Por João Aguiar*
Há três mundos que demandam ampla segurança atualmente: o do Wi-Fi, da Nuvem e do Bluetooth. São três formas de acesso que apresentam vulnerabilidades, às vezes populares, e que têm sido alvos de ataques fortes, principalmente nesses tempos de mobilidade, trabalho colaborativo e remoto, em que a videoconferência se apresenta munida de recursos e padrões contra a espionagem e o vazamento de informações.
É preciso atentar para os diferentes níveis de segurança de maneira a integrar a plataforma de videoconferência protegida e em conformidade com as políticas de uma empresa. O primeiro nível a ser observado é a segurança do usuário, definindo quem poderá ser conectado à rede corporativa. Seguido pela autenticação do usuário e seus dispositivos e pelo compliance (conformidade) e integração desta plataforma com a segurança corporativa da empresa.
Pelo lado da plataforma de videoconferência, a criptografia é a principal ferramenta para uma segurança abrangente das reuniões em áudio, vídeo e no compartilhamento de conteúdo. Com ela, evita-se ainda “grampear” as chamadas. Porém, antes de criptografar a mídia, ou seja, os equipamentos de áudio e de vídeo para que não sejam “grampeados” na Internet, é preciso autenticar o acesso da plataforma de videoconferência à rede corporativa.
As boas práticas de segurança são igualmente essenciais, principalmente quando falamos em Wi-Fi – as pessoas já estão conscientes de que não se entra em qualquer rede Wi-Fi pública.
A mobilidade foi o principal vetor que trouxe esses desafios em relação à segurança em videoconferência. Por isto, deve-se estar atento tanto nas empresas que não têm política de segurança implementada até aquela que necessita saber se alguém acessou, e quem, os terminais de videoconferência, se a configuração foi alterada, se conseguiu e como fez tal acesso. Os recursos de segurança em uma solução de videoconferência podem rastrear cada usuário e, assim, prevenir contra vazamentos de informações.
Criptografia e padrões
Setores como o financeiro e saúde (mais especificamente em telemedicina) requerem muita segurança da informação. Neste caso, novamente as boas práticas regem o atendimento a essa demanda em se tratando de conformidade com leis e regulamentações.
Tanto a lei HIPAA (Health Insurance Portability and Accountability Act) dos Estados Unidos para a saúde, como a proteção de dados pessoais com a regulamentação europeia GDPR (General Data Protection Regulation) precisam ter as regras de segurança atendidas nos sistemas. Trata-se de impedir invasões a salas de reuniões, bloquear o recurso de atendimento automático, bloquear microfones e controle remoto de câmeras para evitar a espionagem na sala de videoconferência.
Realizar a atualização constante do software da plataforma de videoconferência torna-se igualmente essencial contra as vulnerabilidades em áudio, telefonia e vídeo. Assim, aplicar as atualizações dos fabricantes nos sistemas de videoconferência evita possíveis ataques e espionagem, preservando a segurança lógica da empresa.
Também deve-se manter toda a plataforma compatível com os padrões e configurações de firewall e de IPS (Intrusion Prevention System) da rede corporativa, além do padrão de autenticação 802.1X que define se o terminal de videoconferência poderá ou não ser conectado à rede corporativa. Com isto pode-se evitar os ataques por botnets (robôs que executam automaticamente tarefas em computadores e dispositivos infectados) ou de DDoS (Distributed Denial of Service ou Negação de Serviço Distribuído) como gerar inúmeras discagens para as salas de videoconferência a fim de derrubar a chamada em andamento.
O usuário poderá monitorar todo o tráfego de videoconferência porque o mesmo passará pelo sistema de segurança de sua rede. Neste sentido, é fundamental que o usuário adote padrões abertos para ter a segurança de todo o ambiente validada, ou seja, uma segurança de ponta a ponta.
A criptografia na plataforma de videoconferência tornou-se fundamental para que se verifique os níveis de criticidade na implementação da segurança onde ela é necessária. Deve-se por isto avaliar sistemas de varredura de sala por microfones, varredura eletromagnética para verificar se há algum celular gravando a reunião na sala, impedir acesso à sala de qualquer pessoa, conferir se o telefone e email estão seguros e se as boas práticas de segurança são conhecidas e assinadas por todos na empresa (compliance).
*João Aguiar, diretor de Engenharia de Sistemas da Polycom para América Latina e Caribe
