RESUMEN
La seguridad y la confianza desempeñan un papel
importante en la emergente sociedad mundial de la información. Siendo
un elemento importante para establecer la confianza en la dinámica
infraestructura de las tecnologías de la información y la comunicación
(TIC), la gestión de la identidad es necesaria para controlar el
acceso a instalaciones y servicios a fin de proteger datos personales,
realizar transacciones en línea y cumplir con requerimientos de índole
jurídica y regulatoria. Por esta razón, existe una amplia gama de
aplicaciones para la gestión de la identidad (IdM) para segmentos de
mercado y usos específicos. Muchas de estas aplicaciones están
sumamente esparcidas y son autónomas, por lo cual es necesario
establecer un sistema confiable e interoperable para la gestión de la
identidad a escala mundial.
En este documento se presenta un resumen de los
conceptos principales asociados con la gestión de la identidad,
algunas actividades que se están llevando a cabo en torno a este tema
y se hacen recomendaciones sobre acciones que deben emprenderse en el
seno del Grupo de Trabajo sobre Tecnología del CCP.I.
1. INTRODUCCIÓN
Estamos presenciando el surgimiento de una sociedad
mundial de la información que tiene como uno de sus principios
fundamentales la posibilidad de que sus miembros se comuniquen entre
sí sin que haya obstáculos de por medio. Todos los miembros de la
sociedad son más innovadores y pueden compartir sus creaciones con
otros gracias a nuevos tipos de medios, aparatos omnipresentes y la
interconectividad en banda ancha. La sociedad mundial de la
información también está induciendo cambios importantes en la
estructura económica del mundo, los cuales permiten a las compañías
realizar sus actividades, utilizar información para tomar decisiones
importantes y lograr una ventaja competitiva. Las pequeñas y medianas
empresas (PYME) necesitan tener acceso a la sociedad mundial de la
información para poder aumentar sus ingresos y su productividad. Los
gobiernos también están aprovechando esta emergente sociedad de la
información para proporcionar servicios e información a sus
ciudadanos, para que éstos, a su vez, puedan tener acceso a sus
gobiernos.
Las tecnologías de la información y la comunicación
(TIC) son el motor de esta sociedad mundial de la información. Las TIC
y la infraestructura a ellas asociada es decisiva para la
competitividad de una nación y para el mercado mundial. La
infraestructura de las TIC también sirve de apoyo a otros elementos
importantes de la sociedad como el transporte, la energía, la
seguridad pública, las comunicaciones, etc. En lo económico y en lo
social, nuestro mundo está inextricablemente unido a las TIC.
Estamos ante una evolución de la infraestructura de
las TIC. Las redes (antes separadas) dedicadas a la transmisión de voz
y datos y otros servicios de radiodifusión, ahora convergen en una red
IP unificada, que da forma a la emergente sociedad mundial de la
información en donde todo y todos están conectados. Paradójicamente,
esta nueva red es en esencia más compleja debido al mayor número de
conexiones entre sus componentes.
La seguridad y la confianza desempeñan un papel
fundamental en la emergente sociedad mundial de la información. Por
ejemplo, los usuarios deben tener la confianza de que las
transacciones que realicen en línea, ya sea con negocios o con el
gobierno, sean seguras y confiables. Las PYME también deben tener
confianza en las transacciones electrónicas que realicen. La seguridad
y la confianza son factores todavía más importantes con el uso de los
omnipresentes aparatos inalámbricos que permiten el acceso a nuevos
medios y servicios, y con los cuales todo mundo está conectado a todo.
La seguridad en esta emergente sociedad
hiperconectada requiere, en parte, una ágil gestión de las identidades
digitales para crear confianza, proteger la información personal,
controlar el acceso a instalaciones y servicios, para realizar
transacciones en línea y para cumplir con requerimientos de índole
jurídica y regulatoria. En términos generales, la infraestructura y
servicios de TIC han evolucionado con una amplia gama de aplicaciones
para la gestión de la identidad, muchas de las cuales están muy
esparcidas y son autónomas. Se requiere establecer un conjunto de
recursos para la gestión de la identidad que sean confiables, que
puedan operar entre sí y que puedan utilizarse en todo el mundo.
