Microsoft está creando un nuevo equipo de CISO adjuntos y los está incorporando a su departamento de ingeniería como parte de un nuevo marco integral de gobernanza de seguridad presentado en abril después de intensas críticas de los líderes federales.
Como parte de la medida, Redmond “basará una parte de la compensación de su equipo directivo superior en su progreso en el logro de los planes e hitos de seguridad”, dijo el jefe de seguridad de Microsoft, Charlie Bell, el día 2 de mayo.
(La Junta de Revisión de Seguridad Cibernética citó el mes pasado la “cultura corporativa de Microsoft que ignora tanto las inversiones en seguridad corporativa como la gestión rigurosa de riesgos” después de que los ataques de grupos de amenazas rusos y chinos comprometieran a las agencias federales).
El nuevo CISO adjunto de Redmond será “co-responsable” de supervisar la Iniciativa Futuro Seguro (SFI). El progreso se “revisa semanalmente y [an] “El vicepresidente ejecutivo de seguridad de Microsoft, Charlie Bell, dijo el 3 de mayo: “Creemos que las mejoras de seguridad serán importantes en nuestro foro ejecutivo y en los anuncios de las reuniones trimestrales de la junta directiva”.
En un blog en el que la palabra “100%” aparece 18 veces, promete garantizar que “el 100% de las cuentas de usuario estén administradas y protegidas de forma segura con autenticación multifactor a prueba de phishing”, una medida muy ambiciosa, Microsoft dijo que ” Elimina al 100 % los pivotes de movimiento de identidad lateral entre inquilinos, entornos y nubes”.
En un memorando que será particularmente bienvenido para aquellos que se han quejado de la falta de transparencia en la seguridad de la nube, Bell dijo que Microsoft ha identificado identificadores de vulnerabilidades comunes de alta gravedad disponibles públicamente (con respecto a CVE, la compañía dijo que comenzará a publicar estándares de la industria para Common Enumeración de debilidades (CWE) y enumeración de plataforma común (CPE).
Un informe de la CSRB del 2 de abril encontró que Amazon, el mayor rival de la nube de Microsoft, está capitalizando su cultura de seguridad. Semanas después de la publicación del informe, Chris Betz, CISO de AWS, dijo: “Nuestra cultura de seguridad comienza en la cima y se extiende a todas las partes de la organización. He tomado la decisión de hacerlo”.
“Este diseño arquitectónico redefine cómo incorporamos la seguridad en nuestra cultura en AWS, proporcionando visibilidad directa a la alta dirección y permitiendo que todos en la empresa sepan que la seguridad es una prioridad absoluta”, añadió.
Stephen Schmidt, director de seguridad de Amazon, comentó sobre el asunto en LinkedIn: “La mayoría de la gente piensa que la seguridad de la información es un problema técnico. Yo no lo creo. Fundamentalmente, la seguridad de la información es un problema de personas. Nuestros adversarios son (al menos por ahora) un ser humano”.
“Sus motivaciones son el dinero, la ideología, la coerción y, a menudo, el ego…”
“Defensivamente, los mejores medios que tenemos a nuestra disposición para proteger la información de nuestros clientes no son tecnológicos; no hay duda de que un diseño seguro por defecto juega un papel importante en el éxito del proceso de protección. Lo que hacemos en Amazon es centrarnos en nuestros empleados y en cómo piensan acerca de la seguridad”.
Mientras tanto, el director ejecutivo de Microsoft, Satya Nadella, envió un correo electrónico a los más de 200.000 empleados de la empresa el 3 de mayo, diciendo: “En el futuro, comprometeremos a toda nuestra organización con SFI y redoblaremos nuestros esfuerzos en este esfuerzo”. ponlo…”, dijo.
Añadió además: “La seguridad es un deporte de equipo y acelerar SFI no es solo una prioridad para nuestro equipo de seguridad, sino también la principal prioridad de todos y la necesidad número uno de nuestros clientes. Entre la seguridad y otras prioridades, cuando nos enfrentamos a una compensación, la respuesta. Está claro: hacer seguridad”.
“En algunos casos, priorizamos la seguridad sobre otras tareas, como lanzar nuevas funciones o brindar soporte continuo para sistemas heredados”. Sí, en algún momento la “responsabilidad compartida” deja de ser compartida.
Regístrate en La Pila
Entrevistas, insights e inteligencia para líderes digitales
No es basura. Puedes darte de baja en cualquier momento.
Fuente: https://www.thestack.technology/microsoft-unleashes-new-deputy-cisos-promises-100-changes/
