Resumo do webinar – Relatório sobre o progresso do plano de segurança de 90 dias: 1º de julho

Resumo do webinar – Relatório sobre o progresso do plano de segurança de 90 dias: 1º de julho

Ao chegarmos ao final do nosso Plano de segurança de 90 dias, o webinar “Pergunte ao Eric” desta semana se concentrou no progresso que fizemos desde o início do plano de segurança e no caminho que devemos seguir, incluindo as principais atualizações que fizemos, o status dos compromissos que assumimos com nossos clientes como parte de nosso plano de segurança de 90 dias e as atualizações em relação ao Conselho CISO da Zoom.

Eric S. Yuan, Presidente da Zoom, juntou-se à Diretora de Operações Aparna Bawa, o Diretor de Produtos Oded Gal, o Vice-Diretor de Tecnologia da Informação e Presidente do Conselho CISO Gary Sorrentino, e ao nosso novo CISO Jason Lee.

O Diretor Técnico da Zoom, Brendan Ittelson, o Chefe de Engenharia de Segurança, Max Krohn, e Lynn Haaland, Diretora de Conformidade e Ética da Zoom, se juntaram à sessão de perguntas e respostas.

Atualizações de produto

Oded forneceu um breve resumo das principais atualizações que fizemos na plataforma nos últimos 90 dias, incluindo:

  • Lançamento do Zoom 5.0: Lançamos, em 27 de abril, o Zoom 5.0, que suporta a criptografia AES de 256 bits no modo GCM, um dos padrões de criptografia mais seguros usados atualmente. A criptografia AES de 256 bits no modo GCM foi ativada em todas as contas do sistema em 30 de maio.
  • Novo ícone Segurança na interface do usuário: O ícone Segurança fornece aos anfitriões e coanfitriões acesso instantâneo a importantes controles de segurança nas reuniões, incluindo a capacidade de bloquear reuniões e ativar salas de espera e as opções para gerenciar a capacidade dos participantes de compartilhar sua tela, participar de chats, renomear seus perfis ou ativar seu áudio.
  • Recurso de denúncia de usuário: Os anfitriões e coanfitriões podem denunciar usuários e incidentes de interrupção das reuniões à equipe de Confiança e Segurança da Zoom, que analisará qualquer possível uso indevido da plataforma e tomará as medidas apropriadas.
  • Configurações de segurança padrão atualizadas para reuniões: Os recursos de senhas, salas de espera e compartilhamento de tela somente para o anfitrião estão ativados por padrão nas contas gratuitas/básicas e Single Pro. Os usuários de contas gratuitas/básicas têm senhas aplicadas em suas reuniões.
  • Encaminhamento de dados personalizado: Para dar aos anfitriões mais controle sobre seus dados, implementamos, no dia 18 de abril, opções de encaminhamento de dados para clientes em contas pagas, permitindo que eles personalizem suas configurações de data center. Os administradores e proprietários de contas Zoom pagas podem escolher, no nível da conta, grupo, usuário ou reunião, se querem permitir ou impedir que seus dados transitem por regiões específicas do data center.

À medida que desenvolvemos novos recursos no futuro, implementamos mecanismos para garantir que a segurança e a privacidade continuem sendo uma prioridade em cada fase do desenvolvimento dos nossos produtos e recursos.

Atualizações do Conselho CISO com convidados

Gary então entrevistou dois membros do nosso Conselho CISO, James Shira, Diretor Global e dos EUA de Tecnologia da Informação da PwC, e Cy Fenton, Diretor de Segurança, Diretor de Privacidade e Vice-Presidente Sênior de Infraestrutura Global da Ralph Lauren, para fornecer um pouco de cor e contexto sobre o mandato e as reuniões do conselho. Seguem abaixo alguns dos destaques dessa sessão:

Cy, por que decidiu se juntar ao Conselho CISO da Zoom?

“Foi uma decisão fácil. A Zoom se tornou uma peça essencial do nosso kit de ferramentas para atender aos nossos usuários finais. Passamos de usar a Zoom como uma ferramenta de conferências antes da pandemia da COVID-19, para o uso da ferramenta todos os dias, várias vezes ao dia, para quase todas as reuniões que temos. A Zoom é um fornecedor super importante e a oportunidade de fornecer informações e obter conhecimento adicional sobre o roteiro foi uma oportunidade excepcional.”

James, qual a sua avaliação da jornada de 90 dias da Zoom?

“Participei em várias transformações de segurança de grandes empresas e acho que o importante é lembrar que é tudo uma jornada. O excepcional, na minha opinião, com o que aconteceu com a Zoom é fazer com que essa jornada ocorra na praça pública, no mundo real, em tempo real. Em vista disso, acho que tudo correu muito bem.”

Apresentação de Jason Lee, o novo CISO da Zoom

Eric apresentou Jason Lee, o novo CISO da Zoom. Lee traz 20 anos de experiência em segurança da informação e operação de serviços de missão crítica. Recentemente, ele atuou como vice-presidente sênior de operações de segurança da Salesforce, onde era responsável pela organização global de fornecimento de operações críticas de segurança de ponta a ponta a clientes e funcionários, incluindo segurança de rede e sistema em toda a empresa, além de também coordenar a equipe de segurança ofensiva.

