Por Colin Soutar, Director Gerente, Cyber Risk, Deloitte
Fuente: Foro Económico Mundial
- Con servicios cada vez más digitales, demostrar la identidad en línea sigue siendo fundamental.
- Los casos de uso de sistemas cruzados requieren un significado común de confianza.
- Una mayor seguridad y confianza en las identidades puede incentivar una mayor participación.
Cuando viajamos a través de aeropuertos con pasaportes que nos permiten ingresar a países, a veces es fácil olvidar todos los pasos subyacentes que fueron necesarios para establecer la confianza entre los países emisores y receptores. Como mínimo, existe la definición de estandarización internacional de una “expresión neutral” para el software de reconocimiento facial; la zona legible por máquina del pasaporte que contiene nuestra información biográfica; las características de la interfaz del chip integrado; y, lo más importante, los procesos utilizados para probar inicialmente la identidad del propietario y sus derechos sobre el pasaporte, y los pasos de autenticación posteriores utilizados para verificar que de hecho es el que presenta el pasaporte en los aeropuertos y fronteras.
Así como un pasaporte físico facilita el movimiento, imagine la conveniencia de tener su propio “pasaporte” de identidad digital que puede presentar cada vez que desee acceder a un nuevo servicio en línea, sin proporcionar toda la información personal habitual y sin crear una contraseña de nombre de usuario, y otros factores de autenticación. Pero mientras que el mundo en línea, cada vez más omnipresente debido a la pandemia global, no requiere ningún documento físico estandarizado, la verificación de identidad y la autenticación se están volviendo inexorablemente más complejas a medida que los usuarios intentan acceder a una amplia gama de servicios y beneficios sin ningún tipo de información directa e indirecta interacción de la persona. Para transacciones de un solo propósito, ya sea en los sectores comerciales o gubernamentales, las soluciones de identidad autónomas son hoy en día a menudo robustas y fáciles de usar.
¿Por qué es tan difícil? En el centro del desafío se encuentran dos importantes consideraciones interrelacionadas: la confianza y los incentivos. Con los documentos de viaje, un país emisor tiene el incentivo de permitir que sus ciudadanos viajen a otros países, y ambos países han acordado las condiciones operativas del pasaporte, por lo que existe una confianza mutua. Asegurar el ecosistema de identidad digital es importante porque puede ayudar a sentar las bases de dicha confianza en línea: entre los proveedores de servicios, los servicios de identidad y, lo que es más importante, los usuarios que impulsarán los motores transaccionales comerciales y gubernamentales.
Sin embargo, esta confianza debe estar alineada con incentivos para las distintas partes. Por ejemplo, los usuarios que administran y reutilizan sus credenciales de identidad, como pasaportes, probablemente se verían incentivados para impulsar un mayor crecimiento económico en línea debido a una mayor comodidad y confianza. Además, si se incentiva a los proveedores de identidad comercial a permitir que los usuarios reutilicen las credenciales para acceder a una multitud de servicios, eso ayuda a limitar la cantidad de información personal en línea duplicada e innecesaria que los consumidores deben proporcionar. Esto significaría superar cualquier problema de responsabilidad entre las partes o la tendencia natural de las organizaciones a querer retener información sobre su base de clientes para su uso exclusivo.
Si bien todavía queda mucho trabajo por hacer en torno a estas consideraciones, el aspecto de la confianza internacional de la identidad digital está madurando rápidamente. Basado en programas de apoyo en organizaciones gubernamentales y comerciales durante más de una década, Deloitte articuló recientemente cuatro principios específicos que son importantes para lograr transacciones en línea más amplias, sólidas y convenientes :
- Las soluciones de identidad digital deben ser portátiles y controladas por el usuario. Esto significa que los ciudadanos y los consumidores pueden acceder fácilmente a muchos servicios en línea con la misma identidad digital segura y no tener que crear varios servicios diferentes para cada servicio.
- Los servicios de identidad digital deben ser flexibles y adaptables. Los servicios deben respaldar la integración rápida de diferentes dispositivos de usuario final y mecanismos de autenticación, como tecnologías biométricas y soluciones de baja fricción como análisis de comportamiento, basadas en tecnologías en evolución y el entorno cambiante de amenazas.
- Es probable que surja un ecosistema de identidad digital más amplio donde se consume información verificada. Por ejemplo, un ciudadano puede establecer una reputación de confianza en torno a su identidad digital que luego se puede utilizar para publicar información en línea o recibir alertas de amenazas, como direcciones de correo electrónico comprometidas u otra información que pueda compartirse entre organizaciones en el ecosistema.
- Los sistemas de identidad digital sólidos deberían permitir la confianza bidireccional. Es decir, los gobiernos deben saber que los ciudadanos autorizados acceden a los servicios y la información. Pero los ciudadanos también deben confiar en que están interactuando con un servicio legítimo, que su información personal estará protegida y que pueden acceder a los servicios de manera eficiente.
Como se señaló, la confianza debe extenderse a toda la gama de proveedores de identidad y servicios en el ecosistema de identidad. Aunque existen herramientas de federación que ayudan con la interoperabilidad técnica (es decir, ¿tiene sentido el formato de los datos?), todavía queda una brecha en la definición de las “reglas del camino” que pueden cuantificar la confianza incorporada en una credencial de identidad: es decir, ¿Estamos realmente seguros de que la persona que presenta la credencial es quien dice ser?
Con respecto a los incentivos, existe la posibilidad de compartir datos entre los participantes dentro de un ecosistema de identidad digital. Dichos datos podrían incluir señales de amenazas compartidas, información sobre nuevas vulnerabilidades, perfiles de actores de amenazas emergentes e información amplia que ayude a desbloquear las capacidades de seguridad de todo el ecosistema de identidad en apoyo de transacciones confiables. Esto permitiría a los gobiernos y las organizaciones comerciales implementar un enfoque en capas que ajusta dinámicamente los controles de seguridad en función del riesgo situacional y transaccional conocido actual. También permitiría a todos los participantes del ecosistema de identidad digital más amplio tener más confianza en los datos de los que dependen y, por lo tanto, alentaría a un conjunto más rico de participantes.
Con la pandemia obligando a una mayor interacción en línea, es probable que persista una sociedad más virtual más allá de la crisis. Como tal, se necesitará un ecosistema de identidad digital dinámico y cohesivo para permitir que los ciudadanos y consumidores naveguen en línea de manera más eficiente y conveniente, mientras que los gobiernos y las organizaciones comerciales obtienen la seguridad que necesitan para determinar que los beneficios y servicios van a las personas correctas. Esta sociedad virtual tendrá muchas circunstancias diversas, con casos de uso que abarcan una amplia gama de requisitos para las identidades digitales. Pero es fundamental lograr el grado adecuado de confianza e incentivos que infundirán al usuario la confianza necesaria para impulsar el crecimiento económico en los próximos años.
Escrito por Colin Soutar , director gerente, Cyber Risk, Deloitte
Las opiniones expresadas en este artículo pertenecen únicamente al autor y no al Foro Económico Mundial.