Charlie Bell, vicepresidente ejecutivo de seguridad de Microsoft, habla en la Cumbre GeekWire 2022. (Foto de GeekWire / Dan DeLong)
Microsoft está realizando cambios en sus medidas de seguridad, estructura organizacional y compensación ejecutiva en respuesta a una serie de importantes violaciones de seguridad en medio de una creciente presión por parte de líderes gubernamentales y clientes importantes.
La compañía anunció el viernes por la mañana que basará una parte de la compensación de sus altos ejecutivos en el progreso hacia los objetivos de seguridad, creará un director adjunto de seguridad de la información (CISO) para cada grupo de productos y designará equipos para las principales plataformas y equipos de productos como “Ingeniería”. “Ola”, y anunció una revisión exhaustiva de la seguridad.
“Retroalimentamos lo que aprendemos de los incidentes de seguridad en estándares de seguridad y ponemos en práctica estos aprendizajes como un ‘camino pavimentado’ que permite un diseño y operación seguros a escala”, dijo el vicepresidente ejecutivo de seguridad de Microsoft, Charlie Bell, en una publicación de blog que describe los cambios. .
Bell dijo que los cambios se basan en la Iniciativa Futuro Seguro (SFI), que se introdujo el otoño pasado.
“Al final del día, Microsoft se basa en la confianza, y esa confianza debe ganarse y mantenerse”, escribió. “Como proveedor global de software, infraestructura y servicios en la nube, sentimos una profunda responsabilidad de hacer nuestra parte para mantener el mundo seguro y protegido”.
Artículo relacionado Nota interna: Satya Nadella, CEO de Microsoft, anuncia nuevas directivas de seguridad
Este cambio se realizó luego de un informe crítico de la Junta de Revisión de Seguridad Cibernética (CSRB). El informe calificó la cultura de seguridad de Microsoft como “inadecuada” y pidió a la compañía que hiciera de la seguridad una prioridad máxima, y pidió que la cultura de “confianza” de Microsoft, que el cofundador de Microsoft, Bill Gates, introdujo en 2002, reviviera efectivamente la seguridad. el espíritu de la iniciativa “Computing that Can”.
El informe decía que las medidas de seguridad deberían ser “supervisadas directa y estrechamente” por el CEO y la junta directiva de Microsoft, y que “todos los líderes superiores son responsables de implementar los cambios necesarios con la mayor urgencia”.
Después de la publicación del informe de la CSRB, el senador de Oregón, Ron Wyden, presentó una legislación destinada a reducir la dependencia del gobierno estadounidense del software de Microsoft, citando las “prácticas desorganizadas de ciberseguridad” de la empresa.
Bell escribió que como parte de los cambios anunciados el viernes, Microsoft está “incorporando recomendaciones recientes de la CSRB” además de las lecciones aprendidas de ciberataques de alto perfil.
Los cambios salariales anunciados el viernes se aplican al equipo directivo superior de Microsoft, los altos ejecutivos que reportan al director ejecutivo Satya Nadella. La compañía no dijo cuánto de su compensación se basaría en seguridad.
Nadella insinuó estos cambios la semana pasada durante la conferencia telefónica sobre ganancias trimestrales de la compañía, diciendo que la compañía “prioriza la seguridad por encima de todas las demás capacidades e inversiones”.
En un memorando interno obtenido por GeekWire el viernes por la mañana, Nadella proporcionó instrucciones a los empleados que profundizaban en los temas descritos en la publicación del blog público de Bell.
“Cuando nos enfrentamos a un equilibrio entre la seguridad y otras prioridades, la respuesta es clara: priorizar la seguridad”, dijo el CEO de Microsoft a los empleados. “En algunos casos, esto significa priorizar la seguridad sobre otras tareas, como lanzar nuevas funciones o brindar soporte continuo para sistemas heredados”.
Bell dijo en la publicación que el nuevo “marco de gobierno de seguridad” de la compañía será implementado por el director de seguridad de la información de Microsoft, dirigido por Igor Tsygansky, quien se convirtió en CISO de Microsoft luego de una reestructuración gerencial en diciembre (CISO).
La compañía dijo que el CISO adjunto del equipo de producto reportará directamente a Tsygansky. Los cambios organizativos y de informes fueron informados por primera vez el jueves por Bloomberg News.
“Este marco introduce una asociación entre el equipo de ingeniería y un CISO adjunto recién formado, que será responsable conjunto de la supervisión de SFI, la gestión de riesgos y de informar el progreso directamente al equipo de liderazgo senior”, escribe Bell. “El progreso será revisado semanalmente en este foro ejecutivo y trimestralmente por la junta directiva”.
Microsoft reveló en enero que atacantes respaldados por el estado ruso conocidos como Nobelium o Midnight Blizzard obtuvieron acceso a sus sistemas internos y cuentas de correo electrónico ejecutivas. Más recientemente, la compañía anunció que el mismo atacante había obtenido acceso a su repositorio de código fuente y a algunos de sus sistemas internos.
En otro incidente de alto perfil que ocurrió en mayo y junio de 2023, un grupo de piratería chino conocido como Storm-0558 pirateó Microsoft Exchange Online de más de 500 personas y 22 organizaciones en todo el mundo, incluidos altos funcionarios del gobierno de EE. UU. El buzón de correo estaba comprometido.
Fuente: https://www.geekwire.com/2024/microsoft-will-base-part-of-senior-exec-comp-on-security-add-deputy-cisos-to-product-groups/