No hace mucho tiempo, la mayoría de las empresas sabían que había conexiones limitadas de puertos a la red de equipos de la empresa; por ejemplo, una cantidad determinada de VPN y conexiones telefónicas. Hoy en día, el perímetro físico de una red ya no está delimitado por los dispositivos de red. Por el contrario, son las personas que utilizan dicha red quienes delimitan el nuevo perímetro, es decir, los empleados, los clientes, los usuarios invitados y los partners.
En la reciente conferencia RSA 2007, el Presidente y CEO de Symantec, John Thompson, fue directo: "Durante el último año, hemos visto muchos cambios críticos en la evolución de la seguridad. En la actualidad, el campo de batalla para la seguridad no es sólo el dispositivo. También se trata de proteger la información que se comparte y las interacciones que se producen en línea. Hoy, el perímetro de la red puede restringirse. Ya no está definido por activos físicos en el centro de datos o los escritorios en la oficina. La realidad es que las personas son el nuevo perímetro".
Este artículo presenta un nuevo enfoque para la administración de riesgos: se conoce como Security 2.0 y presta especial atención a proteger la identidad de los usuarios.
Como se indicó en un reciente artículo sobre
Security 2.0, la protección de la información y la seguridad de las interacciones va más allá de la seguridad agregada. Implica productos y servicios integrados que proporcionan una visión global del nivel de seguridad de una organización. También implica soluciones que identifican los riesgos pronto de modo que se puedan llevar a cabo los pasos necesarios para mitigarlos y prevenir ataques. Conlleva, además, brindar a los clientes la posibilidad de administrar sus sucesos de seguridad, independientemente de los productos que ya tengan instalados.
Una las piedras angulares de Security 2.0 es la protección de la identidad, lo que John Thompson dio en llamar "el desafío más prioritario que afronta el sector [de la seguridad] en la actualidad."
"En las empresas, la implementación de los sistemas de administración de la identidad se ha detenido", dijo Thompson a los presentes en RSA 2007. "Pero los cambios en los requisitos de la administración corporativa y otras iniciativas normativas harán que las empresas vuelvan a iniciar estos proyectos. Parte de esto significará ampliar la administración de la identidad más allá de la empresa, hasta los clientes, partners y distribuidores con los que interactúa".
Una mirada a los recientes sucesos recalca el punto de vista de Thompson. Una situación que resulte en la fuga de información personal puede provocar una pérdida devastadora de la confianza pública y ocasionar responsabilidades legales y litios costosos. Considere la experiencia del gigante minorista TJX. La empresa tenía alrededor de 50 millones de tarjetas de crédito y débito que fueron robadas por hackers que accedieron a los equipos de TJX durante años. Se ha convertido en la infracción más grande de datos personales que se conoce.
El hecho es que el paradigma ya no es el mismo cuando se trata de la seguridad. Las empresas ahora tienen la responsabilidad de proteger a las personas que se conectan a su red, independientemente de si son empleados, clientes o partners. Las empresas tienen que asumir que no están protegidas, tienen que ofrecer la seguridad que les permita interactuar de manera segura y deben tener confianza en las interacciones en línea.
“La aceptación de la responsabilidad que implica el acceso a su red de un dispositivo, que no le pertenece o no administra, es un concepto radicalmente nuevo en nuestro mundo", dijo Thompson.
No poder abordar este nuevo paradigma de seguridad no es una opción. De acuerdo con un estudio de Gartner y Cyber Security Industry Alliance, un 53% de los usuarios de Internet ha dejado de proporcionar información personal a sitios Web por miedo al robo de identidad, y un 14% ha dejado de pagar facturas en línea.
El potencial de aplicaciones y servicios en línea construidos sobre la base de una identidad sólida casi no tiene límites. A pesar de que el comercio acapara mucha atención, las tecnologías de comunicación como el correo electrónico y la mensajería instantánea también pueden mejorarse significativamente si se protege la identidad. Además, las redes sociales, los controles para padres, los sistemas de reducción de riesgos y fraude, la administración de derechos digitales y los archivos compartidos pueden beneficiarse ampliamente de los emergentes sistemas de protección de la identidad. Es evidente que la identidad digital es un elemento fundamental en la evolución de la experiencia en línea del futuro. Y la disponibilidad de las sólidas soluciones de protección de la identidad es la clave para la adopción de los nuevos servicios del mañana.
A pesar de que la seguridad no es el objetivo principal de la administración de la identidad, se ha denominado como el "prerrequisito fundacional" para usar los nuevos servicios en línea y confiar en ellos. El objetivo principal es inspirar confianza en las funcionalidades nuevas que los servicios de identidad habilitan. Para tener éxito, la base de la seguridad debe proteger la privacidad del usuario, brindar una verificación de la identidad confiable y hacer posible una confianza bidireccional. La privacidad es clave. Para que los usuarios quieran participar en dicho sistema, deben estar seguros de que se protegerá su privacidad y no se divulgará información sobre su identidad sin su consentimiento. También deben estar seguros de que su información estará protegida de la manera adecuada y no se divulgará a terceros. Por último, las personas involucradas en transacciones relacionadas con la identidad requieren de un medio por el que puedan determinar si pueden confiar en las otras personas. Un sistema debe proporcionar estas capacidades como base antes de construir servicios de alto nivel en los que se proporcionan datos de identidad.
Las empresas que ofrecen una experiencia segura a los usuarios finales, independientemente de si son partners, proveedores o clientes, no sólo reducirán los riesgos sino que también crearán una ventaja competitiva para sus empresas. Con identidades y transacciones más seguras, las empresas podrán retener a los clientes y reducir sus propios riesgos de fraude. El objetivo principal de Security 2.0 es la protección de los usuarios, independientemente del dispositivo que usen, la transacción en línea que realicen o la amenaza que afronten.
Technorati
Meneame
Digg
Delicious
Blinklist
Fresqui
MySpace
Facebook
Buzz
Google
