Langkah ini merupakan bagian dari upaya perusahaan untuk meyakinkan pelanggan, termasuk pemerintah AS, bahwa mereka membuat kemajuan dalam Inisiatif Masa Depan yang Aman, perombakan terbesar pada postur keamanan siber dalam lebih dari dua dekade.
Sebelumnya Microsoft didera serangkaian peretasan yang merusak, serta laporan pemerintah yang menggambarkan kebutuhan perubahan mendesak atas kultur keamanan perusahaan.
Belum lama dunia dihebohkan atas kegagalan IT secara global, yang memicu krisis akibat ketidaksempurnaan pembaruan dari CrowdStrike Holdings Inc.
Microsoft meluncurkan inisiatif ini pada bulan November dan menunjuk chief information security baru pada bulan Desember. Pada bulan Mei, CEO Satya Nadella memerintahkan para insinyurnya untuk memprioritaskan keamanan di atas segalanya, termasuk pengembangan produk baru.
Tantangan Baru Microsoft yang Harus Segera Dipecahkan
Tantangan utama bagi Microsoft adalah menemukan keseimbangan antara keamanan siber dan tekanan persaingan untuk merilis pembaruan dengan cepat dan menciptakan teknologi baru, terutama dalam kecerdasan buatan (AI).
“Pelanggan protes kepada Anda setiap hari bahwa mereka menginginkan fitur baru. Tetapi mereka tidak berteriak pada Anda setiap hari tentang ancaman kejahatan,” kata kepala keamanan Microsoft, Charlie Bell, dalam sebuah wawancara.
Konflik antara dua tujuan ini menjadi jelas pada bulan Mei, ketika tim AI meluncurkan fitur Windows yang membuat catatan tentang semua yang dilakukan pengguna pada PC mereka. Diberi nama Recall, produk ini membuat para ahli keamanan khawatir dan harus ditarik kembali untuk melakukan penyesuaian.
“Apa yang kami pelajari dari Recall adalah bahwa kami masih memiliki pekerjaan yang harus dilakukan,” ujar Ann Johnson, seorang eksekutif industri keamanan yang telah lama bekerja di industri keamanan, yang pindah dari grup pengembangan bisnis Microsoft ke salah satu peran baru sebagai wakil CISO awal tahun ini.
Jawabannya adalah, memberikan panduan jelas kepada tim untuk memastikan bahwa semua fitur dan kode baru memenuhi standar keamanan perusahaan. “Maka mereka bisa mengeluarkan apa saja, dan kami tidak menghalangi mereka,” kata Johnson.
Wakil CISO lainnya termasuk Vanessa Feliberti Bautista, seorang veteran Microsoft selama tiga dekade, yang akan mengawasi keamanan di produk korporat Microsoft 365, dan Geoff Belknap, mantan CISO di LinkedIn dan Slack, yang akan menjaga infrastruktur inti Microsoft serta akuisisi.
Sebagai wujud keseriusan baru Microsoft dalam hal keamanan produk, Nadella kini meluangkan waktu satu jam dalam pertemuan rutin hari Jumat untuk menilai dan memecahkan masalah inisiatif keamanan, kata Bell.
Nadella secara khusus meminta agar pembaruan berfokus pada titik-titik masalah yang masih perlu ditangani. “Anda akan menerima warna merah. Saya tidak ingin ada pertunjukan yang menunjukkan betapa hebatnya semuanya,” kata Bell kepada para eksekutif.
Satya Nadella juga meminta timnya untuk berhenti memikirkan apakah keluhan tentang masalah keamanan siber Microsoft itu wajar dan fokus pada perbaikan.
“Lakukan saja pekerjaan itu,” kata Bell kepada para pemimpin Microsoft.
(bbn)