Microsoft ha presentado recientemente una serie de actualizaciones sobre su Iniciativa de Futuro Seguro (SFI, por sus siglas en inglés), lanzada en noviembre de 2023 para fortalecer la ciberseguridad a nivel interno y en toda la industria.
La compañía ha asignado recursos significativos a este esfuerzo, con el equivalente a 34.000 ingenieros a tiempo completo dedicados a la iniciativa, lo que la convierte en el mayor esfuerzo de ingeniería de ciberseguridad en la historia de la empresa. En un informe de progreso publicado el 23 de septiembre de 2024, Microsoft ha detallado los logros alcanzados y los próximos pasos en su compromiso con la seguridad.
Creación de un nuevo Consejo de Gobernanza de Ciberseguridad
Una de las principales novedades es la creación de un Consejo de Gobernanza de Ciberseguridad, cuyo objetivo es mejorar la supervisión y coordinación de las políticas de seguridad en toda la organización.
Este consejo estará liderado por el CISO de la empresa, Igor Tsyganskiy, y contará con la participación de directores adjuntos de Seguridad de la Información (Deputy Chief Information Security Officers, CISO) designados para todas las divisiones de ingeniería y funciones críticas de seguridad.
Estos directores adjuntos serán responsables de gestionar los riesgos, la defensa y el cumplimiento en torno a la ciberseguridad de la compañía, asegurando que todos los aspectos de la seguridad estén alineados con las prioridades estratégicas de Microsoft.
Este enfoque refuerza la estructura de gobernanza y proporciona una capa adicional de supervisión para las operaciones de seguridad en toda la organización. Además, Microsoft ha incluido la seguridad como parte integral de las evaluaciones de rendimiento de todos sus empleados, buscando así fomentar una cultura en la que la seguridad sea una prioridad compartida. Esta medida pretende asegurar que cada miembro de la compañía asuma la responsabilidad de proteger los datos y sistemas con los que trabaja.
Implementación de la Security Skilling Academy
Para respaldar este cambio cultural, Microsoft ha lanzado la Security Skilling Academy, un programa de capacitación diseñado para dotar a todos los empleados de las habilidades necesarias para identificar y responder a las amenazas de seguridad en su trabajo diario. Esta academia ofrece formación personalizada para que los empleados puedan aplicar conocimientos de seguridad en sus respectivas funciones, independientemente de su área de trabajo. La iniciativa busca cerrar la brecha de conocimiento en seguridad dentro de la empresa y garantizar que todos los empleados tengan una comprensión sólida de cómo sus acciones pueden afectar la postura de seguridad de la organización.
La compañía también ha reforzado la supervisión de sus iniciativas de seguridad. El progreso de la SFI es revisado semanalmente por el equipo de liderazgo y se presentan informes trimestrales a la Junta Directiva de Microsoft. Además, la seguridad se ha vinculado al scorecard de objetivos sujetos a compensación para el equipo de liderazgo, incentivando así la atención y el compromiso con las prácticas de seguridad en todos los niveles jerárquicos de la empresa.
Avances en los seis pilares de ciberseguridad
Microsoft ha estructurado su estrategia de seguridad en torno a seis pilares fundamentales, cada uno de los cuales aborda áreas críticas de la ciberseguridad. A continuación, se destacan los principales avances logrados en cada uno de estos pilares desde la ampliación de la SFI en mayo de 2024.
1. Protección de identidades y contenidos confidenciales
Uno de los principales focos ha sido la protección de identidades y datos sensibles. Microsoft ha completado actualizaciones clave en Microsoft Entra ID y Microsoft Account para sus nubes públicas y del gobierno de Estados Unidos. Estas mejoras permiten la generación, almacenamiento y rotación automática de las claves de firma de tokens de acceso mediante el servicio Azure Managed Hardware Security Module (HSM).
Además, la adopción de sus SDK de identidad estándar ha aumentado, cubriendo ahora más del 73% de los tokens emitidos por Microsoft Entra ID para aplicaciones internas, lo que estandariza y fortalece la validación de tokens de seguridad.
Otra medida relevante ha sido la implementación del uso de credenciales resistentes al phishing en sus entornos de producción y la verificación de usuario basada en vídeo para el 95% de los usuarios internos. Esta última práctica reduce la dependencia de contraseñas compartidas durante la configuración o recuperación de cuentas, mejorando así la seguridad y reduciendo el riesgo de acceso no autorizado.
