Sé con certeza que Microsoft realmente se toma en serio la seguridad y que la mayor parte de la empresa está avanzando en la dirección correcta. Dicho esto, los problemas de seguridad revelados en el informe de la CSRB son impactantes y completamente inaceptables para una empresa de tecnología del tamaño, control y poder de Microsoft.
Recuerde también que después de intensas críticas por parte de la comunidad de ciberseguridad desde la década de 1990, Microsoft aceleró varias veces su máquina de marketing, pregonando iniciativas de seguridad como Trustworthy Computing en 2002 (basado en un memorando divulgado públicamente por el propio Bill Gates) y 2023 Secure. Future Initiative, con el claro propósito de reforzar la seguridad en la nube de Microsoft.
¿Qué sigue para Microsoft tras el informe?
Bien, entonces, ¿qué sucederá a continuación para Microsoft, sus clientes y la industria de la seguridad? Estas son algunas de mis sugerencias:
- Microsoft debería abandonar su exageración de marketing en torno a la seguridad. En ese sentido, debería interrumpir sus presentaciones previstas para la Conferencia RSA el próximo mes y aprovechar la oportunidad para comunicar de forma clara y sencilla lo que sucedió, lo que pretende hacer y cuándo lo hará.
- Microsoft debería actualizar periódicamente a la comunidad de seguridad sobre su progreso y métricas. En resumen, Microsoft debería operar en un estado continuo de control de daños, ya que puede pasar una generación antes de que los profesionales de la ciberseguridad realmente confíen en la empresa.
- Los CISO deben redactar sus propios informes resumidos en un lenguaje que los ejecutivos no técnicos comprendan rápidamente. Esto es lo que llaman un «momento de enseñanza» para el C-Suite y la junta directiva.
- Todo profesional de la ciberseguridad debería leer el informe de principio a fin. Es educativo y les ayudará a comprender cómo debería ser una postura de seguridad madura.
A pesar de sus importantes contribuciones a la ciberseguridad en los últimos años en áreas como inteligencia de amenazas, eliminación de amenazas e innovación tecnológica (diablos, incluso sus productos de seguridad se han vuelto competitivos con los líderes del mercado en muchas categorías), Microsoft no debería pasar por alto el informe CSRB. La empresa tiene un largo recorrido y mucho trabajo por delante. Espero que haga lo correcto con humildad, transparencia y franqueza.