Los más de mil millones de dólares al año que invierte Microsoft en seguridad demuestran que ésa es una de las grandes líneas de actuación del gigante tecnológico.

Una adecuada estrategia de seguridad en la nube requiere, no obstante, que no sólo el proveedor proteja sus sistemas al máximo: la colaboración con el cliente es clave en este punto. Así lo cuenta en esta entrevista Héctor Sánchez, director de tecnología de Microsoft Ibérica.

                                                                                

Al seleccionar un proveedor de nube, ¿qué medidas de seguridad son responsabilidad del proveedor? ¿Y cuáles recaen en el cliente?

La seguridad es una cadena cuya fortaleza viene definida por el eslabón más débil. Ya se trate de nube o de cualquier infraestructura on premises, tanto proveedor como cliente deben actuar con la máxima diligencia y cautela para garantizar un nivel de protección adecuado. El proveedor de servicios, lógicamente, tiene la máxima responsabilidad sobre la seguridad de sus sistemas, tanto desde el punto de vista físico como el lógico, pero, por ejemplo, no puede garantizar que no se produzcan intrusiones si el cliente no sigue una política correcta en la gestión de las credenciales de acceso a los servicios o la securización de sus dispositivos. Ambas partes tienen responsabilidad sobre el grado de nivel alcanzado, pero solo la confianza en un proveedor cloud como Microsoft, que desarrolla sus servicios con la seguridad como base, puede proporcionar los mejores resultados.

 

Con la nube híbrida, las compañías demandan que la seguridad sea la misma dentro y fuera de su empresa. ¿Qué medidas han tomado para que esto sea posible?

Microsoft invierte más de mil millones de dólares al año en seguridad. Para la compañía, este es un pilar clave en el diseño de todos los productos, como Windows, Office y Azure, y también es un factor decisivo para realizar adquisiciones estratégicas de tecnologías que mejoren aquellas inversiones que los clientes ya han realizado en productos y servicios de Microsoft.

Por otro lado, la compañía cuenta desde 2015 con un centro dedicado específicamente a este menester: el Microsoft Cyber Defense Operations Center (CDOC), una instalación de defensa y ciberseguridad mundial que opera 24/7, en la que expertos de reconocido prestigio en el ámbito de la seguridad y científicos de datos monitorizan en tiempo real la actividad mundial para proteger la infraestructura cloud de Microsoft, los servicios, los productos y los dispositivos, así como lo recursos internos.

 

En los últimos años han cambiado la naturaleza y el número de amenazas y ataques que afectan a los centros de datos (por ejemplo, incremento de ataques DDoS, legislaciones más estrictas sobre privacidad, etc.). ¿Cómo han tenido que evolucionar las estrategias y herramientas de seguridad que los proveedores han implementado ante esta situación?

La realidad de los ciberataques y su evolución e impacto en empresas y gobiernos es un asunto que definitivamente ha dejado de estar exclusivamente en los departamentos técnicos de las organizaciones. Como comentaba antes, para Microsoft es un factor crítico en el que pone la máxima atención y recursos.

Microsoft se ha posicionado como un referente respecto al cibercrimen y cómo ha escalado en esta lucha gracias a la relación con entidades públicas y privadas. Muestra de ello es la Microsoft Digital Crimes Unit (DCU), que trabaja para salvaguardar a personas y organizaciones de las amenazas digitales. Se trata de un equipo internacional de abogados, investigadores, científicos de datos, ingenieros, analistas y profesionales de negocio que trabajan juntos para transformar la lucha contra el cibercrimen. La DCU de Microsoft utiliza estrategias legales creativas y análisis de datos de última generación para crear casos civiles y referencias criminales, asociándose con autoridades competentes a nivel mundial, ONGs, empresas de seguridad e investigadores para que los cibercriminales sean puestos ante la justicia.

 

¿Ha aumentado también la concienciación del cliente a la hora de exigir más seguridad a su proveedor? Y, por parte del proveedor, ¿se ha incrementado la transparencia de las estrategias de seguridad?

La realidad de los ciberataques y su evolución e impacto en empresas y gobiernos refuerzan la preocupación de todas las organizaciones por la seguridad. Para Microsoft la seguridad, la transparencia y la privacidad van íntimamente relacionadas. La confianza es un pilar clave en nuestra visión de una informática más personal y, por ello, trabajamos para garantizar que todos los productos respondan a las expectativas de los clientes, con la seguridad por bandera.

Nuestro enfoque de privacidad se fundamenta en el compromiso de dar al cliente el control sobre la recolección, uso y distribución de sus datos. Somos transparentes acerca de las políticas específicas, prácticas operacionales y tecnologías que ayudan a asegurar la privacidad de sus datos en los servicios cloud.

Determinados clientes deben mantener sus datos en una ubicación geográfica específica, como por ejemplo puede ser dentro de la UE. Esto no supone un problema para confiar en nuestra creciente red global de data centers, ya que cada cliente puede conocer con detalle dónde están almacenados sus datos y tomar las decisiones oportunas. 

 

¿Qué medidas de seguridad ofrece Microsoft para garantizar la protección de los datos?

Microsoft tiene un enfoque de seguridad apoyado en tres pilares para permitir a los clientes habilitar la transformación digital de sus negocios: una plataforma completa, inteligencia y colaboración.

La plataforma de Microsoft busca de manera holística a través de todos los puntos de salida críticos del actual mundo de la nube y la movilidad. Al construir la seguridad en los productos y servicios de Microsoft desde cero, podemos lograr los mejores resultados, ser muy ágiles a la hora de detectar amenazas y responder a las brechas de seguridad con independencia de la dimensión de la compañía a la que afecten.

Cada mes escaneamos 400.000 millones de correos a través de Outlook.com y Office 365 para detectar phishing y malware, y procesamos 450.000 millones de autenticaciones a lo largo de todos los servicios de la nube. Además, también cada mes ejecutamos más de 18.000 millones de escaneos a páginas web en Bing y actualizamos más de 1.000 millones de dispositivos de Windows. La visión que genera todas estas intervenciones suma inteligencia a nuestros productos y nuestra red de detección, y nos permite publicar con regularidad el Microsoft Security Intelligence Report (SIR) para ayudar a las empresas que se encuentran bajo amenaza y recomendar mejores prácticas y soluciones.

Por otro lado, estamos comprometidos a ser líderes en este espacio, pero la seguridad no es un problema que podamos enfrentar solos. Nuestro compromiso es asegurar que nuestros productos se integren con toda la tecnología de terceros que las organizaciones puedan utilizar. Desde Microsoft fomentamos un ecosistema de socios que nos ayudan en este sentido. Además, también colaboramos ampliamente con clientes y organismos de estándares de la industria con el fin de satisfacer las necesidades específicas de los clientes y las regulaciones de la industria.

 

Microsoft acaba de anunciar su servicio de computación confidencial, que cifra los datos mientras están en uso, y lo definen como novedoso para la cloud pública. ¿En qué consiste? ¿Qué herramientas se utilizan para este servicio?

La computación confidencial de Azure, que acabamos de anunciar y en estos momentos se encuentra disponible en preview privada, viene a reforzar una seguridad de datos de primer nivel para hacer frente al creciente cibercrimen. Su característica principal es algo inédito hasta el momento: el cifrado de datos mientras están en uso, no solo cuando la información se encuentra almacenada. De este modo podemos ayudar a los clientes a proteger aún más sus datos frente a amenazas internas (empleados con privilegios administrativos o con acceso directo al hardware) y también contra hackers y malware que aprovechan bugs o vulnerabilidades en el sistema operativo, aplicaciones o hipervisores.

Esta solución cloud basada en hardware aprovecha la tecnología Intel SGX y es fruto de los más de cuatro años de trabajo conjunto entre los equipos de Azure, Microsoft Research, WDG y una estrecha colaboración con Intel.

 

¿Qué otras innovaciones ha implantado Microsoft en materia de seguridad? ¿En qué están trabajando al respecto?

Como comentaba anteriormente, el compromiso de Microsoft con la seguridad es total. El trabajo en este ámbito es continuo, muestras de ello son el Microsoft Cyber Defense Operations Center, la Microsoft Digital Crimes Unit, sin olvidar que el desarrollo de cada producto o servicio lleva siempre asociado, desde su fase inicial, un foco completo hacia la seguridad, reforzada a través de la continua monitorización global.

 

En materia de legislación, hace un par de años había quejas sobre que los contratos con proveedores no locales, como AWS o Azure, no cumplen con las normativas de la UE. ¿Cuál es la situación ahora con la GDPR? ¿Ha cambiado esto?

Los objetivos del GDPR están en consonancia con los compromisos que Microsoft ha asumido desde hace tiempo con la seguridad, privacidad y transparencia. La compañía trabaja para que sus productos y servicios, como Azure, Dynamics 365, Microsoft Enterprise Mobility + Security, Office 365 o Windows 10, se adapten al GDPR antes de mayo de 2018. De este modo, ya se están actualizando las características y funcionalidades de todos los servicios de Microsoft para satisfacer los requisitos del GDPR, y se está actualizando la documentación y los contratos con los clientes para que reflejen los requisitos de la nueva ley de privacidad.

Microsoft cuenta con el conjunto de funciones de cumplimiento normativo más completo de servicios en la nube. Somos el único proveedor de servicios cloud avalado por la Agencia Española de Protección de Datos (AEPD), primer proveedor Hyper Scale Cloud en obtener la certificación de conformidad con el nivel alto del Esquema Nacional de Seguridad y también el primero en obtener Estándar Internacional de Privacidad ISO/IEC27018, que asegura el control y la protección de los datos alojados en la nube.

Asimismo, somos líderes de la industria en la colaboración con clientes, organismos reguladores y comités de normas para acelerar el cumplimiento y atender a las necesidades de los clientes. De este modo, Microsoft se compromete a seguir colaborando estrechamente con sus clientes mientras se preparan de forma conjunta para la entrada en vigor del nuevo GDPR.