Informe del director ejecutivo: siguientes pasos para Zoom después del plan de 90 días

Informe del director ejecutivo: siguientes pasos para Zoom después del plan de 90 días

Durante los primeros meses de 2020, el equipo de Zoom ha trabajado día y noche para dar cabida a la enorme afluencia de nuevos y distintos tipos de usuarios en nuestra plataforma. La repentina y creciente demanda en nuestros sistemas no se parece a nada de lo que la mayoría de las empresas han experimentado jamás. A finales de marzo, nos dimos cuenta de que nuestra particular misión de ofrecer videocomunicaciones sin problemas a cientos de millones de participantes en reuniones diarias tenía que incluir una estrategia equivalente en cuanto a seguridad y privacidad. Estas áreas necesitaban un mayor desarrollo.

El 1 de abril de 2020, nos comprometimos a hacer una serie de modificaciones para mejorar la seguridad y la privacidad. El programa de 90 días que pusimos en marcha ese día cambió el foco de atención de nuestra compañía a 7 compromisos que integraban definitivamente la seguridad y la privacidad en el ADN de Zoom. Hoy os informaré sobre la situación actual de cada uno de esos compromisos, así como de los siguientes pasos.

Compromiso n.º 1: aprobar un bloqueo de funciones, a partir del 1 de abril, y migrar todos nuestros recursos de ingeniería a nuestras incidencias más urgentes de confianza, seguridad y privacidad.

Estado: hemos aprobado un bloqueo de 90 días de todas las funciones no relacionadas con la privacidad o la seguridad. Con todos nuestros recursos de ingeniería y de productos orientados hacia ese objetivo, hemos lanzado más de 100 funciones, incluidas las siguientes:

  • Zoom 5.0
    • Cifrado AES de 256 bits GCM (disponible para todos los usuarios con cuentas gratuitas y de pago).
    • Actualizaciones de la IU: icono de seguridad, escudo de cifrado verde con la ubicación del centro de datos para hacer clic.
    • Denunciar a un usuario
    • Valores predeterminados de reuniones: contraseña, sala de espera y uso compartido de pantalla limitado.
    • Otras características: el anfitrión puede deshabilitar el inicio de sesión de varios dispositivos, consentimiento para reactivar el audio, vencimiento de grabaciones en la nube, controles más estrictos del chat de Zoom, y mucho más.
  • Adquisición de Keybase e inicio de la creación del cifrado de extremo a extremo (para todos los usuarios, gratis y de pago).
  • Opción de enrutamiento de datos personalizados por ubicación geográfica.

De cara al futuro, hemos establecido mecanismos para asegurarnos de que la seguridad y la privacidad sigan siendo una prioridad en cada fase del desarrollo de nuestros productos y funciones:

  • Fase de diseño: requisitos de seguridad, evaluación de riesgos, modelos de amenazas.
  • Creación: directrices de códigos seguros, escaneo con autoservicio, herramientas de CI/CD.
  • Pruebas: pruebas de seguridad, ejecución de pruebas automatizadas, herramientas de pruebas web.
  • Estado: configuración segura, supervisión de la integridad, validación de requisitos.
  • Producción: supervisión de la seguridad de nuestro sistema, buen funcionamiento del sistema, panorama de amenazas.

Compromiso n.º 2: llevar a cabo una revisión integral con expertos externos y usuarios representativos para comprender y garantizar la seguridad y privacidad de todos nuestros nuevos ejemplos de uso.

Estado: hemos trabajado con un grupo de expertos externos para revisar y mejorar nuestros productos, prácticas y políticas, incluido nuestro consejo de directores de seguridad de la información, Lea Kissner, Alex Stamos, Luta Security, Bishop Fox, Trail of Bits, NCC Group, Praetorian, Crowdstrike, el Center for Democracy and Technology y otras organizaciones en los ámbitos de la privacidad, la seguridad y la inclusión. Las contribuciones de todos los que están en esta lista han sido increíbles y estamos muy agradecidos por su ayuda.

Compromiso n.º 3: preparar un informe de transparencia que detalle información relacionada con solicitudes de datos, registros o contenido.

Estado: hemos avanzado considerablemente con la definición del marco y la estrategia de un informe de transparencia que detalla la información relacionada con las solicitudes que Zoom recibe de datos, registros o contenido. Esperamos proporcionar los datos del 2T fiscal en nuestro primer informe a finales de este año. Mientras tanto, hemos creado una guía sobre cómo responder a las peticiones de los gobiernos. También hemos actualizado nuestras políticas de privacidad, principalmente para facilitar su comprensión, y hemos añadido una Declaración de derechos de privacidad de California independiente. Puede encontrar estos documentos en https://zoom.us/es-es/privacy-and-legal.html.

Compromiso n.º 4: mejorar nuestro programa de recompensa de errores actual.

Estado: hemos desarrollado un repositorio central de errores y procesos de flujo de trabajo relacionados. Este repositorio recopila informes de vulnerabilidad de datos de HackerOne, Bugcrowd, y security@zoom.us (este último no requiere un acuerdo de confidencialidad) seleccionadas a través de Praetorian. Hemos establecido un proceso de revisión continuo con reuniones diarias, y hemos mejorado nuestra coordinación con investigadores de seguridad y asesores externos. También hemos contratado a un jefe de vulnerabilidad y recompensa de errores, varios ingenieros adicionales de seguridad de aplicaciones y estamos en proceso de contratar más ingenieros de seguridad para que resuelvan las vulnerabilidades. Mientras tanto, nos estamos centrando en mejorar nuestros tiempos de respuesta. En general, nuestro proceso de recompensa de errores es estable, y se consolidará a medida que cumplamos nuestro objetivo de contratar a más personas. Damos las gracias a Luta Security por su ayuda en este proceso.

