Microsoft ha reorganizado sus prioridades internas, y sus directivos han decidido que la seguridad tiene que convertirse en la número uno para todos sus empleados. La compañía ha tomado esta decisión después de haber sufrido varios ataques, y de que las críticas externas por ello se hayan multiplicado.
A partir de ahora se van a tomar la protección mucho más en serio, y han empezado por elaborar un listado de principio y objetivos a cumplir relacionados con ella. Además, estos objetivos y principios estarán ligados a los paquetes salariales y de compensación del equipo directivo de mayor nivel de Microsoft.
Charlie Bell, Vicepresidente de Seguridad de Microsoft, ha ofrecido detalles sobre todo lo que van a hacer en cuanto a ciberseguridad en la empresa en un post, en el que asegura que van a «convertir a la seguridad en la principal prioridad en Microsoft, por encima de todo lo demás y sobre el resto de funciones«.
Para empezar, como hemos mencionado, van a «introducir la rendición de cuentas basando parte de la compensación del equipo de dirección senior en el progreso en el cumplimiento de los planes y objetivos de seguridad«. Además, ha puesto en marcha tres principios de seguridad como parte de estos objetivos: seguridad por diseño, seguridad por defecto y operaciones seguras.
Con ellos pretenden poner la seguridad en primer plano durante las fases de diseño de sus productos y servicios, además de poner más énfasis en las protecciones activadas por defecto. También quieren mejorar los controles y la monitorización de las amenazas, tanto de las presentes como de las futuras.
Los pilares de seguridad de Microsoft a partir de ahora
Aparte de estos tres objetivos, tienen otros más amplios que están apoyados en lo que han llamado «seis pilares prioritarios de seguridad». Es decir, las seis áreas en las que necesitan mejorar. Son las siguientes:
1- Mejorar identidades y secretos. Para ello, la compañía promete poner en marcha los mejores estándares posible en la infraestructura que dedica a la protección de identidades y secretos, con el objetivo de que la totalidad de cuentas de sus usuarios queden protegidas mediante autenticación en varios factores. También quieren que todas las aplicaciones estén protegidas mediante la gestión de credenciales, como sucede con los certificados.
2- Protección de accesos y aislamiento de sistemas de producción. En este sentido, Microsoft va a asegurarse de que solo consiguen acceso a los servicios propios de la compañía dispositivos limpios, gestionados y seguros. También habrá un modelo de acceso de menos privilegios, con los niveles de acceso y permisos mínimos, para todas las aplicaciones.
3 – Protección de redes. La compañía promete securizar la totalidad de sus redes y sistemas de producción que estén conectadas a las redes. Para ello va a aplicar principios de microsegmentación y aislamiento a todos los entornos de producción. De esta manera se contribuirá a la creación de capas adicionales de defensa contra atacantes.
4 – Protección de sistemas de ingeniería. Microsoft señala que securizará siempre el acceso a su código fuente a través de Zero Trust y políticas de acceso del menor privilegio. Cualquier código fuente que se despliegue en entornos de producción estará protegido también por las mejores prácticas de seguridad. En cuanto a los entornos de prueba, tendrán también seguridad estandarizada, así como aislamiento de infraestructura.
5 – Monitorización y detección de amenazas. Los responsables de la compañía prometen guardar la totalidad de los logs de seguridad durante dos años, y hacer que haya seis meses de los logs que consideren adecuados a disposición de los clientes. También detectarán y responderán automáticamente y con agilidad a los accesos o cambios de configuración sospechosos en todos los servicios e infraestructura de producción de la compañía.
6 – Acelerar la respuesta y la remediación. En este área, el objetivo de la empresa es prevenir que se puedan explotar las vulnerabilidades que no tengan parches. Microsoft se compromete a reducir el tiempo que tardan en solucionar las vulnerabilidades de seguridad en la nube consideradas de extrema gravedad. También a aumentar la transparencia en torno a estas vulnerabilidades, para lo que van a adoptar los estándares del sector Common Weakness Enumeration (CWE) y Common Platform Enumeration (CPE).
Los de Redmond están ya coordinando a sus equipos de ingeniería para que pongan en marcha estas medidas en distintas olas y en toda la empresa. En este proceso están implicados equipos de Azure Cloud, Windows, Microsoft 365 y Seguridad. Según Bell, se irán implicando otros equipos de producto en el proceso cada semana. Aparte de esto, la empresa está trabajando en la mejora de su cultura de seguridad, después de que su Junta de revisión de ciberseguridad la calificase como inadecuada.
Microsoft va a sumar ahora a Responsables de seguridad de la información (CISO) a todos los equipos de producto, y el Equipo de inteligencia de amenazas informará directamente al CISO. De esta manera, los equipos de ingeniería contarán con un responsable concreto de seguridad.
Con todas estas medidas, los de Redmond esperan no solo mejorar a nivel interno en cuanto a seguridad, sino también evitar que les afecten ataques como los que han impactado en la compañía en los últimos meses, y que podrían hacer que baje la confianza en Microsoft.
La entrada Microsoft convierte la seguridad en la prioridad principal de la compañía es original de MuySeguridad. Seguridad informática.