Un software de videoconferencia on-premise refuerza la seguridad de las comunicaciones y el control sobre los datos.
Definición
Un software de videoconferencia on-premise es una solución de comunicación de audio y vídeo, desplegada y hospedada en la infraestructura interna de una organización. Esto implica la instalación y el mantenimiento de servidores físicos o virtuales, redes LAN/WAN, aplicaciones servidoras para la grabación de videoconferencias o la integración con otros sistemas internos (correo electrónico, SSO, calendarios, etc.) La organización asegura la seguridad del despliegue de la solución, así como la gestión de los accesos y las actualizaciones.
¿Para qué necesidad?
Un software on-premise responde a una fuerte necesidad de seguridad de los datos y de los flujos de comunicación. Esto generalmente concierne a organizaciones que operan en sectores sensibles, sujetos a altos niveles de ciberseguridad.
Tres requisitos principales
Infraestructura
La organización debe adquirir, instalar y mantener la infraestructura necesaria para el despliegue del software on-premise. Esto generalmente se ubica en un centro de datos interno o un espacio técnico dedicado.
Conectividad
El despliegue del software on-premise requiere una planificación detallada de la conectividad de red para asegurar una alta calidad de servicio. Esto incluye la gestión del ancho de banda, la calidad de servicio (QoS) para priorizar el tráfico de videoconferencia sobre las redes empresariales, y la configuración de la traducción de direcciones de red (NAT/Firewall).
Gestión y mantenimiento
Para garantizar su rendimiento, las soluciones on-premise requieren un seguimiento continuo, tanto para la supervisión del sistema como para el mantenimiento de los servidores y el software. La seguridad y la privacidad de los datos en videoconferencia deben ser preservadas.
Ventajas del software de videoconferencia on-premise
Independencia tecnológica
Al elegir un software de videoconferencia on-premise, la organización limita su dependencia tecnológica de proveedores externos. Esto mejora el control sobre su política de seguridad. Esta independencia proporcionada por la versión on-premise también refuerza la soberanía de las empresas. A diferencia de elegir una solución extranjera alojada en la nube, y por lo tanto sujeta a leyes extraterritoriales para la protección de datos.
Máxima seguridad
La empresa tiene control total sobre su solución on-premise, siendo desplegada en una red dedicada y configurada por ella misma. Esto limita los riesgos de brechas de seguridad y aumenta la reactividad. En caso de problema, los equipos internos conocen la infraestructura y pueden actuar más rápidamente.
Continuidad de actividad
En caso de crisis, la solución de videoconferencia en versión on-premise permite comunicaciones fuera de banda. Esto asegura la continuidad de la actividad de las organizaciones. De hecho, cuando la solución de comunicación general está fuera de servicio, el uso de un software on-premise y cifrado de extremo a extremo se vuelve indispensable. Según la directiva NIS 2, el uso de una herramienta de comunicación de emergencia es obligatorio para muchas organizaciones.
Tixeo ofrece una solución de videoconferencia segura, certificada y calificada por la ANSSI.
Su cifrado de extremo a extremo, de cliente a cliente, impide cualquier intercepción de los intercambios de audio, video y datos, independientemente del número de participantes en la reunión en línea. Su versión on-premise, con la oferta TixeoServer, asegura un despliegue seguro. Sin ningún impacto en la política de seguridad de la red. En caso de crisis, también permite un funcionamiento en modo «aislado», desconectado de la red de internet, para asegurar la continuidad de los intercambios internos y de la actividad.
Con una solución de videoconferencia en versión on-premise, la empresa también se convierte en responsable del tratamiento de los datos personales de los usuarios. Esto le permite mantener un control total sobre los datos y no tener que depender de subcontratistas.
Interoperabilidad
Los sistemas on-premise a menudo necesitan ser capaces de interoperar con varios equipos de videoconferencia y plataformas de software, incluidos sistemas de terceros. Esto puede requerir el uso de protocolos estándares de la industria, como SIP (Session Initiation Protocol) o H.323, y pasarelas para asegurar la compatibilidad.
Con la Tixeo Gateway, disponible como opción en la oferta TixeoServer, las empresas se benefician de una compatibilidad perfecta con los dispositivos de hardware SIP o H.323 más comunes.
