Microsoft está revisando su estrategia de ciberseguridad después de un ataque de alto perfil a los correos electrónicos de la compañía y una dura reprimenda del gobierno federal por sus prácticas de seguridad. La compañía ha nombrado a más directores de seguridad de la información (CISO) para los equipos de productos, así como a un nuevo CISO adjunto para comunicarse con los clientes. Los CISO de productos reportarán a Igor Tsyganskiy, el CISO global de Microsoft que asumió el cargo hace unos seis meses, según un informe de Bloomberg.

Por otra parte, Ann Johnson, ejecutiva de seguridad de larga trayectoria, ha sido nombrada directora de seguridad de la información adjunta para atención al cliente e industrias reguladas. También reportará a Igor Tsyganskiy. Se centrará en "la interacción con el cliente y la comunicación sobre la seguridad de Microsoft", dijo la compañía en un correo electrónico visto por Bloomberg. Un portavoz de Microsoft dijo en un correo electrónico el viernes que la compañía no tenía nada que compartir sobre los cambios de liderazgo en este momento.

Índice
  1. Fortalecer la estrategia de seguridad
  2. Preocupaciones persistentes de seguridad
  3. En el camino correcto

Fortalecer la estrategia de seguridad

Las medidas parecen ser una continuación de la Iniciativa de Futuro Seguro (SFI, por sus siglas en inglés) que la compañía presentó en noviembre para mejorar la seguridad incorporada de sus productos y plataformas y proteger mejor a sus clientes contra las crecientes amenazas. La iniciativa tiene como objetivo movilizar a “todas las partes de Microsoft” para fortalecer las protecciones de ciberseguridad a lo largo de tres ejes: “ciberdefensas basadas en IA, avances en ingeniería de software fundamental y defensa de una aplicación más estricta de las normas internacionales”, como dijo en ese momento el vicepresidente corporativo y presidente de Microsoft, Brad Smith.

De hecho, las soluciones de Microsoft han sido históricamente y notoriamente el blanco de los piratas informáticos que han explotado durante mucho tiempo sus vulnerabilidades para llevar a cabo actividades maliciosas que han afectado a numerosas empresas y han causado daños generalizados en múltiples industrias y geografías. En diciembre, inmediatamente después del anuncio de esta iniciativa, Microsoft nombró a Igor Tsyganskiy, un recién llegado a la empresa, para reemplazar al veterano CISO Bret Arsenault, quien fue ascendido a un puesto de asesor.

Preocupaciones persistentes de seguridad

Casi al mismo tiempo, pero sin que Microsoft lo supiera hasta enero, Midnight Blizzard, un grupo de amenazas con sede en Rusia también conocido como Nobelium, estaba pirateando los correos electrónicos de los empleados de Microsoft, incluidos los altos ejecutivos. Microsoft acusó al grupo el año pasado de usar ingeniería social para llevar a cabo un ciberataque a Teams. A mediados de abril, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) advirtió que Midnight Blizzard había explotado la falla para robar correos electrónicos de agencias gubernamentales, y recomendó a las agencias que revisaran urgentemente sus sistemas de correo electrónico en busca de señales de vulneración.

Como si eso no fuera suficiente, a principios de abril, Microsoft también recibió una dura evaluación de una comisión federal por otro ciberataque patrocinado por un estado contra el gobierno federal. Ese ocurrió en julio de 2023, cuando actores chinos piratearon cuentas de Microsoft 365 para atacar a funcionarios clave del gobierno estadounidense. El informe publicado el 2 de abril por la Junta de Revisión de Ciberseguridad independiente del Departamento de Seguridad Nacional (DHS) pinta un panorama incendiario de la cultura de seguridad de Microsoft y culpa a la empresa por el ataque Storm-0558, que según el comité podría haberse evitado fácilmente.

En el camino correcto

La última estrategia de seguridad de Microsoft muestra que la empresa está incorporando comentarios y tomando medidas correctivas para mejorar su postura de seguridad general y sus productos, especialmente a medida que aumenta la presión externa. “Microsoft está tomando la decisión correcta al aumentar su enfoque en la seguridad con nuevos nombramientos de liderazgo”, dijo Pareekh Jain, CEO de EIIRTrend & Pareekh Consulting, en un correo electrónico. “Hoy en día, no solo hay individuos o grupos de piratas informáticos que atacan, sino que también se producen incidentes de ciberseguridad patrocinados por el estado. Los proveedores de soluciones como Microsoft, que tienen un gran alcance entre consumidores, empresas y gobiernos, deben estar unos pasos por delante en esta área”, agregó.

“Microsoft también será visto como un ejemplo para otros proveedores de productos sobre cómo abordar los desafíos de seguridad, por lo que los pasos que tome hoy son fundamentales para la hoja de ruta de seguridad general de la industria”, señaló. “En el espacio de productos, la métrica clave es el tiempo de comercialización de las nuevas características. Es hora de cambiar el enfoque hacia el tiempo de seguridad”, agregó el consultor. “La industria estará observando lo que hace Microsoft y, en el futuro, más empresas de productos se centrarán en el tiempo de comercialización y en incorporar expertos en seguridad dentro de sus grupos de productos”.