Salte al contenido principal
US flag Un sitio oficial del Gobierno de Estados Unidos

Implementando un sistema de gestión de la identidad

¿Qué está protegiendo?

Vale la pena evaluar lo que realmente necesita antes de comenzar la implementación. No toda la información requiere un sistema de identidad para administrar el acceso. Puede proteger la privacidad de los usuarios y reducir el riesgo de seguridad en sus sistemas, evitando cualquier recopilación innecesaria de información personal identificable—incluso los detalles de contacto.

Es posible que no necesite implementar un sistema de identidad si:

  • No es necesario tener una relación continua con los usuarios.
  • Las transacciones no dependen de que la información personal sea exacta.
  • Puede contar con otras formas de seguridad.

Para responder a esto, pregunte

  • ¿Qué transacciones necesitarán los usuarios?

    ¿Serán continuas las transacciones, por ejemplo cuando los usuarios añaden a sus favoritos las solicitudes de beneficios o subvención para llenar más tarde y luego regresan repetidamente para comprobar el estado de su solicitud? ¿O será que sus usuarios regresarán una vez o infrecuentemente como cuando la gente descarga registros médicos o financieros?

  • ¿Qué tipo de información necesita para proteger a sus clientes?

    ¿Necesita el nombre completo y otra información personal para que los usuarios puedan acceder a la información privada? ¿O sólo necesita verificar que un usuario encaja en ciertas categorías como la categoría de veteranos o la categoría de jubilados?

  • ¿Qué tipo de delito se podría cometer con el acceso a esta información?

    La información que parece simple por sí misma puede ser valiosa para los estafadores y otros criminales en combinación con otra información de fácil acceso.

  • ¿Qué otras formas de seguridad están disponibles?

    Los números de rastreo postal, por ejemplo, no son secretos porque el paquete sólo se entregará a una dirección específica. La seguridad de la entrega radica en la seguridad del edificio y la conducta de la persona responsable de la entrega, no en la discreción del número en sí.

¿Qué tipos de recursos ya tiene para identificar clientes?

Es posible que su agencia ya tenga información específica de la misión y recursos que se puedan utilizar para identificar a los clientes. Al integrar los recursos que conoce y confía, puede aumentar la seguridad de la identificación.

Para responder a esto, pregunte

  • ¿Qué recursos son únicos para su agencia?

    Las interacciones confidenciales de los individuos con las agencias gubernamentales pueden generar un rastro de metadatos. Los metadatos usados cuidadosamente pueden facilitar la verificación de la identidad en base al conocimiento de esas actividades. Otras organizaciones gubernamentales sirven como repositorios autorizados de datos biométricos disponibles para uso interno. Algunas agencias pueden tener lugares para que los clientes puedan visitarlos en persona.

¿Qué es un sistema de gestión de la identidad del consumidor?

Cuando está en su casa y alguien toca la puerta es bastante fácil decidir si responder o no. Fundado en su conocimiento de quién está afuera, usted puede decidir si abre la puerta. ¿La persona que está afuera es un amigo? ¿Un repartidor de correo u otro proveedor de servicios esperado? ¿Un completo extraño? En línea la cuestión de decidir "quién está afuera" es mucho más difícil. Los sistemas de manejo de identidad del consumidor facilitan la decisión de si se abre o no la puerta y qué tanto se abre.

¿Qué es una identidad?

En el mundo de la seguridad, la "identidad" tiene un significado técnico muy específico diferente a su significado común. Una "identidad" en términos técnicos es un tipo especial de registro —una combinación de diferentes tipos de datos que en conjunto describe sólo a un usuario del sistema [NIST 800-63-3]. Esos datos pueden incluir referencias a registros gubernamentales oficiales, como números de licencia de conducir y fechas de nacimiento registradas, así como datos más mutables como emails y nombres de usuario. Los atributos físicos como las huellas dactilares y el ADN también pueden formar parte de un registro de identidad.

¿Cómo funciona el manejo de identidad y acceso?

Los administradores del sistema asignan privilegios de acceso a cada registro de identidad. Estos privilegios autorizan ciertas actividades y prohíben otras. Para "abrir la puerta" de manera seguridad, los administradores necesitan la confianza de que los usuarios que tocan la puerta son quienes dicen ser.

Para que el sistema y sus administradores tengan confianza en sus identidades, los usuarios deben probar sus identidades a través de una actividad llamada autenticación. Los usuarios se autentican presentando pruebas que se vinculan a los registros. Para ello, los usuarios primero ayudan al sistema a validar su registro, por ejemplo, escribiendo un nombre de usuario. Luego, los usuarios entregan la evidencia, a menudo las contraseñas u otra información que sólo la persona real puede saber.

¿Qué permite un registro de identidad?

Los sistemas de identidad no sólo benefician a los administradores del sistema. Los usuarios pueden realizar algunas cosas muy útiles con una identidad digital autenticada. Aquí hay una pequeña lista:

  • Llenar con anticipación formularios en línea con información verificada acelera el procesamiento de solicitudes. Hay menos esfuerzo redundante, y los usuarios no necesitan preocuparse por errores básicos.
  • Los usuarios autenticados pueden acceder y descargar sus datos del sistema, por ejemplo la actividad de su cuenta. Con una identidad legal verificada, el usuario puede acceder a registros médicos o financieros muy sensibles e incluso descargarlos.
  • Los sistemas de identidad pueden proteger su privacidad. Si debe tener 21 años o más para acceder a un servicio, puede autorizar un sistema de identidad para confirmar su edad sin compartir su fecha de nacimiento exacta.

Implementación

Recursos (los enlaces están en inglés)