Unidad 1 / Escenario 1

Lectura Fundamental

Conceptos básicos en gestión de

identidad

Contenido

1 Introducción

2 Conceptos básicos

3 Ciclo de vida de la identidad

4 La identidad entendida como un activo de información

Palabras clave:
Identidad digital, ciclo de vida, Gestión de Identidad.
1. Introducción
Las organizaciones vienen presentando un crecimiento en el flujo de información tanto propia como
de clientes y en el uso de aplicaciones y servicios que permiten su manejo, lo cual implica implementar
mecanismos que faciliten el acceso a esta para cumplir y mejorar los niveles de operación y la
prestación del servicio. Sin embargo, en este proceso es necesario considerar que la disponibilidad
de la información debe basarse en niveles de seguridad que aseguren que se da bajo los parámetros
requeridos para protegerla de accesos y modificaciones no autorizadas.

Es necesario que los usuarios que acceden a la información puedan ser identificados de forma única,
su identidad sea validada, así como su nivel de autorización para realizar determinadas acciones sobre
la información y pueda llevarse la traza sobre esas acciones; permitiendo establecer el ambiente de
control requerido en el acceso a la información de la organización. En todo este proceso entra en
juego la Gestión de Identidad como solución para implementar los diferentes elementos que permiten
la identificación, autenticación, autorización de los usuarios y la trazabilidad de las acciones que
realizan estos sobre la información, y las aplicaciones y servicios utilizados para su manipulación.

2. Conceptos básicos
Con el fin de paso a paso comprender lo que es la gestión de identidad, vamos a revisar los conceptos
básicos que se encuentran inmersos en su definición y las relaciones que permiten relacionarlos de
cara a gestionar el acceso a la información.

2.1. Identidad digital

La identidad se considera como el conjunto de características y/o atributos a través de los cuales se
puede identificar a un usuario/persona como individuo único entre un conjunto de usuarios/personas.
Estos atributos pueden ser de naturaleza física o lógica.

Los atributos físicos son aquellos tangibles. Pueden corresponder a elementos asignados al usuario
para identificarlo o atributos inherentes al usuario. Ejemplos de los elementos asignados son un
documento de identidad, un token, un pasaporte o una smart card. De otra parte, los atributos
inherentes al usuario son las características biométricas, tales como el iris o la huella dactilar. Los
atributos lógicos se refieren a elementos conocidos por el usuario tales como una contraseña.

POLITÉCNICO GRANCOLOMBIANO 2
Es importante considerar que, para poder dotar al usuario de una identidad, es necesario establecer
un conjunto de características/atributos que sean comparables entre un conjunto de individuos, pero
permitan distinguir a ese usuario/persona en particular. Por ejemplo, un individuo puede tener un
nombre - apellido, pero este atributo por sí solo no permite diferenciarlo necesariamente entre un
grupo de personas dado que pueden existir homónimos. Para poder diferenciarlo de otros, es necesario
adicionar uno o más atributos/características que sean comparables entre individuos pero que sean
únicos para la persona a quien se asigna. En este caso sería necesario adicionar un número de cédula, por
ejemplo, para que en conjunto (nombre y cédula) permitan identificar a la persona entre el grupo.

De forma similar en el ámbito tecnológico, a un usuario puede asignarse un nombre de usuario, sin
embargo, este atributo por sí solo no permite diferenciarlo entre un grupo de usuarios; sería necesario
agregar un atributo adicional como una contraseña para realizar la identificación.

Bien, ya hemos definido que es una identidad; ahora pasemos a definir que es la identidad digital.
Esta se refiere al grupo de atributos que nos permiten presentarnos como identidad en la red. En
otras palabras, se refiere a lo que somos en la red. Aquí podemos considerar los perfiles manejados en
redes sociales, profesionales, participación en foros, blogs, portales de otra índole, manejo de servicios
electrónicos (correo electrónico, mensajería instantánea), entre otros. Todo lo realizado en la red
define nuestra identidad digital. Es importante considerar que para hablar de identidad digital no solo
hablamos del entorno externo a la organización, nos podemos referir en igual medida a los límites del
entorno organizacional (la red interna) donde a partir de un nombre de usuario junto a otros atributos
tales como la contraseña, un nombre personal, un número de cédula, entre otros, nos identificamos
en la organización.

Durante el desarrollo del módulo iremos revisando los diferentes elementos a considerar con relación
a cómo gestionar la identidad digital.

¿Sabía qué...?
La identidad digital de un individuo o una organización al ser una representación
de la identidad en la red implica generar una reputación en línea u online a partir
de lo que dice (la identidad) y lo que dicen de esta en la red.

POLITÉCNICO GRANCOLOMBIANO 3
 2.2. Gestión de Identidad

Como se mencionaba en la introducción, la gestión de identidad (IdM – Identity Management o

IAM – identity Access Management por sus siglas en inglés), considera los procesos y actividades para
identificar de forma única a un usuario (asignarle una identidad), gestionar sus accesos a recursos
determinados de acuerdo con permisos/privilegios predefinidos para ese usuario.

Como lo veremos en el escenario dos del módulo, la gestión de identidad incluye los procesos de
identificación, autenticación, autorización y trazabilidad. Estos procesos permiten gestionar al usuario
(la identidad), su ciclo de vida y los accesos que tiene sobre los recursos.

La gestión de identidad involucra tecnologías, infraestructura y medidas administrativas que van desde el
control de acceso, la administración de contraseñas y cuentas de usuario, inicio de sesión único (single
sign-on), gestión de permisos de cuentas de usuario, auditoría y supervisión de todo el proceso.

En síntesis...
La gestión de identidad es el conjunto de procesos que permiten identificar,
autenticar, autorizar y llevar seguimiento (trazabilidad) de las actividades de
un usuario reconocido de forma única (la identidad) en una organización.

En el desarrollo de la unidad uno, veremos los conceptos relacionados con la gestión de identidad y
cuáles pueden ser las ventajas y problemas de su implementación en una organización. Es importante
siempre considerar que esto dependerá del tipo de organización, su estructura, características y
cultura organizacional, así como de los aspectos tecnológicos bajo los cuales opera.

2.3. Control de acceso

Es el proceso mediante el cual se concede o niega el acceso a información y recursos a un usuario a

partir de unas políticas de acceso predefinidas. Con este se busca la protección de la información y los
recursos de ingresos no autorizados.

POLITÉCNICO GRANCOLOMBIANO 4
La importancia de controlar el acceso a la información y a los recursos del negocio se debe a las
diferentes formas en que los usuarios acceden a los mismos - lectura, escritura, privilegios avanzados
entre otros. No todos los usuarios requieren conocen la totalidad de la información, entrar a
modificarla o eliminarla, de forma similar, no todos los usuarios requieren tener acceso a todos los
recursos - aplicativos, servicios electrónicos, locaciones dentro de la organización, entre otros; solo
necesitan conocer y acceder a lo que necesitan para el desarrollo de las labores que les son asignadas.

Es fundamental que como especialista de seguridad de la información reconozca e identifique que

el control de acceso trasciende el ámbito tecnológico y digital, y es necesario analizar e implementar
su aplicación en el ámbito físico. El control de acceso aplica en seguridad física, por lo cual parte de
nuestro análisis considera observar los elementos del control de acceso aplicados a la seguridad física
como una de las dimensiones de la gestión de identidad y por ende de la seguridad de la información.

En la unidad dos, hablaremos con detalle del control de acceso, los modelos bajo los cuales se puede
implementar y los aspectos para tener en cuenta en su implementación frente a la gestión de identidad.