“Estou incrivelmente empolgado para trabalhar com a talentosa equipe da Zoom”, disse Jason. “O recente progresso no que diz respeito à segurança tem sido impressionante e estou muito empolgado com o futuro.”

Revisão dos nossos compromissos do plano de segurança de 90 dias

Aparna Bawa, Diretora de Operações da Zoom, fez uma revisão dos compromissos que assumimos com nossos clientes como parte do nosso Plano de segurança de 90 dias, que incluíam:

  • Congelamento da criação de novos recursos em 1º de abril e direcionamento do foco de todas as equipes de engenharia para os nossos maiores problemas de confiança, segurança e privacidade.
  • Realização de uma análise abrangente com especialistas terceirizados e usuários para entender e garantir a segurança de todos os nossos novos casos de usos.
  • Preparação de um relatório de transparência que detalha informações relacionadas a solicitações de dados, registros ou conteúdo.
  • Aprimoramento do nosso atual programa de prêmio de bug.
  • Lançamento de um Conselho CISO.
  • Realização de uma série de testes simultâneos de invasão de caixa branca para identificar e solucionar problemas.
  • Organização de um webinar semanal às quartas-feiras para fornecer atualizações de privacidade e segurança à nossa comunidade.

Para obter mais informações sobre o status desses compromissos, consulte o nosso blog para ver os detalhes da nossa jornada ao longo do plano de segurança de 90 dias e o resumo em PDF das nossas principais atualizações desde 1º de julho de 2020.

Perguntas e respostas

Qual a maior dificuldade na execução do plano de segurança de 90 dias da Zoom e o que você aprendeu como líder?

Eric explicou que a Zoom foi originalmente projetada para uso comercial e para atender às necessidades dos usuários iniciantes em relação à privacidade e segurança, e seus casos de uso únicos representaram um desafio significativo. Ele também explicou que aprendeu que a Zoom pode superar qualquer coisa, desde que escutemos nossos clientes, mantenhamos a transparência e continuemos dedicados a criar a melhor plataforma possível.

O final do plano de segurança de 90 dias da Zoom significa que a empresa retomará os lançamentos de recursos não relacionados a segurança?

A Zoom está comprometida em manter um foco principal na segurança. Também retomaremos o trabalho nos recursos não relacionados à segurança que congelamos por 90 dias e criaremos novos recursos e produtos que se alinham à maneira como as pessoas estão trabalhando, tanto no presente quanto no futuro.

As configurações de segurança obrigatórias podem ser definidas no nível do grupo, e não no nível da conta?

Sim. Elas podem ser definidas no nível da conta, grupo ou usuário.

Como CISO, qual é a melhor maneira de educar os usuários finais sobre as práticas recomendadas de segurança?

O CISO convidado Cy Fenton explicou que a melhor maneira de educar os colaboradores sobre segurança no nível corporativo é desenvolver um programa robusto de educação em segurança e garantir que os colaboradores entendam a importância da segurança falando dos riscos de segurança que enfrentam, como se defender e o papel da segurança nos seus fluxos de trabalho diários.


Por que a Zoom publicou um guia para solicitações governamentais?

Aparna explicou que a Zoom publicou esse guia como parte de um esforço contínuo para permanecermos abertos e transparentes a respeito das nossas operações. Enxergamos isso como um plano para os governos a respeito de como eles interagem com a Zoom, incluindo informações de contato pertinentes, além dos critérios e processos que a Zoom usa para atender a várias solicitações governamentais.

Qual a abordagem geral de segurança da Zoom?

Jason explicou que enquadrará a posição de segurança da Zoom usando padrões do setor e estruturas públicas para garantir clareza quanto às funções e a maturidade da posição de segurança da Zoom.

Os administradores do sistema podem ver qual versão do cliente seus usuários têm?

Os administradores do sistema podem acessar a seção de gerenciamento de usuários do seu painel e clicar na engrenagem no canto superior direito para visualizar uma coluna adicional que exibe as versões do cliente. Administradores com planos comerciais ou equivalentes podem acessar o painel Zoom, onde há um gráfico que mostra a distribuição das versões do cliente em sua conta. Eles também podem ir até a aba reuniões e conferir os metadados da reunião para ver quais versões do cliente estão sendo usadas pelos participantes.

À medida que cada vez mais empresas têm migrado para serviços baseados na nuvem, qual é a melhor maneira de avaliar os fornecedores e responsabilizá-los pela segurança cibernética?

Jason explicou que examina a inovação do fornecedor específico no tempo presente e historicamente, assim como a qualidade da equipe de liderança da organização. Ele também procura outros CISOs e pergunta sobre sua experiência com a organização. Cy acrescentou que é importante que a organização seja transparente sobre como está lidando com os problemas e desafios com os quais se depara.

Muito obrigado pelo apoio

Obrigado por participarem da sessão desta semana e por enviarem suas perguntas! Agradecemos profundamente seu apoio em nossa jornada para tornar a Zoom a plataforma de comunicações empresariais mais segura do mundo.

Se você perdeu a sessão desta semana, pode assistir à gravação aqui:

Não esqueça de compartilhar esta postagem