5 maneras para que su asistente virtual no comparta los secretos corporativos

Javier Paniagua

Los consumidores aman hablar con Alexa, Siri, Cortana y Google Now. Pero ¿que deben los CIOs hacer para prepararse para el uso en crecimiento de asistentes virtuales entre sus empleados?

Los asistentes virtuales como Siri de Apple, Cortana de Microsoft y Google Now tienen el potencial de hacer a un trabajador más productivo. Pero ¿asistentes que “escuchen siempre” son también una amenaza para la seguridad y privacidad?

19% de las organizaciones están usando asistentes digitales inteligentes, como Siri y Corana, para tareas relacionadas con el trabajo, de acuerdo con una encuesta de Octubre del 2016 realizada por Spiceworks de 566 profesionales de TI 46% de las organizaciones planean adoptar asistentes inteligentes en los próximos 5 años.

Actualmente, alrededor de 5000 millones de personas usan asistentes digitales activados por voz, con la expectativa de que 1.8 billones de personas lo hagan para el año 2021, de acuerdo con un estudio de Bing/iProspect. Porque la tecnología del trabajo tiende a seguir las tendencias de la tecnología del consumidor, se espera que los asistentes virtuales activados por voz se vuelvan más comunes en la oficina, un acontecimiento que los capitalistas notaron en The Wall Street Journal.

Pero cuando se les pregunto sobre sus mas grandes preocupaciones sobre los asistentes virtuales y la IA, la mayoría de los profesionales en TI apuntan a problemas de seguridad y privacidad (48%), según Spiceworks.

“Mientras los asistentes virtuales son tremendamente convenientes y añaden valor, estos dispositivos introducen nuevos retos de seguridad y privacidad,” dijo Merritt Maxim, analista, riesgo y seguridad senior, para la firma Forrester.

“En cierto nivel, podrían estar comprometidos por otros propósitos, como lo que le paso a Mirai Botnet. O los dispositivos por si mismos podrían estar comprometidos bien sea con propósitos maliciosos como recolectar data, o simplemente para probar la vulnerabilidad.” Noticias recientes reportan sobre como la CIA puede transformar un televisor Samgsun inteligente en un dispositivo para escuchar, esto no ayuda a que se disipen las preocupaciones.

Si estas planeando integrar asistentes virtuales en tu organizacion, aqui hay 5 recomendaciones de la industria y las mejores prácticas de TI para considerar escritas por profesionales de la seguridad.

Ver también: ¿Cómo hablarle a los Millennials de tecnología?

1. Enfocarse en la privacidad del usuario

Los desarrolladores de los asistentes virtuales regularmente trabajan en grandes compañías de tecnología con la habilidad de enfocar toda su atención en proteger a los usuarios, versus “hacer que el producto salga a la calle y venderlo antes de que alguien más lo haga,” dijo Will Ackerly, co-fundador y CTO de Virtru, una firma de encripción de correos electrónicos y seguridad.

De acuerdo con Ackerly con el tiempo, la privacidad se convertirá en una característica Premium y un diferenciador para productos de asistentes virtuales.

Mientras tanto, manufactureras deben tomar pasos para proteger a sus usuarios, moviendo más inteligencia a sus dispositivos y permitiéndole al usuario mantener control sobre adónde va su data y como se protege, recomendó Ackerly.

2. Desarrollar politicas

Asume que todos los dispositivos con micrófonos están siempre escuchando, dice Bill Anderson, quien trabajo en seguridad de BlackBerry y Palm y es actualmente CEO de la firma de seguridad para móviles OptioLabs. Incluso, si el dispositivo tiene un botón para desactivar el micrófono, si tiene una fuente de poder, aún es posible que este grabando audio, advierte.

También, recuerda que asistentes virtuales puede que graben búsquedas y peticiones hechas a través de la voz en el servidor del distribuidor. “¿Qué tomaría extraer la data?” preguntó Anderson.

Él dirige la atención sobre la invasión servidores de Yahoo como ejemplo de cómo, en el peor de los cases, un atacante podría obtener “ventaja en entrar a mis otras cuentas y tener acceso a esta data (grabación de voz)

Para Bolster privacidad y seguridad, una compañía debe empezar con la foto a gran escala de donde se encuentra su vulnerabilidad, recomienda Anderson. “Pregúntese a usted mismo, ¿Su organización reconoce que ya hay micrófonos múltiples en las oficinas? ¿Ha pensado en la privacidad y seguridad del sistema telefónico de su oficina? ¿Cómo sabe si su sistema ya no ha sido hackeado? ¿Cómo sabes si sus laptops no están siendo monitoreadas por terceros? ¿hay otros dispositivos en la oficina que graben voz? ¿Sabe cómo llegaron ahí y cuál es su función?

Una vez que tengas la imagen completa, desarrolla una política que refleje ¿cuánto problema estarías dispuesto a enfrentar para asegurar las conversaciones regulares no están siendo filtradas sin intención, y si les importas las conversaciones regulares que ya están en equipos (como en el sistema de teléfonos) entonces estás listo para pensar sobre una política de asistentes virtuales”, externó Anderson. 

Relacionado: ITNOW Updates: Primer laboratorio móvil de fabricación en la región

3. Trata a cualquier dispositivo de asistentes virtuales como cualquier dispositivo IoT

TI “debe tratar a los asistentes virtuales de los dispositivos como cualquier otro dispositivo IoT que grabe información delicada y la envíe a un tercero,” manifestó Marc Laliberte, analista de riesgos sobre la seguridad de la información en la firma WatchGuard Technologies.

Estos dispositivos no deberían estar operacionales en lugares donde se maneje información potencialmente sensitiva. Además, dispositivos IoT deberían ser separados del resto de la red corporativa, para dar protección adicional si por algún motivo esta sea comprometida.

Una manera de segmentar los dispositivos IoTde la red corporativa es conectarlos a una red Wi-Fi invitada, que no permite acceso a la red de recursos internos, agregó Matias Woloski, CTO y co-fundador de Auth0, una plataforma de identidad universal.

4. Decidir entre “Traiga el suyo” o propio de la compañia

La manía de Traiga el suyo (o en sus siglas en inglés BYO – bring your own) de los últimos años se extenderá inevitablemente a los asistentes virtuales activados por voz como Google Home y Amazon’s Echo, dice David Fapohunda, director de PwC’s en la unidad de crímenes financieros, el cual atiende casos de seguridad cibernética.

 “Veremos estos dispositivos transformarse en algo común en aplicaciones personales y corporativas en los próximos años. A diferencia de las aplicaciones de hoy, estas se volverán más personales, capaz de identificar quien es el usuario solo reconociendo su voz, o algo potencialmente similar a las acústicas del Wi-Fi”, manifestó Fapohunda.

Las versiones de la siguiente generación serán creadas especialmente para cada persona y serán capaz de proveer más respuestas contextuales. Un asistente digital leerá tus correos electrónicos, mensajes de voz, e incluso se comunicará con otros asistentes virtuales en tu red personal o tu red de trabajo.  A este punto, el asistente se convertirá en una herramienta crítica como los correos electrónicos. 

5. Plan de protección.

Dispositivos como Google Home y Echo de Amazon están diseñados para hogares, no para los sitios de trabajo, dijo Will Burns, vicepresidente de seguridad cibernética para la firma root9B. “mientras que su presencia hace que algunas de sus actividades sean convenientes, no están preparados para tomar acción o seguridad y traer con ellos un numero de preguntas de seguridad sin resolver, agrega éste.

“Si hay alguno desplegado dentro del ambiente corporativo, no lo fusionaría con una cuenta corporativa usada para compras. Minimizaría si acceso a Internet a el tiempo específico en el que está siendo usado en la oficina, y monitorearía sus actividades en redes”, añadió.

Tal y como muchas organizaciones hoy en día bloquean sus cámaras de seguridad cuando no están en uso, debe haber una protección similar para los micrófonos de los asistentes virtuales cuando estos no están en uso.

 

Este artículo está clasificado como: , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR