CIO
Asistentes virtuales como Siri de Apple, Cortana de Google y Google Now, tienen el potencial de hacer que los trabajadores de las empresas sean más productivos. Pero, ¿los asistentes “que siempre escuchan” también representan una amenaza grave para la seguridad y la privacidad?
19% de las organizaciones ya están usando asistentes digitales inteligentes, como Siri y Cortana, para tareas relacionadas con el trabajo, según la encuesta de octubre de 2016 realizada por Spiceworks a 566 profesionales de TI en América del Norte, Europa, Medio Oriente y África. La encuesta también encontró que el 46% de las organizaciones planea adoptar asistentes inteligentes dentro de los próximos cinco años.
Actualmente, alrededor de 500 millones de personas usan asistentes digitales activados por voz, y se espera que 1.8 billones de personas lo hagan para el 2021, según un estudio de Bing / iProspect.
Debido a que la tecnología del lugar de trabajo tiende a seguir las tendencias tecnológicas de los consumidores, se espera que los asistentes virtuales habilitados por voz se vuelvan más comunes en la oficina, señaló un capitalista de riesgo recientemente en The Wall Street Journal.
Pero cuando se le preguntó acerca de sus mayores preocupaciones relacionadas con los asistentes virtuales y la inteligencia artificial, la mayoría de los profesionales de TI apuntaron a problemas de seguridad y privacidad (48%), según Spiceworks.
Si bien “los asistentes virtuales ofrecen una gran comodidad y valor, estos dispositivos introducen nuevos desafíos de seguridad y privacidad”, explicó Merrit Maxim, analista senior de seguridad y riesgo, para la firma de investigación Forrester.
“En un nivel, podrían verse comprometidos para otros fines, como lo que sucedió con la botnet Mirai. O los propios dispositivos podrían verse comprometidos ya sea con fines maliciosos, como recopilar datos, o simplemente para demostrar una vulnerabilidad“, añadió Maxim.
Si planea integrar asistentes virtuales en su organización, aquí hay cinco recomendaciones de parte de los profesionales de seguridad en la industria de TI.
1.Enfoque en la privacidad del usuario
Los desarrolladores de asistentes virtuales suelen trabajar en grandes compañías tecnológicas con la capacidad de dirigir su atención a proteger a los usuarios, en lugar de “sacar el producto de la puerta y venderlo antes que alguien más”, afirmó Will Ackerly, cofundador y CTO de Virtru, una firma de encriptación y seguridad de datos de correo electrónico.
Él añadió que, con el tiempo, la privacidad “se convertirá en una característica premium y diferenciadora” para los productos de asistentes virtuales.
Mientras tanto, los fabricantes deberían tomar medidas para salvaguardar a sus usuarios moviendo más inteligencia a sus dispositivos y permitiéndoles mantener el control sobre dónde se encuentran sus datos y cómo están protegidos, aconsejó Ackerly.
2.Desarrolle una política
Supongamos que todos los dispositivos con micrófono siempre están escuchando, argumentó Bill Anderson, que trabajó en seguridad para BlackBerry y Palm, y ahora es director ejecutivo de la empresa de seguridad empresarial móvil OptioLabs. Incluso si el dispositivo tiene un botón para apagar el micrófono, si tiene una fuente de alimentación, aún es posible que esté grabando audio, advirtió.
Además, recuerde que los asistentes virtuales pueden almacenar búsquedas de voz y solicitudes en los servidores del proveedor. “¿Qué se necesitaría para violar esa información?”, preguntó Anderson.
Para reforzar la privacidad y la seguridad, una empresa debe comenzar con una idea general de dónde se encuentran sus posibles vulnerabilidades, comentó Anderson. “Pregúntese: ¿su organización reconoce que ya hay micrófonos múltiples en cada oficina? ¿Ha pensado en la privacidad y seguridad de su sistema de teléfono PBX en la oficina? ¿Cómo sabes que el firmware en los teléfonos de tu oficina no ha sido pirateado? ¿Cómo sabes que tus computadoras portátiles no tienen un software de monitoreo de terceros? ¿Hay otros dispositivos en la oficina (que graban voz)? ¿Comprendes cómo llegaron allí y cuál es su función?”
