www.economiadehoy.es

Zoom concluye su plan de seguridad de 90 días y hace balance de los resultados

Zoom concluye su plan de seguridad de 90 días y hace balance de los resultados

Blog: Eric S. Yuan

jueves 02 de julio de 2020, 10:57h
Durante los primeros meses de 2020, el equipo de Zoom trabajó las 24 horas para apoyar la enorme afluencia de nuevos y diferentes tipos de usuarios en nuestra plataforma. id:60381
La repentina y creciente demanda de nuestros sistemas fue diferente a lo que la mayoría de las empresas han experimentado. Cuando marzo llegó a su fin, nos dimos cuenta de que nuestra misión singular de entregar comunicaciones de video sin fricción a cientos de millones de participantes de la reunión diaria tenía que incluir un enfoque equivalente en seguridad y privacidad, áreas donde necesitábamos hacer más.

El 1 de abril de 2020, nos comprometimos a realizar una serie de mejoras para abordar la seguridad y la privacidad. El programa de 90 días que implementamos ese día reorientó a nuestra empresa en 7 compromisos que integraban seguridad y privacidad permanentemente en el ADN de Zoom. Hoy proporcionaré una actualización del estado de cada uno de esos compromisos, y compartiré nuestro camino a seguir.

Compromiso n. ° 1: Active una congelación de funciones, efectiva a partir del 1 de abril, y cambie todos nuestros recursos de ingeniería para enfocarse en nuestros mayores problemas de confianza, seguridad y privacidad.

Estado: promulgamos un congelamiento de 90 días en todas las funciones que no están relacionadas con la privacidad o la seguridad. Con todos nuestros recursos de ingeniería y productos orientados en esta dirección, lanzamos más de 100 funciones, que incluyen las siguientes:

  • Zoom 5.0
    • Cifrado AES 256 GCM (disponible para todos los usuarios, gratuito y de pago)
    • Actualizaciones de la interfaz de usuario: icono de seguridad, escudo de cifrado verde con ubicación del centro de datos, haga clic
    • Informar a un usuario
    • Valores predeterminados de la reunión: contraseña, sala de espera y uso compartido de pantalla limitado
    • Otras características: el host deshabilita el inicio de sesión en múltiples dispositivos, activa el silencio del silencio, la caducidad de la grabación en la nube, los controles de Zoom Chat más estrictos y más
  • Adquirió Keybase y comenzó a construir cifrado de extremo a extremo (para todos los usuarios, gratis y de pago)
  • Ofrecido enrutamiento de datos personalizado por geografía

En el futuro, hemos establecido mecanismos para garantizar que la seguridad y la privacidad sigan siendo una prioridad en cada fase de nuestro desarrollo de productos y funciones:

  • Fase de diseño: requisitos de seguridad, evaluación de riesgos, modelado de amenazas
  • Compilación: directrices de código seguro, escaneo de autoservicio, herramientas de CI / CD
  • Prueba: prueba de seguridad, ejecución de prueba automatizada, herramientas de prueba web
  • Etapa: configuración segura, monitoreo de integridad, validar requisitos
  • Producción: Monitoreo de la seguridad de nuestro sistema, salud del sistema, panorama de amenazas

Compromiso n. ° 2: realice una revisión exhaustiva con expertos de terceros y usuarios representativos para comprender y garantizar la seguridad y la privacidad de todos nuestros nuevos casos de uso.

Estado: hemos trabajado con un grupo de expertos externos para revisar y realizar mejoras en nuestros productos, prácticas y políticas, incluido nuestro consejo asesor de CISO, Lea Kissner, Alex Stamos, Luta Security, Bishop Fox, Trail of Bits, NCC Group, Praetorian, Crowdstrike, Center for Democracy and Technology y otras organizaciones en los espacios de privacidad, seguridad e inclusión. Las contribuciones de todos en esta lista han sido enormes y estamos muy agradecidos por su ayuda.

Compromiso n. ° 3: prepare un informe de transparencia que detalle la información relacionada con las solicitudes de datos, registros o contenido.

Estado: Hemos logrado un progreso significativo en la definición del marco y el enfoque para un informe de transparencia que detalla la información relacionada con las solicitudes que Zoom recibe para datos, registros o contenido. Esperamos proporcionar los datos fiscales del segundo trimestre en nuestro primer informe a finales de este año. Mientras tanto, recientemente hemos creado una guía sobre cómo respondemos a las solicitudes del gobierno. También actualizamos nuestras políticas de privacidad, principalmente para que sean más fáciles de entender, y agregamos una Declaración de Derechos de Privacidad de California por separado. Puede encontrar estos documentos en zoom.com/privacy-and-legal .

Compromiso # 4: Mejora nuestro programa actual de recompensas de errores.

Estado: hemos desarrollado un repositorio central de errores y procesos de flujo de trabajo relacionados. Este repositorio toma informes de vulnerabilidad de HackerOne, Bugcrowd y security@zoom.us(el último de los cuales no requiere un NDA) evaluado a través de Praetorian. Establecimos un proceso de revisión continuo con reuniones diarias y mejoramos nuestra coordinación con investigadores de seguridad y asesores externos. También contratamos a un Jefe de Vulnerabilidad y Bug Bounty, varios ingenieros de aplicaciones adicionales, y estamos en el proceso de contratar más ingenieros de seguridad, todos dedicados a abordar las vulnerabilidades. Mientras tanto, estamos enfocados en mejorar nuestros tiempos de respuesta. En general, nuestro proceso de recompensa por errores es sólido y solo será más fuerte a medida que cumplamos nuestros objetivos de contratación. Agradecemos a Luta Security por su ayuda en este proceso.

