Resumen de inmersión:
Microsoft anunció el viernes planes para ampliar las reformas integrales de seguridad acelerando su Iniciativa Futuro Seguro y cambiando la forma en que gobierna y compensa a los ejecutivos clave. Microsoft está reorganizando algunos de sus equipos de alta dirección para mejorar la gobernanza de la ciberseguridad. Un grupo de ingenieros y CISO adjuntos trabajarán juntos para supervisar SFI, gestionar riesgos e informar a la alta dirección, dijo Charlie Bell, vicepresidente ejecutivo de seguridad de Microsoft, en una publicación de blog. La Compañía determina la compensación en parte en función del progreso en hitos de seguridad específicos. Microsoft dijo que revisará semanalmente el progreso de SFI con su equipo directivo superior y consultará con su junta directiva trimestralmente.
Información de buceo:
La compañía también está implementando una serie de cambios mediante la creación de seis pilares de seguridad destinados a mejorar la precisión de la detección de amenazas, fortalecer la autenticación y hacer que los entornos de nube sean más seguros.
Proteja identidades y secretos, asegure inquilinos y aísle sistemas de producción, proteja redes, proteja sistemas de ingeniería, monitoree y detecte amenazas y acelere la respuesta y la remediación.
Microsoft ha sido objeto de fuertes críticas por parte de ejecutivos de la industria de la seguridad y funcionarios federales por su cultura de seguridad que condujo a recientes ataques vinculados a estados.
Un portavoz de Microsoft dijo que los principales cambios incluyen a Ann Johnson, la vicepresidenta corporativa de la compañía desde hace mucho tiempo, que pasa al cargo de CISO adjunta, atención al cliente e industrias reguladas. Johnson tendrá la tarea de ampliar las comunicaciones y la participación de los clientes en materia de seguridad de Microsoft. Bloomberg informó por primera vez sobre los cambios en el jefe de seguridad.
Microsoft también coloca los ataques a estados-nación y la búsqueda de amenazas bajo la competencia del CISO Igor Tsyganskiy.
El nuevo escrutinio de Microsoft se produce tras las conclusiones de un informe de la Junta de Revisión de Seguridad Cibernética de principios de abril, en el que la empresa fue fuertemente criticada por su respuesta al hackeo de Microsoft Exchange Online en el verano de 2023.
El comité dijo que el ataque, que condujo al robo de 60.000 correos electrónicos del Departamento de Estado y al pirateo de la Secretaria de Comercio, Gina Raimondo, era completamente evitable y demostraba una cultura de valorar el desarrollo y la funcionalidad de productos por encima de la seguridad del cliente.
En un ataque separado del grupo de amenazas Midnight Blizzard, vinculado a Rusia, los piratas informáticos robaron credenciales y código fuente, lo que llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad a emitir directrices de mitigación a agencias federales clave.
Jess Byrne, analista principal de Forrester, dijo que el anuncio de Microsoft era un paso necesario y lo comparó con cambios recientes en otras empresas que han designado responsables de seguridad de la información empresarial.
“Tienen que mantener seguro lo que venden”, dijo Byrne en un correo electrónico.
Jake Williams, miembro del cuerpo docente de IANS Research, dijo que los objetivos trazados por Microsoft eran ambiciosos y hasta cierto punto representaban un cambio en la cultura corporativa de Microsoft.
“La mayoría de las organizaciones no tienen la voluntad o la capacidad técnica para lograr estos objetivos, pero aquellas que sí pueden están en la mejor posición para repeler la mayoría de las intrusiones”, dijo Williams en un correo electrónico. “Microsoft ciertamente tiene la capacidad técnica para hacer estas cosas, pero siempre ha sido así. Ahora parecen tener la voluntad política para hacerlo también”.
Fuente: https://www.cybersecuritydive.com/news/microsoft-security-governance-cisos/715194/