En este documento se presenta un resumen de los
conceptos principales asociados a la gestión de la identidad y algunas
actividades que se están llevando a cabo en torno a este tema.
2. CONCEPTOS SOBRE GESTIÓN DE LA IDENTIDAD
La identidad puede ser considerada como un atributo
de una entidad en particular (un ser humano, una organización, un
proveedor de servicio, una aplicación, un proceso, un sensor), en un
contexto específico. Aunque el término “identidad” ha sido muy
utilizado en los documentos de normas de carácter internacional, casi
nunca se ha ofrecido una definición clara.
La UIT-T inició recientemente una actividad
relacionada con la gestión de la identidad. (Mayores detalles se
ofrecen en la Sección 3). Un objetivo de este esfuerzo es elaborar una
definición común del término “identidad” que pueda expresarse en una o
más formas a fin de que sea posible satisfacer las necesidades y
expectativas de los miembros de la UIT. En las conclusiones (en su
versión preliminar) de esta actividad se indica que la identidad, tal
como se le usa en las normas actuales, es un concepto que da lugar a
varias representaciones de una entidad en cierto punto del tiempo y
del espacio, con cierto grado de uniformidad. En el gráfico 1 se
propone una ontología del término identidad.
Gráfico 1: Ontología
del término “identidad”
[Fuente: ITU-T
Correspondence Group Report on the Definition of the
Term “Identity”, versión preliminar 0.7, 22 de febrero de 2008.]
De acuerdo con esta ontología, una entidad es una
persona física o moral, o un objeto (el que a su vez, puede ser
cualquier cosa física, un elemento de una red, un soporte lógico o un
dato). La identidad es un conjunto de representaciones que son
reivindicadas (por ejemplo, una identidad que dice “ésta es mi
identidad”) o manifestadas por una entidad. Las representaciones
pueden darse en forma física o electro-óptica, la cual puede consistir
en expresiones digitales. Existen cuatro tipos diferentes de
representaciones: identificadores, documentos de identidad, atributos
y patrones.
Los identificadores son considerados en todo el mundo
como “nombres, números, direcciones”, los cuales pueden ser bien
asignados o registrados por alguna autoridad o bien pueden ser
emitidos por la propia entidad. Los documentos de identidad son
certificados (por ejemplo, los certificados digitales regidos por la
norma UIT-T X.509) o testigos que pueden ser emitidos por una
autoridad establecida o por la misma entidad. Los atributos son
cualquier tipo de información enlazada a un identificador o documento
de identidad que está registrado o capturado en conjunción con su uso
(por ejemplo, una ubicación geoespacial, una transacción o imágenes).
Un patrón puede ser una firma si se deriva de una actividad o una
reputación si la reivindica una entidad para identificarse.
Sobre la base de esta ontología, en el Informe
preliminar del Grupo por Correspondencia de la UIT-T, el término
“identidad” se define como:
Identidad: La afirmación
o manifestación de una representación estructurada de una identidad en
forma de uno o más identificadores, documentos de identidad, atributos
o patrones. Estas representaciones pueden darse en cualquier sintaxis
o forma física o electro-óptica, y tienen asociado un indicador de
tiempo implícito o explícito y especificaciones de lugar. [Fuente:
ITU-T Correspondence Group Report on the Definition
of the Term “Identity”, versión preliminar 0.7, 22 de febrero de 2008.]
Cabe
hacer notar también que en la reunión del GANT, celebrada en diciembre
de 2007, se acordó que, para propósitos de la UIT-T, la identidad
reivindicada por una entidad representa el carácter singular de dicha
entidad en un contexto específico y no tiene como objetivo ser una
validación positiva de una persona. Los resultados recientes de las
actividades del Grupo por Correspondencia serán presentados al GANT
para su deliberación.
