Actualización sobre el progreso de la Iniciativa de Futuro Seguro (SFI) de Microsoft

Texto original disponible aquí.

En noviembre de 2023, presentamos la Iniciativa Futuro Seguro (SFI) para trabajar y velar por la ciberseguridad de forma interna, para nuestros clientes y la industria.  En mayo de 2024, anunciamos una ampliación de esta iniciativa para centrarnos en seis pilares clave de seguridad, incorporando los comentarios de la industria y nuestros propios conocimientos. Desde entonces, hemos dedicado el equivalente a 34.000 ingenieros a tiempo completo a la misma, lo que la convierte en el mayor esfuerzo de ingeniería de ciberseguridad de la historia. Hoy, compartimos actualizaciones e hitos clave en el primer Informe de Progreso de SFI, que se puede consultar completo aquí.

Captura de pantalla de SFI

La seguridad por encima de todo

En Microsoft reconocemos nuestra responsabilidad única a la hora de salvaguardar el futuro de nuestros clientes y de la comunidad. Como resultado, cada persona dentro de la compañía desempeña un papel fundamental para “priorizar la seguridad por encima de todo”. Hemos avanzado mucho en el fomento de una cultura en la que la seguridad es lo primero. Algunas de las principales actualizaciones de la iniciativa son:

  • Para mejorar la gobernanza, hoy hemos anunciado la creación de un nuevo Consejo de Gobernanza de Ciberseguridad y el nombramiento de directores adjuntos de Seguridad de la Información (Deputy Chief Information Security Officers, CISO) para las funciones clave de seguridad y todas las divisiones de ingeniería. Liderados por nuestro CISO Igor Tsyganskiy, los CISO adjuntos forman parte del Consejo de Gobierno de Ciberseguridad y son responsables de todos los aspectos generales sobre el riesgo, la defensa y el cumplimiento en torno a la ciberseguridad de la empresa.
  • La seguridad es la prioridad fundamental para todos los empleados de Microsoft y se incluirá en sus evaluaciones de rendimiento. De esta forma, se busca que todos los empleados y managers estén comprometidos y se responsabilicen de priorizar la seguridad. Además, se convierte en una forma de hacer balance de las contribuciones de cada empleado a la iniciativa SFI y celebrar sus avances e impacto.
  • Lanzamos la Security Skilling Academy, una experiencia de aprendizaje personalizada para obtener capacitaciones específicas de seguridad para todos los empleados de Microsoft en todo el mundo. La academia garantiza que, independientemente de la función que desempeñen dentro de la organización, los empleados tengan las habilidades necesarias para que puedan priorizar la seguridad en su trabajo diario e identificar la relación directa que este tiene en la protección de Microsoft.
  • Además, para garantizar la responsabilidad y la transparencia en los niveles más altos, el equipo de liderazgo de Microsoft revisa el progreso de SFI semanalmente y se proporcionan actualizaciones trimestrales a la Junta Directiva de Microsoft. Además, se ha vinculado la seguridad en el scorecard de objetivos sujetos a remuneración o compensación para el equipo de liderazgo de Microsoft.

[Más información sobre las actualizaciones en materia de cultura y gobernanza en el informe completo]

 

Un enfoque integral de ciberseguridad

También hemos progresado en nuestros seis pilares clave, cada uno de los cuales representa un área crítica de la ciberseguridad. Estos pilares guían nuestro trabajo continuo para mejorar la seguridad en Microsoft y nos ayudan a satisfacer las cambiantes demandas del panorama de la seguridad. A continuación se encuentran las actualizaciones más recientes en estas áreas:

