, no por administrarlo.
Piense en esto como en tomar un autobús. Si yo rentara de forma privada un autobús desde Los Angeles hasta San Francisco, me costaría miles de dólares. Pero si compro un boleto para un autobús disponible comercialmente programado para ese mismo viaje, el precio pasa a ser estándar, ya que los costos son compartidos por muchos clientes.
Lo mismo puede decirse para un modelo de identidad-como-servicio (IDaaS). Sin embargo, para esta relación simbiótica de mutuo beneficio entre proveedor y cliente, un grupo de clientes debe acordar el mismo conjunto de capacidades de servicio. En la medida en que el proveedor logre aunar más clientes para ese acuerdo, más se puede monetizar el servicio existente y posiblemente reducir los costos, ya que son más personas las que lo comparten.
El mercado actual
Cuando vemos los diferentes mercados, observamos que el programa PIV no puede satisfacer los requerimientos particulares de cada uno. Tampoco fue diseñado para ello, ni siquiera está disponible para todos. La buena noticia es que van a existir nuevos servicios en línea para satisfacer variados requerimientos.
Este mercado es joven aún. Por un parte algunos vendedores quieren entrar pronto en escena y no tienen un largo historial en materia de identidad. Por la otra, las compañías ya establecidas que tienen una probada experiencia, están luchando para pasar del sector de gobierno al empresarial con soluciones inflexibles basadas en PIV. El mercado está evolucionando a medida que los vendedores tratan de atraer una audiencia más amplia con requerimientos cada vez más variados.
Pese a la evolución del mercado, los productos de los suministradores varían grandemente en su enfoque y capacidad, y puede resultar complejo diferenciarlos o incluso saber qué cuestiones preguntar específicamente para este tipo de solución.
Ver más allá de un simple recorte de costos
Muchos asumen que la identidad-como-servicio les cuesta menos que un modelo interno, pero esto no siempre es cierto. El tamaño de la organización es un punto clave.
Para las organizaciones de tamaño pequeño a mediano, incluso la solución IDaaS más cara posiblemente resulte más económica que una solución interna. Además, con IDaaS se reparten por todo el año, en lugar de almacenarse desde el principio por los perpetuos costos de licencia y de infraestructura backend. No obstante, para las organizaciones muy grandes con decenas de miles de usuarios, estas cifras comienzan a alcanzar paridad.
Es importante observar que las organizaciones grandes que pueden gastar menos con un modelo interno, pueden de todos modos escoger IDaaS porque este puede reportar beneficios financieros debido a la forma en que se contabilizan los servicios en comparación con los activos comprados que se deprecian.
Un movimiento positivo
Las soluciones IDaaS puede que reduzcan costos o no, pero definitivamente hace que los programas de identificación resulten más sencillos y disponibles comercialmente para más organizaciones. Reducen complejidad, la carga de la operación y la canibalización de recursos críticos requeridos para otros proyectos.
Sobre todo, IDaaS es un movimiento positivo para todos, incluso para los que opten por no implementarlo. Los sistemas IDaaS indudablemente son sencillos y eficientes, y adicionan más presión competitiva en todo el entorno del mercado, lo mismo para IDaaS que para los enfoques tradicionales. Y a medida que el mercado madure, el panorama será aún mejor.
Vea más detalles sobre el tema en el artículo original en inglés.