正文

安全高于一切:从微软安全未来倡议(SFI)看网络安全文化变革之路

admin
admin V管理员 /0 评论 /13 阅读
0427
文章最后更新时间2025年04月27日,若文章内容或图片失效,请留言反馈!

近日,微软发布了最新的《安全未来倡议(Secure Future Initiative)进度报告》。该报告通过一系列详实的数据,展现了微软在提升自身安全防护、赢得和维护监管信任、强化客户安全态势,以及改善全球网络安全行业生态所付出的巨大努力和取得的成绩。超安全透过“安全未来倡议(SFI)”独家解读微软的网络安全文化变革之旅,微软在安全治理与文化建设方面的领先探索和实践,值得业内参考和借鉴。

文化变革的起点:事件与合规驱动

2023年7月,微软披露了一起Microsoft帐户(MSA)消费者签名密钥外泄事件攻击者成功入侵了多个欧洲及美国政府机构的电子邮件账户这一事件暴露了微软在安全防护上的重大漏洞也促使美国国土安全部(DHS)网络安全审查委员会(CSRB)对此事展开全面性的调查。

同年7月底,美国证券交易委员会(SEC)加强了对上市公司如何管理和披露网络安全风险的审查。这包括推动公上市司不仅要更透明地报告事件,还要展示他们如何将网络安全风险管理整合到整体业务战略中。重点不仅在于应对安全事件,还在于通过更好的治理和强大的网络安全文化来预防安全事件

同年11月,基于微软内部得出结论黑客发起网络攻击的速度、规模与复杂程度都在不断增加。为此微软在全公司范围内启动了一项新计划-安全未来倡议(SFI)以追求实现一代网络安全防护该倡议聚焦三大关键领域:利用AI强化网络防御能力、全面提升软件工程品质和安全性、推动制定更有国际规范保护普通民众免受网络威胁

2024年4月,网络安全审查委员会(CSRB)发布调查结果,指出该安全事件本该是可以避免的,并将事件的深层原因指向->微软不重视安全的企业文化,同时建议微软针对整个组织及所有产品展开根本性的安全改革。

2024年5月,“安全未来倡议(SFI)”扩大范围,聚焦于六大关键安全支柱,包括:保护身份与机密、保护租户并隔离生产系统、保护网络、保护工程系统、监控与检测威胁,以及加速事件响应与修复。

文化变革的领导力:高管挂帅

高领导的重视和支持是安全文化建设的关键安全未来倡议(SFI)”倡议由微软副董事长&总裁Brad Smith发起由微软安全执行副总裁Charlie Bell主导实施出色的网络安全领导力决定着一家企业安全文化建设的高度、安全合规的有效性以及业务持续发展的稳健性。

高领导亲自参与安全文化建设定下“安全高于一切(Security above all else)”的基调,传递“安全第一”价值观批准制定“安全优先”的政策,形成正式文件并在全组织范围内广泛宣传。其次,高管在安全文化建设中更重要的是以身作则身先士卒自身严格遵守安全规章制度,不搞特权和例外,积极参与安全活动‌。此外,高管通过定期的安全培训、多样化的培训方式以及激励机制,提升员工的安全意识水平和参与度。

文化变革的组织机制:激发动力

为培养和维护“安全第一(Security-First)”的企业文化,微软采取了一系列配套机制和措施,包括:

  • 成立网络安全治理委员会:为提升治理效果和提升风险可见性,微软于2024年5月成立了网络安全治理委员会(Cybersecurity Governance Council),并任命多名负责关键安全职能与所有工程部门的副首席信息安全官(Deputy CISO),在首席信息安全官lgor Tsyganskiy的领导下,形成合力,共同负责公司整体的网络安全风险防控、防御策略与合规管理。

  • 面向全员的安全绩效考核:安全已成为微软所有员工的核心优先事项,并融纳入员工的绩效考核体系。这不仅会促使每位管理者和员工将安全放在首位增强每位管理者和员工的安全意识与责任感,也成为记录员工对SFI所做贡献并表彰其影响力的一种有效机制。

  • 推出网络安全技能学院(Security Skilling Academy): 这是一项面向微软全球所有员工的一个个性化安全学习平台,提供精心挑选的安全培训课程。通过这一平台,无论员工身处何地、身居何职,都能深刻理解自身在保障微软网络安全中的直接作用,将安全理念融入到日常工作的每一个环节。

  • 高层领导团队定期沟通:为确保最高级别的问责制与透明度,微软高层领导团队每周审查SFI的进展情况,确保由下而上、端到端解决问题,将安全性考量纳入日常经营,并在每个季度向董事会沟通汇报最新动态。更值得一提的是,高层领导团队也接受安全绩效考核,薪酬结构现已与安全绩效直接挂钩,彰显了微软对安全的长期承诺和坚定决心。

  • 推行网络安全大使计划:微软还计划推行“全球网络安全大使计划(Global Cybersecurity Ambassador Program)”,这将为整个公司的业务职能部门提供更好的安全意识,使他们能够与客户和合作伙伴分享最佳安全实践,并更好地促进安全意识落地到安全行为。很多知名大型跨国巨头(如Amazon,SAP,Salesforce,Facebook/Meta等)在网络安全文化建设的更高级阶段都会推行安全大使计划。关于如何选拔和培养安全大使、推行安全大使计划,欢迎联系超安全。

文化变革的中坚力量:全员参与

安全始于人(Security starts with people)而不是技术。在过去的一年里,微软在全公司范围的每个角落,从高管到工程到运营再到客户支持,都激活了“安全第一”的文化。

安全未来倡议(SFI)是微软历史上最大的一个网络安全工程项目,也代表着微软同类项目中最广泛参与的一次安全行动。自项目启动以来,微软已经投入了相当于34,000名工程师11个月全职工作,以降低安全风险并解决最优先的安全任务。

每个微软员工都有一个与绩效评估直接相关的安全核心优先级50,000名员工参加了微软安全学院学习,以提高他们的安全意识与技能99%的员工完成了安全基础(Security Foundations)和信任准则(Trust Code)课。

在微软,安全不仅仅是口号,更是每一位微软员工内化于心、外化于行的信念,安全文化透过员工的日常行为得以强化这种转变不是为了合规,而是为了赋能。微软希望每一名员工都能了解自己在保护组织与客户安全方面所扮演的关键角色,并拥有履行这一安全责任的合适安全工具。

文化变革的未来:没有终点

网络威胁在演变、新兴风险在出现、IT基础设施在变化,企业需要与时俱进地适应新的变化,持续改进。网络安全文化建设不是通过一项倡议或一场运动就能一蹴而就的,它是一种长期承诺,是一项多层次、多维度的系统工程

网络安全文化建设,道阻且长,行则将至随着时间的推移,员工的安全意识水平越来越高,为安全行为的发生奠定了良好的知识基础,自动自发的安全行为是安全文化在个体和群体中的具体显现,而强大的安全文化又促进了安全意识不断提升,影响安全行为不断内化,从而形成一个螺旋上升的良性循环

注:关于SFI倡议第二期完全报告,请至微软官网下载,或加入私享群获取。

欢 迎 加 入 超 安 全 文 化 进 化 私 享 群!

分享 · 赋能 · 共进

  • 私享群定位:超安全文化进化私享群是安全圈唯一一个面向网络安全意识宣贯与培训、人为因素安全风险管理、网络安全文化建设专业人士/研究者/兴趣爱好者的高端社群。

  • 私享群愿景:让“人的因素”不再成为安全短板,让员工成为“最强大”的一道防线,让网络安全文化入脑、入心、入行!

入群方式详见:


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网