- Microsoft ngeluarin Secure Future Initiative (SFI) buat ngebuat dunia maya lebih aman.
- Microsoft ngebuat keamanan jadi prioritas utama, ngeluarin dana dan ngebuat sistem baru buat ngegarap keamanan.
- Microsoft ngebuat komitmen buat ngegarap keamanan secara menyeluruh di dunia maya dan dunia nyata.
pibitek.biz -Microsoft lagi gencar banget ngegarap Secure Future Initiative (SFI), program gede-gedean untuk ngebuat dunia maya lebih aman. Program ini udah dilaunching sejak November 2023 dan makin digas sejak Mei 2024. SFI punya tujuan mulia, yaitu mengamankan Microsoft sendiri, para pelanggannya, dan seluruh industri teknologi. Microsoft emang serius banget soal keamanan, bahkan sampai ngeluarin slogan "prioritize security above all else". Mereka paham banget bahwa keamanan itu penting banget buat semua orang, terutama buat pengguna teknologi mereka.
2 – AI Apple: Kekecewaan dan Keterlambatan 2 – AI Apple: Kekecewaan dan Keterlambatan
3 – SimpliSafe Rilis Layanan Pemantauan Aktif Waktu Nyata 3 – SimpliSafe Rilis Layanan Pemantauan Aktif Waktu Nyata
Microsoft bahkan ngeluarin dana setara 34.000 orang full-time engineer buat SFI, yang berarti ini program keamanan terbesar dalam sejarah. Bayangin deh, berapa banyak orang yang kerja keras buat jaga keamanan di dunia maya. Salah satu strategi Microsoft adalah ngebuat Cybersecurity Governance Council, dipimpin langsung oleh Chief Information Security Officer (CISO) Igor Tsyganskiy. Council ini dihuni sama para jagoan keamanan dari berbagai divisi di Microsoft, jadi bisa dijamin pengawasan keamanan makin ketat.
Microsoft juga ngebuat security jadi prioritas utama dalam penilaian kinerja karyawan. Artinya, setiap karyawan harus punya tanggung jawab dalam menjaga keamanan, baik di dalam maupun di luar kantor. Gak cuma itu, Microsoft juga ngeluarin Security Skilling Academy, yang ngasih pelatihan keamanan buat semua karyawan di seluruh dunia. SFI punya enam pilar utama yang ngebantu Microsoft ngegarap strategi keamanan secara sistematis. Enam pilar ini ngebantu Microsoft mengamankan setiap layanan yang mereka tawarin.
Microsoft juga ngeluarin update baru buat Microsoft Entra ID dan Microsoft Account (MSA), baik di cloud publik maupun di cloud khusus pemerintah Amerika. Update ini ngebuat proses pembuatan, penyimpanan, dan pergantian otomatis kunci tanda tangan token akses makin aman. Microsoft juga ngebuat security token validation di Microsoft Entra ID makin kuat. Token ini penting banget buat ngedeteksi dan melacak ancaman keamanan. Microsoft juga mewajibkan semua pengguna di lingkungan produksi menggunakan phishing-resistant credentials dan ngeimplementasikan verifikasi video buat 95% karyawan internal.
Microsoft juga ngeluarin sistem baru buat ngatur testing dan lingkungan eksperimen. Mereka juga ngeluarin lebih dari 15.000 perangkat locked-down yang siap dipake di lingkungan produksi. Microsoft juga ngeluarin sistem katalog terpusat buat ngeatur aset fisik di jaringan produksi. Sistem ini ngebantu mereka melacak kepemilikan aset dan kepatuhan firmware. Microsoft juga ngebuat jaringan virtual dengan konektivitas backend terpisah dari jaringan perusahaan buat ngehindari risiko pergerakan lateral.
Microsoft juga ngeluarin kemampuan platform baru buat ngebantu pelanggan ngebuat deployment mereka lebih aman. Mereka juga ngebuat template terpusat yang dipakai di 85% pipeline produksi cloud komersil. Microsoft juga ngebuat masa pakai Personal Access Token lebih singkat dan ngehapus akses Secure Shell (SSH) buat repository engineering internal. Microsoft juga ngeluarin standar baru buat log audit keamanan di seluruh infrastruktur produksi. Standar ini ngebantu Microsoft ngumpulin telemetry penting dan menyimpannya minimal selama dua tahun.
Mereka juga ngeluarin sistem pengumpulan log keamanan terpusat buat lebih dari 99% perangkat jaringan. Microsoft juga ngeluarin proses baru yang bisa ngebuat Time to Mitigate lebih cepat buat mengatasi kerentanan cloud kritis. Mereka juga mulai ngebuat publikasi kerentanan cloud kritis sebagai Common Vulnerabilities and Exposures (CVE). Microsoft juga ngeluarin Customer Security Management Office (CSMO) buat ngebantu komunikasi publik dan customer engagement selama terjadi insiden keamanan. Microsoft ngerti banget bahwa keamanan itu proses yang terus-menerus, gak ada habisnya.
Makanya mereka ngeluarin banyak resource buat SFI. Mereka juga ngeluarin strategi baru buat ngebuat sistem keamanan makin kuat, ngehapus aset yang udah gak dipake, dan ngeidentifikasi area yang butuh pengawasan ekstra ketat. Microsoft juga ngikutin perkembangan terkini dalam dunia keamanan. Mereka juga ngebuat komitmen buat ngegarap keamanan secara menyeluruh dengan ngikutin Secure by Design pledge dari Cybersecurity and Infrastructure Security Agency (CISA) Amerika. Microsoft juga ngikutin rekomendasi dari Cyber Safety Review Board (CSRB) buat ngeupgrade kerangka kerja keamanan mereka.
Mereka emang serius banget ngegarap keamanan, gak tanggung-tanggung. Program SFI ini emang keren sih, tapi ada beberapa hal yang kurang pas. Contohnya, Microsoft terlalu fokus sama aspek teknis keamanan, padahal ada aspek lain yang juga penting, misalnya edukasi buat pengguna. Mereka juga terlalu percaya diri sama kemampuan mereka dalam mengamankan data pengguna, padahal banyak kasus pembobolan data yang terjadi di perusahaan besar. Microsoft juga terlalu fokus sama keamanan di dunia maya, padahal banyak ancaman keamanan di dunia nyata.
Microsoft harus lebih proaktif dalam ngegarap keamanan secara menyeluruh, baik di dunia maya maupun di dunia nyata. SFI ini juga dikritik karena terlalu kompleks dan ribet, terutama buat pengguna awam. Microsoft harus lebih ngedepankan kesederhanaan dalam ngegarap keamanan, supaya semua orang bisa ngerti dan ngikutin. Masih banyak hal yang harus diperbaiki dalam SFI. Microsoft harus lebih fokus sama kepentingan pengguna, bukan hanya fokus sama keuntungan mereka. SFI juga harus lebih transparan dan akuntabel dalam ngegarap keamanan.
