Zoom mejora su seguridad y  privacidad

Zoom mejora su seguridad y privacidad

julio 9, 2020 Desactivado Por Redacción Tecnoempresa

Zoom Video Communications,  se comprometió a hacer una serie de modificaciones para mejorar con el programa de 90 días y la compañía se planteó 7 compromisos que integraban la seguridad y la privacidad en el ADN de Zoom.

1: Se aprobó un bloqueo de 90 días de todas las funciones no relacionadas con la privacidad o la seguridad. Con todos los recursos de ingeniería y de productos de la empresa orientados hacia ese objetivo, se han lanzado más de 100 funciones, incluidas las siguientes:

·       Zoom 5.0

o   Cifrado AES de 256 bits GCM (disponible para todos los usuarios con cuentas gratuitas y de pago).

o   Actualizaciones de la IU: icono de seguridad, escudo de cifrado verde con la ubicación del centro de datos para hacer clic.

o   Denunciar a un usuario

o   Valores predeterminados de reuniones: contraseña, sala de espera y uso compartido de pantalla limitado.

o   Otras características: el anfitrión puede deshabilitar el inicio de sesión de varios dispositivos, consentimiento para reactivar el audio, vencimiento de grabaciones en la nube, controles más estrictos del chat de Zoom, y mucho más.

·       Adquisición de Keybase e inicio de la creación del cifrado de extremo a extremo (para todos los usuarios, gratis y de pago).

·       Opción de enrutamiento de datos personalizados por ubicación geográfica.

De cara al futuro, se han establecido mecanismos para tener la certeza de que la seguridad y la privacidad continúen siendo una prioridad en cada fase del desarrollo de los productos y funciones de Zoom:

·       Fase de diseño: requisitos de seguridad, evaluación de riesgos, modelos de amenazas.

·       Creación: directrices de códigos seguros, escaneo con autoservicio, herramientas de CI/CD.

·       Pruebas: pruebas de seguridad, ejecución de pruebas automatizadas, herramientas de pruebas web.

·       Estado: configuración segura, supervisión de la integridad, validación de requisitos.

·       Producción: supervisión de la seguridad del sistema, buen funcionamiento del sistema, panorama de amenazas.

2: Se hatrabajado con un grupo de expertos externos para revisar y mejorar los productos, prácticas y políticas, incluido el consejo de directores de seguridad de la información, Lea Kissner, Alex Stamos, Luta Security, Bishop Fox, Trail of Bits, NCC Group, Praetorian, Crowdstrike, el Center for Democracy and Technology y otras organizaciones en los ámbitos de la privacidad, la seguridad y la inclusión. Las contribuciones de todos los que están mencionados han sido muy importantes.

3:Se ha avanzado considerablemente con la definición del marco y la estrategia de un informe de transparencia que detalla la información relacionada con las solicitudes que Zoom recibe de datos, registros o contenido. Se espera proporcionar los datos del 2T fiscal en el primer informe a finales del presente  año. Mientras tanto, se ha creado una guía sobre cómo responder a las solicitudes de los gobiernos. También se han actualizado las políticas de privacidad, para facilitar su comprensión, y se ha integrado una Declaración de derechos de privacidad de California independiente.

4: Se ha  desarrollado un repositorio central de errores y procesos de flujo de trabajo relacionados. Este repositorio recopila informes de vulnerabilidad de datos de HackerOne, Bugcrowd, y security@zoom.us (este último no requiere un acuerdo de confidencialidad) seleccionadas a través de Praetorian. Se ha establecido un proceso de revisión continuo con reuniones diarias, y se ha mejorado la coordinación con investigadores de seguridad y asesores externos. También se contrató a un jefe de vulnerabilidad y recompensa de errores, varios ingenieros adicionales de seguridad de aplicaciones y se está en proceso de contratar más ingenieros de seguridad para que resuelvan las vulnerabilidades. En general, el proceso de recompensa de errores es estable, y se consolidará a medida que se cumpla el objetivo de contratar a más personas.

5: Se ha puesto en marcha un consejo propio de directores de seguridad de la información, compuesto por 36 directores de seguridad de la información de varios sectores, entre los que se incluye SentinelOne, Arizona State University, HSBC y Sanofi. Este consejo, ha asesorado en asuntos importantes, como la selección del centro de datos regional, el cifrado, la autenticación en reuniones, y funciones, como Denunciar a un usuario, contraseñas y salas de espera. El consejo ha demostrado ser un éxito, por lo que se ampliará este programa con mesas redondas de directores de seguridad de la información: conversaciones interactivas entre los clientes, directores de seguridad de la información y los líderes del equipo de seguridad.

6: Zoom ha contratado a varias empresas, como Trail of Bits, NCC Group, y Bishop Fox, para revisar toda su plataforma. Su ámbito de trabajo abarcaba:

·       El entorno de producción de Zoom, tanto en los centros de datos públicos como en los de ubicación conjunta:

o   Configuración de la nube

o   Espacio IP externo

o   Red de producción interna

·       La aplicación web central de Zoom y la red corporativa de Zoom:

o   Red interna

o   Perímetro externo

·       API pública para clientes comunes

o   Clientes móviles

o   Clientes de escritorio

Zoom se compromete a realizar pruebas de penetración externas continuas como base de su plan de seguridad.

7: Desde el 1 de abril se han celebrado de manera ininterrumpida eventos virtuales donde han participado una serie de ejecutivos y asesores que responden en vivo a las preguntas de los asistentes. También se comparten resúmenes y grabaciones de los seminarios web en el blog. Se continuarán celebrando estos seminarios web. El próximo se llevará a cabo el 15 de julio, y a partir de entonces, se empezarán a realizar cada mes.

10