Mehr CISOs, konditionale Vergütungen

Microsoft krempelt Security-Ansatz ordentlich um

Uhr
von Coen Kaat und msc

Was die Security betrifft, hat Microsoft eine turbulente Zeit hinter sich. Nun reagiert das Unternehmen darauf und erweitert seine Secure Future Initiative. Das Unternehmen stellt unter anderem zusätzliche CISOs ein und macht die Vergütung von Managern teilweise von Security-Meilensteinen abhängig.

(Source: ipopba / stock.adobe.com)
(Source: ipopba / stock.adobe.com)

Microsoft will die Sicherheit - vor allen anderen Features - zur obersten Priorität machen. Dies verspricht Charlie Bell, Executive Vice President von Microsoft Security in einem Blogbeitrag. Um dies zu erreichen, erweitert das US-amerikanische Unternehmen die im November eingeführte Secure Future Initiative (SFI) und will diese nun unternehmensweit anwenden. 

Laut dem Blogbeitrag sollen die Erkenntnisse aus den jüngsten Cybervorfällen bei Microsoft in diese Erweiterungen eingeflossen sein: der Hackerangriff durch die Gruppe Midnight-Blizzard (lesen Sie hier mehr zu den Spätfolgen dieser Attacke) sowie der Exchange-Vorfall im Sommer 2023 (lesen Sie hier mehr zum Bericht von Homeland Security über den Vorfall).

Der erweiterte SFI-Ansatz steht auf drei Säulen. Gemäss Microsoft lauten diese:

  1. Secure by design: Schon bei der Entwicklung eines Produkts oder eines Dienstes steht Sicherheit an erster Stelle. 
  2. Secure by default: Sicherheitsvorkehrungen werden standardmässig aktiviert und durchgesetzt, erfordern keinen zusätzlichen Aufwand und sind nicht optional. 
  3. Secure operations: Die Sicherheitskontrollen und die Überwachung werden kontinuierlich verbessert, um aktuellen und zukünftigen Bedrohungen zu begegnen. 

Zusätzlich definierte Microsoft auch sechs Sicherheitspfeiler. Diese sind: 1. Identitäten und Geheimnisse schützen, 2. Tenants schützen und Produktionssysteme isolieren, 3. Netzwerke schützen, 4. Technische Systeme schützen, 5. Bedrohungen überwachen und erkennen sowie 6. Reaktions- und Behebungszeiten verkürzen. Wie diese Pfeiler umgesetzt werden sollen, erklärt Bell im Blogbeitrag.

Massnahmen auf personeller Ebene

Führungskräfte und Teams sollen nun auf diese Säulen und Pfeiler ausgerichtet werden. Konkret heisst das, dass diese Neuerungen unter anderem betreffen auch die Vergütungen des Senior Leadership Teams betreffen. Ein Teil der Vergütungen der Manager werden neu abhängig sein von deren Fortschritten bei der Erfüllung der Sicherheitspläne, schreibt das Unternehmen. Dies soll die Rechenschaftspflicht fördern. Zudem soll Security auch bei Einstellungsentscheidungen ein Kriterium sein. 

Ferner führt Microsoft eine neue Security-Verwaltung ein. Diese soll prüfen, dass die geforderten Ansätze eingehalten werden. Die neu eingeführten stellvertretenden CISOs sollen künftig zusammen mit den Entwicklungsteams die Einhaltung der SFI-Massnahmen prüfen. Zudem sind sie für das Risikomanagement und die direkte Berichterstattung an das Senior Leadership Team verantwortlich. Die Gesamtleitung liegt beim neuen Microsoft-CISO Igor Tsyganskiy. Er übt diese Rolle seit vergangenem November aus - zuvor war er Chief Strategy Officer. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
T6Cj7Yna

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter