Razones y sentido financiero a favor de una identificación federada
08 January, 2014
category: Seguridad en Internet
Estudio de gobierno: Subcontratar identificación en línea puede representar ahorro por más de $100 millones.
El Departamento de Tesorería de Estados Unidos podría ahorrar hasta $300 millones anuales subcontratando las credenciales de identificación, según un informe elaborado por el Instituto Nacional de Estándares y Tecnología. Más aún, el IRS podría ahorrar de entrada $111 millones si estableciera un sistema de gestión de identidad que responda a la Estrategia Nacional para Identidades de Confianza en el Ciberespacio (NSTIC), la iniciativa del gobierno estadounidense diseñada para estimular credenciales seguras e interoperables para los ciudadanos.
Una reciente investigación realizada por ABI también está a favor de que las agencias federales contraten servicios de identificación. En un informe titulado “Aseguramiento del acceso en línea para servicios gubernamentales electrónicos mediante identificación federada”, se promueve el modelo de identificación federada como un medio para fortalecer las facilidades en línea de gobierno y atención de salud.
Estos reportes han captado la atención de los sectores público y privado, creando un ambiente propicio para la idea de federalizar las identificaciones.
¿Por qué subcontratar? Al hacer que la identificación deje de ser una operación interna y pase a un tercer proveedor, el IRS podría expandir la labor a múltiples organizaciones de confianza, en lugar de cargar con toda la responsabilidad. Además, la incorporación de vendedores externos en esta batalla significa que los mismos podrían contribuir con sus propios niveles adicionales de seguridad. Si el IRS continúa ejecutando su propia gestión de identidad, ello implica controlar y ser responsable de cada proceso, desde la verificación de la identidad hasta la realización de la autenticación de rutina de forma precisa, con el fin de proteger su actual repositorio de credenciales”, explica Eve Maler, analista principal de Security and Risk Professionals en Forrester. Pero la desafortunada verdad es que el IRS tiene un accidentado historial en cuanto a proteger identidades en línea. Luego de una reciente violación en la agencia, que provocó la fuga de unos 2,000 números de seguro social, puede resultar un alivio importante el hecho de que exista una alternativa para la protección de identidades en línea. “Como hemos visto, la protección de datos es una tarea difícil y el IRS no la está realizando muy bien”, observa Maler. “Con el empleo de credenciales externas, esto dependería de un tercero y es cierto que habría que ceder algún control, pero este cálculo es muy parecido a cuando se externaliza alguna función hacia la nube”.
Aunque subcontratar las tareas de identificación puede incorporar un nivel añadido de seguridad, la ventaja real está en el ahorro de costos. “Externalizar las credenciales de identificación es una medida atractiva debido a los costos que implica mantener repositorios de identificación, realizar la autenticación y restablecer las contraseñas, especialmente cuando media el personal de los centros de llamadas”, explica Maler. Hay un costo real asociado a utilidades como los reseteos de contraseñas y otras funciones de gestión de acceso, y la agencia puede inspirarse en el sector minorista privado. “Los sitios web de marketing y minoristas están posibilitando cada vez más el inicio de sesión social (una forma de subcontratar identificación) para facilitar el registro en la cuenta de usuario y obtener acceso a los datos de usuario”, expone Maler. El inicio de sesión social ha sido criticado en cuanto a una supuesta falta de control y de protección de privacidad para el usuario. Esto representa un obstáculo importante para su uso por parte de los ciudadanos, como señala Maler. “La externalización de identificación de gobierno-a-ciudadano le concede gran valor a la privacidad del usuario, cubriendo las fuentes y los clientes de dichas identidades para que no se conozcan mutuamente”.
Pese a las ventajas aparentes que supone un sistema de gestión de identidad subcontratado, ninguna agencia federal de EEUU se ha comprometido oficialmente para hacer el cambio. Como apunta Maler, NSTIC pudiera jugar un rol definitorio.
“Una motivación clave en el programa original de gestión de identificación federal, credencialización y acceso promovido por NSTIC, es la eficiencia gubernamental”, dice Maler. “El programa de NSTIC toma en cuenta escenarios más amplios de gobierno-a-ciudadano, así como eficiencias del sector privado, como es un comercio en línea más seguro. De implementarse una solución conforme a NSTIC, los ahorros que implica harán que valga la pena. El informe del Instituto Nacional de Estándares y Tecnología (NIST) estima que una solución NSTIC utilizando credenciales de terceros le costaría al IRS entre $40 y $111 millones menos en su implementación que si implanta un sistema de identificación propio y gestionado por el IRS. Adicionalmente, podría ahorrar todos los años entre $2 y $19 millones. El informe de NIST revela asimismo que se producirían otros ahorros porque una solución acorde a NSTIC eliminaría la necesidad de que el IRS pague por la comprobación individual de la identidad de los usuarios. En lugar de ello, la solución NSTIC podría aceptar credenciales confiables de terceros que ya hayan sido comprobadas. Poder aprovechar la participación de terceras partes en esta forma, le permitiría al IRS distribuir los costos de comprobación entre numerosas partes que aceptarían la credencial.
La identidad federada puede resultar ya familiar para aquellos que utilizan Facebook, Google y otros sitios sociales como credenciales para registrarse en otros sitios. Pero lo que falta en esos inicios de sesión sociales es la capa adicional de seguridad que brindaría una solución tipo NSTIC, apunta Phil Sealy, analista investigador de ABI Research. Actualmente las soluciones de identificación federada, accionadas por red social, no aseguran que la identidad concuerde con su dueño, ya que un individuo único puede mantener múltiples cuentas con apareciendo como personas diferentes. Por ello es comprensible el argumento que se da para establecer un sistema de gestión de identidad más seguro y confiable, que vincule una credencial digital a cada ciudadano individual. No obstante, como señala Sealy, sigue existiendo preocupación en cuanto a la forma en que las agencias federales podrían utilizar esas credenciales.
La privacidad es entonces un criterio siempre presente y Sealy es de la opinión que la emisión de credenciales digitales de identificación para cada ciudadano va a generar preocupación, sobre todo entre los estadounidenses aún impactados por las recientes revelaciones sobre la NSA.
Con esto en mente, las iniciativas de identificación federada, en especial las adoptadas por agencias federales o de salud, han de abordarse con delicadeza y transparencia. Sealy considera que también será esencial que el público reconozca el valor que proporcionaría la identificación federada como un medio para limitar la información que el usuario comparte en un sitio web, en contraste con el abuso que podría hacerse de la tecnología.
Según el informe de ABI, la identificación federada promete mejorar la seguridad y la privacidad mediante un servicio centrado en el usuario y fácil de operar para el acceso a los servicios electrónicos de gobierno.
Pese a que este proceso aún es incipiente, ABI Research estima que en 2018 se distribuirán unas 786 millones de credenciales. Esta cifra es significativa y es por supuesto una fuerte señal de alerta para los proveedores de identificación.
Los hechos y las cifras son demasiado significativos para que incluso una gran agencia federal como es el IRS los ignore. Aparte de los beneficios complementarios que brinda la externalización de credenciales de identificación, ya de por sí tiene sentido por el incentivo financiero que conlleva.