Amazon EC2 High Memory U7i instances with 12TB and 16TB of memory (u7i-12tb.224xlarge and u7in-16tb.224xlarge) are now available in the AWS GovCloud (US-West) region and 24TB of memory (u7in-24tb.224xlarge) are now available in the AWS GovCloud (US-East) region. U7i instances are part of AWS 7th generation and are powered by custom fourth generation Intel Xeon Scalable Processors (Sapphire Rapids). U7i-12tb instances offer 12TiB of DDR5 memory, U7in-16tb instances offer 16TiB of DDR5 memory, and U7in-24tb instances offer 24TiB of DDR5 memory, enabling customers to scale transaction processing throughput in a fast-growing data environment.
U7i-12tb instances offer 896 vCPUs, support up to 100Gbps Elastic Block Storage (EBS) for faster data loading and backups, deliver up to 100Gbps of network bandwidth, and support ENA Express. U7in-16tb and U7in-24tb instances offer 896 vCPUs, support up to 100Gbps Elastic Block Storage (EBS) for faster data loading and backups, deliver up to 200Gbps of network bandwidth, and support ENA Express. U7i instances are ideal for customers using mission-critical in-memory databases like SAP HANA, Oracle, and SQL Server.
Amazon EC2 High Memory U7i instances with 12TB and 16TB of memory (u7i-12tb.224xlarge and u7in-16tb.224xlarge) are now available in the AWS GovCloud (US-West) region and 24TB of memory (u7in-24tb.224xlarge) are now available in the AWS GovCloud (US-East) region. U7i instances are part of AWS 7th generation and are powered by custom fourth generation Intel Xeon Scalable Processors (Sapphire Rapids). U7i-12tb instances offer 12TiB of DDR5 memory, U7in-16tb instances offer 16TiB of DDR5 memory, and U7in-24tb instances offer 24TiB of DDR5 memory, enabling customers to scale transaction processing throughput in a fast-growing data environment. U7i-12tb instances offer 896 vCPUs, support up to 100Gbps Elastic Block Storage (EBS) for faster data loading and backups, deliver up to 100Gbps of network bandwidth, and support ENA Express. U7in-16tb and U7in-24tb instances offer 896 vCPUs, support up to 100Gbps Elastic Block Storage (EBS) for faster data loading and backups, deliver up to 200Gbps of network bandwidth, and support ENA Express. U7i instances are ideal for customers using mission-critical in-memory databases like SAP HANA, Oracle, and SQL Server. To learn more about U7i instances, visit the High Memory instances page.
Amazon S3 Express One Zone now supports Internet Protocol version 6 (IPv6) addresses for gateway Virtual Private Cloud (VPC) endpoints. S3 Express One Zone is a high-performance storage class designed for latency-sensitive applications.
Organizations are adopting IPv6 networks to mitigate IPv4 address exhaustion in their private networks or to comply with regulatory requirements. You can now access your data in S3 Express One Zone over IPv6 or DualStack VPC endpoints. You don’t need additional infrastructure to handle IPv6 to IPv4 address translation.
S3 Express One Zone support for IPv6 is available in all AWS Regions where the storage class is available at no additional cost. You can set up IPv6 for new and existing VPC endpoints using the AWS Management Console, AWS CLI, AWS SDK, or AWS CloudFormation. To get started using IPv6 on S3 Express One Zone, visit the S3 User Guide.
Amazon S3 Express One Zone now supports Internet Protocol version 6 (IPv6) addresses for gateway Virtual Private Cloud (VPC) endpoints. S3 Express One Zone is a high-performance storage class designed for latency-sensitive applications. Organizations are adopting IPv6 networks to mitigate IPv4 address exhaustion in their private networks or to comply with regulatory requirements. You can now access your data in S3 Express One Zone over IPv6 or DualStack VPC endpoints. You don’t need additional infrastructure to handle IPv6 to IPv4 address translation. S3 Express One Zone support for IPv6 is available in all AWS Regions where the storage class is available at no additional cost. You can set up IPv6 for new and existing VPC endpoints using the AWS Management Console, AWS CLI, AWS SDK, or AWS CloudFormation. To get started using IPv6 on S3 Express One Zone, visit the S3 User Guide.
