Microsoft amplía Secure Future Initiative
En noviembre de 2023, Microsoft presentó la Secure Future Initiative (SFI) para avanzar en la protección de la ciberseguridad, sus clientes y la industria. En mayo de 2024, la firma amplía la iniciativa para centrarse en seis pilares de seguridad clave, incorporando comentarios de la industria y sus propios conocimientos. Desde que comenzó la iniciativa, dedicaron el equivalente a 34 000 ingenieros de tiempo completo a SFI, lo que lo convierte en el esfuerzo de ingeniería de ciberseguridad más grande de su historia.
Un enfoque en la seguridad por encima de todo
Microsoft reconoce su responsabilidad de salvaguardar el futuro de sus clientes y comunidad. Como resultado, cada individuo en Microsoft desempeña un papel fundamental para “priorizar la seguridad por encima de todo”. Ha logrado avances significativos en el fomento de una cultura que prioriza la seguridad. Algunas de las principales actualizaciones incluyen:
Para mejorar la gobernanza, anuncia la creación de un nuevo Consejo de Gobernanza de Ciberseguridad y el nombramiento de Directores Adjuntos de Seguridad de la Información (CISO Adjuntos) para funciones clave de seguridad y todas las divisiones de ingeniería. Liderados por su CISO Igor Tsyganskiy, los CISO adjuntos forman el Consejo de Gobernanza de Ciberseguridad y son responsables del riesgo cibernético, la defensa y el cumplimiento generales de la empresa.
La seguridad es ahora una prioridad fundamental para todos los empleados de Microsoft y se incluirá en sus evaluaciones de desempeño. Esto permitirá a todos los empleados y gerentes comprometerse y ser responsables de priorizar la seguridad, y será una forma de codificar las contribuciones de un empleado a SFI y celebrar el impacto.
Lanzaron Security Skilling Academy, una experiencia de aprendizaje personalizada con capacitaciones seleccionadas y específicas de seguridad para todos sus empleados en todo el mundo. La academia garantiza que, sin importar el rol, los empleados estén equipados para priorizar la seguridad en su trabajo diario e identificar el papel directo que tienen en la seguridad de Microsoft.
Para garantizar la responsabilidad y la transparencia en los niveles más altos, el equipo de liderazgo senior de Microsoft revisa el progreso de SFI semanalmente y se proporcionan actualizaciones a la Junta Directiva de Microsoft trimestralmente. Además, el equipo de liderazgo senior de Microsoft ahora tiene un desempeño en seguridad directamente vinculado a la compensación.
Aspectos destacados de los pilares: un enfoque integral de la ciberseguridad
También lograron avances en seis pilares clave, cada uno de los cuales representa un área crítica de enfoque en ciberseguridad. Estos pilares guían su trabajo continuo para elevar el nivel de seguridad en todo Microsoft y ayudan a satisfacer las demandas cambiantes del panorama de seguridad. Estas son las actualizaciones más recientes en estas áreas:
Proteger identidades y secretos: completamos actualizaciones de Microsoft Entra ID y Microsoft Account (MSA) para que nuestras nubes públicas y del gobierno de los Estados Unidos generen, almacenen y roten automáticamente claves de firma de tokens de acceso mediante el servicio Azure Managed Hardware Security Module (HSM). Hemos seguido impulsando una amplia adopción de nuestros SDK de identidad estándar, que proporcionan una validación coherente de los tokens de seguridad. Esta validación estandarizada ahora cubre más del 73% de los tokens emitidos por Microsoft Entra ID para aplicaciones propiedad de Microsoft. Hemos ampliado el registro de tokens de seguridad estandarizados en nuestros SDK de identidad estándar para respaldar la búsqueda y detecciones de amenazas y los habilitamos en varios servicios críticos antes de su adopción generalizada. Completamos la aplicación del uso de credenciales resistentes al phishing en nuestros entornos de producción e implementamos la verificación de usuarios basada en video para el 95 % de los usuarios internos de Microsoft en nuestros entornos de productividad para eliminar el uso compartido de contraseñas durante la configuración y la recuperación.
Proteger a los inquilinos y aislar los sistemas de producción: completamos una iteración completa de gestión del ciclo de vida de las aplicaciones para todos nuestros inquilinos de producción y productividad, eliminando 730 000 aplicaciones no utilizadas. Eliminamos 5,75 millones de inquilinos inactivos, reduciendo drásticamente la superficie potencial de ciberataque. Implementamos un nuevo sistema para agilizar la creación de inquilinos de prueba y experimentación con valores predeterminados seguros y una estricta gestión de por vida aplicada. Hemos implementado más de 15.000 nuevos dispositivos bloqueados listos para producción en los últimos tres meses.
Proteger las redes: más del 99 % de los activos físicos en la red de producción se registran en un sistema de inventario central, que enriquece el inventario de activos con seguimiento de propiedad y cumplimiento del firmware. Las redes virtuales con conectividad backend están aisladas de la red corporativa de Microsoft y sujetas a revisiones de seguridad completas para reducir el movimiento lateral. Para ayudar a los clientes a proteger sus propias implementaciones, hemos ampliado las capacidades de la plataforma, como las reglas de administración, para facilitar el aislamiento de la red de los recursos de la plataforma como servicio (PaaS), como Azure Storage, SQL, Cosmos DB y Key Vault.
Proteger los sistemas de ingeniería: el 85 % de nuestros procesos de producción para la nube comercial ahora utilizan plantillas de procesos gobernados centralmente, lo que hace que las implementaciones sean más consistentes, eficientes y confiables. Hemos reducido la vida útil de los tokens de acceso personal a siete días, hemos desactivado el acceso al protocolo Secure Shell (SSH) para todos los repositorios de ingeniería internos de Microsoft y hemos reducido significativamente el número de roles elevados con acceso a sistemas de ingeniería. También implementamos comprobaciones de presencia para puntos críticos en nuestro flujo de código de desarrollo de software.
Monitorear y detectar amenazas: hemos logrado avances significativos al hacer cumplir que toda la infraestructura y los servicios de producción de Microsoft adopten bibliotecas estándar para registros de auditoría de seguridad, para garantizar que se emita la telemetría relevante y conservar los registros durante un mínimo de dos años. Por ejemplo, hemos establecido una administración central y un período de retención de dos años para los registros de auditoría de seguridad de la infraestructura de identidad, que abarca todos los eventos de auditoría de seguridad a lo largo del ciclo de vida de las claves de firma actuales. De manera similar, más del 99% de los dispositivos de red ahora cuentan con recopilación y retención de registros de seguridad centralizados.
Acelere la respuesta y la remediación: Actualizamos los procesos en todo Microsoft para mejorar el tiempo para mitigar las vulnerabilidades críticas de la nube. Comenzamos a publicar vulnerabilidades críticas en la nube como vulnerabilidades y exposiciones comunes (CVE), incluso si no se requiere ninguna acción del cliente, para mejorar la transparencia. Establecimos la Oficina de Gestión de Seguridad del Cliente (CSMO) para mejorar la mensajería pública y la participación del cliente en incidentes de seguridad.
Reafirmando nuestro compromiso de seguridad
En seguridad, el progreso constante es más importante que la “perfección” y esto se refleja en la escala de recursos movilizados para lograr nuestros objetivos de SFI. El trabajo colectivo que estamos haciendo para aumentar continuamente la protección, eliminar activos heredados o que no cumplen con las normas e identificar los sistemas restantes para el monitoreo mide de manera concluyente nuestro éxito. De cara al futuro, seguimos comprometidos con la mejora continua. SFI seguirá evolucionando, adaptándose a nuevas ciberamenazas y perfeccionando nuestras prácticas de seguridad. Nuestro compromiso con la transparencia y la colaboración de la industria sigue siendo inquebrantable.
A principios de 2024, Microsoft se convirtió en uno de los principales patrocinadores del compromiso Secure by Design de la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA), reforzando nuestra dedicación a integrar la seguridad en todos los aspectos de nuestros productos y servicios. Además, continuamos integrando recomendaciones de la Junta de Revisión de Seguridad Cibernética (CSRB) para fortalecer nuestro enfoque de ciberseguridad y mejorar la resiliencia.
El trabajo que hemos realizado hasta ahora es sólo el comienzo. Sabemos que las ciberamenazas seguirán evolucionando y debemos evolucionar con ellas. Al fomentar esta cultura de aprendizaje y mejora continua, estamos construyendo un futuro en el que la seguridad no es sólo una característica, sino una base.
Charlie Bell, vicepresidente ejecutivo de seguridad de Microsoft