Resumen del seminario web: informe de progreso del plan de seguridad de 90 días, 1 de julio

Ahora que se aproxima el final de nuestro plan de seguridad de 90 días, decidimos dedicar el seminario web «Pregunte a Eric» al progreso alcanzado desde el inicio de dicha iniciativa y los planes de futuro en materia de seguridad. Hablamos de actualizaciones clave implementadas, del estado actual de los compromisos que adquirimos con nuestros clientes como parte de nuestro plan de seguridad de 90 días y de novedades en torno al consejo de directores de seguridad de la información de Zoom.

El director ejecutivo de Zoom, Eric S. Yuan, se unió a la directora de operaciones, Aparna Bawa, al director de producto, Oded Gal, al subdirector de sistemas de información y presidente del consejo de directores de seguridad de la información, Gary Sorrentino, y a nuestro nuevo director de seguridad de la información, Jason Lee.

Brendan Ittelson, director de tecnología, Maz Krohn, responsable de seguridad e ingeniería, y Lynn Haaland, subdirectora general y jefa de cumplimiento normativo y ética, se unieron a la sesión de preguntas y respuestas.

Actualizaciones de producto

Oded dio un breve resumen de las actualizaciones clave que hemos implementado en la plataforma en los últimos 90 días, entre las que destacan:

• Lanzamiento de Zoom 5.0: el 27 de abril lanzamos Zoom 5.0, que incorpora cifrado AES de 256 bits GCM, uno de los estándares de cifrado más seguros en la actualidad. El 30 de mayo, el cifrado AES de 256 bits GCM se habilitó para todas las cuentas.
• Nuevo icono de seguridad en la interfaz de usuario: el icono de seguridad permite a anfitriones y coanfitriones acceder rápidamente a los controles de seguridad más importantes de una reunión, entre los que se incluye el bloqueo y la habilitación de salas de espera, además de gestionar los permisos de los participantes para compartir su pantalla, participar en un chat, cambiar su nombre o reactivar su audio.
• Función «Denunciar a un usuario»: los anfitriones y coanfitriones pueden denunciar a usuarios y participantes no deseados, así como reportar incidentes concretos, ante el equipo de seguridad y confianza de Zoom, que analizará todo posible uso indebido de la plataforma y llevará a cabo las acciones necesarias.
• Actualización de la configuración predeterminada de seguridad de las reuniones: los códigos de acceso, las salas de espera y la pantalla compartida habilitados solo para el anfitrión están activados de forma predeterminada en las cuentas gratuitas o básicas y usuarios Pro de una sola licencia. Además, los usuarios de cuentas gratuitas o básicas deben utilizar un código de acceso para acceder a sus reuniones.
• Enrutamiento de datos personalizado: para ofrecer un mayor control de los datos a los anfitriones, el 18 de abril implementamos opciones de enrutamiento para los clientes con cuentas de pago. De esta forma, pueden personalizar la configuración de sus centros de datos. Ahora, los administradores y propietarios de cuentas de pago pueden, en el nivel de cuenta, grupo o usuario, salir o entrar en regiones específicas de centros de datos con respecto a datos en tránsito.

De cara a las nuevas características que desarrollemos en el futuro, hemos establecido mecanismos para asegurarnos de que la seguridad y la privacidad sigan siendo una prioridad en cada fase del desarrollo de nuestros productos y funciones.

Novedades del consejo de directores de seguridad de la información con invitados

A continuación ,Gary entrevistó a dos miembros de nuestro consejo de directores de seguridad de la información: James Shira, director global y para EE. UU. de tecnologías de la información en PwC, y Cy Fenton, director de seguridad, director de privacidad y vicepresidente sénior de Infraestructura Global en Ralph Lauren, para dar un toque de color y contexto al mandato y a las reuniones del consejo. A continuación, resumimos algunos de los momentos destacados de la sesión:

Cy, ¿por qué decidió unirse al consejo de directores de seguridad de la información de Zoom?

«Fue una decisión sencilla. Zoom se ha convertido en un elemento clave de nuestro repertorio de herramientas a la hora de ofrecer nuestros servicios al usuario final. Hemos pasado de utilizar Zoom como solución de videoconferencias, antes del COVID, a emplearlo a diario, varias veces al día, para prácticamente todas las reuniones que celebramos. Zoom es un proveedor muy importante para nosotros, y la opción de aportar nuestro conocimiento y obtener información adicional sobre su hoja de ruta nos pareció una oportunidad decisiva».

James, ¿cómo cree que ha ido el proceso de 90 días?

«Yo he participado en un número considerable de transformaciones empresariales en materia de seguridad, y creo que es importante recordar que se trata de un proceso. En mi opinión, lo singular del proceso emprendido por Zoom ha sido ver cómo se desarrollaba en el espacio público, en el mundo real, en vivo y en directo. Teniendo esto en cuenta, diría que ha ido extremadamente bien».

Presentación de Jason Lee, director de seguridad de la información de Zoom

Eric presentó a Jason Lee, el nuevo director de seguridad de la información de Zoom. Lee trae consigo 20 años de experiencia en seguridad de la información y en servicios operativos esenciales. Recientemente, ha sido vicepresidente sénior de operaciones de seguridad de Salesforce, donde era responsable de la organización global del suministro de soluciones de operaciones de seguridad íntegras y esenciales para clientes y empleados, incluidos el sistema de red y seguridad de toda la compañía, y el equipo de seguridad ofensiva.

