Microsoft voert organisatorische veranderingen door en gaat zijn management (mede)verantwoordelijk houden voor cybersecurity. Dit als onderdeel van een breed initiatief om de beveiliging van hun producten en diensten te verbeteren. En als antwoord op klachten.
Een deel van de toekomstige verloning van leidinggevenden bij Microsoft zal worden gekoppeld aan het behalen van beveiligingsdoelen en -cijfers. Charlie Bell, securitytopman van Microsoft, kondigde de plannen recent aan in een blogpost. Die leek vooral bedoeld om klanten en de Amerikaanse overheid gerust te stellen over de toewijding van het bedrijf aan het bevorderen van cyberbeveiliging. ‘We zullen verantwoording afleggen door een deel van de beloning van de toplaag van het bedrijf te baseren op onze vooruitgang in het behalen van onze beveiligingsplannen en mijlpalen’, aldus Bell. ‘We zetten ook belangrijke organisatorische stappen om het beveiligingsbeheer te verbeteren, waaronder extra toezicht, controles en rapportage.’
De nieuwe maatregelen omvatten het toevoegen van een plaatsvervangende ciso aan elk productteam en het rechtstreeks laten rapporteren van het threat intelligence-team aan de ciso van de onderneming. Ook het laten samenwerken van engineeringteams van Microsoft Azure, Windows, Microsoft 365 en beveiligingsgroepen aan beveiligingskwesties hoort daarbij.
Vermijdbare fouten
De aankondiging van Bell kwam ongeveer een maand nadat de Cyber Safety Review Board (CSRB) van het Amerikaanse ministerie van Binnenlandse Veiligheid had vastgesteld dat Microsoft meer moest doen om zijn algemene cyberbeveiligingspraktijken te verbeteren. Volgens de CSRB had Microsoft vorig jaar een cyberincident kunnen voorkomen toen de Chinese cyberspionagegroep Storm-0558 de Exchange Online-omgeving van het bedrijf binnendrong en toegang kreeg tot de e-mails van zo’n 25 organisaties, waaronder overheidsinstellingen. Uit een daaropvolgend onderzoek van Microsoft bleek dat de inbraak het gevolg was van een reeks vermijdbare fouten. Bij ‘s werelds grootste softwarebedrijf zou al decennia sprake zijn van een bedrijfscultuur waarin investeringen in de security geen prioriteit krijgen.
