Después de tres años en este esfuerzo, surgen experiencias positivas de NSTIC

En los últimos tres años el gobierno estadounidense ha gastado más de $20 millones en 14 programas pilotos únicos para promover un ecosistema seguro de identidad en línea. Con el fin de evaluar si los contribuyentes han obtenido valor por las inversiones, re:ID le preguntó a cada receptor de los programas piloto qué habían logrado y qué lecciones habían aprendido.

La meta de la Estrategia Nacional para Identidades de Confianza en el Ciberespacio (NSTIC) es estimular a las compañías privadas para crear identidades digitales seguras e interoperables para los consumidores, y que fortalezcan la privacidad. Después de cuatro años de programas piloto e inversiones, está claro que se han logrado avances. ¿Pero este aprendizaje garantiza los ingresos? “Hemos progresado mucho, pero nadie puede afirmar que la identidad digital se ha resuelto en cuatro años”, señala Mike Garcia, director en funciones de la Oficina Nacional de Programas de NSTIC. “Pero NSTIC ha sido un catalizador y hemos visto cambios en el mercado”.

Algunos de estos cambios incluyen cinco nuevos marcos de confianza que abarcan seis mercados, 2,3 millones de participantes y 125 organizaciones asociadas, dice Garcia.

Un ejemplo de los éxitos es UCAID, donde NSTIC creó un programa piloto de autenticación multifactor en tres campus universitarios. El proyecto se ha expandido a 140 campus, ya que en todo el país las universidades se han sumado con el fin de incrementar la seguridad en línea.

“Esta es la esencia del programa”, plantea Garcia. “No podemos darle credenciales a 300 millones de personas, queremos lograr que el mercado avance por sí mismo”.

Mientras que el programa piloto UCAID se enfoca hacia la educación superior, el proyecto de la Asociación Americana de Administradores de Vehículos Motorizados (AAMVA) se orientaba hacia la atención de salud. “Tomaba los registros de autorización del DMV de Virginia y una credencial común de medio social, y los utilizaba en conjunto para elevar el nivel de confianza”, explica Garcia. Los participantes en el programa piloto pueden usar ahora esas credenciales para acceder a los registros y recursos de salud.

Estos son solamente dos ejemplos de los 14 programas piloto. La próxima ronda de programas piloto será anunciada en septiembre y se verán algo diferentes que los anteriores sugiere Garcia. “Durante los últimos tres años aplicamos un enfoque amplio”, explica. “Esta vez le estamos pidiendo a la gente que nos diga algunas de las mil locuras que se pueden resolver con identidad digital, y cómo se pueden solucionar casos de uso e impedimentos”.

Aunque algunos de los programas piloto han tenido avances y han desbrozado el terreno de la identidad digital, no todos pueden ser triunfadores. Un programa piloto de NSTIC galardonado en el segundo año – Exponent fue el contratista principal – se cayó debido a un cambio en la dirigencia de una de las compañías.

GSMA recibió $822,000 hace un año para probar un sistema de identidad interoperable en los cuatro mayores operadores de redes móviles de EEUU. En el momento en que se le adjudicó ese dinero, la GSMA no elaboró los pormenores del proyecto piloto y cuando se le contactó 10 meses después, los ejecutivos de las organizaciones dijeron que no tenían nada que reportar sobre el proyecto.

IDESG define el marco

Aunque la Oficina Nacional de Programas está trabajando en proyectos piloto para crear el ecosistema de identidad, el grupo de control de ecosistemas IDESG se está moviendo en un camino paralelo, explica Mark Anthony Signorini, presidente de IDESG.

IDESG es el órgano del sector privado que trabaja junto con NSTIC para definir el marco de confianza para los sistemas de identidad digital. “El grupo IDESG está creando la base para el marco de confianza – nosotros somos la teoría y ellos la práctica”, señala.

El IDESG publicó recientemente sus requisitos básicos para el Marco de Ecosistema de Identidad, conjunto de condiciones mínimas para participantes en cuatro áreas clave: privacidad, seguridad y resiliencia, interoperabilidad y experiencia de usuario.

Los requisitos servirán como la base para el Programa de Autoevaluación de IDESG, que deberá estar operativo más adelante este mismo año. Bajo este esquema, los proveedores de servicios de identidad y las partes confiantes podrán autoevaluar sus propios políticas, procedimientos y operaciones según los requisitos básicos y demostrar su nivel de conformidad con los mismos.

El IDESG brindará un servicio de listado público para aquellas organizaciones que realizan autoevaluación y determinan que están en conformidad con estos requisitos básicos. El modelo, los requisitos, el alcance del programa Trustmark, y la declaración sobre el alcance, integrarán la versión inicial del marco según se ha concebido en el plan estratégico.

Los requisitos básicos actualmente existen en forma de un conjunto de enunciados de los requisitos. Las comisiones de trabajo del IDESG están elaborando información suplementaria para esclarecer cada uno de estos enunciados y explicar cómo puede cumplimentarse cada uno de estos. Esa información suplementaria será parte de IDEF v1 en este año.

Son ya tres años desarrollando programas piloto para crear un ecosistema de identidad y hay algunos resultados tangibles, como podrán darse cuenta los lectores a medida que avancen en la lectura. Pero aún hay mucho trabajo por hacer antes que los consumidores dispongan de una identidad digital en línea común, interoperable y que fortalezca la privacidad.

Durante las próximas semanas SecureIDNews.com publicará resúmenes sobre todos los programas pilotos de NSTIC.