BeyondCorp de Google es una manera fundamentalmente mejor de proteger los activos de la empresa, pero requiere un enfoque diferente.
Cómo las empresas pueden identificar las ciberamenazas emergentes La nube es esencial para los negocios, pero también es un vector de amenazas para la ciberseguridad. Brad Arkin, director de seguridad de Adobe, explica las mejores prácticas para gestionar el riesgo cibernético en un entorno de varias nubes.
Tengo malas noticias para ti: Estás a un paso de una brecha al estilo Equifax. Si le sirve de consuelo, también lo hacen sus competidores, socios y clientes. De hecho, casi todas las empresas, además de Google, se sientan en este mismo barco con fugas, habiendo invertido años en seguridad basada en el perímetro que no funciona -no puede funcionar-, especialmente en un mundo de software construido sobre nubes.
Ese mismo Google, sin embargo, ofrece algunas buenas noticias.
Hace años, Google descartó el enfoque perimetral con una iniciativa interna denominada BeyondCorp. El enfoque de seguridad «sin confianza» de BeyondCorp ofrece pistas importantes para proteger los activos de datos de la empresa, y no es sólo para Google, aprendí de Paul Querna, CTO y cofundador de ScaleFT, una empresa de software que ayuda a las empresas a lograr su propia arquitectura de seguridad inspirada en BeyondCorp. BeyondCorp no le dará una escala similar a la de Google, pero puede proporcionarle una seguridad similar a la de Google.
El centro no puede contener
Más información sobre ciberseguridad
La visión fundamental de BeyondCorp es el acceso en tierra en la identidad; hacer que la seguridad esté centrada en las aplicaciones, no en la red. Comenzó en Google como respuesta a la Operación Aurora, un ataque perpetrado en 2009 por China y dirigido contra una serie de grandes empresas estadounidenses. Uno de esos objetivos era Rackspace, donde Querna era miembro del equipo de infraestructura.
«Nuestra respuesta a Aurora fue muy reactiva y motivada por el miedo: comprar más firewalls, comprar más VPNs», dijo Querna. Esto no resultó en un mejor resultado de seguridad y, de hecho, empeoró aún más las cosas porque las medidas de seguridad añadidas sólo hicieron más difícil que los empleados hicieran su trabajo». La gente estaba demasiado frustrada para trabajar, o hacían lo que podían para eludir los controles de seguridad».
¿Te suena familiar?
SEE: Política de notificación de incidentes de seguridad de la información (Tech Pro Research)
Debería, porque las probabilidades son muy buenas de que su compañía opere de la misma manera. Lamentablemente, el enfoque (demasiado común) de reforzar el perímetro apilando VPNs en los cortafuegos nunca funciona realmente. De hecho, todas las demás compañías atacadas por el ataque de Aurora -Yahoo, Symantec, Morgan Stanley, entre otras- se dedicaron a la defensa de la misma manera, sin lograr un mejor resultado en materia de seguridad.
Sólo Google tuvo la previsión en ese momento de reconocer que el perímetro estaba fundamentalmente roto. «Como todavía estábamos apagando incendios, vimos lo que Google estaba haciendo al otro lado del camino y creímos que tenían el modelo correcto», dijo Querna. «Comenzamos ScaleFT más o menos al mismo tiempo que se publicó el primer trabajo de investigación de BeyondCorp, y se alineó casi exactamente con nuestro pensamiento. Nos propusimos crear las capacidades de BeyondCorp para empresas que no sean Google».
Una nueva esperanza
Google ha hecho muchas cosas bien con BeyondCorp, y empieza por replantearse la arquitectura de seguridad desde cero. Donde los métodos tradicionales de seguridad basados en el perímetro se centran en la protección de la red, BeyondCorp trata cada red como no confiable, cambiando los controles de acceso a la capa de aplicación. Aquí, la identidad se redefine como un usuario en su dispositivo, y la confianza sólo se concede una vez que una solicitud ha sido totalmente autenticada y autorizada.
Querna lo explica:
Esto puede parecer obvio a primera vista, pero se necesita un nuevo enfoque en el diseño del sistema para alejar los controles de acceso de la red de esta manera. «Cualquiera puede escribir políticas de seguridad que suenen bien, pero cumplirlas con los controles de acceso adecuados es un desafío», afirmó Querna. ¿Cómo se conoce el estado del usuario y su dispositivo en el momento de la solicitud para tomar una decisión? Una vez tomada esa decisión, ¿cómo se mantiene una sesión segura entre el dispositivo y el recurso?
VER: Secretos internos de un hacker de sombrero blanco sobre la seguridad que realmente funciona (ConsejoTecnologico.com)
Antes de BeyondCorp, estas eran preguntas imposibles de responder, pero ahora la visión de Google ofrece una nueva arquitectura y una nueva definición de identidad a seguir.
«La Confianza Cero es el modelo, y BeyondCorp es la evidencia de que funciona», dijo Querna. Ninguna empresa representa la escala web más que Google, y es una empresa que se preocupa por la velocidad y la productividad. «BeyondCorp no es la seguridad lo que se interpone en el camino, es la seguridad la que ayuda a la gente a hacer su trabajo», agregó.
Cuando una empresa hace esto bien, no sólo libera a los empleados de la tiranía de las desagradables medidas de control de acceso, sino que también hace que la administración de esa seguridad sea más sencilla. Sam Srinivas, director de gestión de productos del equipo de seguridad en la nube y privacidad de Google, lo dejó claro en una entrevista aparte: «La gestión del acceso consiste en asegurarse de que la persona adecuada acceda a la información correcta en el contexto adecuado. Lo ideal es que pueda definir las políticas de acceso con un alto nivel de abstracción, por ejemplo, «Permitir que los contratistas externos que contraté accedan al proyecto 21 en mi sistema de fallos, pero sólo si están tomando precauciones razonables»».
Me das la vuelta
BeyondCorp desbloquea la capacidad de tomar decisiones de confianza más inteligentes fuera de la red. Llevando las cosas aún más lejos, la arquitectura subyacente cambia el modelo de entrega de software. Se trata de resumir las complejidades de las operaciones subyacentes y exponer los resultados deseados como una API consumible. «Lo que Twilio ha hecho por las telecomunicaciones y Stripe por los servicios financieros, ahora se puede hacer por seguridad», dijo Querna.
Esto no ha sido posible hasta ahora, porque los productos de seguridad han estado tan ligados a la red o desplegados como un dispositivo. Incluso las llamadas soluciones definidas por software se equivocan porque siguen estando basadas en la red. Las soluciones de software de capa de aplicación son un juego de pelota diferente. «Todos los productos de seguridad se convertirán en soluciones SaaS, porque así es como se debe entregar todo el software», dijo Querna. «La seguridad es un rezagado en la adopción, pero mira a compañías como Okta y Duo. Está sucediendo.»
Irónicamente, la seguridad puede ser la última ficha de dominó en la era de la transformación digital, a pesar de su importancia primordial. El software se está comiendo el mundo, dice el dicho, y los hackers se están comiendo este mundo construido sobre software. O lo eran. Cuantas más empresas adopten los principios de BeyondCorp, más posibilidades habrá de que sean capaces de asegurar el software del que dependen.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
Los dispositivos móviles plantean algunos problemas únicos a la hora de proteger los datos. Conozca algunos de los retos y recomendaciones para el éxito.
Video: En el Mobile World Congress Americas 2019, el investigador de Gartner Michael Disabato habló sobre la necesidad de que la TI equilibre la experiencia del usuario con los requisitos de seguridad cuando se trata de BYOD.
Las estaciones de trabajo de sobremesa, los servidores, los cortafuegos y conmutadores de red, las unidades de climatización y los dispositivos de UPS tienen una cosa en común: como hardware interno tradicional, son bastante fáciles de proteger físicamente, ya sea a través de acceso restringido, monitorización de vídeo, alarmas y otros mecanismos anti-intrusión y antirrobo.
Los dispositivos móviles, por otro lado, son mucho más difíciles de asegurar debido a sus características únicas. Hablé de los retos que implica la seguridad móvil con Sinan Eren, fundador y CEO del proveedor de seguridad móvil Fyde.com y juntos llegamos a los siguientes problemas y recomendamos estrategias.
Más información sobre ciberseguridad
1. Portabilidad
Los dispositivos móviles están en riesgo debido a su propia naturaleza de ser portátiles. Su tamaño comparativamente pequeño y la falta de seguridad física los hace susceptibles de pérdida o robo, por lo que recomiendo llevarlos siempre encima de la persona en lugar de en un bolso o bolsa. Estos dispositivos representan un objetivo atractivo para los ladrones ya que pueden ser revendidos con relativa facilidad, a diferencia de un sistema HVAC o servidor Dell, y son más difíciles de rastrear si el sistema operativo ha sido borrado y la tarjeta SIM removida. Mantenga siempre el control de su teléfono; no lo deje desatendido en un lugar público y asegúrese de que sabe cómo utilizar «Find my iPhone», «Find my Phone» de Google o algún servicio similar.
2. Tomas de espiar
Cuando los dispositivos móviles se utilizan en público, la información confidencial puede ser observada por personas no autorizadas, incluyendo contraseñas o códigos de acceso. Incluso la protección biométrica puede no significar mucho cuando se trata de evitar que un individuo malicioso acceda a su teléfono. Si le roban el teléfono mientras está desbloqueado, el acceso al contenido estará disponible inmediatamente. Y después de todo, alguien bajo coacción probablemente estaría feliz de darle a un ladrón una huella dactilar si eso significaba evitar el daño físico.
