lunes, 22 de abril de 2013

Laboratorio ubicuo Obed: La usabilidad y funcionalidad de autenticación biométrica en el trabajo

The Usability and Practicality of Biometric Authentication in the Workplace

por Carsten Maple, Peter Norrington
 
En este documento se analizan los problemas de usabilidad y funcionalidad de los sistemas de autenticación basados ​​en biometría. La eficacia de un sistema que incorpora un método de autenticación no sólo depende de cuestiones teóricas y tecnológicas, sino también en la interacción del usuario y la aplicación práctica del sistema para una organización.

En este artículo pone especial atención a los posibles problemas que surgen cuando las empresas introducen datos biométricos de IT o seguridad física.

Introducción:
Los controles de acceso se requieren cada vez más fuertes para entrar en un área física (cruzar una frontera, entrar en una instalación), para establecer un derecho o acceder a los beneficios de un servicio, ya sea pública (pagos de asistencia social y servicios de salud) o privado (cuentas bancarias), o para acceder a los sistemas y servicios virtuales (redes de empresas, sistemas de correo electrónico, sitios de compras en línea).

Una observación notable surge de la comparación de la fuente de los ataques reportados en las principales instituciones de servicios financieros globales (ISF), que se muestran en la siguiente tabla.


De esto se puede ver que el número de ataques que sufren las organizaciones son procedentes de fuentes internas y se han triplicado en los últimos tres años, además, en los últimos dos años, la amenaza procedente de fuentes internas ha superado a la de fuentes externas. Es evidente que la protección de los activos de información de los ataques internos se ha convertido en un problema importante, que requiere el fortalecimiento de los controles de acceso interno.

Un avance importante en el control de acceso ha sido el crecimiento en el uso de la tecnología biométrica. Este documento se centra en la usabilidad y la práctica incidencia de los programas biométricos de la verificación o identificación de personas. Se discute la clasificación y principios básicos de los métodos de autenticación, a la importancia de los sistemas de seguridad biométricos, el impacto de estos sistemas en el lugar de trabajo, con especial énfasis en su utilidad para las personas y el sentido práctico de una organización, apoyado por las observaciones de uno de los autores y la relación de estos accesibilidad a la legislación.
 
En el momento de la autenticación, esta presenta un identificador para el autenticador (ya sea humano o de la máquina). Los siguientes son ejemplos de cada clasificación:

Métodos de autenticación.
Los métodos de autenticación utiliza una triple clasificación de identificadores: (1) lo que sabes, (2) lo que tienes y (3) lo que eres, con fines descriptivos, esta se subdivide en parte de la literatura en (a) lo que son y (b) lo que haces.
  • 1) ¿Qué sabes? - contraseñas presentadas en cualquier medio, como una contraseña de texto, número de identificación personal (PIN), frase de contraseña o la contraseña visual.
  • 2) Lo que tenemos - los objetos físicos que deben ser presentados, tales como llaves o tarjetas de identidad, incluidos los swipeable o remotamente detectable.
  • 3a) ¿Cuál es usted? - biometría fisiológica (que se describe más adelante) que debe ser presentado, tales como huellas dactilares.
  • 3b) Lo que se hace - la biometría de comportamiento, como la firma de un libro de registro de entrada. Estos métodos de autenticación no son mutuamente excluyentes.
Los métodos mixtos son ampliamente desplegados en esquemas de autenticación, como tarjetas bancarias con un PIN (tiene + saber) y los pasaportes con datos biométricos almacenados (tiene + n).

Los esquemas de autenticación tienen tres procesos fundamentales: registro (o inscripción), autenticación (o verificación) y la identificación.
  • El registro es el establecimiento de una identidad para una persona en algún contexto, es decir, las huellas digitales se reconocen como única persona A.
  • La autenticación es la confirmación de que una persona es quien dice ser, es decir, persona X dice ser A y sus huellas digitales coinciden a los de la persona A.
  • La identificación es el descubrimiento de que una persona es desconocida, si están presentes en un grupo de individuos registrados, es decir, la persona Y tiene las huellas dactilares de la persona A entre los inscritos y por lo tanto es la persona A.

Biometría
El enfoque académico y comercial actual de la biometría se debe a la búsqueda de técnicas de autenticación que pueden ofrecer una mejor seguridad. El número de personas involucradas aumenta las dificultades de gestión del sistema con distribución y desactivación de los identificadores, y el número de entornos aumenta las dificultades de los individuos con la gestión de los identificadores.

Dentro de la industria de la biometría, una definición actual de la biometría es "tecnologías que confirman automáticamente la identidad de las personas mediante la comparación de los patrones de las características físicas o de comportamiento en tiempo real contra los registros informáticos matriculados en esos patrones."

El rango de la biometría fisiológica y de comportamiento utilizado o en fase de desarrollo para la autenticación biométrica es amplia, incluyendo las siguientes áreas de interés:

  • Fisiológicas - lo que eres: el reconocimiento facial, reconocimiento del iris, la retina-scan, huellas digitales, Palm-scan, geometría de la mano, forma del oído, exploración de nervio (en el dorso de la mano o por debajo de palma), geometría del dedo (forma y estructura del dedo o los dedos), la identificación del lecho ungueal (crestas en las uñas), olor (olor humano), los poros de sudor (distribución en la punta de los dedos) y el ADN .
  • Comportamiento - lo que hace: El reconocimiento de voz, firma-dinámica (acto de la firma), la comparación Firma (firma completa), golpe de teclado-dinámica y Gait reconocimiento (forma de caminar). Todos los datos biométricos de comportamiento tienen una base en la fisiología de una persona, pero dependen de la historia de la vida de esa persona de manera compleja.
La autenticación biométrica en el lugar de trabajo.
 La Organización Internacional de Normalización (ISO) ha elaborado una definición de la usabilidad que forma un estándar útil contra la cual los regímenes biométricos pueden ser evaluados.
  • Definición: Usabilidad - El grado en que un producto puede ser usado por los usuarios especificados para lograr los objetivos especificados con eficacia, eficiencia y satisfacción en un contexto de uso especificado. En el contexto de este artículo, se tendrá utilidad para centrarse en el individuo.
  • Definición: Aplicación en la práctica - El grado en que un producto puede ser utilizado por una organización para lograr los objetivos especificados con eficacia, la eficiencia de un contexto de uso especificado.
 
Se hicieron pruebas con un voluntario (como miembro del público) en el Servicio de Pasaportes del Reino Unido (UKPS), para el programa de prueba para el régimen nacional de identidad del Reino Unido en junio de 2004. El ensayo probó la inscripción y los procesos de verificación durante tres mediciones biométricas: huellas dactilares, escaneo facial y escaneo del iris.
  • El scanner facial (cámara) se montó en un poste vertical ajustable. El voluntario tuvo que quitarse las gafas, lo que significa que apenas podía ver el equipo de exploración. La máquina dio instrucciones verbales de acercamiento/más lejos, izquierda/derecha para asegurar el posicionamiento correcto.
    • El voluntario encontró las instrucciones medianamente difícil de seguir ya que no podía juzgar cuánto se mueva con base únicamente en la información verbal, lo que resulta en varios intentos de encontrar el punto óptimo entre más cerca y más lejos. Las personas con una amplia gama de condiciones físicas que restringen su movimiento o control motor encontrarían más dificultades en este proceso, lo que es, además de las personas con discapacidades visuales que no pueden ver con claridad el escáner o en absoluto.
  • El escáner del iris se montó con el escáner facial y requiere un proceso similar de movimiento a la posición óptima. Sin embargo, en esta ocasión había dos óvalos impresos en la placa frontal del escáner, la cual se pidió al voluntario para que coincida con sus ojos reflejados. Sin gafas encontró los óvalos casi imperceptible y no podía alinear los ojos en absoluto sin instrucciones verbales de la máquina.
    • Esto resultó ser frustrante a pesar de la práctica obtenida con la exploración facial anterior.
  • El escáner para huellas dactilares se coloca en la superficie de una mesa, que consiste en una pequeña placa marcada con rectángulos a la posición de las yemas de los dedos. Las huellas digitales fueron tomados en conjunto, aunque el voluntario encuentra la placa difícil de alcanzar, ya que tiene un problema en su mano.
    • Para las personas con algunos tipos de discapacidad (por ejemplo, artritis, parálisis cerebral), es probable que las huellas digitales tendrían que ser tomadas por separado, y que el proceso tardaría mucho más tiempo.
En cuanto a la viabilidad de los sistemas, se pueden hacer las siguientes observaciones:
  • Cada usuario llega al proceso de inscripción, y las instancias de control a posteriori, con su propio conjunto único de habilidades físicas y cognitivas personales. Aunque puede ser un promedio de la población para el grupo de trabajo de destino, variaciones tendrán impacto en el rendimiento y la aceptabilidad de los procesos.
  • El ambiente físico de los procesos puede afectar a su éxito con resultados similares.
  • Dependiendo del tamaño del grupo objetivo, para el registro de una organización puede tener que comprometer recursos significativos en términos de tiempo empleado fuera de su trabajo programado y en el empleo de personal específicamente para manejar los procesos, o en lugar de utilizar unidades móviles.
  • La entrega de instrucciones puede afectar a una capacidad de los usuarios para interactuar con éxito con el sistema.
La facilidad de uso y funcionalidad de los sistemas de seguridad no está bajo ninguna forma de normalización o de otro control. Sin embargo, la accesibilidad del entorno de trabajo y la prestación de servicios está consagrada en la legislación británica por la Ley de Discriminación por Discapacidad (1995, enmendada en 2005) (DDA), que busca alentar a los empleadores públicos y privados y proveedores de servicios a desarrollar y mantener los lugares de trabajo y servicios (físicas y virtuales) que sean accesibles para todos.

Conclusiones.
Las cuestiones planteadas aquí se pueden clasificar en dos áreas de relevancia para procesar el diseño: entorno físico y la interacción con el equipo. En ambas áreas las capacidades físicas, sensoriales y cognitivas de las personas deben ser consideradas cuidadosamente.

No se debe subestimar la importancia de estas preocupaciones, porque incluso si un esquema biométrica cumple con todos los requisitos políticos, jurídicos, sociales y tecnológicos que se demandan de él, todavía debe implementarse los aspectos prácticos teniendo en cuenta si el sistema se utiliza para proteger virtuales o en entornos reales. Los procesos de registro, verificación e identificación que forman el núcleo de cualquier sistema biométrico todas tienen lugar, en lugares reales con personas reales, circunstancias que pondrán a prueba la planificación y ejecución de la acción. Si las personas a las que tal esquema se destina a cubrir no pueden realizar fácilmente con la tecnología y su contexto ambiental, el plan incurrirá en gastos adicionales e inesperados recursos.
 

Los sistemas biométricos deberán justificarse de acuerdo con un modelo de negocio para proteger los activos de la organización, la necesidad de garantizar que la tecnología de medición biométrica se puede utilizar, según la definición de la ISO proporcionada anteriormente en este documento, y la práctica en el sentido de la definición ISO derivado , es de suma preocupación. Si no se asegura que esto podría dar lugar a insatisfacción individual y social que lleva a impredecibles y las consecuencias no deseadas en materia de gestión de activos en el lugar de trabajo.

Referencias:
http://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=1625410

"Imagenes sacadas del pdf"

1 comentario: