×
Outbyte PC Repair
Outbyte Driver Updater

Incontra l’uomo che ha protetto Microsoft per 16 anni

2023/01/24
Incontra l’uomo che ha protetto Microsoft per 16 anni
  • Mike Howard è stato chief security officer (CSO) di Microsoft per 16 anni.
  • Era responsabile della sicurezza per un team globale di quasi 200.000 persone, tra cui il team esecutivo dell’azienda, i suoi 90.000 dipendenti e circa 90.000 appaltatori nelle 700 strutture dell’azienda sparse in 100 paesi.
  • Ha stabilito gli standard del settore come incorporare la sicurezza in tutti i programmi di formazione dei dipendenti e rendere la sicurezza parte integrante della cultura aziendale.
  • Questo articolo è rivolto ai titolari di aziende e ai professionisti della sicurezza che vogliono imparare da un CSO di alto livello che ha gestito i protocolli di sicurezza di Microsoft per più di un decennio.

Mike Howard è un ex responsabile delle operazioni della CIA con 22 anni di esperienza che ha guidato le operazioni di sicurezza globale di Microsoft come chief security officer (CSO) dal 2002 fino al suo pensionamento il 31 agosto 2018. Durante la sua permanenza in Microsoft, Mike si è assicurato che la società istituisse protocolli su misura per funzionare per qualsiasi tipo di minaccia fisica o di sicurezza informatica . Questi protocolli hanno lo scopo di supportare l’azienda non solo prima e durante un attacco, ma anche dopo che ha avuto un impatto sui dipendenti.

Protocolli radicati nella tradizione

Sebbene Microsoft sia considerata uno dei pionieri nel settore tecnologico, Howard una volta ha affermato che molti, se non tutti, i protocolli di sicurezza imposti da Microsoft, sono ancora radicati nei modi tradizionali di garantire la sicurezza in molte aziende.

“La sicurezza informatica è un grosso problema nella mente di tutti poiché siamo diventati più globalizzati come società, e le aziende hanno ampliato le loro impronte e tutto è digitale”, ci ha detto Howard in una precedente intervista. “Tuttavia, i tradizionali problemi di sicurezza del furto, della violenza contro i dipendenti, del terrorismo e dei disastri naturali sono ancora tutti fondamentali in termini di grandi sfide alla sicurezza per le aziende”.

Howard ritiene che mentre la tecnologia avanza più velocemente ogni giorno, le grandi aziende come Microsoft dovrebbero ancora basare i loro protocolli di sicurezza su progetti creati decenni fa. I fondamenti della sicurezza sono la chiave per gestire un’azienda grande come Microsoft, ma si applicano anche alle organizzazioni più piccole.

Che tu abbia oltre 700 uffici sparsi in un centinaio di paesi in tutto il mondo, come Microsoft, o che tu sia una piccola impresa che cerca di migliorare la tua sicurezza informatica, devi concentrarti sui problemi di sicurezza comuni riscontrati a tutti i livelli di gestione.

Come Microsoft gestisce la sicurezza

Vale la pena notare che Microsoft investe un totale di 1 miliardo di dollari all’anno per assicurarsi che i propri dati, così come quelli dei propri clienti, siano ben protetti. Tuttavia, questo non è l’unico aspetto della sicurezza in cui l’azienda investe. Assicura anche che sia garantita la massima sicurezza in ogni angolo dell’area di lavoro. La gestione degli incidenti di sicurezza di Microsoft si basa sui processi fondamentali di mitigazione dei rischi per la sicurezza: preparazione, rilevamento e analisi, contenimento, eliminazione e ripristino e attività post-incidente.

Anche se Microsoft spende ingenti somme di denaro per la sicurezza, i risparmi che ottiene prevenendo e mitigando gli effetti degli attacchi grazie all’adozione di protocolli di sicurezza eccezionali sono superiori a quanto speso.