3. Configuración arriesgada de los dispositivos
Los dispositivos móviles suelen funcionar con derechos de administrador y rara vez utilizan protección antimalware, especialmente en el caso de los dispositivos de consumo permitidos para uso de la empresa, como en el caso de un acuerdo de»Traiga su propio dispositivo» (BYOD.
Además, los datos almacenados pueden no estar cifrados, especialmente en tarjetas microSD externas, lo que puede poner en peligro la información incluso con controles tales como requisitos de contraseña o lectores biométricos. Las soluciones de gestión de dispositivos móviles pueden ayudar a centralizar y aplicar controles de seguridad en estos dispositivos, pero no están exentas de ciertas limitaciones y desafíos. Como mínimo, aplique contraseñas seguras y cifrado de almacenamiento en los dispositivos móviles.
El editor de ConsejoTecnologico.com Jason Hiner informó recientemente sobre una tecnología de dispositivos móviles llamada TrustZone, que separa las aplicaciones/funciones de confianza de las que no lo son. Este concepto prometedor puede servir de caja de arena a las amenazas potenciales y evitar que afecten al dispositivo o a los datos implicados, por lo que esto es algo que debe tenerse en cuenta cuando esté disponible para una seguridad adicional.
VER: Política de informática para dispositivos móviles (Tech Pro Research)
4. Ataques de phishing
«El principal vector de amenaza para los dispositivos móviles sigue siendo las amenazas centradas en el ser humano», me dijo Eren. Citó los ataques de phishing como un factor de riesgo particular, señalando que no se dirigen al sistema operativo o a las aplicaciones directamente, a diferencia de los sistemas operativos de escritorio/laptop como Windows.
Los ataques de phishing son problemáticos en los dispositivos móviles debido a sus pequeñas y estrechas pantallas que no muestran urls/dominios falsos en los navegadores móviles, ya que no se puede desplazar el cursor del ratón sobre un enlace para mostrar la ubicación real que representa. Además, los atacantes pueden intentar engañar a las víctimas potenciales para que piensen que un determinado vínculo es legítimo mediante el uso de diferentes caracteres alfanuméricos, como las letras españolas con acentos. Como resultado, los usuarios móviles deben ser especialmente cautelosos al abrir enlaces a través del correo electrónico, y es posible que deseen abstenerse de hacerlo hasta que puedan acceder a su sistema de escritorio o portátil para un mejor análisis del correo electrónico.
5. Acceso no autorizado a la cuenta de iCloud/Google
Eren me informó que los atacantes han descubierto que obtener acceso a una cuenta de iCloud o Google que controla el dispositivo móvil a través de App Store/Play Store es mucho más efectivo que tratar de encontrar vulnerabilidades y desarrollar exploits para móviles, lo cual es una tarea que requiere mucho tiempo y trabajo. El acceso proporcionado representa las claves del reino: datos confidenciales, información de tarjetas de crédito y más. Un atacante con una cuenta iCloud comprometida puede acceder a las copias de seguridad de iCloud del iDevice y recuperar datos pertenecientes a todas las aplicaciones de un dispositivo móvil, incluyendo mensajes, contactos y registros de llamadas.
Quien roba estas cuentas puede rastrear permanentemente un dispositivo y controlar remotamente varias acciones clave (como hacer compras no autorizadas o instalar aplicaciones maliciosas), causando más daños. Por esta razón, utilizar contraseñas complejas para las cuentas de iCloud/Google que se rotan con frecuencia y que tienen preguntas de seguridad asociadas que no se pueden investigar o adivinar fácilmente es una buena técnica de protección.
6. Ataques basados en texto
Otro problema que Eren ha observado es el hecho de que los canales de comunicación fuera de banda, como la mensajería SMS/texto para dispositivos móviles, no ofrecen suficientes soluciones y capacidades de filtrado. Cualquier atacante puede adquirir fácilmente una cuenta Twilio (Twilio es un servicio de desarrollo de aplicaciones basado en la nube en el que un desarrollador puede enviar o recibir mensajes de texto a través de interfaces de programación de aplicaciones o APIs) por una pequeña cuota y hacer phishing a miles de usuarios en una hora. La falsificación de números de teléfono le da a un atacante una ventaja adicional aquí. Si el atacante puede falsificar el número de mensaje de texto corto que su banco suele comunicar con usted, es muy probable que se lo tome en serio. Siempre llame directamente a la institución para preguntar si el mensaje de texto es legítimo; no responda a las solicitudes de credenciales o datos confidenciales.
VER: Política de BYOD (traer su propio dispositivo) (Tech Pro Research)
7. Redes Wi-Fi maliciosas
La organización de Eren también está viendo esquemas de ataque basados en redes públicas Wi-Fi. Estas redes, ofrecidas por individuos maliciosos, requieren el uso de un portal que pide a los usuarios que inicien sesión con una cuenta de Google o Facebook que les proporcione acceso a las credenciales de usuario implicadas. Dado que muchos usuarios emplean las mismas contraseñas en múltiples aplicaciones, esto puede resultar en una serie seria de brechas de datos.
Una variación particularmente peligrosa de esta amenaza es que estas redes maliciosas se instalan junto a las instituciones financieras y piden a los usuarios que inicien sesión con su nombre de usuario/contraseña bancaria para obtener acceso a Internet. Nunca utilice una red pública desconocida que exija sus credenciales personales para obtener acceso.
8. Deseo de comodidad
Eren señaló que la experiencia del usuario casi sin fisuras y la reducción de la fricción entre los flujos de trabajo de los usuarios es precisamente lo que hace que los dispositivos móviles sean menos seguros. Los atacantes pueden engañar más fácilmente a los usuarios porque no quieren perder el tiempo con avisos, advertencias, tener que iniciar sesión en aplicaciones separadas, recordar contraseñas múltiples, etc. En resumen, los usuarios buscan una experiencia de usuario sin problemas, sin interrupciones ni defectos, como los que podrían imponer las aplicaciones de seguridad, por ejemplo, bloqueando las actividades maliciosas o las aplicaciones, razón por la cual la formación en seguridad -incluyendo la descripción de los peligros y riesgos de la complacencia- es tan esencial.
«Nos gusta pensar que los asistentes inteligentes (esencialmente despliegue en el dispositivo de agentes inteligentes que aprovechan el ML y otras técnicas estadísticas) pueden ser muy útiles para combatir la suplantación de identidad (phishing) y otros contenidos falsos / problemas del sitio en un futuro próximo», concluyó Eren.
Boletín de noticias de Mobile Enterprise
BYOD, vestimenta, IO, seguridad móvil, soporte remoto y los últimos teléfonos, tabletas y aplicaciones que los profesionales de TI deben conocer son algunos de los temas que abordaremos. Entregado Martes y Viernes
Inscríbase hoy
:
En el 2019 Midmarket CIO Forum, Brian Hill de Computer Forensic Services explicó cómo proteger a su empresa de amenazas como las vulnerabilidades de ransomware, phishing y IoT.
Video: Cómo proteger a su empresa de la ciberdelincuenciaEn el Foro 2019 Midmarket CIO, Brian Hill, de Computer Forensic Services, explicó las mayores amenazas cibernéticas a las que se enfrenta la empresa y cómo los CIOs pueden mantener su organización segura.
Más información sobre ciberseguridad
A medida que las empresas continúan añadiendo nuevas tecnologías al negocio, los CIOs deben estar constantemente alertas a las amenazas de ciberseguridad que estas tecnologías abren. En el Foro 2019 Midmarket CIO en Savannah, GA, Brian Hill, vicepresidente de servicios de investigación corporativa en Computer Forensic Services, explicó varias de las principales vulnerabilidades de seguridad a las que se enfrentan actualmente las empresas.
«La ciberseguridad está cambiando constantemente», dijo Hill. «Con la tecnología ganamos un montón de comodidad, pero cada vez que ganamos comodidad, siempre renunciamos a algo de seguridad. Se trata de tratar de encontrar ese fino equilibrio entre ellos».
A continuación se presentan seis de las principales amenazas a la seguridad de la empresa y consejos para evitarlas.
1. Suplantación de identidad (phishing)
Los correos electrónicos de phishing son una forma común en que los hackers obtienen acceso a los sistemas empresariales o engañan a los líderes empresariales para que envíen dinero de forma fraudulenta, dijo Hill. «Las grandes empresas son difíciles de atacar, así que los hackers tienen que atacarlos a ustedes, a los individuos», dijo Hill. «Es donde están las vulnerabilidades. La gente hace clic en los enlaces».
Los cibercriminales han crecido en sofisticación desde los días del príncipe nigeriano, agregó Hill. Utilizando información de cuentas de medios sociales y logotipos falsos que hacen que sus mensajes parezcan más legítimos, pueden dirigirse directamente a los individuos de una empresa.
VER: Política de notificación de incidentes de seguridad de la información[descargar] (Tech Pro Research)
2. Suplantación de identidad del CEO
El spoofing de CEO es un concepto similar al phishing, pero con un giro: engaña a los usuarios a través de un correo electrónico, en lugar de un enlace. Puede ocurrir así: Usando los medios sociales, un cibercriminal puede ver cuando un CEO está en una conferencia. Entonces, él o ella puede enviar un correo electrónico que parece ser del CEO al CFO, diciendo «Estoy aquí en China, tenemos que hacer una adquisición inmediatamente, por favor transfiérame un millón de euros».