En resumen, un software de videoconferencia on-premise ofrece a las organizaciones más exigentes y sensibles, un control completo y una personalización avanzada de su sistema de videoconferencia, asegurando al mismo tiempo agilidad y ciberresiliencia.
Utilizada en contextos críticos, las comunicaciones out-of-band ayudan a proteger los intercambios y asegurar la continuidad de las actividades de las organizaciones en caso de crisis.
Definición de una comunicación out-of-band
Una comunicación out-of-band se refiere a comunicaciones realizadas fuera de las redes habituales. Utiliza canales reservados y seguros para estar siempre operativa, por ejemplo, en caso de ciberataque o de fallo en la red principal. En esta configuración out-of-band, los flujos de comunicaciones de audio, vídeo y datos suelen estar cifrados de extremo a extremo. Esto protege los intercambios confidenciales o altamente sensibles de cualquier interceptación.
Casos de uso de las comunicaciones out-of-band
Autenticación multifactor (MFA)
La autenticación multifactor (MFA) consiste en verificar la solicitud de conexión de un usuario antes de otorgarle acceso a un recurso. Para ello, utiliza al menos dos factores, uno de los cuales pasa generalmente por una comunicación out-of-band. De hecho, después de introducir sus credenciales (primer factor), el usuario recibirá una solicitud de verificación (segundo factor) en una aplicación cifrada, por ejemplo. Para enviar esta solicitud, el MFA utilizará una red diferente. Objetivo: limitar los riesgos de interceptación de datos en caso de vulnerabilidades en la red utilizada para la conexión inicial.
Comunicaciones sensibles
En el contexto del teletrabajo o del trabajo híbrido, los colaboradores utilizan herramientas de comunicación que no siempre son seguras. Sin embargo, en organizaciones sensibles, la protección de las comunicaciones críticas es un criterio fundamental. Para sus reuniones en línea confidenciales, sobre temas clasificados o mencionados como «Difusión restringida», el uso de sistemas de comunicación out-of-band es esencial.
Continuidad de actividad
Mientras que las organizaciones europeas deben fortalecer su ciberseguridad con la directiva NIS 2, las políticas de gestión de crisis y de continuidad de actividad se convierten en temas importantes. La implementación de herramientas de comunicaciones out-of-band responde a estos desafíos. De hecho, en caso de crisis, los equipos se benefician de canales de comunicación dedicados y seguros. Así pueden responder a incidentes y asegurar la continuidad de la actividad. En las administraciones públicas, dependientes de los medios de comunicación tradicionales, la implementación de un sistema de comunicación out-of-band tiene numerosos beneficios. Garantiza, en particular, la continuidad del servicio público.
La videoconferencia segura para comunicaciones out-of-band
La videoconferencia segura cifrada de extremo a extremo es adecuada para establecer comunicaciones out-of-band internamente. En contextos sensibles, los colaboradores necesitan utilizar una solución de comunicación segura y accesible en todo momento fuera de las redes tradicionales.
Tixeo ofrece una solución de videoconferencia segura, certificada y calificada por la ANSSI
Su cifrado de extremo a extremo, de cliente a cliente, impide cualquier interceptación de los intercambios de audio, vídeo y datos, independientemente del número de participantes en la reunión en línea. En la versión on-premise, la solución se implementa en un servidor dedicado de la empresa, sin impactar en la política de seguridad de la red general. En caso de crisis, Tixeo puede funcionar sin conexión a internet, de forma aislada en la infraestructura de la empresa. Esto permite así un uso interno únicamente, para comunicaciones críticas, y asegura la continuidad de las actividades. La videoconferencia segura contribuye así a reforzar la ciber-resiliencia de las organizaciones.
Los abogados utilizan la videoconferencia segura para intercambiar información con sus clientes o colegas. Pero, ¿cuáles son los criterios para garantizar la seguridad de las comunicaciones y los datos de los justiciables?
Confidencialidad de las comunicaciones
La confidencialidad de las comunicaciones es el primer criterio para elegir una herramienta de videoconferencia segura para abogados.
