Microsoft baserà una parte della retribuzione dei dirigenti senior sulla sicurezza e aggiungerà dei vice CISO ai gruppi di prodotto
Microsoft rafforza la sicurezza aziendale in risposta a serie di recenti violazioni
Microsoft sta modificando le proprie pratiche di sicurezza, la struttura organizzativa e la compensazione dei dirigenti nel tentativo di affrontare una serie di gravi violazioni della sicurezza, sotto crescente pressione da parte dei leader governativi e dei grandi clienti.
Cambiamenti significativi per la sicurezza informatica
La società ha comunicato venerdì mattina che baserà una parte della compensazione dei dirigenti senior sui progressi verso gli obiettivi di sicurezza, installerà vice capi dei responsabili della sicurezza delle informazioni (CISO) in ciascun gruppo di prodotti e riunirà team delle sue principali piattaforme e team di prodotti in “onde di ingegneria” per rinnovare la sicurezza.
Charlie Bell, vice presidente esecutivo della sicurezza di Microsoft, ha scritto in un post sul blog che questi cambiamenti si basano sull’iniziativa “Secure Future Initiative” (SFI), introdotta lo scorso autunno.
La società integra inoltre le raccomandazioni recenti della Cyber Safety Review Board (CSRB) come parte delle modifiche annunciate venerdì, oltre alle lezioni apprese dagli attacchi informatici di alto profilo.
Reazione alla critica situazione della sicurezza informatica
I cambiamenti seguono un rapporto della CSRB che ha descritto la cultura della sicurezza di Microsoft come “inadeguata” e ha chiesto alla società di fare della sicurezza la sua massima priorità, rivitalizzando efficacemente lo spirito dell’iniziativa Trustworthy Computing istituita nel 2002 da Bill Gates.
Il rapporto ha sottolineato che le iniziative di sicurezza devono essere “direttamente e strettamente sorvegliate” dal CEO e dal consiglio di amministrazione di Microsoft.
Struttura organizzativa e compensazione
I cambiamenti nella compensazione annunciati venerdì si applicheranno al team di leadership senior di Microsoft, i principali dirigenti che riportano al CEO Satya Nadella.
La società non ha specificato quale percentuale della loro compensazione sarà basata sulla sicurezza.
Nadella ha lasciato intendere queste modifiche la settimana scorsa nella conferenza sugli utili trimestrali dell’azienda quando ha affermato che l’azienda avrebbe posto la sicurezza al di sopra di tutto il resto, prima di tutte le altre caratteristiche e investimenti.
La nuova “struttura di governance della sicurezza” dell’azienda sarà supervisionata dal Chief Information Security Officer di Microsoft, guidato da Igor Tsyganskiy come CISO di Microsoft a seguito di un riassetto esecutivo avvenuto a dicembre.
I vice CISO nei team di prodotto riferiranno direttamente a Tsyganskiy.
Questo cambiamento nella struttura organizzativa e di reportistica è stato riportato per la prima volta da Bloomberg News giovedì.
Conclusioni e monitoraggio
Questo framework introduce una partnership tra i team di ingegneria e i vice CISO di recente formazione, responsabili collettivamente della supervisione dell’SFI, della gestione dei rischi e della segnalazione dei progressi direttamente al Team di Leadership Senior.
I progressi verranno revisionati settimanalmente con questo forum esecutivo e trimestralmente con il Consiglio di Amministrazione.
Microsoft ha annunciato in gennaio di quest’anno che un attore sponsorizzato dallo stato russo noto come Nobelium o Midnight Blizzard ha accesso ai suoi sistemi interni e agli account email esecutivi.
Più recentemente, la stessa società ha riferito che gli stessi attaccanti sono stati in grado di accedere ad alcuni dei suoi repository di codice sorgente e sistemi interni.
In un altro incidente di alto profilo, tra maggio e giugno del 2023, il gruppo hacker cinese noto come Storm-0558 è ritenuto responsabile di aver compromesso le caselle di posta di Microsoft Exchange Online di oltre 500 persone e 22 organizzazioni in tutto il mondo, inclusi alti funzionari del governo degli Stati Uniti.
