Después de años de problemas de seguridad y crecientes críticas, Microsoft ha hecho de la seguridad una prioridad para todos los empleados. Un informe mordaz reciente de la Junta de Revisión de Seguridad Cibernética de EE. UU. concluyó que la cultura de seguridad de Microsoft es inadecuada y necesita una revisión completa, y Microsoft está haciendo precisamente eso, describe un conjunto de principios y objetivos de seguridad vinculados a los del equipo directivo superior. paquete de remuneración.
En noviembre pasado, Microsoft anunció la Iniciativa Futuro Seguro (SFI) en respuesta a la creciente presión para responder a un ataque en el que piratas informáticos chinos irrumpieron en cuentas de correo electrónico del gobierno estadounidense. Apenas unos días después de anunciar esta iniciativa, los piratas informáticos rusos lograron penetrar las defensas de Microsoft y espiar las cuentas de correo electrónico de algunos miembros del equipo directivo superior de Microsoft. Microsoft se dio cuenta del ataque casi dos meses después, en enero, cuando el mismo grupo robó el código fuente.
Estos ataques recientes han sido dañinos, con un informe de la Junta de Revisión de Seguridad Cibernética que afirma que la compañía podría haber evitado una violación de las cuentas de correo electrónico del gobierno de EE. UU. en 2023 y que había “tomado una serie de medidas de seguridad”, concluyó. que “un fallo” provocó el incidente, lo que alimentó acusaciones contra la seguridad de Microsoft.
“En Microsoft, priorizamos la seguridad por encima de todo, por encima de todas las demás características”, explicó Charlie Bell, vicepresidente ejecutivo de seguridad de Microsoft, en una publicación de blog hoy. “Garantizamos la responsabilidad al basar una parte de la compensación de nuestro equipo de liderazgo senior en la planificación de seguridad y el logro de hitos”.
Actualmente, Microsoft tiene tres principios de seguridad que son una gran parte de estos objetivos. Son seguridad por diseño, seguridad por defecto y seguridad por operación. Estos principios están diseñados para priorizar la seguridad durante el diseño de productos y servicios, centrarse en las protecciones habilitadas de forma predeterminada y fortalecer los controles y el monitoreo contra amenazas actuales y futuras.
El objetivo más amplio se destaca en los “Seis pilares de seguridad prioritarios”, el término corporativo de Microsoft para las cosas que necesita mejorar significativamente.
Protección de identidades y secretos. Microsoft se compromete a implementar los “mejores estándares de su clase” en toda su infraestructura de identidad y secretos. Esto garantiza que el 100 % de las cuentas de usuario estén protegidas mediante autenticación multifactor y que el 100 % de las aplicaciones estén protegidas con credenciales administradas, como certificados. Asegure a los inquilinos y aísle los sistemas de producción. Microsoft dice que se asegurará de que solo los dispositivos sanos, administrados y seguros tengan acceso al conjunto único de servicios de la compañía y aplicará un modelo de acceso con privilegios mínimos (el nivel más bajo de acceso o permiso) para el 100% de sus aplicaciones. . Protección de red. Microsoft se compromete a proteger al 100 % las redes de producción y los sistemas conectados a la red mediante la aplicación de aislamiento y microsegmentación en todos los entornos de producción. Esto crea una capa adicional de defensa contra los atacantes. Protección de sistemas de ingeniería. Microsoft dice que protege el acceso al 100% de su código fuente mediante políticas de confianza cero y acceso con privilegios mínimos. El código fuente implementado en entornos de producción también está protegido por las mejores prácticas de seguridad, y los entornos de prueba también tienen seguridad estandarizada y aislamiento de infraestructura. Monitorear y detectar amenazas. Microsoft promete conservar el 100% de los registros de seguridad durante dos años y ofrecer a los clientes seis meses de “registros adecuados”. También detecta y responde automáticamente a accesos sospechosos o cambios de configuración “sobre la marcha” en el 100% de la infraestructura y los servicios operativos de Microsoft. Acelerar la respuesta y la remediación. El objetivo aquí es evitar que se exploten vulnerabilidades sin parches mediante una “remediación más oportuna”. Al adoptar los estándares industriales Common Weakness Enumeration (CWE) y Common Platform Enumeration (CPE), Microsoft está reduciendo el tiempo necesario para remediar las vulnerabilidades de seguridad en la nube de “alta gravedad” y aumentando la transparencia.
Todos estos objetivos están ligados a una parte de la compensación ejecutiva de Microsoft y son una respuesta clara y directa a las recientes intrusiones de piratas informáticos rusos y las recomendaciones de la Junta de Revisión de Seguridad Cibernética.
Actualmente, Microsoft está coordinando sus equipos de ingeniería para completar este trabajo en etapas en toda la empresa. “Estas oleadas de ingeniería involucran a Azure Cloud, Windows, Microsoft 365 y equipos de seguridad, con equipos de productos adicionales integrados en el proceso semanalmente”, dice Bell.
Microsoft ya está avanzando hacia sus ambiciosos objetivos de seguridad. La compañía ha implementado la autenticación multifactor de forma predeterminada para más de 1 millón de inquilinos dentro de Microsoft, incluidos los utilizados en entornos de desarrollo, prueba, demostración y producción. También eliminó 730.000 aplicaciones que están “fuera de ciclo de vida o no cumplen con los estándares SFI actuales”.
El fabricante de software también está trabajando para mejorar su cultura de seguridad después de haber sido calificado como “inadecuado” por la Junta de Revisión de Seguridad Cibernética. Los líderes de ingeniería de Microsoft ahora celebran reuniones de negocios semanales y mensuales con varios ejecutivos y altos ejecutivos, con el objetivo de mejorar el pensamiento de seguridad en toda la empresa.
Microsoft también está agregando un director adjunto de seguridad de la información (CISO) a cada equipo de producto y trasladando el equipo de inteligencia de amenazas para que reporte directamente al CISO. Esto significa que los equipos de ingeniería tienen una responsabilidad clara en materia de seguridad.
El mes pasado, informamos que a la gente dentro de Microsoft le preocupaba que los recientes ataques a la seguridad pudieran socavar gravemente la confianza en la empresa. “Al final del día, Microsoft se basa en la confianza, y esa confianza debe ganarse y mantenerse”, dijo Bell. “Como proveedor global de software, infraestructura y servicios en la nube, sentimos una profunda responsabilidad de hacer nuestra parte para mantener el mundo seguro y protegido. Nuestra promesa es mejorar continuamente y adaptarnos a las necesidades cambiantes de nuestros clientes es nuestra principal prioridad”.
Fuente: https://www.theverge.com/2024/5/3/24147883/microsoft-security-priority-executive-compensation-goals