2.4. Procesos de la gestión de identidad

Los procesos que entran en juego cuando hablamos de gestionar la identidad son:

• Identificación: Partimos de la identificación (identification) que corresponde a individualizar

a un usuario/identidad a partir de dotarlo de un conjunto de características y/o atributos que
permitan distinguirlo de otras identidades, haciéndolo ser quien es y dándole la facultad de
interactuar con otras identidades, así como acceder a recursos en su entorno.

• Autenticación: Una vez se ha identificado a la identidad el proceso bajo el cual se verifica

que es quien dice ser, se llama autenticación (authentication) y consiste en comprobar las
características o atributos utilizados para la identificación. La autenticación puede llevarse a
cabo por factores de autenticación como lo veremos de forma posterior. En la medida que los
factores de autenticación y las características para la identificación sean bien definidos aumenta
el nivel de seguridad para el acceso a los recursos únicamente por las identidades autorizadas.

• Autorización: Una vez se ha realizado la autenticación, se cuenta con la etapa de autorización

(authorization) que consiste en bajo criterios establecidos determinar los privilegios y permisos
que se darán a la identidad para acceder a los recursos.

• Trazabilidad: Por último, está la trazabilidad (accountability) que permite realizar el seguimiento o
monitoreo a las actividades realizadas por las identidades frente a los recursos a los cuales tienen

POLITÉCNICO GRANCOLOMBIANO 5
 o no acceso (lo anterior a modo de auditoría). De esta forma se puede identificar quien intentó
acceder a que información o recurso y si el acceso fue denegado o concedido.

En síntesis...

Identificación: Característica que define de forma única al individuo.

Autenticación: Validar que el usuario es quien dice ser.

Autorización: Asignar y verificar los permisos de acceso de

acuerdo a privilegios predefinidos.

Trazabilidad: Conocer qui'en accedió a qué y las modificaciones

que realizó.

Figura 1. Síntesis
Fuente: Elaboración propia (2018)

Cabe resaltar que cuando se consideran controles asociados a la autenticación, autorización y

trazabilidad, suele hablarse de métodos y tecnologías de control de acceso centralizado donde
se refieren algunos protocolos como AAA en referencia a la autenticación, autorización y
trazabilidad (referida también como auditabilidad o contabilización). Algunos de estos protocolos
son RADIUS¹ , TACACs² y Diameter³ .

¹ RADIUS - Remote Authentication Dial-In User Service. Para más información está RFC 2138 https://tools.ietf.org/html/rfc2138
² TACACs - Terminal Access Controller Access Control System. Para más información está RFC 1492 https://tools.ietf.org/html/rfc1492
³ DIAMETER. Para más información está RFC 6733 https://tools.ietf.org/html/rfc6733

POLITÉCNICO GRANCOLOMBIANO 6
 2.5. Gestión de contraseñas y gestión de usuarios

La gestión de contraseñas considera las actividades para crear, modificar y eliminar las contraseñas
o claves asignadas o asociadas a una cuenta de usuario a partir de un esquema de lineamientos
y políticas de administración. Esta se considera como parte de los procesos que se administran
en el ciclo de vida de la identidad, así como también la gestión de usuarios. Sobre este concepto
revisaremos más en la unidad dos, donde estudiaremos el proceso de autenticación.

La gestión de usuarios de forma similar a la gestión de contraseñas contempla las actividades para
crear, modificar y eliminar los usuarios. Aquí es importante dado que al momento de dotar de
características y atributos que distinguen al usuario de forma única, entramos a gestionar identidades,
que son creadas, modificadas y dadas de baja.

3. Ciclo de vida de la identidad

El ciclo de vida de la identidad también puede conocerse como el ciclo de gestión del usuario y
considera los procesos desde la creación, el uso y sus modificaciones, y la baja o borrado de la
identidad creada. Este se relaciona con la gestión de identidad como punto de entrada o salida frente
al acceso a recursos de la organización.

El ciclo de vida de la identidad considera tres etapas principales que corresponden a la creación,
modificación y baja. Estas son explicadas a continuación.

3.1. Creación o alta

Este proceso corresponde a la creación de la identidad del usuario previo a que pueda acceder a los
recursos. Implica el aprovisionamiento de los atributos descriptivos del usuario (la identidad) y la
asignación de un factor de autenticación, por ejemplo, una contraseña. Aquí entra en juego la gestión
de contraseñas.

Algunos atributos o características que pueden tomarse como referencia para realizar el
aprovisionamiento de la identidad son:

• Un nombre de usuario

• Un número de cuenta

• Un código de usuario

POLITÉCNICO GRANCOLOMBIANO 7
 • Nombres y apellidos del usuario

• Información de ubicación (dirección)

• Números telefónicos de contacto

• La huella dactilar

• El iris

• La firma manuscrita

• La firma digital, entre otros

• Una identificación (cédula, pasaporte)

La creación de una identidad solo puede ser solicitada y autorizada por roles específicos que
cuenten con los privilegios para su solicitud. En cualquiera de los casos, la identidad que requiere la
identificación acude a quien desempeñe el rol de gestor de identidades y proporcionará la información
básica necesaria para la creación. El proceso de alta puede ser dado de forma presencial o no
presencial. Ante este último caso, la obtención de la información básica puede darse por correo
electrónico, vía telefónica o confirmación de datos a través de algún sistema.

3.2. Modificación

Una vez una identidad ha sido creada, es posible concederles permisos y privilegios a diferentes
recursos de la organización, esto a través de los requerimientos de recursos (solicitudes) y los roles
que hayan sido definidos para el usuario.

Es posible que una identidad cuente inicialmente con un grupo de accesos, pero por cambio de roles,
funciones o nuevas asignaciones sea necesario realizar cambios sobre sus privilegios (adicionar o
eliminar privilegios). En tal caso una buena herramienta para llevar control sobre esta gestión es el
desarrollo de una matriz de roles y perfiles. Los conceptos de roles y perfiles los revisaremos de forma
posterior en el desarrollo del módulo.

Las modificaciones también pueden estar relacionadas con cambios en los atributos/características
utilizados en el aprovisionamiento. Un código de usuario o el factor biométrico utilizado pueden
cambiar (los códigos de usuario dado por cambios en la organización y el factor biométrico por la
pérdida de un miembro del cuerpo). Esto debe ser reflejado en el conjunto de atributos que utilizamos
para la identidad.

POLITÉCNICO GRANCOLOMBIANO 8
De igual forma, ante eventos de ausencia de la identidad por causas diferentes al retiro, por
ejemplo, vacaciones, incapacidad, licencias no remuneradas, entre otros; es necesario realizar la
modificación sobre los accesos (bloqueo o inactivación temporal) con lo que cuenta de tal forma que
se salvaguarde el acceso a los recursos de forma no autorizada valiéndose de cuentas de identidades
cuyo estado sean estos casos de ausencias temporales.

3.3. Baja o eliminación

Esta es la última etapa o fase del ciclo de vida de la identidad, y es aquí donde se deshabilitan los
accesos del usuario. Este punto se da cuando la relación entre el usuario (la identidad) y la organización
ha finalizado. Aquí tanto los accesos como la identidad deben ser deshabilitados o bloqueados. Es
importante considerar, que, aunque los accesos sean deshabilitados y los usuarios bloqueados o retirados
de los sistemas es importante manejar registros que permitan ver la trazabilidad como constancia de las
actividades realizadas por el usuario. La vigencia de los registros puede variar de acuerdo con el tipo de
actividad que desarrolle la organización o a la regulación a la cual se sujete. Esto hace parte de lo que se
encarga la gestión de usuario, el crear, modificar y eliminar los usuarios.

4. La identidad entendida como un activo de información

Cuando hablamos de un activo de información nos referimos a aquello que tiene valor para la
organización y más específicamente a los datos e información que tienen valor para la organización
porque le permiten operar y cumplir con sus objetivos de negocio. Parte de gestionar los activos
de información es considerar que estos tienen un ciclo de vida donde partimos de la creación o
adquisición del activo de información, consideramos las actividades de modificación sobre este y las
actividades de retiro o baja que pueden darse (la eliminación del activo de información).

