La empresa está estableciendo una serie de principios y metas de seguridad que están directamente vinculados a los paquetes de compensación del equipo de liderazgo superior de Microsoft.

En respuesta a los ataques que permitieron a los hackers chinos violar las cuentas de correo electrónico del gobierno de EE. UU., Microsoft anunció en noviembre pasado una Iniciativa de Futuro Seguro (SFI). Sin embargo, poco después de este anuncio, los hackers rusos lograron violar las defensas de Microsoft y espiar las cuentas de correo electrónico de algunos miembros del equipo de liderazgo superior de Microsoft.

Estos recientes ataques han sido perjudiciales y un informe de la Junta de Revisión de Seguridad Cibernética de EE. UU. concluyó que Microsoft podría haber evitado la violación de 2023 de las cuentas de correo electrónico del gobierno de EE. UU. y que una “cascada de fallos de seguridad” condujo a este incidente.

Charlie Bell, vicepresidente ejecutivo de seguridad de Microsoft, explica en una publicación de blog que la seguridad es ahora la principal prioridad en Microsoft. La empresa ha establecido tres principios de seguridad: seguridad por diseño, seguro por defecto y operaciones seguras. Estos principios están diseñados para priorizar la seguridad durante las fases de diseño de productos y servicios, centrarse más en las protecciones que están habilitadas por defecto y mejorar los controles y la supervisión de las amenazas actuales y futuras.

Microsoft ha establecido “seis pilares de seguridad priorizados”, que son áreas que la empresa necesita mejorar significativamente. Estos incluyen la protección de identidades y secretos, la protección de inquilinos y el aislamiento de sistemas de producción, la protección de redes, la protección de sistemas de ingeniería, la supervisión y detección de amenazas, y la aceleración de la respuesta y la corrección.

1. Proteja identidades y secretos. Microsoft promete implementar los “mejores estándares de su clase” en toda su infraestructura de identidad y secretos para que el 100 por ciento de las cuentas de usuario estén protegidas mediante autenticación multifactor y el 100 por ciento de las aplicaciones estén protegidas por credenciales administradas como certificados.
2. Proteja a los inquilinos y aísle los sistemas de producción. Microsoft está adoptando un enfoque para garantizar que solo los dispositivos sanos, administrados y seguros tengan acceso al conjunto de servicios propios de la compañía, junto con un modelo de acceso de privilegios mínimos (los niveles mínimos de acceso o permisos) para el 100 por ciento de las aplicaciones.
3. Proteja las redes. Microsoft promete proteger el 100 por ciento de sus redes de producción y los sistemas que están conectados a las redes mediante la aplicación de aislamiento y microsegmentación a todos los entornos de producción. Esto debería ayudar a crear capas adicionales de defensa contra los atacantes.
4. Proteja los sistemas de ingeniería. Microsoft dice que asegurará el acceso a su código fuente el 100 por ciento del tiempo a través de políticas de acceso Zero Trust y de privilegios mínimos. Cualquier código fuente que se implemente en entornos de producción también estará protegido por los procedimientos recomendados de seguridad, y los entornos de prueba también tendrán seguridad estandarizada y aislamiento de infraestructura.
5. Supervise y detecte amenazas. Microsoft promete retener el 100 por ciento de los registros de seguridad durante dos años y poner a disposición de los clientes seis meses de “registros apropiados”. También detectará y responderá automáticamente a los accesos sospechosos o a los cambios de configuración en el 100% de la infraestructura y los servicios de producción de Microsoft.
6. Acelere la respuesta y la corrección. El objetivo aquí es evitar que las vulnerabilidades sin parches sean explotadas con una “corrección más oportuna”. Microsoft se compromete a reducir el tiempo que se tarda en corregir las vulnerabilidades de seguridad en la nube de “alta gravedad” y a aumentar la transparencia en torno a estos problemas mediante la adopción de los estándares de la industria Common Weakness Enumeration (CWE) y Common Platform Enumeration (CPE).

Microsoft está tomando medidas decisivas en respuesta a las recientes intrusiones cibernéticas y las recomendaciones de la Junta de Revisión de Seguridad Cibernética. Está coordinando a sus equipos de ingeniería para trabajar en fases en toda la empresa, incluyendo a los equipos de Azure Cloud, Windows, Microsoft 365 y Security.

La compañía ya ha hecho progresos significativos hacia sus metas de seguridad, implementando autenticación multifactor en más de un millón de sus propios inquilinos y eliminando 730,000 aplicaciones que no cumplían con los estándares actuales.

Para mejorar su cultura de seguridad, Microsoft está llevando a cabo reuniones operativas regulares con líderes de ingeniería y está asignando directores adjuntos de seguridad de la información a cada equipo de producto. Además, está reubicando su equipo de inteligencia de amenazas para que informe directamente al Director de Seguridad de la Información.

La preocupación dentro de Microsoft es que los recientes ataques de seguridad podrían dañar la confianza en la empresa. Sin embargo, Microsoft se compromete a ganar y mantener la confianza de sus usuarios, y a adaptarse continuamente a las cambiantes necesidades de la ciberseguridad. La seguridad es su principal prioridad.

Fuente: La revisión de Microsoft trata la seguridad como “máxima prioridad” después de una serie de fracasos – The Verge