Microsoft-CEO Satya Nadella zet de beveiligingscultuur van Microsoft met een nieuwe memo op scherp. De kern van de boodschap is duidelijk: bij een afweging tussen beveiliging en een andere prioriteit moet security altijd voorrang krijgen.
“Als je geconfronteerd wordt met een afweging tussen beveiliging en een andere prioriteit, is het antwoord duidelijk”, zegt Satya Nadella, CEO van Microsoft, aan zijn hele bedrijf in een memo. “Doe beveiliging.” Nadella begrijpt dat die aanpak er in sommige gevallen voor zal zorgen dat andere zaken vertraging oplopen, zoals de uitrol van nieuwe functies of ondersteuning van legacy, maar er kan volgens hem geen twijfel zijn.
Slecht rapport
De memo van Nadella aan Microsoft komt er na enkele beveiligingsincidenten en een doorlichting van Microsoft door de Amerikaanse Cyber Safety Review Board. Die stelde vast dat een spionagecampagne van Chinese hackers op Westerse bedrijven, uitgevoerd via een kwetsbaarheid in Microsoft Exchange, niet onvermijdelijk was. De raad concludeerde dat de beveiligingscultuur van Microsoft ontoereikend was.
De woorden van Nadella zijn belangrijk in de omvorming van die cultuur. Iedereen heeft nu publiekelijke en letterlijk gezien waar de grote baas de absolute prioriteit legt. In zijn memo gaat Nadella nog verder in detail. Hij verwijst naar het Secure Future Initiative (SFI), dat Microsoft afgelopen november lanceerde. Via het SFI wil Microsoft elk onderdeel van het bedrijf samenbrengen om cyberveiligheid te verbeteren voor zowel nieuwe producten als bestaande infrastructuur.
Die pijlers
“In de toekomst zullen we onze hele organisatie inzetten voor SFI, terwijl we dit initiatief verdubbelen met een aanpak die is gebaseerd op drie kernprincipes”, zegt Nadella. Het gaat om volgende principes:
- Secure by Design: Beveiliging komt op de eerste plaats bij het ontwerpen van elk product of dienst.
- Secure by Default: Beveiligingsmaatregelen worden standaard ingeschakeld en afgedwongen, vereisen geen extra inspanning en zijn niet optioneel.
- Secure Operations: Beveiligingscontroles en monitoring worden voortdurend verbeterd om huidige en toekomstige bedreigingen het hoofd te bieden.
Nadella verwijst expliciet naar de doorlichting als gevolg van het Storm-0558-hack en erkent de verantwoordelijk van Microsoft. De nieuwe en duidelijke prioriteit voor beveiliging moet Microsoft en zijn producten in de toekomst weerbaarder maken.