Uno de los objetivos de Microsoft es ayudar tanto al sector público y privado como a la ciudadanía a velar por su seguridad. ¿Cómo describiría, a grandes rasgos, el panorama actual de la ciberseguridad y de la ciberdelincuencia en España?
Hoy en día, la ciberdelincuencia es una amenaza considerable en todo el mundo. Y, además, está intensificada por la invasión rusa a Ucrania. Hemos vivido ataques cinéticos durante el inicio de la guerra que venían precedidos de ataques cibernéticos, y eso ha supuesto un despertar de nuevas preocupaciones. Y yo creo que se ha removido también un poco la conciencia de los sectores estratégicos de cada país.
En Microsoft siempre hemos apostado por ayudar a los gobiernos a velar por la seguridad de los activos estratégicos y por la seguridad de los ciudadanos. Al final, es mejorar cómo utiliza la sociedad la tecnología. A medida que el usuario conozca mejor los riesgos, también le estamos sensibilizando a que esté más alerta ante posibles situaciones en las que se vea vulnerable o afectado.
Por otro lado, tenemos un vínculo muy estrecho con el Instituto Nacional de Ciberseguridad o el Centro Criptológico Nacional (CCN), donde no solamente apostamos por desarrollar las estrategias que ambas instituciones están realizando a nivel país, sino que también intentamos potenciar y divulgar buenas prácticas en el uso tanto de la tecnología en general como de nuestros productos.
«Mejorar la protección o la cultura de la protección es mejorar cómo utiliza la sociedad la tecnología»
Además, somos conscientes de todo esto porque, según nuestro último informe de defensa digital, las contraseñas vulneradas en el último año han aumentado de forma alarmante: un 74 por ciento. Una contraseña filtrada conduce prácticamente a comprometer la identidad en todos los casos. Y una identidad comprometida acaba, en multitud de ocasiones, en un ransomware exitoso o en una campaña de malware. Esta situación nos lleva a la necesidad de que las empresas y organismos públicos refuercen esas medidas de seguridad digital y adopten esas buenas prácticas que protegen la información sensible y la de sus clientes. Podemos resaltar la autenticación multifactor, la protección de la información, la vigilancia por el despliegue de las actualizaciones en los dispositivos, la aplicación de los principios de mínimos privilegios y la implantación de soluciones de seguridad modernas en la nube, entre otras.
Pero ¿qué está haciendo realmente Microsoft para hacer que esos compromisos sean una realidad? La respuesta está en nuestra propuesta de nube inteligente de seguridad y en nuestros productos de seguridad. También es importante enfatizar que la oferta de cumplimiento de Microsoft y vigilancia es la más completa del mercado. En 2021, anunciamos una inversión de 20.000 millones de dólares en seguridad para los siguientes cinco años, cuatro veces más que en el pasado, y sumamos a nuestra plantilla cerca de 8.500 analistas de seguridad. Hemos de pensar que tenemos más de 60 regiones, más de 200 data centers y que es una infraestructura hiperescalar enorme y que requiere la debida atención hacia todos los elementos que puedan conllevar vectores que comprometan la seguridad de esas infraestructuras.
En definitiva, somos una de las empresas que, ahora mismo, invertimos más en seguridad.
Microsoft cuenta con una amplia gama de soluciones en materia de ciberseguridad. ¿Cuáles son los puntos fuertes de esta oferta de productos y a quién está destinada?
Nuestro público objetivo, principalmente, son los CISO. Nuestra idea es poner a su disposición la oferta más completa en seguridad, incluyendo, por ejemplo, nuestro reciente anuncio de Security Copilot, donde, gracias a la Inteligencia Artificial, permitimos mejorar la eficiencia y productividad de los analistas de seguridad. Hemos de ser conscientes de que los ‘malos’ son muy ‘malos’, de que siempre van a serlo y de que, probablemente, tengan mayores incentivos porque esto no deja de ser un negocio para ellos. Por lo tanto, debemos generar un ecosistema de herramientas que haga que esos procesos de vigilancia, investigación y mitigación sean más eficientes.
Dicho esto, nuestro papel es ofrecer soluciones que se apoyen en Inteligencia Artificial para detectar las amenazas más comunes y así aliviar la carga de trabajo de los analistas para que dediquen ese tiempo a aquellas amenazas desconocidas o a investigar sucesos o vectores de ataque nuevos.