Consultas de abogados
Cuando una consulta entre un abogado y su cliente no puede realizarse en persona, debido a restricciones personales o para ahorrar tiempo, la consulta se puede llevar a cabo a distancia. En este contexto, debe permitir a ambas partes intercambiar información de manera fácil y confidencial. Por lo tanto, el cifrado de extremo a extremo de los flujos de comunicaciones de audio y video es indispensable: gracias a esta tecnología, solo los participantes en la reunión en línea tienen acceso a los intercambios.
Intercambio de documentos
En el contexto de procedimientos legales, un abogado puede necesitar intercambiar documentos con su cliente o colegas. El envío de archivos legales también requiere cifrado de extremo a extremo, para evitar cualquier interceptación externa.
Discusiones entre colaboradores y colegas
Los abogados también necesitan intercambiar información con colegas, ya sea mientras viajan o trabajan a distancia. También se les pide que discutan con otros profesionales del sector de la justicia, como oficiales de justicia o secretarios judiciales. Todas estas reuniones en línea tratan sobre casos legales que también requieren la máxima seguridad.
El uso de una solución de videoconferencia también implica la recolección y el procesamiento de datos personales de justiciables.
Conformidad con el RGPD
Es esencial para los profesionales de la justicia asegurarse de que la integridad de los datos personales de los justiciables sea respetada. Para los abogados, en particular, esto corresponde al respeto del secreto profesional y del procedimiento. Por lo tanto, la herramienta de videoconferencia segura utilizada para discutir casos de justicia debe cumplir completamente con el RGPD.
De hecho, la mayoría de los software de videoconferencia alojan sus datos fuera del territorio europeo y están sujetos a leyes extraterritoriales flexibles en términos de protección de datos. Este es el caso del Cloud Acten Estados Unidos: esta serie de leyes extraterritoriales permite a las autoridades estadounidenses obligar a los editores ubicados en territorio estadounidense a proporcionar datos relacionados con comunicaciones electrónicas, almacenados en servidores estadounidenses o extranjeros.
En cualquier momento, los datos de los usuarios pueden estar comprometidos.
Tixeo responde a las preguntas del CCBE sobre la videoconferencia segura para abogados
En el contexto de sus directrices sobre el uso de herramientas de trabajo a distancia, el Consejo de Barras de la Unión Europea (CCBE) comparó los términos y condiciones de las herramientas de videoconferencia comúnmente utilizadas. Esto resultó en 6 preguntas que los abogados deben hacerse antes de elegir una solución de videoconferencia segura.
Tixeo, una solución de videoconferencia segura, certificada y calificada por la ANSSI, ha elegido responder:
¿En qué medida son accesibles y transparentes los términos y condiciones aplicables?
Los términos y condiciones de Tixeo están disponibles bajo petición, dependiendo de la oferta en cuestión. Además, su política de privacidad, que concierne a clientes y usuarios de la solución, se encuentra en su sitio web.
¿Quién es responsable del procesamiento de datos?
Dependiendo de la oferta de videoconferencia en la nube elegida, Tixeo es ya sea responsable del procesamiento de datos personales o un subcontratista en nombre de sus clientes. En el caso de su oferta de videoconferencia on-premise (TixeoServer), son los clientes quienes son responsables del procesamiento de los datos personales de sus usuarios.
¿En qué medida los proveedores de plataformas venden o comparten datos personales?
Tixeo nunca vende ni transfiere datos personales a un tercer país, excepto a Suiza. De hecho, este país tiene una decisión de adecuación. Por lo tanto, los datos pueden transferirse a nuestro socio Ubcom en Suiza, solo con el consentimiento explícito de la persona afectada.
¿A qué vigilancia podrían estar expuestos los datos mantenidos por los proveedores de plataformas en la nube?
Ninguna. Los datos de los usuarios se benefician de la protección de hosts franceses, comprometidos con la seguridad de los datos, conformes al RGPD y calificados SecNumCloud.
¿Cuál es el nivel de seguridad técnica de la plataforma?
Tixeo es la solución de videoconferencia más segura del mercado europeo. Diseñada según un enfoque Secure by design, integra la seguridad en todas las etapas de su diseño hasta su implementación en las organizaciones. Su tecnología de cifrado de extremo a extremo propietaria asegura una total confidencialidad a los intercambios, independientemente del número de participantes en la reunión en línea. Finalmente, Tixeo es 100% conforme al RGPD.
