Rayo y Trueno eran las palabras que se susurraban los soldados aliados el 6 de junio de 1944, en el desembarco de Normandía, para identificar su identidad. En una posada, Catelyn Stark (Juego de Tronos) identifica las identidades de sus abanderados, a través de sus blasones, para capturar a Tyrion Lanister. El concepto de identidad ha sido siempre el factor clave a la hora de establecer una relación entre individuos. La identificación, como una forma de asegurar que alguien es quien dice ser, es fundamental y adquiere aún más relevancia en un mundo cada vez más digitalizado.
Una identidad digital es información sobre una entidad utilizada por los sistemas informáticos para representar a un agente externo. ISO/IEC 24760-1 define identidad como: “conjunto de atributos relacionados con una entidad”.
La identidad es el nuevo perímetro de la ciberseguridad. Hasta hace unos años, todo estaba dentro de ‘cuatro paredes’ en nuestra LAN protegida por elementos de seguridad perimetral. Pero de pronto, aparecieron los accesos móviles, la nube (desde aplicaciones, servicios, soluciones, hasta nuestros centros de datos) y ahora los dispositivos (IoT-Internet of Things) que destruyen completamente nuestras cuatro paredes; ya no existen, todo está hiperconectado, desde cualquier sitio y en cualquier dispositivo.
Más de 50.000 millones de dispositivos estarán conectados a Internet en los próximos años. El auge de Internet de las Cosas está cambiando nuestra comprensión de la identidad, que debe ampliarse para incorporar este nuevo conjunto de entidades asociadas a las cosas. Para que IoT realmente funcione, las organizaciones deberán poder ubicar a los usuarios, los datos, los dispositivos y todas sus interrelaciones asociadas en su contexto adecuado.
La identificación, como una forma de asegurar que alguien es quien dice ser, es fundamental y adquiere aún más relevancia en un mundo cada vez más digitalizado
Desde SIA, como expertos en la identidad, entendemos que la mejor manera de hacerlo es asignando una identidad a cada dispositivo, usuario e interrelación. Para que IoT ofrezca valor, debe haber una ‘identidad de las cosas’ (IDoT-Identity of Things) correspondiente. Pero no todos los dispositivos son iguales, el abanico de necesidades de acceso y autonomía es muy amplio:
• Los dispositivos pasivos (videocámaras, sensores, etc.) no necesitan una identidad, ya que no acceden a recursos de la organización y por tanto el riesgo es mínimo. Con la protección de acceso es suficiente, como protegemos un sistema IT.
• RPA (Robotic Process Automation). Son agentes con acceso a algún recurso de forma limitada. Estas necesidades de acceso a los recursos IT de la organización implica la exigencia del gobierno y por tanto de una identidad para tal efecto, aunque puedan tratarse como un colaborador con accesos temporales y limitados.
• Los agentes de IA (inteligencia artificial) tienen un potencial ilimitado que se escapa a la imaginación, lo que conlleva un riesgo ilimitado. Requieren un gobierno completo y, por lo tanto, una identidad equivalente a un empleado.
En definitiva, cuanto más autonomía y más necesidades de acceso del dispositivo, mayor riesgo y mayor necesidad de asignarle una identidad, de tratarlo como una entidad humana y de incorporarlo a los controles del Gobierno de Identidad de la organización: segregación funcional, combinaciones tóxicas, certificaciones, perfilado, análisis de riesgo, ciclo de vida…
IDoT Is Coming. No, IDoT Is Here.