«Nuestro público objetivo, principalmente, son los CISO. Nuestra idea es poner a su disposición la oferta más completa en seguridad»
Otro elemento importante es que esos productos estén homologados. Por ejemplo, durante el último año fiscal, que acabamos en junio de este año, tuvimos cuatro auditorías de cuatro de nuestros productos: Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender for Office y Microsoft Sentinel, para incorporarlos como productos homologados por el CCN en el Catálogo de Productos de Seguridad de las Tecnologías de la Información y la Comunicación, la Guía CCN STIC 105. Esto supone el reconocimiento a la calidad y la fiabilidad de las soluciones de Microsoft, que cumplen con esos requisitos técnicos y normativos que exige el CCN para garantizar la seguridad de la información y la seguridad de los activos. Sin duda, refleja, además, el compromiso total de Microsoft con la seguridad. Los niveles de exigencia van subiendo y nos fuerzan también a que nuestros productos sean mucho más competitivos. Ahora, por ejemplo, vamos a reforzar la vigilancia en la nube gracias a Microsoft Defender for Cloud.
Otro aspecto en el que también estamos trabajando es la identidad. Cada segundo se producen, aproximadamente, más de 900 ataques de contraseña. Y eso nos ha hecho pensar qué podríamos hacer, aparte de promover nuestro Microsoft Defender for Identity. Hace un año anunciamos Microsoft Entra, que tiene el objetivo de brindar ese marco de gestión de la identidad amplio, sencillo y multicloud; y eso implica también contrastar o gestionar la seguridad de la identidad en entornos híbridos aparte de otras nubes, proteger el acceso a cualquier aplicación o recurso en una organización, garantizar y verificar las identidades, identificar y gestionar los permisos en esos entornos multicloud y simplificar la experiencia del usuario a través de decisiones de acceso inteligentes en tiempo real.
Una de las novedades que ha presentado este año su empresa es Microsoft 365 Copilot. ¿Qué ofrece este asistente y qué peso tiene la seguridad en él?
Durante los últimos meses, hemos ido incorporando copilotos basados en IA a los productos más conocidos e importantes de nuestro portfolio. Security Copilot, en concreto, es una extensión de nuestro Microsoft Sentinel que añade inteligencia de seguridad al producto, lo cual permite suministrarle, por ejemplo, un log de actividad del entorno gestionado en la nube u on-premise donde esté ubicado y hacerle preguntas para identificar potenciales vectores de ataque. También posibilita identificar amenazas que probablemente de otra manera sería complicado identificarlas o llevaría mucho más tiempo.
Pero lo importante del mensaje de los Copilot, y centrándonos en Microsoft 365 Copilot, el primer producto que anunciamos, es que permite hacer que las personas que utilizan a diario en el trabajo o en la vida diaria nuestras herramientas, como Word, Excel, Power Point, Outlook, Teams, etcétera, lo hagan en un entorno de seguridad.
En los últimos años, el ritmo y volumen de nuestro trabajo no ha hecho más que aumentar y eso nos ha ayudado a reflexionar sobre cómo podemos ayudar a través de la Inteligencia Artificial de una manera segura y controlable a nuestros usuarios. En este sentido hay tres grandes mensajes: El primero es que Microsoft 365 Copilot, hoy por hoy, garantiza la privacidad y la seguridad de los datos de una organización porque solo los usuarios que tienen permiso son capaces de acceder a ellos. No es un sistema totalmente abierto y, además, protege los datos que ya están marcados como confidenciales, no los comparte con nadie que no tenga permisos y cumple con los requisitos normativos.
«Microsoft 365 Copilot, hoy por hoy, garantiza la privacidad y la seguridad de los datos de una organización»
Otro aspecto importante es el esfuerzo de reingeniería, que lanzamos hace un año, con la iniciativa EU Data Boundary. Microsoft Copilot 365 está dentro del alcance de esta iniciativa, con la que nos comprometemos a almacenar y a tratar los datos de nuestros clientes dentro de la Unión Europea.
Por último, no debemos olvidar que el usuario tiene el control sobre el contenido que crea. Y eso le permite revisarlo, modificarlo o rechazarlo. Es decir, esto no es una Inteligencia Artificial que automatice su día a día o que no esté bajo su control. Siempre va a tener el control de ese texto que haya generado a través de una indicación, e incluso puede matizarlo, modificarlo o sencillamente rechazarlo. Pero nunca permitirá que ese texto se envíe automáticamente por correo o se trate en otras aplicaciones. En definitiva, no tenemos que pensar tanto en qué ‘puede’ hacer la tecnología, sino en qué ‘debe’ hacer la tecnología.