Una vez que tenga una imagen completa, desarrolle una política que refleje “la cantidad de problemas que desea atravesar para garantizar que las conversaciones regulares no se filtren involuntariamente”, dijo Anderson. “Y si le importan las conversaciones regulares sobre equipos existentes (como los sistemas telefónicos PBX), entonces está listo para pensar en una política para asistentes virtuales”.
3.Trate a los dispositivos de asistente virtual como cualquier dispositivo IoT
“Debe tratar los dispositivos de asistentes virtuales como cualquier otro dispositivo IoT que registre información confidencial y la envíe a un tercero”, sostuvo Marc Laliberte, analista de amenazas a la seguridad de la información para la empresa de seguridad WatchGuard Technologies.
“Estos dispositivos no deberían estar operativos en lugares donde la información potencialmente confidencial se transmite verbalmente. Además, los dispositivos de IoT deben segmentarse del resto de la red corporativa para proporcionar protecciones adicionales si se ponen en peligro”.
Una forma de segmentar los dispositivos IoT desde la red corporativa es conectarlos a una red Wi-Fi invitada, que no proporciona acceso a los recursos de la red interna, agregó Matias Woloski, CTO y cofundador de Auth0, una plataforma de identidad universal.
4.Decida sobre BYO o propiedad de la compañía
La moda de BYOD de los últimos años se extenderá inevitablemente a los dispositivos de asistente virtual habilitados para voz como Google Home y Amazon’s Echo, aseguró David Fapohunda, director de la unidad de delitos financieros de PwC, que se ocupa de ciberseguridad.
“Veremos que estos dispositivos se vuelven más comunes tanto en aplicaciones personales como corporativas en los próximos dos años”, expresó Fapohunda. “A diferencia de las versiones actuales, se volverán más personales, capaces de identificar quién es el usuario por reconocimiento de voz, un dispositivo portátil o potencialmente algo así como imágenes de acústica Wi-Fi“.
“Las versiones de próxima generación se adaptarán a cada individuo y realmente proporcionarán respuestas contextuales más profundas y automatizarán muchas tareas manuales. Un asistente digital leerá sus correos electrónicos, correos de voz e incluso se comunicará con otros asistentes virtuales en su red personal y comercial. En este punto, los asistentes se convertirán en una herramienta empresarial crítica como el correo electrónico “.
Pero este escenario en un futuro no muy lejano presenta un desafío para la empresa. ¿Permite asistentes virtuales BYO? ¿O debería la empresa poseerlos y administrarlos? La pregunta provocará más discusión de la que ha tenido hasta ahora “a medida que los ejecutivos de C-suite refinan sus próximas estrategias de reducción de gastos operativos o de optimización de personal”, manifestó Fapohunda.
Dado que los asistentes virtuales personales “confían en la nube para comprender comandos complejos, buscar datos o asignar tareas informáticas complejas a más recursos”, su uso en la empresa genera problemas sobre propiedad de datos, retención de datos, robo de datos y de IP, y aplicación de privacidad de datos que CISOs y CIOs necesitarán abordar, agregó.
No se pierda: Samsung lanza asistente virtual en el nuevo S8
5.Plan para proteger
Dispositivos como Google Home y Amazon’s Echo están diseñados para hogares, no para lugares de trabajo, señaló Will Burns, vicepresidente senior de la firma de seguridad cibernética root9B. “Si bien su presencia hace que ciertas actividades sean convenientes, no están orientadas a acciones empresariales o de seguridad y traen consigo una serie de preguntas de seguridad sin resolver”, explicó.
“Si hay uno desplegado dentro del entorno corporativo, no lo vincularía a una cuenta corporativa utilizada para la compra. Minimizaría su acceso a Internet a la hora específica en que se usa para las actividades corporativas, y supervisaría su actividad de red. Al igual que muchas empresas hoy en día ahora ponen una cubierta en sus cámaras web cuando no están en uso, debe haber protecciones similares en el micrófono para su asistente digital “.