“Cuando nos enfrentamos a un equilibrio entre la seguridad y otras prioridades, la respuesta es clara: priorizar la seguridad”, dijo el director ejecutivo de Microsoft, Satya Nadella, en un memorando a los empleados.
En un memorando enviado a los empleados, el director ejecutivo de Microsoft, Satya Nadella, respondió a un reciente informe federal condenatorio sobre las prácticas de seguridad de la empresa, diciendo que priorizaría la seguridad sobre el lanzamiento de nuevas funciones cuando fuera necesario.
“Cuando nos enfrentamos a un equilibrio entre la seguridad y otras prioridades, la respuesta es clara: más seguridad”, escribió Nadella en un memorando publicado el viernes en The Verge.
[Related: Microsoft Slammed By U.S. Board Over Cloud Email Breach: 5 Things To Know]
“En algunos casos, priorizaremos la seguridad sobre otras cosas que hacemos, como lanzar nuevas funciones o brindar soporte continuo para sistemas heredados”, escribió en un memorando. “Esto es clave para mejorar tanto la calidad como la funcionalidad de nuestra plataforma para que podamos proteger los activos digitales de nuestros clientes y crear un mundo más seguro para todos”.
“Podemos confirmar que Satya Nadella envió un correo electrónico a toda la empresa sobre la Iniciativa Futuro Seguro esta mañana”, dijo Microsoft en un comunicado proporcionado a CRN el viernes.
El memorando, dirigido a los más de 200.000 empleados de Microsoft, recuerda al famoso memorando de Bill Gates de 2002 dirigido a los empleados de Microsoft sobre “computación confiable”. Estableció el tono para el nuevo enfoque de la compañía en la seguridad en los años siguientes.
El memorando de Nadella sigue a un informe del grupo de trabajo federal de EE. UU. sobre la violación del correo electrónico en la nube de Microsoft de 2023 que encontró que el éxito del ataque vinculado a China se debió en gran medida a las laxas medidas de seguridad del gigante tecnológico. El anuncio se hizo un mes después de su revelación.
La Junta de Revisión de Seguridad Cibernética de EE. UU. (CSRB), designada por el Departamento de Seguridad Nacional, finalmente concluyó en un informe de 34 páginas que Microsoft necesitaba reevaluar drásticamente sus prioridades de seguridad.
La violación de Microsoft Exchange Online se descubrió por primera vez en junio de 2023 y las cuentas de correo electrónico pertenecientes a varias agencias gubernamentales de EE. UU. se vieron comprometidas. Se sabe que el ataque afectó los correos electrónicos de la Secretaria de Comercio, Gina Raimondo, y otros funcionarios del Departamento de Comercio.
La violación provocó el robo de un total de 60.000 correos electrónicos de 10 cuentas del Departamento de Estado de EE. UU., y los atacantes “tuvieron acceso a algunos de estos buzones de correo basados en la nube durante al menos seis semanas”, según el informe.
Microsoft atribuyó el incidente a un actor de amenazas vinculado a China rastreado como Storm-0558.
El informe de la CSRB examinó, en palabras de los autores, “la cadena de errores evitables de Microsoft que permitieron que esta intrusión tuviera éxito”.
La conclusión, según el informe, es que “Microsoft se ha desviado de este espíritu y debe restaurarlo inmediatamente como una máxima prioridad corporativa”. El informe señala que la CSRB está “consciente de los cambios recientes en el liderazgo de seguridad de Microsoft y de la Iniciativa Futuro Seguro anunciada en noviembre de 2023”.
En ese momento, Microsoft anunció que introduciría una serie de cambios importantes en su proceso de ingeniería de software destinados a mejorar la seguridad de su plataforma ampliamente utilizada.
La violación del correo electrónico en la nube del verano pasado fue solo uno de una serie de incidentes de seguridad importantes en Microsoft. Desde que este incidente salió a la luz, Microsoft ya ha experimentado otra violación de alto perfil que ha atraído aún más escrutinio: el pirateo de cuentas de altos ejecutivos que se reveló en enero.
Otros ataques ampliamente reconocidos que supuestamente explotaron fallas de seguridad en la tecnología de Microsoft incluyen la violación de SolarWinds Orion de 2020 y el ataque a gran escala de Exchange Server de 2021 que aprovechó una vulnerabilidad crítica de día cero, etc.
Fuente: https://www.crn.com/news/security/2024/nadella-to-microsoft-prioritize-security-over-new-features