edición 6028 - visitas hoy 18195

Pronóstico de Tutiempo.net
elcomercioonline.com.ar

Noticias Zona Norte - Tigre, San Fernando, San Isidro, Vicente López

¿Puedo confiar en Zoom?, Ciberseguridad y Continuidad del Negocio

Una consecuencia imprevista de la crisis del COVID-19, ha sido el ascenso meteórico de la compañía de videoconferencias llamada Zoom Video Communications, conocida simplemente como Zoom.
¿Puedo confiar en Zoom?, Ciberseguridad y Continuidad del Negocio.

La empresa fue fundada en 2011 y comenzó sus actividades comerciales ofreciendo servicios de videoconferencias multiplataforma, o "reuniones de Zoom", para grandes empresas.


Zoom se fue convirtiendo lentamente en una plataforma fácil de utilizar, que permite concertar y concretar reuniones, realizar videoconferencias, entrevistas con clientes, hacer chats e impartir webinars de forma rápida y sencilla.


Encontró una base de usuarios, se volvió rentable y se convirtió en masiva en abril pasado, por la crisis del coronavirus. Si bien estaba lejos de ser un nombre familiar, todo cambió para la compañía este año debido a la pandemia y la cuarentena que obligaron a millones de personas a quedarse en casa y encontrar formas de conectarse virtualmente.


En febrero, la plataforma Zoom, se convirtió en Superzoom debido a que adquirió más usuarios en los dos primeros meses del año que en todo el año 2019. En marzo, el uso de Zoom era tan común que el New York Times publicó una nota titulada: "Vivimos en Zoom ahora".


En abril, Zoom Video Communications informó que su utilización en un solo día había alcanzado a 300 millones de personas. Aparentemente, de la noche a la mañana, Zoom no solo reemplazó los lugares de trabajo y estudio, sino que se convirtió en el "anfitrión" para graduaciones virtuales, cenas familiares, reuniones escolares, programas radiales y televisivos, con participantes desde sus casas, clases de ejercicios, fiestas de cumpleaños y horas felices con amigos. Incluso se celebraron bodas y funerales en la plataforma.


Las ventajas de utilizar la plataforma, con su interfaz fácil de usar y la capacidad de conectar a varias personas, utilizando diferentes tipos de dispositivos, incluidos los teléfonos móviles, fueron claras y a muy bajo costo. Sin embargo, los riesgos también comenzaron a surgir junto al aumento de popularidad y su masiva utilización.


Los ciberdelincuentes


Siempre están buscando nuevas oportunidades para robar datos de los usuarios, acceder a la información de las empresas y conseguir dinero, no podían dejar pasar por alto esta nueva normalidad. Crecieron rápidamente los riesgos, con más casos de phishing, extorsión, ransomware, robos y violación de datos.


Se presentaron a la justicia muchas demandas colectivas, en nombre de consumidores e inversores, alegando que Zoom no aseguraba adecuadamente su plataforma o no resultaba ser lo suficientemente transparente sobre su sistema y sus limitaciones.


Por otro lado, las empresas que, en sus Planes de Continuidad del Negocio, contaban con procesos alternativos de teletrabajo en base a Zoom, comenzaron a dudar si ello no incrementaba los riesgos en lugar de mitigarlos.


Se observaron situaciones en las que algunas Entidades Bancarias y Financieras prohibieron, por política interna, el uso de la aplicación. Esta prohibición también alcanzó a temas de capacitación interna o externa en las entidades.


El riesgo que más afectó la plataforma fue la denominada "Zoombombing".


El término describe un ataque cibernético que involucra la aparición repentina de personas no invitadas en las reuniones de Zoom o de videos o imágenes. Ataques que tienen que ver con discursos de odio, o imágenes pornográficas / obscenas, que nada tienen que ver con la actividad que se está desarrollando en ese momento.


Los hackers construyeron una herramienta automatizada para ayudar a adivinar las identificaciones de las reuniones de Zoom; También son frecuentes los temores sobre la intervención de las vulnerables cámaras web, que son pirateadas.


Otra falla de seguridad reportada implicó el envío de análisis de datos de usuarios a Facebook, incluso si el usuario no tenía una cuenta de Facebook.


Otros reportes mencionan que las reuniones de Zoom no estaban completamente encriptadas, y potencialmente podían ser accedidas por terceros a través del servidor de Zoom. 


El crecimiento de la demanda le trajo, por un lado un importante crecimiento, pero también riesgos para los que no estaban preparados.


A principios de abril, la compañía anunció un esfuerzo de 90 días para incrementar la seguridad y la privacidad del usuario frente a estos y a otros riesgos emergentes.


Para reducir sus debilidades Zoom agregó, recientemente, una serie de características que incluyen la solicitud de contraseñas para todas las reuniones, la activación de la función “Sala de Espera”, y privilegios de uso compartido de pantalla, solo para el anfitrión, de forma predeterminada.


Aunque la empresa parece estar avanzando en la dirección correcta, queda por ver si el tratamiento de los riesgos se abordó adecuadamente. Zoom continúa reparando varias fallas de seguridad y privacidad reportadas y se esperan actualizaciones de software continuamente.


Mientras tanto, a medida que los empleados continúan trabajando de forma remota, las empresas que usan este tipo de plataformas deben centrarse en mitigar los riesgos, no solo de sus propios datos, sino también de sus empleados, clientes o funciones tercerizadas en proveedores.


Las empresas, en general, encararon la problemática desde dos puntos de vista.


Por un lado, recientes investigaciones muestran un incremento significativo de la inversión tecnológica para mitigar riesgos. En el primer trimestre del año se observó un crecimiento de la demanda tecnológica del 9,7 % respecto al mismo periodo del año anterior. La inversión en seguridad de la red creció 4,0%, en seguridad de punto final aumentó un 17%, y en seguridad de la web y del correo electrónico creció un 14%.


La fuerte demanda de mayor seguridad de punto final tiene por objetivo proteger, tanto las computadoras portátiles como los activos de información de las organizaciones. Esta protección también se extendió a los dispositivos, propiedad de los trabajadores, que son utilizados. Se instalaron y se ejecutan software de seguridad en los dispositivos que incluyen software antimalware con detección de phishing.


Por otro lado, los Risk Managers emitieron nuevas instrucciones y recomendaciones, a todos los empleados, sobre la necesidad de extremar los recaudos para la protección de los activos ante las amenazas y riesgos que enfrentan las empresas: 


  • Solicitar a los trabajadores su adhesión y aplicación efectiva de contraseñas complejas y seguras. Cabe mencionar que una contraseña adquiere mayor seguridad cuando tiene más de 12 caracteres y la misma incluye una combinación de mayúsculas, minúsculas, números y símbolos. 

  • Alertar sobre las posibles estafas de phishing, que ocurren cuando terceros comparten enlaces que, si se hace clic, provocan la descarga de malware en un dispositivo o conducen a sitios web maliciosos, donde se pueden robar credenciales u otra información personal. 

  • Recomendar el uso de la función "Sala de Espera", que permite a los anfitriones de reuniones virtuales controlar quién tiene acceso a una reunión. Solicitar a los empleados que no deshabiliten esta función. Una vez que comienza una reunión y todos los participantes se han unido, se debe indicar a los anfitriones que bloqueen la reunión a personas externas y asignen múltiples anfitriones, lo que aumentará la capacidad de recuperar el control después de una interrupción inesperada. 

  • Solicitar a los empleados que no hagan clic en las invitaciones a reuniones virtuales u otros enlaces, a menos que estén seguros y se haya comprobado su legitimidad y seguridad. 

  • Solicitar a las diferentes áreas soportes y usuarios que mantengan los datos más críticos y sensibles fuera de línea. 

  • Comunicar que los diferentes riesgos identificados se incrementan cuando los empleados trabajan desde múltiples ubicaciones y utilizan dispositivos personales a través de conexiones Wi-Fi, personales o públicas. 

  • Aconsejar extremar las precauciones, para que los empleados operen siempre bajo el supuesto de que todo lo mostrado o informado en una reunión o actividad virtual se grabará, y que podría difundirse y tomar estado público.

 Auditoría Interna efectuó una evaluación general del funcionamiento de los sistemas de protección y seguridad de la información: 


  • Aseguró la vigencia y la efectividad de los roles, funciones y responsabilidades de seguridad y protección. 

  • Intensificó los controles sobre la existencia, actualización y vigencia de los programas de seguridad y bloqueo de Internet, en los diferentes equipos, para prevenir ataques.

 Revisó la vigencia y actualización de los accesos a los activos de información. 


  • Verificó la vigencia y utilidad del sistema de filtrado web, que bloquea sitios dañinos, así como sitios que pueden ser inapropiados para visualizar. 

  • Brindó su opinión independiente sobre el procedimiento vigente, para otorgar derechos de acceso.

Cabe mencionar que las Universidades de los Estados Unidos indicaron que es "casi imposible" abandonar Zoom, comentan que es realmente fácil de usar, y muchos cursos en línea ya se han configurado a su alrededor; la plataforma se ha vuelto tan omnipresente que algunos estudiantes mencionan que asisten a la "Universidad Zoom".


El teletrabajo vino para quedarse


Para las empresas y los trabajadores, el teletrabajo tiene más ventajas que desventajas.


Encuestas revelan que el teletrabajo ha ganado un 92% en popularidad en los últimos 10 años, y se prevé que para el 2028 el 73% de las empresas tendrá equipos de teletrabajadores en sus plantillas.


Con el transcurso del tiempo, las plataformas de videoconferencia se convertirán en una herramienta fundamental para permitir que los empleados sigan siendo productivos, y conectados con sus compañeros de trabajo.


Es probable que el mayor uso de las plataformas de videoconferencia sea uno de los efectos duraderos de esta crisis actual, ya que las empresas buscan formas de reducir los viajes innecesarios, reducir los costos operativos y acomodar la necesidad de los empleados de tener condiciones laborales flexibles.


Como toda herramienta, si es utilizada adecuadamente y se efectúa una apreciación y tratamiento de los riesgos en forma eficiente, las videoconferencias tienen la capacidad de aumentar la productividad y expandir las bases de clientes.


Debemos seguir siendo competitivos y mitigar los riesgos de una violación de seguridad devastadora o vergonzosa, que ponga en peligro la organización, sus activos, su imagen y su reputación, tomando las medidas apropiadas ahora, en lugar de esperar hasta que las cosas "Vuelvan a la Normalidad".


Las videoconferencias ya forman parte de la “Nueva Normalidad" para millones de personas y empresas.


Jacinto Santiago Gonzalez, PECB Certified Trainer & Executive Coach. Governance, Business Continuity, Risk Manager, and Compliance.
linkedin.com/in/jacinto-santiago-gonzalez/
Jacinto Santiago Gonzalez

Noticias de Servicios

Noticias de La Zona Norte