Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Lectura Fundamental 1
Lectura Fundamental 1
Lectura Fundamental
Contenido
1 Introducción
2 Conceptos básicos
Palabras clave:
Identidad digital, ciclo de vida, Gestión de Identidad.
1. Introducción
Las organizaciones vienen presentando un crecimiento en el flujo de información tanto propia como
de clientes y en el uso de aplicaciones y servicios que permiten su manejo, lo cual implica implementar
mecanismos que faciliten el acceso a esta para cumplir y mejorar los niveles de operación y la
prestación del servicio. Sin embargo, en este proceso es necesario considerar que la disponibilidad
de la información debe basarse en niveles de seguridad que aseguren que se da bajo los parámetros
requeridos para protegerla de accesos y modificaciones no autorizadas.
Es necesario que los usuarios que acceden a la información puedan ser identificados de forma única,
su identidad sea validada, así como su nivel de autorización para realizar determinadas acciones sobre
la información y pueda llevarse la traza sobre esas acciones; permitiendo establecer el ambiente de
control requerido en el acceso a la información de la organización. En todo este proceso entra en
juego la Gestión de Identidad como solución para implementar los diferentes elementos que permiten
la identificación, autenticación, autorización de los usuarios y la trazabilidad de las acciones que
realizan estos sobre la información, y las aplicaciones y servicios utilizados para su manipulación.
2. Conceptos básicos
Con el fin de paso a paso comprender lo que es la gestión de identidad, vamos a revisar los conceptos
básicos que se encuentran inmersos en su definición y las relaciones que permiten relacionarlos de
cara a gestionar el acceso a la información.
La identidad se considera como el conjunto de características y/o atributos a través de los cuales se
puede identificar a un usuario/persona como individuo único entre un conjunto de usuarios/personas.
Estos atributos pueden ser de naturaleza física o lógica.
Los atributos físicos son aquellos tangibles. Pueden corresponder a elementos asignados al usuario
para identificarlo o atributos inherentes al usuario. Ejemplos de los elementos asignados son un
documento de identidad, un token, un pasaporte o una smart card. De otra parte, los atributos
inherentes al usuario son las características biométricas, tales como el iris o la huella dactilar. Los
atributos lógicos se refieren a elementos conocidos por el usuario tales como una contraseña.
POLITÉCNICO GRANCOLOMBIANO 2
Es importante considerar que, para poder dotar al usuario de una identidad, es necesario establecer
un conjunto de características/atributos que sean comparables entre un conjunto de individuos, pero
permitan distinguir a ese usuario/persona en particular. Por ejemplo, un individuo puede tener un
nombre - apellido, pero este atributo por sí solo no permite diferenciarlo necesariamente entre un
grupo de personas dado que pueden existir homónimos. Para poder diferenciarlo de otros, es necesario
adicionar uno o más atributos/características que sean comparables entre individuos pero que sean
únicos para la persona a quien se asigna. En este caso sería necesario adicionar un número de cédula, por
ejemplo, para que en conjunto (nombre y cédula) permitan identificar a la persona entre el grupo.
De forma similar en el ámbito tecnológico, a un usuario puede asignarse un nombre de usuario, sin
embargo, este atributo por sí solo no permite diferenciarlo entre un grupo de usuarios; sería necesario
agregar un atributo adicional como una contraseña para realizar la identificación.
Bien, ya hemos definido que es una identidad; ahora pasemos a definir que es la identidad digital.
Esta se refiere al grupo de atributos que nos permiten presentarnos como identidad en la red. En
otras palabras, se refiere a lo que somos en la red. Aquí podemos considerar los perfiles manejados en
redes sociales, profesionales, participación en foros, blogs, portales de otra índole, manejo de servicios
electrónicos (correo electrónico, mensajería instantánea), entre otros. Todo lo realizado en la red
define nuestra identidad digital. Es importante considerar que para hablar de identidad digital no solo
hablamos del entorno externo a la organización, nos podemos referir en igual medida a los límites del
entorno organizacional (la red interna) donde a partir de un nombre de usuario junto a otros atributos
tales como la contraseña, un nombre personal, un número de cédula, entre otros, nos identificamos
en la organización.
Durante el desarrollo del módulo iremos revisando los diferentes elementos a considerar con relación
a cómo gestionar la identidad digital.
¿Sabía qué...?
La identidad digital de un individuo o una organización al ser una representación
de la identidad en la red implica generar una reputación en línea u online a partir
de lo que dice (la identidad) y lo que dicen de esta en la red.
POLITÉCNICO GRANCOLOMBIANO 3
2.2. Gestión de Identidad
Como lo veremos en el escenario dos del módulo, la gestión de identidad incluye los procesos de
identificación, autenticación, autorización y trazabilidad. Estos procesos permiten gestionar al usuario
(la identidad), su ciclo de vida y los accesos que tiene sobre los recursos.
La gestión de identidad involucra tecnologías, infraestructura y medidas administrativas que van desde el
control de acceso, la administración de contraseñas y cuentas de usuario, inicio de sesión único (single
sign-on), gestión de permisos de cuentas de usuario, auditoría y supervisión de todo el proceso.
En síntesis...
La gestión de identidad es el conjunto de procesos que permiten identificar,
autenticar, autorizar y llevar seguimiento (trazabilidad) de las actividades de
un usuario reconocido de forma única (la identidad) en una organización.
En el desarrollo de la unidad uno, veremos los conceptos relacionados con la gestión de identidad y
cuáles pueden ser las ventajas y problemas de su implementación en una organización. Es importante
siempre considerar que esto dependerá del tipo de organización, su estructura, características y
cultura organizacional, así como de los aspectos tecnológicos bajo los cuales opera.
POLITÉCNICO GRANCOLOMBIANO 4
La importancia de controlar el acceso a la información y a los recursos del negocio se debe a las
diferentes formas en que los usuarios acceden a los mismos - lectura, escritura, privilegios avanzados
entre otros. No todos los usuarios requieren conocen la totalidad de la información, entrar a
modificarla o eliminarla, de forma similar, no todos los usuarios requieren tener acceso a todos los
recursos - aplicativos, servicios electrónicos, locaciones dentro de la organización, entre otros; solo
necesitan conocer y acceder a lo que necesitan para el desarrollo de las labores que les son asignadas.
En la unidad dos, hablaremos con detalle del control de acceso, los modelos bajo los cuales se puede
implementar y los aspectos para tener en cuenta en su implementación frente a la gestión de identidad.
Los procesos que entran en juego cuando hablamos de gestionar la identidad son:
• Trazabilidad: Por último, está la trazabilidad (accountability) que permite realizar el seguimiento o
monitoreo a las actividades realizadas por las identidades frente a los recursos a los cuales tienen
POLITÉCNICO GRANCOLOMBIANO 5
o no acceso (lo anterior a modo de auditoría). De esta forma se puede identificar quien intentó
acceder a que información o recurso y si el acceso fue denegado o concedido.
En síntesis...
Figura 1. Síntesis
Fuente: Elaboración propia (2018)
¹ RADIUS - Remote Authentication Dial-In User Service. Para más información está RFC 2138 https://tools.ietf.org/html/rfc2138
² TACACs - Terminal Access Controller Access Control System. Para más información está RFC 1492 https://tools.ietf.org/html/rfc1492
³ DIAMETER. Para más información está RFC 6733 https://tools.ietf.org/html/rfc6733
POLITÉCNICO GRANCOLOMBIANO 6
2.5. Gestión de contraseñas y gestión de usuarios
La gestión de contraseñas considera las actividades para crear, modificar y eliminar las contraseñas
o claves asignadas o asociadas a una cuenta de usuario a partir de un esquema de lineamientos
y políticas de administración. Esta se considera como parte de los procesos que se administran
en el ciclo de vida de la identidad, así como también la gestión de usuarios. Sobre este concepto
revisaremos más en la unidad dos, donde estudiaremos el proceso de autenticación.
La gestión de usuarios de forma similar a la gestión de contraseñas contempla las actividades para
crear, modificar y eliminar los usuarios. Aquí es importante dado que al momento de dotar de
características y atributos que distinguen al usuario de forma única, entramos a gestionar identidades,
que son creadas, modificadas y dadas de baja.
El ciclo de vida de la identidad considera tres etapas principales que corresponden a la creación,
modificación y baja. Estas son explicadas a continuación.
