Relatório do CEO: desafio dos 90 dias concluído. O que vem por aí no Zoom

Relatório do CEO: desafio dos 90 dias concluído. O que vem por aí no Zoom

Durante os primeiros meses de 2020, a equipe do Zoom trabalhou correndo contra o tempo para dar suporte ao tremendo fluxo de entrada de novos e diversos tipos de usuários na plataforma. A súbita e crescente demanda dentro do nosso sistema foi algo sem precedentes. No fim de março, entendemos que nossa missão de fornecer comunicações em vídeo de maneira fácil a centenas de milhões de participantes de reuniões, diariamente, precisaria ter um foco de igual importância em segurança e privacidade – áreas em que precisávamos melhorar.  

Em primeiro de abril de 2020, nós prometemos fazer uma série de aprimoramentos para resolver questões de segurança e privacidade. O programa de 90 dias que iniciamos naquela data reposicionou o foco da nossa empresa em 7 compromissos que incorporaram, em definitivo, os temas da segurança e da privacidade no DNA da Zoom. Hoje, fornecerei uma atualização de status sobre cada um desses compromissos, assim como, compartilharei nossos próximos passos. 

Compromisso #1: paralisar, a partir de primeiro de abril, a criação de novos recursos e direcionar e concentrar todos os nossos recursos de engenharia nos nossos maiores problemas de confiança, segurança e privacidade.

Status: implementar uma paralisação de 90 dias em todos os recursos que não tiverem a ver com privacidade, segurança pessoal ou de dados. Com toda a nossa engenharia e recursos de produtos voltadas nessa direção, lançamos mais de 100 novos recursos, incluindo os seguintes:

  • Zoom 5.0
    • A criptografia AES de 256 bits no modo GCM habilitada para todas as reuniões (disponível para todos os usuários, gratuitos e pagos). Para mais informaçoes, acesse https://support.zoom.us/hc/pt-br/articles/360043555772
    • Atualizações de IU – ícone de segurança, escudo de criptografia verde com clique de localização do datacenter
    • Denunciar usuário
    • Padrões de reunião – senha, sala de espera e compartilhamento de tela limitado
    • Outros recursos – anfitrião desabilita login múltiplo de dispositivos, consentimento para ativar áudio, tempo limite de gravação na nuvem, controles mais rígidos de Zoom Chat e outros
  • Keybase adquirido e início de construção de criptografia (para todos os usuários, gratuitos e pagos)
  • Disponibilizado roteamento de dados personalizados por geografia

Indo em frente, implementamos mecanismos para garantir que a segurança e a privacidade continuem sendo uma prioridade em cada fase do desenvolvimento de nosso produto e seus recursos:

  • Fase de design: requisitos de segurança, avaliação de risco, modelagem de ameaça 
  • Construção: diretrizes de código seguro, varredura de autoatendimento, ferramentas de CI/CD
  • Teste: teste de segurança, execução de teste automatizado, ferramentas de teste na web
  • Montagem: configuração segura, monitoramento de integridade, validação de requisitos
  • Produção: monitoramento da segurança do nosso sistema, integridade do sistema, cenário de ameaças 

Compromisso #2: conduzir uma análise abrangente com especialistas terceirizados e usuários com representatividade para compreender e garantir a segurança e a privacidade de todos os nossas novas situações de uso.

Status: trabalhamos com um grupo de especialistas terceirizados para revisar e fazer melhorias em nossos produtos, práticas e políticas, incluindo nosso conselho consultivo CISO, Lea Kissner, Alex Stamos, Luta Security, Bishop Fox, Trail of Bits, NCC Group, Praetorian, Crowdstrike, Center for Democracy and Technology e outras organizações dos setores de privacidade, segurança e inclusão. As contribuições de todos desta lista foram tremendas e somos muito gratos por sua ajuda. 

Compromisso #3: preparar um relatório de transparência que detalha as informações relacionadas às solicitações de dados, registros ou conteúdo.

Status: fizemos um progresso significativo na definição da estrutura e abordagem de um relatório de transparência que detalha as informações relacionadas às solicitações que o Zoom recebe de dados, registros ou conteúdo. Esperamos fornecer os dados fiscais do segundo trimestre em nosso primeiro relatório ao final deste ano. Nesse ínterim, recentemente criamos um guia sobre como as solicitações do governo foram atendidas. Também atualizamos nossas políticas de privacidade, principalmente para torná-las mais fáceis de entender, e adicionamos uma Declaração de Direitos de Privacidade da Califórnia em separado. Esses documentos podem ser encontrados em zoom.com/privacy-and-legal.

Compromisso #4: aprimorar nosso atual programa de prêmio de bug.

Status: desenvolvemos um Repositório Central de Bugs e processos de fluxo de trabalho relacionados. Este repositório recebe relatórios de vulnerabilidade do HackerOne, Bugcrowd e security@zoom.us (não requerendo este último um termo de confidencialidade) triados pelo Praetorian. Estabelecemos um processo de revisão contínua com reuniões diárias e melhoramos nossa coordenação com pesquisadores em segurança e avaliadores terceirizados. Também contratamos um Diretor de Vulnerabilidade e Recompensa por Bugs, vários engenheiros adicionais de segurança de aplicativos e estamos ainda contratando mais engenheiros de segurança, todos dedicados a lidar com vulnerabilidades. Enquanto isso, estamos focados em melhorar nossos tempos de resposta. No geral, nosso processo de recompensa por bug está consolidado e se tornará ainda mais forte, à medida que atingirmos nossas metas de contratação. Agradecemos à Luta Security por sua ajuda neste processo.

