Los siguientes pasos de Zoom después del plan de 90 días

Zoom Video Communications informó que durante los primeros meses de 2020, ha trabajado para dar cabida a la enorme afluencia de nuevos y distintos tipos de usuarios en su plataforma. La repentina y creciente demanda en sus sistemas no se parece a nada de lo que la mayoría de las empresas han experimentado jamás. A finales de marzo, la empresa se percató de que su misión de ofrecer videocomunicaciones sin problemas a cientos de millones de participantes en reuniones diarias tenía que incluir una estrategia equivalente en cuanto a seguridad y privacidad. Áreas que necesitaban un mayor desarrollo.

Bajo este contexto, el 1 de abril de 2020, la empresa se comprometió a hacer una serie de modificaciones para mejorar la seguridad y la privacidad. El programa de 90 días que se puso en marcha ese día cambió el foco de atención de la compañía a 7 compromisos que integraban definitivamente la seguridad y la privacidad en el ADN de Zoom:

Compromiso 1: Aprobar un bloqueo de funciones, a partir del 1 de abril, y migrar todos los recursos de ingeniería a las incidencias más urgentes de confianza, seguridad y privacidad de la empresa. Estado: Se aprobó un bloqueo de 90 días de todas las funciones no relacionadas con la privacidad o la seguridad. Con todos los recursos de ingeniería y de productos de la empresa orientados hacia ese objetivo, se han lanzado más de 100 funciones, incluidas las siguientes:

Zoom 5.0

  • Cifrado AES de 256 bits GCM (disponible para todos los usuarios con cuentas gratuitas y de pago).
  • Actualizaciones de la IU: icono de seguridad, escudo de cifrado verde con la ubicación del centro de datos para hacer clic.
  • Denunciar a un usuario
  • Valores predeterminados de reuniones: contraseña, sala de espera y uso compartido de pantalla limitado.
  • Otras características: el anfitrión puede deshabilitar el inicio de sesión de varios dispositivos, consentimiento para reactivar el audio, vencimiento de grabaciones en la nube, controles más estrictos del chat de Zoom, y mucho más.

Adquisición de Keybase e inicio de la creación del cifrado de extremo a extremo (para todos los usuarios, gratis y de pago).

Opción de enrutamiento de datos personalizados por ubicación geográfica.

De cara al futuro, se han establecido mecanismos para tener la certeza de que la seguridad y la privacidad continúen siendo una prioridad en cada fase del desarrollo de los productos y funciones de Zoom:

  • Fase de diseño: requisitos de seguridad, evaluación de riesgos, modelos de amenazas.
  • Creación: directrices de códigos seguros, escaneo con autoservicio, herramientas de CI/CD.
  • Pruebas: pruebas de seguridad, ejecución de pruebas automatizadas, herramientas de pruebas web.
  • Estado: configuración segura, supervisión de la integridad, validación de requisitos.
  • Producción: supervisión de la seguridad del sistema, buen funcionamiento del sistema, panorama de amenazas.

Compromiso 2: Llevar a cabo una revisión integral con expertos externos y usuarios representativos para comprender y garantizar la seguridad y privacidad de todos los nuevos ejemplos de uso. Estado: Se ha trabajado con un grupo de expertos externos para revisar y mejorar los productos, prácticas y políticas, incluido el consejo de directores de seguridad de la información, Lea Kissner, Alex Stamos, Luta Security, Bishop Fox, Trail of Bits, NCC Group, Praetorian, Crowdstrike, el Center for Democracy and Technology y otras organizaciones en los ámbitos de la privacidad, la seguridad y la inclusión. Las contribuciones de todos los que están mencionados han sido muy importantes.

Compromiso 3: Preparar un informe de transparencia que detalle información relacionada con solicitudes de datos, registros o contenido. Estado: Se ha avanzado considerablemente con la definición del marco y la estrategia de un informe de transparencia que detalla la información relacionada con las solicitudes que Zoom recibe de datos, registros o contenido. Se espera proporcionar los datos del 2T fiscal en el primer informe a finales del presente año. Mientras tanto, se ha creado una guía sobre cómo responder a las solicitudes de los gobiernos. También se han actualizado las políticas de privacidad, principalmente para facilitar su comprensión, y se ha integrado una Declaración de derechos de privacidad de California independiente. (Estos documentos se pueden encontrar en https://zoom.us/es-es/privacy-and-legal.html.)

