Los sistemas de identidad de cara al consumidor son muy diferentes de los que utilizan los empleados para el acceso a la red

Los consumidores son impredecibles. Cuando se trata de acceder a información en línea, quieren que sea fácil y seguro, y además a su manera. Esto quiere decir en cualquier momento, lugar y mediante cualquier dispositivo. Los operadores de sitios web deben ser flexibles para poder comercializar mejor y finalmente lograr que terminen siendo clientes que pagan por el servicio.

La lucha por lograr que los clientes tengan acceso de forma fácil y segura, y que además resulte conveniente para los operadores de sitios web, a menudo es contradictoria. Para posibilitar esto, están surgiendo modelos de identidad federada en forma de mecanismos “go-to”, pero se está librando una batalla con el personal informático corporativo.

El personal informático corporativo suele pensar que el mismo sistema de gestión de identidad y acceso (IAM) que usan los empleados para acceder a los servicios puede transferirse al espacio del consumidor, pero eso es una completa equivocación, plantea Andras Cser, vicepresidente y analista principal que atiende a los profesionales de seguridad y riesgo en Forrester Research. “Los sistemas involucran diferentes tecnologías y diferentes requerimientos en su funcionamiento”, señala. “IAM de clientes es esencialmente diferente de IAM de empleados”.

Una empresa conoce a sus empleados y los ha verificado, pero los clientes son desconocidos, dice Suresh Sridharan, director senior de tecnología y estrategia de productos de Gigya, un desarrollador de soluciones de gestión de identidad de clientes. “Con un cliente no hay ciclo. Ellos visitan de forma anónima y a través del tiempo se establece la confianza mutua a medida que ellos proporcionan más información”, explica.

Los sistemas IAM de empleados y clientes requieren además diferente personal durante la implementación. Seguridad Informática es necesaria para asegurar que cada uno de los sistemas sea seguro, pero hay que involucrar a personal de marketing para garantizar que el sistema de cara al cliente sea utilizable y que la organización pueda obtener la información requerida del cliente, señala Cser. Además, marketing es usualmente el departamento de la empresa que paga por un sistema IAM de cliente, añade.

Habilitando el acceso

A un nivel básico tanto el sistema de gestión de identidad y acceso de empresa como de consumidor permiten el acceso, pero hasta ahí llega la semejanza. La parte relativa al consumidor es acerca de la experiencia y la retención de los clientes, mientras que la parte relativa a la empresa es acerca de reducir los riesgos, precisa Cser.

Un sistema IAM local es propiedad del departamento informático y la compañía puede controlar el dispositivo que se emplea para acceder a la información, al navegador web y a las tecnologías de autenticación, plantea Cser. “Uno no tiene tanto control con IAM de cara al consumidor”, añade. “Uno no puede controlar el dispositivo en el extremo o los controles de malware”.

Una compañía puede tratar de limitar un navegador u otros sistemas utilizados para acceder a un sitio, pero se arriesga a alienar a clientes que no desean cambiar a otros navegadores o sistemas. De igual modo, si el sitio aplica demasiadas restricciones, el consumidor simplemente se marcha a otra parte.

También está la cuestión de la escalabilidad. Las empresas tienen una idea bien cercana de cuántos empleados van a acceder a diferentes sistemas durante un día, pero los sitios web para consumidores tienen que estar preparados para todo. Si el sitio está lanzando un nuevo video o tiene una venta especial, debe estar en capacidad de escalar para cubrir los necesarios requerimientos de desempeño, dice Cser.

La privacidad es otro tema, señala Cser. Si un sistema desde el principio pide demasiada información, los consumidores pueden sencillamente retirarse.

“Los clientes son variables y tienen opciones ilimitadas. Esto quiere decir que si la IAM que usted aplica resulta frustrante para los clientes, estos simplemente abandonan”, apunta Jamie Beckland, vicepresidente de marketing de la firma proveedora de IAM para clientes Janrain. “No le pida enseguida a sus clientes demasiados datos y no los fuerce a saltar obstáculos innecesarios. Los empleados tienen alternativas mucho menores. Si quieren acceder a su correo electrónico, tienen que cumplir las políticas de seguridad trazadas por el nivel superior y las draconianas rotaciones de contraseñas. Si usted le pide lo mismo a sus clientes, estos simplemente abandonarán”.

En esta época de violaciones de datos, la información del consumidor también tiene que estar protegida. Las empresas han de asegurarse de que toda la información de cliente esté encriptada para protegerlos en caso de violación, plantea Cser.

Marketing lleva la iniciativa

El departamento de marketing es el grupo dentro de una empresa que selecciona el sistema IAM de consumidor, explica Beckland. Ellos son los beneficiarios de los datos que capturan esos sistemas y pro tanto son los que firman el cheque.

“Normalmente vemos empresas que emprenden iniciativas IAM de cliente con sus experiencias de campañas de marketing para promover la participación de los clientes mediante comentarios, votaciones, encuestas y medios sociales”, explica Beckland. “Estos se implementan rápidamente y le permiten a las empresas comenzar a recoger datos de los clientes inmediatamente. Después se puede ampliar a puntos de alto valor para los clientes ya existentes, lo que incluye centros de preferencia en comunicaciones, portales de asistencia y experiencias de registro de productos”.

Al final todo se reduce a conectar con los consumidores, dice Sridharan. Es un poco como cogerle el compás, si los consumidores sienten que hay algún valor en lo que obtienen del sitio, entonces se conectan y se registran. Pero eso lleva tiempo y no se puede bombardear a los consumidores desde el inicio con el tema del registro.

Los pasos de Forrester para implementar adecuadamente la IAM de cara al consumidor:

• Crear un mapa de proceso. Este detalla cómo el consumidor habría de interactuar con el sistema desde que crea la cuenta hasta que la desactiva, incluyendo la verificación de identidad, el registro de dispositivo, la recuperación de contraseña y restablecimiento.
• Habilitar el inicio único de sesión. Permitir que los clientes empleen logins sociales y acceso federado con SAML ó OAuth.
• Pensar sobre escala y desempeño. ¿El sitio va a realizar una venta especial? ¿Hay un determinado momento del mes en que más clientes acceden a las cuentas? Tomar todo esto en cuenta y asegurarse de que el sistema pueda escalar para satisfacer la demanda.
• La autenticación basada en riesgo es una necesidad. Usar rastreo de dirección IP, reconocimiento de huellas digitales en dispositivos y velocidad de la sesión como atributos adicionales para autenticar una transacción de manera que se reduzca la fricción y el fraude.
• Las tecnologías biométricas están llegando a la mayoría de edad. El reconocimiento de huellas digitales en los dispositivos móviles se hace más popular y mejora la fiabilidad del reconocimiento de voz.
• Colaborar con el sector comercial. Necesitan comprender por qué la IAM de cara al cliente es diferente de la IAM para los empleados, y que esos sistemas pueden ser mucho más complejos que los utilizados por los empleados.