Organizaciones en sectores sensibles como la defensa, la industria o la justicia confían hoy en Tixeo para sus comunicaciones confidenciales.
Siendo un objetivo prioritario de ciberataques, las empresas del sector financiero, bancos y aseguradoras deben estar preparadas para manejar crisis mayores. Es reaccionando rápidamente y de manera coordinada como podrán garantizar su continuidad operativa.
Un aumento espectacular del riesgo cibernético para los bancos europeos
En 2022, según el Financial Services Information Sharing and Analysis Center – FS-ISAC, los ataques cibernéticos por denegación de servicio distribuido (Ddos), dirigidos a instituciones financieras, aumentaron en un 73%.
El Banco Central Europeo (BCE) considera ahora que el riesgo cibernético es un riesgo mayor para la estabilidad financiera.
¿Cómo se explica esto?
La colaboración a distancia y la interconexión de sistemas pueden explicar la proliferación de amenazas cibernéticas en bancos y organizaciones financieras. De hecho, la digitalización acelerada de estas organizaciones no siempre viene acompañada de una seguridad reforzada.
Además, el principal factor de ciberataque sigue siendo el humano. Los empleados generalmente no dominan lo suficiente los buenos reflejos en términos de ciberseguridad (comunicaciones no seguras, contraseñas débiles, phishing…). Sus prácticas constituyen así una entrada privilegiada a los sistemas de información de las empresas. Los ciberatacantes aprovechan estas debilidades para llevar a cabo ataques, obteniendo así información financiera sensible o perturbando el equilibrio económico de una organización.
Finalmente, el contexto geopolítico tenso lleva a algunas organizaciones cibercriminales estatales o paraestatales a atacar la estabilidad financiera de una nación.
La gestión de crisis para Finanzas: punto clave de la regulación DORA
Los bancos y organizaciones del sector financiero deben hoy reforzar su seguridad IT y prepararse para superar las crisis venideras.
La regulación DORA tiene estos dos objetivos: mejorar la ciberseguridad de las organizaciones financieras y su ciberresiliencia, para garantizar la continuidad en su prestación de servicios. Esta regulación entrará en vigor a nivel europeo a finales del año 2024.
La herramienta de videoconferencia segura responde a las necesidades de confidencialidad, reactividad y continuidad operativa de las organizaciones, en un contexto de aumento de amenazas cibernéticas.
Para limitar el riesgo cibernético
Las empresas del sector financiero digitalizan algunas reuniones sensibles. Es el caso de Codir o Comex, de reuniones de negociaciones financieras, o de auditorías o exámenes de conformidad.
Llevar a cabo estos intercambios a distancia ahorra tiempo a las partes. Pero esto debe exigir el uso de una solución de videoconferencia con un nivel de seguridad máximo. Las comunicaciones de audio, video y datos deben estar protegidas de cualquier interceptación, gracias a una verdadera tecnología de cifrado de extremo a extremo. El recurso a la videoconferencia segura es así un primer baluarte contra el espionaje informático y el robo de datos.
Para gestionar la crisis y garantizar la continuidad operativa
En caso de perturbación del sistema de información, las herramientas de colaboración principales pueden quedar inoperantes. Recurrir a una solución de visiocollaboración segura se vuelve entonces esencial:
para permitir a los equipos dedicados intercambiar sobre las operaciones de gestión de crisis de manera segura
para asegurar la continuidad operativa de los empleados y de la empresa
para garantizar la confidencialidad y protección de los intercambios durante toda la duración de la crisis y evitar otras fugas de datos
La videoconferencia segura responde a la necesidad de gestión de crisis de Finanzas asegurando la eficacia de los equipos y la seguridad de las comunicaciones.
¿Cómo elegir el aliado correcto?
La regulación DORA recuerda la importancia fundamental de establecer políticas sobre la gestión de crisis de Finanzas y los riesgos relacionados con las tecnologías de la información y la comunicación. Esto implica elegir proveedores y subcontratistas TIC altamente seguros.
La certificación y cualificación de la ANSSI ayudan a las empresas, en particular de Finanzas, a hacer esta elección. De hecho, el visado de seguridad de la ANSSI garantiza la fiabilidad y el alto nivel de exigencias en materia de seguridad de un producto, indispensable para enfrentar la crisis y ganar en ciberresiliencia. Equivale a una recomendación del Estado para su uso.
