Unidad 1 / Escenario 2

Lectura Fundamental

Procesos de la gestión de identidad

Contenido

1 Procesos de la gestión de identidad

2 Ventajas y problemas de la gestión de identidad

3 Identificación – Mecanismos de identificación

Palabras clave:
Identificación, autenticación, autorización, trazabilidad, mecanismos de identificación.
1. Procesos de la Gestión de Identidad

Como veíamos en la primera lectura fundamental sobre Conceptos básicos en gestión de identidad,
contamos con cuatro procesos que nos permiten gestionar o administrar el ciclo de vida de la
identidad. Estos procesos corresponden a la identificación, autenticación, autorización y trazabilidad.

Con la identificación, realizamos la asignación del conjunto de características/atributos que nos

permiten diferenciar de forma única a un usuario. A partir de este proceso de aprovisionamiento
estamos asignando la identidad al usuario.

Luego viene el proceso de autenticación, donde validamos la identidad. Es decir, que la identidad es
quien dice ser. Para esto nos valemos de un conjunto de mecanismos y técnicas que permiten validar
esa identidad tales como el uso de contraseñas, certificados digitales y biometría entre otros. Esto lo
revisaremos en la unidad 3.

Una vez hemos validado la identidad, es decir, confirmado que el usuario es quien dice ser a partir de
revisar ese conjunto de atributos/características y factores de autenticación que presente, realizamos
la validación de los permisos de acceso que tiene el usuario sobre los recursos que está tratando de
acceder. Para esto partimos de realizar la asignación de permisos y privilegios sobre los recursos e
información. Tanto la asignación de permisos como su control se implementan bajo un modelo de
control de acceso. Veremos como parte de la unidad 2 los modelos de control de acceso utilizados
actualmente, así como los conceptos relacionado para su implementación. Aquí hablamos de roles,
permisos, privilegios, acciones sobre los recursos y aspectos a considerar como la segregación de
funciones (SoD Segregation of Duties por sus siglas en inglés) entre otros.

Finalmente, en esta línea de procesos y que da un valor relevante a la gestión de identidad tenemos
el proceso de trazabilidad. A partir de la trazabilidad contamos con la posibilidad de realizar el
seguimiento sobre las acciones que realizan las identidades, con el fin de conocer quién hizo qué,
cuándo y sobre qué recursos.

Actualmente las organizaciones cuentan con mecanismos, herramientas y soluciones que les
permiten gestionar sus usuarios y sus accesos, sin embargo, en varias ocasiones se quedan cortas en
lograr visualizar cuales son las acciones realizadas por estos con el fin de contar con información que
permita establecer acciones preventivas, detectivas y correctivas de cara a incrementar las medidas
de seguridad sobre el acceso a los recursos. Aquí es donde el proceso de trazabilidad juega un papel
primordial en todo el proceso de gestión de identidad.

POLITÉCNICO GRANCOLOMBIANO 2
 Autorización Trazabilidad
Autenticación
Identificación Asignar y validar Saber que
Validar que
Asignar los los permisos de identidad
el ususario es
atributos. acuerdo a los accedió a que
quien dice ser.
privilegios. recurso.

Figura 1. Procesos de la gestión de identidad

Fuente: Elaboración propia (2018).

Vamos a tratar un caso práctico de cara a situar estos procesos en el contexto de negocio de una empresa.

La organización ABC Asociados S.A.S., se encuentra en el proceso de contratación de un grupo de

colaboradores nuevos. Estos colaboradores ingresan a áreas de trabajo distintas y por ello pueden
requerir diferentes accesos a los servicios y aplicaciones con lo que cuenta la empresa. Con el fin
de proveer a los nuevos integrantes de los recursos físicos y lógicos requeridos para que puedan
desarrollar sus funciones, deben ser realizadas actividades de aprovisionamiento para la asignación de
estos. Aquí debe realizarse el acondicionamiento del puesto de trabajo, la asignación de los activos
fijos que requiere el trabajador, el equipo de cómputo y por supuesto los accesos a los servicios y
aplicaciones. Pero previo a todas estas actividades es necesario que el colaborador sea una identidad
dentro de la organización. Por ello cuando el área de recursos humanos realiza el ingreso de la persona
como trabajador en su sistema obtiene una serie de información de este tal como su nombre, su
número de identificación, información referente a la salud (factor RH, tipo de sangre, información
médica), información financiera como el número de cuenta para consignación de nómina,
información familiar, referencias personales, familiares y laborales, antecedentes disciplinarios, realiza
la validación de las referencias académicas y laborales, entre otros. Con todo esto, la organización
obtiene una visualización de quien es esa persona y utiliza la información para llegar a definir la
identidad bajo la cual se identificará al interior.

Como paso siguiente, el área de recursos humanos remite a las áreas correspondientes las solicitudes
para asignar y adecuar el puesto de trabajo, asignar el equipo de cómputo con los accesos a recursos
y aplicaciones requeridos, asignar el carné de identificación y la tarjeta de proximidad dentro de la

POLITÉCNICO GRANCOLOMBIANO 3
organización, así como los permisos de acceso físico para que pueda desplazarse por las diferentes
áreas al interior. Para ello en las solicitudes se indican datos mínimos que permiten a las otras áreas
darse una idea de quién es el trabajador y que accesos deben conceder. Por ejemplo, si el nuevo
colaborador es un administrador de infraestructura tecnológica tendrá acceso al centro de cómputo
ubicado en un área restringida dentro de las instalaciones donde solo podrá acceder aquel que cuenta
con permisos en su tarjeta de proximidad y su huella biométrica habilitada. Está información (el
nombre del colaborador, su número de identificación o el código de identificación asignado al interior,
el cargo, y la solicitud de permisos de acceso al centro de cómputo) debe ser recibida por el área de
seguridad física quien estará encargada de habilitar el ingreso al centro de cómputo.

De forma similar, si continuamos con el ejemplo del administrador de infraestructura tecnológica,

requerirá un equipo de cómputo con acceso a las consolas de administración y monitoreo de los
servidores que requiera gestionar y puede tener acceso a otras herramientas u aplicaciones de la
organización. Para ello desde el área de soporte tecnológico requerirá información similar a la remitida
al área de seguridad física (el nombre del colaborador, su número de identificación o el código de
identificación asignado al interior, el cargo, y la solicitud de permisos de acceso a los diferentes
aplicativos) a partir de lo cual le asignará el equipo de cómputo con un usuario que lo identificará en
los aplicativos y recursos lógicos, unas credenciales de autenticación (una contraseña temporal para
uso inicial) y la habilitación de los permisos a los recursos requeridos. Lo usual en las organizaciones
donde no se ha implementado una solución de gestión de identidad, es que un colaborador puede
contar con múltiples credenciales de autenticación (diferentes usuarios y contraseñas) para acceder a
los diferentes recursos y aplicaciones dado que no cuenta con una identidad que permita diferenciarlo
de forma única. De esta forma podemos hablar de los usuarios “carlos.padilla”, “cpadilla” y “carlosp”,
para referirnos al mismo usuario y cada una de esas cuentas puede estar asociada a diferentes
recursos lógicos y aplicativos. Esto es lo primero que busca la gestión de identidad, poder asignar
una única identidad al usuario de tal forma que pueda identificarse de una única forma en todos los
recursos y aplicativos de la organización.

Una vez realizado este proceso, cuando nuestro administrador de infraestructura tecnológica
ingrese a su equipo de cómputo por primera vez, las credenciales de acceso que ingresa (usuario
y contraseña) serán validadas en el sistema (pensemos inicialmente en el ingreso a la red interna
a través de un servicio de directorio¹), donde el sistema confrontará esas credenciales con las
almacenadas en su base de datos para revisar que corresponden a credenciales válidas y autorizar el
ingreso a la red, de lo contrario denegará en acceso. Esto corresponde al proceso de autenticación.

¹ Un servicio de directorio puede referirse como una aplicación, conjunto de aplicaciones o plataforma que sirve para gestionar y almacenar los datos
contenidos en un directorio. Sobre este concepto profundizaremos en la unidad tres

POLITÉCNICO GRANCOLOMBIANO 4
De forma similar sucede con el ingreso a cada recurso lógico y aplicación, el usuario ingresará sus
credenciales y los recursos y aplicativos validarán que las credenciales ingresadas corresponden
con credenciales guardadas previamente en sus bases de datos o repositorios. Aquí aprovecho para
introducir un concepto que veremos más adelante en la unidad 3 cuando hablemos de mecanismos
y técnicas de autenticación que es single sign-on o SSO cuyo objetivo es habilitar al usuario para
acceder a diferentes recursos y aplicativos utilizando una única instancia de identificación, en
otros términos, una única autenticación. El concepto de SSO se encuentra asociado a la Gestión
de Identidad dado que es común buscar implementarlos en conjunto. Si nuestra organización
ejemplo contará con un esquema de autenticación SSO, permitiría que nuestro Administrador de
infraestructura tecnológica se conectará a los diferentes recursos a partir de un único proceso de
autenticación. No es tan simple como parece y es importante no confundir el concepto de SSO con
Gestión de Identidad dado que no son lo mismo, sino que trabajan en conjunto. Esto lo veremos de
forma posterior.

Ahora bien, el administrador de infraestructura tecnológica cuenta con credenciales de acceso

a diferentes recursos y aplicaciones, sin embargo, los niveles de permisos o privilegios que puede
tener en cada recurso pueden variar. De esta forma es posible que en la consola de administración
de servidores tenga permisos de ejecutar acciones, crear tareas o eliminar otras, mientras en otro
aplicativo como un gestor de bases de datos solo tenga permisos de lectura para realizar consultas
puntuales. De esto se encarga el proceso de autorización. Aquí es donde se asignan los permisos y
privilegios de acceso a los recursos. La idea es que esos permisos sean concedidos en función de los
requerimientos de conocer y hacer del usuario. Sin embargo, es posible que si las funciones o labores
que va a realizar nuestro administrador de infraestructura tecnológica no se encuentran claramente
definidas, le sean concedidos permisos de acceso adicionales a los que realmente requiriera para
realizar sus funciones. Por ello cuando hablamos de autorización nos referimos a conceptos como el
menor privilegio y la segregación de funciones. También este proceso está íntimamente relacionado
con el control de acceso y los modelos bajo los cuales se puede implementar este.

Nuestros usuarios pueden tener cambios durante su estancia en la organización, cambiar de

funciones, de cargo, área de trabajo lo cual debe afectar los permisos y privilegios de acceso
que tienen a los recursos, aplicativos e incluso locaciones dentro de las instalaciones. Si nuestro
Administrador de infraestructura tecnológica empezará a desempeñar un cargo como profesional
de soluciones tecnológicas de negocio, es posible que ya no requiera acceso al centro de cómputo
por lo cual sus accesos deberían verse modificados, al igual que los lógicos. También nuestros
usuarios tendrán períodos de vacaciones, licencias, incapacidades que impliquen su ausencia de la
organización. Esto debería implicar que sus accesos fueran deshabilitados durante esos períodos

POLITÉCNICO GRANCOLOMBIANO 5
de tiempo con el fin de evitar que usuarios no autorizados ingresarán a los recursos valiéndose de
credenciales ajenas (lo que llamaríamos suplantación de identidad). Parte de realizar las actividades de
autorización incluye gestionar la inactivación de permisos cuando sea requerido. Aquí vemos como el
ciclo de vida de la identidad presentado en el escenario anterior está relacionado con los procesos de
gestión de identidad.

Finalmente, como mencionamos en un principio uno de los valores agregados que nos da la gestión
de identidad es la posibilidad de realizar seguimiento sobre las acciones de las identidades. Hay
organizaciones donde los usuarios realizan diferentes acciones sobre los recursos e información sin
que se lleve una traza sobre esas acciones. Hablamos de modificación, lectura, escritura y ejecución
sobre información, datos, aplicaciones con lo cual no es posible establecer quién hizo qué. En
nuestro ejemplo, si el administrador de infraestructura tecnológica realiza varias acciones sin que
contemos con el seguimiento sobre las mismas, entonces es posible que sean ejecutadas acciones no
autorizadas sin que tengamos conocimiento de ello (por ejemplo, un cambio de configuración en un
servidor). Así, la gestión de identidad con el proceso de trazabilidad nos permite realizar seguimiento
de estas acciones con el fin de identificar posibles brechas en seguridad y controlar el acceso a los
diferentes recursos basándonos en reglas predefinidas.

En todo momento, cada proceso de la Gestión de Identidad busca establecer medidas de control
en la gestión de usuarios y sus accesos sobre los recursos. Posterior en los siguientes escenarios
profundizaremos en cada uno de los procesos y revisaremos aquellos temas y conceptos asociados
como los mencionados en esta contextualización. Lo importante en este punto de nuestra ruta de
aprendizaje, es comprender la razón de implementar estos procesos, como hoy en el día a día de
una organización los podemos analizar y que debemos considerar de cara a realizar una adecuada
implementación de controles de seguridad.

2. Ventajas y problemas de la gestión de identidad

Hasta el momento hemos revisado cómo actúan y cómo identificar los procesos de la gestión de
identidad en un contexto organizacional y cómo a partir de estos se puede gestionar el ciclo de vida
de la identidad. Previamente en el escenario uno, hablamos de porque consideramos a la identidad
como un activo de información y por ende porque buscamos proteger ese activo a lo cual la gestión
de identidad nos presenta diferentes elementos que nos permiten cumplir con ese objetivo. Ahora,
vamos a revisar y plantear algunas ventajas que puede tener implementar Gestión de Identidades,
así como algunas desventajas o problemas ante los cuales podemos enfrentarnos si queremos

POLITÉCNICO GRANCOLOMBIANO 6
implementar este tipo de solución. Esto porque todo en la vida no es ganancia y también hay
implicaciones negativas que debemos conocer, que pueden afectar una implementación exitosa y que
pueden depender del tipo de organización.

Cómo mejorar...
Aunque la gestión de identidad tiene unos procesos estándar, considera las
mismas etapas del ciclo de vida y maneja unos conceptos y herramientas
generales de cara a gestionar y controlar accesos, no debemos considerar
que la misma implementación estándar aplica en cualquier organización.
Es importante entender la organización, identificar cuáles son sus
procesos, su cultura y estructura y adaptar la solución de gestión de
identidad a los requerimientos específicos de la organización.

De cara a implementar una solución de gestión de identidad en la organización podemos partir

de analizar sus procesos, los requerimientos y flujos de información, identificar cuáles son los
mecanismos para acceder a la información, cuáles son los requerimientos de negocio para contar
con dicha información, como se ha definido la estructura organizacional, si hay roles definidos,
si hay marcos de funciones que permitan establecer segregación de funciones, si existen únicos
colaboradores que requieran realizar varias actividades y por ende contar con múltiples permisos, si es
posible establecer procesos de autenticación única o si por el contrario existen sistemas legados que
impidan que esta implementación cubra la totalidad de aplicaciones.

Todas estas cuestiones deben ser analizadas de cara a lograr identificar cuáles son las ventajas de
implementar la solución y cuáles pueden ser los problemas a los que nos enfrentemos que dificulten o
eviten una implementación exitosa.

