Por qué es importante: A raíz de importantes ataques cibernéticos y críticas de los federales, Microsoft está haciendo todo lo posible para reforzar la seguridad en todos sus productos y servicios. La compañía está implementando una revisión masiva para poner la seguridad en primer plano, como se describe en un memorando interno del director ejecutivo Satya Nadella.
Según un memorando interno obtenido por The Verge, la seguridad es ahora la «máxima prioridad» de Microsoft por encima de todo. Nadella deja muy claro a los empleados que si alguna vez se enfrentan a un equilibrio entre la seguridad y otro objetivo, la respuesta es simple: priorizar la seguridadno se hicieron preguntas.
«Si te enfrentas a la disyuntiva entre la seguridad y otra prioridad, tu respuesta es clara: ocuparte de la seguridad», afirma sin rodeos Nadella. «En algunos casos, esto significará priorizar la seguridad por encima de otras cosas que hacemos, como lanzar nuevas funciones o brindar soporte continuo para sistemas heredados».
Esa última parte es especialmente destacable. Microsoft es conocido desde hace mucho tiempo por extender el soporte de software mucho más tiempo de lo habitual. Pero Nadella insinúa que es posible que la empresa tenga que deshacerse de parte del legado para mantenerse a la vanguardia de la evolución de las ciberamenazas.
El ajuste de cuentas en materia de seguridad se produce después de que la Junta de Revisión de Seguridad Cibernética de EE. UU. calificara las prácticas de seguridad pasadas de Microsoft como «inadecuado» tras una investigación sobre incidentes importantes como el ataque Storm-0558 del verano pasado. La compañía ahora está implementando una «Iniciativa de Futuro Seguro» que, según Nadella, regirá «todas las facetas» de los productos y operaciones de Microsoft en el futuro.
La iniciativa tiene tres principios básicos: «Secure by Design» (integrar la seguridad desde el principio), «Secure by Default» (protecciones de seguridad activadas automáticamente) y «Secure Operations» (supervisión y mejora continuas). Nadella dice que los principios se aplicarán en áreas clave como protección de identidad, aislamiento de sistemas, detección de amenazas y respuesta a incidentes.
Parte de la compensación de los altos directivos también estará vinculada al logro de objetivos e hitos de seguridad en el marco de la nueva iniciativa. Así tendrán una motivación financiera extra para hacer las cosas bien.
En el memorando, Nadella enfatiza que toda la empresa –no sólo los equipos de seguridad– es responsable de este impulso de seguridad. «Cada tarea que asumimos (desde una línea de código hasta un proceso de cliente o socio) es una oportunidad para ayudar a reforzar nuestra propia seguridad y la de todo nuestro ecosistema», escribe.
La urgencia detrás de la reforma de seguridad de Microsoft queda subrayada por la devastadora crisis del año pasado. Hack de intercambio en línea. Se cree que es obra del actor de amenazas Storm-0558 vinculado a China, los atacantes robaron una clave de firma de Azure de la computadora portátil de un ingeniero de Microsoft a fines de 2021 luego de la adquisición de una empresa. Luego, esta clave les otorgó acceso a las bandejas de entrada de correo electrónico en línea de más de 20 organizaciones, lo que afectó a cientos de víctimas de alto perfil, incluidos altos funcionarios del gobierno de EE. UU.
En enero, Nadella defendió por una «cibernética Convención de Ginebra» entre Estados Unidos, Rusia y China después del Oso Acogedor de Rusia violado La red de Microsoft, advirtiendo que los ciberataques no controlados por parte de Estados-nación podrían desencadenar inestabilidad global.
Con el aumento de los ciberataques y la probable regulación en camino, ya era hora de que Microsoft –junto con otros grandes gigantes tecnológicos– pusiera en orden su sistema de seguridad.