Esto puede suceder a gran escala, dijo Hill: El año pasado, Fifth Third Bank fue demandado después de que un empleado transfiriera $52 millones a una cuenta fraudulenta.
«El gran mensaje clave es ir más despacio», dijo Hill. «Asegúrate de educar a todos los que trabajan contigo. Esto puede pasarle a cualquiera». Ataques como estos demuestran por qué es importante verificar todas las transacciones comerciales antes de realizarlas, agregó.
3. Amenazas internas
Las amenazas internas son una preocupación importante para la ciberseguridad de las empresas que a menudo se pasan por alto, dijo Hill. Los empleados pueden dimitir o ser despedidos, y crear una puerta trasera para sí mismos, o llevar datos con ellos a una empresa de la competencia.
Una forma de protegerse contra esto es revocar las credenciales de los empleados cuando alguien deja la compañía, dijo Hill. En un condado importante de Minnesota, a miles de empleados nunca se les revocaron sus credenciales cuando renunciaron o fueron despedidos. Estaba en el manual de políticas, pero en realidad nadie lo estaba haciendo, dijo Hill, lo que provocaba importantes riesgos de seguridad.
4. Malware de Zeus
En 2010, más de 100 personas fueron arrestadas en una importante red de ciberdelincuencia después de utilizar correos electrónicos de phishing para infectar ordenadores de pequeñas empresas e individuos en los EE.UU. con Zeus, un tipo de malware utilizado para robar información bancaria mediante el registro de pulsaciones de teclado del hombre en el navegador y la captura de formularios. Zeus permite a los delincuentes acceder a las contraseñas en línea de los usuarios y los datos de sus cuentas bancarias y transferir dinero.
En el caso de la Sociedad de Cumplimiento y Ética Corporativa de Minnesota, una organización sin fines de lucro con la que trabajó Hill, uno de los ciberdelincuentes del grupo pirateó la cuenta de una contadora haciendo que hiciera clic en un enlace en un correo electrónico que parecía ser de la FDIC. Pudieron transferir 952.800 euros a Rumania y fueron arrestados en el banco, dijo Hill. Uno de los criminales era un general ucraniano condecorado.
5. Vulnerabilidades de la Internet de los objetos (IO)
«Todo está conectado hoy en día», dijo Hill, lo que puede facilitar nuestra vida laboral y personal, pero también abre una serie de nuevas preocupaciones en materia de seguridad.
Este es especialmente el caso de empresas como las de servicios públicos conectados, dijo Hill. El acceso remoto a estos sistemas puede ser conveniente para resolver problemas en horas no laborables, pero también crea vulnerabilidades de seguridad. Por ejemplo, en Blaine, MN, el sistema de agua controlado por la IO se cerró dos veces en dos meses este año, lo que llevó al cierre de escuelas y a la recomendación de la ciudad de hervir el agua antes de beberla.
Sin una fuerte seguridad en el sitio web, los hackers a menudo pueden tener acceso a servicios públicos como torres de agua y turbinas eólicas. A menudo, las cámaras web que se encuentran en tiendas o negocios no son seguras, y los delincuentes pueden acceder fácilmente a ellas y moverlas, incluso para ver a los empleados teclear la información de la cuenta. También es clave cambiar la contraseña de los sistemas de IO una vez instalados, ya que los hackers pueden descargar fácilmente manuales de instrucciones y encontrar la contraseña por defecto, dijo Hill.
VER: Video: Cómo proteger su Internet de las cosas
6. Ransomware
Los ataques de Ransomware han aumentado en número en el último año, según las investigaciones. «Ransomware es una gran amenaza, donde los perpetradores entran, acceden a su red a través de una estafa de phishing u otros medios, y luego encriptan todos sus datos, dejándolo virtualmente indefenso a menos que usted pague la cuota o mantenga las copias de seguridad actuales», dijo Hill.
La mejor manera de protegerse contra ella, además de educar a los empleados para que no hagan clic en enlaces o correos electrónicos desconocidos, es hacer una copia de seguridad de su información, dijo Hill. De esta manera, usted puede limpiar su sistema y evitar pagar el rescate, pero aún así tener acceso a sus datos.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
Un informe de investigación de Altimeter describió las formas en que las empresas están integrando la tecnología de inmersión en sus estrategias y ofreció consejos sobre cómo empezar.
Accenture Interactive trabaja con empresas que utilizan tecnologías de realidad virtual, aumentada y mixtaLa NFL, Whole Foods y Boeing se encuentran entre las empresas que utilizan las tecnologías de Accenture Interactive para llegar mejor a sus clientes.
Según un informe de Altimeter del analista Omar Akhtar, se espera que el tamaño del mercado combinado de realidad aumentada (RA) y realidad virtual (RV) crezca exponencialmente de unos 18.000 millones de euros en 2019 a 215.000 millones de euros en 2021. Con este creciente empuje hacia la tecnología inmersiva, muchas empresas se preguntan cómo pueden utilizarla y cómo implementarla en sus estrategias.
Lo que está de moda en ConsejoTecnologico.com
Emily Olman, CEO de VR/AR en Hopscotch Interactive, dijo en el informe que la implementación de tecnología inmersiva es una cuestión de «cuándo, no si».
«Cuanto antes su empresa sea capaz de entender el lenguaje[de AR/VR] y dominar cuáles son las posibilidades, antes podrá reaccionar», dijo Olman en el informe.
VER: Política de realidad virtual y realidad aumentada (Tech Pro Research)
Aquí están los cinco casos de uso de la tecnología inmersiva descritos en el informe.
1. Crear conciencia de marca
El informe afirma que las empresas que buscan crear «rumores» sobre sus productos pueden comenzar con la implementación de la RA. Las empresas pueden llegar a una gran audiencia mostrando la tecnología durante eventos, lanzamientos de productos y campañas publicitarias.
2. Capacitar a los empleados
La tecnología de inmersión ha demostrado ser una herramienta eficaz en situaciones de formación, según el informe. Puede ser útil en la formación de los empleados proporcionándoles una experiencia cercana a la vida real para que aprendan sus habilidades y no tengan que lidiar con las consecuencias de los costes de los errores. El informe enfatiza que este uso de la realidad mixta (RM) o RV permite a los empleados aprender haciendo en lugar de leyendo.
3. Probar y aprender las necesidades y preferencias de los clientes
La satisfacción del cliente sigue siendo una prioridad para la mayoría de las empresas, pero probar productos más complejos puede ser un problema financiero y logístico. El informe sugiere que la implementación de la RA, RM o RV podría resolver esos problemas. Una experiencia tecnológica inmersiva puede permitir a los clientes potenciales interactuar con un prototipo, lo que permite a las empresas conocer mejor las preferencias de los consumidores.
4. Aumentar la confianza de los clientes y la confianza en el producto
Cuando se venden productos de alta gama como artículos de lujo o muebles, la tecnología inmersiva ofrece a las empresas la oportunidad de demostrar el valor de sus productos a clientes que pueden dudar. El informe señala que productos como estos no son fáciles de comprar, por lo que no pueden ser devueltos fácilmente. La tecnología AR, MR o VR permite a los clientes potenciales ver y experimentar el producto por sí mismos antes de comprarlo.
5. Unir a la gente
En el informe se señalaba que una forma fácil de que las empresas ampliaran su alcance y acercaran a los clientes y permitieran una mejor comunicación era la tecnología de inmersión. La RV puede reunir a equipos de todo el mundo o permitir que los clientes experimenten un evento en directo desde muy lejos.
El informe ofrecía seis consejos sobre cómo comenzar a implementar esta tecnología.
- Decida para qué lo utilizará. Aunque las posibilidades técnicas de inmersión son infinitas, el informe sugiere definir un plan claro para su uso, ya sea con clientes, productos o empleados.
- Visualice los resultados para asegurar el apoyo de los ejecutivos. Desarrolle una imagen clara de éxito para que la tecnología inmersiva convenza a los cínicos potenciales de por qué es útil.
- Asigna un campeón interno. Para asegurar el éxito, el informe sugirió encontrar un empleado apasionado por la tecnología que tenga una visión para su implementación.
- Imagina lo imposible. El informe sugiere que el uso de la tecnología de inmersión no tiene por qué ser exactamente como una experiencia real. La tecnología emergente puede ser cualquier cosa, por lo que las empresas deben mirar sus ideas a través de una lente más creativa.
- Reúna sus activos 3D. La organización, como se señala en el informe, es clave para la tecnología 3D. La creación de una base de datos centralizada de todos los activos 3D puede facilitar las cosas a empleados y proveedores.
- Plan de interoperabilidad. Para continuar con una experiencia unificada centrada en el cliente, el informe señaló que las empresas deben fusionar los datos generados a partir de RA, RM y RV con los sistemas de datos tradicionales.
- Para mantenerse al día con la tendencia de la tecnología de inmersión o RA, RV y RM, las empresas deben considerar la posibilidad de implementarlas en sus estrategias.
- La tecnología de inmersión efectiva puede ayudar a construir la confianza de los clientes, capacitar a los empleados y crear conciencia de marca.
Noticias técnicas que puede utilizar en el boletín informativo
Entregamos las mejores noticias de tecnología empresarial sobre las empresas, las personas y los productos que revolucionan el planeta. Entregado diariamente
Según un informe de Booz Allen, los grupos patrocinados por el Estado están aprovechando las debilidades de los dispositivos de IO para construir botnets y atacando a la industria privada y a la infraestructura pública en ataques.
La infowar rusa: Un recordatorio de que sus datos están siendo comprados y vendidosDan Patterson discute la llamada de atención proporcionada por los nuevos informes para el Senado que detallan la omnipresente interferencia de Rusia en las elecciones presidenciales de 2019.
Es probable que en el año 2019 se produzca un aumento del número de actores estatales que apunten al sector privado en empresas extranjeras, continuando una tendencia continua en los últimos años, según el informe Perspectivas de la Amenaza Cibernética de 2019 publicado por la firma de la industria de defensa Booz Allen Hamilton el lunes.
El informe cita ataques motivados económicamente, que apuntan a «robar información, como las estrategias de propiedad intelectual y de licitación corporativa, para ayudar a la industria nacional de un adversario», así como ataques DDoS contra recursos privados y públicos, y estrategias de guerra de la información que «intentan inflamar o generar relaciones públicas y controversias legales para perjudicar a los sectores y empresas objetivo con una reacción de los inversores, los reguladores, los consumidores o los políticos».
Ver: seguridad IoT: Una guía para los líderes de TI (Tech Pro Research)
Los delincuentes montan estos ataques de varias maneras, incluyendo la explotación de debilidades en los dispositivos y protocolos de consumo, así como manipulando el comportamiento del grupo a través de la sociología maliciosamente aplicada.
Aquí hay tres maneras en que los actores estatales están apuntando a las empresas, y cómo mantenerse seguros, según el informe.
1. Dispositivos de IO
Los dispositivos de la Internet de los objetos (IO) son, en efecto, ordenadores específicos conectados a la red, y estos ordenadores requieren el mismo nivel de atención de seguridad que cualquier ordenador de sobremesa o portátil de su red. Los ataques patrocinados por el Estado están aprovechando cada vez más los dispositivos de IO para construir botnets, que luego tunelizan las conexiones a través de Tor para el seudoanonimato, y se utilizan para ataques DDoS como el VPNFilter, para el que el Servicio de Seguridad ucraniano afirma que los actores estatales rusos estaban construyendo en un intento de desestabilizar las finales de la Liga de Campeones celebradas en ese país.
Según el informe, esta estrategia se facilita porque «el 15% de los propietarios de dispositivos de IO no cambian las contraseñas predeterminadas de sus dispositivos, y el 10% de los dispositivos de IO utilizan una de las mismas cinco contraseñas para el acceso administrativo».
Cómo proteger sus dispositivos de IO:
2. Falsificaciones profundas
El vídeo generado o editado por IA, comúnmente llamado «deepfakes», utiliza el aprendizaje automático para crear falsificaciones plausibles que se utilizan para representar eventos que nunca ocurrieron.
«La incorporación de falsificaciones maliciosas podría ser una táctica valiosa para aumentar la eficacia de las operaciones cibernéticas destinadas a difundir información falsa, desacreditar o dañar la reputación de las organizaciones objetivo, o incluso crear confusión política y estimular los conflictos internacionales», señala el informe. «Las filtraciones de armas -en las que los datos son robados y revelados públicamente, a veces con datos falsificados mezclados- se han aprovechado cada vez más para influir en las operaciones». Además, las falsificaciones profundas se pueden convertir en armas si se insertan en datos legítimos robados.
Cómo evitar las falsificaciones profundas:
3. Conectividad inalámbrica
Los protocolos de comunicación inalámbrica que se utilizan hoy en día están construidos con una mentalidad de seguridad prioritaria, aunque existen vulnerabilidades. Los sistemas heredados, como los sistemas de alarma municipales, han demostrado ser tan vulnerables que los investigadores de seguridad han descubierto que los paquetes de control pueden capturarse, modificarse y reproducirse. Del mismo modo, los sistemas basados en DTMF, como los que se hackean en Dallas, son inherentemente inseguros.
La seguridad en la conectividad inalámbrica puede ser un asunto de vida o muerte. Como señala el informe, «En abril de 2019, la Administración de Alimentos y Fármacos de los Estados Unidos (FDA) emitió una alerta a los pacientes que utilizaban un implante cardíaco en particular para actualizar el firmware de su dispositivo, ya que se descubrió que los implantes eran vulnerables a los ataques cibernéticos inalámbricos mediante el uso de»equipos disponibles en el mercado».'»
Cómo proteger sus comunicaciones inalámbricas:
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
Más del 90% de los empleados desean una retroalimentación consistente, pero la mayoría de las empresas no han actualizado los procedimientos de establecimiento de objetivos para adaptarse al estado actual del trabajo.
Más del 90% de los empleados desean recibir comentarios coherentes, pero la mayoría de las empresas no han actualizado los procedimientos de establecimiento de objetivos para adaptarse al estado actual del trabajo.
