Por Marla Hay, directora de gestión de producto, Janrain

Apenas ha pasado el tercer mes de 2016 y según el Centro de Recursos de Robo de Identidad (ITRC), ya se han reportado 139 violaciones de datos, con el resultado de casi 4,3 millones de datos de usuario expuestos. Para todos los negocios donde se expusieron datos internos esto puede representar violaciones del cumplimiento y fraude de identidad de sus empleados. Para los negocios donde quedaron expuestos datos de clientes, esto puede resultar adicionalmente en pérdida de confianza por parte de los clientes, pérdidas de negocios existentes o nuevos, o demandas legales que pudieran tener como consecuencia fuertes penalidades. Lo ideal sería prevenir todas las violaciones de datos. Pero eso no siempre se corresponde con la realidad. En este artículo abordamos el tema de cómo el acceso focalizado puede ayudar a mitigar el daño.

A modo de contexto, el cómputo de registros de usuario incluye cualquier incidente en el cual queda expuesto el nombre individual más un identificador fundamental, como un número de seguridad social, el número de la licencia de conducir, un registro médico o uno financiero (incluidas las tarjetas de crédito o débito), pero no incluye registros que expongan nombres de usuario, e-mails y contraseñas, sin involucrar información personal sensible de identificación. Esto elevaría aún más la cifra total de registros (ITRC lista estos incidentes de violaciones, pero sin el número total de registros expuestos).

Aunque parte de esta información fue expuesta por los hackers que acceden a las bases de datos, o por el robo físico de datos no codificados o dispositivos, otros fueron expuestos por error de empleados o subcontratistas, específicamente en relación con ataques phishing o permitiendo que la información de su acceso cayera en manos equivocadas.

El informe del Centro de Recursos de Robo de Identidad relaciona una serie de ejemplos, incluyendo un ataque phishing a un hospital que tuvo por consecuencia que cuatro cuentas de correo electrónico del personal quedaran comprometidas. Tales cuentas de e-mail podrían ser utilizadas para restablecer contraseñas en sistemas relacionados con éstas para acceder a datos protegidos. En otro caso una compañía fue víctima de un ataque de suplantación (spoofing) por e-mail, en el cual el empleado dio información a quién creía ser el director general cuando en realidad era una tercera parte maliciosa. En una compañía que almacena una gran cantidad de datos, se produjo el engaño de un empleado para que diera números de seguridad social y otros datos personales, también mediante un ataque phishing.

Esos tipos de violaciones son dañinos cuando involucran datos de empleados o socios, pero pueden ser devastadores cuando implican datos de los clientes. En el 2013 la violación de datos de Target de 40 millones de números de tarjetas de crédito y débito, más 70 millones de registros de los clientes (incluyendo direcciones y números de teléfono) devino en una multa por $252 millones. Para una compañía como Target, esta no es una cifra que los incapacite, pero esa penalidad financiera podría ser una carga de envergadura para una entidad menor.

E incluso si la información financiera no queda expuesta, la relación con los clientes se daña cuando los clientes ya no confían en que la organización vele adecuadamente por sus datos. De modo que ¿cómo es que ayuda el acceso focalizado? Mientras más gente requiera o utilice datos, mayor es la exposición a la posibilidad de filtraciones no intencionales de datos. El acceso focalizado ayuda asegurando que solamente el nivel mínimo de datos esté disponible para cada individuo. El personal de apoyo, marketing, técnico y administrativo de una entidad accede a los datos de los clientes por diferentes razones. Como parte del personal de apoyo, un empleado puede necesitar acceder a la información de inicio de sesión de clientes para ayudar a un usuario que está tratando de conectarse, o para proporcionarle información sobre los datos de su cuenta. Con tal fin, el empleado de apoyo debe estar en capacidad de ver la información que se requiere para ayudar al cliente. Pero el personal de apoyo no debe tener acceso a la información de contraseña del usuario, sino que debe ser capaz de echar a andar un flujo de restablecimiento de contraseña que el usuario necesite para validar su identidad. Este enfoque protege al personal de apoyo con respecto a las técnicas phishing mencionadas arriba, en que se dieron datos a una parte maliciosa enmascarada como alguien autorizado para acceder a los mismos. Para todos los demás datos siempre es preferible que el personal de apoyo le facilite al usuario la habilidad para autoautenticarse y administrar datos, en lugar de proporcionarle el acceso directo a los datos en sí.

En otro ejemplo un empleado técnico puede necesitar acceso a los datos de usuario final para poder validar implementaciones o para confirmar que los productos funcionan como es lo esperado. El empleado técnico puede que necesite acceso a un nivel administrativo de datos con el fin de programas las interfaces que desplazan los datos del usuario de un sitio a otro. En tantos casos como sea posible el empleado técnico debe utilizar datos de prueba o sin sentido para realizar todo el proceso y las pruebas de cualquier implementación o integración. una vez que las pruebas se han terminado y el sistema está funcionando, cualquier autorización que se conceda debe extraída hacia una clave y a usuario secreto o administrativo de ser posible, y guardada en una bóveda protegida a la que se acceda en una forma segura desde el punto de vista de programación. Esos usuarios técnicos con acceso a tales datos privilegiados deben ser minimizados en una organización con reglas estrictas en cuanto a cómo y cuándo puede compartirse esa información.