Los activos de información pueden estar en un repositorio por lo cual hemos de considerar las
medidas de protección para su almacenamiento (ejemplo, un repositorio tal como una base de
datos con información de usuarios o clientes) e igual encontrarse en tránsito, por lo cual hemos de
considerar las medidas de protección para su transporte (por ejemplo, documentos digitales viajando
a través de servicios de correo electrónico).

Si analizamos esto en correspondencia con la identidad digital, encontramos que esta al ser un
conjunto de elementos (atributos/características) en el fondo son datos e información. Si pensamos
en un conjunto de atributos donde tenemos un nombre, un ID de identificación y un rasgo biométrico

POLITÉCNICO GRANCOLOMBIANO 9
como la huella dactilar, lo que tenemos ahí es un conjunto de unos y ceros que en conjunto
representan a una persona. Esos datos estarán almacenados en un repositorio o una base de datos y
ante determinadas circunstancias viajaran a través de un medio, por ejemplo, cuando la persona se
autentica con su huella dactilar, los rasgos biométricos de su huella son capturados, transformados
por funciones matemáticas, convertidos en código binario y contrastados contra los datos guardados
en el repositorio central de rasgos.

La identidad de los usuarios es de vital importancia dado que es utilizada para visualizar, acceder
y modificar la información de la organización. De igual forma, considerando que la identidad se
construye a partir de atributos/características, propios del usuario (incluyendo datos personales que
pueden incluir datos catalogados como sensibles, ejemplo, el caso de la información biométrica);
es que podemos llegar a considerar la identidad como un activo de la información, siendo un
conjunto de datos que tiene significado e importancia para la organización.

Se deben establecer los mecanismos necesarios para salvaguardar esta información, hacer uso de la
administración eficiente de las identidades, verificar el ciclo de vida de cada identidad y concientizar
a los usuarios de la importancia de mantener las credenciales de acceso a los diferentes sistemas de
manera controlada y responsable.

Diferentes áreas dentro de la organización participan en la gestión de identidad:

• La administración de la identidad puede estar a cargo del área de tecnología quien puede
gestionar los usuarios.

• La administración de los privilegios y permisos puede estar a cargo del área de riesgos o
seguridad de la información.

• El área de auditoría, valida la implementación de los controles de acceso y los controles para
gestionar usuarios. Por temas de regulación y cumplimento de leyes es necesario contar con la
trazabilidad de las acciones de los usuarios dentro de la organización y realizar seguimiento de
comportamientos sospechosos o intentos de acceso fallidos.

• El área de recursos humanos es el primer frente para solicitar la creación de nuevos usuarios en la
organización, así como la eliminación del mismo cuando el empleado deja de laborar. Por tanto, la
interacción entre el área de recursos humanos con las áreas de TI y Seguridad, específicamente
con los administradores de usuarios y aplicaciones ayuda a cerrar las brechas de seguridad que se
puedan presentar al mantener accesos a empleados que no pertenecen a la organización.

POLITÉCNICO GRANCOLOMBIANO 10
 Cómo mejorar...
Actualmente se han venido presentando un mayor número de brechas
relacionadas con fuga o robo de información de usuarios y clientes de
diversas organizaciones. Venimos escuchando sobre divulgación no
autorizada de información de cuentas de usuarios donde se almacenan
datos que identifican a los usuarios y/o clientes y contienen información
de factores de autenticación utilizados por estos para acceder a servicios.
Lo importante es identificar esta información, tratarla como un activo
de información y dotarla de los mecanismos de protección necesarios
para protegerla de ataques que den lugar a la materialización de riesgos
e impactos negativos para la organización asociados a reputación,
normatividad y pérdidas económicas por posibles demandas.

