La gestión de identidades, o también en inglés “Identity and Access Management” (IAM), es mucho más que simplemente proporcionar a los usuarios capacidades de inicio de sesión a un sistema o red. La gestión de la identidad es uno de los objetivos fundamentales de ciberseguridad que tiene como objetivo aumentar la seguridad y la productividad, reduciendo costos.
La gestión de la identidad puede parecer un concepto simple, hay una serie de complejidades y capas que deben ser comprendidas antes de que pueda ser utilizado eficazmente.
Identificación y autenticación
Imagen 1: Componentes de la gestión de identidad.
Los sistemas básicos de administración de identidades incluyen sistemas de usuario / contraseña considerado un sistema de autenticación de un solo factor en el que el nombre de usuario y la contraseña son factores que representan algo conocido. Tales sistemas básicos de gestión de identidad son populares porque son económicos. Sin embargo, estos sistemas simples no demuestran nada acerca de quién está utilizando las credenciales de identidad. No hay verificación o validación de quién puede estar usando una credencial.
Los intentos de mejorar el nivel de confianza de los sistemas de nombre de usuario / contraseña de un solo factor al exigir contraseñas largas y complejas que se cambian frecuentemente hacen que estos sistemas sean más difíciles de usar, pero no proporcionan ninguna mejora significativa en la seguridad. Se requieren sistemas de autenticación multifactor más complejos y generalmente más caros si se requiere una correspondencia más estrecha entre la identidad del usuario y la credencial de identidad.
Autenticación multifactor
Un sistema de autenticación fuerte idealmente proporcionaría la verificación de una reclamación de identidad mientras se impide que alguien reclame indebidamente una identidad que no les pertenece. Un esquema de autenticación fuerte requiere alguna forma de autenticación multifactor para lograr mayores niveles de confianza y seguridad.
Tokens
Un sistema basado en token utiliza una identidad ligada a un objeto físico que tiene, el token, junto con un número de identificación personal (PIN) o una contraseña que conoce. La seguridad de un sistema basado en tokens depende tanto de la seguridad física del token como del conocimiento de la contraseña o PIN. Tokens también puede ser un dispositivo de respuesta / respuesta que genera una contraseña de una sola vez en respuesta a un desafío del sistema.
Biometría
Los sistemas de administración de identidades que utilizan la biometría vinculan una característica física única, como por ejemplo huellas dactilares, reconocimiento facial, iris, escaneo de retina y reconocimiento de voz.
A diferencia de los sistemas de autenticación basados en contraseña en los que la contraseña es conocida o desconocida, los sistemas de gestión de identidades basados en biométricos sufren problemas de falsa-aceptación y falso-rechazo. Por lo tanto, los sistemas biométricos se utilizan generalmente como un solo factor en un esquema de identificación y autenticación multifactor. Es importante señalar que basarse en la biometría conlleva riesgo porque la información es estática y, una vez que los datos biométricos están expuestos, ya no debe utilizarse para ningún tipo de autenticación.
La identificación y autenticación, tiene por objeto aumentar la seguridad. El control del acceso a las redes y la comprensión de cómo se utilizan las redes son fundamentales para la seguridad cibernética.