Si hablamos de los posibles beneficios de tener unagestión de identidad dentro de la organización se

pueden resaltar los siguientes (Montoya, J. A.; Restrepo, Z., 2012):

»» Disminución de los riegos relacionados con robo de identidad y amenazas que afecten de forma
directa o indirecta la información asociada a datos de usuarios (apoya la protección de los datos).

POLITÉCNICO GRANCOLOMBIANO 7
 »» Partiendo de la buena práctica del menor privilegio, el manejo de roles para el control de acceso
determina que permisos tienen los usuarios para el acceso a la información. Estos permisos son
asignados de acuerdo con el rol que desempeña el usuario y a lo que requiere conocer y manipular.

»» Aumento de la eficiencia disminuyendo riesgos y esfuerzo cuando se implementa como una

administración centralizada. Esto al definir procedimientos centralizados de administración,
definición de roles y segregación de funciones, entre otros.

»» Disminución de la carga administrativa e incremento de la productividad de las áreas de soporte

técnico por requerimientos de cambios de contraseñas, desbloqueo, creación y eliminación de
cuentas de usuarios, entre otros.

»» Escalabilidad y flexibilidad para la organización, dado que si es adecuadamente dimensionada

puede permitir el aumento o disminución de las identidades gestionadas sin afectar su
administración. Adicional, permite mejoras para el usuario final (por ejemplo, prestando servicios
de autoservicio).

»» Aporta al cumplimiento regulatorio en referencia a estándares y regulación que exigen temas

de control de acceso. Por ejemplo, PCI DSS (Payment Card Industry data Security Standard por
sus siglas en inglés - Estándar de seguridad de datos para la industria de tarjetas²), a nivel país,
las Circulares que establecen requisitos de seguridad para el manejo de información aplicable
al sector financiero³ (ejemplo, circular 052 de 2007), SoX (Ley Sarbanes- Oxley⁴) para
monitoreo de empresas que cotizan en bolsa de valores, HIPAA (Health Insurance Portability
and Accountability Act⁵ por sus siglas en inglés - Ley de portabilidad y responsabilidad del seguro
médico), entre otras. Estos elementos regulatorios mencionados incluyen como parte de sus
requisitos temas de control de acceso, lo cual estamos ayudando a resolver con una solución de
gestión de identidad.

² Para más información sobre PCI ver https://www.pcisecuritystandards.org/

³ Para más información sobre las circulares expedidas por la Superintendencia financiera de Colombia ver https://www.superfinanciera.gov.co/
publicacion/circulares-externas-cartas-circulares-y-resoluciones-desde-el-ano-2005-20149
⁴ Para más información de la ley SoX ver http://www.soxlaw.com/
⁵ Para más información ver https://www.hhs.gov/hipaa/index.html

POLITÉCNICO GRANCOLOMBIANO 8
Como desventajas o problemas asociados a la implementación además de los ya indicados podemos
resaltar los siguientes:

»» Una solución de gestión de identidad actualmente puede resultar costosa para una organización.
Las soluciones ofrecidas en el mercado de cara a software, hardware y consultoría implican una
inversión fuerte lo cual en organizaciones con recursos económicos limitados puede resultar
imposible puesto que no es costo beneficioso.

»» La complejidad en la implementación puede ser alta considerando que cada organización es un

microsistema con diferentes requerimientos, esquemas de infraestructura y requerimientos
de conectividad, entre otros. De una parte requiere un conocimiento específico del
funcionamiento de la organización y de otra cierto conocimiento especializado sobre las
opciones de implementación y los conceptos de gestión de identidad; por lo cual deberían
ser considerados grupos interdisciplinarios que entiendan los conceptos técnicos (equipo
de tecnología), planteen los requerimientos del negocio (áreas de negocio como recursos
humanos) y conozcan de las soluciones y posibilidades de implementación (asesoría externa
especializada cuando se considere que este tipo de asesoría aplica).