Considerando los niveles de acceso y los requerimientos de acceso a la información de las

identidades, es necesario establecer controles que permitan mitigar riesgos asociados a fuga o robo
de información así, como suplantación de identidad. En la medida que logremos explicar y establecer
que la identidad puede ser vista como un activo en la organización, es posible encontrar el apoyo y los
recursos requeridos para establecer los controles que permitan su protección.

4.1. Principios de la seguridad de la información y gestión de identidad

Si consideramos la identidad como un activo de información, podemos aplicar los mismos principios
de la seguridad de la información aplicables a los activos de información.

»» Confidencialidad: Proteger la información de la identidad de accesos no autorizados. Aquí

relacionamos riesgos como las brechas frente a fuga de información de bases de datos
empresariales donde se ha divulgado información de cuentas de usuario de clientes. La
información de los usuarios (los que consideraríamos nuestras identidades) tienen valor en el
mercado puesto que son base para ofrecer productos y servicios, y realizar fraudes.

POLITÉCNICO GRANCOLOMBIANO 11
 Datos personales que pueden ser utilizados como elementos de identificación, cuentan con un
mayor grado de criticidad y responsabilidad a la hora de hablar sobre confidencialidad, debido a
que tienen aspectos normativos asociados.

»» Integridad: Proteger la información de las identidades de modificaciones no autorizadas, que

afecten su normal funcionamiento pro ejemplo de cara al acceso a recursos. Si un permiso
es modificado, se está afectando la integridad y esto puede tener impacto de cara a otros
riesgos que afecten la confidencialidad o la disponibilidad, debido a divulgación no autorizada de
información o daño de activos de la organización por tener permisos adicionales a los autorizados
de forma inicial.

»» Disponibilidad: Proteger la información de las identidades con el fin de asegurar que contamos
con la base de usuarios y credenciales de autenticación disponibles en el momento que se
requiera autenticar o autorizar el acceso de un usuario a un recurso. Si esta información no
está disponible puede impactar los procesos operativos del negocio y causar interrupción en la
prestación del servicio.

»» No repudio: Aunque no es un principio ampliamente mencionado, es necesario establecer que

una identidad no pueda negar una acción. Esto aporta al seguimiento sobre las acciones.

»» Trazabilidad: Como ya se ha mencionado, parte importante de valor agregado por la Gestión de

Identidad es la posibilidad de implementar los mecanismos que permitan realizar seguimiento
sobre las acciones realizadas por las identidades de cara a establecer un ambiente de control en
cuanto al acceso a los recursos.

De esta forma, se integran los principios de seguridad de la información a la gestión de identidad.

POLITÉCNICO GRANCOLOMBIANO 12
Referencias bibliográficas
University de Minnesota (1993). RFC 2138 - Remote Authentication Dial In User Service
(RADIUS). Recuperado de: https://tools.ietf.org/html/rfc2138

University de Minnesota (1993). RFC 1492 - An Access Control Protocol, Sometimes Called
TACACS. Recuperado de https://tools.ietf.org/html/rfc1492

Fajardo, Arkko & Loughney (2012). RFC 6733 - Diameter Base Protocol. Recuperado de: https://
tools.ietf.org/html/rfc6733

POLITÉCNICO GRANCOLOMBIANO 13
 INFORMACIÓN TÉCNICA

Módulo: Gestión de identidad.

Unidad 1: Introducción a la gestión de identidad.
Escenario 1: Conceptos básicos en Gestión de Identidad.

Autor: Alexandra Ramírez Castro.

Asesor Pedagógico: Diana Marcela Díaz Salcedo.

Diseñador Gráfico: Jenny Alejandra Quitian Suancha.
Asistente: Ginna Paola Quiroga Espinosa.

Este material pertenece al Politécnico Grancolombiano. Por

ende, es de uso exclusivo de las Instituciones adscritas a la Red
Ilumno. Prohibida su reproducción total o parcial.

POLITÉCNICO GRANCOLOMBIANO 14