El 23 de septiembre, Microsoft publicó un informe que detalla el progreso de la Iniciativa Futuro Seguro, la revisión de toda la empresa implementada en noviembre de 2023. La Iniciativa Futuro Seguro existe para mejorar la seguridad a raíz de algunas vulnerabilidades de alto perfil en 2023.
Estas vulnerabilidades incluyeron una brecha en Microsoft Exchange Online que permitió a los actores de amenazas asociados con el gobierno chino acceder a los correos electrónicos del gobierno de EE. UU. en 2023. En abril de 2024, la Junta de Revisión de Seguridad Cibernética de EE. UU. publicó una “Revisión de la intrusión en Microsoft Exchange Online del verano de 2023”, que dijo que el ataque “se podía prevenir y nunca debería haber ocurrido”. La junta encontró que Microsoft tenía “una cultura corporativa que no priorizaba tanto las inversiones en seguridad empresarial como la gestión rigurosa de riesgos”.
Cómo se protege Microsoft contra las ciberamenazas
A la luz de los problemas de ciberseguridad, Microsoft ha implementado varios cambios. Como parte de la iniciativa, el director ejecutivo Satya Nadella y el vicepresidente ejecutivo de seguridad Charlie Bell designaron a 13 CISO adjuntos. Sus trabajos serán supervisar funciones de seguridad clave, ya sea dentro de una de las divisiones de ingeniería de Microsoft o como parte de una función de seguridad fundamental supervisada por el CISO.
“Hemos dedicado el equivalente a 34.000 ingenieros de tiempo completo a SFI, lo que lo convierte en el esfuerzo de ingeniería de ciberseguridad más grande de la historia”, escribió Bell.
Otros pasos que Microsoft ha tomado incluyen:
- Implementar y actuar sobre seis pilares clave del cumplimiento de la seguridad.
- Creación de un nuevo Consejo de Gobernanza de Ciberseguridad responsable del riesgo cibernético, la defensa y el cumplimiento, integrado por los nuevos CISO.
- Hacer de la seguridad una parte fundamental de la evaluación del desempeño de cada empleado.
- Vincular el desempeño en seguridad con la compensación del equipo de liderazgo senior.
- Exigir a los altos directivos que evalúen el progreso de la Iniciativa Futuro Seguro cada semana y que proporcionen actualizaciones a la junta directiva cada trimestre.
- Implantar la formación en seguridad en toda la empresa.
VER: Por qué su empresa necesita capacitación en concientización sobre ciberseguridad (TechRepublic Premium)
Los seis pilares clave de cumplimiento de seguridad de Microsoft incluyen:
- Protección de identidades y secretos. Esto incluye la actualización de Microsoft Entra ID y la cuenta de Microsoft (MSA) para las nubes públicas y del gobierno de EE. UU. para dificultar el acceso a las claves de firma de tokens. La firma de claves permitió a los actores de amenazas afiliados a China violar las direcciones de correo electrónico del gobierno el año pasado. Microsoft amplió la adopción de SDK de identidad estándar, incluyó medidas para evitar el intercambio de contraseñas y más.
- Proteger a los inquilinos y aislar los sistemas de producción, eliminando aplicaciones no utilizadas y inquilinos inactivos.
- Aislar ciertas redes virtuales y enriquecer la propiedad y el seguimiento del cumplimiento del firmware de los activos físicos.
- Mejora de la gobernanza de los sistemas de ingeniería.
- Adoptar bibliotecas estándar para registros de auditoría de seguridad para monitorear y detectar mejor las amenazas.
- Tiempo acelerado para mitigar las vulnerabilidades críticas de la nube.
Qué pueden aprender las organizaciones de la Iniciativa Futuro Seguro
La actualización del SFI sirve como un recordatorio oportuno para que los equipos de seguridad e ingeniería mantengan estándares rigurosos y se adhieran a las mejores prácticas de la industria.
Tenga en cuenta que Microsoft agregó la seguridad al centro de sus revisiones de desempeño. Unos KPI claros alineados con la cultura general de la empresa pueden influir en la dirección de la organización.
También es importante reconocer el valor de adaptarse rápidamente a una violación de datos. El tamaño y la importancia estratégica de los contratos del gobierno estadounidense de Microsoft hicieron que abordar los datos de 2023 fuera particularmente crítico. Microsoft ha tenido cuidado de enmarcar SFI como una iniciativa para mejorar, no como un intento de compensar sus violaciones de alto perfil, pero un importante objetivo tácito del proyecto es asegurarle al gobierno de EE. UU. que un gran hackeo de correo electrónico triunfará. No volverá a pasar.