Jason Lee于2020年6月加入Zoom,担任这个视讯会议平台的首席信息安全官CISO。当时公司正在实施一项为期90天的安全计划,旨在解决因Zoom在COVID19疫情和远程工作的普及而导致的安全和隐私问题的扩大。在迅速增长的客户基础与公众监督下,Lee的任务是制定策略,将组织的安全和隐私状态提升至符合其带来的需求的水平。
CSO有机会与Lee谈及他在危机中接任CISO的经验。
李: 在2019年12月,Zoom每天的会议参与者约为1000万,但到了2020年4月/5月,这一数字增长至约3亿。这正好是我加入的时候,当我们真正开始增加客户。在2020年的前几个月,团队每天都在加班,力求适应这种用户量及新的用户类型。我想很少有公司能在如此短的时间内经历如此巨大的增长。
作为一个如此重要的公司,我们受到顾客的强烈关注。我喜欢称他们为“免费测试”,因为我们的客户对我们的产品进行了严格的安全审查。我一直欢迎这样的反馈,他们特别关注数据路由和加密技术。[CEO Eric Yuan]利用这些反馈制定了那个[90天]的计划,基本上是将Zoom的工程团队转向专注于安全和隐私。
李: 我认为这非常注重自始至终的安全和隐私设计,不仅仅是在我们的产品中,还包括从工程系统到IT环境的所有方面。这也涉及到常见的安全控制。许多公司拥有多个身份系统;而我更喜欢建立一个身份系统,这样管理起来更容易,并且能提供一致的用户体验。
当我迅速建立安全团队时,很容易就会增加控制并减缓业务流程。[我们应对这一挑战的方式是:] 当工程师使用加密库时,我们创建了一个“一站式”选项,设计了“幸福之路”,这样他们可以专注于创新有趣的新功能,同时安全措施已经到位。
需要有一个通用的合规框架一个控制框架,可以覆盖该框架内的所有认证。这意味著您不必为每一项认证进行新的审计,这对于一家软件即服务公司至关重要。
业务敏捷性的最终一环是运营卓越例如, 我们在应对事件方面的速度,或者当工程需要我们评审某些内容时,我们的服务水平协议是什么?
李: 这关乎我们确保聘请顶尖人才并在产品中提供创新的安全功能。今年我有四名安全团队成员在RSA大会上进行演讲。我很高兴我们能在一些最大的会议中谈论安全问题,这标志著我们在提升安全团队水平和Zoom安全方面的专注。
我非常喜欢在培训中使用游戏化的元素。我喜欢有团队之间的竞争。我们的开发团队就有针对在
