Webinar-Zusammenfassung: 90-Tage-Sicherheitsplan – Fortschrittsbericht vom 1. Juli

Webinar-Zusammenfassung: 90-Tage-Sicherheitsplan – Fortschrittsbericht vom 1. Juli

Da sich unser 90-Tage-Sicherheitsplan nun langsam dem Ende zuneigt, lag der Schwerpunkt unseres „Fragen Sie Eric“-Webinars diese Woche auf den Fortschritten, die wir seit dem Beginn des Plans gemacht haben, und dem Weg, den wir in Zukunft einschlagen werden. Dazu zählen wichtige Aktualisierungen, der Status der Umsetzung der Selbstverpflichtungen, die wir als Teil unseres 90-Tage-Sicherheitsplans gegenüber unseren Kunden eingegangen sind, und Neuerungen hinsichtlich des CISO Councils von Zoom.

Unterstützt wurde Zoom CEO Eric S. Yuan von COO Aparna Bawa, CPO Oded Gal, Deputy CIO und Vorsitzendem des CISO-Rats Gary Sorrentino und unserem neuen CISO Jason Lee.

CTO Brendan Ittelson, Head of Security Engineering Max Krohn, und Chief Compliance and Ethics Officer Lynn Haaland waren bei der Fragen- und Antwortrunde dabei.

Produktaktualisierungen

Gal gab eine kurze Zusammenfassung der wichtigsten Aktualisierungen, die wir in den letzten 90 Tagen auf der Plattform eingeführt haben. Darunter:

  • Veröffentlichung von Zoom 5.0: Am 27. April veröffentlichten wir Zoom 5.0, das AES 256-Bit-Verschlüsselung im GCM-Modus unterstützt, einer der sichersten der heutzutage gebräuchlichen Verschlüsselungsstandards. Die systemweite Aktivierung für AES-256-Bit-Verschlüsselung erfolgte am 30. Mai.
  • Neues Sicherheitssymbol auf der Benutzeroberfläche: Das Sicherheitssymbol bietet Hosts und Co-Hosts während Meetings unmittelbaren Zugriff auf wichtige Sicherheits-Bedienelemente. Dazu gehört die Fähigkeit, Meetings zu sperren und Warteräume zu aktivieren sowie die optionale Verwaltung der Fähigkeit der Teilnehmer, ihre Bildschirme freizugeben, in Chats teilzunehmen, sich selbst umzubenennen oder die Stummschaltung für sich selbst aufzuheben.
  • Funktion „Einen Benutzer melden“: Hosts und Co-Hosts können Benutzer und Vorfälle von Meeting-Störungen an das Trust & Safety Team von Zoom melden, das jeden potenziellen Missbrauch der Plattform prüft und entsprechende Maßnahmen ergreift.
  • Aktualisierte Standard-Sicherheitseinstellungen für Meetings: Passwörter, Warteraum und Bildschirmfreigabe für “Nur Host” sind für kostenlose, Basic- und Pro-Konten mit Einzellizenz standardmäßig aktiviert. Für die Meetings von Benutzern kostenloser Konten oder Basic-Konten werden Passwörter erzwungen.
  • Benutzerdefinierte Datenweiterleitung: Um Hosts mehr Kontrolle über ihre Daten zu geben, haben wir für zahlende Kunden am 18. April Optionen für die Datenweiterleitung eingeführt, dank derer sie ihre Rechenzentrumseinstellungen anpassen können. Admins und Inhaber kostenpflichtiger Konten können auf der Konto-, Gruppen-, Benutzer- oder Meetingebene bestimmte Datenzentrumsregionen für die Übertragung von Daten ein- oder ausschließen.

Für die Zukunft haben wir Mechanismen eingerichtet, um sicherzustellen, dass Sicherheit und Datenschutz in jeder Phase der Entwicklung unserer Produkte und Funktionen eine Priorität bleiben..

CISO Council Aktualisierungen mit Gästen

Sorrentino interviewte anschließend zwei Mitglieder unseres CISO-Rats: James Shira, Global and US Chief Information Technology Officer bei PwC, und Cy Fenton, Chief Security Officer, Chief Privacy Officer und Senior Vice President, Global Infrastructure bei Ralph Lauren. Ziel war es hierbei, das Mandat und die Meetings des Rats anschaulicher zu machen und in einen breiteren Kontext zu stellen. Im Folgenden präsentieren wir ein paar Höhepunkte aus dieser Sitzung:

Herr Fenton, warum sind Sie dem CISO-Rat von Zoom beigetreten?

„Diese Entscheidung ist mir leicht gefallen. Zoom hat sich zu einem zentralen Instrument entwickelt, das uns dabei unterstützt, die Ansprüche unserer Kunden zu befriedigen. Vor Covid-19 haben wir Zoom ursprünglich als Konferenztool eingesetzt und sind nun dazu übergegangen, es jeden Tag mehrmals für fast jedes Meeting, das wir abhalten, zu nutzen. Zoom ist für uns ein äußerst wichtiger Anbieter, sodass die Gelegenheit, Ideen beitragen zu können und weitere Kenntnisse über die Roadmap zu erhalten, wirklich entscheidend war.“

Herr Shira, wie ist Ihrer Meinung nach der 90-Tage-Prozess verlaufen?

„Ich war an einer Reihe von Sicherheitstransformationen in großen Unternehmen beteiligt, und ich denke, dass es wichtig ist nicht zu vergessen, dass es sich um einen Prozess handelt. Was meiner Meinung nach die Geschehnisse bei Zoom einzigartig macht, ist, dass dieser Prozess im öffentlichen Raum stattfindet, in der realen Welt in Echtzeit. Angesichts dieser Tatsache denke ich, dass alles hervorragend gelaufen ist.“

Vorstellung von Jason Lee, Zoom CISO

Yuan stellte Jason Lee, den neuen CISO von Zoom vor. Lee bringt 20 Jahre Erfahrung im Bereich der Informationssicherheit und der Bereitstellung unternehmenskritischer Dienste mit. Kürzlich war er Senior Vice President of Security Operations bei Salesforce, wo er verantwortlich war, die kritische End-to-End-Sicherheitsoperationen für Kunden und Mitarbeiter, einschließlich der unternehmensweiten Netzwerk- und Systemsicherheit, sowie für das Offensivsicherheitsteam in der globalen Organisation bereitzustellen.

„Ich freue mich sehr, dass ich mit diesem talentierten Team bei Zoom arbeiten kann,“ sagte Lee. „Der jüngste Fortschritt an der Sicherheitsfront ist sehr beeindruckend und ich bin gespannt auf die Zukunft.“

Überprüfung unserer Selbstverpflichtungen aus dem 90-Tage-Plan

Zoom COO Aparna Bawa fasste die Verpflichtungen, die wir als Teil des 90-Tage-Plans gegenüber unseren Kunden eingegangen sind, zusammen. Dazu gehört:

  • Ein „Feature Freeze“ mit Wirkung vom 1. April und die Verlagerung aller unserer technischen Ressourcen auf unsere größten Sicherheits- und Datenschutzprobleme.
  • Durchführung einer umfassenden Überprüfung mit Experten von Drittanbietern und repräsentativen Benutzern, um die Sicherheit und den Datenschutz all unserer neuen Anwendungsfälle zu verstehen und zu gewährleisten.
  • Erstellung eines Transparenzberichts, in dem Informationen zu Anfragen nach Daten, Aufzeichnungen oder Inhalten im Einzelnen aufgeführt sind.
  • Verbesserung unseres aktuellen Bug-Bounty-Programms.
  • Einrichtung eines CISO Counsils.
  • Durchführung einer Reihe simultaner White-Box-Penetrationstests zur weiteren Identifizierung und Behandlung von Problemen.
  • Mittwochs ein wöchentliches Webinar zu veranstalten, um unsere Community mit aktuellen Informationen zum Datenschutz und zur Sicherheit zu versorgen
    .

Nähere Informationen über den Stand der Umsetzung dieser Verpflichtungen im Rahmen des 90-Tage-Sicherheitsplans können Sie auf unserem Blog finden und in unserer Zusammenfassung im PDF-Format mit den wichtigsten Aktualisierungen seit dem 1. Juli 2020.

Fragen und Antworten

Wo gab es die größten Schwierigkeiten bei der Umsetzung des 90-Tage-Plans von Zoom und was haben Sie als Unternehmensführer daraus gelernt?

Yuan erklärte, Zoom sei ursprünglich für die Nutzung im Geschäftsleben gedacht gewesen, sodass sich Zoom vor eine enorme Herausforderung gestellt sah, als es galt, den Bedürfnissen von unerfahrenen neuen Benutzern hinsichtlich Datenschutz, Sicherheit und ihren individuellen Anwendungsfällen gerecht zu werden. Er erläuterte weiter, dass er gelernt habe, dass Zoom jegliche Schwierigkeit bewältigen könne, sofern den Kunden Gehör geschenkt, für Transparenz gesorgt und das Ziel, die bestmögliche Plattform zu bauen, weiterverfolgt werde.

