Página archivada: 2020 consejos de seguridad de la información

Con el reciente paso de muchos a trabajar desde casa, hay muchas preguntas en torno a las plataformas de conferencias virtuales. Gran parte de la atención se ha centrado en la seguridad de algunas plataformas en comparación con otras. Sin embargo, la mayoría de los problemas de seguridad tienen mucho que ver con la familiaridad de los usuarios con estas plataformas y su uso adecuado.

Lo primero que debe recordar es lo siguiente: si va a descargar una aplicación de conferencias virtuales, asegúrese de que la descarga provenga de una fuente confiable. La mayoría de las veces, la empresa alojará la descarga por sí misma o tendrá un enlace a la descarga en su sitio web. Es aconsejable no confiar en una descarga de terceros si no fue dirigido allí por el sitio web oficial.

Preocupaciones de seguridad relacionadas con las conferencias virtuales

Es posible que el cifrado no sea adecuado para asegurar la información confidencial o para proteger la privacidad de las personas.

• El cifrado de extremo a extremo no es una tarea fácil para las conexiones de audio o video en tiempo real. En la mayoría de los casos de uso, se necesita hardware o software especial. Es muy importante recordar que algunos temas no deben discutirse en una conferencia virtual. Esto es especialmente cierto con respecto a los datos confidenciales, la información de identificación personal (PII) y los datos regulados, como la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), la Regla de Protección de la Privacidad en Línea de los Niños (COPPA), la Información Fiscal Federal (FTI).
• Tenga en cuenta dónde se encuentran los servidores de distribución de claves de cifrado al evaluar las ofertas de una empresa. Los investigadores han descubierto que los servidores de distribución de claves de cifrado de algunas empresas para las sesiones de reuniones con sede en Estados Unidos estaban ubicados en Beijing, China. En tales situaciones, las empresas pueden estar obligadas a revelar las claves de cifrado de reuniones al gobierno chino.
• El hecho de que una empresa anuncie el cifrado no significa que se utilice la mejor versión de cifrado.

Las aplicaciones de conferencias virtuales son vulnerables a múltiples ataques

• Los actores maliciosos están creando archivos de instalación falsos para múltiples plataformas de reuniones, incluidas Zoom Meetings, MS Teams y Google Classroom.
• Algunas plataformas de conferencias han sido "bombardeadas en conferencias". Esto es cuando un invitado no invitado obtiene acceso con la intención de interrumpir o espiar la reunión.
• Los usuarios de reuniones de conferencias virtuales han sido atacados para capturar datos potencialmente confidenciales divulgados durante las reuniones. Además, es posible que el anfitrión de la reunión no almacene las reuniones grabadas de forma segura. Los atacantes han accedido a los archivos de un proveedor de reuniones de conferencias virtuales almacenados en el equipo de un proveedor y a entornos de nube pública no seguros.

Directrices para las conferencias virtuales

A continuación se presentan algunas recomendaciones útiles para mejorar la privacidad y la seguridad de las reuniones virtuales basadas en la web:

• Si es posible, NUNCA comparta datos confidenciales o regulados durante las reuniones de conferencias virtuales.
• Familiarícese con quién puede grabar su reunión. Tenga en cuenta que las personas pueden optar por grabar una reunión utilizando herramientas de grabación de audio o video fuera del software de la reunión.
• Descargue los clientes de conferencias virtuales directamente del fabricante o de su proveedor de servicios.
• Ejecute siempre la versión más reciente del cliente de conferencia (si es necesario para descargar e instalar un cliente).
• Proteja cada reunión con una contraseña única y compleja que utilice letras, números y caracteres especiales.
• Proteja con contraseña las grabaciones de reuniones con una contraseña única y compleja que utilice letras, números y caracteres especiales.
• No comparta el enlace de su reunión en foros públicos ni en las redes sociales. En caso de que deba anunciar su reunión públicamente, elimine la contraseña incrustada en el enlace y pida a los asistentes que se pongan en contacto con el organizador para obtener la contraseña.
• Use un ID de reunión en lugar del ID personal asociado a una cuenta de conferencia virtual. De esta manera, el ID de la reunión debe cambiar para cada reunión.
• Deshabilite el uso compartido para todos los asistentes, excepto para el anfitrión de la reunión.
• Utilice la función de sala de espera/vestíbulo cuando esté disponible. Esto requiere que los organizadores admitan a las personas individualmente (para reuniones pequeñas) o todas a la vez (para reuniones más grandes). Si un asistente parece sospechoso, la función de sala de espera permite a los organizadores evitar que se una a la reunión.
• Elimine y bloquee a cualquier persona de las salas de reuniones con una identidad irreconocible o no verificable. Una vez retirado, la persona o personas no pueden volver a entrar.

Seguir los pasos anteriores ayudará a garantizar que las reuniones virtuales de su organización permanezcan seguras mientras los empleados se conectan y colaboran a través de estas plataformas.