  1. Proteger identidades y contenidos confidenciales: Hemos completado las actualizaciones de Microsoft Entra ID y Microsoft Account (MSA) para nuestras nubes públicas y del gobierno de Estados Unidos para generar, almacenar y rotar automáticamente las claves de firma de tokens de acceso, utilizando el servicio Azure Managed Hardware Security Module (HSM). Además, seguimos impulsando la adopción generalizada de nuestros SDK de identidad estándar, que proporcionan una validación consistente de los tokens de seguridad. Esta validación estandarizada cubre ahora más del 73% de los tokens emitidos por Microsoft Entra ID para aplicaciones propiedad de Microsoft. Asimismo, hemos ampliado el registro estandarizado de tokens de seguridad en nuestros SDK de identidad estándar para mejorar el rastreo y detección de amenazas y los hemos habilitado en varios servicios críticos antes de su adopción generalizada. Por otro lado, hemos completado la aplicación del uso de credenciales resistentes al phishing en nuestros entornos de producción y hemos implantado la verificación de usuario basada en vídeo para el 95% de los usuarios internos de Microsoft en nuestros entornos de productividad, de forma que se elimina el uso compartido de contraseñas durante la configuración/recuperación.
  1. Proteger los tenants y aislar los sistemas de producción: Completamos una iteración completa de la gestión del ciclo de vida de las aplicaciones para todos nuestros tenants de producción y productividad, eliminando 730.000 aplicaciones no utilizadas. También suprimimos 5,75 millones de tenants inactivos, logrando reducir drásticamente la superficie potencial de ataque. Además, hemos implantado un nuevo sistema para agilizar la creación de tenants de pruebas y desarrollo con valores predeterminados seguros y una estricta gestión de la vida útil. En total, hemos desplegado más de 15.000 nuevos dispositivos listos para producción con medidas  especiales de seguridad.
  2. Proteger las redes: Más del 99% de los activos físicos de la red de producción se registran en un sistema de inventario central, que enriquece el catálogo de activos con el seguimiento de la propiedad y el cumplimiento del firmware. Las redes virtuales con conectividad backend se aíslan de la red corporativa de Microsoft y se someten a completas revisiones de seguridad con el objetivo de reducir los movimientos laterales. Además, para ayudar a los clientes a proteger sus propios despliegues, hemos ampliado las capacidades de la plataforma, como Admin Rules, para facilitar el aislamiento de la red de los recursos de la plataforma como servicio (PaaS), como Storage, SQL, Cosmos DB y Key Vault.
  3. Proteger los sistemas de ingeniería: El 85% de nuestras cadenas de producción para cloud empresarial utilizan ahora plantillas de despliegue que se gestionan desde un único sitio, lo que hace que las implantaciones sean más consistentes, eficientes y fiables. Además, hemos reducido la vida útil de los tokens de acceso personal a siete días, y hemos desactivado el acceso SSH (Secure Shell) para todos los repositorios de ingeniería internos de Microsoft y reducido significativamente el número de roles con acceso a los sistemas de ingeniería. También hemos implementado verificaciones de existencia para puntos críticos en nuestro flujo de código de desarrollo de software.
  4. Supervisión y detección de amenazas: hemos logrado un progreso significativo al hacer que toda la infraestructura y los servicios de producción de Microsoft adopten bibliotecas estándar para los registros de auditoría de seguridad, garantizando que se emitan los datos de telemetría relevantes y que se conserven los registros durante un mínimo de dos años. Por ejemplo, hemos establecido una gestión central y un período de retención de dos años para los registros de auditoría de seguridad de la infraestructura de identidad, que abarca todos los eventos de auditoría a lo largo del ciclo de vida de las claves de firma existentes. Del mismo modo, más del 99% de los elementos de red ahora incluyen recopilación y retención de registros de seguridad de forma centralizada.
  5. Acelerar la respuesta y la mediación: actualizamos los procesos en Microsoft para mejorar el tiempo de resolución de las vulnerabilidades críticas en la nube. Comenzamos a publicar vulnerabilidades cloud críticas como debilidades y exposiciones comunes (CVE), incluso si no se requiere ninguna acción por parte del cliente, para mejorar la transparencia. Establecimos la Oficina de Gestión de Seguridad del Cliente (CSMO) para mejorar la comunicación pública y la participación del cliente en incidentes de seguridad (envío de notificaciones).

[Lea más detalles sobre los seis pilares en el informe completo]

Reafirmando nuestro compromiso con la seguridad

En materia de seguridad, la evolución contínua es más importante, si cabe, que la «perfección» y esto se refleja en la magnitud de los recursos que hemos puesto en marcha para alcanzar nuestros objetivos en la Iniciativa de Futuro Seguro (SFI). El trabajo en equipo que estamos realizando para aumentar continuamente la protección, eliminar los activos obsoletos o no conformes; e identificar otros sistemas para monitorizarlos, refleja de manera concluyente nuestro éxito. De cara al futuro, seguimos comprometidos con la mejora continua. La Iniciativa SFI continuará evolucionando, adaptándose a las nuevas amenazas y perfeccionando nuestras prácticas de seguridad. Nuestro compromiso con la transparencia y la colaboración de la industria sigue siendo inquebrantable. A principios de este año, Microsoft se convirtió en uno de los principales participantes del compromiso Secure by Design (Seguridad por Diseño) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), lo que refuerza nuestra visión y dedicación a la hora de integrar la seguridad en todos los aspectos de nuestros productos y servicios. Además, continuamos incorporando las recomendaciones de la Junta de Revisión de Seguridad Cibernética (CSRB) para fortalecer nuestro enfoque de ciberseguridad y mejorar la resiliencia.

El trabajo que hemos realizado hasta ahora es solo el comienzo. Sabemos que las ciberamenazas seguirán evolucionando, y debemos hacerlo también con ellas. Fomentando esta cultura de aprendizaje y mejora continua, estamos construyendo un futuro en el que la seguridad no es solo una característica, sino la base de todo.

Tags: ,

Posts relacionados

Los «red teams» piensan como hackers para ayudar a mantener la seguridad de la IA

Al igual que las herramientas de Inteligencia Artificial como ChatGPT y Copilot han transformado la manera de trabajar de personas que desempeñan todo tipo de roles en todo el mundo, también han redefinido los red teams, grupos formados por expertos en ciberseguridad cuyo trabajo consiste en pensar como hackers para ayudar a proteger y mantener segura la tecnología.