Por lo tanto, se recomienda la elección de una solución de videoconferencia segura certificada y calificada por la ANSSI, especialmente en el marco de un plan de continuidad operativa y gestión del riesgo cibernético.
Tixeo es la única solución de videoconferencia segura certificada y calificada por la ANSSI desde hace más de 6 años.
La inteligencia artificial progresa de manera exponencial en todos los campos y llega incluso al gran público. En las empresas, los empleados la utilizan incluso durante sus reuniones en línea. ¿Cuáles son los desafíos de la IA en términos de seguridad en las videoconferencias?
La inteligencia artificial se invita a tus reuniones en línea
Asistentes virtuales que comunican en tu lugar
Algunos proveedores de videoconferencias ofrecen hoy funciones de asistente virtual, basadas en inteligencia artificial generativa. Integrado en la solución, el asistente virtual puede transcribir, traducir, subtitular los intercambios de una reunión en línea o incluso hacer resúmenes textuales sintéticos.
¿El objetivo? Mejorar la productividad de los usuarios facilitándoles ciertas tareas, como las actas de reuniones, por ejemplo. El colaborador puede concentrarse más en el contenido de los intercambios mientras la IA realiza su trabajo de sintetizar las comunicaciones.
¿Cómo funciona?
El «modelo de lenguaje amplio» se utiliza generalmente para mejorar las videoconferencias con un asistente virtual. Este modelo de inteligencia artificial, bien conocido por el gran público con Chat GPT, permite comprender y generar texto de manera contextual y fluida. Así, se utiliza para transcribir textualmente intercambios en videoconferencias o crear respuestas automáticas. Su entrenamiento se basa en una amplia variedad de datos, lo que le permite comprender y producir lenguaje humano de manera muy precisa. Cuanto más datos procese este modelo, más eficiente será y ofrecerá nuevas respuestas.
La promesa de rendimiento plantea preguntas
En el contexto de una empresa, los datos intercambiados durante las videoconferencias pueden estar relacionados con la propiedad intelectual o contener datos personales de empleados. Cuando estos datos pasan por un asistente virtual, surge la cuestión de la confidencialidad.
En agosto pasado, el proveedor de videoconferencias estadounidense Zoom estuvo en el centro de una polémica. La razón fue una mención en sus términos de uso interpretada como una autorización tácita de usar los contenidos intercambiados durante las reuniones en línea para entrenar su herramienta de IA. Este caso fue rápidamente cerrado por el propio proveedor, que afirmó respetar la integridad de los datos. Sin embargo, las reacciones demostraron la aguda vigilancia de los usuarios en cuanto a la protección de su privacidad. La polémica también abrió el debate sobre la seguridad y la confidencialidad de las comunicaciones tratadas por la IA.
Los datos sensibles pueden estar expuestos
Posibilidades de ataques
Un informe publicado por Cyberhaven en febrero de 2023 indica que los datos sensibles representan el 11 % de lo que los empleados ingresan en ChatGPT. Sin embargo, los empleados tienen pocas garantías (si es que tienen alguna) sobre la protección de los datos que proporcionan a la IA. De hecho, ya en 2021, investigadores habían advertido sobre los «ataques de extracción de datos de entrenamiento«. En otras palabras, observaron la posibilidad de recuperar elementos textuales compartidos con Chat GPT-2 interrogando al sistema sobre elementos específicos que había aprendido anteriormente. Estas técnicas también podrían revelar información personal. En el contexto de las videoconferencias que integran IA generativa, se comparten datos como la recurrencia, los participantes o el tema de una reunión. A través de una serie de interrogaciones contextuales, individuos podrían intentar recuperar esta información del sistema de IA.
Algunos empleados preocupados por sus datos personales
El estudio Perspectivas del empleo de la OCDE proporciona cada año una evaluación de las principales evoluciones de los mercados laborales en los países miembros de la Unión Europea. En su edición 2023, la OCDE realiza un enfoque en el impacto de la inteligencia artificial para los empleados. Se aprende que el 57% de los empleados europeos en los sectores financiero y manufacturero están preocupados por la protección de su privacidad en la era de la IA.