AWS Private Certificate Authority (AWS Private CA) now enables you to create certificate authorities (CAs) and issue certificates that use Module Lattice-based Digital Signature Algorithm (ML-DSA). This feature enables you to begin transitioning your public key infrastructure (PKI) towards post-quantum cryptography, allowing you to put protections in place now to protect the security of your data against future quantum computing threats. ML-DSA is a post-quantum digital signature algorithm standardized by National Institute of Standards and Technology (NIST) as Federal Information Processing Standards (FIPS) 204.
With this feature, you can now test ML-DSA in your environment for certificate issuance, identity verification, and code signing. You can create CAs, issue certificates, create certificate revocation lists (CRLs) and configure online certificate status protocol (OCSP) responders using ML-DSA. Cryptographically relevant quantum computer (CRQC) will be able to break current digital signature algorithms, like Rivest–Shamir–Adleman (RSA) or Elliptic Curve Digital Signature Algorithm (ECDSA), which are expected to be phased out over the next decade.
AWS Private CA support for ML-DSA is available in all commercial AWS Regions, the AWS GovCloud (US) Regions, and the China Regions.
AWS Private Certificate Authority (AWS Private CA) now enables you to create certificate authorities (CAs) and issue certificates that use Module Lattice-based Digital Signature Algorithm (ML-DSA). This feature enables you to begin transitioning your public key infrastructure (PKI) towards post-quantum cryptography, allowing you to put protections in place now to protect the security of your data against future quantum computing threats. ML-DSA is a post-quantum digital signature algorithm standardized by National Institute of Standards and Technology (NIST) as Federal Information Processing Standards (FIPS) 204.
With this feature, you can now test ML-DSA in your environment for certificate issuance, identity verification, and code signing. You can create CAs, issue certificates, create certificate revocation lists (CRLs) and configure online certificate status protocol (OCSP) responders using ML-DSA. Cryptographically relevant quantum computer (CRQC) will be able to break current digital signature algorithms, like Rivest–Shamir–Adleman (RSA) or Elliptic Curve Digital Signature Algorithm (ECDSA), which are expected to be phased out over the next decade.
AWS Private CA support for ML-DSA is available in all commercial AWS Regions, the AWS GovCloud (US) Regions, and the China Regions.
To learn more about AWS Private CA ML-DSA support, visit the AWS Private CA user guide.
To learn more about Post-Quantum Cryptography at AWS, visit the AWS Post-Quantum Cryptography page.
Amazon Web Services (AWS) now supports Internet Protocol version 6 (IPv6) addresses for AWS PrivateLink Gateway and Interface Virtual Private Cloud (VPC) endpoints for Amazon S3.
The continued growth of the internet is exhausting available Internet Protocol version 4 (IPv4) addresses. IPv6 increases the number of available addresses by several orders of magnitude, and customers no longer need to manage overlapping address spaces in their VPCs. To get started with IPv6 connectivity on a new or existing S3 gateway or interface endpoint, configure IP address type for the endpoint to IPv6 or Dualstack. When enabled, Amazon S3 automatically updates the routing tables with IPv6 addresses for gateway endpoints and sets up an Elastic network interface (ENI) with IPv6 addresses for interface endpoints.
IPv6 support for VPC endpoints for Amazon S3 is now available in all AWS Commercial Regions and the AWS GovCloud (US) Regions, at no additional cost. You can set up IPv6 for new and existing VPC endpoints using the AWS Management Console, AWS CLI, AWS SDK, or AWS CloudFormation. To learn more, please refer to the service documentation.
