Aunque la seguridad de los chatbots es importante para todas las empresas, lo es especialmente para los sectores sanitario, financiero y gubernamental. Si tenemos en cuenta las cuestiones de seguridad que son importantes para estos sectores, al menos podremos cubrir las cuestiones que son relevantes para todas las empresas.
Implicaciones de seguridad de Chatbot y los elementos a tener en cuenta para crear un entorno seguro.
Hay una serie de puntos a considerar cuando se trata de la seguridad del chatbot. Estos pueden abordarse a grandes rasgos a través de las siguientes preguntas:
- ¿Qué entorno se utiliza para crea el chatbot?
- ¿Dónde está alojado el chatbot?
- ¿Cuáles son las características de seguridad de la tecnología sobre la que se construye el chatbot?
- Abordaré estas cuestiones una por una.
1. Medio ambiente
El acceso al entorno utilizado por los desarrolladores (tanto empleados como contratistas) para desarrollar el chatbot debe estar protegido y autorizado. Esto significa no solo proteger y controlar el código fuente, sino también proteger las comunicaciones y asegurarse de que el entorno está libre de virus y otras amenazas.
Deben establecerse normas para la instalación de antivirus, el cifrado, el control de acceso, la formación obligatoria en seguridad de la información y el registro de actividades. También se necesitan procedimientos y políticas que regulen las pruebas de las funciones de seguridad de los chatbots y el control de cambios para que los desarrolladores no puedan hacer cambios en el código fuente sin la aprobación explícita de un ingeniero superior.
2. Alojamiento
Hoy en día existen muchas opciones para alojar chatbots , desde las públicas cloud, pasando por las privadas cloud, hasta las on-prem (en las instalaciones / internas).
Las empresas que necesiten un grado superior de seguridad de la información optarán por una instalación privada cloud u on-prem en función de la naturaleza del caso de uso del chatbot.
Es importante comprender que el alojamiento no consiste únicamente en alojar el propio bot. Si el chatbot utiliza servicios de terceros, como un motor NLP, habrá que tener en cuenta los riesgos de seguridad del chatbot asociados a estos servicios. ¿Estos servicios son SAAS o están disponibles on-prem, por ejemplo? ¿Aíslan los datos de los clientes o todos los datos se agrupan de alguna forma?
La interfaz del chatbot es otro aspecto a tener en cuenta. Si el bot se utiliza a través de una plataforma de chat como Facebook Messenger , la información del cliente quedará expuesta y registrada por esta plataforma. Esto puede o no ser un problema de seguridad del chatbot, pero es evidente que hay que tenerlo en cuenta.
Las empresas preocupadas por la transmisión de los datos de sus conversaciones a través de plataformas de chat como Facebook Messenger y Slack, pueden utilizar medios alternativos para comunicarse con sus clientes a través de soluciones on-prem o privadas cloud como Mattermost o Web Chat.
3. 3. Elementos de seguridad
Tanto si el bot está alojado en cloud como si lo está on-prem, hay que tener en cuenta muchas características de seguridad relacionadas con los bots.
El acceso del personal administrativo al sistema de gestión del chatbot debe estar estrictamente controlado mediante la seguridad basada en roles y la gestión multiusuario. Si es necesario, este control de acceso puede integrarse con la solución interna de gestión de acceso e identidades de la empresa, como Active Directory y LDAP.
El sistema debe incluir registros completos y detallados que muestren la actividad de los usuarios (incluidos los administradores) y del sistema. Deben establecerse alertas para notificar a los administradores y a otras personas si se produce una actividad específica.
Aparte de las alertas normales, deben configurarse alertas especiales para notificar a los administradores y a otras personas actividades sospechosas, incidentes y excepciones.
Los datos y registros que se almacenan en los servidores, como los registros/interacciones de los clientes o los datos de autenticación, deben cifrarse con algún tipo de cifrado estándar del sector, como AES-256.
La transmisión de mensajes entre usuarios finales y servidores, así como las conexiones entre sistemas front-end (como Webchat, páginas web o una plataforma de chat) y back-end deben cifrarse con estándares del sector como TLS.
4. 4. Políticas y procedimientos
Por supuesto, es fundamental para todo lo anterior que se establezcan políticas y procedimientos pertinentes que rijan las normas de seguridad de la información. La seguridad de la información no se establece una sola vez, sino que es una actividad continua.
Estas políticas y procedimientos regirán no sólo la configuración del software pertinente, sino que también especificarán cuándo y cómo se llevarán a cabo las sesiones periódicas de formación y las pruebas de seguridad.
Proteger un chatbot no difiere de proteger cualquier otro programa informático. Al principio del proceso debe evaluarse el grado de confidencialidad de los datos subyacentes, lo que determinará las medidas que debe adoptar la organización para garantizar la seguridad de los datos.
Esperamos que este artículo le haya proporcionado una visión general de alto nivel sobre algunos de los riesgos de seguridad y vulnerabilidades implicados en la creación de un chatbot seguro.
Índice
Manténgase al día sobre lo último en agentes de IA
Comparte esto en:
.svg)