Más para CXOs
Las revisiones de desempeño pueden tener una reputación negativa, pero más del 90% de los empleados realmente esperan con interés la retroalimentación, según una investigación reciente de 15 a 5 años. Estas revisiones proporcionan a los empleados la oportunidad de crecer a partir de sus errores, y construir sobre sus fortalezas. Además, las revisiones de desempeño muestran a los empleados cómo se amontonan unos con otros, motivándose mutuamente para presionar más o concentrarse en ciertas cualidades, dijo el vicepresidente del grupo Gartner, Brian Kropp.
Las revisiones de desempeño también son vitales para la organización, no sólo para el empleado, dijo Kropp. «Lo necesitamos como un dispositivo para averiguar quién está marcando la diferencia más grande en términos de rendimiento de la compañía», añadió.
VER: Política de formación en TI (Tech Pro Research)
Estas revisiones son, en su esencia, una medida del rendimiento de los empleados en sus puestos. «La mayoría de las revisiones de desempeño de la compañía ocurren cada seis o doce meses. El gerente de ese empleado recopila información basada en sus propias observaciones y comentarios que podrían obtener de sus compañeros de trabajo, de los clientes de ese empleado o de los informes directos de su gerente», dijo Kropp. «Así que al comienzo del período de revisión de desempeño, hay un conjunto de cosas que quieres que esa persona logre, y recoges toda esa retroalimentación para averiguar si realmente logran lo que tú querías que logren».
Las revisiones de rendimiento se centran en torno a los objetivos, que actúan como punto de partida para lo que los empleados pretenden conseguir a lo largo del año. Sin embargo, el proceso de realizar revisiones de desempeño se ha vuelto obsoleto a medida que el tipo de trabajo de la gente ha evolucionado, dijo Kropp.
«Los procesos típicos de revisión del desempeño fueron diseñados para un mundo menos dinámico y más orientado a las tareas», dijo Kropp. «Lo que encontramos hoy es que el trabajo es altamente impredecible, menos orientado a las tareas, más colaborativo y más orientado a las relaciones.»
Las principales fallas en las revisiones de desempeño
Dado que el lugar de trabajo ha cambiado, los métodos para medir el éxito de los empleados también deben cambiar. Aquí están los tres problemas principales con los sistemas actuales de gestión del rendimiento, según Kropp:
Qué pueden hacer las empresas
Las compañías deben pensar de manera más dinámica sobre sus procesos de revisión de desempeño y establecimiento de metas, dijo Kropp.
«Eso significa acortar la cantidad de períodos de tiempo que se asocian con las revisiones, no una vez al año, sino una vez cada tres meses», agregó. «Incluso si usted no está acortando el período de tiempo, cuando tenga conversaciones con los empleados mensualmente, regrese y mire esas metas y asegúrese de que esas metas sigan teniendo sentido».
Las revisiones de desempeño no son sólo una medida de quién cumplió con una cuota ambigua, sino más bien, quién hizo el mayor impacto en todo el mundo. «Queremos diseñar[revisiones] de una manera que no sea sólo un registro de cómo se desempeñaban las personas en el pasado, sino que esté diseñado de manera que proporcione información a los empleados para ayudarles a comprender lo que pueden hacer para mejorar su rendimiento en el futuro», señaló Kropp. «Para que nuestros sistemas de gestión del rendimiento no sean sólo un sistema de registro, sino que sean una herramienta que utilicemos para mejorar el rendimiento de nuestro personal en el futuro».
Las puntuaciones métricas son vitales para las revisiones de rendimiento, según Kropp. «Tienes que tener un enfoque basado en números. Las cosas que realmente importan son los comentarios de mucha gente, que podrían ser empleados, clientes, otras cosas que no sean el gerente, en lugar de confiar en ese gerente exclusivamente para la revisión del desempeño», dijo Kropp.
La colaboración es clave a la hora de evaluar el rendimiento de un empleado. No sólo es importante su trabajo individual, sino que su rendimiento general tiene un valor intrínseco para una empresa, dijo Kropp. «¿Cómo están colaborando con los demás? ¿Cómo trabajan en equipo con los demás? Eso es de vital importancia hoy en día», señaló.
Si bien el método y la naturaleza de los exámenes del desempeño pueden tener que cambiar, la existencia del proceso no lo hace. «Los empleados necesitan tener un puntaje para saber cómo comparar y comparar, porque para los empleados que están luchando hay que ser capaz de mostrarles cuantitativamente que están luchando», dijo Kropp. «Y para los empleados que lo están haciendo muy bien, darles una mejor puntuación es en realidad una herramienta de reconocimiento muy poderosa. Y luego, al tener un puntaje, en realidad crea responsabilidad para que los gerentes se involucren activamente en el proceso de gestión del desempeño».
Boletín informativo para ejecutivos
Descubra los secretos del éxito del liderazgo en TI con estos consejos sobre gestión de proyectos, presupuestos y cómo enfrentarse a los retos del día a día. Entregado los martes y jueves
