Microsoft SFI: A gigantesca (e necessária) reforma na segurança dos seus sistemas

Lançada sob o lema “Segurança acima de tudo”, a SFI representa uma tentativa ambiciosa de reformular fundamentalmente a forma como a empresa projeta, desenvolve, testa e opera os seus produtos e serviços.

O relatório de abril de 2025 detalha progressos realizados desde maio de 2024, quantificando o investimento no trabalho equivalente a 34 mil profissionais a tempo inteiro durante 11 meses. A iniciativa estrutura-se em torno de três princípios (Segurança pensada desde o início, Segurança ativa por defeito, e Segurança operacional contínua) e seis grandes áreas de foco técnico (pilares de engenharia), abordando desde a proteção de contas de utilizador e redes até à segurança dos sistemas de desenvolvimento e à rapidez na resposta a incidentes.

Não apenas tecnologia, mas cultura e supervisão

Significativamente, a SFI não se foca apenas em controlos técnicos. O relatório sublinha uma mudança cultural, com a segurança a tornar-se uma prioridade central nas avaliações de desempenho de todos os funcionários. A formação foi intensificada, com mais de 50 mil participações na Microsoft Security Academy (a academia interna de segurança) e 99% dos colaboradores a completar cursos base. A estrutura de supervisão foi reforçada, com adjuntos do responsável máximo pela segurança (Deputy CISO) dedicados a áreas de produto específicas, centralizando o acompanhamento de riscos e alinhando-os com a informação estratégica sobre ameaças e atacantes (intelligence de ameaças).

Áreas técnicas: reforço abrangente

Nas áreas técnicas, o progresso é significativo, embora a própria Microsoft admita que muitos objetivos levarão anos a completar. De destacar os seguintes:

1. Contas de Utilizador e “Segredos” Digitais: Forte ênfase na proteção das chaves de assinatura (selos digitais que garantem a autenticidade), usando dispositivos físicos ultrasseguros (HSM) para as guardar. Adoção de ferramentas de desenvolvimento (SDK) que ajudam a implementar funcionalidades de segurança (como o login) de forma consistente (90% das credenciais digitais do sistema de identidade Entra ID da Microsoft já são validadas assim). Implementação generalizada da autenticação multifator (MFA) resistente a phishing (exigência de múltiplos passos de confirmação no login, difíceis de falsificar, protegendo contra roubo de passwords) em 92% das contas de trabalho dos funcionários.
2. Isolamento e Permissões Mínimas: Aplicação mais rigorosa do princípio do “menor privilégio” (dar apenas as permissões estritamente necessárias para cada tarefa). Remoção de milhões de contas ou espaços na nuvem antigos e sem uso (tenants legados). Gestão mais automática do ciclo de vida e acesso das aplicações e restrição do acesso de contas usadas por sistemas automáticos nos ambientes operacionais.
3. Redes e Sistemas de Desenvolvimento: Inventário quase total dos equipamentos de rede (99%). Avanços na microssegmentação (dividir a rede em zonas mais pequenas e isoladas para limitar danos em caso de ataque). Inventário forçado dos processos automatizados de desenvolvimento e lançamento de software (pipelines CI/CD) e proteção de 81% das versões do código que está a ser usado nos produtos ativos com MFA.
4. Deteção e Resposta a Ameaças: Melhoria no inventário centralizado dos sistemas em produção. Adoção de regras para guardar registos de atividade (logs) por mais tempo. Adição de mais de 200 novas formas de detetar Táticas, Técnicas e Procedimentos (TTP) usados pelos atacantes. Aceleração na correção de falhas de segurança (mitigação de vulnerabilidades), embora a taxa de sucesso tenha descido ligeiramente (73%) porque o programa passou a abranger mais situações.

Implicações para o futuro

Embora os progressos sejam evidentes, a SFI é, em parte, um reconhecimento implícito de falhas passadas que permitiram incidentes de segurança significativos. O lema “Segurança acima de tudo” é poderoso, mas levanta questões sobre o equilíbrio real com a velocidade de inovação e lançamento de novas funcionalidades – um dilema constante na indústria.

Para os decisores, a SFI sinaliza uma mudança potencialmente profunda na postura de segurança da Microsoft. A aplicação mais rigorosa de controlos como a autenticação multifator (MFA) ativada por defeito, a melhoria na proteção de sistemas essenciais (infraestruturas críticas) e o foco na transparência (como o alinhamento com as recomendações do CSRB – Cyber Safety Review Board, um painel consultivo de segurança dos EUA) são desenvolvimentos positivos. No entanto, a execução a longo prazo e a manutenção do foco serão determinantes. A natureza “não linear” do progresso, admitida pela Microsoft, significa que contratempos são possíveis.

Em suma, a SFI é uma iniciativa massiva e necessária. O seu sucesso ou fracasso parcial terá repercussões diretas na segurança das organizações que dependem da Microsoft. Monitorizar a sua evolução e as suas manifestações práticas nos produtos e serviços utilizados continua a ser um imperativo para qualquer líder de IT informado.