La directiva NIS 2 se transpondrá a nivel europeo antes del 17 de octubre de 2024, seguida de cerca por DORA. Las organizaciones ya se están movilizando para reforzar su ciberseguridad, especialmente en los llamados sectores críticos (defensa, industria, transporte, finanzas, etc.). Para garantizar la seguridad de las comunicaciones corporativas y la resiliencia en caso de crisis, la elección de la herramienta de videoconferencia segura a desplegar se está convirtiendo en crucial para los departamentos informáticos.
Esta es la guía para elegir una herramienta de videoconferencia segura.
- Parte 1: ¿Por qué una herramienta de videoconferencia segura?
- Parte 2: Confidencialidad de las comunicaciones
- Parte 3: Medidas de protección de datos
- Parte 4: Despliegue de la solución de videoconferencia
- Parte 5: Funciones de colaboración seguras
- Parte 6: Otras garantías de seguridad para las reuniones en línea
1/ ¿Por qué una herramienta de videoconferencia segura?
Modalidad híbrida y teletrabajo
El teletrabajo se ha convertido en un factor clave de la competitividad empresarial. También ha hecho imprescindibles las videoconferencias.
En el modo híbrido, los empleados en la oficina y los que trabajan desde casa necesitan poder comunicarse sin problemas. Los sistemas de mensajería instantánea y videoconferencia son esenciales para comunicarse con rapidez y eficacia, incluso sobre temas delicados.
La seguridad de la SI también afecta a la videoconferencia
En Francia, según un reciente estudio del INSEE, más de la mitad de las empresas que practican el teletrabajo facilitan directrices de seguridad en materia de TIC (tecnologías de la información y la comunicación). También sabemos que «cuatro de cada cinco empresas que no facilitan directrices sobre reuniones a distancia tampoco tienen documentación sobre seguridad».
Y sin embargo, algunas reuniones en línea deben ser estrictamente confidenciales, como :
- Reuniones del Consejo de Administración en las que se debaten cuestiones altamente estratégicas.
- Reuniones de negociación de contratos con socios que transmiten información financiera.
- Reuniones de gestión de recursos humanos, con todos sus datos personales.
- O reuniones de I+D que podrían ser objeto de espionaje industrial.
Su protección también contribuye a asegurar el sistema de información contra cualquier intrusión. Y esto puede hacerse mediante directivas específicas.
Para prevenir el riesgo de «shadow IT»
El «shadow IT» se produce cuando los empleados utilizan programas o aplicaciones que no han sido verificados y aprobados por el departamento de TI. Esta práctica suele responder a una falta de formación o de rendimiento de las herramientas internas. Esto dificulta el trabajo conjunto de los equipos y se ve agravado por la proliferación de soluciones. Las TI en la sombra también entrañan riesgos para los datos de la empresa. Estos programas y aplicaciones pueden contener fallos de seguridad. Por tanto, crean vulnerabilidades en el puesto de trabajo y, por extensión, en la red interna.
Elegir una herramienta de videoconferencia segura y comunicar claramente su uso ayuda a limitar los riesgos de seguridad.
2/ Garantizar la confidencialidad de las comunicaciones
Tecnología de cifrado de extremo a extremo
El cifrado de extremo a extremo (E2EE) es un sistema seguro de transmisión de datos (audio, vídeo y datos). Sólo permite descifrar los datos al remitente y al destinatario o destinatarios, sin ninguna fase de descifrado entre ellos. Esto hace imposible la escucha de las comunicaciones y el espionaje informático. Se trata de la única tecnología actual capaz de garantizar la total confidencialidad de las comunicaciones, sea cual sea el número de participantes en la reunión en línea.
La solución de videoconferencia segura Tixeo utiliza este proceso. El cifrado del enlace se realiza mediante TLS (Transport Layer Security) y el cifrado de extremo a extremo (cliente a cliente) de los flujos de audio, vídeo y datos se realiza mediante AES 256 (Advanced Encryption Standard 256), con un intercambio de claves Diffie-Hellman.
¿Qué ocurre con otros programas informáticos con cifrado de extremo a extremo?
Algunos programas tradicionales de videoconferencia afirman tener un cifrado de extremo a extremo, pero en general se trata sólo de un cifrado de enlace SRTP (Secure Real-time Transport Protocol). Esto encripta sólo los flujos de datos que pasan entre el usuario y el servidor de comunicación: por tanto, es posible acceder a los datos desencriptados que pasan por sus servidores.
Además, en algunos países, el cifrado de extremo a extremo de las comunicaciones está sujeto a normativas específicas.