Ad esempio, senza adeguati protocolli di sicurezza, “la proprietà intellettuale potrebbe essere compromessa e ciò può influire sulla reputazione del marchio dell’azienda o portare a cause legali”, ha affermato Howard. Entrambi possono comportare pesanti perdite per l’azienda. La sicurezza non è tanto una spesa aggiuntiva per l’azienda quanto un investimento.

Ciò è particolarmente importante con l’aumento delle leggi sulla privacy dei dati, una tendenza iniziata poco prima che Howard lasciasse Microsoft, quando l’Unione Europea (UE) ha adottato il Regolamento generale sulla protezione dei dati (GDPR). Il GDPR apre le aziende alla responsabilità finanziaria nel caso in cui una violazione dei dati comprometta le informazioni personali identificabili di qualsiasi utente nell’UE. Leggi simili, come il California Consumer Privacy Act (CCPA), sono emerse anche sulla scia del GDPR e richiedono alle aziende di pianificare meticolosamente i propri protocolli di sicurezza.

Esempi di pratiche di sicurezza di Microsoft

Come parte del protocollo di sicurezza dell’azienda, Microsoft ha rilasciato il Microsoft Security Intelligence Report ogni sei mesi dal 2006. Questo rapporto riassume tutte le minacce che sono entrate nel sistema di Microsoft e ciascuna di queste minacce viene valutata per aiutare a mitigare il rischio di violazione dei dati e altri possibili problemi.

Un’altra funzionalità di sicurezza utilizzata da Microsoft è la piattaforma Microsoft Defender Threat Intelligence, che un analista della sicurezza può utilizzare per analizzare e dare priorità a segnali o minacce che richiedono il massimo livello di attenzione.

Funziona in modo molto simile a un’intelligenza artificiale progettata per la sicurezza informatica, consentendo a Microsoft di inviare e-mail personalizzate agli utenti ogni volta che si presenta una minaccia. Queste comunicazioni avvisano gli utenti di determinati collegamenti che non devono essere cliccati, e-mail che sembrano sospette e altre azioni nel cyberspazio che potrebbero essere contrassegnate come minacciose.

Il ruolo di Mike Howard come sostenitore della sicurezza

Al di là degli sviluppi che ha attuato in Microsoft per proteggere i dati dei suoi utenti e clienti, gran parte della distinzione di Howard come uomo dietro le misure di sicurezza stellari dell’azienda è attribuita al suo ruolo di evangelista per gli altri. Howard ha fatto in modo che tutti i membri dell’azienda, da coloro che risiedono nel livello dirigenziale più basso fino ai dirigenti e agli azionisti, comprendessero l’importanza della sicurezza sia nel mondo fisico che in quello informatico.

“Molto [dell’impegno di Microsoft per la sicurezza] ha a che fare con l’evangelizzazione della sicurezza su diversi fronti nell’ultimo decennio”, ha affermato Howard. “La mia controparte per la sicurezza IT e io abbiamo lavorato diligentemente per convincere davvero i promotori e gli agitatori, i decisori qui, a comprendere la sicurezza e a supportare quegli sforzi di sicurezza e la diffusione di quel messaggio in tutta l’azienda”.

Infondere l’importanza di questi protocolli nelle menti di ogni singolo lavoratore in Microsoft è un processo continuo. Questi lavoratori sono quelli che svolgono le attività quotidiane in azienda. In quanto tali, devono tenere presente la sicurezza aziendale mentre svolgono le loro funzioni lavorative.

Anche quando pianificava le attività di marketing di Microsoft, Howard si assicurava di fornire informazioni che aiutassero i dipendenti ad assumersi le proprie responsabilità senza compromettere la loro integrità o quella delle preziose informazioni dell’azienda. Quella cultura dell’evangelizzazione della sicurezza è l’eredità di Howard ora che ha lasciato l’azienda.

Assistenza ai dipendenti come mezzo per garantire la sicurezza

Howard ritiene che, a parte il ruolo della tecnologia nel massimizzare la sicurezza in Microsoft, i dipendenti siano fondamentali per garantire che il lavoro venga svolto con la massima vigilanza e nel rispetto di adeguate linee guida sulla sicurezza.

“Disporre di un programma di formazione è essenziale per qualsiasi programma di sicurezza”, ha affermato Howard. “Senza di esso, non si dispone di un programma di sicurezza completo. Abbiamo un certo numero di dipendenti e fornitori a tempo pieno per coprire Microsoft a livello globale; non potremmo mai coprire adeguatamente il mondo senza educare e creare programmi di sensibilizzazione che insegnino alle persone cosa cercare”.

Ci sono alcuni vantaggi per la sicurezza nell’educare i dipendenti sui rischi per la sicurezza:

  • I dipendenti diventano il proprio personale di sicurezza; si sentono responsabili del benessere dei loro team e cercano ogni possibile minaccia.
  • Porteranno le proprie esperienze per considerare fattori che di solito non sono nell’equazione durante l’ottimizzazione della sicurezza, rendendo i protocolli di sicurezza più inclusivi ed efficaci.
  • I dipendenti sono addestrati a essere vigili sia davanti ai loro computer che nelle loro immediate vicinanze, garantendo una sicurezza olistica.

Perché il dipartimento delle risorse umane è fondamentale per la sicurezza

Nonostante sia parte integrante di un’azienda, le risorse umane vengono spesso trascurate quando si discute su come ottimizzare la sicurezza. Il più delle volte, le falle nel sistema di sicurezza di un’azienda si trovano in aree che altrimenti sarebbero state considerate irrilevanti, il che le rende un terreno fertile per diversi tipi di minacce.

“Una cattiva economia, problemi a casa, persino avere a che fare con un parente malato possono essere cose che possono innescare [motivi per una maggiore] sicurezza sul lavoro, e avere una squadra sul posto per aiutare a risolvere quei problemi può impedire loro un episodio di violenza o furto», disse Mike.

Ciò dimostra che la tecnologia non è sufficiente per gestire da sola i problemi di sicurezza. Le persone che svolgono anche le attività più semplici in Microsoft dovrebbero essere prese in considerazione quando si preparano soluzioni di mitigazione in caso di minaccia. Un team di professionisti in grado di valutare questi tipi di rischi dal dipartimento delle risorse umane è ciò che distingue Microsoft dagli altri. È una lezione di cui altre aziende dovrebbero prendere nota.

In che modo le PMI possono imparare dalla pratica di Microsoft

Il più grande malinteso che le PMI hanno sulle pratiche di sicurezza informatica di Microsoft è che è una questione di quanti soldi sei disposto a spendere per salvaguardare le informazioni della tua azienda . Tuttavia, la verità dietro il successo di Microsoft non è solo la delega di risorse finanziarie.

La realtà alla base delle pratiche di sicurezza di successo di Microsoft è il corretto orientamento delle persone che costruiscono l’azienda da zero. Si tratta di assicurarsi che comprendano l’importanza dei protocolli di sicurezza, indipendentemente dal dipartimento per cui lavorano, e di addestrarli a mitigare i possibili rischi che potrebbero incontrare nel corso del loro lavoro. Prestare attenzione ai dipendenti e aggiornare in modo proattivo le informazioni necessarie per mitigare i rischi per la sicurezza è un modo efficace per presidiare la sicurezza informatica di un’azienda.

Non lasciare la sicurezza al caso

La storia di Mike Howard come ex responsabile della sicurezza della CIA è stata un trampolino di lancio per il suo ruolo di chief security officer di Microsoft, e la sua filosofia in materia di sicurezza è radicata nel fatto che tutte le minacce possono essere mitigate purché siano in atto protocolli adeguati.

Il tempo di Howard in Microsoft sottolinea l’importanza delle protezioni tecnologiche e dei protocolli per la sicurezza, sia che ciò significhi implementare un sistema di sicurezza informatica e un piano di risposta, addestrare i singoli membri del team o offrire loro le risorse di cui hanno bisogno per rimanere vigili. La sicurezza aziendale è compito di tutti e ci vuole dedizione 24 ore su 24, 7 giorni su 7, 365 giorni all’anno per portare a termine quel lavoro.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *