Videobellen binnen je organisatie, maar met welke app?

Welke videobel-applicatie is nu, vanuit informatiebeveiligingsoogpunt, echt aan te raden?

Videobellen applicaties
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Vanaf het moment dat de ‘coronacrisis’ is uitgebroken, is thuiswerken ‘het nieuwe werken’ geworden. Er wordt massaal vanuit huis gewerkt, wat geresulteerd heeft in een flinke groei van online videobellen. Daarbij worden tal van applicaties, zoals o.a. Microsoft TEAMS, Zoom, Google Hangouts, Slack en Jitsi, gebruikt. Maar welke applicatie is nu, vanuit informatiebeveiligingsoogpunt, echt aan te raden? In dit blogartikel geef ik vanuit mijn werk als Adviseur Informatiebeveiliging mijn kijk op de verschillende applicaties die momenteel flink gebruikt worden. Daarbij geef ik je ook een aantal tips die je in acht kunt nemen bij het gebruik van de videocall-apps.

Microsoft Teams

Wil je videobellen en gebruikt jouw organisatie Office 365 al? Ga dan voor de makkelijkste keus: Microsoft TEAMS. Met TEAMS kun je zowel persoonlijk als in verschillende teams chatten, audio- en video bellen, schermdelen en documenten zoals Word, Excel, PowerPoint ed. delen, opslaan en samen bewerken.

Wist je ook dat je in Microsoft TEAMS een managementsysteem kunt implementeren, onderhouden en beheren? Benieuwd? Lees dan het artikel: Een (kwaliteits)managementsysteem opzetten met behulp van Microsoft TEAMS? Yes, we CAN!

Op het gebied van privacy & security heeft Microsoft op 6 april jl. nog een statement naar buiten gebracht met betrekking tot TEAMS. Daarin stond o.a.:

  • “Wij gebruiken nooit TEAMS data om advertenties te laten zien”;
  • “Gegevens worden verwijderd na beëindiging of afloop van het abonnement”;
  • “Er worden sterke maatregelen genomen zodat de toegang tot gegevens en data wordt beperkt”.

Daarnaast geeft Microsoft inkijk op reacties die zij hebben gegeven naar aanleiding van een bepaalde vraag van belanghebbenden. Microsoft distantieert zich op deze manier natuurlijk duidelijk van een andere veel gebruikte applicatie: Zoom.

Zoom

Net zoals met TEAMS kun je met Zoom ook audio- en videobellen, chatten, je scherm delen, en documenten delen die niet op worden geslagen in een Sharepoint omgeving – zoals dat wel het geval is bij Microsoft TEAMS. Een groot voordeel van Zoom is dat het gratis is en dat je kunt inloggen met Google en Facebook accounts (hier kom ik zo op terug). Daarnaast is het prettig bij Zoom dat je meerdere personen (maximaal 49) tegelijk kunt zien in één scherm.

Op het gebied van security is Zoom de afgelopen weken aardig in het nieuws gekomen, maar helaas niet op de goede manier… Een korte opsomming van de negatieve publiciteit volgt hieronder:

  • Inloggen met je Facebook. Gevolg: Facebook heeft data omtrent datgeen wat je aan het bespreken bent;
  • Data delen/verkopen aan China en andere third-party partijen;
  • Het ongewenst binnentreden van “privé” gesprekken;
  • Niet de juiste end-to-end encryptie toepassen;
  • Het gebruiken van data om specifieke advertenties te laten zien.

Op 1 april jl. is Zoom met een statement naar buiten gekomen dat zij dit allemaal gaan updaten. Helaas is het tot op de dag van vandaag nog steeds, plat gezegd, een zooitje bij Zoom met betrekking tot privacy & security.

Google Hangouts (Meet)

Net zoals de bovenstaande twee applicaties, is Google Hangouts een videobelapplicatie die op dezelfde manier gebruikt kan worden. Bij deze applicatie staat natuurlijk ook de gebruiksvriendelijkheid voorop. Zo kun je een uitnodiging via een link versturen en kunnen deelnemers niet automatisch, zonder toestemming, het videogesprek binnenkomen (bij zoom kan dit wel, genaamd Zoombombing). Het grootste minpunt aan Google Hangouts is dat er geen gebruik wordt gemaakt van end-to-end encryptie en Google op die manier dus te allen tijde inzage heeft in de gesprekken.

Slack

Slack noemt zichzelf een ‘collaboration hub’. Het wordt gebruikt door grote partijen als Airbnb en Oracle en daarnaast zien wij, adviseurs informatiebeveiliging, het in de praktijk veel terug bij IT-bedrijven. Bij Slack kun je in meerdere kanalen samenwerken en chatten, workflows toepassen en de tool integreren met andere services zoals Google Drive, Dropbox, Salesforce, Outlook, Jira etc. Daarnaast wordt Slack vaak gekoppeld aan chatbots en gebruikt als plek om pushberichten te ontvangen van IT-monitoring- of back-up systemen.

Slack is in de basis gratis. Wanneer je bereid bent te betalen, dan komen ook interessante tools zoals Enterprise Key Management (gebaseerd op Amazon Web Services) in beeld. Dat betekent dus: sterke regie op je encryptie. Voor wat betreft het videobellen: 1 op 1 bellen is mogelijk via Slack en wanneer je de betaalde versie hebt dan kun je tegelijkertijd videobellen tot en met 15 gebruikers. Let wel op bij Slack: omdat integratie een sterk punt is, is het makkelijk plug-ins te installeren. En de security van die plug-ins (en rechten op plug-ins installeren) is weer zijn eigen kwetsbaarheid.

Jitsi

Jitsi hoor ik je nu denken? Wat is Jitsi nu weer? Jitsi is een uit de hand gelopen project van een paar open source software-ontwikkelingsstudenten om op een privacy veilige manier te kunnen videobellen. Open source houdt in dat andere ontwikkelaars de code van de applicatie kunnen controleren op fouten in de software en op die manier wordt het programma continu verbeterd. Echter, zitten er aan deze applicatie ook een aantal nadelen, namelijk:

  • Er wordt geen gebruik gemaakt van end-to-end encryptie; Jitsi kan dus kijken in de data;
  • De servers van Jitsi bieden maar een beperkte bandbreedte, waardoor er aardig wat vertraging kan optreden tijdens gesprekken;
  • Jitsi geeft geanonimiseerde data door aan derden, onder andere voor marketingdoeleinden;
  • Je kunt Jitsi op je eigen server hosten en daardoor kan een externe partij niet meeluisteren. Hiervoor heb je natuurlijk wel een eigen server nodig.

Aangezien Jitsi open source software is en jij mogelijk over de technische kennis bezit, is het mogelijk om zelf end-to-end encryptie toe te voegen aan de bestaande applicatie. Op die manier zou jij het zelf dus veiliger kunnen maken.

Videobellen: welke app moet ik nu kiezen?

Het advies wat ik allereest wil geven is: werkt jouw organisatie al met een betaalde versie van bijvoorbeeld Office 365 of Google? Gebruik deze dan ook! Uitgangspunt is en blijft: een betaalde versie gaat (vaak) beter met jouw privacy om dan een gratis versie!

Ten tweede zou ik voor jezelf afwegen om wat voor gesprekken het gaat en wat voor informatie er wordt gedeeld tijdens het gesprek. Werk je met privacygevoelige informatie? Veel of bijzondere persoonsgegevens? Dan lijkt het mij logisch dat je een applicatie als Zoom per direct niet meer gebruikt! Bel je gezellig met je hele familie en wil je iedereen tegelijk zien? Dan biedt Zoom wel weer de oplossing hiervoor, mits er geen spicy roddels worden gedeeld natuurlijk 😉

Als laatste: dit artikel is een momentopname! Blijf bewust van veranderingen en kwetsbaarheden. Kom je er alsnog niet helemaal uit? Neem dan contact met ons op. Mijn collega’s en ik helpen je graag op weg!

NEEM CONTACT OP

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields