La CSRB recomienda en el informe que Microsoft comparta públicamente un plan detallado con cronogramas para reformas de seguridad fundamentales en toda la empresa. El informe también sugiere que todos los proveedores de servicios en la nube, no sólo Microsoft, dejen de cobrar a sus clientes por los registros de seguridad.
Las recomendaciones de la CSRB cubren muchas áreas, comenzando con la implementación de mecanismos de control modernos y prácticas básicas en todos los sistemas de credenciales e identidades digitales. El informe también destaca la importancia de establecer un estándar mínimo para el registro de auditoría predeterminado en los servicios en la nube.
«Los CSP deben mantener suficientes análisis forenses para detectar la filtración de esos datos, incluido el registro de todo el acceso a esos sistemas y cualquier clave privada almacenada en ellos», afirma el informe. Recomienda que los períodos de retención de registros cubran toda la vida útil de una clave y se extiendan al menos dos años después de su vencimiento, siendo potencialmente necesaria una retención más larga de 10 años para registros de alto valor.
Para reforzar aún más la seguridad, la CSRB aconseja a los proveedores de servicios en la nube que adopten los estándares de identidad digital emergentes. El informe insta a los organismos de normalización pertinentes a perfeccionar, actualizar e incorporar estos estándares en sus marcos, garantizando que aborden adecuadamente los riesgos comúnmente explotados en el panorama de amenazas moderno.
La transparencia es otro foco clave de las recomendaciones de la CSRB. El informe insta a los proveedores de servicios en la nube a adoptar prácticas de divulgación de incidentes y vulnerabilidades que maximicen la transparencia entre sus clientes, partes interesadas y el gobierno de los Estados Unidos. Además, se consideró esencial desarrollar mecanismos más eficaces de notificación y apoyo a las víctimas.
El informe también destaca la necesidad de actualizar la Programa Federal de Gestión de Autorizaciones de Riesgos (FedRAMP) y sus marcos de apoyo. La CSRB recomienda que el gobierno de los Estados Unidos establezca un proceso para realizar revisiones especiales discrecionales de las ofertas de servicios en la nube autorizadas del programa, particularmente después de situaciones de alto impacto.
