2. Índex
– Humans electrònics?
– La identitat i reputació a la Web Social
– Algunes recomanacions per a la protecció de dades
2
3. Què és la «identitat»? – 1
– Dades (atributs) que ens diferencien suficientment de la
resta de persones o entitats, en un àmbit concret.
– Ex: Nom i cognoms, nom del pare i mare, codis d’identificació...
– La identitat era assignada d’acord amb les Lleis, i pot ser
acreditada mitjançant diversos documents.
– Identitat personal: Partida de naixement, DNI...
– Identitat corporativa: Targeta de treballador o funcionari, de
professional col·legiat, d’apoderat d’empresa …
– Identitat de client, financera, sanitària ...
– A la Web 2.0, les identitats també són assignades pels
propis usuaris, a ells mateixos, amb criteris extrajurídics,
doncs la identitat ja no és un monopoli estatal.
3
4. Què és la «identitat»? – 2
Tots tenim moltes
identitats parcials,
adequades als
diferents rols i
activitats que
realitzem.
I això s’ha
d’incrementar!
4
5. I la «identitat electrònica»? – 1
– És un artefacte humà, un document electrònic amb un
seguit d'informacions referida a una persona – no la
persona en si – emès per la mateixa persona o per
tercers, incloent a l'Estat, organitzacions públiques i
privades, i altres ciutadans.
– Característiques de la identitat (OCDE, 2007):
– 1. La identitat és essencialment social. Atès que les persones a
què es refereix són socials i viuen en societat, requereixen poder
reconèixer amb qui interactuen en les seves relacions,
especialment quan aquestes relacions són persistents en el
temps.
– La regulació s'hauria de formar a partir de la construcció social
dels riscos al voltant de la identitat, el seu ús i (possible) mal ús.
5
6. I la «identitat electrònica»? – 2
– 2. La identitat és subjectiva. Tant la percepció del "jo" que tots
tenim com les diferents percepcions del "nosaltres" que els altres
ens atribueixen constitueixen identitats de tall subjectiu, basades
en l'experiència que persona diferents construeixen i que els
permeten reconèixer-nos, és a dir, la identitat és una cosa
subjectiu a les persones que ens l'atribueixen.
– 3. La identitat és valuosa. Mitjançant l'acumulació de dades
històriques relatives a les actuacions de les persones, es crea
capital informacional que pot ser emprat per establir relacions
personalitzades i per prendre decisions en les nostres relacions
amb les persones, amb un major grau de confiança, com ha
demostrat la teoria de els jocs i, en particular, la gestió de les
expectatives.
6
7. I la «identitat electrònica»? – 3
– 4. La identitat és referencial. De fet, una identitat no és una
persona, sinó una referència a una persona. Fins i tot en el cas
que una persona desenvolupi diversos perfils propis, o si tercers
desenvolupen perfils sobre nosaltres, en últim terme el conjunt
d'atributs que identifiquen una persona han de referir-s'hi de
manera fiable.
– 5. La identitat és composta. Mentre que algunes informacions
són subministrades de forma voluntària per nosaltres mateixos,
altres informacions sobre nosaltres són construïdes per tercers,
sense la nostra participació.
– 6. La identitat és conseqüencial. Com que la informació
d'identitat parla de les nostres accions passades, la decisió
d'intercanviar informació d'identitat comporta conseqüències: en
algunes circumstàncies la divulgació de les informacions podrien
generar danys, i en altres casos, precisament és la no divulgació
la que pot generar riscos. 7
8. I la «identitat electrònica»? – 4
– 7. La identitat és dinàmica, perquè es troba en canvi i
modificació permanent, de manera que qualsevol fitxer amb
dades d'identitat es pot trobar obsolet en un moment determinat.
– 8. La identitat és contextual. Com hem vist anteriorment, les
persones tenim diferents identitats (parcials) que podem voler
mantenir separades del tot. Atès que la informació pot ser
perjudicial emprada en un context erroni, o senzillament ser
irrellevant en aquest context, mantenir les identitats segregades
entre si ens permet tenir més autonomia.
– 9. La identitat és potencialment equívoca, ja que el procés
d'identificació i associació de dades d'identitat és intrínsecament
donat a errors.
8
9. I la «autenticació electrònica»?
– És un mecanisme tècnic per a la verificació de la identitat
d'una persona o sistema
– Contrasenyes, estàtiques, dinàmiques, d'un sol ús, basades en
dispositiu portàtil (com tokens USB).
– Certificats digitals X.509 d'identitat, emesos per diversos
prestadors, a treballadors públics i a ciutadans, especialment en
entorns de mobilitat i de tramitació a distància.
– Identificacions electròniques nacionals (DNI electrònic).
– Tiquets d'autenticació remota / delegada, basats en SAML,
OpenID, WS-S/WS-I en entorns de treball distribuïts o col ·
laboradors.
– Federacions d'identitats i models de gestió de la confiança:
OpenIdentityExchange, Kantara, STORK.
9
10. Persona digital…
– Projecció dels drets de la personalitat a l'espai d'Internet,
mitjançant la creació i control d'agents d'usuari (perfils
personals, en alguns casos, avatars), que s'utilitzen en les
interaccions a Internet, amb suport freqüent en proveïdors
de serveis de xarxes socials.
– Model caracteritzat per l'actuació directa de la persona,
més o menys conscient de les implicacions de la seva
actuació a Internet, un model contraposat a la gestió pels
proveïdors de fitxes o perfils d'usuaris passius.
10
14. Índice
– Humans electrònics?
