Cualquier empresa moderna que utilice un sistema telefónico de Voz sobre Protocolo de Internet (VoIP) sabe que mantener la seguridad es esencial para la confidencialidad, la confianza del cliente y el cumplimiento de las normas.
Industrias como la atención médica, por ejemplo, tienen regulaciones estrictas que rigen las comunicaciones, y los proveedores de VoIP que cumplen con HIPAA ofrecen herramientas de seguridad, privacidad y administración de acceso para ayudar a las empresas a seguir estas regulaciones, incluso cuando los empleados acceden a la red desde lugares lejanos.
Mientras tanto, un cifrado y una seguridad deficientes también pueden afectar sus resultados, ya que los estafadores y estafadores encontrarán formas de explotar las debilidades para cometer fraude de VoIP en sistemas telefónicos no seguros. El fraude telefónico funciona secuestrando el sistema telefónico de una empresa para realizar llamadas de larga distancia artificiales y de gran volumen. Al propietario del sistema se le cobra por estas llamadas (a menudo sin darse cuenta), y luego los estafadores reciben una parte de los ingresos de los servicios de los operadores coludidos.
Además del fraude telefónico, existen muchas otras vulnerabilidades de los sistemas VoIP, pero si utiliza uno de los mejores servicios telefónicos para empresassu proveedor se hará cargo de las partes desafiantes de la seguridad y el cifrado de VoIP. Sólo tienes que promover la seguridad básica de la red en tu organización (contraseñas seguras, control de acceso, etc.).
Los buenos proveedores se encargan de la seguridad y el cifrado de VoIP
A servicio VoIP alojado es una solución de comunicaciones basada en la nube que ofrece llamadas de voz y mensajes seguros a través de Internet.
Lo bueno de estos servicios es que la seguridad y el cifrado vienen integrados. Los proveedores de VoIP actualizan el software y el firmware, mantienen el hardware y le ayudan a cumplir con las normativas.
Por supuesto, los estafadores y estafadores evolucionan constantemente su juego, pero los proveedores de VoIP responden a estos ataques en tiempo real y mantienen su sistema a salvo de las últimas amenazas.
Con un servicio VoIP alojado, sus empleados tienen credenciales de inicio de sesión individuales para acceder a sus cuentas VoIP y todas las llamadas que realiza su empresa pasan por la red del proveedor de servicios. Eso significa que el proveedor de VoIP maneja la seguridad y el cifrado mientras enruta las llamadas, no usted.
Eso también significa que su empresa se mantiene segura sin importar dónde estén sus empleados porque un servicio VoIP les permite acceder a la red de comunicación segura desde cualquier softphone. Sus empleados tampoco tendrán que realizar tareas adicionales relacionadas con la seguridad, ya que los servicios de VoIP aplican las últimas medidas en toda la red. Muchos de los dolores de cabeza relacionados con seguridad en el trabajo remoto ahora están completamente fuera de su alcance.
¿Qué debe tener un proveedor de VoIP seguro?
Un buen proveedor de VoIP debe tener protocolos de cifrado sólidos para mantener sus datos seguros mientras están en tránsito. De esta forma, las llamadas de voz y los mensajes son indescifrables hasta que llegan a su destino, donde sólo el destinatario puede decodificarlos.
De manera similar, un firewall con estado y/o sistema de detección de intrusiones ayuda a prevenir ataques y accesos no autorizados. Medidas de seguridad de inicio de sesión mejoradas como autenticación multifactor (MFA) y autenticación de dos factores (2FA)Por ejemplo, un acceso más seguro y un sistema de contraseña y token también pueden ser una medida eficaz contra la infiltración no deseada.
Las siguientes tecnologías ayudan a los proveedores de VoIP a proteger sus redes:
- Controladores de frontera de sesión (SBC): Un SBC actúa como guardián de la red regulando el flujo de comunicación IP. Los SBC son particularmente útiles para la protección contra ataques de denegación de servicio (DoS) y ataques DoS distribuidos (DDoS).
- Seguridad de la capa de transporte (TLS): Los protocolos TLS utilizan criptografía para proteger los canales de medios y señalización de una red VoIP. Los protocolos TLS utilizan un protocolo de enlace digital para autenticar a las partes y establecer comunicaciones seguras.
- Protocolo de transporte seguro en tiempo real (SRTP): SRTP es una medida de cifrado de medios que actúa como un certificado de autenticidad, que puede solicitarse antes de otorgar acceso a los medios.
No todas las organizaciones requieren SBC, pero cualquiera que utilice un sistema telefónico en la nube podría ser el objetivo de un ataque DDoS de VoIP. Trabaje con su proveedor para implementar un sistema telefónico VoIP preparado para el futuro que sigue Mejores prácticas de arquitectura de seguridad de red.
La industria de VoIP cuenta con estándares y marcos establecidos para guiar a las empresas con las mejores prácticas de seguridad disponibles. De hecho, la Organización Internacional de Normalización (ISO) publica directrices que cubren este sector.
Un buen proveedor debe contar con las siguientes acreditaciones y certificaciones:
- Cumplimiento de PCI: Cumplimiento de PCI es un estándar de seguridad de la información para pagos con tarjeta. Contar con esta certificación facilita pagos seguros con las principales tarjetas de crédito.
- ISO/CEI 20071: Este Sistema de Gestión de Seguridad de la Información (SGSI) describe un conjunto global de estándares que ayudan a proteger los datos comerciales.
- ISO/CEI 27002: Este Código de prácticas para controles de seguridad de la información describe los controles y las mejores prácticas para proteger la información.
- ISO/CEI 27005: Esta certificación hace referencia a la Gestión de Riesgos de Seguridad de la Información. Proporciona directrices para evaluar y gestionar los riesgos de seguridad de la información.
- ISO/CEI 27017: Esto establece protocolos para los proveedores de servicios en la nube. Ayuda a proteger explícitamente los servicios en la nube y sus ecosistemas.
- ISO/CEI 27018: Esto describe cómo proteger la información de identificación personal (PII) en las nubes públicas.
Los proveedores de VoIP seguros también deben ser conscientes de la seguridad de su capa humana. Muchas estafas se originan por errores humanos, por lo que una empresa sólo es segura si los miembros de su personal son confiables. Como tal, las empresas son vulnerables a ataques de ingeniería social.
Ingeniería social es el proceso de manipular a las personas para que entreguen información confidencial. En lugar de confiar en vulnerabilidades técnicas, muchos estafadores utilizan la psicología humana para obtener contraseñas, datos de inicio de sesión y otra información confidencial.
Los estafadores suelen utilizar técnicas de phishing para ganarse la confianza. Esta técnica implica enviar mensajes y correos electrónicos que parecen legítimos, lo que en última instancia lleva a las personas a renunciar a sus contraseñas o nuevos datos de inicio de sesión después de confiar en la legitimidad de la fuente.
Los proveedores de VoIP pueden limitar las oportunidades de ingeniería social implementando 2FA o MFA como parte de autenticación IVR flujos de trabajo. En pocas palabras, cuantos más pasos de autenticación se requieran, más información necesitará extraer un estafador, y cuanta más información necesite extraer, menores serán sus posibilidades de infiltración.
La capacitación y la concientización de los empleados también son factores críticos para reducir los ataques de ingeniería social, ya que monitorear los patrones de comunicación e identificar irregularidades puede erradicar los intentos de ingeniería social antes de que ganen impulso.
Para combatir estas medidas y educar aún más a los empleados, Udemy, Coursera y edX ofrecen cursos de ciberseguridad que incluyen módulos sobre ingeniería social. Asimismo, Black Hat y DEFCON incluyen talleres sobre la relación entre psicología y seguridad.
La seguridad y el cifrado de VoIP autohospedado son un desafío
Algunas empresas optan por alojar su propio servidor VoIP en las instalaciones de su empresa. Esto tiene algunas ventajas, ya que la creación de un sistema autohospedado desde cero le brinda más opciones de personalización y control.
Sin embargo, varios desafíos hacen que alojar un servicio VoIP no sea práctico para muchas empresas. Estas áreas incluyen:
- Costo: Configurar un sistema VoIP es costoso en comparación con suscribirse a un servicio existente. Un proveedor de servicios VoIP ya cuenta con la infraestructura, el hardware y el backend necesarios en funcionamiento.
- Responsabilidad: El autohospedaje ofrece personalización y control a un costo. Con su propio sistema VoIP, debe actualizar el software, administrar el hardware y solucionar problemas técnicos.
- Escalabilidad: Aumentar la capacidad de su sistema VoIP autohospedado podría requerir actualizaciones de hardware y otras configuraciones. Puede lograr el mismo aumento de capacidad con unos pocos clics utilizando un servicio VoIP.
- Seguridad y cifrado: Con un sistema VoIP autohospedado, la seguridad y el cifrado son su responsabilidad. Para muchos propietarios de empresas, esto por sí solo es suficiente para rechazar el autohospedaje.
Además, el autohospedaje a menudo solo es posible con un equipo de TI dedicado o un proveedor de servicios administrados. Sin uno, su seguridad y cifrado probablemente no serán tan buenos como los de un proveedor de servicios alojado, que tiene su propio equipo dedicado a ejecutar los últimos protocolos de seguridad.
El uso de VoIP autohospedado también tiene complicaciones para los equipos remotos, ya que debe configurar la red para el acceso remoto y al mismo tiempo mantener la seguridad. Este proceso suele implicar una red privada virtual (VPN) u otros métodos seguros de acceso remoto.
Deje que los profesionales se encarguen de la seguridad y el cifrado de VoIP
La seguridad de VoIP es compleja y evoluciona constantemente, por lo que la subcontratación de un servicio de VoIP tiene sentido por diversas razones.
Incluso el Proveedores de servicios telefónicos VoIP más baratos haga el trabajo pesado por usted, por lo que no hay necesidad de comprar, configurar y mantener una costosa infraestructura VoIP local que quedará obsoleta en unos pocos años.
Mientras tanto, la seguridad y el cifrado son las piedras angulares de un buen negocio de VoIP, y la mayoría de los proveedores de servicios VoIP tendrán mejor seguridad y cifrado que las soluciones autohospedadas a largo plazo.
Entonces, a menos que esté en la industria de las telecomunicaciones y tenga grandes habilidades en seguridad de las comunicaciones, probablemente sea mejor dejar que los profesionales se encarguen del asunto.
