En un giro significativo, Microsoft ha anunciado una importante reestructuración de sus procesos de producción con el objetivo de priorizar la ciberseguridad. Esta decisión se produce después de una serie de ataques a gran escala que han afectado a la compañía y a sus clientes, lo que ha generado una creciente presión por parte del gobierno y de los expertos en seguridad.

Los Principios de Seguridad de Microsoft

Microsoft ha establecido tres principios fundamentales que guiarán su enfoque de seguridad en el futuro:

Seguridad por Diseño

Desde la fase de diseño de sus productos y servicios, Microsoft se asegurará de que la seguridad sea un elemento prioritario, incorporando medidas de protección robustas desde el inicio.

Seguridad por Defecto

La compañía se compromete a implementar funciones de seguridad activadas de forma predeterminada, garantizando que sus usuarios cuenten con un nivel de protección elevado sin necesidad de configuraciones adicionales.

Operaciones Seguras

Microsoft dedicará esfuerzos significativos a mejorar los controles y la monitorización de amenazas, con el objetivo de detectar y responder rápidamente a cualquier actividad sospechosa.

Metas de Seguridad Prioritarias

Estos principios se materializan en seis áreas clave de enfoque para Microsoft:

Protección de Identidades y Secretos

La compañía se compromete a implementar estándares de seguridad de vanguardia en su infraestructura de identidades y credenciales, asegurando que el 100% de las cuentas de usuario y aplicaciones cuenten con autenticación multifactor y gestión de credenciales.

Protección de Inquilinos y Aislamiento de Sistemas de Producción

Microsoft adoptará un enfoque de "privilegios mínimos" para garantizar que solo los dispositivos sanos, gestionados y seguros puedan acceder a sus servicios, aislando y segmentando sus entornos de producción.

Protección de Redes

La compañía se compromete a asegurar el 100% de sus redes y sistemas de producción mediante el uso de técnicas de aislamiento y microsegmentación, creando capas adicionales de defensa contra los atacantes.

Protección de Sistemas de Ingeniería

Microsoft implementará políticas de acceso basadas en el principio de "confianza cero" y privilegios mínimos para proteger el acceso a su código fuente. Además, aplicará prácticas de seguridad a todo el código desplegado en sus entornos de producción.

Monitorización y Detección de Amenazas

La compañía se compromete a retener el 100% de los registros de seguridad durante al menos dos años, y a poner a disposición de los clientes seis meses de registros relevantes. Además, implementará mecanismos de detección y respuesta automatizados para identificar y abordar rápidamente cualquier actividad sospechosa.

Aceleración de la Respuesta y Remediación

Microsoft se ha fijado el objetivo de reducir el tiempo necesario para corregir vulnerabilidades de alta gravedad en sus servicios en la nube, y aumentar la transparencia al adoptar estándares industriales como CWE y CPE.

Liderazgo y Cultura de Seguridad

Estos ambiciosos objetivos de seguridad están estrechamente vinculados a la compensación de los altos directivos de Microsoft. Esto refleja el compromiso de la compañía de hacer de la seguridad su máxima prioridad, por encima de cualquier otra consideración.

Además, Microsoft está trabajando para mejorar su cultura de seguridad a través de reuniones operativas semanales y mensuales que involucran a diversos equipos de gestión y liderazgo. Asimismo, ha creado nuevos roles de subdirectores de seguridad de la información (CISO) en cada equipo de producto, con el fin de garantizar una clara responsabilidad por la seguridad en todos los niveles de la organización.

Progreso y Próximos Pasos

Microsoft ya ha implementado la autenticación multifactor de forma predeterminada en más de 1 millón de sus propios inquilinos, incluyendo entornos de desarrollo, pruebas y producción. Además, ha eliminado 730,000 aplicaciones que no cumplían con los estándares de seguridad establecidos.

La compañía ha coordinado a sus equipos de ingeniería para completar este trabajo en fases, involucrando a equipos de Azure Cloud, Windows, Microsoft 365 y Seguridad, con más equipos de productos integrándose semanalmente.

Microsoft sabe que el éxito de esta iniciativa será clave para recuperar y mantener la confianza de sus clientes y socios. Como señala Charlie Bell, vicepresidente ejecutivo de Seguridad de Microsoft: "En última instancia, Microsoft se basa en la confianza, y esta confianza debe ganarse y mantenerse. Nuestro compromiso es mejorar continuamente y adaptarnos a las necesidades cambiantes de la ciberseguridad. Esto es lo número uno para nosotros".

La decisión de Microsoft de priorizar la seguridad como su principal objetivo, vinculándolo a la compensación de la alta dirección, refleja la gravedad de los recientes ataques y la presión del gobierno y los expertos en seguridad. Con un enfoque integral que abarca principios, metas y una cultura organizacional renovada, la compañía espera recuperar la confianza y mantener a salvo a sus clientes y a sí misma en un entorno cibernético cada vez más amenazante.