»» Los tiempos de implementación de una solución de gestión de identidades pueden ser

prolongados; dado que puede ser necesario realizar una implementación escalonada e ir
aumentando el alcance dando cubrimiento a los diferentes recursos y aplicaciones con los
que cuente la organización. Plantear implementaciones rápidas cuyo objetivo es la integración
en una primera etapa de todo, puede ser imposible y llevar al fracaso en el proceso. Por ello
esto debe ser un punto claro de cara a “vender” el proyecto de implementación de gestión de
identidad. Una posible solución es plantear hitos o etapas donde se vayan presentando avances y
como se realiza la integración progresiva de los diferentes recursos.

»» En el inicio se mencionó el aspecto de los sistemas legados. Este es uno de los puntos cruciales
desde la visión técnica que puede tener la gestión de identidad, al igual que los problemas de
integración y el manejo de interfaces entre aplicaciones. Como lo indicamos en los procesos
de la Gestión de Identidad, puede implementarse una solución de IDM en conjunto con una
solución de SSO e incluso es usual que las organizaciones quieran realizar esto en conjunto. Sin
embargo, cuando contamos con sistemas legados, cuyas interfaces con los sistemas actuales
son complejas, tenemos un sistema AS/400 con una base de datos DB2, por otro lado, bases
de datos Oracle, y en otra instancia bases de datos SQL server que cuentan con diferentes
estructuras, puede llegar a ser complejo hablar de interfaces e interconexiones que permitan
establecer procesos de autenticación, así como el manejo de identidades únicas.

POLITÉCNICO GRANCOLOMBIANO 9
Las anteriores desventajas y problemas son ejemplos de lo que podemos encontrarnos en una organización,
que por una parte pueden apalancar nuestro proyecto en una implementación como ser puntos
bloqueantes en el mismo. Por ello es importante analizar esos factores como parte del caso de negocio de
cara a establecer la viabilidad técnica, económica y funcional de la implementación en la organización.

¿Sabía qué...?
La implementación de gestión de identidad, así como otras soluciones de
seguridad de la información las podemos ver y enfocar bajo el marco de
gestión de proyectos.
Partimos de establecer un caso de negocio que de origen a un proyecto y
a partir de la definición de etapas realizar la implementación de la solución.

3. Identificación – Mecanismos de identificación

Dado el crecimiento de los sistemas informáticos y los múltiples medios para acceder a estos, es
necesario establecer el conjunto de elementos que nos identificar adecuadamente a los usuarios para
su posterior autenticación. Esto establece la importancia del proceso de identificación como primer
paso en la gestión de la identidad.

La identificación se considera relevante cuando consideramos que los elemento utilizados para asignar
la identidad pueden ser, por ejemplo, datos personales sujetos a conceptos como la protección de
la privacidad. Cuando mencionamos de forma previa que como información y datos tomados de
los usuarios para identificarlo dentro de la organización podemos tener su nombre, su número de
identificación, información referente a la salud (factor RH, tipo de sangre, información médica),
información financiera como el número de cuenta para consignación de nómina, información familiar,
referencias personales, familiares y laborales, antecedentes disciplinarios, referencias académicas y
laborales, entre otros, es necesario considerar que alguno de estos datos puede ser sensible respecto
a otro y por ello tener implicaciones adicionales frente a su protección.

POLITÉCNICO GRANCOLOMBIANO 10
Escoger adecuadamente los elementos (características y atributos) que permitan identificar a la
identidad resulta importante dado que no es lo mismo proteger un ID de identificación personal
(por ejemplo, un número de cédula de ciudadanía que puede considerar información pública) versus
proteger los datos biométricos de un usuario (que está catalogado en la legislación colombiana como
un dato sensible de máxima protección).

Algunos de los aspectos importantes que pueden ser considerados a la hora de elegir los elementos de
identificación son los siguientes:

»» Que sea un elemento universal de cara a que todas las identidades lo posean. Por ejemplo, un
rasgo biométrico como la huella dactilar o el número de identificación.

»» Que sea un elemento particular de cara a que para cada identidad ese elemento sea único. Cada
persona cuenta con una huella dactilar única, así como con un número de identificación único.

»» En algunos casos que sea un elemento permanente en el tiempo, de cara a no tener que
modificar nuestros parámetros de identificación o que esto se de con la mínima frecuencia. Por
ejemplo, una persona puede conservar su huella dactilar hasta la muerte a excepción que sufra
un accidente que afecte su condición física como sería el caso de una quemadura.

De forma similar, en el caso del ID de identificación, al menos en el territorio colombiano, al nacer

contamos con un número de registro civil, posterior con un número de tarjeta de identidad y al
cumplir la mayoría de edad con un número de cédula de ciudadanía. Estos tres elementos en
últimas corresponden a un ID de identificación. Es un atributo que se mantiene en el tiempo.

»» Establecer el conjunto de elementos (características/atributos) que permitan de forma

compuesta identificar al usuario; es decir, si establecemos como atributo de identificación el
nombre del usuario es posible que nos encontremos con homónimos que afecten que se pueda
identificar de forma correcta a este individuo. Por ello podemos agregar el ID de identificación
como un segundo atributo que en conjunto, como llaves, permitan realizar la identificación.

Ahora bien, si el interés de la organización es poder a partir de esta identificación establecer

una estructura organizacional o revisar funciones realizadas o un esquema de segmentación
de usuarios, sería necesario agregar a ese conjunto de elementos un atributo relacionado con
el cargo a desempeñar por el usuario. Así sucesivamente pueden agregarse elementos en el
aprovisionamiento de la identidad que permitan que el proceso de identificación sea robusto en
correspondencia con los requerimientos de la organización.

Partiendo de las anteriores reglas básicas, podemos establecer el conjunto de elementos que nos
permitan identificar a una identidad.

POLITÉCNICO GRANCOLOMBIANO 11
Referencias bibliográficas
Montoya, J. A.; Restrepo, Z. (2012). Gestión de Identidades y control de acceso desde una perspectiva
organizacional. Medellín, Colombia: Revista de ingenierías USBMED. Recuperado de http://revistas.
usb.edu.co/index.php/IngUSBmed/article/view/261/175

PCI Security Standards Council (2016). Payment Card Industry (PCI) Data Security Standard.
Recuperado de https://www.pcisecuritystandards.org/

Superintendencia Financiera de Colombia (2007). Circular externa 052. Recuperado de https://www.

superfinanciera.gov.co/publicacion/circulares-externas-cartas-circulares-y-resoluciones-desde-el-
ano-2005-20149

Gobierno de Estados Unidos (2002). The Sarbanes-Oxley Act of 2002. Recuperado de http://www.
soxlaw.com/

U.S. Department of Health & Human Services (1996). Health Insurance Portability and Accountability
Act. Recuperado de https://www.hhs.gov/hipaa/index.html

POLITÉCNICO GRANCOLOMBIANO 12
 INFORMACIÓN TÉCNICA

Módulo: Gestión de identidad.

Unidad 1: Introducción a la gestión de identidad.
Escenario 2: Procesos de la Gestión de Identidad.

Autor: Alexandra Ramírez Castro.

Asesor Pedagógico: Diana Marcela Díaz Salcedo.

Diseñador Gráfico: Jenny Alejandra Quitian Suancha.
Asistente: Ginna Paola Quiroga Espinosa.

Este material pertenece al Politécnico Grancolombiano. Por

ende, es de uso exclusivo de las Instituciones adscritas a la Red
Ilumno. Prohibida su reproducción total o parcial.

POLITÉCNICO GRANCOLOMBIANO 13