Y más concretamente para la seguridad en la nube, ¿qué productos y servicios ofrece Microsoft?
Hay cinco grandes áreas. La primera y más importante: los productos que ayudan a la protección de nuestros servicios. Aquí quizás nuestra inversión más significativa es Microsoft Defender for Cloud, que permite detectar y responder a las amenazas de todos los productos o servicios que tenemos en Microsoft Azure, en otras nubes o incluso en las instalaciones on-premise. Esta solución cubre tres grandes categorías: entornos de desarrollo, postura de seguridad y protección de las cargas de trabajo ubicadas en la nube.
La segunda es la protección del usuario. Aquí destacan herramientas como Intune, Microsoft Defender for Endpoint, Microsoft Defender for Entity y Microsoft Entra o soluciones como Windows Hello. También cabe mencionar Purview para la protección, gobierno, ciclo de vida, prevención de la pérdida de datos, gestión de riesgo, cumplimiento de las comunicaciones, etcétera.
Después tenemos las herramientas industriales, las de protección de entornos ICS o IoT. Con Defender for IoT hemos realizado una gran apuesta, dotando al producto de funcionalidades para el descubrimiento de recursos IoT en tiempo real, la administración de vulnerabilidades y la protección contra amenazas para cualquier infraestructura industrial y de Internet de las cosas (IoT), por ejemplo, ICS/OT.
En cuarto lugar, nuestro Defender for Office 365 para proteger el correo electrónico y Microsoft Teams con funcionalidades de protección avanzada contra suplantación de identidad (phishing), ataque al correo empresarial, ransomware y otras amenazas. Al que, además, hemos sumado funcionalidades de simulación de ataques para entrenar a los usuarios.
La última área está relacionada con la gestión de las señales de seguridad: Microsoft Sentinel −como un sistema SIEM-SOAR− y Microsoft Defender Threat Intelligence como un repositorio de inteligencia de seguridad y apoyo a las labores que hacen los analistas y que permite integrar herramientas de investigación, mitigación, resolución de ciberataques, etcétera.
Microsoft también tiene un fuerte compromiso con la privacidad y la seguridad del dato. ¿Con qué política cuenta su empresa al respecto?
Es algo en lo que venimos trabajando desde hace muchísimos años. Nuestras políticas de privacidad y seguridad son muy claras y están basadas en cuatro principios de privacidad. El primero tiene que ver con el control de los datos: el cliente siempre tiene el control de la información. Nosotros le ofrecemos la capacidad de controlar esos datos con herramientas y, sobre todo, damos claridad sobre el uso que hacemos de ellos en los supuestos permitidos por el Reglamento General de Protección de Datos.
El segundo es que los datos del cliente siempre están protegidos en todas las circunstancias mediante cifrado. Es más, este último año hemos trabajado con algunas organizaciones públicas la protección del dato en uso, mientras está en memoria, aparte de las protecciones en reposo y en tránsito ya existentes. Por ejemplo, en servicios como SQL Server Always Encrypted utilizamos tecnología de computación confidencial. Estas tecnologías, asimismo, además de incorporarlas a nuestros servicios de plataforma de infraestructura hiperescalar, las estamos empezando a ofrecer como servicio a nuestros clientes a través de Azure Confidencial Computing, ya que pensamos que ellos pueden encontrarse en circunstancias similares.
«Los datos de nuestros clientes siempre están protegidos en todas las circunstancias mediante cifrado»
El tercero está relacionado con la privacidad como principio de diseño. Nuestros productos siempre están diseñados tomando como referencia la privacidad y la seguridad. Pero esto no es nuevo. Podemos remontarnos a hace más de 20 años. Es algo que está en el ADN de nuestra compañía.
Y el último principio, y quizás el más importante, es que defendemos los derechos de nuestros clientes. Luchamos por un entorno regulatorio y por una privacidad que proteja los derechos de nuestros clientes si un gobierno nos solicita datos.
Además de todo esto, tenemos otras prácticas como la publicación de los informes de privacidad y de la documentación que explica cómo los usuarios pueden exportar, rectificar, modificar o eliminar datos. También ofrecemos información de privacidad de nuestros productos y de hasta dónde llegan nuestros compromisos.