Y con razón, «el volumen de datos personales procesados por los sistemas de IA es a menudo superior al de los datos recopilados por los humanos o por otras tecnologías», indica también el análisis. Así, durante videoconferencias sensibles, como reuniones de dirección o comités ejecutivos, se pueden recopilar ciertos datos confidenciales. Esto con el objetivo de generar resúmenes, por ejemplo. Pero, ¿cómo asegurarse de que están bien protegidos y no serán reutilizados? Si la inteligencia artificial generativa aprende de los datos que se le proporcionan, ¿es posible que pueda reutilizarlos cuando ofrezca respuestas a otros usuarios?
Vías para asegurar más las comunicaciones con IA
Como destaca la OCDE, dentro de la UE, el Reglamento General de Protección de Datos (RGPD) garantiza la protección de los datos personales e impone obligaciones a las entidades que los procesan. Con la IA, los derechos para la recopilación y el tratamiento de datos se aplican en dimensiones particulares. El sistema debe garantizar la transparencia y el acceso a la información, la corrección, la supresión y la limitación del procesamiento.
En algunos países, proyectos de ley buscan obligar a informar a las personas que interactúan con la inteligencia artificial o a ser más transparentes sobre cómo esta produce datos.
Dentro de la UE, el AI Act surgió en 2021 como la primera regulación en materia de inteligencia artificial. Así, especifica que «iniciativas como la estrategia de ciberseguridad de la UE, la legislación sobre servicios digitales y la legislación sobre mercados digitales, así como la ley sobre gobernanza de datos, proporcionan la infraestructura adecuada para la implementación de tales sistemas«. También se han establecido niveles de riesgo para ajustar las medidas de seguridad a implementar.
La soberanía digital y europea: otro desafío importante
Para las soluciones de videoconferencia que incorporan IA generativa, la vigilancia es crucial. Primero, un alto nivel de seguridad de estas soluciones es indispensable para preservar la confidencialidad de los datos intercambiados. La videoconferencia y sus mecanismos de IA deben estar sujetos a regulaciones estrictas en materia de protección de datos, como el RGPD. Este desafío de soberanía es objeto de discusiones dentro del reciente comité interministerial francés sobre IA generativa. Este comité planea así desarrollar «una cadena de desarrollo soberana de modelos de IA«.
Finalmente, los proveedores de soluciones de videoconferencias deben ser transparentes y ofrecer garantías claras a los usuarios sobre el uso de sus datos. Cabe señalar que cuando estas soluciones no incluyen un verdadero sistema de cifrado de extremo a extremo, la protección de las comunicaciones que transmiten nunca está asegurada.
El «zoombombing» sigue siendo una realidad e interrumpe reuniones en línea cada vez más estratégicas, a menudo con fines malintencionados. Para evitarlo, hay que maximizar la seguridad de las videoconferencias a todos los niveles.
¿Qué es el «zoombombing»?
El «zoombombing» es una intrusión no deseada en una reunión en línea. Durante la crisis sanitaria y el confinamiento, el uso masivo y repentino de la videoconferencia hizo que proliferase este fenómeno. El «zoombombing» debe su nombre al gran número de intrusiones de personas malintencionadas durante las videoconferencias a través de Zoom.
De hecho, los intrusos pueden tener diferentes objetivos al unirse a una videoconferencia, desde la simple interrupción de la reunión hasta la obtención de información sensible como los nombres de los participantes, el propósito de la reunión, los documentos o las pantallas compartidos, etc.
Graves consecuencias para las organizaciones
Un intruso en una videoconferencia no solo perturba el desarrollo de la reunión. También representa un peligro para la confidencialidad de la información intercambiada.
En su último boletín sobre los riesgos vinculados a las videoconferencias, la Dirección General de Seguridad Interior (DGSI) cita el ejemplo de una intrusión en una videoconferencia de una empresa para difundir mensajes de carácter terrorista. ¿A qué se debió? No había ningún control sobre el acceso a la reunión en línea: la inscripción era gratuita y la contraseña de la aplicación tenía un nivel de seguridad muy bajo.
Del mismo modo, recientemente se canceló una videoconferencia de la Reserva Federal tras la aparición de imágenes pornográfica difundidas por un participante anónimo en la reunión. En esta reunión en línea estaban presentes alrededor de cien representantes de los principales bancos estadounidenses. Una interrupción que crea el riesgo de robo de datos y empaña la reputación de la organización.