– La identitat i reputació a la Web Social
– Algunes recomanacions per a la protecció de dades
14
15. Gestió de la identitat digital a la Web Social – 1
– Autenticació i autorització amb OpenID+OAuth
15
16. Gestió de la identitat digital a la Web Social – 2
– Interfície d’usuari (autenticació amb OpenID)
16
17. Gestió de la identitat digital a la Web Social – 3
– Interfície d’usuario (autorització d’aplicacions amb OAuth)
17
18. Gestió de la identitat digital a la Web Social – 4
– Confiança en la identitat basada en perfil de Web Social
– Principals amenaces
–Robatori d'identitat: suplantació d'identitat d'un usuari concret.
–Atac de la Sibil·la: aplicació que genera centenars o milers de perfils
falsos de forma automàtica, per produir un engany al sistema, possiblement
per al llançament de malware i altres activitats indesitjables.
– Mesures de seguretat:
–Implantació de mesures de registre d'identitat mínimes, en concret – i
aquesta és la més comuna – almenys verificar l'existència del compte de
correu electrònic (US Gov LOA1) i educació a l'usuari per l'ús responsable
del compte.
–Anàlisi de tipus estadístic sobre les relacions del graf social d'una
persona ens pot aportar informació sobre la fiabilitat de la informació
continguda en aquest, especialment quan s'apliquen tècniques de
reputació.
18
19. Gestió de la identitat digital a la Web Social – 5
– Confiança en la identitat basada en perfil de Web Social
Retroalimentació dels usuaris de la
xarxa social, per exemple mitjançant
sistemes de vot i denúncia sobre
perfils en els seus cercles de
confiança.
Tractament específic de tipus de
confiança en funció del tipus de
relació entre dos perfils, el que
redueix els riscos de manipulació de
la confiança pels atacs de tipus
Sibil·la.
Consideració del comportament de
l'usuari al llarg del temps, per
adequar-se a la dinàmica del propi
corrent social. 19
20. Gestió de la identitat digital a la Web Social – 6
– Més enllà de la «signatura electrònica»… 3 reptes:
– Repte 1: I si deleguem als ciutadans la seva gestió d'identitats,
capacitats i apoderaments?
–Ús de la identitat personal per autoritzar a tercers a tramitar en el nostre
nom (la mort del poder notarial?)
–Ús de la identitat del representant legal per permetre l'autogestió de les
autoritzacions i permisos dels treballadors de l'empresa, o dels gestors (un
nou model de col · laboració social en la gestió).
–Ús de la identitat a la Núvol per a l'autenticació pel ciutadà dels seus
documents en les relacions amb les administracions, i per compartir els
documents amb les administracions (i amb les empreses privades).
–Ús de la identitat del ciutadà perquè «programi» les seves preferències i
desitjos pel que fa a les dades i documents públics a ser accedits i
consumits en el futur per l'Administració, en lloc de tràmit a tràmit.
20
21. Gestió de la identitat digital a la Web Social – 7
– Més enllà de la «signatura electrònica»… 3 reptes :
– Repte 2: I si acceptem la identitat de les xarxes socials
reputacionalmente forts per a activitats administrativa?
–Ús d'identitats de LinkedIn pels serveis regionals d'ocupació, o en els
procediments de contractació de personal.
–Ús d'identitats de xarxes socials generalistes per a funcions de policia
administrativa: mecanismes de resposta ràpida a denúncies.
– Repte 3: I si acceptem la potència de l'actuació amb protecció de
privacitat?
–Ús de pseudònimsper a activitats de participació administrativa pels
interessats (per exemple, certificats amb el rol «veïnatge» per a consultes
municipals).
–Ús de les identitats de les xarxes socials generalistes (Facebook, Tuenti)
per «reconnectar» amb la ciutadania i escoltar, escoltar ... i intentar
entendre les seves necessitats i expectatives ...
21
22. Índice
– Humans electrònics?
– La identitat i reputació a la Web Social
– Algunes recomanacions per a la protecció de dades
22
23. Algunes recomanacions – 1
– La identitat i la reputació s'adquireixen i de mantenen per l'individu.
Utilitzar la signatura electrònica que incorpora, generar usuaris i
contrasenyes segures en la subscripció de determinats serveis, i en
general l'ús de qualsevol identificador a internet requereix d'una conducta
activa per part del subjecte.
– Obrir un compte en un bloc, en Twitter o en una xarxa social ha de ser
una decisió meditada i hem de triar el mitjà més adequat. Una vegada triat
el medi l'usuari ha d'aprendre com funciona i les conseqüències jurídiques
que es deriven del registre.
– El primer garant de la identitat, de la privacitat, de la imatge pública i de la
reputació és el propi usuari: els nostres actes ens defineixen. S'han de
conèixer les obligacions jurídiques, els termes i condicions o els codis
ètics del servei i complir-los escrupolosament.
– S'ha de ser respectuós amb els drets dels altres complint quan sigui
procedent la normativa vigent. El comportament social s'ha de subjectar a
unes mínimes regles de cortesia envers tots els usuaris. 23
24. Algunes recomanacions – 2
– El primer element definidor de la reputació online resulta de la pròpia
conducta individual de la qual deriva l'estima, o el desmereixent en la
consideració aliena.
– La Internet del Web 2.0 exigeix una actitud vigilant en la comprovació de
la informació que publiquen tercers i pugui repercutir sobre la nostra
esfera de drets.
– S'han de conèixer quins mitjans reactius es compta davant un atac a la
identitat o a la reputació, incloent-hi els mecanismes de denúncia interna
dels proveïdors, la tutela de l’autoritat de protecció de dades, els canals
de denúncia policial – cas de delictes informàtics – o la via judicial.
– Trobareu àmplia informació a recursos públics com el CESICAT o
INTECO, en especial en relació a persones físiques i menors d’edat, i
petites empreses i professionals autònoms.
24