La idea de usar una sola credencial para acceso físico y también lógico es una idea tan vieja como las tarjetas inteligentes. Tiene sentido que la tarjeta que se usa para abrir la puerta por la mañana sea la misma que se utilice para acceder a una computadora, a redes seguras, y autenticar en las aplicaciones.

Pero este concepto de convergencia de identidad solo ha encontrado una modesta aceptación fuera del gobierno federal con su implementación de credenciales PIV. Con frecuencia se mencionan los obstáculos. “El personal de acceso físico y el personal informático no armonizan mucho. ¿Quién va a pagar por un sistema que cruza las líneas de responsabilidad?” Estas son solo algunas de las objeciones más comunes.

Algunos expertos dicen que esto comienza a modificarse, a medida que los requisitos regulatorios y el temor a las violaciones de datos impulsan a las industrias, incluyendo los servicios financieros y de salud, a considerar las credenciales convergentes.

Convergencia en New Orleans

Ochsner Health System, en New Orleans, está implementando un sistema de credencialización convergente para sus 16,000 empleados en 10 hospitales en el área, informa Mark Dupuis, director de seguridad de dicho proveedor de salud. “Tenemos un sistema viejo, desactualizado, y en razón de la seguridad hace falta una actualización”, plantea. “Queríamos encontrar esto y tener una credencial, no simplemente un gafete de identificación”.

El sistema de atención de salud estaba utilizando una combinación de proximidad y tecnología de código de barra para el acceso físico, y ha decidido utilizar la tecnología Seos de HID Global para la credencial convergente, explica Dupuis. La organización está solo en la etapa inicial de implementación del sistema, emitiendo las identificaciones a los nuevos empleados y a aquellos que necesitan una credencial de repuesto. “Estamos desarrollando un plan para entregar las tarjetas a todos los empleados”, añade.

Ochsner ya tiene situados algunos lectores de multi-tecnología en las puertas, y está pasando a colocar este mismo tipo de lectores en otros puntos de acceso. Ya entonces será cuestión de adicionar aplicaciones donde podrá utilizarse la tarjeta, y Dupuis no ve límites para ello.

Una de las aplicaciones más importantes será un login seguro para médicos y otro personal sanitario que emplean múltiples estaciones de trabajo en el transcurso del día. Esos empleados harán el login al comenzar el día con un nombre de usuario y contraseña, más la credencial, y en los siguientes logins solo tienen que dar un toque con su tarjeta para obtener acceso. El mismo toque se usará asimismo para autorizar trabajos en impresoras y escáneres multifuncionales.

Oschner Health empleará también el sistema para controlar la asistencia de los estudiantes de medicina. La organización trabaja en colaboración con la escuela médica de la Universidad de Queensland, y los funcionarios de la universidad quieren aprovechar el sistema para mantener el seguimiento de los estudiantes.

La implementación completa de las tarjetas, lectores y aplicaciones abarcará la mayor parte del 2015, y Dupuis hace énfasis en que su meta es tener todo en su sitio para fines de año.

Servicio de créditos estudiantiles pasa a la convergencia

MOHELA es la autoridad de créditos de educación superior para el estado de Missouri y uno de los 10 mayores servicios de créditos estudiantiles de los Estados Unidos. Con sede en Saint Louis, la organización emplea a 400 personas que trabajan a tiempo completo con estudiantes, centros de enseñanza y prestamistas para dar servicio por más $18,000 millones en créditos estudiantiles.

Como los empleados trabajan con esa información confidencial, es de fundamental importancia que el acceso sea seguro. El Acta de Gestión de Seguridad de Información Federal (FISMA) se promulgó con el fin de demandar rigurosas prácticas de seguridad para las compañías que reciben subvenciones federales o apoyan programas federales. Como MOHELA da servicio para créditos estudiantiles, la agencia tiene que acatar los requerimientos de FISMA, incluyendo el empleo de autenticación multifactor cuando se accede a datos sensibles.

La compañía no quería añadir otro token, de modo que optó por una credencial de convergencia. “Queríamos una solución que integrara la autenticación de escritorio con nuestro actual sistema de credencialización en las puertas”, explica Don Bertier, director de información de MOHELA.

La compañía optó por la credencial de convergencia IDPrime.NET de Gemalto. Como ya se estaban utilizando las soluciones de Microsoft, no hubo necesidad de instalar o mantener software o middleware adicional. Las tarjetas inteligentes se integraron con la seguridad de las puertas en las instalaciones de MOHELA, creando una credencial convergida para el acceso físico y lógico, así como identificación con foto.

Como los empleados de MOHELA ya tienen el hábito de llevar consigo tarjetas de acceso a las puertas, la seguridad lógica añadida solo necesitó pequeños ajustes en su implementación. Cuando un empleado de MOHELA llega a su trabajo, primero presenta la credencial para su oficina. Una vez que está en su puesto de trabajo, el empleado inserta la misma tarjeta en el lector de tarjetas antes de ingresar su contraseña compleja para el acceso seguro a la red. Esta combinación asegura el acceso lógico y cumple con los requisitos multifactor establecidos por FISMA.

Cambios en la convergencia

La definición tradicional de convergencia como una credencial para acceder a recursos físicos y lógicos aún sigue siendo válida, pero también se ha modificado en alguna medida. “Una credencial convergida de acceso sigue siendo el arquetipo, pero hay otros casos de uso que son relevantes”, afirma Julian Lovelock, vicepresidente de marketing de HID Global Identity Assurance. “Ahora cuando se habla de convergencia, esto no solo se refiere a una credencial única, sino también a una identidad única que se gestiona dentro de una organización para ambos fines”. Se inicia cuando una compañía contrata un nuevo empleado, y se ha comprobado la identidad del individuo, dice Lovelock. “La convergencia lo incluye todo, incluso esos procesos iniciales en que uno llega al punto de emitir una credencial”, explica.

Las instituciones de atención de salud en particular han estado optando por esta solución cuando implementan nuevos sistemas de identidad, explica Lovelock. La Ley de Responsabilidad y Portabilidad de los Seguros de Salud tiene el fin de garantizar que los datos del paciente estén seguros y protegidos, pero nuevas regulaciones estipulan en cuanto al mandato sobre prescripciones electrónicas, que los médicos deben utilizat otro factor de autenticación cuando recetan sustancias controladas. “La prescripción electrónica es estricta en cuanto a vincular una credencial con un proceso de comprobación de la identidad”, explica. Como los médicos no desean tener que llevar consigo un token o dispositivo adicional, la credencial de identidad a menudo se utiliza para cumplir con el mandato de prescripción electrónica, señala Lovelock. Una vez situada la credencial, las instituciones de atención de salud expanden su uso. Los médicos, con un toque, pueden entrar y salir de los sistemas a medida que se desplazan de sala en sala atendiendo diferentes pacientes. Habitualmente una credencial convergida de identidad era sinónimo de infraestructura de clave pública. Aunque esa infraestructura PKI brinda los más altos niveles de seguridad, la complejidad y costo de tal sistema desalentaba a algunos, explica Lovelock. Algunas de las más recientes implementaciones en el sector de salud que han adoptado la identidad de convergencia, han dejado de utilizar PKI para favorecer opciones más sencillas y menos costosas, señala. ¿Y la convergencia en los móviles? Con la enorme promoción que existe en el uso de dispositivos móviles para la identidad, y contando con la comunicación de campo cercano y Bluetooth de bajo consumo, parece probable que los teléfonos superarán a las tarjetas inteligentes para devenir en el token convergido de preferencia. “Veremos la inclusión de los dispositivos móviles como uno de los factores de forma que uno puede emplear”, señala Paul Brady, director senior de ingeniería de ventas en Identiv. “Uno puede situar credenciales derivadas en el teléfono para una mensajería segura, o puede añadir credenciales físicamente al dispositivo con un sticker dentro del mismo”. Es posible habilitar teléfonos para el acceso físico, tengan o no NFC, ya que el Bluetooth de bajo consumo ha emergido como una opción para abrir puertas. Y ya hace un tiempo se ha hecho posible utilizar el mismo teléfono para el acceso lógico, plantea Lovelock. “Esto está bien establecido en el mundo informático en que los teléfonos generan códigos de seguridad de un solo uso”, añade. El empleo de NFC para el acceso lógico es algo que aún no está muy difundido. Pero como una nueva generación de tabletas y laptops vienen equipadas con NFC, será posible que otros dispositivos tengan la capacidad de utilizar esa tecnología. Esto también reducirá el costo de las credenciales, ya que los lectores estarán embebidos y no habrá que emitir tarjetas, dice Lovelock. “Su infraestructura básica es capaz de leer una credencial sin contacto sin que se tenga que gastar dinero para ello”, explica. Aún así, puede ser difícil derrotar a las tarjetas como factor de forma, dice Brady. “No creo que las tarjetas desaparezcan en el corto plazo”, explica. “Es un factor de forma tan común y ha resultado ser la tecnología aceptada por todo el mundo”. “La tecnología está muy bien probada”, apunta Brady. “Hay montones de estándares vinculados a ella y la tarjeta se utiliza en programas como la tarjeta de acceso común del Departamento de Defensa, las tarjetas de pago EMV y otros”.

Más allá del teléfono

Aunque el dispositivo móvil parece ser el probable reemplazo de las tarjetas móviles, ya las compañías están mirando más allá, hacia los dispositivos vestibles. “En ciertos entornos un objeto vestible habría de abrirte la puerta, chequearte en un sistema de control de horarios, y permitirte que recojas las impresiones que mandaste a hacer”, señala Lovelock. “Un objeto vestible puede ser una buena segunda forma de autenticación, de modo que no estés limitado a una tarjeta”. Hace pocos años las tarjetas inteligentes eran la única posibilidad para las credenciales de convergencia. Ahora el dispositivo móvil ha emergido como otra posibilidad viable, con las tecnologías vestibles en el horizonte. Aunque la convergencia ha tenido un lento despegue, la idea no ha muerto. En realidad, ahora que hay disponibles más factores de forma diferentes para contener esas identidades, es una idea que finalmente puede estar lista para despegar.