Por Lewis Barr, vicepresidente para temas de legalidad y privacidad, Janrain

Este año 5,5 millones de nuevos dispositivos estarán conectados en línea diariamene, según Gartner. A fines de 2016 habrá más de 6,400 millones de objetos conectados, lo que representa un incremento del 30% con respecto al pasado año. Y Gartner predice que esa tendencia no va a desacelerarse; para 2020 el mercado de Internet de las Cosas incluirá 20,800 millones de objetos. Junto con la explosión de dispositivos conectados, se produce también un crecimiento en las violaciones. En solo los primeros tres meses de 2016, se reportaron 139 violaciones de datos, lo que tiene por consecuencia que casi 4,3 millones de registros de usuario han sido expuestos, según informa el Centro de Recursos sobre Robo de Identidad.

Las violaciones de datos son costosas y pueden impactar negativamente en la confianza del cliente, y se ven comprometidas compañías de todo tamaño. Las identidades de los clientes son activos críticos y estos confían en que las compañías las mantienen seguras. Con tantos dispositivos conectándose en línea, la superficie para ataques potenciales sigue creciendo y esto llama a redoblar los esfuerzos para proteger los datos y dispositivos de los usuarios en línea.

En este contexto, las compañías se están centrando en el acceso focalizado para fortalecer la seguridad de los datos y la privacidad. El acceso focalizado asegura que solo los empleados y contratistas que necesitan tener acceso a los datos para hacer su trabajo, sean los que tengan acceso, y que ese acceso esté limitado a los datos requeridos para su labor.

En una reciente conversación acerca de seguridad y privacidad con Carlo Schupp, de Janrain y cofundador de miaa Guard, señaló la importancia que tiene gestionar acceso para las personas y dispositivos con el fin de proteger identidades seguras de los clientes. Schupp, con una trayectoria en seguridad gestionada de infraestructura, fue cofundador de miaa Guard hace seis años. Radicada en Bélgica, esa compañía presta servicios gestionados de acceso.

Control de dispositivos

Los dispositivos comienzan a tener sus propias identidades, a menudo asociadas a la persona que posee el dispositivo. Existe una relación cliente-dispositivo, y hay que proteger los dispositivos para mantener la confianza de su propietario.

“Desde un punto de vista de seguridad, actualmente tratamos los dispositivos en la misma forma en que tratamos a los individuos”, expresó Schupp. “De modo que los dispositivos también tendrán su identidad y entonces concentraremos en torno a esos dispositivos una seguridad moderna centrada en la identidad”. Uno prefiere que el dispositivo se autocontrole en lugar de confiar en un tercero y esperar que haga un buen trabajo”.

Acceso y política

Teniendo en cuenta que se incrementa la recolección y disponibilidad de datos, es importante considerar el acceso y la política. El acceso de los médicos a los registros de un paciente es un tema que requerirá de políticas y restricciones. Hay que controlar las marcas de consumo que acceden a los datos de cliente, de modo que no todo el que trabaja en esas grandes compañías tenga acceso a los datos. Cuando las industrias recogen datos de identidad sin contar con un acceso focalizado y políticas pertinentes, específicas y obligatorias, la información puede ir a parar a las manos equivocadas.

“El control de acceso relativo a las aplicaciones a menudo está embebido en la aplicación”, explicó Schupp. “Además, si la aplicación está habilitada en la web, puede ser entonces parte del servidor web. Observamos más y más tendencias a externalizar el control de acceso fuera de las aplicaciones, de manera que se pueda tener una forma de una forma armonizada de controlar el acceso a diferentes tipos de sitios y aplicaciones web”.

Entendiendo los parámetros que son importantes en la industria en que uno opera, se puede determinar cuál es la mejor forma de controlar el acceso en la propia compañía.

Mantener actualizados los permisos en correspondencia con los roles

“Solía ocurrir anteriormente que se otorgaba permiso a una persona para acceder a ciertos datos y cuando ese individuo cambiaba de posición dentro de la entidad, nadie se atrevía a retirarle esos permisos”, señaló Schupp. “Lo que hacían era añadir permisos para acceder incluso a más datos y más aplicaciones, y mientras más tiempo una persona trabaja en la compañía, más permisos tiene”.

Es importante analizar la seguridad centrándose en la identidad. Uno le asigna a una persona ciertos roles y roles comerciales, y eso varía a medida que se va desplazando dentro de la organización. Con respecto a la gestión de acceso y autorización, uno tiene que pensar en la identidad y asegurarse de tener una identidad única para un individuo.

“Usted no querrá tener 4,000 cuentas de una persona y un sinnúmero de derechos de acceso y permisos dispersos por toda la compañía”, planteó Schupp.

El control de acceso es un componente clave de la gestión de identidad del cliente. Y aunque pueda parecer simple, lo más importante de recordar es hacer de ello realmente una prioridad y establecer protocolos para garantizar la privacidad y seguridad de los datos de sus clientes.

___________________________________________________________________________________

Sobre el autor:

Lewis Barr, CIPP/US, tiene más de 16 años de experiencia como asesor general manejando una serie de temas legales y relacionados con la privacidad para empresas tecnológicas en crecimiento. Le aporta a su labor una diversificada experiencia como abogado litigante, abogado de empresa en corte federal de apelaciones, y profesor. Como Asesor Legal y Vicepresidente de Privacidad en Janrain, Lewis conduce los temas legales y de privacidad de la compañía a medida que esta continúa su expansión internacional. Obtuvo su título de Licenciado en la Escuela de Servicio Exterior de la Universidad de Georgetown, y su Juris Doctor en la Facultad de Derecho de la Universidad de Missouri.