Microsoft меняет свои методы обеспечения безопасности, организационную структуру и вознаграждение руководителей в попытке устранить ряд серьезных нарушений безопасности под растущим давлением со стороны государственных лидеров и крупных клиентов.
В пятницу утром компания заявила, что будет основывать часть вознаграждения высшего руководства на прогрессе в достижении целей безопасности, назначит заместителей директора по информационной безопасности (CISO) в каждой группе продуктов и объединит команды своих основных платформ и продуктовых команд в инженерных волнах», чтобы улучшить безопасность.
«Мы возьмем уроки из прошлых инцидентов, вложим их в наши стандарты безопасности и применим эти знания в качестве «проложенных путей», которые могут обеспечить безопасное проектирование и операции в масштабе», — написал Чарли Белл, исполнительный вице-президент Microsoft по безопасности, в сообщение в блоге с описанием изменений.
Белл сказал, что изменения основаны на инициативе Secure Future Initiative (SFI), представленной прошлой осенью.
Чарли Белл, исполнительный вице-президент по безопасности Microsoft
«В конечном счете, Microsoft опирается на доверие, и это доверие необходимо заслужить и поддерживать», — написал он. «Как глобальный поставщик программного обеспечения, инфраструктуры и облачных услуг мы чувствуем глубокую ответственность за то, чтобы внести свой вклад в обеспечение безопасности и надежности мира».
Эти изменения последовали за критическим отчетом Совета по обзору кибербезопасности (CSRB) , который назвал культуру безопасности Microsoft «неадекватной» и призвал компанию сделать безопасность своим главным приоритетом, фактически возрождая дух инициативы Trustworthy Computing, которую соучредитель Microsoft Билл Гейтс учредил в 2002 году.
В отчете содержится призыв к тому, чтобы инициативы в области безопасности находились под «прямым и тщательным контролем» генерального директора и совета директоров Microsoft, а также говорится, что «все старшие руководители должны нести ответственность за внедрение всех необходимых изменений в максимально срочном порядке».
После публикации отчета CSRB сенатор Рон Уайден из Орегона представил законопроект, частично призванный уменьшить зависимость правительства США от программного обеспечения Microsoft, сославшись на «беспорядочную практику кибербезопасности» компании.
Белл написал, что Microsoft «интегрирует недавние рекомендации CSRB» в рамках объявленных в пятницу изменений, а также уроки, извлеченные из громких кибератак.
Изменения в вознаграждениях, объявленные в пятницу, будут распространяться на высшее руководство Microsoft, то есть топ-менеджеров, которые подчиняются генеральному директору Сатье Наделле. Компания не уточнила, какая часть их компенсации будет основана на залоге.
Наделла намекнул на эти изменения на прошлой неделе во время ежеквартального отчета о прибылях и убытках компании, заявив, что компания «ставит безопасность превыше всего — прежде всех других функций и инвестиций».
Во внутренней записке в пятницу утром , полученной GeekWire, Наделла передал сотрудникам поручение, расширяя темы, изложенные в публичном сообщении в блоге Белла.
«Если вы столкнулись с выбором между безопасностью и другим приоритетом, ваш ответ ясен: занимайтесь безопасностью», — сказал сотрудникам генеральный директор Microsoft. «В некоторых случаях это будет означать, что безопасность будет уделяться приоритету другим вещам, которые мы делаем, например, выпуску новых функций или обеспечению постоянной поддержки устаревших систем».
Белл написал в своем посте, что новая «структура управления безопасностью» компании будет курироваться Главным управлением информационной безопасности Microsoft, которое после декабрьской смены руководителей возглавляет Игорь Цыганский в качестве директора по информационной безопасности Microsoft.
По данным компании, заместители директора по информационной безопасности в продуктовых командах будут подчиняться непосредственно Цыганскому. Об изменении организационной структуры и структуры отчетности впервые сообщило агентство Bloomberg News в четверг.
«Эта структура вводит партнерство между инженерными командами и недавно сформированными заместителями директора по информационной безопасности, которые совместно отвечают за надзор за SFI, управление рисками и отчетность о прогрессе непосредственно перед высшим руководством», — написал Белл. «Прогресс будет оцениваться еженедельно на этом форуме руководителей и ежеквартально на нашем Совете директоров».