Mag 08, 2024 Approfondimenti, In evidenza, News, Off Topic
L’ultimo non è stato un buon anno per Microsoft: tra esposizioni di dati sensibili, vulnerabilità critiche, la campagna del gruppo APT Storm-0558 che ha portato alla compromissione di 25 clienti Azure e il breach a opera del gruppo Midnight Blizzard, la compagnia ha decisamente fallito sul fronte della sicurezza.
La Cyber Safety Review Board, la board statunitense creata per revisionare incidenti di sicurezza, ha pubblicato un report dettagliato in cui ha analizzato la compromissione Azure, descrivendo la postura di sicurezza di Microsoft “inadeguata”, causata da una serie di “errori evitabili” e di decisioni non corrette.
“Sfortunatamente, con questa review, il Consiglio ha identificato una serie di decisioni operative e strategiche che evidenziano una cultura aziendale in Microsoft che ha depriorizzato gli investimenti nella sicurezza aziendale e una rigorosa gestione dei rischi. Queste decisioni hanno comportato costi e danni significativi per i clienti Microsoft in tutto il mondo. Il Consiglio è convinto che Microsoft debba gestire la sua cultura della sicurezza” si legge nel report.
La compagnia ha deciso così di istituire la “Secure Future Initiative” (SFI), un’iniziativa volta a migliorare l’assetto di sicurezza dei servizi Microsoft che si basa su tre principi fondamentali: il secure by design, il secure by default e il secure operations.
Nell’ottica di rendere la cybersecurity sempre più una priorità, Microsoft ha recentemente annunciato un’espansione dell’iniziativa che comprende, tra le altre cose, un aggiustamento delle paghe dei manager sulla base degli obiettivi di sicurezza raggiunti.
“Infonderemo l’idea di responsabilità basando parte della retribuzione del Senior Leadership Team dell’azienda sui progressi compiuti nel soddisfare i nostri piani e le nostre pietre miliari in materia di sicurezza”.
La decisione è strettamente legata alla definizione di un nuovo framework di sicurezza che introduce una stretta collaborazione tra i team di ingegneri e i CISO, responsabili di monitorare l’applicazione dell’SFI. I CISO aggiorneranno i manager sui progressi dell’iniziativa, i quali saranno discussi ogni tre mesi con la board decisionale; quest’ultima potrà decidere di aumentare o diminuire una porzione dello stipendio dei manager in base al successo o al fallimento delle attività di team.
L’obiettivo di Microsoft è costruire una cultura di sicurezza robusta, cercando di cambiare l’approccio allo sviluppo e alla gestione dei sistemi. Non è ancora chiaro, però, quanto effettivamente le paghe dei manager dipenderanno dall’andamento dell’iniziativa, né quali sono gli indicatori che la compagnia userà per determinare il livello di successo dei singoli team.
L’impegno di Microsoft appare serio, e lo conferma anche una comunicazione interna di Satya Nadella condivisa da The Verge: il CEO della compagnia ha sottolineato l’importanza di dare sempre priorità alla sicurezza, tanto che in alcuni casi ciò significherà rinunciare a delle feature aggiuntive o al supporto per i sistemi legacy. La risposta dei dipendenti e dei manager a queste decisioni sarà quindi determinante per il futuro dell’iniziativa.