¿Quién ha participado en una reunión online en los últimos meses?. Seguramente, muchos.
La pandemia causada por el COVID-19 obligó a las empresas a buscar alternativas para comunicarse en grupo con trabajadores, proveedores, clientes, asociados y otros miembros de la organización, generando la necesidad de adoptar nuevas prácticas para lograr dicho objetivo.
La política de seguridad y privacidad debe perseguir dos objetivos: prevenir la intrusión y garantizar la confidencialidad de las conversaciones y de la información que tratamos en ellas, ya que podrían estar expuestas a las siguientes amenazas:
- Las inherentes a Internet y a las redes inalámbricas.
- Las originadas por una configuración errónea de la sesión.
- Las asociadas a las carencias de seguridad de la propia herramienta.
Existen dos tipos de videoconferencias: las tradicionales, que utilizan un software específico o equipos físicos dedicados a ello, y las plataformas en la nube, que pueden ser de uso doméstico o profesional, gratuitas o de pago. Si el responsable de la videoconferencia es una organización empresarial deben utilizar la versión profesional, por ofrecer las funcionalidades y la seguridad que requieren la mayoría de las organizaciones como responsables o encargadas del tratamiento.
A continuación, paso a enumerarles una lista de recomendaciones, que no tiene carácter exhaustivo, para que sus reuniones virtuales se celebren en un entorno seguro:
- Los participantes sólo utilizarán dispositivos proporcionados o aprobados por la organización.
- Mantengan actualizados el software del sistema de videoconferencia, así como los antivirus, antimalware y cortafuegos.
- Utilicen perfiles de usuario con autenticación de doble factor para evitar que alguien pueda unirse a la reunión averiguando la URL de enlace o el código de acceso. Las contraseñas de acceso serán seguras y el cifrado de extremo a extremo.
- Establezcan un registro de accesos y credenciales de identificación y autenticación.
- Si el asunto de la reunión es sensible por el tema a tratar, la identidad de los participantes o cualquier otra cuestión, utilicen enlaces o códigos de acceso de un solo uso.
- Realice la convocatoria únicamente a contactos concretos, evitando el envío de convocatorias a grupos o listas de correos que incluyan enlaces que sean válidos tan solo por su posesión.
- Deshabiliten las funcionalidades no necesarias de la aplicación, como el chat, el intercambio de ficheros, de recepción de vídeo o la compartición de pantalla, para habilitarlas solo cuando sea necesario.
- Antes de iniciar la reunión, comprueben el área visible. Se recomienda usar un fondo neutro o virtual que enmascare el segundo plano.
- Utilicen una «sala de espera» para poder ir admitiendo a las personas participantes según su turno.
- Habiliten la notificación para cuando los participantes se unan a la reunión. Si su proveedor no lo permite, asegúrese de que el anfitrión pide a los participantes que se identifiquen.
- Utilicen los paneles de participantes para tenerlos controlados a todos.
- Bloquee el acceso a la reunión cuando todos los participantes estén identificados.
- No graben la reunión, a menos que sea necesario. Si es el caso, deben ser cifradas mediante un algoritmo robusto. Además, han de informar adecuadamente a los participantes acerca de la finalidad de la grabación y en qué momento se inicia, detiene y finaliza. Algunos proveedores realizan estos avisos de forma automática.
- Cuando termine la reunión, asegúrense de utilizar un dispositivo que inhabilite físicamente la cámara (pestaña, adhesivo o similar) y apaguen el micrófono.
Espero que estas recomendaciones les resulten útiles y que las asimilen como parte del protocolo de seguridad.