El 23 de septiembre, Microsoft publicó un informe que detalla el progreso de la Iniciativa de Futuro Seguro, la revisión de toda la empresa puesta en marcha en noviembre de 2023. La Iniciativa de Futuro Seguro existe para mejorar la seguridad a raíz de algunas vulnerabilidades de alto perfil en 2023. Estas vulnerabilidades incluyeron una violación en Microsoft Exchange Online que permitió a los actores de amenazas asociados con el gobierno chino acceder a los correos electrónicos del gobierno de EE. UU. En abril de 2024, la Junta de Revisión de Seguridad Cibernética de EE. UU. publicó «Revisión de la intrusión de Microsoft Exchange Online del verano de 2023», que decía que el hackeo «era prevenible y nunca debería haber ocurrido». La junta encontró que Microsoft tenía «una cultura corporativa que despriorizaba tanto las inversiones en seguridad empresarial como la gestión rigurosa de riesgos». Cómo se protege Microsoft contra las amenazas cibernéticas A la luz de los problemas de ciberseguridad, Microsoft ha implementado varios cambios. Como parte de la iniciativa, el director ejecutivo Satya Nadella y el vicepresidente ejecutivo de seguridad Charlie Bell nombraron a 13 CISO adjuntos. Sus trabajos serán supervisar las funciones de seguridad clave, ya sea dentro de una de las divisiones de ingeniería de Microsoft o como parte de una función de seguridad fundamental supervisada por el CISO. «Hemos dedicado el equivalente a 34.000 ingenieros a tiempo completo a SFI, lo que lo convierte en el mayor esfuerzo de ingeniería de ciberseguridad de la historia», escribió Bell. Otros pasos que ha tomado Microsoft incluyen: Implementar y actuar sobre seis pilares clave del cumplimiento de la seguridad. Crear un nuevo Consejo de gobernanza de ciberseguridad responsable del riesgo cibernético, la defensa y el cumplimiento, que comprenda a los nuevos CISO. Hacer de la seguridad una parte fundamental de la revisión del desempeño de cada empleado. Vincular el desempeño de seguridad a la compensación del equipo de liderazgo sénior. Obligar a la alta dirección a evaluar el progreso de la Iniciativa de futuro seguro cada semana y proporcionar actualizaciones a la junta directiva cada trimestre. Implementar capacitación en seguridad en toda la empresa. VEA: Por qué su empresa necesita capacitación en concientización sobre ciberseguridad (TechRepublic Premium) Los seis pilares clave del cumplimiento de la seguridad de Microsoft incluyen: Proteger identidades y secretos. Esto incluye la actualización de Microsoft Entra ID y Microsoft Account (MSA) para nubes públicas y del gobierno de EE. UU. para que sea más difícil acceder a las claves de firma de tokens. Las claves de firma permitieron a los actores de amenazas afiliados a China violar las direcciones de correo electrónico del gobierno el año pasado. Microsoft amplió la adopción de SDK de identidad estándar, incluyó medidas para evitar el intercambio de contraseñas y más. Proteger a los inquilinos y aislar los sistemas de producción, eliminando las aplicaciones no utilizadas y los inquilinos inactivos. Aislar ciertas redes virtuales y enriquecer el seguimiento de la propiedad y el cumplimiento del firmware de los activos físicos. Mejorar la gobernanza de los sistemas de ingeniería. Adoptar bibliotecas estándar para los registros de auditoría de seguridad para monitorear y detectar mejor las amenazas. Tiempo acelerado para mitigar vulnerabilidades críticas en la nube. Cobertura de seguridad de lectura obligada Lo que las organizaciones pueden aprender de la Iniciativa de Futuro Seguro La actualización de la SFI sirve como un recordatorio oportuno para que los equipos de seguridad e ingeniería mantengan estándares rigurosos y se adhieran a las mejores prácticas de la industria. Tenga en cuenta que Microsoft agregó la seguridad al núcleo de sus revisiones de desempeño. Los KPI claros alineados con la cultura general de la empresa pueden influir en la dirección de la organización. También es importante reconocer el valor de adaptarse rápidamente a una violación de datos. El tamaño y la importancia estratégica de los contratos de Microsoft con el gobierno de Estados Unidos hicieron que abordar los datos de 2023 fuera particularmente crítico. Microsoft ha tenido cuidado de enmarcar SFI como una iniciativa en aras de la mejora, no como un intento de compensar sus violaciones de alto perfil, pero un objetivo tácito importante del proyecto es asegurarle al gobierno de Estados Unidos que no volverá a ocurrir un ataque importante al correo electrónico.