2. Protección de tenants y aislamiento de sistemas de producción
Microsoft ha completado la gestión del ciclo de vida de las aplicaciones para todos sus tenants de producción y productividad, eliminando 730.000 aplicaciones no utilizadas y 5,75 millones de tenants inactivos. Esta limpieza masiva reduce la superficie de ataque al eliminar posibles puntos de entrada para ciberamenazas.
También se ha implementado un nuevo sistema que facilita la creación de tenants de pruebas y desarrollo con configuraciones predeterminadas seguras y una estricta gestión de su vida útil. Estas medidas refuerzan el aislamiento de los sistemas de producción, previniendo el acceso no autorizado y minimizando el riesgo de compromisos de seguridad.
3. Protección de redes
La compañía ha logrado registrar más del 99% de los activos físicos de su red de producción en un sistema de inventario central. Este sistema no solo cataloga los activos, sino que también supervisa la propiedad y el cumplimiento del firmware, lo que facilita la detección y corrección de vulnerabilidades.
Además, las redes virtuales con conectividad backend se han aislado de la red corporativa de Microsoft y han sido sometidas a rigurosas revisiones de seguridad para evitar movimientos laterales no autorizados. Para los clientes, Microsoft ha mejorado las capacidades de su plataforma, como Admin Rules, para facilitar el aislamiento de la red de los recursos de plataforma como servicio (PaaS), incluyendo Storage, SQL, Cosmos DB y Key Vault.
4. Protección de sistemas de ingeniería
El 85% de las cadenas de producción para la nube empresarial de Microsoft utilizan ahora plantillas de despliegue gestionadas desde un único sitio. Esto ha permitido que las implementaciones sean más consistentes y eficientes, reduciendo la posibilidad de errores humanos y aumentando la fiabilidad de los despliegues.
También se ha reducido la vida útil de los tokens de acceso personal a siete días y se ha desactivado el acceso SSH (Secure Shell) para todos los repositorios de ingeniería internos de Microsoft. Con estas medidas, se ha limitado significativamente el acceso a los sistemas de ingeniería, reduciendo así la posibilidad de compromisos de seguridad.
5. Supervisión y detección de amenazas
Microsoft ha hecho avances notables en la adopción de bibliotecas estándar para los registros de auditoría de seguridad en toda su infraestructura y servicios de producción. Esto asegura que todos los datos de telemetría relevantes se registren y se conserven durante un mínimo de dos años.
Un ejemplo destacado es la gestión central de los registros de auditoría de seguridad de la infraestructura de identidad, cubriendo todos los eventos a lo largo del ciclo de vida de las claves de firma existentes. Actualmente, más del 99% de los elementos de red están integrados en un sistema central de recopilación y retención de registros de seguridad, lo que facilita la identificación de amenazas potenciales.
6. Respuesta y mediación ante incidentes
Microsoft ha mejorado sus procesos internos para reducir el tiempo de resolución de vulnerabilidades críticas en la nube. Además, la compañía ha comenzado a publicar vulnerabilidades cloud críticas como debilidades y exposiciones comunes (CVE), incluso cuando no se requiere acción por parte de los clientes.
Esto aumenta la transparencia y facilita una mejor comprensión de los riesgos por parte de la comunidad. Para mejorar la respuesta ante incidentes, se ha establecido la Oficina de Gestión de Seguridad del Cliente (CSMO), encargada de la comunicación pública y la participación del cliente durante incidentes de seguridad.
Perspectivas a futuro
Microsoft subraya que el trabajo realizado hasta ahora en la Iniciativa de Futuro Seguro es solo el comienzo. La compañía reconoce que las ciberamenazas seguirán evolucionando, y su enfoque se centrará en continuar adaptándose a estos cambios. La SFI seguirá evolucionando para perfeccionar las prácticas de seguridad, integrar recomendaciones de la industria y colaborar con organismos externos para fortalecer la resiliencia de sus sistemas y servicios.
El compromiso de Microsoft con la transparencia y la mejora continua en ciberseguridad permanece firme. Este año, la empresa se unió al compromiso «Secure by Design» de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), lo que refuerza su dedicación a integrar la seguridad en todos los aspectos de sus productos y servicios. A medida que la SFI avanza, Microsoft planea seguir colaborando estrechamente con la industria para compartir conocimientos y desarrollar soluciones que contribuyan a un entorno digital más seguro para todos.
