Atualização: em 2 de abril de 2020, o provedor de videoconferência Zoom anunciou um congelamento de recursos de 90 dias para identificar e corrigir problemas de privacidade e segurança amplamente divulgados na imprensa. A Lifesize está oferecendo atualmente seis meses de serviço de videoconferência ilimitado e gratuito para qualquer cliente Zoom que precise de uma plataforma alternativa.
A comunicação e a colaboração por vídeo nunca tiveram tanta importância para as organizações. Longe vão os dias em que o vídeo no local de trabalho era uma novidade; agora não é apenas esperado em muitos casos, mas uma tecnologia central para realizar o trabalho. A era das comunicações por vídeo chegou, dando início a uma onda de novos métodos de colaboração, desde conteúdo com qualidade 4K até quadros brancos digitais e muito mais.
Na Lifesize, ouvimos e vemos isso todos os dias por meio de conversas com clientes atuais e potenciais, nossos parceiros e colegas em todo o nosso ecossistema. É claro que a tendência não está isolada na Lifesize, conforme ilustrado por inúmeros relatórios de analistas e análises de mercado, todos apontando para o rápido aumento da colaboração por vídeo em todo o mundo.
A empresa de análise Frost & Sullivan projeta o vídeo conferência O mercado crescerá em média 12.1% A/A de 2018 a 2023, representando uma indústria de US$ 13.82 bilhões nos próximos cinco anos. Por uma indústria de 30 anos em construção para manter essa trajetória, no entanto, é imperativo que abordemos coletivamente o elefante na sala: a segurança. Já passou da hora de os provedores de videoconferência adotarem os critérios fundamentais que todos os aplicativos de missão crítica de nível empresarial devem fornecer — e o fazem com transparência.
Segurança na nuvem: uma previsão nebulosa
A segurança da informação é muito parecida com o seguro de vida – importante, mas não o tópico mais animado a ser discutido.
É tentador presumir que as tecnologias que usamos em nossa vida profissional e pessoal são seguras. Infelizmente, as violações de dados são muito comuns e quase todas as categorias de tecnologia – de mídias sociais a jogos e varejo a plataformas de comunicação – foi impactado na memória recente. Nas últimas semanas, o Washington Post escreveu uma longa exposição detalhando como é simples para os hackers comprometerem dispositivos “inteligentes” usando uma técnica chamada “preenchimento de credenciais”, pela qual os maus atores combinam endereços de e-mail e senhas vazados com automação simples para obter acesso a termostatos, câmeras e muito mais. Se alguma coisa, o grande volume de dados e violações de segurança resultou em uma cultura de se tornar insensível ao seu impacto.
De acordo com o Tendências de segurança e gerenciamento de riscos do Gartner em 2019, a rápida adoção de tecnologias de nuvem está “esticando as equipes de segurança”, colocando uma parcela ainda maior de responsabilidade nos provedores de nuvem para fornecer recursos de segurança prontos para uso para proteger os clientes e aliviar a carga dos profissionais de TI encarregados de gerenciar um número cada vez maior de aplicativos e serviços. No que se refere ao uso de aplicativos de software como serviço (SaaS), o Gartner aconselha os clientes a considerar se os aplicativos são “governados adequadamente e usados com segurança”.
Em uma nota de pesquisa de fevereiro de 2019, o analista do Gartner Jay Heiser escreveu: “A falta de acordo sobre qual função corporativa é responsável pela governança de SaaS e a relativa falta de política exigindo mais especificidade em torno da 'propriedade' de SaaS ajudaram a mascarar a urgência sobre o controle de SaaS. A relativa falta de visibilidade e gerenciamento dessa forma cada vez mais onipresente de computação leva a falhas de segurança e conformidade.”
Resta saber onde as organizações chegarão no que diz respeito a quem é responsável por aplicar e governar a segurança na nuvem. No entanto, o que está claro é que os fornecedores devem ser muito mais proativos na comunicação de práticas e recursos de segurança para ajudar compradores e clientes a entender o que estão obtendo por seus investimentos e o que devem esperar com base nos requisitos de segurança e tolerância ao risco de sua organização.
Comunicações seguras: a verdade tácita sobre o vídeo
Devido à rápida adoção de políticas BYOD (traga seu próprio dispositivo) e uma tendência de gerentes de linha de negócios selecionarem aplicativos que não são gerenciados pela TI, muitas organizações agora estão lutando para simplesmente ficar por dentro de quais aplicativos estão sendo usava, sem falar nas implicações na segurança da informação.
Em um estudo de tomadores de decisão de TI conduzido pela Frost & Sullivan para entender por que as organizações optam por não usam serviços em nuvem, as preocupações com acesso não autorizado a dados foram o principal inibidor da adoção.
Na videoconferência, a segurança geralmente é uma reflexão tardia. Com tanta atenção à proteção de dados PII, registros de saúde, finanças e muito mais, é fácil para as organizações esquecerem os dados transmitidos durante as reuniões e entre funcionários, parceiros e clientes dentro e fora da empresa. Afinal, as videoconferências dificilmente são tão tentadoras quanto um banco de dados cheio de registros confidenciais de clientes, certo?
Infelizmente, essa percepção levou à complacência, resultando em CISOs e tomadores de decisão de TI muitas vezes deixando de levar em conta os dados compartilhados e quem é responsável por protegê-los. Para agravar o problema, a segurança da videoconferência é multifacetada, forçando as organizações a pensar em vários aspectos importantes de sua infraestrutura e governança, incluindo como os dados são transmitidos e armazenados, controles de acesso, políticas de autenticação, Conformidade com HIPAAE muito mais.
Em muitos aspectos, os serviços de comunicação representam a “última milha” em segurança da informação.
Ninguém quer pensar no cenário hipotético de alguém interceptar informações confidenciais ou bisbilhotar uma videoconferência. No entanto, o crescente volume de violações de dados, “homem no meio" ataques e as ameaças à segurança ilustram que as organizações devem considerar cuidadosamente se as predefinições de segurança dos fornecedores de comunicação por vídeo são adequadas para os dados transmitidos por meio de seus serviços.
Nosso Compromisso com a Segurança, Transparência e Abertura
Em 2014, a Lifesize iniciou um projeto de vários anos para rearquitetar nosso serviço de videoconferência em nuvem desde o início para segurança e confiabilidade.
Engenharia para transparência
Um componente crítico disso é o protocolo Web Real-Time Communication (WebRTC), que oferece aos clientes transparência e tranquilidade sobre como o serviço funciona. Reconstruímos nossa plataforma no WebRTC por vários motivos.
Primeiro, queremos que a videoconferência seja acessível a todos. Para conseguir isso, o WebRTC foi uma escolha óbvia e, de longe, o mecanismo mais confiável, comprovado e de bom desempenho para fornecer uma experiência de videoconferência coesa em sistemas operacionais, dispositivos e navegadores suportados pela Lifesize. Desde que anunciamos o suporte ao WebRTC em 2015, ele amadureceu bastante; hoje quase todos os principais navegadores suportam WebRTC nativamente.
Em segundo lugar, acreditamos firmemente que a abertura é boa para os clientes. Como acontece com todas as tecnologias de código aberto, o WebRTC foi desenvolvido (e continua sendo aprimorado) para o público, com contribuições de milhares de engenheiros e empresas líderes do setor, como Apple, Google, Mozilla, Microsoft e outras. Embora o software de código aberto não seja mais seguro por definição, o código que é inspecionado e testado regularmente por várias entidades provou resultar em tecnologias mais robustas e seguras.
Por meio do WebRTC, a Lifesize pode oferecer uma experiência confiável, consistente e segura aos nossos clientes, sem ambiguidade sobre como essa experiência está sendo projetada. Embora desejemos ganhar a confiança de todos os clientes, esperamos e os incentivamos a fazer perguntas sobre como nosso serviço funciona — como devem fazer com qualquer aplicativo ou provedor de serviços.
Garantindo a última milha
Hoje, nossa nuvem é executada na Amazon Web Services (AWS), que oferece uma série de benefícios de segurança adicionais, incluindo os melhores firewalls de rede, controles de conformidade e 99.9% de tempo de atividade garantido entregues por meio de data centers altamente seguros em todo o mundo.
Além disso, o Lifesize garante abrangente, videoconferência segura para nossos clientes, colocando em camadas:
- Criptografia por padrão: 100% da comunicação na plataforma Lifesize é protegida por criptografia AES (Advanced Encryption Standard) de classe empresarial de 128 bits para mídia e criptografia TLS (transport layer security) para sinalização. Por padrão, a conexão de cada cliente Lifesize é criptografada usando chaves de criptografia de uso único. Além disso, como o Lifesize foi arquitetado desde o início usando WebRTC, que exige conexões seguras, todas as chamadas — seja por meio de nossos aplicativos nativos ou aplicativos da Web baseados em navegador — são protegidas sem exceção.
- Armazenamento seguro de dados: A gravação e reprodução de reuniões Lifesize são criptografadas usando AES de 128 bits durante o trânsito e AES de 256 bits durante o armazenamento. As senhas de usuário são sempre criptografadas e nenhuma senha de texto simples é armazenada na nuvem.
- Autenticação segura: O Lifesize se integra e oferece suporte aos principais provedores de logon único (SSO), incluindo Okta, Microsoft Azure® Active Directory, OneLogin e Ping Identity, permitindo que os administradores de TI configurem facilmente as permissões do usuário e imponham requisitos de atualização e complexidade de senha, reduzindo a probabilidade de sucesso preenchimento de credenciais ou outros métodos de ataque focados no usuário final.
- Segurança da reunião: As salas de reuniões virtuais (VMRs) Lifesize podem ser protegidas, exigindo uma senha para entrar em uma reunião. Os moderadores da reunião também podem acessar facilmente uma lista completa de participantes e remover indivíduos, caso seja necessário. Os clientes também têm a opção de usar reuniões únicas “descartáveis” para impedir que convidados não autorizados entrem em reuniões usando detalhes de um convite anterior.
- Passagem de firewall/NAT: Nossa arquitetura mantém os sistemas de sala Lifesize e o software cliente protegidos por firewalls existentes e gerencia a passagem do firewall por meio de nossos nós de chamadas globais. Assim, não exigimos que nenhuma porta de firewall seja aberta de entrada da Internet, nem há necessidade de endereçamento de IP público estático ou configurações complicadas de NAT estático e firewall de encaminhamento de porta. As organizações podem manter sua postura de perímetro existente e proteger usuários e dispositivos contra chamadas incômodas SIP e H.323 que são comuns na Internet aberta.
Em busca de segurança, transparência e abertura
A segurança e seus companheiros constituem um desafio complexo e em constante evolução para organizações grandes e pequenas, mas deve ser uma prioridade. Os tomadores de decisão de TI e líderes de negócios devem dedicar um tempo para avaliar os perfis de risco de seus fornecedores e entender se cada uma de suas ferramentas de comunicação — independentemente de serem gerenciadas centralmente pela TI — foi criada e configurada para proteger dados confidenciais.
Infelizmente, muitos provedores de serviços exigem que os usuários optem por recursos básicos de segurança em vez de obedecerem aos padrões de nível empresarial. Se os fornecedores não priorizam a segurança, transparência e abertura por padrão, as empresas devem considerar se suas comunicações e dados privados estão em risco.
