Cómo elegir una plataforma de videoconferencia de alta seguridad


Varias soluciones cumplen con los requisitos de HIPAA y GDPR y completan auditorías SOC 2.

Videoconferencia

Empresario realizando una videoconferencia con algunos socios remotos, ilustración vectorial EPS 8

Getty Images / iStockphoto

Cuando el mundo empresarial se fue a casa a trabajar hace 16 meses, muchas empresas utilizaron todas las herramientas que tenían para mover las operaciones diarias en línea. Ahora, el trabajo remoto es una parte más importante del plan de oficina de todos y la pandemia no ha terminado. Los departamentos de TI están comenzando a reemplazar estas soluciones a corto plazo con sistemas más sostenibles, particularmente cuando se trata de videoconferencias.

Se proyecta que el tamaño del mercado global de video empresarial crecerá de $ 9.2 mil millones en 2021 a $ 22.5 mil millones para 2026, según Mercados y estudios de mercados.

Además de las funciones de colaboración y la facilidad de uso, la seguridad es una consideración importante al seleccionar una plataforma de videoconferencia. Nadie quiere arriesgarse a una bomba Zoom, pero las industrias reguladas como la atención médica y la banca tienen sus propias reglas de seguridad que cumplir. Este resumen destaca las plataformas de videoconferencia que priorizan la seguridad y cumplen con estos requisitos más estrictos.

VER: Cinco formas de hacer que las videoconferencias sean más seguras (TechRepublic)

Cómo seleccionar una plataforma de videoconferencia segura

Tom Eagle, director senior, analista de Gartner, dijo que la seguridad para el software de reuniones, como las videoconferencias, se ha convertido en una prioridad más alta durante el último año a medida que las organizaciones luchaban con el trabajo desde casa y ahora con arreglos de trabajo híbridos.

Eagle dijo que los tres pilares de la seguridad son la infraestructura en la nube y las capas de red y aplicaciones.

"Los compradores empresariales deben considerar los tres en sus evaluaciones de soluciones para reuniones", dijo.

Gartner ha desarrollado una guía para que los compradores empresariales la utilicen al evaluar la seguridad de las plataformas de conferencias y colaboración.

Nivel de infraestructura

Las soluciones para reuniones deben cumplir con los estándares de la industria, como los requisitos de ISO / IEC / SOC para proteger el contenido de video y los metadatos en la nube. Los estándares regulatorios y de cumplimiento, incluidos GDPR, HIPAA y PCI, también son consideraciones a nivel de infraestructura. Los datos en reposo en la nube deben cumplir con los estándares de nivel AES.

Nivel de red

Deben utilizarse los estándares de la industria de TLS y SRTP para permitir a los usuarios autenticarse y proteger los medios en tránsito. Para los trabajadores remotos, puede ser necesario el soporte de VPN. Sin embargo, debido a posibles problemas de rendimiento, la integración con una solución de inicio de sesión único puede ser una mejor opción. Los compradores empresariales también deben buscar proveedores que utilicen medidas de mitigación de denegación de servicio distribuida (DDoS) y escaneo constante de vulnerabilidades de red para detectar y responder a amenazas e intrusiones.

Capa de aplicación

Existen distintas funciones de seguridad para administradores de TI, anfitriones y participantes. Para el administrador de TI, la solución de reuniones debe admitir contraseñas para todos los participantes, incluida una contraseña de organizador diferente, así como identificaciones de reunión aleatorias y cifrado. Las opciones de seguridad para los anfitriones deben incluir una función de sala de espera que evite que los participantes se unan hasta que llegue el anfitrión, la capacidad de controlar el audio y el video de todos los participantes, el control del intercambio de contenido y la capacidad de bloquear una reunión para que no puedan unirse más participantes. . A nivel de participante, la seguridad puede incluir exigir a los usuarios que se unan haciendo clic en la invitación a la reunión en lugar de a través de un acceso telefónico anónimo para evitar la autenticación.

Aquí hay un vistazo a las plataformas de videoconferencia que cumplen con algunos o todos estos requisitos para empresas de industrias reguladas o líderes que desean aumentar la seguridad general.

VER: GDPR: una hoja de trucos (TechRepublic)

Avaya

Según la empresa, Avaya incorpora seguridad de grado militar de EE. UU. en la capa de aplicación que cumple con los requisitos NIST FIPS 140-2 y DoD / DISA STIG y UCR, lo que convierte a la plataforma en una buena opción para los sectores de finanzas, salud y ciertos sectores gubernamentales.

Avaya tiene un Servicio privado de OneCloud que cumple con HIPAA. La empresa también puede ayudar a los clientes a cumplir con GDPR abordando estos problemas:

  • Compromiso contractual con la privacidad – anexo de procesamiento de datos
  • Seguridad de procesamiento
  • Protección de datos por diseño y por defecto
  • Asistencia en el cumplimiento de los derechos del interesado
  • Transferencias internacionales

BlueJeans de Verizon

BlueJeans tiene la certificación SOC 2 desde 2014 y la plataforma cumple con el Reglamento general de protección de datos, según la empresa. BlueJeans cumple con la Ley de primacía del consumidor de California y también Listo para HIPAA. BlueJeans cumple con todos los requisitos aplicables según la Regla de seguridad, incluida la confidencialidad, integridad y disponibilidad de la información médica protegida. La compañía también tiene un acuerdo de socio comercial que celebrará con las entidades cubiertas para ayudar a cumplir con las garantías necesarias con respecto al uso de PHI.

Teclado

Esta plataforma de videoconferencia está diseñada para organizaciones sanitarias que deben cumplir con los requisitos de HIPAA. Dialpad tiene la certificación SOC2 Tipo 2 y ha completado el Cuestionario de Iniciativa de Evaluación de Consenso de Cloud Security Alliance que aborda los controles enumerados en la Regla de Seguridad y Privacidad de HIPAA. La empresa también cumple con GDPR.

Según la compañía, la mayoría de los productos Dialpad cumplen con los requisitos de HIPAA una vez que se firma un acuerdo de socio comercial. El acuerdo no cubre el uso de fax de Dialpad para información de salud privada o el uso de SMS para comunicar información del paciente a usuarios que no utilizan Dialpad.

Los BAA de Dialpad incluyen una política de retención personalizada de 30 días que proporciona:

  • Cifrado de datos en reposo y en tránsito
  • Límites de acceso basados ​​en privilegios mínimos necesarios
  • Reseñas de seguridad y privacidad de proveedores
  • Acceso a datos personales previa solicitud
  • Posibilidad de modificar / eliminar datos a pedido
  • Notificación si se produce una filtración de datos

LogMeIn

En el Informe Magic Quadrant para soluciones para reuniones, Gartner enumera a LogMeIn como un desafío en el espacio de productos y enumera su uso de estándares de seguridad como una ventaja competitiva. "GoToMeeting, GoToTraining, GoToWebinar y join.me de la empresa para satisfacer las necesidades de la empresa para una variedad de escenarios de reuniones" y los productos de la empresa son "capaces de satisfacer las demandas de certificación de los clientes en industrias reguladas que requieren el cumplimiento de estándares como SOC 2 y 3, HIPAA, PCI y GDPR, así como aquellos que requieren cifrado AES de 256 bits para datos en tránsito y en reposo ".

Según la empresa, Datos de GoToAssist está completamente cifrado con Secure Socket Layer (SSL) y cifrado de extremo a extremo del estándar de cifrado avanzado (AES) de 128 bits aprobado por el gobierno combinado con cifrado de clave pública / privada RSA. Además, GoToAssist puede ser utilizado por empresas sujetas a las regulaciones de HIPAA, Gramm-Leach-Bliley Act o Sarbanes-Oxley. Los productos LogMeIn también cumplir con los requisitos de GDPR. LogMeIn realiza auditorías SOC 2 (Tipo 2) y comparte un informe SOC 3 para cada producto aplicable.

Webex para la defensa

Cisco construido Webex para la defensa específicamente para el Departamento de Defensa de EE. UU. (DoD). La nueva solución todo en uno está conectada a la red de información del Departamento de Defensa a través de puntos de acceso a la nube administrados por DISA y se entrega desde centros de datos alojados en Cisco y certificados por el Departamento de Defensa IL5. Con esta nueva plataforma, los usuarios pueden conectarse de forma segura desde teléfonos y escritorios para una colaboración segura con usuarios internos y externos, así como con socios del Departamento de Defensa.

Ver también



Enlace a la noticia original