Ebanking News
El teletrabajo fue una de las medidas de seguridad que tomaron la mayoría de las empresas ante la emergencia de la pandemia por el Covid-19. Esta modalidad ha hecho que algunas de estas compañías, que estaban en sus procesos de transformación, se percataran de que aún les falta mucho recorrido en la digitalización.
Un ejemplo de esto es que algunas de las empresas no estaban preparadas para enfrentar los riesgos de seguridad que se pueden presentar en estas circunstancias, sobre todo cuando se trata de compartir información entre los miembros de un grupo de trabajo o de asegurar la privacidad de la reunión.
El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile (CSIRT) presentó un informe en el que se especifican algunas recomendaciones para que la información que se transmite, al realizar una teleconferencia, pueda desarrollarse de la manera más segura posible.
La herramienta que provea la teleconferencia debe, al menos, cumplir con los siguientes requerimientos de seguridad de la información:
-Encriptado de extremo a extremo, utilizando algoritmos de cifrado robustos.-Encriptado de las contraseñas.
-Autenticación de los participantes, en lo posible con segundo factor de autenticación.
-Soporte de cumplimiento e integración con otras soluciones de ciberseguridad como Data Loss Prevention (DLP) por ejemplo, e integración con otras herramientas organizacionales que permitan interoperar las funciones y plataformas de productividad y de uso institucional.
-Opciones de seguridad para los administradores de la plataforma.
-Las comunicaciones en lo posible deben ofrecer trazabilidad para efectos de
auditorías posteriores en cuanto a su utilización.
-Establecer las consideraciones requeridas para verificar que la información
transmitida no es almacenada por el proveedor, sin el consentimiento o gestión del administrador del servicio, y que no se tiene acceso por parte del mismo, a la información personal de los participantes.
-Los aplicativos deben en un entorno rico en dispositivos de múltiples sistemas
operativos, ofrecer capacidad multiplataforma para maximizar la flexibilidad de uso.
Herramientas disponibles en el mercado, clasificadas según vulnerabilidades encontradas
1) Hangouts, presenta vulnerabilidades asociadas al sistema operativo Android que es su soporte principal. Esta versión es considerada para comunicaciones del tipo hogar. La versión empresarial de este proveedor se denomina “Google Hangout Meet”.
2) Jitsi, presenta sólo una vulnerabilidad CVE registrada en 20171.
3) ooVoo, presenta solo una vulnerabilidad CVE registrada en 20092.
4) Zoom Meeting, presenta 5 vulnerabilidades registradas como CVE que, de nos estar mitigadas en la versión utilizada, pueden comprometer la seguridad de la información.
5) GoToMeeting, presenta sólo una vulnerabilidad CVE registrada en 20144.
6) Microsof Skype, presenta 6 vulnerabilidades CVE en versiones anteriores o iguales a 20175.
7) Microsoft Team, no presenta vulnerabilidades CVE registradas a la fecha. Es un producto de rango empresarial para establecer teleconferencias y trabajo
colaborativo.
8) Webex, presenta 9 vulnerabilidades CVE registradas para versiones anteriores o iguales a 20176.