«Estoy muy emocionado de poder trabajar con el talentoso equipo de Zoom», declaró Jason. «Los progresos recientes en materia de seguridad han sido impresionantes, así que estoy deseando ver lo que ocurre en el futuro».

Repaso a los compromisos adquiridos durante el plan de seguridad de 90 días

Aparna Bawa, directora de operaciones de Zoom, ofreció un resumen de los compromisos adquiridos con nuestros clientes como parte del plan de seguridad de 90 días, entre los que destacan:

• Aprobar un bloqueo de funciones, a partir del 1 de abril, y migrar todos nuestros recursos de ingeniería a nuestras incidencias más urgentes de confianza, seguridad y privacidad.
• Llevar a cabo una revisión integral con expertos externos y usuarios representativos para comprender y garantizar la seguridad y privacidad de todos nuestros nuevos ejemplos de uso.
• Preparar un informe de transparencia que detalle información relacionada con solicitudes de datos, registros o contenido.
• Mejorar nuestro programa de recompensa por detección de errores.
• Celebrar un consejo de directores de seguridad de la información.
• Realizar varias pruebas de penetración de caja blanca simultáneas para identificar y resolver aún más problemas.
• Presentar un seminario web semanal cada miércoles para ofrecer actualizaciones de privacidad y seguridad a nuestra comunidad.

Para más información sobre el estado actual de estos compromisos, puede consultar nuestro blog, en el que detallamos todo lo ocurrido a lo largo de nuestro plan de seguridad de 90 días, y este resumen en PDF con todas las actualizaciones clave publicadas desde el 1 de julio de 2020.

Preguntas y respuestas

¿Qué fue lo más difícil a la hora de ejecutar el plan de seguridad de 90 días y qué aprendió en su papel de liderazgo?

Eric explicó que Zoom fue concebido originalmente para uso empresarial, por lo que hacer frente a las necesidades y particularidades de los nuevos usuarios en materia de privacidad y seguridad supuso todo un reto. También comentó que había descubierto que Zoom puede sobreponerse a cualquier eventualidad, siempre que escuche a sus clientes, mantenga una total transparencia y siga comprometido con crear la mejor plataforma posible.

Con el fin del plan de seguridad de 90 días, ¿volverá Zoom a lanzar funciones no relacionadas con la seguridad?

Zoom sigue comprometida con mantener el foco en la seguridad. También retomaremos la mejora de otras funciones no relacionadas con la seguridad, un trabajo que quedó temporalmente en espera durante el plan de 90 días. Esperamos crear nuevos productos y características en consonancia con las necesidades del trabajador presente y futuro.

¿Se pueden establecer los ajustes de seguridad impuestos en el nivel de grupo en lugar de solo en el nivel de cuenta?

Sí. Se pueden establecer en el nivel de cuenta, grupo o usuario.

En su calidad de director de seguridad de la información, ¿cuál cree que es la mejor forma de educar al usuario final en materia de prácticas recomendadas para la seguridad?

Nuestro invitado Cy Fenton, director de seguridad de la información, explicó que la mejor forma de educar a los empleados en materia de seguridad a nivel corporativo es desarrollar un buen programa de formación específica y asegurarse de que los trabajadores comprendan la importancia de la seguridad. Para esto, propone entablar conversaciones sobre los riesgos a los que se enfrentan, cómo protegerse de ellos y qué papel desempeña la seguridad en sus flujos de trabajo diarios.

¿Por qué publicó Zoom una guía sobre solicitudes de los gobiernos?

Aparna explicó que Zoom publicó dicha guía como parte de un esfuerzo continuado por ser abiertos y transparentes con respecto a nuestra gestión. Para nosotros, esta guía es una especie de plan de acción para los gobiernos en sus interacciones con Zoom, e incluye información de contacto relevante, así como criterios y procesos empleados por Zoom para hacer frente a las solicitudes gubernamentales.

¿Cuál es el enfoque general de Zoom en materia de seguridad?

Jason explicó que el planteamiento de seguridad de Zoom se basaría en los estándares del sector y los marcos públicos a fin de dar claridad a las funciones y a la madurez de la posición de Zoom en materia de seguridad.

¿Pueden ver los administradores de sistemas qué versión de cliente tienen sus usuarios?

En la sección de administración de usuarios del panel de control, los administradores de sistemas pueden hacer clic en el icono con forma de rueda dentada de la esquina superior derecha para desplegar una columna adicional con las versiones de cliente de cada usuario. Los administradores con planes empresariales o equivalentes pueden acceder al panel de control de Zoom para consultar la tabla de distribución de versiones de cliente de su cuenta. También pueden desplegar la pestaña de reuniones y consultar los metadatos de cualquier reunión para comprobar qué versiones de cliente ha utilizado cada participante.

A medida que cada vez más empresas se pasan a los servicios en la nube, ¿cuál es la mejor forma de evaluar un proveedor y hacerle responsable de la ciberseguridad?

Jason explicó que suele examinar las innovaciones planteadas por el proveedor, tanto en la actualidad como en el pasado, y la calidad del equipo de liderazgo de la empresa. También consulta con otros directores de seguridad de la información para conocer su experiencia con la compañía. Cy añadió que es importante que la empresa en cuestión sea transparente a la hora de explicar cómo hace frente a las situaciones y a los desafíos a los que se enfrentan.

Gracias por su apoyo

Gracias por asistir a la sesión de esta semana y gracias a todos los que han enviado preguntas. Valoramos enormemente su apoyo en nuestro recorrido para hacer de Zoom la plataforma de comunicaciones empresariales más segura del mundo. Si se perdió la sesión de esta semana, puede ver la grabación aquí: