Ann Johnson, Deputy Chief Information Security Officer (CISO) y vicepresidenta corporativa para la seguridad de clientes en Microsoft, aseguró que la compañía está adoptando un enfoque holístico para la ciberseguridad, integrándola en cada faceta de la organización.

Ante la convulsión de amenazas cibernéticas que se prolieran expansivamente, Microsoft está estableciendo nuevos estándares con su iniciativa Secure Future Initiative (SFI).

anzada en noviembre de 2023, SFI es un esfuerzo ambicioso dirigido a mejorar la protección no solo para Microsoft, sino también para sus clientes y la industria en general. Durante el último año, Microsoft ha reunido a más de 34.000 ingenieros a tiempo completo trabajando en sus diferentes pilares, lo que la convierte en uno de los efuerzos de ingeniería en ciberseguridad más grande de la historia.

Los seis pilares son protección de identidades y contenidos confidenciales, protección de tenants y sistemas de producción, la protección de redes, la protección de sistemas de ingeniería, la detección de amenazas y respuesta y mediación.

El núcleo de esta iniciativa se basa en la creencia fundamental de que la seguridad debe ser responsabilidad de todos.

Ann Johnson, Deputy Chief Information Security Officer (CISO) y vicepresidenta corporativa para la seguridad de clientes en Microsoft, aseguró que la compañía está adoptando un enfoque holístico para la ciberseguridad, integrándola en cada faceta de la organización.

“La seguridad siempre debe ser la prioridad”, explicó Johnson en una entrevista, haciendo referencia a un memorando interno del CEO de Microsoft, Satya Nadella, en el que dejaba claro que la ciberseguridad nunca debe verse comprometida, incluso si eso implica sacrificar el desarrollo de productos. E

ste cambio cultural interno refleja el reconocimiento de Microsoft sobre el panorama de amenazas en constante evolución, donde las brechas y ataques pueden tener consecuencias de gran alcance.

En el corazón de la iniciativa Secure Future está el enfoque en la gobernanza. Microsoft ha creado un nuevo Consejo de Gobernanza de Ciberseguridad, liderado por Igor Tsyganskiy, CISO de la compañía, y un equipo de sub-CISOs.

Este consejo supervisa el enfoque de la empresa hacia el riesgo cibernético, asegurando que la seguridad esté entretejida en cada capa de las operaciones de Microsoft.

Johnson señala que esta estrategia basada en la gobernanza no solo se trata de proteger a Microsoft, sino también de establecer un estándar para la industria.

“No puedes gestionar lo que no puedes medir”, explica, mencionando la importancia de tener métricas claras y responsabilidad establecida.

Microsoft ahora realiza revisiones semanales del progreso de SFI con el equipo de liderazgo senior de la compañía y proporciona actualizaciones trimestrales a la junta directiva.

Uno de los desafíos más importantes que enfrentan las organizaciones modernas es la protección de la identidad y Microsoft quiere estar en la delantera de ese desafío, más cuando es factible que a través de videollamadas las personas sean suplantadas.

En 2024, la compañía implementó autenticación multifactor resistente a ataques de phishing para más de 275,000 empleados y contratistas, una medida diseñada para combatir uno de los métodos más comunes de ciberataques: el robo de credenciales.

Este sistema requiere que los usuarios verifiquen sus identidades a través de múltiples capas de autenticación, asegurando que el acceso no autorizado sea casi imposible.

Johnson resalta la importancia de este enfoque, señalando que los atacantes a menudo explotan las vulnerabilidades más simples, como contraseñas débiles o cuentas mal protegidas. “Es como asegurar tu casa”, explica. “Si dejas una ventana abierta, ahí es donde el ladrón intentará entrar”.

Para reforzar aún más la protección de la identidad, Microsoft ha introducido Identity Pass, un sistema de verificación basado en aprendizaje automático y en un estándar NIST.

Con esto, lo empleados deben someterse a un proceso de verificación de identidad mediante video, en el que capturan una foto de su credencial y una selfie para confirmar su identidad. Esta capa adicional de seguridad ayuda a prevenir que personas no autorizadas accedan a sistemas sensibles, particularmente en los entornos de trabajo remoto e híbrido de hoy, donde el fraude de identidad se ha convertido en una preocupación creciente.

