Por: Charlie Bell, vicepresidente ejecutivo de seguridad de Microsoft.

En noviembre de 2023, presentamos la Iniciativa Futuro Seguro (SFI, por sus siglas en inglés) para avanzar en la protección de la ciberseguridad para Microsoft, nuestros clientes y el sector. En mayo de 2024, ampliamos la iniciativa para centrarnos en seis pilares clave de seguridad, al incorporar los comentarios de la industria y nuestros propios conocimientos. Desde que comenzó la iniciativa, hemos dedicado el equivalente a 34 mil ingenieros a tiempo completo a SFI, lo que lo convierte en el mayor esfuerzo de ingeniería de ciberseguridad de la historia. Y ahora, compartimos actualizaciones e hitos clave del primer Informe de progreso de SFI.  

Source LATAM

septiembre 23, 2024

Asegurar nuestro futuro: actualización de progreso sobre la Iniciativa de Futuro Seguro (SFI) de Microsoft de septiembre de 2024

Ilustración que muestra a Charlie Bell, vicepresidente ejecutivo de Microsoft Security

Por: Charlie Bell, vicepresidente ejecutivo de seguridad de Microsoft.

En noviembre de 2023, presentamos la Iniciativa Futuro Seguro (SFI, por sus siglas en inglés) para avanzar en la protección de la ciberseguridad para Microsoft, nuestros clientes y el sector. En mayo de 2024, ampliamos la iniciativa para centrarnos en seis pilares clave de seguridad, al incorporar los comentarios de la industria y nuestros propios conocimientos. Desde que comenzó la iniciativa, hemos dedicado el equivalente a 34 mil ingenieros a tiempo completo a SFI, lo que lo convierte en el mayor esfuerzo de ingeniería de ciberseguridad de la historia. Y ahora, compartimos actualizaciones e hitos clave del primer Informe de progreso de SFI.  

Lean el Informe completo de progreso de SFI

Un enfoque en la seguridad por encima de todo

Ilustración que muestra los pilares de la Iniciativa de Futuro Seguro

En Microsoft, reconocemos nuestra responsabilidad única de salvaguardar el futuro de nuestros clientes y la comunidad. Como resultado, cada individuo en Microsoft desempeña un papel fundamental para «priorizar la seguridad por encima de todo«. Hemos logrado avances significativos en el fomento de una cultura que prioriza la seguridad. Algunas de las principales actualizaciones incluyen:

Para mejorar la gobernanza, anunciamos la creación de un nuevo Consejo de Gobernanza de Ciberseguridad y el nombramiento de directores adjuntos de seguridad de la información (CISO Adjuntos) para funciones clave de seguridad y todas las divisiones de ingeniería. Liderados por nuestro CISO Igor Tsyganskiy, los CISO adjuntos forman el Consejo de Gobernanza de la Ciberseguridad y son responsables del riesgo cibernético general, la defensa y el cumplimiento de la empresa.  

La seguridad es ahora una prioridad central para todos los empleados de Microsoft y se incluirá en sus evaluaciones de rendimiento. Esto permitirá que todos los empleados y gerentes se comprometan y sean responsables de priorizar la seguridad, y una forma de codificar las contribuciones de un empleado a SFI y celebrar el impacto.

Lanzamos la Security Skilling Academy, una experiencia de aprendizaje personalizada de capacitaciones específicas de seguridad para todos los empleados en todo el mundo. La academia garantiza que, sin importar la función, los empleados estén equipados para priorizar la seguridad en su trabajo diario e identificar la parte directa que tienen en la protección de Microsoft.  

Para garantizar la responsabilidad y la transparencia en los niveles más altos, el equipo de liderazgo sénior de Microsoft revisa el progreso de SFI cada semana y se proporcionan actualizaciones trimestrales a la Junta Directiva de Microsoft. Además, el equipo de liderazgo senior de Microsoft ahora tiene el rendimiento de seguridad vinculado de manera directa a la compensación.  

Source LATAM

septiembre 23, 2024

Asegurar nuestro futuro: actualización de progreso sobre la Iniciativa de Futuro Seguro (SFI) de Microsoft de septiembre de 2024

Ilustración que muestra a Charlie Bell, vicepresidente ejecutivo de Microsoft Security

Por: Charlie Bell, vicepresidente ejecutivo de seguridad de Microsoft.

En noviembre de 2023, presentamos la Iniciativa Futuro Seguro (SFI, por sus siglas en inglés) para avanzar en la protección de la ciberseguridad para Microsoft, nuestros clientes y el sector. En mayo de 2024, ampliamos la iniciativa para centrarnos en seis pilares clave de seguridad, al incorporar los comentarios de la industria y nuestros propios conocimientos. Desde que comenzó la iniciativa, hemos dedicado el equivalente a 34 mil ingenieros a tiempo completo a SFI, lo que lo convierte en el mayor esfuerzo de ingeniería de ciberseguridad de la historia. Y ahora, compartimos actualizaciones e hitos clave del primer Informe de progreso de SFI.  

Lean el Informe completo de progreso de SFI

Un enfoque en la seguridad por encima de todo

Ilustración que muestra los pilares de la Iniciativa de Futuro Seguro

En Microsoft, reconocemos nuestra responsabilidad única de salvaguardar el futuro de nuestros clientes y la comunidad. Como resultado, cada individuo en Microsoft desempeña un papel fundamental para «priorizar la seguridad por encima de todo«. Hemos logrado avances significativos en el fomento de una cultura que prioriza la seguridad. Algunas de las principales actualizaciones incluyen:

Para mejorar la gobernanza, anunciamos la creación de un nuevo Consejo de Gobernanza de Ciberseguridad y el nombramiento de directores adjuntos de seguridad de la información (CISO Adjuntos) para funciones clave de seguridad y todas las divisiones de ingeniería. Liderados por nuestro CISO Igor Tsyganskiy, los CISO adjuntos forman el Consejo de Gobernanza de la Ciberseguridad y son responsables del riesgo cibernético general, la defensa y el cumplimiento de la empresa.  

La seguridad es ahora una prioridad central para todos los empleados de Microsoft y se incluirá en sus evaluaciones de rendimiento. Esto permitirá que todos los empleados y gerentes se comprometan y sean responsables de priorizar la seguridad, y una forma de codificar las contribuciones de un empleado a SFI y celebrar el impacto.

Lanzamos la Security Skilling Academy, una experiencia de aprendizaje personalizada de capacitaciones específicas de seguridad para todos los empleados en todo el mundo. La academia garantiza que, sin importar la función, los empleados estén equipados para priorizar la seguridad en su trabajo diario e identificar la parte directa que tienen en la protección de Microsoft.  

Para garantizar la responsabilidad y la transparencia en los niveles más altos, el equipo de liderazgo sénior de Microsoft revisa el progreso de SFI cada semana y se proporcionan actualizaciones trimestrales a la Junta Directiva de Microsoft. Además, el equipo de liderazgo senior de Microsoft ahora tiene el rendimiento de seguridad vinculado de manera directa a la compensación.  

Exploren más detalles sobre las actualizaciones de cultura y gobernanza en el informe completo

Aspectos destacados del pilar: Un enfoque integral de la ciberseguridad

También hemos avanzado en nuestros seis pilares clave, cada uno de los cuales representa un área crítica de enfoque de ciberseguridad. Estos pilares guían nuestro trabajo continuo para elevar el nivel de seguridad en Microsoft y nos ayudan a satisfacer las demandas cambiantes del panorama de la seguridad. Estas son las actualizaciones más recientes en estas áreas:

Proteger identidades y secretos: hemos completado las actualizaciones de Microsoft Entra ID y Microsoft Account (MSA) para que nuestras nubes públicas y gubernamentales de los Estados Unidos generen, almacenen y roten en automático las claves de firma de tokens de acceso mediante el servicio Azure Managed Hardware Security Module (HSM). Hemos seguido con el impulso de la adopción generalizada de nuestros SDK de identidad estándar, que proporcionan una validación coherente de los tokens de seguridad. Esta validación estandarizada ahora cubre más del 73% de los tokens emitidos por Microsoft Entra ID para aplicaciones propiedad de Microsoft. Hemos ampliado el registro de tokens de seguridad estandarizados en nuestros SDK de identidad estándar para admitir la búsqueda y las detecciones de amenazas, y las hemos habilitado en varios servicios críticos antes de una adopción generalizada. Completamos la aplicación del uso de credenciales resistentes a la suplantación de identidad (phishing) en nuestros entornos de producción e implementamos la verificación de usuarios basada en vídeo para el 95% de los usuarios internos de Microsoft en nuestros entornos de productividad para eliminar el uso compartido de contraseñas durante la configuración y la recuperación.  

