en inglés/in English

En el 2006 una nueva y excelente sección especial aparecerá en todas y cada una de las ediciones de SercureIDNews. La nueva Esquina de la Seguridad Física explorará los elementos claves del cambiante panorama de la seguridad. La seguridad física ya no es un elemento aislado dentro de una organización … es un componente vibrante y esencial, con implicaciones que afectan a toda la empresa.

Los temas claves que se tratarán de este artículo especial serán la identidad y la convergencia. Esto se debe a que estos temas se encuentran entre las características distintivas más importantes del panorama moderno de la seguridad. Por lo tanto, parece adecuado que expongamos estos dos conceptos en esta presentación inaugural de nuestra Esquina de la Seguridad Física.

La Identidad y la Seguridad Física …

EL concepto de seguridad física implica una administración adecuada de la identidad, pero, desafortunadamente, este no ha sido el caso. Para explicar esta idea, es necesaria una comprensión del proceso de administración de la identidad.

La administración de la identidad se puede concebir como un conjunto de procesos usados para identificar a un individuo dentro de una organización y permitirle el acceso a un grupo definido de privilegios basándose en el estatus único de esa persona. Por supuesto, desde el concepto tradicional de seguridad física, la administración de la identidad parece obvia … creamos una credencial y el titular la pasa o la muestra a un lector de tarjetas y se le permite o niega el acceso.

Es cierto que esta es una forma de administración de la identidad, pero ¿es la “administración adecuada de la identidad”? La mayoría está de acuerdo en que no lo es. Hay demasiados puntos débiles en la cadena. ¿Se investigó la identidad del individuo antes de emitir la credencial? ¿Se realizó la autenticación en el lector para asegurarse de que el portador de la credencial era precisamente la persona para la que fue emitido? ¿Se cuenta con un sistema efectivo para revocar los derechos de acceso a antiguos usuarios, tarjetas perdidas, etc.?

Preguntas como éstas nos dan una medida de por qué una administración adecuada de la identidad tiene que ser un elemento fundamental para cualquier sistema de seguridad. Aunque la administración de la identidad se ha convertido en la palabra de moda en todas industrias y se le han dado múltiples definiciones, los conceptos fundamentales o los pasos son comunes a todos:

Verificación
Según OpenGroup, un consorcio enfocado en la interoperabilidad y la creación de estándares abiertos neutrales, “Verificación es el proceso de establecer la identidad antes de crear una cuenta que puede ser usada más tarde como una reafirmación de la identidad”. Es el chequeo de antecedentes que garantiza que el individuo que vas integrar al sistema o entregar una credencial para acceder al sistema es ciertamente la persona que él dice ser. La verificación puede ser indulgente (Ej. “Yo soy John Doe porque lo digo yo”) o estricta (Ej. chequeos de las huellas digitales, entrevistas con socios anteriores). Los primeros requisitos de HSPD-12, la nueva directiva presidencial que requiere credenciales seguras normalizadas para las agencias federales, centran su atención en la verificación de los empleados nuevos y los ya existentes a través de extensivos controles de antecedentes. Curiosamente, nos dice una fuente que, a través del proceso, se ha descubierto un grupo de empleados que usaban identificaciones falsas.

Autenticación
El OpenGroup define la autenticación como “el proceso de adquirir confianza en la reclamada identidad”. Son los medios a través de los cuales la persona que reclama ser “John Doe” es examinada para determinar si realmente es “John Doe”. En los sistemas tradicionales de seguridad, la autenticación estaba limitada a chequeos visuales de las credenciales por parte del guardia (Ej. los llamados flash pass) o simplemente la posesión de una credencial emitida y su presentación al lector.

En los sistemas de identidad modernos se desea una autenticación multifactorial (la posesión de la credencial junto con una combinación de contraseñas y biometría). La validación de la autenticidad de la credencial es también un factor primordial.

Revocación
El otro paso esencial en el proceso de administración es la revocación de credenciales emitidas y la notificación subsecuente de esa revocación a los sistemas implicados. Obviamente, los días en que los antiguos empleados poseían una credencial aún válida están ya en el pasado. Tiene que habilitarse la posibilidad de una revocación inmediata para poder evitar un fallo de seguridad potencialmente desastroso. Además de esta necesidad obvia de revocación, muchos sistemas están revocando y suspendiendo privilegios a identidades reales a propósito, como una manera de regresar cíclicamente a la primera fase del proceso de administración de la seguridad, la verificación. Haciendo esto, el individuo se somete a una nueva verificación, como un chequeo actualizado de los antecedentes penales o las listas de presuntos terroristas.

Mientras que existen muchos otros aspectos importantes en la administración de la identidad – confianza, suministro, federación – estas tres piedras angulares forman el núcleo del concepto. Estos y otros conceptos serán la base de los futuros debates en esta Esquina de la Seguridad Física.

Convergencia y seguridad física …

A la vez que se empezaba a reconocer la importancia de la administración de la identidad, también se reconocía el concepto de que un solo individuo tiene muchas identidades dentro y en toda la organización. En esencia, muchos individuos tienen necesidades de acceso físico y también de acceso lógico (o de red/datos). Los aspectos convergentes de la administración de la identidad para la seguridad física y lógica brindan grandes beneficios en términos de conveniencia del usuario, redundancia del proceso, y seguridad en toda la empresa.

La fusión de los procesos de verificación, autenticación y revocación para una seguridad física y lógica se ha convertido en uno de los objetivos y retos principales de las organizaciones modernas. Las estructuras de administración y organización (Ej. instalaciones e informática), que antes estaban separadas, están hoy esforzándose (a veces batallando) para compartir este terreno común.

Mirando más allá del 2006 …

Con estos conceptos básicos en la mano, seguiremos durante este año nuestras exploraciones en el nuevo mundo de la seguridad física. Investigaremos conceptos claves de los sistemas de seguridad, ahondaremos en temas específicos como el mantenimiento de las bases de datos para los sistemas convergentes, y mantendremos una mirada constante en los impactos que pueden tener las iniciativas como la HSPD-12 y los esfuerzos de la normalización global en nuestras organizaciones.

El grupo editorial de SecureIDNews quisiera agradecer al líder de la seguridad, Lenel Systems International, por el patrocinio que nos permitirá traerles esta sección especial durante todo el Nuevo Año. Mantén la sintonía.