Este mes de abril se ha publicado un breve artículo titulado “Online Identity Management” en la revista ISOFocus, editada por ISO (International Organization for Standardization). Espero que esta pequeña aportación sirva para hacernos reflexionar dentro de esta gran organización a la que pertenecemos de las ventajas que tiene la estandarización (normalización) en nuestro entorno como base para mejorar la calidad en la gestión, en el diseño, en la fabricación de los productos, en la prestación de servicios, etc., y a la vez aumentar la competitividad en los mercados nacionales e internacionales. Sin duda, el apoyo a la normalización, la participación y el liderazgo en el desarrollo e implementación de los estándares (normas) nos permitirán mejorar en calidad y excelencia.

La brevedad del espacio asignado al artículo no ha permitido profundizar mucho en el tema; pero sirve como muestra de la preocupación europea e internacional sobre la gestión de identidades online, tanto en el ámbito ciudadano como en el corporativo. Este artículo surge del esfuerzo continuado que venimos realizando desde la unidad de ciberseguridad sobre el trabajo de estandarización, en especial, en materia de identidad, privacidad y acceso, todo ello dentro del grupo de trabajo 5 del Subcomité 27 dentro del Joint Technical Committee 1; para abreviar: ISO/IEC JTC1/SC27/WG5. Por parte de España, AENOR representa el National Body de normalización del cual Indra forma parte a través de diversos comités y subcomités. A veces tenemos el honor de colaborar un poquito más allá y podemos contribuir como editor internacional a los proyectos de edición de las normas. Desde el área de ciberseguridad estamos implicados en la edición internacional de los estándares: ISO/IEC 24760, Information technology – Security techniques – A framework for identity management y 29146 -- Information technology -- Security techniques– A framework for access management.

Los proyectos de estandarización son bastante ajetreados sobre todo por la disparidad cultural, los intereses enfrentados de los estados y organizaciones y la diferencia de velocidades entre el desarrollo tecnológico y la capacidad de respuestas de los voluntarios de la normalización. Dificultades aparte, la bondad de la estandarización es enriquecedora para los países, los negocios y los ciudadanos, sin contar que puede ser acreditada por una tercera parte independiente.

Aunque la identidad online es un tema en auge tanto por su uso como por su abuso (unas pérdidas medias de 4930$ por incidente http://www.statisticbrain.com/identity-theft-fraud-statistics/ ), parece claro que su gestión debe ser estandarizada para reforzar la seguridad general del ciclo de vida de nuestras identidades online que son cada vez más usadas desde todo tipo de dispositivos para todo tipo de acciones y servicios. Es por ello que este primer estándar ISO/IEC 24760 pretende ser un marco de gestión seguro, confiable, respetuoso con la privacidad teniendo en mente tanto las necesidades individuales como las de las organizaciones.

La norma ISO/IEC 24760 es un proyecto multiparte del que sólo se ha publicado la primera parte y las dos restantes están en desarrollo; pero es un buen ejemplo de la necesidad que tiene el ciberespacio de gobernarse y gestionarse conforme a los mismos principios que aplican en el mundo real, sobre todo en aquellas áreas o entornos en los que se interacciona directamente con los seres humanos que en su gran mayoría desconocemos la complejidad técnica y la letra pequeña de los productos y servicios de los cuales nos interesa lo que ofrecen y lo que cuestan en función de un trueque justo entre las partes. En nuestro papel de usuario dependemos en gran medida de la confianza depositada en el interlocutor o el servicio, los cuales deben en todo momento respetar las reglas del juego y los valores ciudadanos de confiabilidad y transparencia para la sociedad a la que, al fin y al cabo, sirven. Por ello, la normalización nos acerca un paso más hacia la confianza que es uno de los principales pilares de nuestra sociedad.