viernes, 21 de enero de 2011

Seguridad y privacidad en las bibliotecas hiperautomatizadas

Una tarjeta RFID

Dos de las dudas frecuentes que a algunos directores de biblioteca se les plantea en relación a la eventual adopción de tecnologías RFID en su institución tienen que ver con consideraciones de seguridad: ¿Qué ocurre si alguien pierde su tarjeta de identificación RFID? y con consideraciones de privacidad: ¿Qué tan seguro es el resguardo de la información privada que eventualmente queda guardada en la tarjeta inteligente que usan los sistemas en las bibliotecas hiperautomatizadas?. Las dudas son legítimas, por lo que dedicamos este post a comentar aspectos ligados a la seguridad y en uno próximo conversaremos acerca de la privacidad de la información cuando se usan tarjetas inteligentes RFID como mecanismo de identificación institucional, como lo hacen las bibliotecas modernas.

El problema
Un usuario puede perder su tarjeta y ello claramente puede ocasionar varios problemas: Alguien pueda usar la tarjeta perdida indebidamente y/o alguien podría leer la información contenida en la tarjeta y de esa forma apoderarse de la información privada del usuario que extravió la tarjeta. En realidad las dudas son fundadas porque en algunos sistemas este tipo de problemas pueden estar presentes, pero la verdad es que la solución es sencilla y los sistemas bien diseñados no los presentan.

Extravío o hurto de tarjeta RFID
Los sistemas mantienen en sus bases de información una asociación entre la persona y un código de identificación único residente en el chip de la tarjeta RFID o carnet, por lo que si un usuario pierde su tarjeta o se la roban, sólo hay que romper en el sistema la asociación que existe entre el usuario y la tarjeta para que ésta quede, para todo efecto práctico transaccional, inutilizada.

Hoy en día los sistemas ofrecen directamente la posibilidad de que el propio usuario anule su tarjeta usando los servicios del sistema a través de la red, por lo que ni siquiera el personal de la institución tiene que ocuparse del asunto. Este procedimiento está alineado con la tendencia moderna de colocar facilidades para que el usuario se autoatienda en todos sus requerimientos, o al menos en el mayor número de ellos.

Una vez anulada una tarjeta por el propio usuario que la extravió o a quien le fue hurtada, nadie podrá usar su carnet indebidamente. El usuario deberá tramitar otra tarjeta de identificación ante la institución, pagando la cantidad que ésta tenga establecida. El hecho de que todas sus transacciones están siempre disponibles para él en su página personal en la biblioteca permite que el usuario se asegure que su acción oportuna evitó toda consecuencia indeseada.

Otras tecnologías
Puede notarse que con otras tecnologías, como los códigos de barras o las bandas magnéticas,  no hay un código único no duplicable residente en el hardware de la tarjeta y por tanto este tipo de tarjetas no RFID si son inseguras y no protegen contra los usos indebidos. El usuario todavía puede estar protegido con un mecanismo de autoanulación de la tarjeta perdida, pero el hecho de que alguien puede duplicar con relativa facilidad su tarjeta siempre lo dejará a él, y a la institución, un poco expuestos.

Recomendación para directores de bibliotecas hiperautomatizadas
Es importante colocar en el sitio Web institucional información fácilmente asequible acerca de cómo el usuario debe proceder en el caso de que pierda o le roben su tarjeta de identificación.

No hay comentarios: