Aggiornamento: il 2 aprile 2020, il fornitore di videoconferenze Zoom ha annunciato un blocco delle funzionalità di 90 giorni al fine di identificare e risolvere problemi di privacy e sicurezza che sono stati ampiamente segnalati dalla stampa. Lifesize offre attualmente sei mesi di servizio di videoconferenza illimitato e gratuito a tutti i clienti Zoom che necessitano di una piattaforma alternativa.


La comunicazione e la collaborazione video non sono mai state di così grande importanza per le organizzazioni. Sono finiti i giorni in cui il video sul posto di lavoro era una novità; ora non solo è previsto in molti casi, ma è una tecnologia di base per portare a termine il lavoro. L'era delle comunicazioni video è arrivata, inaugurando un'ondata di nuovi metodi di collaborazione che vanno dai contenuti di qualità 4K alle lavagne digitali e altro ancora.

Sicurezza, trasparenza e standard aperti: il nostro impegno per le videoconferenze di livello aziendale

In Lifesize, lo sentiamo e lo vediamo ogni giorno attraverso conversazioni con clienti attuali e potenziali, i nostri partner e i nostri colleghi nel nostro ecosistema. Naturalmente, la tendenza non è isolata per Lifesize, come illustrato da innumerevoli rapporti di analisti e analisi di mercato, che indicano tutti il ​​rapido aumento della collaborazione video in tutto il mondo.

La società di analisi Frost & Sullivan progetta il videoconferenza mercato crescerà in media del 12.1% su base annua dal 2018 al 2023, rappresentando un settore da 13.82 miliardi di dollari nei prossimi cinque anni. Per un'industria in 30 anni di lavoro per mantenere questa traiettoria, tuttavia, è imperativo rivolgerci collettivamente all'elefante nella stanza: la sicurezza. È passato molto tempo che i fornitori di videoconferenze adottino i criteri fondamentali che tutte le applicazioni mission-critical di livello aziendale dovrebbero fornire, e lo fanno con trasparenza.

Sicurezza cloud: una previsione confusa

Sicurezza, trasparenza e standard aperti: il nostro impegno per le videoconferenze di livello aziendale 

La sicurezza delle informazioni è molto simile all'assicurazione sulla vita: importante, ma non l'argomento più vivace di cui discutere.

Si è tentati di presumere che le tecnologie che utilizziamo nella nostra vita professionale e personale siano sicure. Sfortunatamente, le violazioni dei dati sono fin troppo comuni e quasi tutte le categorie tecnologiche — dai social media ai giochi e dalla vendita al dettaglio alle piattaforme di comunicazione — è stato colpito nella memoria recente. Nelle ultime settimane, il Il Washington Post ha scritto una lunga esposizione in cui spiega in dettaglio quanto sia semplice per gli hacker compromettere i dispositivi "intelligenti" utilizzando una tecnica chiamata "ripieno delle credenziali", in base alla quale i malintenzionati combinano indirizzi e-mail e password trapelati con una semplice automazione per ottenere l'accesso a termostati, telecamere e altro ancora. Se non altro, l'enorme volume di dati e violazioni della sicurezza ha portato a una cultura di desensibilità al loro impatto.

Secondo Tendenze Gartner 2019 in materia di sicurezza e gestione dei rischi, la rapida adozione delle tecnologie cloud sta "diminuendo i team di sicurezza", conferendo ai provider cloud una quota ancora maggiore di responsabilità per fornire funzionalità di sicurezza pronte all'uso sia per proteggere i clienti che per alleviare il carico sui professionisti IT incaricati di gestire un numero sempre crescente di applicazioni e servizi. Per quanto riguarda l'utilizzo di applicazioni SaaS (software-as-a-service), Gartner consiglia ai clienti di considerare se le applicazioni sono "gestite in modo appropriato e utilizzate in modo sicuro".

In una nota di ricerca del febbraio 2019, l'analista di Gartner Jay Heiser ha scritto: “La mancanza di accordo su quale ruolo aziendale sia responsabile della governance SaaS e la relativa mancanza di politiche che richiedono una maggiore specificità sulla 'proprietà' SaaS hanno contribuito a mascherare l'urgenza del controllo SaaS. La relativa mancanza di visibilità e gestione su questa forma di elaborazione sempre più onnipresente porta a fallimenti di sicurezza e conformità".

Resta da vedere dove atterreranno le organizzazioni riguardo a chi è in definitiva responsabile dell'applicazione e del governo della sicurezza del cloud. Tuttavia, ciò che è chiaro è che i fornitori dovrebbero essere molto più proattivi nella comunicazione di pratiche e funzionalità di sicurezza per aiutare acquirenti e clienti a capire cosa ottengono dai loro investimenti e cosa dovrebbero aspettarsi in base ai requisiti di sicurezza e alla tolleranza al rischio della loro organizzazione.

Comunicazioni sicure: la verità non detta sul video

A causa della rapida adozione delle policy BYOD (Bring Your Own Device) e della tendenza verso i manager line-of-business che scelgono le applicazioni che non sono gestite dall'IT, molte organizzazioni stanno ora lottando per rimanere semplicemente al passo con quali applicazioni vengono utilizzato, per non parlare delle implicazioni sulla sicurezza delle informazioni.

In uno studio sui decisori IT condotto da Frost & Sullivan per capire perché le organizzazioni scelgono di farlo non utilizzare i servizi cloud, le preoccupazioni relative all'accesso non autorizzato ai dati sono state l'inibitore numero uno all'adozione.

Sicurezza, trasparenza e standard aperti: il nostro impegno per le videoconferenze di livello aziendale  

Nelle videoconferenze, la sicurezza è spesso un ripensamento. Con così tanta attenzione dedicata alla protezione dei dati PII, delle cartelle cliniche, dei dati finanziari e altro, è facile per le organizzazioni dimenticare i dati trasmessi durante le riunioni e tra dipendenti, partner e clienti all'interno e all'esterno dell'azienda. Dopotutto, le videoconferenze non sono allettanti quanto un database pieno di dati sensibili dei clienti, giusto?

Sfortunatamente, questa percezione ha portato al compiacimento, con il risultato che i CISO e i responsabili delle decisioni IT troppo spesso non tengono conto della condivisione dei dati e di chi è in definitiva responsabile della loro protezione. Ad aggravare il problema, la sicurezza delle videoconferenze è sfaccettata, costringendo le organizzazioni a pensare a una serie di aspetti chiave della propria infrastruttura e governance, tra cui il modo in cui i dati vengono trasmessi e archiviati, i controlli di accesso, le politiche di autenticazione, Conformità HIPAAE altro ancora.

Per molti aspetti, i servizi di comunicazione rappresentano "l'ultimo miglio" nella sicurezza delle informazioni.

Nessuno vuole pensare allo scenario ipotetico di qualcuno che intercetta informazioni sensibili o curiosa in una riunione video. Tuttavia, il volume crescente di violazioni dei dati, "man in the middle” attacca e le minacce alla sicurezza dimostra che le organizzazioni dovrebbero valutare attentamente se le preimpostazioni di sicurezza dei fornitori di comunicazioni video sono adeguate per i dati trasmessi attraverso i loro servizi.

Il nostro impegno per la sicurezza, la trasparenza e l'apertura

Nel 2014, Lifesize ha avviato un progetto pluriennale per riprogettare il nostro servizio di videoconferenza cloud da zero per sicurezza e affidabilità.

Ingegneria per la trasparenza

Un componente critico di ciò è il protocollo Web Real-Time Communication (WebRTC), che offre ai clienti trasparenza e tranquillità su come funziona il servizio. Abbiamo ricostruito la nostra piattaforma su WebRTC per diversi motivi. 

Innanzitutto, vogliamo che le videoconferenze siano accessibili a tutti. Per raggiungere questo obiettivo, WebRTC è stata una scelta ovvia e di gran lunga il meccanismo più affidabile, collaudato e performante per offrire un'esperienza di videoconferenza coerente su tutti i sistemi operativi, dispositivi e browser supportati da Lifesize. Da quando abbiamo annunciato il supporto per WebRTC nel 2015, è maturato notevolmente; oggi quasi tutti i principali browser supportano WebRTC in modo nativo.

In secondo luogo, crediamo fermamente che l'apertura sia un bene per i clienti. Come per tutte le tecnologie open source, WebRTC è stato creato (e continua a essere migliorato) pubblicamente, con il contributo di migliaia di ingegneri e aziende leader del settore come Apple, Google, Mozilla, Microsoft e altri. Sebbene il software open source non sia più sicuro per definizione, è stato dimostrato che il codice regolarmente ispezionato e testato da più entità si traduce in tecnologie più solide e sicure.

Attraverso WebRTC, Lifesize è in grado di offrire ai nostri clienti un'esperienza affidabile, coerente e sicura senza ambiguità su come viene progettata tale esperienza. Sebbene aspiriamo a guadagnare la fiducia di ogni cliente, ci aspettiamo e li incoraggiamo a porre domande su come funziona il nostro servizio, come dovrebbero con qualsiasi applicazione o fornitore di servizi.

Assicurare l'ultimo miglio

Oggi, il nostro cloud funziona su Amazon Web Services (AWS), che offre una serie di ulteriori vantaggi in termini di sicurezza, inclusi i migliori firewall di rete, robusti controlli di conformità ed Tempo di attività garantito del 99.9% forniti attraverso data center altamente sicuri in tutto il mondo.

Inoltre, Lifesize garantisce una completa, videoconferenza sicura per i nostri clienti sovrapponendo:

  • crittografia per impostazione predefinita: Il 100% delle comunicazioni sulla piattaforma Lifesize è protetto dalla crittografia AES (Advanced Encryption Standard) a 128 bit di classe enterprise per i media e dalla crittografia TLS (transport Layer Security) per la segnalazione. Per impostazione predefinita, la connessione di ogni cliente Lifesize è crittografata utilizzando chiavi di crittografia monouso. Inoltre, poiché Lifesize è stato progettato da zero utilizzando WebRTC, che richiede connessioni sicure, ogni chiamata, tramite le nostre app native o le applicazioni Web basate su browser, è protetta senza eccezioni.
  • Archiviazione sicura dei dati: La registrazione e la riproduzione delle riunioni Lifesize sono crittografate utilizzando AES a 128 bit durante il transito e AES a 256 bit durante l'archiviazione. Le password degli utenti sono sempre crittografate e nessuna password in testo normale viene archiviata nel cloud.
  • Autenticazione sicura: Lifesize si integra e supporta i principali provider Single Sign-On (SSO), tra cui Okta, Microsoft Azure® Active Directory, OneLogin e Ping Identity, consentendo agli amministratori IT di configurare facilmente le autorizzazioni utente e imporre l'aggiornamento delle password e i requisiti di complessità, riducendo le probabilità di successo credential stuffing o altri metodi di attacco incentrati sull'utente finale.
  • Sicurezza della riunione: Le sale riunioni virtuali (VMR) di Lifesize possono essere protette, richiedendo una password per accedere a una riunione. I moderatori della riunione possono anche accedere facilmente a un elenco completo dei partecipanti e rimuovere le persone, in caso di necessità. I clienti hanno anche la possibilità di utilizzare riunioni una tantum "usa e getta" per impedire agli ospiti non autorizzati di partecipare alle riunioni utilizzando i dettagli di un invito precedente.
  • Attraversamento firewall/NAT: La nostra architettura mantiene i sistemi di sala Lifesize e il software client al sicuro dietro i firewall esistenti e gestisce l'attraversamento del firewall attraverso i nostri nodi di chiamata globali. Pertanto, non è necessaria l'apertura di porte firewall in entrata da Internet, né è necessario indirizzare IP pubblico statico o NAT statico complicato e configurazioni firewall di port forwarding. Le organizzazioni possono mantenere la posizione perimetrale esistente e proteggere utenti e dispositivi dalle chiamate fastidiose SIP e H.323 comuni su Internet aperto.

Alla ricerca di sicurezza, trasparenza e apertura

La sicurezza e i suoi compagni costituiscono una sfida complessa e in continua evoluzione per organizzazioni grandi e piccole, ma dovrebbe essere una priorità assoluta. I responsabili delle decisioni IT e i leader aziendali devono prendersi il tempo necessario per valutare i profili di rischio dei loro fornitori e capire se ciascuno dei loro strumenti di comunicazione, indipendentemente dal fatto che sia gestito centralmente dall'IT, è costruito e configurato per proteggere i dati sensibili.

Sfortunatamente, molti fornitori di servizi richiedono agli utenti di attivare le funzionalità di sicurezza di base anziché attenersi agli standard di livello aziendale. Se i fornitori non danno priorità alla sicurezza, alla trasparenza e all'apertura per impostazione predefinita, le aziende farebbero bene a considerare se le loro comunicazioni private e i loro dati sono a rischio.