Estados Unidos la incrementó la presión contra Microsoft en los últimos años, para que esta respondiera por las diversas vulneraciones de seguridad que sufrió el gobierno. En su reciente informe, la Junta de Revisión de Seguridad Cibernética de Estados Unidos concluyó, “la cultura de Seguridad de Microsoft es inadecuada y requiere de revisión”.
Dicho señalamiento de la Junta de Seguridad se basa en los recientes ataques de seguridad que sufrieron los servidores de Microsoft. El informe plantea que la compañía pudo haber evitado las vulneraciones de ciberatacantes rusos y chinos a la infraestructura digital del Gobierno de Estados Unidos, de no haber tenido una “cascada de fallas de seguridad”. Cabe recordar, a finales de 2023, piratas informáticos patrocinados por el Gobierno ruso, espiaron cuentas de correo de miembros del equipo de liderazgo senior de Microsoft, e incluso robaron código fuente.
Ante ello, el CEO de Microsoft, Stya Nadella, y Charlie Bell, vicepresidente de seguridad de Mircrosot, aseguraron, la compañía está haciendo de la seguridad su principal prioridad. Respecto a esto, The Verge publicó un memorándum que Nadella envió a los empleados de Microsoft sobre la nueva revisión de seguridad. A través del cual, el CEO informa que para redoblar la seguridad se adicionarán principios y prioridades básicos a la Iniciativa de Futuro Seguro, creada por Microsoft a finales de 2023.
De acuerdo con el mensaje de Nadella, los tres principios básicos por los que se regirá Microsoft para cumplir con los objetivos de seguridad, son, “seguro por diseño”, “seguro de forma predeterminada” y “operaciones seguras”. Bajo estos preceptos, Microsoft indica a sus trabajadores, “si te enfrentas a la disyuntiva entre seguridad y otra prioridad, la respuesta es clara, hazlo con seguridad”. A fin de evitar se realicen concesiones en torno a la seguridad y esta prime por sobre la funcionalidad o soporte.
Adicionalmente, el mensaje de Nadella plantea que para abordar con rigor técnico la seguridad, Microsoft envió acciones específicas para cada área de la empresa. Según The Verge, dichas medidas tienen como base 6 pilares de seguridad priorizados. Estos son, “proteja identidad y secretos”, “proteja inquilinos y aísle sistemas de producción”, “proteja las redes”, “proteja sistemas de ingeniería”, “supervise y detecte amenazas” y “acelere la respuesta de conexión. A su vez, cada uno de estos puntos detalla las medidas y acciones que deben llevarse a cabo a fin de garantizar el cumplimiento de los objetivos de seguridad.