Compromiso 4: Mejorar el actual programa de recompensa de errores. Estado: Se ha desarrollado un repositorio central de errores y procesos de flujo de trabajo relacionados. Este repositorio recopila informes de vulnerabilidad de datos de HackerOne, Bugcrowd, y security@zoom.us (este último no requiere un acuerdo de confidencialidad) seleccionadas a través de Praetorian. Se ha establecido un proceso de revisión continuo con reuniones diarias, y se ha mejorado la coordinación con investigadores de seguridad y asesores externos. También se contrató a un jefe de vulnerabilidad y recompensa de errores, varios ingenieros adicionales de seguridad de aplicaciones y se está en proceso de contratar más ingenieros de seguridad para que resuelvan las vulnerabilidades. Mientras tanto, la empresa se centra en mejorar tiempos de respuesta. En general, el proceso de recompensa de errores es estable, y se consolidará a medida que se cumpla el objetivo de contratar a más personas.

Compromiso 5: Crear un consejo de directores de seguridad de la información en colaboración con directores de seguridad de la información líderes del sector para facilitar un diálogo continuo sobre prácticas recomendadas de seguridad y privacidad. Estado: Se ha puesto en marcha un consejo propio de directores de seguridad de la información, compuesto por 36 directores de seguridad de la información de varios sectores, entre los que se incluye SentinelOne, Arizona State University, HSBC y Sanofi. Este consejo, dirigido por el vicedirector de sistemas de información de Zoom, Gary Sorrentino, se ha reunido cuatro veces en los últimos tres meses y ha asesorado en asuntos importantes, como la selección del centro de datos regional, el cifrado, la autenticación en reuniones, y funciones, como Denunciar a un usuario, contraseñas y salas de espera. El consejo ha demostrado ser un éxito, por lo que se ampliará este programa con mesas redondas de directores de seguridad de la información: conversaciones interactivas entre los clientes, directores de seguridad de la información y los líderes del equipo de seguridad de Zoom para entender las medidas que la empresa ha tomado y tomará en el futuro a fin de garantizar la seguridad y privacidad de la plataforma.

Compromiso 6: Realizar varias pruebas de penetración de caja blanca simultáneas para detectar y resolver más problemas. Estado: Zoom ha contratado a varias empresas, como Trail of Bits, NCC Group, y Bishop Fox, para revisar toda su plataforma. Su ámbito de trabajo abarcaba:

El entorno de producción de Zoom, tanto en los centros de datos públicos como en los de ubicación conjunta:

  • Configuración de la nube
  • Espacio IP externo
  • Red de producción interna

La aplicación web central de Zoom y la red corporativa de Zoom:

  • Red interna
  • Perímetro externo

API pública para clientes comunes

  • Clientes móviles
  • Clientes de escritorio

Zoom se compromete a realizar pruebas de penetración externas continuas como base de su plan de seguridad.

Compromiso 7: Presentar un seminario web semanal cada miércoles para ofrecer actualizaciones de privacidad y seguridad a nuestra comunidad. Estado: Desde el 1 de abril se han celebrado de manera ininterrumpida. En estos eventos virtuales han participado una serie de ejecutivos y asesores que responden en vivo a las preguntas de los asistentes. También se comparten resúmenes y grabaciones de los seminarios web en el blog. Se continuarán celebrando estos seminarios web. El próximo se llevará a cabo el 15 de julio, y a partir de entonces, se empezarán a realizar cada mes.

Otras actualizaciones claves

Se han dado otros pasos importantes:

· Se han incorporado o cambiado de función a varios directivos clave desde el 1 de abril, incluidos:

  • Velchamy Sankarlingham, presidente de producto e ingeniería
  • Jason Lee, director de seguridad de la información
  • Damien Hooper-Campbell, director de diversidad
  • Aparna Bawa, fue nombrada directora de operaciones, y ahora supervisa las medidas de seguridad de Zoom
  • Lynn Haaland, subasesora general y jefa de cumplimiento normativo y ética, también fue nombrada directora de privacidad
  • H.R. McMaster, se incorporó al consejo de dirección de Zoom
  • Josh Kallmer, director global de políticas públicas y relaciones gubernamentales
  • Ginny Lee, asesora legal general adjunta, privacidad
  • Mara Davis, asesora legal general adjunta, cumplimiento y ética
  • Andy Grant, jefe del equipo de seguridad ofensiva, a partir del 13 de julio

¿Qué es lo que sigue?

En este período de tiempo se han producido cambios significativos en la compañía que han hecho que la seguridad y la privacidad de su plataforma sean aspectos importantes respecto a su oferta. Y si bien los logros son muy relevantes, Zoom no se detendrá; ya que la privacidad y la seguridad son y serán prioridades constantes para la empresa, y este período de 90 días, aunque ha sido provechoso, solo representa el primer paso en nuevos procesos y personas que ayudarán a Zoom en el camino para convertirla en la plataforma de videocomunicaciones más segura y fácil de usar del mundo.

Fuente: