A raíz de los recientes ciberataques que comprometieron los datos de millones de usuarios y expusieron las vulnerabilidades de sus servicios en la nube, Microsoft ha anunciado una nueva iniciativa para mejorar sus prácticas de seguridad y privacidad. La iniciativa, denominada “Futuro Seguro”, tiene como objetivo abordar las causas fundamentales de las infracciones, mejorar la resiliencia de sus sistemas y restaurar la confianza de sus clientes y socios.
Según una publicación de blog del presidente de Microsoft, Brad Smith, la iniciativa Secure Future se centrará en cuatro áreas clave: fortalecer la seguridad de sus productos y servicios, invertir en investigación e innovación, colaborar con la industria y las partes interesadas del gobierno, y educar y empoderar a los usuarios. Smith dijo que Microsoft está comprometido a “asumir la responsabilidad de nuestro papel en el ecosistema digital” y “hacer todo lo posible para prevenir, detectar y responder a los ciberataques”.
Algunas de las acciones específicas que Microsoft planea tomar como parte de la iniciativa Secure Future incluyen:
– Llevar a cabo una revisión integral de sus políticas y procedimientos de seguridad e implementar las mejores prácticas en toda su organización.
– Incrementar su gasto en ciberseguridad un 20% durante los próximos cinco años y contratar a más de 1.000 expertos en seguridad.
– Desarrollar nuevas tecnologías y herramientas para mejorar la protección y el cifrado de datos, así como la detección y mitigación de amenazas.
– Asociarse con otras empresas de tecnología, agencias gubernamentales, fuerzas del orden y grupos de la sociedad civil para compartir información y coordinar respuestas a incidentes cibernéticos.
– Lanzamiento de una nueva plataforma en línea para brindar a los usuarios recursos y orientación sobre cómo proteger sus dispositivos, cuentas y datos.
– Ofrecer evaluaciones de seguridad y capacitación gratuitas a sus clientes y socios, especialmente a las pequeñas y medianas empresas.
Smith reconoció que la iniciativa Secure Future no es una “solución rápida” ni una “solución milagrosa”, sino más bien un “compromiso a largo plazo” que requiere una “mejora continua”. También admitió que Microsoft “no cumplió” con sus propios estándares y expectativas en la prevención y el manejo de los ciberataques, y se disculpó por las molestias y daños causados a sus usuarios. Dijo que Microsoft está decidido a “aprender de nuestros errores” y “hacerlo mejor” en el futuro.
Se espera que la iniciativa Secure Future se lance a principios de 2024, con actualizaciones e informes periódicos sobre su progreso e impacto. Smith dijo que Microsoft espera que la iniciativa no sólo mejore su propia postura de seguridad, sino que también contribuya a “un mundo digital más seguro para todos”.
La estrategia que Microsoft anunció el jueves tiene muchos aspectos, pero uno de los más concretos y relevantes es cómo mejorará sus prácticas de ingeniería y desarrollo de software. En un correo electrónico a los empleados, Charlie Bell, vicepresidente ejecutivo de seguridad de Microsoft, y sus colegas Scott Guthrie y Rajesh Jha, describieron un plan para fortalecer la seguridad de los sistemas de gestión de identidades en los productos de Microsoft, mejorar la calidad y seguridad del código de software y Reducir el tiempo y el esfuerzo necesarios para responder y corregir vulnerabilidades, especialmente aquellas que afectan a los servicios en la nube.
Este anuncio llega en un momento en que Microsoft ha sido criticado por algunos incidentes en los que fallas en sus productos han permitido a los atacantes (tanto ciberdelincuentes que buscan ganancias como piratas informáticos patrocinados por el estado) comprometer los propios sistemas de Microsoft y los de sus clientes. La situación también está cambiando a medida que los reguladores y los organismos encargados de hacer cumplir la ley buscan nuevas formas de disuadir y prevenir ataques dañinos.
Por ejemplo, el lunes, la Comisión de Bolsa y Valores de EE. UU. (SEC) presentó cargos contra SolarWinds y su director de seguridad de la información por supuestamente no revelar ni abordar los “riesgos y vulnerabilidades de ciberseguridad” que, según la SEC, eran conocidos.
Microsoft dijo el jueves que su Iniciativa Futuro Seguro es una respuesta a las crecientes amenazas de los atacantes. “En los últimos meses, hemos llegado a la conclusión dentro de Microsoft de que la creciente velocidad, escala y sofisticación de los ciberataques exigen una nueva respuesta”, escribió Brad Smith, vicepresidente y presidente de Microsoft.