Asimismo, en el Informe Preliminar del Grupo por
Correspondencia se definió el término “gestión de la identidad” como:
Gestión de la identidad:
Los diferentes despliegues de prácticas y sistemas técnicos,
operativos y jurídicos utilizados en la captura estructurada,
expresión sintáctica, almacenamiento, rotulado, recuperación y
destrucción de las identidades de una entidad.
Un
gran número de asociaciones y organismos de normalización están
dedicando sus esfuerzos a establecer pautas para la gestión de la
identidad. Por lo general,
diferentes grupos crean soluciones óptimas para perspectivas y
segmentos de mercado específicos (por ejemplo, soluciones dirigidas
específicamente al usuario, a las aplicaciones –servicios de Internet
y comercio electrónico–, y a las redes).
En consecuencia, se tiene una amplia gama de soluciones basadas
en la identidad que, en última instancia, tienen que operar entre sí.
La
UIT-T realizó una encuesta sobre muchas de estas iniciativas e
identificó siete grupos de requisitos comunes para la gestión de la
identidad, a nivel mundial, aunque cada uno de ellos tenía capacidades
diversas:
1. Un
modelo común y estructurado para la gestión de la identidad y un
medio.
2. Provisión
de los servicios esenciales de identificador, documentos de
identificación, atributo y patrón, con niveles de seguridad para todas
las entidades.
3. Identificación
de recursos, servicios y federaciones fidedignas proveedoras de
identidad.
4. Interoperabilidad
entre las plataformas utilizadas para gestionar la autorización de
privilegios, proveedores de identidad y federaciones proveedoras,
incluidos los proveedores de servicios de puenteo de identidad.
5. Seguridad
y otras medidas para la reducción de las amenazas y riesgos para la
identidad, incluida la protección de los recursos de identidad y de
información que permitan la identificación de una persona.
6. Auditoría
y cumplimiento, incluidas la aplicación de reglamentos y la protección
de información que permitan identificar a una persona.
7. Utilizabilidad,
escalabilidad, desempeño, confiabilidad, disponibilidad,
internacionalización y recuperación en casos de desastre.
[Fuente: ITU-T Focus Group Identity
Management Output: Report on Requirements for Global
Interoperable Identity Management, septiembre de 2007.]
Por lo
tanto, la gestión de la identidad permite proteger la información, que
a su vez permite un acceso controlado, seguro y confiable. La gestión
de la identidad brinda apoyo a un gran número de servicios basados en
la identidad, entre los que se incluye la publicidad selectiva, los
servicios personalizados basados en la ubicación geográfica y los
intereses y los servicios autenticados destinados a disminuir el
fraude y el robo de identidad. Un sistema confiable e interoperable
para la gestión de la identidad a escala mundial es una meta que
ayudará a satisfacer las necesidades de la infraestructura y servicios
TIC dinámicos e hiperconectados.
3. ACTIVIDADES
RELACIONADAS CON LA GESTIÓN DE LA IDENTIDAD
Como se indicó anteriormente, hay muchas actividades
que se relacionan con la normalización de la gestión de la identidad.
A continuación se presenta, en tres categorías, una lista no
exhaustiva de estas actividades:
-
Organismos y entidades similares de normalización: organismos
dedicados al establecimiento de normas de jure o de facto, como la
UIT-T, la alianza para el proyecto 3GPP, las comunidades abiertas de
larga experiencia como el grupo IETF y el Liberty Alliance Project.
-
Actividades de investigación destinadas al desarrollo de tecnologías
para la gestión de la identidad.
-
Otras actividades relacionadas con la gestión de la identidad, entre
las que se incluyen proyectos de código fuente abierto y grupos para
la defensa de intereses particulares.
