En un mundo digital donde las amenazas evolucionan a velocidad de vértigo, la ciberseguridad se ha convertido en una prioridad absoluta. Microsoft, consciente de ello, lanzó en 2024 su Consejo de Gobernanza de Ciberseguridad (Cybersecurity Governance Council). Como parte de esta iniciativa, se nombró a un grupo de Directores Adjuntos de Seguridad de la Información (Deputy Chief Information Security Officers o Deputy CISOs). Su misión es clara: supervisar de manera integral los riesgos, defensas y cumplimiento en materia de ciberseguridad dentro de la compañía.
Estos líderes no trabajan aislados; colaboran estrechamente con los equipos de producto e ingeniería para asegurar que la protección sea una responsabilidad compartida y avanzar en la seguridad, no solo para Microsoft, sino también para sus clientes y la industria en general. Vamos a conocer a tres de estas figuras clave.
Los pilares de la estrategia: Identidad, Nube e IA
Cada Deputy CISO aporta una perspectiva única y una profunda experiencia en áreas críticas. Sus responsabilidades, aunque distintas, convergen en el objetivo común de fortalecer la postura de seguridad de Microsoft.
Igor Sakhnov: La identidad como perímetro fundamental
Como Vicepresidente Corporativo de Ingeniería de Identidad y Deputy CISO centrado en riesgos de identidad, Igor Sakhnov lidera la ingeniería de datos y plataformas, además de iniciativas orientadas al negocio. Su interés inicial no fue la ciberseguridad per se, sino entender cómo funcionan los sistemas a gran escala. Sin embargo, como él mismo indica, la cuestión de la seguridad surge inevitablemente al profundizar en sistemas complejos.
Su equipo se dedica a la innovación en el espacio de la identidad, construyendo sistemas empresariales a gran escala. Sakhnov subraya la creciente importancia de la identidad como eje central de los sistemas modernos, especialmente con los nuevos enfoques que la integran en los flujos de red. Para él, el equilibrio entre seguridad e innovación es crucial pero difícil; la seguridad debe integrarse desde el principio, ya que un producto innovador pero inseguro no será adoptado. Aboga por la mentalidad de "asumir la brecha" (assume breach): aunque la protección es vital, hay que estar preparados para detectarla, reducir su impacto y mitigarla rápidamente si falla.
Mark Russinovich: Asegurando Azure y el núcleo del sistema
Mark Russinovich, una figura reconocida en el mundo tecnológico, centra su labor como Deputy CISO en identificar y resolver los riesgos de seguridad en Microsoft Azure, el sistema operativo central y los sistemas de ingeniería internos. Su pasión por entender el funcionamiento interno de los ordenadores y sistemas operativos desde joven le llevó de forma natural a la ciberseguridad.
El equipo de Russinovich se enfoca en la estrategia técnica, arquitectura y gestión de riesgos de seguridad, buscando implementaciones duraderas que no requieran revisiones constantes. Colabora estrechamente con otros equipos para guiar el desarrollo de Azure, asegurando que la seguridad sea prioritaria. En su visión, seguridad e innovación no son excluyentes, sino un equilibrio: la seguridad debe ir al volante, pero la innovación marca la hoja de ruta. Coincide plenamente con la filosofía "assume breach", destacando que la prevención es necesaria, pero insuficiente por sí sola.
Yonatan Zunger: Navegando los complejos riesgos de la IA
Con un trasfondo singular como físico teórico, Yonatan Zunger aborda la seguridad desde la perspectiva de la inteligencia artificial. Su trabajo consiste en anticipar los posibles problemas derivados de la IA, desarrollar planes de contingencia y crear las herramientas necesarias para gestionar incidentes específicos de esta tecnología. Su interés por la seguridad y la privacidad surgió durante su etapa en Google, al darse cuenta del enorme impacto que la tecnología puede tener en la vida de las personas.
Su equipo tiene una estructura horizontal que abarca investigación, infraestructura, formación, evaluación, respuesta a incidentes y política. Zunger enfatiza que construir sistemas seguros es parte intrínseca de resolver los problemas del cliente; un sistema inseguro solo crea más problemas. Además, critica la visión de que seguridad, privacidad y protección de datos (safety) son cosas distintas, argumentando que estas divisiones artificiales pueden llevar a incidentes graves cuando los problemas caen en tierra de nadie.
Filosofías compartidas y el futuro de la seguridad en Microsoft
A pesar de sus diferentes áreas de especialización, estos líderes comparten conclusiones similares: la seguridad es un habilitador, no una restricción; la protección perfecta es una utopía, pero la resiliencia es alcanzable; y la defensa es una responsabilidad compartida por todos, desde ingenieros hasta clientes.
La mentalidad "assume breach" es un denominador común, reconociendo que la detección y la respuesta rápida son tan importantes como la prevención. Iniciativas como la Secure Future Initiative de Microsoft reflejan un impulso centralizado que busca unificar y potenciar los esfuerzos de seguridad en toda la organización.
La transformación de la seguridad en Microsoft no se basa solo en tecnología, sino en el liderazgo de personas como Sakhnov, Russinovich y Zunger, quienes aportan la visión y experiencia necesarias para fortalecer la protección en un panorama de amenazas cada vez más complejo, especialmente en la era de la IA.