Bedeutet der Abschluss des 90-Tage-Plans, dass Zoom erneut mit der Veröffentlichung von Funktionen, die nichts mit Sicherheit zu tun haben, beginnt?

Zoom ist fest entschlossen, Sicherheit weiter zu einem wichtigen Schwerpunkt zu machen. Wir werden auch die Arbeit an nicht-sicherheitsrelevanten Funktionen, die wir für 90 Tage pausiert hatten, wiederaufnehmen und neue Funktionen und Produkte entwickeln, die sich an der Arbeitsweise der Menschen von heute und in der Zukunft orientieren.

Können vorgeschriebene Sicherheitseinstellungen auf der Gruppenebene anstatt auf der Kontoebene vorgenommen werden?

Ja. Sie können auf der Konten-, Gruppen- oder Benutzerebene vorgenommen werden.

Wie kann man als CISO Endbenutzer am besten über Best Practices im Bereich Sicherheit aufklären?

Gast-CISO Fenton erklärte, Mitarbeiter könnten am besten über Sicherheit auf Unternehmensebene aufgeklärt werden, indem ein solides Sicherheitsschulungsprogramm entwickelt werde. Mitarbeitern müsse die Wichtigkeit von Sicherheit vermittelt werden, indem durchgesprochen wird, welchen Sicherheitsrisiken sie ausgesetzt sind, wie sie diese abwehren können und wie Sicherheit in ihren täglichen Arbeitsabläufen ins Spiel kommt.

Warum hat Zoom einen Leitfaden für Behördenanfragen veröffentlicht?

Bawa erläuterte, dass Zoom diesen Leitfaden als Teil fortlaufender Bemühungen bezüglich der Offenheit und Transparenz, wie Zoom seine Geschäfte tätigt, veröffentlicht habe. Zoom sehe dies als Blueprint für Behörden für ihren Umgang mit Zoom an, einschließlich entsprechender Kontaktinformationen sowie Kriterien und Prozesse, die Zoom bei der Bearbeitung von Behördenanfragen einsetze.

Welchen generellen Ansatz verfolgt Zoom beim Thema Sicherheit?

Lee erklärte, dass er Branchenstandards und öffentliche Rahmenbedingungen für die Entwicklung des Sicherheitsstandards von Zoom verwenden werde, um Klarheit über dessen Funktionen und Reife zu schaffen.

Können Admins sehen, welche Client-Version ihre Benutzer haben?

System-Admins können im Bereich Benutzerverwaltung in ihrem Dashboard auf das Zahnradsymbol in der rechten oberen Ecke klicken, um eine zusätzliche Spalte mit der Client-Version anzuzeigen. Admins mit Business-Abos oder vergleichbaren Abos können in ihr Zoom Dashboard gehen, wo sich ein Diagramm befindet, das die Verteilung der Client-Versionen auf ihrem Konto darstellt. Sie können ebenfalls zur Registerkarte Meetings gehen und sich Metadaten beliebiger Meetings anschauen, um zu sehen, welche Client-Versionen von den Teilnehmern verwendet werden.

Wie kann man angesichts der Tatsache, dass immer mehr Unternehmen zu Cloud-basierten Diensten wechseln, Anbieter am besten bewerten und sie für Cybersicherheit zur Verantwortung ziehen?

Lee erklärte, dass er die Innovation des jeweiligen Anbieters in der Gegenwart und der Vergangenheit sowie die Qualität des Führungsteams der Organisation überprüfe. Er orientiere sich auch an anderen CISOs und frage sie nach ihrer Erfahrung mit der Organisation. Fenton fügte hinzu, dass es wichtig sei, dass die Organisation offenlege, wie sie mit Problemen und ihren Herausforderungen umgeht.

Vielen Dank für Ihre Unterstützung

Wir bedanken uns für Ihre Teilnahme an der Sitzung dieser Woche und danken allen, die uns ihre Fragen geschickt haben! Wir freuen uns sehr darüber, dass Sie uns bei unserem Vorhaben, Zoom zur weltweit sichersten Kommunikationsplattform für Unternehmen zu machen, unterstützen.

Sollten Sie die Sitzung diese Woche verpasst haben, können Sie sich hier eine Aufzeichnung ansehen:

Vergessen Sie nicht, diesen Post zu teilen