Para la mayoría de las organizaciones con las que interactúa, su identidad se extiende más allá de quién es usted. Para un establecimiento de salud, su identidad es usted más su comprobante de seguro. Cuando trata con su corredor de bolsa, banco o prestamista hipotecario, es usted más su dinero, su número de seguro social, su calificación crediticia, etc. edad.
Piense en la identidad como una entidad viva, en constante cambio con el tiempo. Hoy, su banco puede solicitar credenciales básicas basadas en los datos de Know-Your-Customer (KYC) que tienen sobre usted. Mañana, a medida que evolucionen las amenazas cibernéticas y cambie el cálculo del riesgo, es posible que soliciten evidencia de identificación adicional, como un escaneo de su iris.
En resumen, la identidad es un tema complejo. No existe una fórmula mágica de verificación de identidad (IDV) para defenderse de todos los atacantes. Pero actualizar IDV para cambiar dinámicamente entre diferentes modos de verificación hace que sea mucho más difícil de anticipar para los estafadores. Por ejemplo, una empresa puede adaptar su proceso IDV para solicitar su contraseña e ID de usuario como se espera, luego, cuando una señal levanta sospechas, también solicitar que se le envíe un mensaje de texto.
Las empresas pueden recopilar una gran variedad de datos sobre usted, desde su ubicación hasta escaneos faciales o hábitos de gasto. La disponibilidad de múltiples tipos de datos y comprobaciones es fundamental para la VDI dinámica. La combinación flexible de tipos de datos solicitados a los usuarios en respuesta a señales como una dirección IP inusual agrega imprevisibilidad a los estafadores. Contrariamente a la intuición, esto también puede significar que se necesitan menos puntos de control durante el viaje de un usuario. El uso de múltiples tipos de datos puede ayudar a reducir la fricción en algunos casos.
Identidad flexible y flujos dinámicos
La clave del éxito con IDV dinámico es la capacidad de cambiar a los usuarios en diferentes rutas acordadas en tiempo real en función de una variedad de señales y puntos de datos. Alguien que compre videojuegos desde una dirección IP en Siria con una tarjeta de crédito de EE. UU. requiere más rigor de verificación que un comprador en EE. UU.
Para un prestamista, esto podría funcionar al revés; un solicitante con excelente crédito que busca un préstamo grande probablemente presenta un mayor riesgo de identidad que un solicitante de préstamo pequeño que admite un historial crediticio deficiente. Este último, con un puntaje FICO bajo, es claramente un riesgo comercial, pero un prestamista lo habría tenido en cuenta. Distinguir entre usuarios, según el riesgo percibido, los puntos débiles y las señales en vivo, le permite crear enfoques personalizados para una mejor experiencia de usuario. También minimiza la pérdida de clientes por “exasperación IDV”. La capacidad de escalar este viaje a escala requiere un enfoque dinámico para IDV donde el riesgo se equilibra continuamente con la fricción.
Una empresa puede aprovechar las señales pasivas como un primer filtro en ciertas situaciones, luego usar IDV dinámico para reducir la fricción, mientras logra objetivos de control de fraude, confianza, seguridad y cumplimiento. Luego, se aplican controles de verificación adicionales de forma dinámica si es necesario, como confirmar la edad del cliente al enviar alcohol con un pedido de comida.
De esta manera, el proceso IDV se adapta a medida que cambian las situaciones, equilibrando la experiencia del usuario con la mitigación del fraude. No se trata solo de los factores de autenticación utilizados en los puntos de control. También es el proceso. El viaje del usuario para IDV es importante. Si el flujo de trabajo que siguen se adapta adecuadamente a cada usuario y es impredecible para los estafadores, IDV se vuelve mucho más difícil de piratear para ellos.
Una razón más para implementar un IDV dinámico: las regulaciones cambiantes, las amenazas, las condiciones comerciales y las políticas corporativas a menudo requieren puntos de control de IDV móviles. Rara vez es tan simple como maximizar los ingresos finales mediante la optimización de las compensaciones entre la experiencia del usuario de baja fricción y el control del fraude. Existe un equilibrio más complejo que considera el cumplimiento, la reputación pública, el costo de remediación y la satisfacción del usuario, así como las pérdidas por fraude y las ganancias por ventas.
Al igual que muchos aspectos del software y el desarrollo web, generalmente es mejor dejar la capacidad de cambiar de forma reactiva los modos IDV a los especialistas. En otras palabras, “comprar” en lugar de “construir”. A menudo se utilizan proveedores de software de terceros porque la gestión de PII es su especialidad, y es una tarea abrumadora integrarse con varios recursos de verificación. Un proveedor externo también puede realizar verificaciones de identidad dinámicas y hacer que sea fácil y eficiente personalizar el flujo de trabajo de soporte. La conveniencia está en el corazón de su propuesta de valor.
Reduce la fricción y mejora la seguridad.
Dynamic IDV tiene el potencial de mejorar la seguridad y reducir la fricción para los usuarios. Un método de punto de control inesperado puede tomar a los estafadores con la guardia baja. IDV dinámico en realidad podría significar que menos puntos de control brindan una mejor seguridad si sorprende, y menos paradas mejoran la experiencia del usuario.
Para ejecutar este enfoque, la automatización es el mecanismo más eficaz. En la práctica, el IDV dinámico promulga decisiones basadas en señales y datos sin la necesidad de un ser humano en el circuito. La automatización también ejecuta las políticas de variación dinámica de su punto de control en respuesta al comportamiento del usuario y las señales pasivas. Obviamente, es mucho más rápido que los humanos verificar los datos de seguridad. También reduce el riesgo de ataques internos al reducir la cantidad de empleados y revisores externos necesarios para interactuar con los datos personales de sus usuarios.
Desde la perspectiva de la gestión de riesgos y la experiencia del cliente, el IDV dinámico, que utiliza la automatización en lugar de un enfoque manual, es la mejor manera de gestionar la realidad de que la identidad del usuario n no es estática. IDV debe reaccionar a medida que el negocio evoluciona, los estafadores prueban nuevos métodos y aparecen nuevas tecnologías de verificación en línea.