Compromiso n. ° 5: lanzar un consejo de CISO en asociación con los principales CISO de toda la industria para facilitar un diálogo continuo sobre las mejores prácticas de seguridad y privacidad.

Estado: Lanzamos nuestro consejo CISO, compuesto por 36 CISO de una variedad de industrias, incluidas SentinelOne, Arizona State University, HSBC y Sanofi. Este consejo, dirigido por nuestro CIO Adjunto Gary Sorrentino, se ha reunido cuatro veces en los últimos tres meses y ha asesorado sobre asuntos importantes como la selección de centros de datos regionales, el cifrado, la autenticación de reuniones y características como Informar a un usuario, Contraseñas y Salas de espera . El consejo ha demostrado ser un éxito, ampliaremos este programa con las mesas redondas CISO: discusiones interactivas entre los clientes de CISO y los líderes de nuestro equipo de seguridad para comprender las medidas que Zoom ha tomado y tomará en el futuro para garantizar la seguridad y privacidad de nuestra plataforma Los CISO y CIO interesados ​​pueden solicitar más información a su Ejecutivo de cuenta de Zoom.

Compromiso n. ° 6: participar en una serie de pruebas simultáneas de penetración de la caja blanca para identificar y abordar los problemas.

Estado: Zoom contrató a varias empresas (Trail of Bits, NCC Group y Bishop Fox) para revisar toda nuestra plataforma. Su alcance de trabajo abarcó:

  • Zoom del entorno de producción, tanto en centros de datos públicos como en ubicaciones compartidas:
    • Configuración en la nube
    • Espacio IP externo
    • Red de producción interna
  • Aplicación web principal de Zoom y red corporativa de Zoom:
    • Red interna
    • Perímetro externo
  • API pública para clientes comunes
    • Clientes móviles
    • Clientes de escritorio

Zoom se compromete a realizar pruebas continuas de penetración de terceros como base de su programa de seguridad.

Compromiso # 7: Organice un seminario web semanal los miércoles para proporcionar actualizaciones de privacidad y seguridad a nuestra comunidad.

Estado: Incluyendo el seminario web de hoy, hemos organizado 13 de estos seminarios web en total, todos los miércoles desde el 1 de abril. Estos eventos virtuales presentaron a varios de nuestros ejecutivos y consultores que respondieron preguntas en vivo de los asistentes. También compartimos un resumen y una grabación de los seminarios web en nuestro blog todos los miércoles. Continuaremos estos seminarios web , el próximo 15 de julio, y luego pasaremos a una cadencia mensual.

Otras actualizaciones clave

Hemos tomado algunos pasos notables adicionales:

  • Hicimos varias adiciones o cambios de liderazgo clave desde el 1 de abril, que incluyen:
    • Velchamy Sankarlingam , Presidente de Producto e Ingeniería
    • Jason Lee , director de seguridad de la información
    • Damien Hooper-Campbell , Director de Diversidad
    • Aparna Bawa fue nombrada directora de operaciones y ahora supervisa los esfuerzos de seguridad de Zoom
    • Lynn Haaland, Viceconsejera General y Oficial Principal de Cumplimiento y Ética, también fue nombrada Oficial Principal de Privacidad
    • HR McMaster agregado a la Junta Directiva de Zoom
    • Josh Kallmer , jefe global de políticas públicas y relaciones gubernamentales
    • Ginny Lee, Abogada General Asociada, Privacidad
    • Mara Davis, Asesora general asociada, Cumplimiento y ética
    • Jefe de Vulnerabilidad y Bug Bounty, comienza el 7/13
    • Andy Grant, jefe de seguridad ofensiva, comienza el 7/13
  • Zoom Phone agregado a Zoom for Government , que ya está autorizado bajo el Programa Federal de Administración de Riesgos y Autorizaciones ( FedRAMP ) de EE.UU .
  • Seguimos comprometidos con el crecimiento significativo de nuestro equipo de ingeniería con sede en los EE. UU. Para respaldar un mayor uso con nuevas oficinas en Phoenix, Arizona y Pittsburgh, Pennsylvania

A dónde vamos desde aquí

Este período ha provocado un cambio significativo en nuestra empresa y ha hecho que la seguridad, la privacidad y la seguridad de nuestra plataforma sean centrales para todo lo que hacemos, ya que nos esforzamos por ser dignos de la confianza que los clientes depositan en nosotros. Me enorgullece y me congratula el papel que Zoom ha jugado en la conexión del mundo en crisis, y en todo lo que nuestro equipo ha logrado en los últimos 90 días para asegurar mejor nuestra plataforma.

Pero no podemos y no nos detendremos aquí. La privacidad y la seguridad son prioridades continuas para Zoom, y este período de 90 días, aunque fructífero, fue solo un primer paso. A lo largo de este informe, he proporcionado información sobre nuevos procesos y personas que ayudarán a Zoom en nuestro viaje para convertirse en la plataforma de comunicaciones de video más segura y sin fricciones del mundo.

Gracias a nuestros usuarios por su apoyo, paciencia y confianza. Nuestro valor principal como empresa es cuidar, y esperamos haberlo demostrado a través de nuestras acciones en los últimos 90 días, y continuará mostrándolo a través de acciones futuras.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)

+

0 comentarios