Compromisso #5: criar um conselho CISO em parceria com os líderes CISOs de vários setores, para facilitar um diálogo contínuo sobre as melhores práticas de segurança e privacidade.

Status: criamos nosso conselho CISO, composto por 36 CISOs de diversos setores, incluindo SentinelOne, Arizona State University, HSBC e Sanofi. Esse conselho, liderado por nosso vice-CIO Gary Sorrentino, reuniu-se quatro vezes nos últimos três meses e deliberou sobre questões importantes, como seleção de datacenter regional, criptografia, autenticação de reunião e recursos como Denunciar Usuário, Códigos de Acesso e Salas de Espera . O conselho provou ser um grande sucesso, e iremos estender este programa com as Mesas Redondas CISO – discussões interativas entre clientes CISO e nossos líderes de equipe de segurança, para entender as medidas que a Zoom tomou e tomará no futuro para garantir a segurança e a privacidade da nossa plataforma. Os CISOs e CIOs interessados ​​podem solicitar mais informações ao executivo de contas Zoom.  

Compromisso #6: ativar uma série de testes de invasão de caixa branca simultâneos para identificar e resolver os problemas.

Status: A Zoom contratou várias empresas – Trail of Bits, NCC Group e Bishop Fox – para revisar toda a sua plataforma. O escopo do seu trabalho abrangeu:

  • Ambiente de produção Zoom, datacenters públicos e co-localizados: 
    • Configuração da nuvem
    • Espaço de IP externo
    • Rede de produção interna
  • Aplicativo da web principal Zoom e rede corporativa Zoom:
    • Rede interna
    • Perímetro externo
  • API pública para clientes em comum
    • Clientes de dispositivos móveis
    • Clientes de desktop

A Zoom está comprometida com testes contínuos de penetração de terceiros como base de seu programa de segurança. 

Compromisso #7: organizar um webinar semanal às quartas-feiras para fornecer atualizações de privacidade e segurança à nossa comunidade.

Status: incluindo o webinar de hoje, organizamos 13 desses webinars no total, em todas as quartas-feiras, desde 1º de abril. Esses eventos virtuais contaram com a participação de vários de nossos executivos e consultores, que responderam ao vivo às perguntas dos participantes. Também compartilhamos uma recapitulação e gravação dos webinars em nosso blog todas as quartas-feiras. Continuaremos esses webinars, sendo o próximo em 15 de julho, e depois os faremos numa frequência mensal. 

Outras atualizações importantes

Decidimos por alguns passos adicionais dignos de nota:

  • Fizemos várias adições ou alterações importantes na liderança desde 1º de abril, incluindo: 
    • Velchamy Sankarlingam, Presidente de Produto e Engenharia 
    • Jason Lee, Diretor Executivo de Segurança da Informação
    • Damien Hooper-Campbell, Diretor Executivo de Diversidade
    • Aparna Bawa foi nomeada Diretora Executiva de Operações e agora supervisiona os esforços da Zoom em segurança
    • Lynn Haaland, Conselheira Geral Adjunta e Diretora Executiva de Compliance e Ética, também foi nomeada Diretora Excutiva de Privacidade
    • H.R. McMaster trazido ao Conselho de Administração da Zoom
    • Josh Kallmer, Diretor Global de Políticas Públicas e Relações Governamentais 
    • Ginny Lee, Conselheira Geral Adjunta, Privacidade 
    • Mara Davis, Conselheira Geral Adjunta, Compliance e Ética
    • Diretora de Vulnerabilidade e Recompensa por Bugs, começa em 13/07
    • Andy Grant, Diretor de Segurança Ofensiva, começa em 13/07
  • Zoom Phone adicionado ao Zoom para o Governo, o qual já está autorizado pelo Programa Federal de Gerenciamento de Risco e Autorização dos EUA (FedRAMP)
  • Continuamos comprometidos com o crescimento significativo de nossa equipe de engenharia com base nos EUA para dar suporte ao aumento da utilização com novos escritórios em Phoenix, Arizona e Pittsburgh, Pensilvânia

Para onde estamos indo deste ponto em diante

Esse período trouxe mudanças significativas para nossa empresa e transformou em questões centrais em tudo o que fazemos a segurança, a privacidade e a proteção da nossa plataforma, pois nos esforçamos para ser dignos da confiança que os clientes depositam em nós. Fico orgulhoso, com muita humildade, pelo papel que a Zoom tem desempenhado em conectar esse mundo em crise e com tudo o que nossa equipe realizou nos últimos 90 dias para proteger melhor a nossa plataforma. 

Mas não podemos e não vamos parar por aqui. Privacidade e segurança são prioridades constantes para a Zoom, e esse período de 90 dias – embora frutífero – foi apenas o primeiro passo. Ao longo deste relatório, forneci informações sobre novos processos e pessoas que ajudarão a Zoom nessa jornada para se tornar a plataforma de comunicações por vídeo mais segura e intuitiva do mundo.

Agradecemos aos nossos usuários por seu apoio, paciência e confiança. Nosso principal valor como empresa é cuidar, e esperamos ter mostrado isso por meio das nossas ações ao longo dos últimos 90 dias – e continuaremos a mostrar isso por meio das ações futuras.

Baixe um resumo em PDF sobre nossas principais atualizações

Não esqueça de compartilhar esta postagem