Imprescindible: la seguridad del software de videoconferencia utilizado
Estas intrusiones pueden evitarse si el software de videoconferencia utilizado es «Secure by design». Este principio consiste en diseñar un software teniendo en cuenta las nociones de seguridad desde las primeras etapas de su diseño, con el fin de prevenir los riesgos de violación de la seguridad.
Así, el acceso al software y sus funciones se somete a un estricto análisis desde el momento de su creación. De este modo, tan pronto como se descubre una vulnerabilidad, se corrige inmediatamente antes de poner en marcha el software.
El cifrado de extremo a extremo
Para las videoconferencias, el cifrado de extremo a extremo es uno de los criterios de seguridad esenciales. Este sistema de transmisión de datos (audio, vídeo y datos) garantiza la total confidencialidad de las comunicaciones. En efecto, solo el emisor y el o los destinatarios pueden descifrar los datos intercambiados, sin que exista ninguna fase de descifrado entre ellos.
Por lo tanto, resulta imposible escuchar o espiar una videoconferencia cifrada de extremo a extremo desde fuera de la reunión. Por consiguiente, el cifrado de extremo a extremo dificulta la intrusión en una reunión en línea.
El papel clave del organizador de la videoconferencia
La seguridad del software de videoconferencia constituye una primera barrera contra las intrusiones.
No obstante, para garantizar la máxima protección, es importante que el organizador de la reunión pueda:
gestionar fácilmente a los participantes y excluir en cualquier momento a un participante no deseado;
moderar los turnos de palabra en la reunión;
adaptar el nivel de seguridad en función del carácter sensible de la reunión.
Control del acceso a las reuniones en línea
Cuando se comparte un enlace de conexión a una videoconferencia, algunos invitados no deseados tienen la posibilidad de conectarse y acceder directamente a la reunión.
Con Tixeo, si alguien hace clic en un enlace de conexión de videoconferencia, indica su nombre y accede a una sala de espera. El organizador recibe paralelamente una notificación de esta solicitud de acceso y puede decidir si deja o no participar a esta persona.
Del mismo modo, en cualquier momento de la reunión en línea, el organizador puede excluir a un participante si considera que es sospechoso.
Gestión de los derechos de los participantes
Hasta que todos los participantes en la videoconferencia estén reunidos, es preferible que solo el organizador tenga el micrófono abierto. Así se evitan los ruidos parásitos asociados a la llegada de cada participante, y se evita el riesgo de que un intruso tome la palabra y llame la atención.
El organizador también puede pedir a cada participante que active su cámara web, para que no haya ninguna duda sobre los interlocutores presentes, como recomienda la DGSI.
Elegir un nivel de seguridad adaptado
Tixeo permite al organizador elegir un nivel de seguridad mayor o menor en función del carácter sensible de la videoconferencia.
De este modo, con un nivel de seguridad estándar, será posible compartir un enlace a la reunión y conectarse a ella desde un navegador web, por ejemplo.
Con un nivel de seguridad máximo, los participantes tendrán que crear una cuenta de usuario y conectarse a la reunión en línea desde el software.
Videoconferencia segura
Tixeo es la única solución francesa de videoconferencia segura que cuenta con la certificación y la acreditación de la Agencia Francesa de Seguridad de los Sistemas de Información (ANSSI).
Tixeo está registrada en el catálogo de empresas y soluciones de ciberseguridad de INCIBE.
Evitar compartir información en una reunión en línea
Por último, a veces se comparte inadvertidamente información sobre una videoconferencia.
Por ejemplo, en las agendas compartidas, donde se puede acceder a la lista de participantes, el propósito de la reunión o el enlace de inicio de sesión. Pero también ocurre que se publican en las redes sociales fotos de salas de reuniones con una videoconferencia en curso, a pesar de que en la pantalla se ve el nombre de la red o las claves de acceso.
Hay que extremar la vigilancia al compartir este tipo de información, ya que puede dar lugar a intrusiones.
Tixeo, el software de videoconferencia Secure by Design, integra la seguridad en el diseño de su solución. Su tecnología de cifrado de extremo a extremo protege las comunicaciones, independientemente del número de participantes en la videoconferencia.