El origen de la solución de videoconferencia
Este es el primer criterio que hay que tener en cuenta. La mayoría de los grandes editores tienen su sede en Estados Unidos. Por ello, están sujetos a una normativa de protección de datos muy flexible.
Por ejemplo, la USA PATRIOT Act autoriza la escucha de cualquier tipo de comunicación electrónica. Por ello, las agencias gubernamentales estadounidenses exigen a las empresas informáticas nacionales que incorporen medios de recogida de datos o «puertas traseras». Estas puertas traseras son potencialmente utilizadas por estas autoridades, pero también es probable que sean descubiertas por entidades malintencionadas. Los riesgos de espionaje son, por tanto, elevados. Esta ley es extraterritorial y, por tanto, se aplica a las empresas estadounidenses, aunque estén situadas en Europa, por ejemplo. Es más, estas escuchas no se limitan a Estados Unidos. Las empresas situadas en otros países están sujetas a leyes equivalentes.
3/ Vérifier les mesures de protection des données
La conformité au RGPD
Outre les communications audio, vidéo et data, des données personnelles de salariés et de clients sont collectées et traitées lors de l’utilisation d’une solution de visioconférence.
Pour assurer l’intégrité de ces données, leur hébergement doit se faire sur des serveurs localisés en France ou en Europe, conformément au Règlement Général de la Protection des Données (RGPD).
Algunas leyes extraterritoriales, a las que responden muchos editores de videoconferencias, autorizan el acceso a los datos de los usuarios.
Es el caso de la Cloud Act (Clarifying Lawful Overseas Use of Data Act), una serie de leyes extraterritoriales que permiten a las autoridades estadounidenses obligar a los editores situados en Estados Unidos a facilitar datos relativos a las comunicaciones electrónicas almacenadas en servidores estadounidenses o extranjeros. Las solicitudes de acceso, aunque sujetas a ciertas condiciones, son peligrosas para la soberanía de las empresas.
En Europa, el RGPD establece un marco firme para el tratamiento de datos personales. Limita las condiciones en las que los datos pueden transferirse a un tercer país. El RGPD también exige a los editores que documenten y, en caso necesario, faciliten toda la información relativa a los datos personales que recopilan. Se trata de los medios de recogida, los fines del tratamiento, la base jurídica y el periodo de conservación. Además de garantizar su soberanía, las empresas europeas tienen todo el interés en elegir una solución de videoconferencia europea que cumpla el RGPD. Esto les ofrece una protección garantizada contra cualquier riesgo de filtración de datos personales. Incidentes que podrían tener graves consecuencias financieras y dañar su imagen.
Tixeo cumple al 100% el RGPD
El cumplimiento del RGPD está en el centro de los compromisos de Tixeo, para preservar los datos de sus usuarios y garantizar la soberanía de sus clientes en sectores sensibles.
4/ Despliegue de la solución: la seguridad y la soberanía son esenciales
Nube pública soberana
Las soluciones de videoconferencia basadas en la nube son las más accesibles. Permiten un despliegue ultrarrápido dentro de una organización. Sin embargo, como ya hemos visto, es importante favorecer el alojamiento en una nube soberana, situada en Europa. Esto garantiza la integridad y la soberanía de los datos.
La solución de videoconferencia segura en la nube de Tixeo aloja todos sus datos en Francia, mediante una estrategia multicloud.
Nube privada calificada SecNumCloud
Alojar videoconferencias seguras en una nube privada le permite beneficiarse de las ventajas tanto de las soluciones en la nube como de las locales. Elimina los pasos de despliegue y mantenimiento al tiempo que garantiza un alto nivel de seguridad de los datos.
Además, la videoconferencia segura en la nube privada Tixeo está alojada por un operador cualificado SecNumCloud por la ANSSI.
Versión on-premise
Si su organización tiene los requisitos de protección de datos más estrictos, optará por una solución de videoconferencia in situ. Este tipo de despliegue se realiza con total seguridad, sin afectar a la política de seguridad de la red de la empresa. El resultado es un servidor de videoconferencia seguro, dedicado y totalmente personalizable. Además, la empresa conserva el control total del tratamiento de sus datos personales.
5/ Funciones de colaboración seguras
Acceso seguro a las reuniones en línea
El acceso a las reuniones en línea debe estar especialmente protegido, sobre todo en el caso de reuniones estratégicas como codir o comex.
Algunas soluciones de videoconferencia ofrecen compartir un enlace de conexión a una reunión en línea: esto abre la posibilidad de que invitados no deseados accedan directamente a la reunión.
