A Microsoft divulgou recentemente o primeiro relatório (link no final do texto) que avalia o progresso da Secure Future Initiative (SFI), lançada em novembro de 2023.
Com o objetivo de reforçar a luta contra o aumento de ciberataques, esta iniciativa envolve 34 mil engenheiros a tempo inteiro, tornando-se o maior esforço de engenharia em cibersegurança da história.
Cibersegurança no Topo da Prioridade Corporativa
Através da SFI, a Microsoft implementou um novo Cybersecurity Governance Council e nomeou Deputy Chief Information Security Officers (Deputy CISOs) para todas as suas divisões de engenharia. Estes líderes são responsáveis por gerir os riscos cibernéticos e garantir a conformidade com as normas de segurança.
Adicionalmente, a empresa redefiniu a sua cultura organizacional, colocando a segurança como uma prioridade estratégica, agora incluída nas avaliações de desempenho dos colaboradores em todo o mundo.
Academia de Formação em Segurança e Revisões de Alta Gestão
A Microsoft lançou a Security Skilling Academy, uma plataforma de formação em cibersegurança acessível a todos os colaboradores, independentemente das suas funções.
Além disso, a equipa de liderança sénior compromete-se a rever semanalmente o progresso da SFI, fornecendo atualizações trimestrais ao Conselho de Administração.
Avanços em Seis Áreas-Chave de Cibersegurança
O relatório destaca progressos significativos em seis pilares fundamentais da SFI:
1. Proteção de Identidades e Informação Confidencial
A Microsoft atualizou o Microsoft Entra ID e o Microsoft Account (MSA) nas suas clouds, utilizando o serviço Azure Managed Hardware Security Module (HSM) para gestão de chaves de tokens de acesso. Adicionalmente, mais de 95% dos colaboradores internos utilizam credenciais resistentes a phishing.
2. Gestão de Inquilinos e Isolamento de Sistemas de Produção
A empresa eliminou 730 mil aplicações não utilizadas e desativou 5.75 milhões de inquilinos inativos, reduzindo o risco de ataque. Foi implementado um sistema mais seguro para a criação de inquilinos de teste e mais de 15.000 novos dispositivos foram colocados em produção com segurança reforçada.
3. Proteção de Redes
Mais de 99% dos ativos físicos estão registados num inventário centralizado, o que permite uma monitorização eficiente da conformidade e segurança de firmware. Redes virtuais estão agora isoladas da rede corporativa da Microsoft, reforçando a proteção contra movimentos laterais de ameaças.
4. Segurança em Sistemas de Engenharia
85% do pipeline de produção da cloud utiliza templates geridos centralmente, aumentando a eficiência e segurança. Foram implementadas medidas rigorosas para limitar o acesso a sistemas de engenharia e reduzir o tempo de vida dos Tokens de Acesso Pessoal.
5. Monitorização e Deteção de Ameaças
A Microsoft adotou bibliotecas padrão para registos de auditoria de segurança, garantindo que a telemetria relevante é mantida por um mínimo de dois anos, incluindo todos os eventos de auditoria relacionados com a infraestrutura de identidade.
6. Resposta e Correção Rápida
Foram melhorados os processos de mitigação de vulnerabilidades críticas na cloud, publicando vulnerabilidades como Vulnerabilidades e Exposições Comuns (CVEs), mesmo quando não requerem ação imediata do cliente.
Transparência e Colaboração para um Futuro Mais Seguro
A Microsoft reafirma o seu compromisso com a Secure Future Initiative, adaptando-se continuamente às novas ameaças. Este ano, a empresa também se associou ao compromisso Secure by Design da CISA, reforçando a segurança em todos os seus produtos e serviços.
Para mais detalhes sobre os avanços da SFI, consulte o relatório completo aqui.
