Actualización: el 2 de abril de 2020, el proveedor de videoconferencias Zoom anunció una congelación de funciones de 90 días para identificar y solucionar problemas de privacidad y seguridad que han sido ampliamente informados en la prensa. Lifesize ofrece actualmente seis meses de servicio de videoconferencia ilimitado y gratuito a cualquier cliente de Zoom que necesite una plataforma alternativa.


La comunicación por video y la colaboración nunca han sido de mayor importancia para las organizaciones. Atrás quedaron los días en que el video en el lugar de trabajo era una novedad; ahora no solo se espera en muchos casos, sino que es una tecnología central para realizar el trabajo. Ha llegado la era de las comunicaciones por video, trayendo consigo una ola de nuevos métodos de colaboración que van desde contenido de calidad 4K hasta pizarras digitales y más.

Seguridad, transparencia y estándares abiertos: nuestro compromiso con las videoconferencias de nivel empresarial

En Lifesize, escuchamos y vemos esto todos los días a través de conversaciones con clientes actuales y potenciales, nuestros socios y nuestros colegas en todo nuestro ecosistema. Por supuesto, la tendencia no es exclusiva de Lifesize, como lo ilustran innumerables informes de analistas y análisis de mercado, todos los cuales apuntan al rápido aumento de la colaboración de video en todo el mundo.

La firma analista Frost & Sullivan proyecta el videoconferencia El mercado crecerá un promedio del 12.1 % interanual entre 2018 y 2023, lo que representa una industria de 13.82 XNUMX millones de USD en los próximos cinco años. Para una industria de 30 años en la fabricación Sin embargo, para mantener esta trayectoria, es imperativo que abordemos colectivamente el elefante en la habitación: la seguridad. Ya es hora de que los proveedores de videoconferencia adopten los criterios fundamentales que se espera que todas las aplicaciones de misión crítica de nivel empresarial brinden, y que lo hagan con transparencia.

Seguridad en la nube: un pronóstico confuso

Seguridad, transparencia y estándares abiertos: nuestro compromiso con las videoconferencias de nivel empresarial 

La seguridad de la información se parece mucho a un seguro de vida: importante, pero no es el tema más animado para discutir.

Es tentador asumir que las tecnologías que usamos en nuestra vida profesional y personal son seguras. Desafortunadamente, las filtraciones de datos son muy comunes y casi todas las categorías de tecnología —desde las redes sociales hasta los juegos y el comercio minorista hasta las plataformas de comunicación— se ha visto afectado en la memoria reciente. En las últimas semanas, el El Correo de Washington escribió una larga exposición que detalla cuán simple es para los piratas informáticos comprometer dispositivos "inteligentes" utilizando una técnica llamada "relleno de credenciales", mediante la cual los malos actores combinan direcciones de correo electrónico y contraseñas filtradas con automatización simple para obtener acceso a termostatos, cámaras y más. En todo caso, el gran volumen de datos y violaciones de seguridad ha resultado en una cultura de insensibilidad a su impacto.

según el Tendencias de gestión de riesgos y seguridad de Gartner para 2019, la rápida adopción de las tecnologías en la nube está "reforzando los equipos de seguridad", asignando una parte aún mayor de la responsabilidad a los proveedores de la nube para que brinden capacidades de seguridad listas para usar para proteger a los clientes y aliviar la carga de los profesionales de TI encargados de administrar un número cada vez mayor de aplicaciones y servicios. En lo que se refiere al uso de aplicaciones de software como servicio (SaaS), Gartner aconseja a los clientes que consideren si las aplicaciones están "registradas adecuadamente y se utilizan de forma segura".

En una nota de investigación de febrero de 2019, el analista de Gartner Jay Heiser escribió: “La falta de acuerdo sobre qué rol corporativo es responsable del gobierno de SaaS y la relativa falta de políticas que requieran más especificidad en torno a la 'propiedad' de SaaS han ayudado a enmascarar la urgencia sobre el control de SaaS. La relativa falta de visibilidad y gestión de esta forma de computación cada vez más omnipresente conduce a fallas de seguridad y cumplimiento”.