Tixeo permite al organizador elegir un nivel de seguridad mayor o menor en función de la sensibilidad de la videoconferencia.
Por ejemplo, con un nivel de seguridad estándar, será posible compartir un enlace de conexión a la reunión y conectarse a ella desde un navegador web. Cuando se comparte un enlace seguro de conexión a la videoconferencia y alguien hace clic en él, se le conduce a una sala de espera. Al mismo tiempo, el organizador recibe una notificación de esta solicitud de acceso y puede decidir si la acepta o no.
Configuración de los niveles de seguridad de las videoconferencias Tixeo
Al optar por el máximo nivel de seguridad, los participantes deberán crear una cuenta de usuario Tixeo y conectarse a la reunión en línea desde el software. Esto se recomienda para videoconferencias altamente confidenciales.
Mejor gestión de los participantes en videoconferencias
Hasta que todos los participantes en la videoconferencia estén reunidos, es preferible que sólo el organizador tenga el micrófono abierto. Así se evitan los ruidos indeseados de todos los participantes y se evita el riesgo de que un intruso tome la palabra y llame la atención.
Con Tixeo, el organizador también puede pedir a cada participante que active su webcam, para que no haya dudas sobre quién está hablando, tal y como recomienda la DGSI.
Del mismo modo, en cualquier momento de la reunión en línea, el organizador puede excluir a un participante si considera que es sospechoso.
Gestión de los derechos de los participantes en Tixeo
Derechos de acceso específicos
En el marco de una videoconferencia segura, el acceso a las funciones de colaboración puede estar limitado. Por ejemplo, el organizador puede decidir no activar la pantalla compartida o la grabación de la videoconferencia para los participantes. Esto limita el riesgo de fuga de datos.
6/ Otras garantías esenciales de seguridad
Seguridad desde el diseño
Cuando se descubre una vulnerabilidad en un software de videoconferencia, se producen fugas de datos y disfunciones importantes.
Estas vulnerabilidades son muy temidas porque son costosas de corregir y exponen potencialmente todo un sistema de información a ataques informáticos durante largos periodos.
Los procesos de diseño seguro permiten reducir este tipo de riesgos de seguridad. Consisten en diseñar un programa informático o una aplicación teniendo en cuenta los conceptos de seguridad desde las primeras etapas del diseño.
En el caso de la solución Tixeo, los equipos de I+D analizan todas sus interacciones con los usuarios y otros servicios para identificar los posibles puntos de fallo. Para responder a estos puntos de fallo, se diseñan soluciones que se integran en el software durante las fases de desarrollo.
Tixeo, software de videoconferencia Secure by Design
Tixeo integra la seguridad desde el diseño de su solución hasta su despliegue en las organizaciones.
Certificaciones y cualificaciones
La certificación y cualificación de las soluciones de videoconferencia es una prueba de su seguridad. En Francia, la Agence nationale de la sécurité des systèmes d’information (ANSSI) ha establecido un proceso de certificación y cualificación de las soluciones más fiables:
- La certificación es la prueba de la solidez de un producto. Se basa en un análisis de conformidad y en pruebas de penetración. Éstas son realizadas por un evaluador externo, bajo la autoridad de la ANSSI, según un esquema y un marco de referencia adaptados a las necesidades de seguridad de los usuarios y teniendo en cuenta la evolución tecnológica.
- La calificación es la recomendación por parte del gobierno francés de productos o servicios de ciberseguridad que han sido probados y aprobados por la ANSSI. Mediante este proceso de cualificación, la ANSSI se asegura de que los productos alcanzan un determinado nivel de seguridad y garantizan un grado de confianza para los operadores de vital importancia (OIV) y las organizaciones que operan en sectores sensibles.
Las soluciones recomendadas por la ANSSI a través de este proceso reciben un Visado de Seguridad para facilitar su identificación. La Agencia ayuda así a las empresas y organizaciones en su elección, en particular de soluciones de videocolaboración, para proteger sus sistemas de información y sus datos.
Tixeo es la única herramienta de videoconferencia segura con certificación CSPN (Certification de sécurité de premier niveau) y cualificada (Qualification élémentaire) desde 2017.
Cabe señalar que las medidas de seguridad recomendadas por la NIS 2 incluyen «el uso de comunicaciones seguras de voz, vídeo y texto y de sistemas de comunicación de emergencia seguros dentro de la entidad, según sea necesario«.
Leer también : ¿Cómo evaluar la credibilidad de una certificación de seguridad?
