El programa de capacitación en ciber seguridad de Microsoft, que usa herramientas basadas en IA para reforzar el aprendizaje, será obligatorio para todos sus empleados, aunque ahora también se lanzará una versión para clientes.
Microsoft hará que la capacitación en ciber seguridad sea obligatoria para todos sus empleados y planea lanzar sus herramientas de capacitación interna en una versión que los clientes puedan usar, tal vez dentro de un año.
Microsoft comprometida con la seguridad informática
La divulgación se realizó durante la sesión de Ignite de Ken Sexsmith, director de capacitación y concienciación de seguridad de Microsoft. Los de Redmond han invertido unos 3 mil millones de dólares en investigación y desarrollo de seguridad durante los últimos años y tiene alrededor de 4.000 empleados dedicados a la seguridad, dijo Sexsmith.
«Todos somos responsables de la seguridad. Nuestros empleados deben ser responsables de las acciones que están tomando, ya sea que estén desarrollando un nuevo servicio, una aplicación o infraestructura, deben saber que son responsables. Debe ser parte de su trabajo.»
Los empleados de Microsoft reciben distintivos azules que les permiten ingresar a los edificos de la empresa. El problema está en cuando un trabajador trata la placa como un escudo que dice que la seguridad es el trabajo de otra persona, dijo Sexsmith, quien también se desempeña como jefe de personal del jefe de seguridad de la información de Microsoft, Bret Arsenault. «Estamos tratanto de cambiar los corazones y las mentes.»
La compañía intenta enfatizar que la ciber seguridad afecta no sólo a los trabajos de los trabajadores sino también sus vidas personales. «Tomemos el phishing, por ejemplo. El phishing continúa evolucionando. No recibimos correos electrónicos de phishing con mala gramática y ortografía, o logotipos borrosos de su empresa. Son más sofisticados. Tenemos un gran trabajo por delante y ahí es donde entra mi equipo».
Aunque el entrenamiento en seguridad de Microsoft fue opcional el año pasado, 89.000 de sus empleados lo tomaron. A partir de enero, la capacitación en seguridad informática será obligatoria.
El esfuerzo de capacitación en seguridad informática de Microsoft también combate las infracciones internas
Si bien el programa está orientado a aumentar la conciencia de los empleados sobre las tácticas de piratería comunes de atacantes y ladrones, Microsoft ha experimentado algunas brechas de alto perfil en los últimos años, como la de 2013 que apuntó a su seguimiento interno de errores.
A principios de este año, un investigador de UK evitó la cárcel después de declararse culpable de piratear servidores de Microsoft y Nintendo. El investigador Zammis Clark, obtuvo acceso a través de un nombre de usuario interno y una contraseña.
La identidad del usuario es el nuevo perímetro de seguridad, dijo Arsenault en una sesión separada en Ignite. «Los hackers no interfieren, inician sesión.»
Más allá de lo esperado en este tipo de cursos como vídeos instructivos y pruebas, un aspecto crucial de la estrategia de capacitación de seguridad de Microsoft es el refuerzo del aprendizaje. Esto se debe a que los humanos pueden olvidar hasta el 50% de la nueva información que escuchan en una hora y el 70% en 24 horas, dijo Sexsmith. Microsoft usa herramientas impusladas por IA desarrolladas por Elephants Don’t Forger, con sede en Londres.
«En un día determinado, después de una capacitación que tomes, te enviaremos un correo electrónico que diga «Hey, viniste a la capacitación y queremos que respondas a un par de preguntas sobre el contenido». Si el destinatario responde incorrectamente, la herramienta le explica el error y cuál es la respuesta correcta.»
Microsoft está trabajando para que sus programas internos de seguruidad estén disponibles para que los clientes los usen en sus propias organizaciones. Podría estar disponible esto el próximo año, aunque los detalles todavía son escasos.