Proteger a los inquilinos y aislar los sistemas de producción: completamos una iteración completa de la administración del ciclo de vida de las aplicaciones para todos nuestros inquilinos de producción y productividad, al eliminar 730 mil aplicaciones no utilizadas. Eliminamos 5,75 millones de inquilinos inactivos, para reducir de manera importante la superficie potencial de ciberataques. Implementamos un nuevo sistema para agilizar la creación de inquilinos de prueba y experimentación con valores predeterminados seguros y una administración estricta de la vida útil. En los últimos tres meses, hemos desplegado más de 15 mil nuevos dispositivos bloqueados listos para la producción.  

Proteger las redes: Más del 99% de los activos físicos de la red de producción se registran en un sistema de inventario central, que enriquece el inventario de activos con el seguimiento de la propiedad y el cumplimiento del firmware. Las redes virtuales con conectividad de back-end están aisladas de la red corporativa de Microsoft y están sujetas a revisiones de seguridad completas para reducir el movimiento lateral. Para ayudar a los clientes a proteger sus propias implementaciones, hemos ampliado las capacidades de la plataforma, como las reglas de administración, para facilitar el aislamiento de red de los recursos de plataforma como servicio (PaaS, por sus siglas en inglés), como Azure Storage, SQL, Cosmos DB y Key Vault. 

Proteger los sistemas de ingeniería: el 85% de nuestras canalizaciones de compilación de producción para la nube comercial ahora utilizan plantillas de canalizaciones gobernadas de forma centralizada, lo que hace que las implementaciones sean más coherentes, eficientes y fiables. Hemos reducido la vida útil de los tokens de acceso personal a siete días, hemos deshabilitado el acceso al protocolo Secure Shell (SSH) para todos los repositorios de ingeniería internos de Microsoft y hemos reducido de manera significativa el número de roles elevados con acceso a los sistemas de ingeniería. También implementamos comprobaciones de prueba de presencia para cuellos de botella críticos en nuestro flujo de código de desarrollo de software. 

Supervisión y detección de amenazas: hemos logrado un progreso significativo al aplicar que toda la infraestructura y los servicios de producción de Microsoft adopten bibliotecas estándar para los registros de auditoría de seguridad, para garantizar que se emitan los datos de telemetría relevantes y conserven los registros durante un mínimo de dos años. Por ejemplo, hemos establecido una administración central y un período de retención de dos años para los registros de auditoría de seguridad de la infraestructura de identidad, que abarca todos los eventos de auditoría de seguridad a lo largo del ciclo de vida de las claves de firma actuales. Del mismo modo, más del 99% de los dispositivos de red ahora están habilitados con recopilación y retención de registros de seguridad centralizadas. 

Acelerar la respuesta y la corrección: actualizamos los procesos en Microsoft para mejorar el tiempo de mitigación de las vulnerabilidades críticas en la nube. Comenzamos a publicar vulnerabilidades críticas en la nube como vulnerabilidades y exposiciones comunes (CVE, por sus siglas en inglés), incluso si no se requiere ninguna acción por parte del cliente, para mejorar la transparencia. Establecimos la Oficina de Administración de Seguridad del Cliente (CSMO, por sus siglas en inglés) para mejorar la mensajería pública y la participación del cliente en incidentes de seguridad.  

Reafirmar nuestro compromiso en materia de seguridad

En materia de seguridad, el progreso constante es más importante que la «perfección» y esto se refleja en la magnitud de los recursos movilizados para alcanzar nuestros objetivos de SFI. El trabajo colectivo que realizamos para aumentar de manera continua la protección, eliminar los activos heredados o que no cumplen con las normas e identificar los sistemas restantes para monitorear de manera concluyente las medidas de nuestro éxito. De cara al futuro, seguimos comprometidos con la mejora continua. SFI continuará con su evolución, adaptándose a las nuevas amenazas cibernéticas y al perfeccionar nuestras prácticas de seguridad. Nuestro compromiso con la transparencia y la colaboración de la industria se mantiene inquebrantable. A principios de 2024, Microsoft se convirtió en uno de los principales partidarios del compromiso Secure by Design de la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA, por sus siglas en inglés), lo que refuerza nuestra dedicación a integrar la seguridad en todos los aspectos de nuestros productos y servicios. Además, continuamos con la integración de las recomendaciones de la Junta de Revisión de Seguridad Cibernética (CSRB, por sus siglas en inglés) para fortalecer nuestro enfoque de ciberseguridad y mejorar la resiliencia. 

El trabajo que hemos hecho hasta ahora es solo el comienzo. Sabemos que las ciberamenazas seguirán con su evolución, y debemos evolucionar con ellas. Al fomentar esta cultura de aprendizaje y mejora continua, construimos un futuro en el que la seguridad no es solo una característica, sino una base.