Microsoft convierte la seguridad en la prioridad principal de la compañía

Microsoft ha reorganizado sus prioridades internas, y sus directivos han decidido que la seguridad tiene que convertirse en la número uno para todos sus empleados. La compañía ha tomado esta decisión después de haber sufrido varios ataques, y de que las críticas externas por ello se hayan multiplicado.

A partir de ahora se van a tomar la protección mucho más en serio, y han empezado por elaborar un listado de principio y objetivos a cumplir relacionados con ella. Además, estos objetivos y principios estarán ligados a los paquetes salariales y de compensación del equipo directivo de mayor nivel de Microsoft.

Charlie Bell, Vicepresidente de Seguridad de Microsoft, ha ofrecido detalles sobre todo lo que van a hacer en cuanto a ciberseguridad en la empresa en un post, en el que asegura que van a «convertir a la seguridad en la principal prioridad en Microsoft, por encima de todo lo demás y sobre el resto de funciones«.

Para empezar, como hemos mencionado, van a «introducir la rendición de cuentas basando parte de la compensación del equipo de dirección senior en el progreso en el cumplimiento de los planes y objetivos de seguridad«. Además, ha puesto en marcha tres principios de seguridad como parte de estos objetivos: seguridad por diseño, seguridad por defecto y operaciones seguras.

Con ellos pretenden poner la seguridad en primer plano durante las fases de diseño de sus productos y servicios, además de poner más énfasis en las protecciones activadas por defecto. También quieren mejorar los controles y la monitorización de las amenazas, tanto de las presentes como de las futuras.

Los pilares de seguridad de Microsoft a partir de ahora

Aparte de estos tres objetivos, tienen otros más amplios que están apoyados en lo que han llamado «seis pilares prioritarios de seguridad». Es decir, las seis áreas en las que necesitan mejorar. Son las siguientes:

1- Mejorar identidades y secretos. Para ello, la compañía promete poner en marcha los mejores estándares posible en la infraestructura que dedica a la protección de identidades y secretos, con el objetivo de que la totalidad de cuentas de sus usuarios queden protegidas mediante autenticación en varios factores. También quieren que todas las aplicaciones estén protegidas mediante la gestión de credenciales, como sucede con los certificados.

2- Protección de accesos y aislamiento de sistemas de producción. En este sentido, Microsoft va a asegurarse de que solo consiguen acceso a los servicios propios de la compañía dispositivos limpios, gestionados y seguros. También habrá un modelo de acceso de menos privilegios, con los niveles de acceso y permisos mínimos, para todas las aplicaciones.

3 – Protección de redes. La compañía promete securizar la totalidad de sus redes y sistemas de producción que estén conectadas a las redes. Para ello va a aplicar principios de microsegmentación y aislamiento a todos los entornos de producción. De esta manera se contribuirá a la creación de capas adicionales de defensa contra atacantes.

4 – Protección de sistemas de ingeniería. Microsoft señala que securizará siempre el acceso a su código fuente a través de Zero Trust y políticas de acceso del menor privilegio. Cualquier código fuente que se despliegue en entornos de producción estará protegido también por las mejores prácticas de seguridad. En cuanto a los entornos de prueba, tendrán también seguridad estandarizada, así como aislamiento de infraestructura.

5 – Monitorización y detección de amenazas. Los responsables de la compañía prometen guardar la totalidad de los logs de seguridad durante dos años, y hacer que haya seis meses de los logs que consideren adecuados a disposición de los clientes. También detectarán y responderán automáticamente y con agilidad a los accesos o cambios de configuración sospechosos en todos los servicios e infraestructura de producción de la compañía.