Enfoques de gestión de identidad y acceso para gobiernos locales, empleados y ciudadanos

La gestión de identidad y de acceso (IAM, por sus siglas en inglés) es una de las prioridades de los departamentos de informática de los gobiernos estatales, las municipalidades y otras áreas locales. Los empleados gubernamentales necesitan un acceso debidamente autorizado a información oportuna para que los organismos estatales y regionales puedan cumplir sus funciones. Al mismo tiempo, existe la necesidad esencial de equilibrar la facilidad de acceso a los datos con la confidencialidad de la información sobre individuos, organizaciones y otras partes involucradas.

Recientemente, HID Global participó en una mesa interactiva con directores de informática de Texas y Nueva York, donde se analizaron los mejores métodos para abordar la gestión de identidad y de acceso, respaldados en las políticas, capacitación y cumplimiento normativo pertinentes. En el texto que sigue nos complace compartir con ustedes algunas de las conclusiones fundamentales de ese encuentro.

Definición de gestión de identidad y de acceso

La gestión de identidad y de acceso permite lo siguiente:

  • Que la persona correcta.
  • Acceda a los datos correctos.
  • En el momento correcto.
  • Por los motivos correctos.

Esto es aún más cierto cuando hablamos de las organizaciones gubernamentales, ya que muchos gobiernos estatales han recorrido un camino mucho más largo que las compañías privadas, excepto las más grandes.

La gestión de identidad y de acceso en el entorno gubernamental ha recorrido un largo camino

Los procesos de emisión de credenciales a los empleados y de gestión de acceso en gobiernos locales han evolucionado mucho en los últimos años. Afortunadamente, los días en que el personal accedía a registros desde otras áreas y organismos simplemente porque "necesitaban buscar algo" ya son cosa del pasado. Los directores de seguridad de la información y de informática de hoy se encargan de introducir estrictas políticas en toda la organización. Los departamentos de informática de distintos organismos gubernamentales usan las avanzadas plataformas de IAM para gestionar la autorización y el acceso a sistemas y datos confidenciales. Esto es positivo, ya que los métodos utilizados para implementar la gestión de identidad y de acceso pueden variar bastante.

Cada estado y organismo local adopta una estrategia única para la gestión de identidad y de acceso

Uno de los desafíos más grandes para los gobiernos estatales, regionales y locales son las diferencias que existen entre las formas en que sus organismos y otras organizaciones abordan la gestión de identidad y de acceso. Por ejemplo, Todd Kimball, subdirector ejecutivo del Departamento de Recursos Informáticos y director de Sistemas de Información del estado de Texas, afirmó: “Tenemos un estado muy federado y todos los organismos son autónomos. En mi función como director de sistemas de información del estado, soy responsable del desarrollo de políticas, capacitación, la visión, el liderazgo y la orientación en materia tecnológica. Definimos la dirección estratégica del estado, es decir, de un total de aproximadamente 355.000 empleados. Si hay algo cierto en Texas es que no hay una única solución universal. Desde la perspectiva de la gestión de identidad y de acceso, cada organización puede tomar sus propias decisiones en términos de las soluciones y la tecnología que utiliza para manejar la emisión de credenciales y la gestión de identidad y de acceso de los empleados estatales”.

Este enfoque funciona para el estado de Texas, aunque se está trabajando en un nuevo portal y asistente digital para los ciudadanos. Parte de esta implementación incluirá además una opción para credenciales de empleados estatales con el fin de ayudar en la gestión de identidad de los mismos.

El deseo de más estandarización en la gestión de identidad y de acceso también tiene defensores

Algunas organizaciones están trabajando por lograr mayor equilibrio y estandarización en la gestión de identidad y de acceso de los empleados gubernamentales. Doug Robinson, director ejecutivo de la Asociación Nacional de Directores Informáticos, prefiere la estrategia que se cita en el informe Federal Identity Credential and Identity Management (FICAM), donde se recomienda una planificación federada y un entorno estructural dentro de los estados, pero con estándares y atributos comunes.

Doug entiende que la practicidad y la autonomía terminarán por imponerse: “Debemos reconocer que todos forman parte de diferentes gobiernos. Algunos usarán una solución de gestión de identidad y de acceso empresarial muy centralizada, mientras que otros optarán por permitir una gestión organismo por organismo. En última instancia, creo que debemos intentar ir por el camino de una arquitectura federada que permita mayor interoperabilidad”.

Esto es algo que el estado de Nueva York ha tenido en cuenta. Rajeev Rao, director de tecnología de la Oficina de Servicios de Tecnología de la Información del estado de Nueva York, explica: “El gobernador tenía la visión de consolidar la tecnología de la información. Comenzamos este proceso de consolidar procesos fundamentales y ubicamos todos nuestros organismos, alrededor de 46, en un único centro de datos y empezamos a identificar servicios centrales que podrían estandarizarse. Uno de ellos era la gestión de identidad. Ya terminamos de consolidar todo en un solo almacenamiento de identidades, con una sola política que rige de manera jerárquica”.

Las políticas y el cumplimiento normativo deben orientar la gestión de identidad y de acceso de los gobiernos estatales y locales

Hay algo claro: más allá del enfoque que adopten los gobiernos estatales y locales, la gestión de identidad y de acceso debe estar impulsada por sólidas políticas estatales y locales, además de regirse por rigurosos estándares de cumplimiento normativo. Como explicó Jerry Cox, director de Desarrollo de Negocios de HID Global: “La gestión de identidad y de acceso sigue teniendo como objetivo asegurar que usted sepa quiénes son las personas que acceden a sus sistemas. Lo que ha cambiado es la plataforma, no las ideas. Se trata de un debate sobre políticas. Lo que está a la base de la emisión de credenciales y de la gestión de identidad son las políticas que sostienen una estrategia y un enfoque sólidos”. Jerry agrega: “Es algo que está orientado por los requerimientos de cumplimiento normativo de las compañías. Los nuevos estándares que orientan la forma en que funciona un organismo deben cumplir la normatividad. La consolidación permite que todo eso suceda más rápido”.

El sistema correcto de gestión de identidad y de acceso

Las economías de escala deben ofrecer opciones de plataformas de gestión de identidad y de acceso a los gobiernos estatales para satisfacer las necesidades de cada organismo. La interoperabilidad es fundamental; por lo tanto, es sensato centralizar estándares, enfoques y tecnología en una única plataforma de gestión de identidad y de acceso para luego dejar que cada organismo los integre de una manera que se adecúe a sus necesidades. De ese modo, se obtiene lo mejor de ambos mundos: la confianza de un enfoque consolidado e integrado, y al mismo tiempo un nivel de autonomía adecuado que se adapta a los empleados de los distintos organismos.

¿Cuál es el enfoque indicado para las necesidades de gestión de identidad y de acceso de su gobierno local?

Los diferentes enfoques implementados por distintos gobiernos estatales y locales están generando tensión entre organismos y funciones informáticas centrales. De hecho, actualmente la gestión de identidad y de acceso es una de las diez principales preocupaciones de los directores de informática gubernamentales. Ahora bien, sigue existiendo una brecha entre "saber" y "hacer" cuando se trata de IAM. Parece haber un consenso acerca de que funcionará mejor un enfoque federado (en el que los organismos puedan tomar sus propias decisiones sobre la gestión de identidad y de acceso) equilibrado con un marco normativo sólido, interoperabilidad y un conjunto básico de estándares y medidas de cumplimiento.

Vea la mesa de Federal News Network en tres cómodos segmentos: parte uno, parte dos y parte tres.

Reciba las publicaciones de blogs más recientes sobre gestión de identidad y de acceso directamente en su buzón de entrada.

Yves Massard es responsable de los esfuerzos de comercialización de productos de la División de Gestión de Identidad y de Acceso (IAM) gubernamental de HID Global. Durante su trabajo en HID, Yves ayudó a crear la tarjeta de acceso común del Departamento de Defensa (DoD) de los EE. UU., el sistema de gestión de credenciales ActivID™, líder en el mercado, y ActivClient™, un entorno integrado de aplicaciones y servicios, también líder en el mercado. Yves tiene una maestría en Ciencias de la Computación del Institut National des Sciences Appliquées de Rennes y una maestría en Administración de Empresas del Saint Mary’s College de California.

Fuentes y asesores:

  • Todd Kimball, subdirector ejecutivo del Departamento de Recursos informáticos y director de informática del estado de Texas.
  • Rajeev Rao, director de tecnología de la Oficina de Servicios de Tecnología de la Información del estado de Nueva York.
  • Doug Robinson, director ejecutivo de la Asociación Nacional de Directores de Informática del estado.
  • Jerry Cox, director de desarrollo de negocios de HID Global.