Compromiso n.º 5: crear un consejo de directores de seguridad de la información en colaboración con directores de seguridad de la información líderes del sector para facilitar un diálogo continuo sobre prácticas recomendadas de seguridad y privacidad.

Estado: hemos puesto en marcha nuestro propio consejo de directores de seguridad de la información, compuesto por 36 directores de seguridad de la información de varios sectores, entre los que se incluye SentinelOne, Arizona State University, HSBC y Sanofi. Este consejo, dirigido por nuestro vicedirector de sistemas de información Gary Sorrentino, se ha reunido cuatro veces en los últimos tres meses y ha asesorado en asuntos importantes, como la selección del centro de datos regional, el cifrado, la autenticación en reuniones, y funciones, como Denunciar a un usuario, contraseñas y salas de espera. El consejo ha demostrado ser un éxito, por lo que ampliaremos este programa con mesas redondas de directores de seguridad de la información: conversaciones interactivas entre los clientes del directores de seguridad de la información y los líderes de nuestro equipo de seguridad para entender las medidas que Zoom ha tomado y tomará en el futuro a fin de garantizar la seguridad y privacidad de nuestra plataforma. Los directores de seguridad de la información y de sistemas de la información interesados pueden consultar a los ejecutivos de cuentas de Zoom para obtener más información.

Compromiso n.º 6: realizar varias pruebas de penetración de caja blanca simultáneas para identificar y resolver aún más problemas.

Estado: Zoom ha contratado a varias empresas, como Trail of Bits, NCC Group, y Bishop Fox, para revisar toda nuestra plataforma. Su ámbito de trabajo abarcaba:

  • El entorno de producción de Zoom, tanto en los centros de datos públicos como en los de ubicación conjunta:
    • Configuración de la nube
    • Espacio IP externo
    • Red de producción interna
  • La aplicación web central de Zoom y la red corporativa de Zoom:
    • Red interna
    • Perímetro externo
  • API pública para clientes comunes
    • Clientes móviles
    • Clientes de escritorio

Zoom se compromete a realizar pruebas de penetración externas continuas como base de su plan de seguridad.

Compromiso n.º 7: presentar un seminario web semanal cada miércoles para ofrecer actualizaciones de privacidad y seguridad a nuestra comunidad.

Estado: si incluimos el seminario web de hoy, hemos celebrado 13 seminarios web en total, cada miércoles desde el 1 de abril. En estos eventos virtuales han participado una serie de ejecutivos y asesores que responden en vivo a las preguntas de los asistentes. También hemos compartido resúmenes y grabaciones de los seminarios web en nuestro blog cada miércoles. Seguiremos celebrando estos seminarios web. El próximo se llevará a cabo el 15 de julio, y a partir de entonces, se empezarán a celebrar cada mes.

Otras actualizaciones claves

Hemos dado otros pasos importantes:

  • Hemos incorporado o cambiado de función a varios directivos clave desde el 1 de abril, incluidos:
    • Jason Lee, director de seguridad de la información
    • Aparna Bawa fue nombrada directora de operaciones, y ahora supervisa las medidas de seguridad de Zoom
    • Lynn Haaland, subasesora general y jefa de cumplimiento normativo y ética, también fue nombrada directora de privacidad
    • Josh Kallmer, director global de políticas públicas y relaciones gubernamentales
    • Ginny Lee, asesora legal general adjunta, privacidad
    • Mara Davis, asesora legal general adjunta, cumplimiento y ética
    • Jefe de vulnerabilidad y recompensa de errores, a partir del 13 de julio
    • Andy Grant, jefe del equipo de seguridad ofensiva, a partir del 13 de julio
  • Zoom Phone se ha añadido a Zoom para el gobierno, que ya se ha autorizado de conformidad con el Programa federal de administración de riesgos y autorizaciones (FedRAMP) de los EE. UU.
  • Seguimos decididos a aumentar considerablemente el equipo de ingeniería en los EE. UU. como soporte al mayor uso con nuevas oficinas con sede en Phoenix, Arizona y Pittsburgh, en Pensilvania.

Y ahora, ¿qué es lo que sigue?

En este período de tiempo se han producido cambios significativos en nuestra compañía que han hecho que la seguridad y la privacidad de nuestra plataforma sean aspectos importantes respecto a lo que hacemos, mientras nos esforzamos por merecer la confianza que nuestros clientes depositan en nosotros. Estoy orgulloso y agradecido por la función que Zoom ha desempeñado a la hora de conectar al mundo en tiempos de crisis, y por todo lo que nuestro equipo ha conseguido en los últimos 90 días para proteger mejor nuestra plataforma.

Sin embargo, no podemos ni queremos parar ahora. La privacidad y la seguridad son y serán prioridades constantes para Zoom, y este período de 90 días, aunque haya sido provechoso, solo representa el primer paso. En este informe he proporcionado información sobre nuevos procesos y personas que ayudarán a Zoom en el camino para convertirnos en la plataforma de videocomunicaciones más segura y fácil de usar del mundo.

Gracias a nuestros usuarios por su apoyo, paciencia y confianza. Nuestro principal valor como compañía es cuidar lo que importa y esperamos haberlo demostrado con nuestras acciones en los últimos 90 días, como así también seguiremos demostrándolo a través de futuras acciones.

No olvide compartir esta publicación