Informe del CEO: pasados los 90 días, ¿cuáles son los planes de Zoom?

Informe del CEO: pasados los 90 días, ¿cuáles son los planes de Zoom?

Durante los primeros meses de 2020, el equipo de Zoom trabajó las 24 horas del día para poder respaldar la enorme afluencia de nuevos usuarios de distintos tipos a nuestra plataforma. Ninguna de las compañías del sector había experimentado jamás una demanda tan repentina y elevada de sus sistemas. Al finalizar marzo, nos dimos cuenta de que nuestra misión de ofrecer videocomunicaciones sin problemas a cientos de millones de personas debía prestar especial atención a la seguridad y privacidad, áreas en las que necesitábamos mejorar. 

El 1 de abril de 2020 nos comprometimos a realizar una serie de mejoras relacionadas con la seguridad y la privacidad. El programa de 90 días que lanzamos ese día tenía como objetivo reorientar nuestra empresa hacia 7 compromisos que integrarían la seguridad y la privacidad en el ADN de Zoom. Hoy les informaré sobre el estado de estos compromisos y nuestro camino a seguir. 

Compromiso n.º 1: congelar las funciones a partir del 1 de abril y centrar los esfuerzos de nuestro equipo de ingenieros en nuestros mayores problemas de confianza, seguridad y privacidad.

Estado: congelamos durante 90 días todas las funciones no relacionadas con la privacidad y la seguridad. Con todos nuestros recursos de ingeniería y producto orientados en esta dirección, hemos lanzado más de 100 funciones, entre las que se incluyen:

  • Zoom 5.0
    • Cifrado AES de 256 bits GCM habilitado para todas las reuniones (disponible tanto para los usuarios gratuitos como de pago). Para obtener más información, visite https://support.zoom.us/hc/es/articles/360043555772
    • Actualizaciones en la interfaz de usuario: icono Seguridad, escudo verde de cifrado con vínculo a la ubicación del centro de datos
    • Denunciar a un usuario
    • Valores predeterminados de las reuniones: contraseña, sala de espera y limitaciones a la hora de compartir pantalla
    • Otras características: el anfitrión deshabilita el inicio de sesión en varios dispositivos, permiso para reactivar el audio, caducidad de grabaciones en la nube, controles más estrictos del chat de Zoom y muchas más
  • Adquirimos Keybase y comenzamos a construir un cifrado de extremo a extremo (para todos los usuarios, tanto de pago como gratuito)
  • Ofrecimos un enrutamiento de datos personalizado basado en la localización

De cara al futuro, nos hemos asegurado de que la privacidad y la seguridad sigan siendo una prioridad en cada fase del desarrollo de nuestro producto y funciones:

  • Fase de diseño: requisitos de seguridad, evaluación de riesgos y modelado de amenazas 
  • Desarrollo: pautas de código seguro, escaneado de autoservicio, herramientas CI/CD
  • Pruebas: pruebas de seguridad, ejecución de pruebas automatizada, herramientas de pruebas web
  • Pasos: configuración segura, supervisión de la integridad, validación de requisitos
  • Producción: supervisión de la seguridad de nuestro sistema, buen funcionamiento del sistema, panorama de amenazas 

Compromiso n.º 2: llevar a cabo una revisión integral con expertos externos y usuarios representativos para comprender y garantizar la seguridad y la privacidad futuras de nuestros usuarios.

Estado: hemos trabajado con un grupo de expertos externo para revisar y mejorar nuestros productos, prácticas y políticas. Entre estos expertos se encuentran nuestro consejo asesor de directores de seguridad de la información (CISO), Lea Kissner, Alex Stamos, Luta Security, Bishop Fox, Trail of Bits, NCC Group, Praetorian, Crowdstrike, Center for Democracy and Technology y otras organizaciones relacionadas con la privacidad, la seguridad y la inclusión. Todos los miembros de esta lista han contribuido en gran medida y estamos muy agradecidos por su ayuda. 

Compromiso n.º 3: elaborar un informe de transparencia que detalle la información relacionada con la solicitud de datos, registros o contenido.

Estado: hemos avanzado de forma significativa a la hora de definir el marco y enfoque necesarios para elaborar un informe de transparencia que detalle la información relacionada con las solicitudes de datos, registros o contenido que recibe Zoom. Esperamos poder proporcionar los datos fiscales del segundo trimestre en nuestro primer informe más adelante este año. Mientras tanto, hemos creado una guía en la que detallamos cómo respondemos a las solicitudes gubernamentales. También hemos actualizado nuestras políticas de privacidad, principalmente para que sean más fáciles de entender. También hemos añadido una declaración independiente de derechos de privacidad para California. Puede encontrar estos documentos en zoom.com/privacy-and-legal.

Compromiso n.º 4: mejorar nuestro programa de recompensas de errores actual.

Estado: hemos desarrollado un repositorio central de errores y procesos de flujo de trabajo relacionados. Este repositorio recibe informes de vulnerabilidad de HackerOne, Bugcrowd y security@zoom.us (este último no necesita un acuerdo de confidencialidad) que luego se clasifican con Praetorian. Hemos establecido un proceso de revisión continuo con reuniones diarias y mejorado nuestra coordinación con investigadores de seguridad y asesores externos. También hemos contratado a un jefe de vulnerabilidades y recompensa de errores, varios ingenieros adicionales de seguridad de aplicaciones y estamos en proceso de contratar más ingenieros de seguridad para que nos ayuden a solucionar cualquier posible vulnerabilidad. Mientras tanto, estamos centrados en mejorar nuestros tiempos de respuesta. En general, nuestro proceso de recompensa de errores funciona perfectamente y mejorará a medida que logremos nuestros objetivos de contratación. Agradecemos a Luta Security su ayuda a lo largo de este proceso.

Compromiso n.º 5: crear un consejo CISO en colaboración con directores de seguridad de la información líderes de todo el sector para facilitar un continuo diálogo sobre prácticas recomendadas de seguridad y privacidad.

Estado: inauguramos nuestro consejo CISO, compuesto por 36 miembros de empresas de distintos sectores, entre las que se encuentran SentinelOne, la Arizona State University, HSBC y Sanofi. Este consejo, dirigido por nuestro director de sistemas de información (CIO), Gary Sorrentino, se ha reunido cuatro veces durante los últimos tres meses para ofrecer asesoramiento sobre asuntos importantes, como la selección de un centro de datos regional, el cifrado, la autenticación en las reuniones y funciones como Denunciar a un usuario, códigos de acceso y salas de espera. Como el consejo ha demostrado ser un gran éxito, hemos decidido ampliar este programa con mesas redondas de CISO: debates interactivos entre clientes de CISO y representantes de nuestro equipo de seguridad para comprender las medidas que Zoom ha tomado y tomará en el futuro para garantizar la seguridad y la privacidad de nuestra plataforma. Los CISO y CIO pueden solicitar más información al ejecutivo de cuentas de Zoom.  

Compromiso n.º 6: realizar una serie de pruebas simultáneas de penetración de caja blanca para identificar y abordar los problemas.

Estado: Zoom contrató a empresas como Trail of Bits, NCC Group y Bishop Fox para revisar la plataforma. Su trabajo abarcó:

  • El entorno de producción de Zoom, tanto centros de datos públicos como de ubicación conjunta: 
    • Configuración de la nube
    • Espacio IP externo
    • Red de producción interna
  • Aplicación web principal de Zoom y red corporativa de Zoom:
    • Red interna
    • Perímetro externo
  • API pública para clientes comunes
    • Clientes móviles
    • Clientes de escritorio

Zoom se compromete a realizar pruebas continuas de penetración de terceros como base de su programa de seguridad. 

Compromiso n.º 7: organizar un seminario web semanal cada miércoles para informar a la comunidad de actualizaciones de privacidad y seguridad.

Estado: contando con el seminario de hoy, hemos organizado un total de 13 seminarios web desde el miércoles 1 de abril. Estos eventos virtuales contaron con la presencia de varios de nuestros ejecutivos y consultores, que respondieron a las preguntas de los asistentes. También compartimos un resumen y una grabación de los seminarios web en nuestro blog cada miércoles. Continuaremos con estos seminarios web hasta el próximo 15 de julio y luego pasaremos a celebrar los seminarios con una periodicidad mensual. 

Otras actualizaciones importantes

Hemos tomado otras medidas importantes:

  • Hemos hecho varias incorporaciones o cambios directivos importantes desde el 1 de abril, entre los que se incluyen: 
    • Velchamy Sankarlingam, presidente de producto e ingeniería 
    • Jason Lee, director de seguridad de la información
    • Damien Hooper-Campbell, director de diversidad
    • Aparna Bawa fue nombrada directora de operaciones y ahora se encarga de supervisar los esfuerzos de seguridad de Zoom
    • Lynn Haaland, viceasesora jurídica general y directora de cumplimiento normativo y ética, es también la directora de privacidad
    • Se incluyó a H.R. McMaster al consejo de dirección de Zoom
    • Josh Kallmer, director global de políticas públicas y relaciones gubernamentales 
    • Ginny Lee, asesora jurídica general adjunta, privacidad 
    • Mara Davis, asesora jurídica general adjunta, cumplimiento normativo y ética
    • Jefe de vulnerabilidades y recompensa de errores, a partir del 13/07
    • Andy Grant, jefe de seguridad contra abusos, a partir del 13/7
  • Se ha añadido Zoom Phone a Zoom para el gobierno, función ya autorizada por el Programa federal de administración de riesgos y autorizaciones de los EE. UU. (FedRAMP)
  • Seguimos estando comprometidos con el crecimiento de nuestro equipo de ingeniería con sede en los EE. UU. para dar soporte al mayor uso de nuestro programa desde nuestras nuevas oficinas en Phoenix, Arizona, Pittsburgh y Pennsylvania.

Planes de futuro

Este período ha aportado cambios importantes en nuestra empresa y ha hecho que la seguridad y la privacidad de nuestra plataforma sean el núcleo de todo lo que hacemos, ya que nos esforzamos por merecer la confianza que los clientes depositan en nosotros. Me enorgullezco del papel que Zoom ha tenido a la hora de conectar a las personas en tiempos de crisis, así como de todo lo que nuestro equipo ha logrado en los últimos 90  días para garantizar la seguridad de nuestra plataforma. 

Pero no podemos conformarnos con haber llegado hasta aquí: la privacidad y la seguridad son prioridades constantes para Zoom. Este período de 90 días, a pesar de los buenos resultados, solo ha sido el primer paso. A lo largo de este informe, he ofrecido información sobre los nuevos procesos y personas que ayudarán a Zoom en el viaje por convertirnos en la plataforma de videocomunicaciones más segura y fiable del mundo.

Muchas gracias a todos nuestros usuarios por su apoyo, paciencia y confianza. Nuestro principal objetivo como empresa es demostrar que nos importa lo que hacemos —algo que esperamos haber demostrado con nuestras acciones durante los últimos 90 días— tanto a día de hoy como en el futuro.

Descargue un resumen en PDF de nuestras actualizaciones clave

No olvide compartir esta publicación