Este proceso corresponde a la creación de la identidad del usuario previo a que pueda acceder a los
recursos. Implica el aprovisionamiento de los atributos descriptivos del usuario (la identidad) y la
asignación de un factor de autenticación, por ejemplo, una contraseña. Aquí entra en juego la gestión
de contraseñas.
Algunos atributos o características que pueden tomarse como referencia para realizar el
aprovisionamiento de la identidad son:
• Un nombre de usuario
• Un número de cuenta
• Un código de usuario
POLITÉCNICO GRANCOLOMBIANO 7
• Nombres y apellidos del usuario
• La huella dactilar
• El iris
• La firma manuscrita
La creación de una identidad solo puede ser solicitada y autorizada por roles específicos que
cuenten con los privilegios para su solicitud. En cualquiera de los casos, la identidad que requiere la
identificación acude a quien desempeñe el rol de gestor de identidades y proporcionará la información
básica necesaria para la creación. El proceso de alta puede ser dado de forma presencial o no
presencial. Ante este último caso, la obtención de la información básica puede darse por correo
electrónico, vía telefónica o confirmación de datos a través de algún sistema.
3.2. Modificación
Una vez una identidad ha sido creada, es posible concederles permisos y privilegios a diferentes
recursos de la organización, esto a través de los requerimientos de recursos (solicitudes) y los roles
que hayan sido definidos para el usuario.
Es posible que una identidad cuente inicialmente con un grupo de accesos, pero por cambio de roles,
funciones o nuevas asignaciones sea necesario realizar cambios sobre sus privilegios (adicionar o
eliminar privilegios). En tal caso una buena herramienta para llevar control sobre esta gestión es el
desarrollo de una matriz de roles y perfiles. Los conceptos de roles y perfiles los revisaremos de forma
posterior en el desarrollo del módulo.
Las modificaciones también pueden estar relacionadas con cambios en los atributos/características
utilizados en el aprovisionamiento. Un código de usuario o el factor biométrico utilizado pueden
cambiar (los códigos de usuario dado por cambios en la organización y el factor biométrico por la
pérdida de un miembro del cuerpo). Esto debe ser reflejado en el conjunto de atributos que utilizamos
para la identidad.
POLITÉCNICO GRANCOLOMBIANO 8
De igual forma, ante eventos de ausencia de la identidad por causas diferentes al retiro, por
ejemplo, vacaciones, incapacidad, licencias no remuneradas, entre otros; es necesario realizar la
modificación sobre los accesos (bloqueo o inactivación temporal) con lo que cuenta de tal forma que
se salvaguarde el acceso a los recursos de forma no autorizada valiéndose de cuentas de identidades
cuyo estado sean estos casos de ausencias temporales.
Esta es la última etapa o fase del ciclo de vida de la identidad, y es aquí donde se deshabilitan los
accesos del usuario. Este punto se da cuando la relación entre el usuario (la identidad) y la organización
ha finalizado. Aquí tanto los accesos como la identidad deben ser deshabilitados o bloqueados. Es
importante considerar, que, aunque los accesos sean deshabilitados y los usuarios bloqueados o retirados
de los sistemas es importante manejar registros que permitan ver la trazabilidad como constancia de las
actividades realizadas por el usuario. La vigencia de los registros puede variar de acuerdo con el tipo de
actividad que desarrolle la organización o a la regulación a la cual se sujete. Esto hace parte de lo que se
encarga la gestión de usuario, el crear, modificar y eliminar los usuarios.
Los activos de información pueden estar en un repositorio por lo cual hemos de considerar las
medidas de protección para su almacenamiento (ejemplo, un repositorio tal como una base de
datos con información de usuarios o clientes) e igual encontrarse en tránsito, por lo cual hemos de
considerar las medidas de protección para su transporte (por ejemplo, documentos digitales viajando
a través de servicios de correo electrónico).
Si analizamos esto en correspondencia con la identidad digital, encontramos que esta al ser un
conjunto de elementos (atributos/características) en el fondo son datos e información. Si pensamos
en un conjunto de atributos donde tenemos un nombre, un ID de identificación y un rasgo biométrico
POLITÉCNICO GRANCOLOMBIANO 9
como la huella dactilar, lo que tenemos ahí es un conjunto de unos y ceros que en conjunto
representan a una persona. Esos datos estarán almacenados en un repositorio o una base de datos y
ante determinadas circunstancias viajaran a través de un medio, por ejemplo, cuando la persona se
autentica con su huella dactilar, los rasgos biométricos de su huella son capturados, transformados
por funciones matemáticas, convertidos en código binario y contrastados contra los datos guardados
en el repositorio central de rasgos.