En los últimos meses, Microsoft ha eliminado 730,000 aplicaciones no utilizadas y 5.75 millones de inquilinos inactivos, reduciendo significativamente las posibles vulnerabilidades en su sistema. Estos esfuerzos no solo protegen a Microsoft internamente, sino que también ayudan a los clientes y socios a asegurar sus propios entornos. Al proporcionar herramientas como las Admin Rules de Azure, Microsoft permite a las empresas aislar sus redes críticas y proteger sus datos, minimizando el riesgo de movimientos laterales por parte de atacantes dentro de las infraestructuras corporativas.

Johnson se muestra especialmente orgullosa de cómo SFI está ayudando a Microsoft a lograr su objetivo más amplio de crear un ecosistema digital más seguro.

“A menudo decimos que la seguridad es un deporte de equipo”, señala Johnson.

Este enfoque colaborativo se evidencia en los esfuerzos de la compañía para trabajar estrechamente tanto con competidores como con socios para elevar el nivel de ciberseguridad en la industria.

En septiembre de 2024, Microsoft convocó a los principales proveedores de Antivirus (AV) y Endpoint Detection and Response (EDR) para un taller dirigido a compartir mejores prácticas y fortalecer la resiliencia en el panorama de la ciberseguridad. El resultado de este taller, publicado por David Weston, vicepresidente de seguridad empresarial y del sistema operativo de Microsoft, fue un conjunto de recomendaciones diseñadas para mejorar la postura general de seguridad del ecosistema.

Si bien gran parte del trabajo de ciberseguridad de Microsoft se lleva a cabo entre bastidores, la compañía también ha sido una firme defensora de una mayor regulación y transparencia en la industria.

Desde la perspectiva de Johnson, muchos países tienen requisitos regulatorios inconsistentes para reportar ciberataques, lo que puede generar confusión y brechas en la protección. En algunos países o sectores, las empresas no están obligadas a divulgar públicamente las violaciones de seguridad, una política que Johnson cree que debería cambiar. Ella aboga por una alineación global en las regulaciones de ciberseguridad, señalando que la transparencia es clave para mejorar el panorama general de seguridad.

La Secure Future Initiative no solo se trata de protegerse contra amenazas conocidas, sino también de prepararse para los riesgos emergentes que conllevan los avances tecnológicos

. Johnson menciona que la inteligencia artificial (IA) es uno de los mayores desafíos y oportunidades en la ciberseguridad hoy en día. Por un lado, la IA está permitiendo ataques más sofisticados, como deep fakes y fraudes de identidad.

Por otro lado, también es una herramienta poderosa en el arsenal de Microsoft. Los equipos de IA especializados de la compañía están dedicados a identificar vulnerabilidades potenciales dentro de los sistemas de IA, mientras que su colaboración con Microsoft Research asegura que nuevas amenazas, como la computación cuántica, sean abordadas de manera proactiva.

A pesar de la creciente complejidad de las amenazas cibernéticas, Johnson se mantiene optimista sobre el futuro de la ciberseguridad.

“Por cada ataque que escuchas en las noticias, hay miles que son detenidos con éxito”, recalca.

Uno de los desarrollos más prometedores en la Secure Future Initiative es el impulso de Microsoft hacia un futuro sin contraseñas. Si bien muchas organizaciones aún dependen de las contraseñas como medio principal de seguridad, Microsoft está trabajando para eliminar esta vulnerabilidad por completo.

Internamente, más del 90% de los sistemas de Microsoft ya no utilizan contraseñas, aunque Johnson reconoce que aún queda trabajo por hacer, especialmente en industrias como la bancaria, donde los sistemas heredados siguen siendo un desafío.

A medida que Microsoft continúa liderando en el espacio de la ciberseguridad, la compañía también se enfoca en abordar la brecha global de talento en esta área.

La Secure Future Initiative incluye la Security Skilling Academy, un programa diseñado para brindar capacitación personalizada a todos los empleados de Microsoft, dotándolos de las habilidades necesarias para identificar y responder a las amenazas cibernéticas. Más allá de sus esfuerzos internos, Microsoft está compartiendo sus materiales de capacitación con socios y clientes, ayudando a construir una fuerza laboral más capacitada en ciberseguridad en todas las industrias.

Johnson cree que la clave para abordar los desafíos de la ciberseguridad no radica solo en la tecnología, sino también en fomentar una cultura de colaboración, responsabilidad y aprendizaje continuo.

Como concreta Johnson: “La seguridad es un viaje, no un destino”.

Siga la información de tecnología en nuestra sección especializada