Dar a los empleados reglas sobre cómo elegir plataformas de videoconferencia

Cuando la crisis de COVID-19 se abrió hace un mes y obligó a las organizaciones a hacer que los empleados trabajaran desde su casa, la videoconferencia fue vista como una forma de permitir a los gerentes mantenerse al tanto de lo que el personal está haciendo.

Ahora, en medio de las recientes quejas de que Zoom y otros tienen fallas de seguridad y privacidad, un asesor de Forrester Research está instando a la administración a dar a los empleados reglas sobre cómo elegir una plataforma de colaboración y usarla de manera segura.

“Brinde orientación a los empleados”, dijo Heidi Shey, analista principal de seguridad y riesgos de Forrester en una entrevista. “Ahora es el momento del liderazgo, de dar consejos para que las personas entiendan lo que están utilizando en términos de tecnología, de lo que deben estar conscientes. Que tienen que entender los controles de privacidad y no solo usar la configuración predeterminada “.

En muchos casos, el consejo es la higiene básica: antes de suscribirse a un servicio, lea su política de privacidad. ¿Qué datos recopila el servicio, comparte datos con terceros, tiene derechos sobre el contenido de cualquier usuario? Estas preguntas también se aplican a las aplicaciones de chat y uso compartido de archivos, agregó Shey. “Si es un muro de jerga legal densa, podría ser una bandera”.

Los usuarios finales y los anfitriones de las reuniones deben pensar qué contenido se comparte si no se puede garantizar la privacidad. La información personal o financiera confidencial sobre clientes, socios o la empresa puede no ser apropiada.

Los anfitriones de las reuniones deben pensar si la reunión se grabará. Si es así, ¿hay controles sobre quién puede acceder y compartirlo?

Los usuarios finales deben ser conscientes de lo que otros pueden ver cuando están frente a la cámara. ¿Hay un tablón de anuncios o escritorio con contraseñas visibles pegadas a él? Los participantes de la reunión también deben apagar los parlantes inteligentes del hogar en la sala porque podrían activarse y comenzar a grabar.

Las cosas son lo suficientemente serias que un senador de EE. UU. instó a un regulador estadounidense para crear pautas de seguridad para fabricantes de software y usuarios finales.

Zoom ha sido el foco de muchas quejas de que su servicio no es lo suficientemente seguro, con el El sargento de armas del Senado de EE. UU. Pide a los senadores y a su personal que busquen alternativas. Además, el Ministerio de Asuntos Exteriores de Alemania, los gobiernos de Taiwán y Australia, las escuelas del área de Google y del estado de Nueva York han prohibido Zoom. El Laboratorio de Ciudadanos de la Universidad de Toronto tenía un cantidad de preguntas serias, a la que Zoom ha respondido.

Relacionado:

Zoom admite confusión sobre el cifrado


Zoom ha realizado recientemente algunos cambios inmediatos en su plataforma. Hizo obligatorio el uso de contraseñas para asistir a reuniones y prometió cerrar rápidamente los agujeros en los errores.

Esta semana Kaspersky emitió 10 consejos para asegurar Zoom. Incluyen:

  • Al crear una cuenta, use una contraseña segura impuesta por la autenticación de dos factores
  • Nunca haga pública la ID de reunión personal que obtiene después de registrarse ni la use para organizar eventos públicos. En su lugar, elija la ID de reunión única o la opción “generar una ID de reunión automáticamente”
  • No caigas en aplicaciones falsas de Zoom
  • No use las redes sociales para compartir enlaces de conferencias
  • Los anfitriones de las reuniones deben hacer que los participantes usen una sala de espera, donde se pueden verificar antes de que la reunión comience
  • Limite a los participantes de compartir pantalla. Eso evitará que los participantes compartan con aquellos que no deben estar en la reunión.
  • Use el cliente web si es posible

Algunos de estos consejos se aplican a todas las plataformas, aunque los nombres de sus controles pueden ser diferentes.

Webex de Cisco Systems es una plataforma empresarial común que según la compañía ha visto una adopción “masiva” desde que comenzó la crisis. Ha ampliado las funciones disponibles para la versión gratuita existente dirigida a los consumidores al tiempo que permite a los clientes empresariales existentes agregar licencias sin cargo.

Pero incluso Webex tiene vulnerabilidades. En Enero, la compañía parchó un error grave que permitía que personas no invitadas entraran a reuniones protegidas por contraseña si tenían la ID de la reunión y la aplicación móvil. En marzo, Cisco corrigió vulnerabilidades en Webex Player y Webex Network Recording Player para reproducir grabaciones que podrían haber permitido a un atacante ejecutar código.

En una entrevista, Abhay Kulkarni, vicepresidente y gerente general de las reuniones de Webex, señaló que estas vulnerabilidades fueron encontradas por Cisco. Tanto la versión gratuita como la empresarial tienen las mismas características básicas de privacidad, dijo, aunque la versión empresarial ofrece inicio de sesión único y una solución administrada para teléfonos móviles.

Por defecto, Webex establece automáticamente una contraseña para cada reunión programada. Sin embargo, aunque los nuevos registrantes tienen que crear una contraseña segura, no está protegida con autenticación de dos factores.

Cisco también ofrece estas mejores prácticas a los anfitriones para asegurar las reuniones de Webex:

  • No comparta su PIN de audio con nadie
  • Proporcione contraseñas de reunión solo a los usuarios que las necesiten. Para reuniones confidenciales, marque “excluir contraseña de la invitación por correo electrónico”. Luego, debe proporcionar la contraseña a los asistentes de otra manera, como por teléfono
  • Nunca comparta información confidencial en su reunión hasta que esté seguro de quién asiste
  • Configura su sala personal para que se bloquee automáticamente cuando comienza la reunión. Cisco recomienda cerrar su habitación a los 0 minutos. Esto es esencialmente lo mismo que bloquear su habitación cuando ingresa. Impide que todos los asistentes en su lobby se unan automáticamente a la reunión. En cambio, verá una notificación en la reunión cuando los asistentes estén esperando en el lobby. Luego puede seleccionar y permitir que solo los asistentes autorizados entren a su reunión
  • Para mayor seguridad, se requiere que los asistentes tengan una cuenta en su sitio

Cuando se le pidió un comentario sobre lo que los usuarios pueden hacer para proteger Google Meet, un portavoz se refirió a un blog publicado esta semana, que observa varias características de seguridad. Google Meet hace que sea difícil forzar los ID de las reuniones mediante el uso de códigos de 10 caracteres, con 25 caracteres en el conjunto. Limita la capacidad de los participantes externos para unirse a una reunión con más de 15 minutos de anticipación, lo que Google argumenta reduce la ventana en la que se puede intentar un ataque de fuerza bruta.

Los participantes externos no pueden unirse a las reuniones a menos que estén en la invitación del calendario o hayan sido invitados por participantes dentro del dominio. De lo contrario, deben solicitar unirse a la reunión, y su solicitud debe ser aceptada por un miembro de la organización anfitriona.

Para las escuelas que usan Google Hangout Meet, se están realizando cambios para que solo los creadores de reuniones y los propietarios de calendarios puedan silenciar o eliminar a otros participantes. Esto es para garantizar que los estudiantes no puedan quitar o silenciar a los instructores. Solo los creadores de reuniones y los propietarios de calendarios pueden aprobar solicitudes de participación realizadas por participantes externos. Esto significa que los estudiantes no pueden permitir que los participantes externos se unan por video y que los participantes externos no pueden unirse antes que el instructor. Los participantes de la reunión no pueden volver a unirse reuniones apodadas una vez que el participante final se haya ido. Esto significa que si el instructor es la última persona en abandonar una reunión conocida, los estudiantes no pueden unirse más tarde sin el instructor presente.

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí