Si todo sale como está planeado, a finales de mayo los proveedores de herramientas y programas de gestión de identidad, credenciales y acceso (ICAM) para las agencias federales, habrán de conocer los últimos requisitos de la Administración General de Servicios (GSA) para sus productos y servicios. Es en ocasión del 14 de mayo, Día de la Industria, en que la GSA anunciará sus repuestas a las preocupaciones planteadas por la industria.

Este Día de la Industria ha sido objeto de un largo proceso. Sus orígenes más recientes se encuentran en un pedido que lanzó la GSA en diciembre de 2014, en que solicitó información a los proveedores, la industria y otras agencias gubernamentales, preguntándoles sobre la mejor forma de ajustar los cambios en la tecnología ICAM y el mercado.

Pero en realidad esto va más atrás. Podría incluso decirse que se remonta al concepto mismo de asegurar el acceso.

Más allá de las cerraduras

Donde antes las cerraduras y las llaves proporcionaban seguridad y acceso a los objetos sensibles, el rol recae ahora en la gestión de identidad, credenciales y acceso (ICAM). Es uno de los sectores más complicados, intrincados y de rápida evolución de la tecnología de protección, y en ningún lugar existen secretos más vitales y más altos riesgos que en el gobierno.

La industria está dispuesta y tiene capacidad para afrontar los retos de proveer herramientas de acceso seguro al gobierno, pero el camino ha sido complejo y confuso. La GSA, que efectúa todas las compras para la parte civil del gobierno, reconoce plenamente ese hecho.

El mercado civil de consumo ha experimentado cambios radicales en cuanto a herramientas y tecnología ICAM, pero el gobierno estadounidense tuvo que ponerse al día. Las agencias federales tienen extensos requerimientos y mandatos, como es la Directiva Presidencial 12 del Departamento de Seguridad Nacional, que establece estándares para el acceso gubernamental seguro. Fue esa necesidad, en primer lugar, la que hizo que la GSA reevaluara sus estándares ICAM.

La reevaluación tiene impacto sobre los dos programas que la GSA utiliza para realizar sus adquisiciones ICAM.

El programa 70, que cubre una amplia gama de productos y servicios de tecnología informática con un listado de 5,000 proveedores, es el de mayor uso en el gobierno federal. Además, cubre los sistemas de control de acceso físico y lógico.

El programa 84 cubre orden público, respuesta a desastres, y productos y servicios de seguridad, en particular los sistemas de control de acceso físico. Es un programa masivo de $1,550 millones en contratos de suministro indefinido y cantidad indefinida, e incluye más de mil proveedores, según Brenda McCall, oficial principal de contrataciones de la rama de seguridad y orden público de la GSA.

Dentro de esos esquemas, la GSA se percató que tenía que actualizar las descripciones de los productos incluidos en su lista de números especiales de artículos SIN, así como sus criterios para evaluar esos productos. Además tenía que alinear sus adquisiciones con las políticas gubernamentales y los requisitos establecidos por la Oficina de Administración y Presupuesto.

Como respuesta a la solicitud de información de diciembre, las compañías y los representantes de la industria – incluyendo la Asociación de la Industria de Seguridad (SIA) – emitieron 14 comentarios. La GSA le dio continuidad con un Día de la Industria el 3 de febrero para debatir los resultados, y el 25 de febrero la SIA organizó un webinar para dar respuesta a otras interrogantes y preocupaciones.

Aclarando la confusión

Se detectó confusión en las industrias en varias áreas, explicó en el webinar Chi Hickey, de la oficina de aseguramiento de la política de identidad a nivel gubernamental de la GSA y de la división de acceso de confianza.

Una de estas fue el hecho de que los proveedores solo podían incluirse en la lista de un solo programa. “Nos dimos cuenta que eso creó una gran confusión y estamos trabajando por esclarecerlo en nuestro convenio de términos y condiciones”, señaló Hickey. “No era nuestra intención restringir la comunidad a un programa o un SIN”, planteó.

La GSA trabajó entonces en buscar la forma de facilitar listados en múltiples programas.

Los requisitos de certificación para los empleados en proyectos gubernamentales fueron otra fuente significativa de confusión, y fue objeto de la mayoría de las interrogantes planteadas por la industria.

“Hubo confusión sobre quiénes necesitaban certificarse”, explicó Hickey. El requisito de usar sistemas de control de acceso físico ICAM con ingeniero de sistemas certificado hizo que surgieran preguntas esenciales, sobre todo respecto a la contratación del programa 84. “Hubo confusión en cuanto a quiénes debían ser certificados y quiénes calificaban como integrador anterior”, según Hickey. “Los que responden las preguntas no están claros sobre las distinciones entre ‘integradores’, ‘servicios’ y ‘proveedores de servicios’”.

Hickey aclaró que la certificación solo se extiende a individuos y no a compañías como un todo, con el fin de mantener control sobre las personas que realizan el trabajo. Esto se aplica tanto a los instaladores como a los ingenieros.

Adicionalmente, las agencias estatales y locales estaban interesadas en si la GSA aceptaría certificaciones fuera de los arreglos actuales de la GSA para el entrenamiento CSEIP por Smart Card Alliance.

Otras inquietudes incluían preguntas sobre si los productos aprobados para controles de acceso físico requerían indicadores especiales, de si era necesario usar ingenieros y productos certificados para el entrenamiento, y si las descripciones SIN estaban desactualizadas.

El próximo paso

“Desde que celebramos el Día de la Industria hemos recibido un montón de comentarios de la comunidad, así como de otros interesados, y la GSA emprendió el proceso de analizar y consolidar los comentarios”, informó Hickey.

SIA añadió sus comentarios y muchas compañías la siguieron. Los resultados de esos comentarios y su incorporación a los requisitos de la GSA van a ser anunciados, y es razonable esperar que se dará respuesta a muchas de las preocupaciones de la industria.

La SIA le dio continuidad a ese Día de la Industria con una sesión pre-conferencia durante la cumbre gubernamental de la SIA el 8 de junio en W Hotel en Washington, D.C., donde ofreció a los asistentes una oportunidad exclusiva de interactuar con funcionarios de la GSA antes que estén terminados los requisitos, que se esperan sean publicados en julio. Para obtener más información sobre esa cumbre, visite www.securityindustry.org/summit.