Por el contrario del empleado técnico, el comercializador puede que necesite los datos del usuario para guiar las decisiones sobre dónde invertir en promoción y desarrollar programas sobre cómo mejorar las relaciones del cliente o comercializar hacia grupos similares a su actual base de usuarios. En este caso, la información del usuario individual debe limitarse o evitarse de ser posible. En lugar de ello, los usuarios deben ser segmentados y analizados estadísticamente para proveer marketing con la visión agregada de los usuarios que ellos necesitan para generar valor en base a los datos de usuario.

El acceso focalizado ya cuenta con buenas prácticas de gestión de acceso para una institución informática enfocada hacia el plano interno. La Biblioteca de Infraestructura de Tecnología Informática (ITIL) hace énfasis en la gestión de acceso como parte de la porción Operaciones de Servicio del esquema, destacando la necesidad de una gestión de seguridad informática que permita que la institución “…gestione la confidencialidad, disponibilidad e integridad de los datos y la propiedad intelectual de la entidad” como se destaca en la guía ITIL de la Asociación de Sistemas Informáticos de Universidades y Colleges (USICA). El acceso focalizado es parte del proceso que posibilita que una organización mantenga la confidencialidad de su información asegurando que los empleados tengan el nivel adecuado de acceso para realizar su trabajo, pero no más que eso. Cuando se emplea de conjunto con registros de auditoría y la capacidad de otorgar y revocar acceso con facilidad, el acceso focalizado es un componente crítico de una estrategia amplia de gestión de acceso, tan es así que a menudo es un elemento requerido de las certificaciones de seguridad y control.

La idea del acceso focalizado no es nueva, pero los desafíos y roles cambian cuando el dato introducido está más bien enfocado hacia el cliente y menos hacia el interior de la compañía.

Como se señala en la anterior descripción de los roles de los usuarios que acceden a datos de clientes, hay un espectro más amplio de empleados que pueden necesitar acceder a los datos de los clientes, más que a los datos internos. Una organización de marketing necesita entender la base de clientes para poder mejorar sus esfuerzos en dirigirse hacia ellos y crear una relación, los teams técnicos necesitan desarrollar la integración y herramientas que utilizan datos de clientes, y apoyar al personal que debe dar asistencia a los clientes con sus cuentas. Una organización no necesitará solamente limitar el acceso a los datos, sino que además necesitará limitar el acceso a tipos específicos de datos. Esto hace que la habilidad para crear un nivel personalizado de acceso sea una característica crítica en el espacio de Gestión de Acceso a Identidad de Clientes (CIAM).

Hay varias formas en que se puede ejecutar la Gestión de Acceso a Identidad de Clientes. La más flexible es permitir la habilidad de generar acceso API focalizado a los datos de cliente. Esto quiere decir generar un cliente API con acceso a lectura y/o escritura en campos específicos. Generar este nivel de acceso permite que una organización cree interfaces de usuario encima de los datos, que puedan conceder acceso a un nivel fino de granularidad. Puede usarse para crear una GUI que permita que diferentes integrantes del personal de apoyo tengan exactamente el acceso requerido en base a su antigüedad o área de especialización. También permite que una organización cree guiones e integraciones que permiten ver exactamente los datos que están autorizados a consumir. Esto es especialmente útil cuando se integran con herramientas de terceros que no requieren información personal identificable (PII), tales como inteligencia comercial, segmentación, o herramientas científicas de datos. Esto significa que hay mucho menos riesgo en añadir estos tipos de integraciones a la plataforma que uno utiliza, porque no hay riesgo de exposición de los datos de los clientes gracias a los lapsos de seguridad causados por la tercera parte.

Otro mecanismo para focalizar el acceso es a través de interfaces que solo permiten que se muestren determinados datos. Las herramientas de Gestión de Acceso a Identidad del Cliente que tienen interfaces creadas para una función específica pueden eliminar la necesidad de APIs especializadas al proveer la interfaz gráfica de usuario que un empleado requiere para obtener exactamente los datos que necesita, y ninguno de los datos que no requiere. Las herramientas de gestión de recursos del cliente están construidas exactamente para este tipo de trabajo, permitiendo que los empleados accedan a los registros de clientes específicamente al nivel correcto. De igual modo, las herramientas de inteligencia comercial pueden operar de forma similar, permitiendo que los empleados autorizados para ver datos agregados vean solamente esa información, mientras que hacen posible que los empleados con acceso más privilegiado tengan la habilidad de ver también los registros que están detrás de los agregados.

Hay una amplia variedad de vías y métodos para establecer el acceso focalizado para datos específicos de cliente. Lo importante no es el mecanismo, en tanto la organización revise bien todos los datos que mantiene y establezca quién, cómo y cuándo se puede acceder a los datos por parte de todos los roles que existen dentro de la compañía.

Sobre la autora:
Marla Hay es directora de gestión de producto con más de diez años de experiencia en el desarrollo y administración de software web. Marla inició su vida como desarrolladora de software y pronto adquirió la pasión por reducir la fricción en las experiencias de usuario, lo que la llevó a la dirección de gestión de producto. En sus cargos anteriores gestionó desarrollo y ciclo de vida de plataformas de apoyo al cliente y servicios de monitoreo empresarial. En su actual rol en Janrain , gestiona una carpeta de productos contribuyendo a expandir el espacio del mercado de identidad de usuario. Marla hizo la licenciatura en ciencias de computación en la Universidad Cornell y un máster de ciencias de computación en la Universidad Johns Hopkins.