Desafortunadamente, no podemos cuantificar la confiabilidad de un sistema, método o técnica, por mucho que existan distintas herramientas las cuales intentan darnos esa seguridad, nosotros lo único que podemos hacer es tratar de cuantificar el riesgo y equilibrarlo. Las empresas han estado analizando el riesgo durante años, y para ello se deben tener varios conocimientos sobre la misma, como por ejemplo, un resumen detallado del sistema, evaluaciones de la interacción requerida con los socios y su capacidad para realizar las tareas. Lo importante es cuantificar las pérdidas potenciales y sus probabilidades a un nivel de detalle que depende de la madurez de la infraestructura de identidad. Por lo que, con todo esto estamos hablando de una auditoría exhaustiva que nos ayude a mitigar esos riesgos de los que hablábamos en las publicaciones anteriores. [1]
Tanto las personas como las organizaciones deben tomar el control de su gestión de identidad, de forma que mejoren su seguridad y privacidad. Para ello pueden llevar a cabo una serie de estrategias:
- Una auditoría de identidad personal para comprender donde acaba su huella digital, si cualquiera puede acceder a ella o no, etc.
- Utilizar herramientas para mejorar la privacidad.
- Mantenerse informado como ciudadano digital sobre cómo proteger su privacidad digital.
La siguiente matriz iría relacionada con el primer punto:
Riesgos |
Controles |
Suplantación de identidad | – Conocer en detalle la forma en la que se ha dado la suplantación de identidad.
– Determinar que la organización ha definido una fuente de identidad confiable, como la base de datos de recursos humanos. |
Registro abusivo de nombre de dominio | – Verificar que la empresa cuenta con una estrategia en caso de ciber ocupación.
– Determinar que posee los recursos legales apropiados para reprimir este acto. [3] |
Ataques de denegación de servicio distribuido o ataque «DDoS» | – Determinar si se puede soportar ese tipo de ataque.
– Verificar que la empresa cuenta con una estrategia en caso de que el ataque le afecte. |
Fuga de información | – Determinar que el sistema de manejo de identidad verifica cada solicitud de una identificación nueva o modificada contra la fuente confiable.
– Determinar que las plataformas siguen la política de manejo de identidad de la organización. – Verificar que las aplicaciones heredadas que no se adhieren a la política de manejo de la identidad hayan sido formalmente aprobadas por un ejecutivo de TI en un nivel superior apropiado. – Determinar si un marco de gestión de seguridad apropiado, como ISO / IEC 27002 o la serie NIST 800, se utilizará como referencia de buenas prácticas. [4] |
Publicaciones por terceros de informaciones negativas
|
– Determinar por qué han ocurrido esas publicaciones.
– Determinar si existe una estrategia alternativa que solucione esa información negativa. |
Utilización no consentida de derechos de propiedad industrial | – Comprobar que la organización conoce los métodos legales y que puede aplicarlos para evitar esa utilización no consentida. |
Me parece interesante comentaros, con respecto al segundo punto, algo que he estado leyendo: La Estrategia Nacional para Identidades de Confianza en el Ciberespacio (NSTIC). Se trata de una organización que describe una visión del futuro, un Ecosistema de Identidad, donde individuos, empresas y otras organizaciones (comunidades) disfrutan de mayor confianza y seguridad mientras realizan transacciones confidenciales en línea. Y os preguntareis, pero ¿de qué se trata? Pues bien, es un entorno en el cual las tecnologías, las políticas y los estándares están acordados de manera que respaldan todas las transacciones (desde las que van de valores anónimos hasta totalmente autenticados, de altos a bajos). Los componentes de este ecosistema de identidad son los siguientes:
- El Marco del Ecosistema de Identidad (Identity Ecosystem Framework – IDEF) es el conjunto general de estándares de interoperabilidad, modelos de riesgo, políticas de privacidad y responsabilidad, requisitos y mecanismos de responsabilidad que estructuran el ecosistema de identidad.
- El Servicio de Listado de Autoevaluación de IDEF (Self-Assessment Listing Service – SALS) está diseñado para generar confianza en línea. Se trata de una página web donde los proveedores de servicios de identidad en línea y las aplicaciones que autentican las credenciales pueden informar sobre su estado mediante una autoevaluación con un conjunto de estándares comunes.
