Descripción del programa de estándares y directivas de seguridad de Microsoft
El Programa de directivas y estándares de seguridad de Microsoft forma parte del marco de directivas de Microsoft y proporciona un programa completo de gobernanza de seguridad para todo el personal de Microsoft, los grupos de ingeniería y las unidades de negocio. Dado que los requisitos de seguridad cambian constantemente para tener en cuenta las nuevas tecnologías, los requisitos normativos y de cumplimiento, y las amenazas de seguridad, Microsoft actualiza periódicamente nuestras directivas de seguridad y documentos de apoyo para proteger los sistemas y clientes de Microsoft, cumplir nuestros compromisos y mantener la confianza de los clientes.
Programa de estándares y directivas de seguridad de Microsoft
El Programa de estándares y directivas de seguridad de Microsoft se organiza en directivas, estándares, requisitos y líneas base. Las directivas, los estándares y los requisitos proporcionan una guía para toda la empresa para dar apoyo a prácticas coherentes de seguridad y privacidad en Microsoft. Las unidades de negocio individuales, como Microsoft 365, usan procedimientos operativos estándar (SOP) para detallar cómo las unidades de negocio implementan los requisitos.
El Programa de estándares y directivas de seguridad de Microsoft y sus requisitos de seguridad relacionados incluyen:
- Directiva de seguridad de Microsoft (MSP): la MSP es una recopilación no técnica de objetivos de seguridad que se aplican a todo el personal de Microsoft. Los objetivos del MSP guían todas las directivas, estándares y requisitos de seguridad en Microsoft.
- Directiva del programa de seguridad de Microsoft (MSPP):La directiva del programa de seguridad de Microsoft (MSPP) define un conjunto común de objetivos de seguridad para impulsar un marco de gobernanza para los resultados de seguridad esperados. La MSPP se aplica, pero no se limita a, el personal de Microsoft en los roles de desarrollo, operaciones, seguridad, cumplimiento y auditoría durante la creación, el mantenimiento y/o el funcionamiento de software o servicios de Microsoft.
- Estándares: el Estándar de seguridad de servicios en línea (OSSS) y los Estándares de seguridad de la información empresarial (EISS) describen los requisitos de toda la empresa para servicios en línea y la seguridad corporativa. El OSSS guía la seguridad de todos los servicios en línea, mientras que el EISS lo implementan los equipos de seguridad corporativos.
- Requisitos: los requisitos son más detallados que los estándares y proporcionan implementaciones técnicas específicas que deben cumplir los sistemas y las unidades de negocio aplicables. Por ejemplo, cualquier unidad de negocio que desarrolle productos o servicios de Microsoft debe implementar el ciclo de vida de desarrollo de seguridad (SDL) de Microsoft para aplicar prácticas de desarrollo seguras. Otros requisitos de Microsoft incluyen la Garantía de seguridad operativa (OSA) para sistemas de producción operativos seguros, Infraestructura de clave pública (PKI) para criptografía de clave pública segura y requisitos de Integridad de software (SI) para proteger y comprobar la integridad del código.
- Procedimientos operativos estándar (SOP): los grupos de productos individuales y las unidades de negocio usan SOP para detallar cómo su organización implementa estándares y requisitos para cumplir los objetivos de seguridad definidos en la MSP.
Roles y responsabilidades de MSP y MSPP
Las actualizaciones de la directiva de seguridad de Microsoft (MSP) y de la directiva del programa de seguridad de Microsoft (MSPP) están dirigidas por Seguridad y confianza del cliente, una unidad de negocio en el departamento de Asuntos legales, externos y corporativos de Microsoft (CELA) con la colaboración de todos los grupos de ingeniería y unidades de negocio pertinentes. La CVP de Seguridad y confianza del cliente y el CISO de estrategia corporativa actúan como aprobadores finales de todos los cambios en la MSP.
Proceso de revisión de MSP y MSPP
Como mínimo, las directivas de seguridad, los estándares y los requisitos de Microsoft se revisan y actualizan anualmente. La revisión anual de la directiva de seguridad tiene en cuenta diversos factores, entre los que se incluyen:
- Cambios en los requisitos normativos o de cumplimiento normativo externos. Algunos ejemplos son la legislación o las actualizaciones de estándares externos, como ISO o NIST. El proceso de revisión de la directiva de seguridad incluye la revisión de todos los cambios propuestos para garantizar la alineación con las regulaciones aplicables.
- Cambios en el panorama de seguridad. Esto incluye amenazas emergentes, problemas de seguridad y lecciones aprendidas de incidentes anteriores.
- Cambio de las necesidades empresariales y de los clientes. A medida que cambia el negocio, es posible que sea necesario actualizar las directivas y los estándares para tener en cuenta las nuevas tecnologías. Por ejemplo, los nuevos productos y servicios pueden requerir nuevos enfoques de seguridad.
Las partes interesadas pertinentes, sus delegados y los revisores evalúan cómo las condiciones cambiantes pueden requerir actualizaciones de las directivas y estándares de seguridad de Microsoft. Los cambios propuestos se envían a los revisores pertinentes para su aprobación. Una vez completada la revisión, las unidades de negocio de Microsoft divulgan e implementan las versiones actualizadas de las directivas y estándares de seguridad de Microsoft, que actualizan sus procedimientos operativos estándar (SOP) para tener en cuenta los cambios en las implementaciones de seguridad específicas de su organización.
Control de excepciones
Las excepciones a las directivas y estándares de seguridad de Microsoft representan desviaciones de los requisitos con una justificación comercial legítima para la desviación. Todas las excepciones se revisan y aprueban mediante una entidad de gobernanza adecuada. Según el ámbito de la excepción y el riesgo potencial que represente, puede ser necesaria la aprobación de la excepción por parte de un ejecutivo adecuado. Se debe realizar un seguimiento de todas las excepciones en la herramienta adecuada.