Seguridad de los datos en las videoconferencias
Ante el rápido aumento del uso de las videoconferencias, y con unas normas de protección de datos y privacidad cada vez más estrictas, ha llegado el momento de tomarse en serio lo que se hace con los datos de las videoconferencias.
Al principio de la pandemia, muchas organizaciones públicas y privadas se permitieron ignorar los problemas de seguridad de los proveedores en la nube más populares ante la necesidad imperiosa de seguir conectados. Esos días se han acabado. Examinemos más de cerca las difíciles pero importantes preguntas que debería plantearse sobre su solución de videoconferencia para garantizar el cumplimiento de los datos en un entorno normativo y de amenazas cada vez más complicado.
1. ¿Cuáles son los datos importantes de las videoconferencias y por qué?
A la hora de proteger los datos, lo primero en lo que usted debe tener en cuenta es dónde y cómo almacena su organización la información confidencial, la propiedad intelectual o la información financiera. Pero también hay muchos datos personales que se comparten y se gestionan en las videoconferencias. Si tenemos en cuenta que las reuniones remotas e híbridas que utilizan la videoconferencia son ahora una forma estándar de comunicación en la mayoría de los entornos profesionales, es fundamental que su equipo entienda por qué la protección de datos también es importante en este caso.
Los datos personales que se comparten a través del vídeo están sujetos al reglamento GDPR en Europa, a la normativa PII en EE.UU. y a otras normas locales y sectoriales. Cuando se participa en reuniones por vídeo, la información sensible puede compartirse verbalmente, pero también hay otras consideraciones. ¿Qué pasa con:
• ¿Los nombres de los participantes en la reunión?
• ¿El título y el contexto de la reunión?
• ¿El contenido compartido durante la reunión, o las grabaciones de esta?
Hacer que estos datos queden expuestos a la vista de terceros, como competidores, ciberdelincuentes o el público en general, podría acarrearle serios problemas con sus clientes, colaboradores y empleados, e incluso podría hacer que se enfrentara a responsabilidades legales de todo tipo, dar lugar a situaciones negativas desde el punto de vista estratégico, crisis de relaciones públicas, costosas demandas de responsabilidad civil o incluso fuertes multas.
2. ¿Cómo llegan los datos de las videoconferencias desde el punto A al punto B (datos en tránsito)?
El encriptado es una vía importante para proteger los datos y se incluye entre los requisitos normativos de la UE y de otros países para los datos sensibles y personales. Pero no basta con comprobar si un proveedor de videoconferencias cuenta con un sistema de cifrado como parte de sus estándares de seguridad. Hay que tener en cuenta que una videollamada siempre está "en proceso" porque se trata de un intercambio de contenidos de ida y vuelta.
Esto significa que hay que asegurarse de que los datos (la información que se comparte en la llamada) están encriptados, y el proceso de transporte de los contenidos a su destino también está cifrado. Este tipo de encriptación se llama Transport Layer Security (TLS) y la última versión es TLS 1.3.
3. ¿Dónde se archivan los datos de las videoconferencias (datos en custodia)?
El lugar desde el que se realiza la videoconferencia determina las leyes nacionales a las que está sujeta. Si los datos se almacenan fuera de su país, esto podría dar acceso a su información a otro país (o a los actores que se encuentren en ese país). También se puede exigir que mantenga determinados contenidos dentro de las fronteras de su país.
Si utiliza un proveedor de videoconferencias en la nube destinado al consumidor, debe tener en cuenta lo siguiente:
• ¿Sabe usted en qué país se almacenan sus datos?
• ¿Lo sabe el proveedor?
• ¿Puede confiar en que el proveedor no traslade los datos y cumpla con las normas de protección de datos?
Recuerde que los datos también deben permanecer cifrados cuando están en el lugar donde se almacenan. Por lo tanto, cuando piense en una solución de videoconferencia, pregunte siempre por el cifrado tanto "en tránsito" como "en reposo" si quiere estar tranquilo.
4. ¿En qué países se puede depositar la información de las videoconferencias?
Si su organización está ubicada en la Unión Europea, el uso de servicios de videoconferencia en la nube situados en países no europeos podría darle numerosos dolores de cabeza. Por un lado, la reciente actualización de las cláusulas contractuales estándar de la Comisión Europea a raíz de la sentencia Schrems-II, hace que la transferencia de datos desde la UE a EE.UU. y otros terceros países, sea muy estricta y no sea fácil. Además, sus datos pueden estar sujetos a las leyes de ese país, donde pueden quedar atrapados en iniciativas de vigilancia del gobierno de esa nación.
Incluso, si su negocio está ubicado en otro lugar que no sea Europa, muchos países europeos están obligados a seguir el RGPD, que tiene algunas de las disposiciones más estrictas en materia de privacidad y protección de datos de todas las que existen. Esto hace que el uso de proveedores de videoconferencia con sede en Europa, como Pexip en Noruega, un país con una excelente reputación en cuanto a privacidad y cumplimiento del RGPD, sean una buena opción para las multinacionales o las empresas de otras partes del mundo que tienen preocupaciones por la privacidad y la seguridad de sus datos de videoconferencia.
5. ¿Cómo puedo recuperar el control de mis datos de videoconferencia?
Si quiere estar seguro de dónde se encuentran sus datos y si están a salvo, la forma más segura es recuperar el control sobre ellos. El uso de una solución de videoconferencia auto alojada garantizará que permanezcan en sus propios centros de datos, lo que le proporciona la mayor privacidad posible en un espacio blindado en el que nadie más puede acceder a sus datos.
¿Pero qué pasa si no tiene los medios propios adecuados para mantener una plataforma de videoconferencia en la empresa, pero quiere seguir teniendo el control de sus datos? Entonces puede recurrir a una solución de nube privada. Esto implica que, en lugar de compartir servidores y recursos con miles de otras empresas, un proveedor gestiona la solución por usted, pero mantiene sus datos completamente separados y seguros. Así puede seguir teniendo su control, elegir el país en el que se depositan y ajustar la configuración de cómo se gestionan, almacenan y procesan.
Para encontrar un proveedor en el que pueda confiar para gestionar una solución de nube privada, considere si también toma precauciones para proteger sus datos a la vista, como los nombres de los participantes en las reuniones de vídeo, los títulos de las reuniones o el contenido que se discute o comparte en ellas.
Valentín Martín, Channel Sales Director South EMEA, Pexip