-
En el proyecto 3GPP se han elaborado especificaciones relacionadas
con la gestión de suscripciones;
-
El Packet Technologies and Systems Committee (PTSC) de la ATIS
realiza estudios sobre la gestión de la identidad;
-
El TIPSAN del ETSI ha elaborado especificaciones relacionadas con la
gestión de subscripciones;
-
El grupo IETF ha elaborado muchas especificaciones sobre
identificación de recursos/entidades; por ejemplo,
identificador/nombre de recurso uniforme, identificador de recurso
internacionalizado, nombre de recurso uniforme, identificador
universalmente único y mejoras a la gestión de identidad autenticada
en protocolo de inicio de sesión.
-
El Comité Conjunto Técnico 1/SC 27 de ISO/IEC (Tecnología de la
información, servicios de seguridad) ha aprobado un nuevo proyecto
para la gestión de la identidad.
-
Varias Comisiones de Estudios de la UIT-T han abordado varios
aspectos de la gestión de la identidad. La Oficina de Normalización
de las Telecomunicaciones creó recientemente la Iniciativa de
Normalización Mundial de la gestión de identidad (IdM-GSI), la cual
está dedicada a elaborar las normas detalladas necesarias para el
despliegue de capacidades para la gestión de la identidad que
permitan afirmaciones seguras y confiables sobre las identidades
digitales utilizadas en las telecomunicaciones, redes de control y
diversos servicios. Esta iniciativa, en colaboración con otros
organismos, armoniza las diferentes formas de llevar a cabo la
gestión de la identidad en el mundo entero.
-
El Liberty Alliance Project especificó una norma abierta para
identidad en red federada cuyo objetivo es apoyar los dispositivos
de red actuales y emergentes, ofreciendo una forma segura de
controlar la información sobre la identidad en formato digital.
-
La Organización para el Progreso de la Normalización de Información
Estructurada (OASIS) ha desarrollado plataformas para la gestión de
la identidad, entre las que se incluyen las siguientes: SAML (Security
Assertion Markup Language), XACML (eXtensible Access Control Markup
Language), SPML (Service Provisioning Markup Language), XRI (eXtensible
Resource Identifier) y WSS (Web Services Security).
-
La OCDE considera que la administración de la identidad en línea es
un factor que facilita la realización de transacciones electrónicas
(para las empresas y para los gobiernos) pues permite la expansión
de sistemas de información y de los límites de las redes, y aumenta
los puntos de acceso. Se realizó un taller al cual asistieron
expertos del gobierno, de la industria y de la sociedad civil para
explorar los principales retos para la gestión de la identidad
digital en cuanto a la seguridad y privacidad de la información.
-
La Open Mobile Alliance ha elaborado especificaciones relacionadas
con la gestión de la identidad, entre las que se incluye la Identity
Management Framework Requirements.
-
El World Wide Web Consortium (W3C) ha elaborado recomendaciones para
algunos aspectos XML relativos a la gestión de la identidad.
Actividades de investigación:
-
El plan de nomenclatura ARK (Archival Resource Key) tiene como
objetivo facilitar la identificación de alta calidad y persistente
de los elementos de información.
-
La Unión Europea/Comisión Europea apoya varios proyectos
relacionados con la gestión de la identidad, entre los que se
incluyen los siguientes:
-
En el marco de la Sociedad de la Información en Europa, la red
FIDIS (Future of Identity in the Information Society) está dando
forma a los requerimientos para la gestión de la identidad en el
futuro y está contribuyendo a las tecnologías e infraestructura
necesarias;
-
En el marco del proyecto GUIDE se realizan investigaciones y se
desarrolla tecnología con el objeto de crear una arquitectura
segura e interoperable para los servicios y transacciones
electrónicos de los cibergobiernos de Europa en los que se ve
involucrada la identidad.
-
El proyecto PRIME (Privacy and Identity Management for Europe)
tiene como objetivo desarrollar un prototipo funcional de un
sistema para la gestión de la identidad que permita ofrecer un
mayor nivel de privacidad.
Otras actividades relacionadas con la gestión de la identidad
-
El proyecto Higgins permitirá a los usuarios y empresas integrar
información sobre la identidad, el perfil y relaciones en gran
número de sistemas. Los sistemas existentes y nuevos, como pueden
ser directorios, espacios de colaboración y tecnologías de
comunicaciones (por ejemplo, Microsoft/IBM WS-*, LDAP, correo
electrónico, sistemas de mensajería instantánea, etc.) pueden
conectarse al proyecto Higgins a través de proveedores de contexto.
Las aplicaciones desarrolladas en torno al API del proyecto Higgins
pueden integrar virtualmente la información sobre la identidad, el
perfil y la relación entre estos sistemas heterogéneos.
-
OpenID es una aplicación de código fuente abierto para la gestión de
la identidad. Es un método sencillo para identificar a las personas,
que utiliza el mismo marco tecnológico que se utiliza para
identificar sitios de web.
-
Shibboleth es un soporte intermedio de código fuente abierto,
fundamentado en normas, que permite un SSO (Single SignOn) en
Internet dentro o fuera de una organización. Esta aplicación
implementa la aplicación SML de OASIS, lo cual permite un SSO
federado y un intercambio de atributos.
Esta
lista es sólo una muestra de las muchas actividades que se están
llevando a cabo en torno a la gestión de la identidad.
La armonización de estas diferentes metodologías y el
aprovechamiento de la investigación y experiencias constituyen un
objetivo fundamental para la comunidad internacional.
4. CONCLUSIONES Y
RECOMENDACIONES
La seguridad y la confianza desempeñan un papel
importante en la emergente sociedad mundial de la información. Siendo
un elemento importante para establecer la confianza en la dinámica
infraestructura de las tecnologías de la información y la comunicación
(TIC), la gestión de la identidad es necesaria para controlar el
acceso a instalaciones y servicios a fin de proteger datos personales,
realizar transacciones en línea y cumplir con requerimientos de índole
jurídica y regulatoria. Por esta razón existe una amplia gama de
aplicaciones para la gestión de la identidad (IdM) para segmentos de
mercado y usos específicos. Muchas
de estas aplicaciones están sumamente esparcidas y son autónomas, por
lo cual es necesario establecer un sistema confiable e interoperable
para la gestión de la identidad a escala mundial.
La UIT-T es la comunidad internacional que encabeza
los esfuerzos para armonizar las aplicaciones para la gestión de la
identidad a través de su recién creada Iniciativa de Normalización
Mundial de la gestión de identidad (IdM-GSI). Esta iniciativa también
está encaminada a elaborar las normas detalladas necesarias para el
despliegue de capacidades para la gestión de la identidad que permitan
afirmaciones seguras y confiables sobre las identidades digitales
utilizadas en las telecomunicaciones, redes de control y diversos
servicios.
Se recomienda que el Grupo de Trabajo sobre
Tecnología del CCP.I considere iniciar un estudio sobre la gestión de
la identidad en los países de la región. Además, se recomienda que el
Grupo Relator sobre Coordinación de Normas dé seguimiento a las
actividades relacionadas con la gestión de la identidad, en particular
los trabajos de la iniciativa IdM-GSI de la UIT-T, con miras a
proponer un Documento de Coordinación de Normas cuando lo considere
pertinente.
5. DOCUMENTOS DE REFERENCIA
[1] ITU-T Correspondence Group
Report on the Definition of the Term “Identity”, versión
preliminar 0.7, 22 de febrero de 2008.
[2] ITU-T Focus Group Identity Management Output: Report on
Requirements for Global Interoperable Identity Management,
septiembre de 2007.
[3] ITU-T Focus Group Identity Management Output:
Report on Identity Management Ecosystem and Lexicon,
septiembre de 2007.
Oscar
Avellaneda
Gerente Senior,
Arquitecture NGN
y
Lewis
Robart
Analista Senior, IP Telecom
y Seguridad
Información adicional: Publicado como documento
CCP.I-TEL/doc. 1249/08.
|
|