Queda por ver dónde aterrizarán las organizaciones con respecto a quién es responsable en última instancia de hacer cumplir y gobernar la seguridad en la nube. Sin embargo, lo que está claro es que los proveedores deben ser mucho más proactivos en la comunicación de las prácticas y características de seguridad para ayudar a los compradores y clientes a comprender lo que obtienen por sus inversiones y lo que deben esperar en función de los requisitos de seguridad y la tolerancia al riesgo de su organización.

Comunicaciones seguras: la verdad tácita sobre el video

Debido a la rápida adopción de las políticas de traiga su propio dispositivo (BYOD) y una tendencia hacia los gerentes de línea de negocios que seleccionan aplicaciones que no son administradas por TI, muchas organizaciones ahora luchan por mantenerse al tanto de las aplicaciones que se están administrando. usado, por no hablar de las implicaciones sobre la seguridad de la información.

En un estudio de los tomadores de decisiones de TI realizado por Frost & Sullivan para comprender por qué las organizaciones eligen no usar servicios en la nube, las preocupaciones sobre el acceso no autorizado a los datos fue el inhibidor número uno para la adopción.

Seguridad, transparencia y estándares abiertos: nuestro compromiso con las videoconferencias de nivel empresarial  

En las videoconferencias, la seguridad suele ser una idea de último momento. Con tanta atención prestada a la protección de datos PII, registros de atención médica, finanzas y más, es fácil que las organizaciones se olviden de los datos que se transmiten durante las reuniones y entre empleados, socios y clientes dentro y fuera de la empresa. Después de todo, las videoconferencias no son tan tentadoras como una base de datos llena de registros confidenciales de clientes, ¿verdad?

Desafortunadamente, esta percepción ha llevado a la autocomplacencia, lo que ha dado lugar a que los CISO y los responsables de la toma de decisiones de TI con demasiada frecuencia no tengan en cuenta los datos que se comparten y quién es, en última instancia, responsable de protegerlos. Para agravar el problema, la seguridad de las videoconferencias es multifacética, lo que obliga a las organizaciones a pensar en una serie de aspectos clave de su infraestructura y gobernanza, incluida la forma en que se transmiten y almacenan los datos, los controles de acceso, las políticas de autenticación, Cumplimiento HIPAA, y más.

En muchos aspectos, los servicios de comunicación representan la “última milla” en la seguridad de la información.

Nadie quiere pensar en el escenario hipotético de alguien que intercepta información confidencial o husmea en una reunión de video. Sin embargo, el creciente volumen de filtraciones de datos, “el hombre en el medio” ataca y amenazas de seguridad ilustra que las organizaciones deben considerar cuidadosamente si los valores predeterminados de seguridad de los proveedores de comunicación por video son adecuados para los datos que se transmiten a través de sus servicios.

Nuestro compromiso con la seguridad, la transparencia y la apertura

En 2014, Lifesize inició un proyecto de varios años para rediseñar nuestro servicio de videoconferencia en la nube desde cero para brindar seguridad y confiabilidad.

Ingeniería para la Transparencia

Un componente crítico de eso es el protocolo Web Real-Time Communication (WebRTC), que brinda a los clientes transparencia y tranquilidad sobre cómo funciona el servicio. Reconstruimos nuestra plataforma en WebRTC por varias razones. 

Primero, queremos que las videoconferencias sean accesibles para todos. Para lograr esto, WebRTC fue una opción obvia y, con mucho, el mecanismo más confiable, probado y de mejor rendimiento para brindar una experiencia de videoconferencia cohesiva en todos los sistemas operativos, dispositivos y navegadores compatibles con Lifesize. Desde que anunciamos la compatibilidad con WebRTC en 2015, ha madurado mucho; Este Dia casi todos los principales navegadores admiten WebRTC de forma nativa.

En segundo lugar, creemos firmemente que la apertura es buena para los clientes. Al igual que con todas las tecnologías de código abierto, WebRTC se creó (y continúa mejorándose) en el público, con contribuciones de miles de ingenieros y empresas líderes en la industria como Apple, Google, Mozilla, Microsoft y otras. Si bien el software de código abierto no es más seguro por definición, se ha demostrado que el código que varias entidades inspeccionan y prueban regularmente da como resultado tecnologías más sólidas y seguras.

A través de WebRTC, Lifesize puede brindar una experiencia confiable, consistente y segura a nuestros clientes sin ambigüedades sobre cómo se está diseñando esa experiencia. Si bien aspiramos a ganarnos la confianza de todos los clientes, esperamos y los alentamos a que hagan preguntas sobre cómo funciona nuestro servicio, como deberían hacer con cualquier aplicación o proveedor de servicios.

Asegurando la última milla

En la actualidad, nuestra nube se ejecuta en Amazon Web Services (AWS), lo que proporciona una gran cantidad de beneficios de seguridad adicionales, incluidos los mejores firewalls de red de su clase, controles de cumplimiento e 99.9% de tiempo de actividad garantizado entregado a través de centros de datos altamente seguros en todo el mundo.

Además, Lifesize garantiza una completa, videoconferencia segura para nuestros clientes aplicando capas en:

  • Cifrado por defecto: El 100 % de la comunicación en la plataforma Lifesize está protegida por cifrado AES (Advanced Encryption Standard) de 128 bits de clase empresarial para medios y cifrado TLS (seguridad de la capa de transporte) para la señalización. De forma predeterminada, la conexión de cada cliente de Lifesize se cifra mediante claves de cifrado de un solo uso. Además, dado que Lifesize se diseñó desde cero utilizando WebRTC, que exige conexiones seguras, todas las llamadas, ya sea a través de nuestras aplicaciones nativas o aplicaciones web basadas en navegador, están protegidas sin excepción.
  • Almacenamiento seguro de datos: La grabación y reproducción de reuniones de Lifesize se cifra con AES de 128 bits mientras están en tránsito y AES de 256 bits mientras están almacenadas. Las contraseñas de los usuarios siempre están cifradas y no se almacenan contraseñas de texto sin formato en la nube.
  • Autenticación segura: Lifesize se integra y es compatible con los principales proveedores de inicio de sesión único (SSO), incluidos Okta, Microsoft Azure® Active Directory, OneLogin y Ping Identity, lo que permite a los administradores de TI configurar fácilmente los permisos de usuario y hacer cumplir los requisitos de complejidad y actualización de contraseñas, lo que reduce la probabilidad de éxito. relleno de credenciales u otros métodos de ataque centrados en el usuario final.
  • Seguridad de la reunión: Las salas de reuniones virtuales (VMR) de Lifesize se pueden proteger y requieren una contraseña para acceder a una reunión. Los moderadores de la reunión también pueden acceder fácilmente a una lista completa de participantes y eliminar a personas, si surge la necesidad. Los clientes también tienen la opción de usar reuniones únicas "desechables" para evitar que invitados no autorizados se unan a las reuniones utilizando los detalles de una invitación anterior.
  • Cortafuegos/NAT transversal: Nuestra arquitectura mantiene seguros los sistemas de salas de Lifesize y el software del cliente detrás de los firewalls existentes y administra el cruce del firewall a través de nuestros nodos de llamadas globales. Por lo tanto, no requerimos que se abra ningún puerto de firewall entrante desde Internet, ni existe la necesidad de direcciones IP públicas estáticas o NAT estáticas complicadas y configuraciones de firewall de reenvío de puertos. Las organizaciones pueden mantener su postura perimetral existente y proteger a los usuarios y dispositivos de las llamadas molestas SIP y H.323 que son comunes en la Internet abierta.

En busca de la seguridad, la transparencia y la apertura

La seguridad y sus compañeros forman un desafío complejo y en constante evolución para las organizaciones grandes y pequeñas, pero debe ser una prioridad principal. Los responsables de la toma de decisiones de TI y los líderes empresariales deben tomarse el tiempo para evaluar los perfiles de riesgo de sus proveedores y comprender si cada una de sus herramientas de comunicación, independientemente de si TI las gestiona de forma centralizada, está diseñada y configurada para proteger los datos confidenciales.

Desafortunadamente, muchos proveedores de servicios requieren que los usuarios opten por funciones de seguridad básicas en lugar de cumplir con los estándares de nivel empresarial. Si los proveedores no dan prioridad a la seguridad, la transparencia y la apertura de forma predeterminada, sería prudente que las empresas consideraran si sus comunicaciones y datos privados están en riesgo.