¿Son los chatbots su próxima gran vulnerabilidad de datos? Sí, los chatbots, esos pequeños complementos de Slack y otras aplicaciones de mensajería que responden a preguntas básicas de recursos humanos, realizan encuestas en toda la empresa u obtienen información de los clientes antes de ponerlos en contacto con una persona, suponen un riesgo para la seguridad.
Debido a la forma en que compramos bots, Rob May, CEO del proveedor de chatbot "Talla", dice que la industria de TI se dirige hacia una crisis de seguridad de datos. "En los primeros días del SaaS [software como servicio]", explica, el software "se vendía como: 'Oye, departamento de marketing, ¿adivina qué? TI no tiene que dar el visto bueno, sólo necesitas un navegador web', y a TI le pareció bien hasta que un día toda tu empresa era SaaS". De repente, las operaciones críticas eran gestionadas por plataformas compradas sin ninguna práctica recomendada de gestión de usuarios o datos. Para evitar que los chatbots provoquen una vulnerabilidad de datos similar, May recomienda racionalizar ahora la compra e implementación de bots.
Por desgracia, es posible que los empleados ya estén utilizando chatbots para compartir información salarial, detalles del seguro médico y datos similares. Entonces, ¿qué medidas puede tomar ahora el departamento de TI para mantener a salvo esos datos? ¿Cómo detener esta vulnerabilidad antes de que empiece? ¿Qué otras preguntas debería plantearse?
Entender cómo se utilizarán los chatbots
Priya Dodwad, desarrolladora del proveedor de seguridad informática y de redes Rapid7, explica cómo se utilizarán los chatbots. Después, antes de construir o comprar nada, entrevista a los usuarios. Esto ayuda de dos maneras: En primer lugar, las respuestas de los usuarios muestran si los chatbots que estás considerando se utilizarán según lo previsto. Esto mejora la adopción por parte de los usuarios y la productividad. Las entrevistas también ayudan a evaluar el nivel de amenaza: Puede prepararse mejor para los problemas de privacidad de los chatbots si conoce el tipo de datos que está protegiendo.
Cuando Rapid7 se plantea un nuevo chatbot, Dodwad dice: "Empezamos pensando: 'Vale, ¿cuál es la información que va a contener? ¿Van a ser datos PII [información de identificación personal] o datos confidenciales o relacionados con los ingresos? Esos bots son los que más nos preocupan". Rapid7 ejecuta bots que hacen algo no crítico -como pegar gifs en el chat de Slack- a través de un proceso menos estricto.
El problema con esto, sin embargo, es que a veces la gente puede charlar sobre cosas serias mientras utiliza una herramienta frívola. Jim O'Neill, antiguo CIO de Hubspot, dice: "Aprende que tus humanos ofrecerán datos voluntariamente". Utilizando un bot de gifs, por ejemplo, un empleado puede enviar a otro un divertido mensaje de "ponte bien". Lo siguiente que sabes es que están discutiendo el diagnóstico de cáncer de este último. "Si pensamos en las interacciones conversacionales con bots, lo natural es que demos más información de la que pretendemos", continúa.
Para hacer su trabajo, los chatbots necesitan hacer preguntas. Los datos que obtienen les ayudan a evaluar la situación y a entrenarse. Según O'Neill, "a medida que los bots pregunten más -porque intentan ser útiles y aprender más-, los datos sensibles irán entrando de forma natural". Por ejemplo, pensemos en un bot que dirija a los clientes de seguros de salud al departamento adecuado para obtener ayuda. Primero, pide el número de reclamación del cliente, pero luego el usuario escribe: "Es 4562 y necesito saber si las pruebas de ETS están cubiertas porque tengo que hacer algo con este sarpullido".
¿Quién más ve la información del chatbot?
El departamento de TI no sólo debe prepararse para la introducción de datos inesperados en el sistema, sino que los CSO también deben preguntarse quién verá esta información. Al considerar un nuevo proveedor, May recomienda preguntarse adónde irán a parar inevitablemente los datos. ¿Se almacenan localmente o en la nube? ¿A quién se envían? ¿Cómo se entrena al robot?
Como en la mayoría de los casos de aprendizaje automático, a menudo son personas reales las que comprueban el trabajo de un chatbot empresarial para mejorar el motor. Si la revisión humana forma parte del proceso de su proveedor, May dice que pregunte: "¿Quién ve los datos? ¿Salen en Mechanical Turk [de Amazon]? ¿Salen en un archivo crowd? ¿Te importa?
"Hay una compensación", continúa. "A veces [el chatbot] puede ser la única manera de hacer lo que necesitas y tienes que lidiar con eso. Hay que decidir: ¿Pueden salir tus datos? ¿Adónde van y cómo se entrenan estas cosas?".
Una solución, añade May, sería implementar un acuerdo de nivel de servicio (SLA) que aborde los riesgos del chatbot. Además de incluir requisitos de tiempo de actividad, expectativas de calidad y otras cuestiones que se suelen encontrar en un SLA, asegúrese de que su acuerdo aborda el cifrado del chatbot y expectativas de seguridad similares.
Empezar con una prueba de concepto de chatbot
Para mitigar el riesgo, Dodwad afirma que la mayoría de los chatbots externos de Rapid7 empiezan como una prueba de concepto (POC). Sólo después de una POC exitosa se despliegan más ampliamente. Dice que la POC es también una oportunidad para reevaluar la necesidad: "Es importante ver cuál es la cobertura de ese bot: ¿Va a llegar a todos los empleados o es sólo para un departamento concreto? Cosas así influyen en cómo planificamos el despliegue y la formación en torno a él". A pesar de ser una empresa tecnológica, Dodwad afirma que muchos empleados de Rapid7 "no son muy técnicos, así que tenemos que asegurarnos de que [el bot] sea muy intuitivo".
Cuanto más intuitivo, mejor, no sólo para que el chatbot pueda ofrecer la solución para la que fue comprado, sino también para que los usuarios no introduzcan datos privados innecesarios. Volviendo a nuestro ejemplo del seguro médico, si los usuarios facilitan demasiados datos, facilite el uso del chatbot. Si el bot pregunta: "Por favor, dígame su número de reclamación y sólo su número de reclamación", menos usuarios hablarán de su sarpullido.
En el caso de los chatbots para empleados, la formación de los usuarios enseña al personal qué nivel de información es apropiado compartir y cuál no. La formación de los empleados también reduce el riesgo de implementaciones fraudulentas, como las que las empresas vieron en los primeros días de SaaS. Si los empleados entienden por qué es importante la privacidad de los chatbots, es más probable que pasen los nuevos bots por el departamento de TI antes de instalarlos.
Cuidado con las pequeñas fugas de datos de chatbot
May recomienda al departamento de TI que determine quién tiene permiso para instalarlo cuanto antes. "Una cosa es instalar un bot que hace una encuesta en el almuerzo", dice, pero "muchos de estos bots van a utilizar credenciales para conectarse a los sistemas. ¿Cómo se controla eso?".
Para limitar aún más la implementación ad hoc, recuerde a los empleados que una serie de pequeñas filtraciones de datos puede causar tanto daño como una brecha importante. May cuenta la historia de un intento de pirateo en Backupify, un proveedor de copias de seguridad de nube a nube del que era propietario antes de fundar Talla: Alguien utilizó la dirección de correo electrónico de su director financiero para intentar, sin éxito, transferir fondos de la cuenta bancaria de la empresa. "Si un bot sabe cosas sobre tu empresa", dice, "cuando la gente hace una serie de preguntas y recupera piezas de información y lo sumas todo, descubren algo que no deberían descubrir".
No asustes a tus colegas hasta la sumisión. De las muchas operaciones empresariales que los bots afectan en la actualidad, RRHH es la más afectada. Los chatbots empresariales se utilizan para hacer más eficiente el reclutamiento, para incorporar nuevos empleados y para predecir la probabilidad de que un empleado se vaya. Talla, por su parte, responde a preguntas comunes como "¿Cuántas vacaciones me quedan?" para que los representantes de RRHH no tengan que hacerlo. Para que cualquier chatbot -y especialmente los de RRHH- funcione, los empleados deben sentirse cómodos hablando con ellos. O'Neill afirma: "PII, PHI y toda esta información van a estar ahí. No intentes eludirla; acéptala. Si te sientes cómodo sabiendo que estos datos van a estar ahí y confías en las empresas con las que estás haciendo tus integraciones de bots y las interacciones de chat, entonces puedes confiar en que vas a tener mejores resultados. Obtendrás mejores datos y tomarás decisiones mejor informadas".
Fuente: CSO
Comentários