Zoom concluye su plan de seguridad de 90 días y hace balance de los resultados

La repentina y creciente demanda de nuestros sistemas fue diferente a lo que la mayoría de las empresas han experimentado. Cuando marzo llegó a su fin, nos dimos cuenta de que nuestra misión singular de entregar comunicaciones de video sin fricción a cientos de millones de participantes de la reunión diaria tenía que incluir un enfoque equivalente en seguridad y privacidad, áreas donde necesitábamos hacer más.

El 1 de abril de 2020, nos comprometimos a realizar una serie de mejoras para abordar la seguridad y la privacidad. El programa de 90 días que implementamos ese día reorientó a nuestra empresa en 7 compromisos que integraban seguridad y privacidad permanentemente en el ADN de Zoom. Hoy proporcionaré una actualización del estado de cada uno de esos compromisos, y compartiré nuestro camino a seguir.

Compromiso n. ° 1: Active una congelación de funciones, efectiva a partir del 1 de abril, y cambie todos nuestros recursos de ingeniería para enfocarse en nuestros mayores problemas de confianza, seguridad y privacidad.

Estado: promulgamos un congelamiento de 90 días en todas las funciones que no están relacionadas con la privacidad o la seguridad. Con todos nuestros recursos de ingeniería y productos orientados en esta dirección, lanzamos más de 100 funciones, que incluyen las siguientes:

• Zoom 5.0
  • Cifrado AES 256 GCM (disponible para todos los usuarios, gratuito y de pago)
  • Actualizaciones de la interfaz de usuario: icono de seguridad, escudo de cifrado verde con ubicación del centro de datos, haga clic
  • Informar a un usuario
  • Valores predeterminados de la reunión: contraseña, sala de espera y uso compartido de pantalla limitado
  • Otras características: el host deshabilita el inicio de sesión en múltiples dispositivos, activa el silencio del silencio, la caducidad de la grabación en la nube, los controles de Zoom Chat más estrictos y más
• Adquirió Keybase y comenzó a construir cifrado de extremo a extremo (para todos los usuarios, gratis y de pago)
• Ofrecido enrutamiento de datos personalizado por geografía

En el futuro, hemos establecido mecanismos para garantizar que la seguridad y la privacidad sigan siendo una prioridad en cada fase de nuestro desarrollo de productos y funciones:

• Fase de diseño: requisitos de seguridad, evaluación de riesgos, modelado de amenazas
• Compilación: directrices de código seguro, escaneo de autoservicio, herramientas de CI / CD
• Prueba: prueba de seguridad, ejecución de prueba automatizada, herramientas de prueba web
• Etapa: configuración segura, monitoreo de integridad, validar requisitos
• Producción: Monitoreo de la seguridad de nuestro sistema, salud del sistema, panorama de amenazas

Compromiso n. ° 2: realice una revisión exhaustiva con expertos de terceros y usuarios representativos para comprender y garantizar la seguridad y la privacidad de todos nuestros nuevos casos de uso.

Estado: hemos trabajado con un grupo de expertos externos para revisar y realizar mejoras en nuestros productos, prácticas y políticas, incluido nuestro consejo asesor de CISO, Lea Kissner, Alex Stamos, Luta Security, Bishop Fox, Trail of Bits, NCC Group, Praetorian, Crowdstrike, Center for Democracy and Technology y otras organizaciones en los espacios de privacidad, seguridad e inclusión. Las contribuciones de todos en esta lista han sido enormes y estamos muy agradecidos por su ayuda.

Compromiso n. ° 3: prepare un informe de transparencia que detalle la información relacionada con las solicitudes de datos, registros o contenido.

Estado: Hemos logrado un progreso significativo en la definición del marco y el enfoque para un informe de transparencia que detalla la información relacionada con las solicitudes que Zoom recibe para datos, registros o contenido. Esperamos proporcionar los datos fiscales del segundo trimestre en nuestro primer informe a finales de este año. Mientras tanto, recientemente hemos creado una guía sobre cómo respondemos a las solicitudes del gobierno. También actualizamos nuestras políticas de privacidad, principalmente para que sean más fáciles de entender, y agregamos una Declaración de Derechos de Privacidad de California por separado. Puede encontrar estos documentos en zoom.com/privacy-and-legal .

Compromiso # 4: Mejora nuestro programa actual de recompensas de errores.

Estado: hemos desarrollado un repositorio central de errores y procesos de flujo de trabajo relacionados. Este repositorio toma informes de vulnerabilidad de HackerOne, Bugcrowd y [email protected](el último de los cuales no requiere un NDA) evaluado a través de Praetorian. Establecimos un proceso de revisión continuo con reuniones diarias y mejoramos nuestra coordinación con investigadores de seguridad y asesores externos. También contratamos a un Jefe de Vulnerabilidad y Bug Bounty, varios ingenieros de aplicaciones adicionales, y estamos en el proceso de contratar más ingenieros de seguridad, todos dedicados a abordar las vulnerabilidades. Mientras tanto, estamos enfocados en mejorar nuestros tiempos de respuesta. En general, nuestro proceso de recompensa por errores es sólido y solo será más fuerte a medida que cumplamos nuestros objetivos de contratación. Agradecemos a Luta Security por su ayuda en este proceso.

Compromiso n. ° 5: lanzar un consejo de CISO en asociación con los principales CISO de toda la industria para facilitar un diálogo continuo sobre las mejores prácticas de seguridad y privacidad.

Estado: Lanzamos nuestro consejo CISO, compuesto por 36 CISO de una variedad de industrias, incluidas SentinelOne, Arizona State University, HSBC y Sanofi. Este consejo, dirigido por nuestro CIO Adjunto Gary Sorrentino, se ha reunido cuatro veces en los últimos tres meses y ha asesorado sobre asuntos importantes como la selección de centros de datos regionales, el cifrado, la autenticación de reuniones y características como Informar a un usuario, Contraseñas y Salas de espera . El consejo ha demostrado ser un éxito, ampliaremos este programa con las mesas redondas CISO: discusiones interactivas entre los clientes de CISO y los líderes de nuestro equipo de seguridad para comprender las medidas que Zoom ha tomado y tomará en el futuro para garantizar la seguridad y privacidad de nuestra plataforma Los CISO y CIO interesados ​​pueden solicitar más información a su Ejecutivo de cuenta de Zoom.

Compromiso n. ° 6: participar en una serie de pruebas simultáneas de penetración de la caja blanca para identificar y abordar los problemas.

Estado: Zoom contrató a varias empresas (Trail of Bits, NCC Group y Bishop Fox) para revisar toda nuestra plataforma. Su alcance de trabajo abarcó:

• Zoom del entorno de producción, tanto en centros de datos públicos como en ubicaciones compartidas:
  • Configuración en la nube
  • Espacio IP externo
  • Red de producción interna

• Aplicación web principal de Zoom y red corporativa de Zoom:
  • Red interna
  • Perímetro externo
• API pública para clientes comunes
  • Clientes móviles
  • Clientes de escritorio

Zoom se compromete a realizar pruebas continuas de penetración de terceros como base de su programa de seguridad.

Compromiso # 7: Organice un seminario web semanal los miércoles para proporcionar actualizaciones de privacidad y seguridad a nuestra comunidad.

Estado: Incluyendo el seminario web de hoy, hemos organizado 13 de estos seminarios web en total, todos los miércoles desde el 1 de abril. Estos eventos virtuales presentaron a varios de nuestros ejecutivos y consultores que respondieron preguntas en vivo de los asistentes. También compartimos un resumen y una grabación de los seminarios web en nuestro blog todos los miércoles. Continuaremos estos seminarios web , el próximo 15 de julio, y luego pasaremos a una cadencia mensual.

Otras actualizaciones clave

Hemos tomado algunos pasos notables adicionales:

• Hicimos varias adiciones o cambios de liderazgo clave desde el 1 de abril, que incluyen:
  • Velchamy Sankarlingam , Presidente de Producto e Ingeniería
  • Jason Lee , director de seguridad de la información
  • Damien Hooper-Campbell , Director de Diversidad
  • Aparna Bawa fue nombrada directora de operaciones y ahora supervisa los esfuerzos de seguridad de Zoom
  • Lynn Haaland, Viceconsejera General y Oficial Principal de Cumplimiento y Ética, también fue nombrada Oficial Principal de Privacidad
  • HR McMaster agregado a la Junta Directiva de Zoom
  • Josh Kallmer , jefe global de políticas públicas y relaciones gubernamentales
  • Ginny Lee, Abogada General Asociada, Privacidad
  • Mara Davis, Asesora general asociada, Cumplimiento y ética
  • Jefe de Vulnerabilidad y Bug Bounty, comienza el 7/13
  • Andy Grant, jefe de seguridad ofensiva, comienza el 7/13
• Zoom Phone agregado a Zoom for Government , que ya está autorizado bajo el Programa Federal de Administración de Riesgos y Autorizaciones ( FedRAMP ) de EE.UU .
• Seguimos comprometidos con el crecimiento significativo de nuestro equipo de ingeniería con sede en los EE. UU. Para respaldar un mayor uso con nuevas oficinas en Phoenix, Arizona y Pittsburgh, Pennsylvania

A dónde vamos desde aquí

Este período ha provocado un cambio significativo en nuestra empresa y ha hecho que la seguridad, la privacidad y la seguridad de nuestra plataforma sean centrales para todo lo que hacemos, ya que nos esforzamos por ser dignos de la confianza que los clientes depositan en nosotros. Me enorgullece y me congratula el papel que Zoom ha jugado en la conexión del mundo en crisis, y en todo lo que nuestro equipo ha logrado en los últimos 90 días para asegurar mejor nuestra plataforma.

Pero no podemos y no nos detendremos aquí. La privacidad y la seguridad son prioridades continuas para Zoom, y este período de 90 días, aunque fructífero, fue solo un primer paso. A lo largo de este informe, he proporcionado información sobre nuevos procesos y personas que ayudarán a Zoom en nuestro viaje para convertirse en la plataforma de comunicaciones de video más segura y sin fricciones del mundo.

Gracias a nuestros usuarios por su apoyo, paciencia y confianza. Nuestro valor principal como empresa es cuidar, y esperamos haberlo demostrado a través de nuestras acciones en los últimos 90 días, y continuará mostrándolo a través de acciones futuras.