La identidad de los usuarios es de vital importancia dado que es utilizada para visualizar, acceder
y modificar la información de la organización. De igual forma, considerando que la identidad se
construye a partir de atributos/características, propios del usuario (incluyendo datos personales que
pueden incluir datos catalogados como sensibles, ejemplo, el caso de la información biométrica);
es que podemos llegar a considerar la identidad como un activo de la información, siendo un
conjunto de datos que tiene significado e importancia para la organización.
Se deben establecer los mecanismos necesarios para salvaguardar esta información, hacer uso de la
administración eficiente de las identidades, verificar el ciclo de vida de cada identidad y concientizar
a los usuarios de la importancia de mantener las credenciales de acceso a los diferentes sistemas de
manera controlada y responsable.
• La administración de la identidad puede estar a cargo del área de tecnología quien puede
gestionar los usuarios.
• La administración de los privilegios y permisos puede estar a cargo del área de riesgos o
seguridad de la información.
• El área de auditoría, valida la implementación de los controles de acceso y los controles para
gestionar usuarios. Por temas de regulación y cumplimento de leyes es necesario contar con la
trazabilidad de las acciones de los usuarios dentro de la organización y realizar seguimiento de
comportamientos sospechosos o intentos de acceso fallidos.
• El área de recursos humanos es el primer frente para solicitar la creación de nuevos usuarios en la
organización, así como la eliminación del mismo cuando el empleado deja de laborar. Por tanto, la
interacción entre el área de recursos humanos con las áreas de TI y Seguridad, específicamente
con los administradores de usuarios y aplicaciones ayuda a cerrar las brechas de seguridad que se
puedan presentar al mantener accesos a empleados que no pertenecen a la organización.
POLITÉCNICO GRANCOLOMBIANO 10
Cómo mejorar...
Actualmente se han venido presentando un mayor número de brechas
relacionadas con fuga o robo de información de usuarios y clientes de
diversas organizaciones. Venimos escuchando sobre divulgación no
autorizada de información de cuentas de usuarios donde se almacenan
datos que identifican a los usuarios y/o clientes y contienen información
de factores de autenticación utilizados por estos para acceder a servicios.
Lo importante es identificar esta información, tratarla como un activo
de información y dotarla de los mecanismos de protección necesarios
para protegerla de ataques que den lugar a la materialización de riesgos
e impactos negativos para la organización asociados a reputación,
normatividad y pérdidas económicas por posibles demandas.
Si consideramos la identidad como un activo de información, podemos aplicar los mismos principios
de la seguridad de la información aplicables a los activos de información.
POLITÉCNICO GRANCOLOMBIANO 11
Datos personales que pueden ser utilizados como elementos de identificación, cuentan con un
mayor grado de criticidad y responsabilidad a la hora de hablar sobre confidencialidad, debido a
que tienen aspectos normativos asociados.
»» Disponibilidad: Proteger la información de las identidades con el fin de asegurar que contamos
con la base de usuarios y credenciales de autenticación disponibles en el momento que se
requiera autenticar o autorizar el acceso de un usuario a un recurso. Si esta información no
está disponible puede impactar los procesos operativos del negocio y causar interrupción en la
prestación del servicio.
POLITÉCNICO GRANCOLOMBIANO 12
Referencias bibliográficas
University de Minnesota (1993). RFC 2138 - Remote Authentication Dial In User Service
(RADIUS). Recuperado de: https://tools.ietf.org/html/rfc2138
University de Minnesota (1993). RFC 1492 - An Access Control Protocol, Sometimes Called
TACACS. Recuperado de https://tools.ietf.org/html/rfc1492
Fajardo, Arkko & Loughney (2012). RFC 6733 - Diameter Base Protocol. Recuperado de: https://
tools.ietf.org/html/rfc6733
POLITÉCNICO GRANCOLOMBIANO 13
INFORMACIÓN TÉCNICA
POLITÉCNICO GRANCOLOMBIANO 14