Microsoft ha deciso di investire maggiormente nella sicurezza per rilevare e bloccare più rapidamente gli attacchi contro le risorse aziendali e i prodotti. L’obiettivo verrà raggiunto attraverso la Secure Future Initiative annunciata a novembre 2023. Gli stipendi dei dirigenti terranno conto di progressi ottenuti.
Tre principi e sei pilastri
Negli ultimi mesi sono arrivate numerose critiche da ricercatori, legislatori e agenzie governative sulla gestione dei problemi di sicurezza da parte di Microsoft. Una serie di vulnerabilità nei servizi cloud (Outlook e Azure in particolare) hanno permesso ai cybercriminali cinesi del gruppo Storm-0558 di accedere alle email dei clienti, tra cui varie agenzie governative.
All’inizio dell’anno, i cybercriminali russi del gruppo Midnight Blizzard sono riusciti ad accedere ai sistemi aziendali e agli account email di alcuni dirigenti. All’inizio di aprile, il Cyber Safety Review Board (CSRB) del Dipartimento della sicurezza interna ha pubblicato un report che sottolinea gli errori commessi da Microsoft e la sua “inadeguata cultura per la sicurezza“.
Seguendo i suggerimenti del CSRB, l’azienda di Redmond ha deciso di migliorare l’approccio alla sicurezza considerando tre principi: sicuro per design (prodotti e servizi sicuri fin dalla progettazione), sicuro per default (protezioni attivate per impostazione predefinita) e operazioni sicure (controllo e monitoraggio continuo).
La Secure Future Initiative verrà aggiornata in base a sei pilastri prioritari: proteggere identità e segreti, proteggere tenant e isolare i sistemi di produzione, proteggere le reti, proteggere software e codice sorgente, monitore e rilevare le minacce, accelerare risposte e rimedi.
Microsoft ha inoltre apportato alcuni cambiamenti all’organizzazione interna e legato i compensi dei dirigenti al raggiungimento degli obiettivi prefissati. In una lettera inviata ai dipendenti, il CEO Satya Nadella ha scritto che la sicurezza deve essere la priorità numero uno.