La Oficina de Administración y Presupuesto de la Casa Blanca emitió una directriz actualizada sobre cómo las agencias deben adquirir recursos informáticos. Se destaca en la directriz la mención acerca de las credenciales PIV, las firmas digitales y el aseguramiento de la identidad para los ciudadanos.

La actualización de la Circular A-130 “Gestionando la Información como un Recurso Estratégico” sitúa todos los recursos para una serie de actualizaciones de política para las agencias con respecto a ciberseguridad, reglamentación de la información, privacidad, gestión de los registros, datos abiertos y adquisiciones.

La circular hace muchas referencias a las credenciales PIV y llamados a las agencias para que adquieran productos y servicios informáticos de acuerdo con los requerimientos gubernamentales, mencionando específicamente PIV, PKI y FIPS 201.

Se menciona también el empleo de PIV para el acceso físico. La circular le indica a las agencias referirse a NIST SP 800-116 para la información sobre el uso de PIV para el control de acceso físico. El empleo de PIV para el acceso a sistemas informáticos está más difundido que su uso para acceso físico.

También se destacan las credenciales derivadas. “Con el surgimiento de una generación más nueva de dispositivos de computación, y en particular con los dispositivos móviles, el empleo de tarjetas PIV ha evolucionado técnicamente para incluir otros factores de forma que pueden implementarse directamente con dispositivos móviles, como se especifica en NIST SP 800-157. Las credenciales PIV derivadas se basan en el concepto general de credenciales derivadas de NIST SP 800-63. Emitir una credencial PIV derivada a titulares de PIV no requiere repetir procesos de comprobación y confirmación de identidad. El usuario simplemente demuestra la posesión y control de una tarjeta PIV válida para recibir una credencial PIV derivada”.

Se le recuerda también a las agencias el requisito de la firma digital. “Para los empleados y contratistas, las agencias deben requerir el uso de la capacidad de firma digital de las credenciales PIV. Para los individuos que quedan fuera del rango de aplicabilidad PIV, las agencias deben utilizar las credenciales federales PKI aprobadas cuando emplean firmas digitales”.

La circular hace mención también de la orden ejecutiva de 2014 del Presidente Obama que aboga por una efectiva comprobación de identidad en línea y autenticación multifactor para el acceso de los ciudadanos a datos gubernamentales.

“Los ciudadanos, los negocios y otras contrapartes que interactúan con el gobierno federal, deben poseer y ser capaces de presentar credenciales electrónicas de identidad para identificarse y autenticarse por sí mismos de manera remota y segura cuando acceden a recursos informáticos federales. Una agencia, antes de autorizar una transacción, necesita conocer – hasta un cierto grado de certeza en proporción a la determinación de riesgo – que la credencial electrónica de identidad presentada realmente representa al individuo que presenta la credencial”.

Esto sería supuestamente un servicio proporcionado por Connect.Gov, pero desde entonces el programa ha sido desechado y 18F, la organización de adquisición informática de la GSA, no está asumiendo el proyecto.

Connect.Gov le iba a facilitar a los ciudadanos el uso de credenciales que ya poseían, con el fin de acceder a servicios federales, si algo era de mayor seguridad fortalecerían la credencial entregando más detalles. Esto parece ser parte del plan de 18F, pero el grupo está en planes de crear un servicio de credenciales para que los ciudadanos también lo utilicen.

La circular aboga porque las agencias “utilicen un enfoque de gestión de identidad federada basado en estándares que viabilice la seguridad privacidad, facilidad de empleo e interoperabilidad entre sistemas electrónicos de autenticación”.