- El Grupo Directivo del Ecosistema de Identidad (Identity Ecosystem Steering Group – IDESG) administra el desarrollo de políticas, estándares y procesos de acreditación para el IDEF de acuerdo con los Principios Rectores en la Estrategia. El IDESG también asegura que las autoridades de acreditación validen la adherencia de los participantes a los requisitos del IDEF.
- Los marcos de confianza son desarrollados por una comunidad cuyos miembros tienen metas y perspectivas similares, como los Pilotos NSTIC. Un marco de confianza define los derechos y las responsabilidades de los participantes de esa comunidad, especifica las políticas y estándares específicos de la comunidad y define los procesos y procedimientos específicos de la comunidad que brindan seguridad. Un marco de confianza debe abordar el nivel de riesgo asociado con los tipos de transacción de sus participantes. Para ser parte del Ecosistema de Identidad, todos los marcos de confianza deben cumplir con los estándares de referencia establecidos por el IDEF.
- Las autoridades de acreditación evalúan y validan a los proveedores de identidad, proveedores de atributos, partes confiables y medios de identidad, asegurando que todos se adhieran a un marco de confianza acordado. Las autoridades de acreditación pueden emitir marcas de confianza a los participantes que validan.
- Los esquemas de marca de confianza son la combinación de criterios que se miden para determinar el cumplimiento del proveedor de servicios con el IDEF. El IDEF proporciona un conjunto básico de estándares y políticas que se aplican a todos los marcos de confianza participantes. Esta línea de base es más permisiva en los niveles más bajos de seguridad, para garantizar que no sirva como una barrera indebida a la entrada, y más detallada en niveles más altos de seguridad, para garantizar que los requisitos estén alineados con el riesgo de cualquier transacción dada. [2]
Por último, con respecto al tercer y último punto de estas posibles estrategias a seguir, os invito a que accedáis al Instituto Nacional de Ciberseguridad de España, y os leáis la guía de aproximación para el empresario sobre Ciberseguridad en la identidad digital y la reputación online. En ella encontramos, entre otras cosas, nuestro derecho (marco legal) y unas recomendaciones para la gestión de la identidad digital y la reputación online. Además, también me ha parecido interesante una página web del Gobierno de Australia (https://esafety.gov.au/) la cual se compromete a ayudar a los jóvenes a tener experiencias positivas y seguras en línea.
Por lo tanto, en algunas empresas más grandes se dispondrá de un Social Media Manager, el cual será el responsable de la identidad digital, sin embargo, en otras más pequeñas y con menos presupuesto, quizás se encargue el Community Manager. Lo que está claro es que el adecuado manejo de los riesgos, la gobernabilidad, etc. evita en gran medida esos problemas referentes a la seguridad de la identidad digital, lo cual, según empresas como Deloitte, produce mucho valor para la misma.
Referencias
[1] Phillip J. Windley (2005). <<Digital Identity: Unmasking Identity Management Architecture (IMA)>>. Acceso el 16 de noviembre de 2017, https://books.google.es/books?id=o8mHSbDHgPsC.
[2] IDESG. <<Overview>>. Acceso el 15 de noviembre de 2017, https://www.idesg.org/The-ID-Ecosystem/Overview
[3] JUS. <<Disputa de nombres de dominio>>. Acceso el 16 de noviembre de 2017, https://jus.com.br/artigos/3977/disputa-de-nombres-de-dominio
[4] ISACA. <<Identity Management Audit/Assurance Program>>. Acceso el 15 de noviembre de 2017, https://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Identity-Management-Audit-Assurance-Program.aspx
Ana Brime Aparicio
Latest posts by Ana Brime Aparicio (see all)
- Business Intelligence - 13 enero, 2018
- La felicidad laboral - 17 diciembre, 2017
- ¿ViDChain: el futuro de la identidad digital? - 27 noviembre, 2017
Muy interesante, la última parte. Echo de menos la referencia al documento de INCIBE que es muy aclarador, sobre todo las recomendaciones. También veo que referencias un documento de ISACA para miembros ¿has visto su contenido? es interesante, seguro, en tema de controles.