Informe de progreso del plan de seguridad de 90 días: 20 de mayo

Informe de progreso del plan de seguridad de 90 días: 20 de mayo

Mientras avanzamos en nuestro plan de 90 días para mejorar la seguridad y la privacidad de nuestra plataforma, el seminario web «Pregunte a Eric» de esta semana se centró en la seguridad en las reuniones, la autorización conforme a FedRAMP de Zoom Phone y el programa de recompensa de errores de Zoom.

El director ejecutivo de Zoom, Eric S. Yuan, se unió al director de producto de Zoom, Oded Gal, a Lynn Haaland, subdirector general de Zoom y jefe de cumplimiento normativo y ética, y a Katie Moussouris, fundadora y directora ejecutiva de Luta Security. Brendan Ittelson, director de tecnología de Zoom, y Lea Kissner, antigua responsable de tecnología de privacidad global de Google que está asesorando a Zoom sobre privacidad y cifrado, se unieron a la sesión de preguntas y respuestas.

Actualizaciones de la semana pasada y planes para las próximas semanas:

Puntos clave de la sesión de esta semana

Aprobación de la autorización conforme a FedRAMP de Zoom Phone

Hoy anunciamos que se ha aprobado la autorización de Zoom Phone según la FedRAMP de EE. UU. Esta autorización permite ahora a los organismos gubernamentales federales y contratistas de los EE. UU. utilizar Zoom Phone como parte de nuestra oferta existente autorizada más amplia de Zoom para el gobierno. Zoom para el gobierno ofrece a los organismos gubernamentales de los EE. UU. una plataforma UCaaS de Zoom completa, incluidas las reuniones y chats de Zoom, seminarios web con vídeo de Zoom, soluciones de sala de conferencias y, ahora, Zoom Phone.

Seguridad en las reuniones

Lynn Haaland habló de las medidas que Zoom ha tomado durante los últimos dos meses para impedir que interrumpan las reuniones participantes no deseados. Entre estas medidas se incluyen la adición de ajustes de seguridad predeterminados, como contraseñas y salas de espera para determinados usuarios, incorporación de controles de seguridad en las reuniones en el icono Seguridad, adición de mecanismos de notificación, cooperación estrecha con plataformas de cumplimiento de la ley y otras plataformas en línea, y formación a los usuarios sobre prácticas de seguridad recomendadas.

Lynn también reiteró estos consejos para proteger las reuniones de Zoom:

  • No compartir públicamente su ID de reunión y/o contraseñas.
  • Mantener activadas las funciones de seguridad de Zoom: entre ellas se incluyen las salas de espera, las contraseñas y la restricción del uso compartido de pantalla.
  • Conocer las funciones de privacidad y seguridad de host como Deshabilitar vídeo, Silenciar participantes, Expulsar a participantes y Bloquear reunión.
  • Utilizar el registro en las reuniones.

Lynn explicó que las reuniones de Zoom no están diseñadas para eventos públicos o a gran escala cuya invitación se publica en Internet. En su lugar, le recomendamos que utilice los seminarios web con vídeo, que proporcionan más control sobre la audiencia y la experiencia. Obtenga más detalles sobre reuniones frente a seminarios web en nuestra página de soporte.

Programa de recompensa de errores de Zoom

Katie Moussouris, fundadora y directora ejecutiva de Luta Security y asesora de seguridad para Zoom, habló sobre cómo funcionará el programa de recompensa de errores de Zoom, y explicó que emplea un modelo colaborativo que depende de todas las partes, incluidos los investigadores de seguridad, para encontrar y notificar errores. También informó de que antes de que Zoom implemente cambios en su programa de recompensa de errores, estamos solicitando comentarios a la comunidad para optimizar estos programas.

Recordatorio sobre Zoom 5.0

Zoom 5.0 está disponible desde el 27 de abril, y el 30 de mayo de 2020 se habilitarán las cuentas de todo el sistema para cifrado AES de 256 bits GCM. Solo los clientes de Zoom con la versión 5.0 o posterior, incluidas Zoom Rooms, podrán unirse a las reuniones de Zoom a partir de ese día. Recomendamos a todos los usuarios que actualicen hoy mismo a la versión 5.0 de Zoom o posterior, si no lo han hecho todavía. Los administradores de Zoom deben visitar nuestra página de administradores de TI para gestionar esta actualización en su entorno. Los usuarios pueden probar la experiencia de GCM en zoom.us/testgcm.

Informe de diseño de cifrado de extremo a extremo previsto para el viernes

Publicaremos un borrador de diseño criptográfico detallado para nuestra oferta de cifrado de extremo a extremo este viernes en GitHub. Organizaremos debates con expertos en criptografía, clientes, grupos de apoyo y otros para solicitar comentarios para evaluar elementos para el diseño final.

Preguntas y respuestas

Estas son algunas de las preguntas realizadas por los asistentes al seminario web que se han respondido en vivo esta semana:

¿Cómo informar de un error de seguridad?

Visite zoom.us/security o envíe un correo electrónico a security@zoom.us.

Si estoy utilizando un Chromebook, ¿cómo descargo el cliente de Zoom 5.0?

Los usuarios de Chromebook pueden descargar la aplicación Zoom Chromebook de la tienda de aplicaciones de Google o utilizar el cliente web de Zoom, que siempre estará actualizado.

¿Se notifica a los administradores de cuenta cuando un usuario se denuncia a Zoom?

Cuando un anfitrión o coanfitrión utiliza la función Denunciar a un usuario para denunciar a un participante de una reunión, se envía un informe al equipo de seguridad y confianza de Zoom. Sin embargo, en el futuro pensamos notificar a los administradores de determinadas cuentas cuando se denuncie a uno de sus usuarios en determinadas situaciones.

¿Puede alguien que no sea el anfitrión grabar una reunión?

El anfitrión puede otorgar acceso a otro participante para que grabe, pero nadie puede iniciar una grabación de Zoom sin el consentimiento de un anfitrión.

¿Puede dar detalles del diseño de borrador del 22 de mayo sobre cifrado de extremo a extremo?

El borrador que se publicará el 22 de mayo comparte nuestro plan y diseño para crear un servicio de vídeo con cifrado de extremo a extremo. Este borrador no incluirá ningún código real. Queremos recopilar y evaluar comentarios antes de desarrollar nuestra oferta de cifrado de extremo a extremo.

¿Hay algún plan para permitir el chat privado con un usuario en la sala de espera para ayudar a verificar su identidad?

Oded dijo que es una de las mejoras más solicitadas y que está en nuestra hoja de ruta.

¿Por qué se ha eliminado Reactivar audio a todos? ¿Está previsto recuperarlo?

Eliminamos la función Reactivar audio a todos de la interfaz de usuario porque los anfitriones podían reactivar el audio de los participantes sin su consentimiento. Recuperaremos esta función en el futuro. Sin embargo, los anfitriones necesitarán el consentimiento de un participante para reactivar su audio durante una reunión.

Gracias por su apoyo

Gracias por asistir a la sesión de esta semana y gracias a todos los que han enviado preguntas. Valoramos enormemente su apoyo en nuestro viaje para hacer de Zoom la plataforma de comunicaciones empresariales más segura del mundo.

Si se perdió la sesión de esta semana, puede ver la grabación aquí:

Para dar su opinión o hacer una pregunta a Zoom, envíe un correo electrónico a answers@zoom.us. Y no olvide registrarse en el seminario web «Pregunte a Eric» de la próxima semana.

Descargar PDF de esta publicación

 

No olvide compartir esta publicación