Amazon Web Services (AWS) now supports Internet Protocol version 6 (IPv6) addresses for AWS PrivateLink Gateway and Interface Virtual Private Cloud (VPC) endpoints for Amazon S3. The continued growth of the internet is exhausting available Internet Protocol version 4 (IPv4) addresses. IPv6 increases the number of available addresses by several orders of magnitude, and customers no longer need to manage overlapping address spaces in their VPCs. To get started with IPv6 connectivity on a new or existing S3 gateway or interface endpoint, configure IP address type for the endpoint to IPv6 or Dualstack. When enabled, Amazon S3 automatically updates the routing tables with IPv6 addresses for gateway endpoints and sets up an Elastic network interface (ENI) with IPv6 addresses for interface endpoints. IPv6 support for VPC endpoints for Amazon S3 is now available in all AWS Commercial Regions and the AWS GovCloud (US) Regions, at no additional cost. You can set up IPv6 for new and existing VPC endpoints using the AWS Management Console, AWS CLI, AWS SDK, or AWS CloudFormation. To learn more, please refer to the service documentation.
Amazon Braket notebook instances now come with native support for CUDA-Q, streamlining access to NVIDIA’s quantum computing platform for hybrid quantum-classical applications. This enhancement is enabled by upgrading the underlying operating system to Amazon Linux 2023, which delivers improved performance, security, and compatibility for quantum development workflows.
Quantum researchers and developers can now seamlessly build and test hybrid quantum-classical algorithms using CUDA-Q’s GPU-accelerated quantum circuit simulation alongside access to quantum processing units (QPUs) from IonQ, Rigetti, and IQM, all within a single managed environment. With this release, developers can now access CUDA-Q directly within the managed notebook environment, simplifying workflows that previously required local deployment or needed to be run via Hybrid Jobs.
CUDA-Q support in Amazon Braket notebook instances is available in all AWS Regions where Amazon Braket is available. To get started, see the Amazon Braket Developer Guide and visit the Amazon Braket product page to learn more about quantum computing on AWS.
Amazon Braket notebook instances now come with native support for CUDA-Q, streamlining access to NVIDIA’s quantum computing platform for hybrid quantum-classical applications. This enhancement is enabled by upgrading the underlying operating system to Amazon Linux 2023, which delivers improved performance, security, and compatibility for quantum development workflows. Quantum researchers and developers can now seamlessly build and test hybrid quantum-classical algorithms using CUDA-Q’s GPU-accelerated quantum circuit simulation alongside access to quantum processing units (QPUs) from IonQ, Rigetti, and IQM, all within a single managed environment. With this release, developers can now access CUDA-Q directly within the managed notebook environment, simplifying workflows that previously required local deployment or needed to be run via Hybrid Jobs. CUDA-Q support in Amazon Braket notebook instances is available in all AWS Regions where Amazon Braket is available. To get started, see the Amazon Braket Developer Guide and visit the Amazon Braket product page to learn more about quantum computing on AWS.
Claude Sonnet 4.5 currently leads the SWE-bench Verified benchmarks with enhanced instruction following, better code improvement identification, stronger refactoring judgment, and more effective production-ready code generation. This model excels at powering long-running agents that tackle complex, multi-step tasks requiring peak accuracy—like autonomously managing multi-channel marketing campaigns or orchestrating cross-functional enterprise workflows. In cybersecurity, it can help teams shift from reactive detection to proactive defense by autonomously patching vulnerabilities. For financial services, it can handle everything from analysis to advanced predictive modeling.
Through the Amazon Bedrock API, Claude can now automatically edit context to clear stale information from past tool calls, allowing you to maximize the model’s context. A new memory tool lets Claude store and consult information outside the context window to boost accuracy and performance.
To get started with Claude Sonnet 4.5 in Amazon Bedrock, read the News Blog, visit the AWS GovCloud (US) console console, Anthropic’s Claude in Amazon Bedrock product page, and the Amazon Bedrock pricing page.
Customers can now use Claude Sonnet 4.5 in Amazon Bedrock in AWS GovCloud (US-West) and AWS GovCloud (US-East) via US-GOV Cross-Region Inference. Claude Sonnet 4.5 is Anthropic’s most intelligent model, excelling at building complex agents, coding, and long-horizon tasks while maintaining optimal speed and cost-efficiency for high-volume use-cases. Claude Sonnet 4.5 currently leads the SWE-bench Verified benchmarks with enhanced instruction following, better code improvement identification, stronger refactoring judgment, and more effective production-ready code generation. This model excels at powering long-running agents that tackle complex, multi-step tasks requiring peak accuracy—like autonomously managing multi-channel marketing campaigns or orchestrating cross-functional enterprise workflows. In cybersecurity, it can help teams shift from reactive detection to proactive defense by autonomously patching vulnerabilities. For financial services, it can handle everything from analysis to advanced predictive modeling. Through the Amazon Bedrock API, Claude can now automatically edit context to clear stale information from past tool calls, allowing you to maximize the model’s context. A new memory tool lets Claude store and consult information outside the context window to boost accuracy and performance. To get started with Claude Sonnet 4.5 in Amazon Bedrock, read the News Blog, visit the AWS GovCloud (US) console console, Anthropic’s Claude in Amazon Bedrock product page, and the Amazon Bedrock pricing page.
AWS Control Tower customers can now simply move their accounts to an Organizational Unit (OU) to enroll them under AWS Control Tower governance. This feature helps customers maintain consistency across their AWS environment and simplifies the account creation and enrollment processes. When enrolled, member accounts receive best practice configurations, controls, and baseline resources required for AWS Control Tower governance.
Customers are no longer required to manually update accounts or re-register OUs when migrating accounts or making changes to their OU structure. When an account is moved to a new OU, AWS Control Tower automatically enrolls the account, applying the baseline configurations and controls from the new OU and removing those from the original OU. With this feature, customers can further simplify their new account provisioning workflows by creating an account and then moving it into the right OU using the AWS Organizations console or the CreateAccount and MoveAccount APIs.
Customers on landing zone version 3.1 and higher can opt in to this feature by toggling the automatically enroll accounts flag in their Landing Zone settings or using the Create or UpdateLandingZone APIs by setting the value of the RemediationTypes parameter to Inheritance_Drift. To learn more about this functionality, review Move and enroll accounts with auto-enrollment. For a list of AWS Regions where AWS Control Tower is available, see the AWS Region Table.
AWS Control Tower customers can now simply move their accounts to an Organizational Unit (OU) to enroll them under AWS Control Tower governance. This feature helps customers maintain consistency across their AWS environment and simplifies the account creation and enrollment processes. When enrolled, member accounts receive best practice configurations, controls, and baseline resources required for AWS Control Tower governance. Customers are no longer required to manually update accounts or re-register OUs when migrating accounts or making changes to their OU structure. When an account is moved to a new OU, AWS Control Tower automatically enrolls the account, applying the baseline configurations and controls from the new OU and removing those from the original OU. With this feature, customers can further simplify their new account provisioning workflows by creating an account and then moving it into the right OU using the AWS Organizations console or the CreateAccount and MoveAccount APIs. Customers on landing zone version 3.1 and higher can opt in to this feature by toggling the automatically enroll accounts flag in their Landing Zone settings or using the Create or UpdateLandingZone APIs by setting the value of the RemediationTypes parameter to Inheritance_Drift. To learn more about this functionality, review Move and enroll accounts with auto-enrollment. For a list of AWS Regions where AWS Control Tower is available, see the AWS Region Table.
Amazon CloudWatch agent now supports collection of shared memory utilization metrics from Linux hosts running on Amazon EC2 or on-premises environments. This new capability enables you to monitor total shared memory usage in CloudWatch, alongside existing memory metrics like free memory, used memory, and cached memory.
Enterprise applications such as SAP HANA and Oracle RDBMS make extensive use of shared memory segments that were previously not captured in standard memory metrics. By enabling shared memory metric collection in your CloudWatch agent configuration file, you can now accurately assess total memory utilization across your hosts, helping you optimize host and application configurations and make informed decisions about instance sizing.
Amazon CloudWatch agent is supported in all commercial AWS Regions and AWS GovCloud (US) Regions. For Amazon CloudWatch custom metrics pricing, see the CloudWatch Pricing page.
Amazon CloudWatch agent now supports collection of shared memory utilization metrics from Linux hosts running on Amazon EC2 or on-premises environments. This new capability enables you to monitor total shared memory usage in CloudWatch, alongside existing memory metrics like free memory, used memory, and cached memory. Enterprise applications such as SAP HANA and Oracle RDBMS make extensive use of shared memory segments that were previously not captured in standard memory metrics. By enabling shared memory metric collection in your CloudWatch agent configuration file, you can now accurately assess total memory utilization across your hosts, helping you optimize host and application configurations and make informed decisions about instance sizing. Amazon CloudWatch agent is supported in all commercial AWS Regions and AWS GovCloud (US) Regions. For Amazon CloudWatch custom metrics pricing, see the CloudWatch Pricing page. To get started, see Configuring the CloudWatch agent in the Amazon CloudWatch User Guide.
Amazon SageMaker Unified Studio now provides real-time notifications for data catalog activities, enabling data teams to stay informed of subscription requests, dataset updates, and access approvals. With this launch, customers receive real-time notifications for catalog events including new dataset publications, metadata changes, and access approvals directly within the SageMaker Unified Studio notification center. This launch streamlines collaboration by keeping teams updated as datasets are published or modified.
The new notification experience in SageMaker Unified Studio is accessible from a “bell” icon in the top right corner of the project home page. From here, you can access a short list of recent notifications including subscription requests, updates, comments, and system events. To see the full list of all notifications, you can click on “notification center” to see all notifications in a tabular view that can be filtered based on your preferences for data catalogs, projects and event types.
Amazon SageMaker Unified Studio now provides real-time notifications for data catalog activities, enabling data teams to stay informed of subscription requests, dataset updates, and access approvals. With this launch, customers receive real-time notifications for catalog events including new dataset publications, metadata changes, and access approvals directly within the SageMaker Unified Studio notification center. This launch streamlines collaboration by keeping teams updated as datasets are published or modified. The new notification experience in SageMaker Unified Studio is accessible from a “bell” icon in the top right corner of the project home page. From here, you can access a short list of recent notifications including subscription requests, updates, comments, and system events. To see the full list of all notifications, you can click on “notification center” to see all notifications in a tabular view that can be filtered based on your preferences for data catalogs, projects and event types. Notifications within SageMaker Unified Studio is available in all regions where SageMaker Unified Studio is supported. To learn more, refer to the SageMaker Unified Studio guide.
Cómo Microsoft ha creado una duradera cultura donde la seguridad es lo primero
Por: Ann Johnson, vicepresidenta corporativa, CISO adjunta, Oficina de Gestión de Seguridad del Cliente.
En Microsoft, la creación de una cultura de seguridad duradera es más que una prioridad estratégica: es un llamado a la acción. La seguridad comienza y termina con las personas, por lo que cada empleado desempeña un papel fundamental en la protección tanto de Microsoft como de nuestros clientes. Cuando las prácticas seguras se entrelazan con la forma en que pensamos, trabajamos y colaboramos, las acciones individuales se unen para formar una defensa unificada, proactiva y resiliente.
Durante el año pasado, hemos logrado avances significativos a través de la Iniciativa de Futuro Seguro (SFI), a través de la incorporación de la seguridad en cada capa de nuestras prácticas de ingeniería. Pero igual de importante ha sido nuestra transformación en la forma en que educamos e involucramos a nuestros empleados. Renovamos nuestro programa de capacitación en seguridad para empleados para abordar amenazas cibernéticas avanzadas como ataques habilitados por IA y deepfakes. Lanzamos Microsoft Security Academy para capacitar a nuestros empleados con rutas de aprendizaje personalizadas que crean una experiencia relevante. Hemos hecho de la cultura de seguridad un imperativo para toda la empresa, al reforzar la vigilancia, incorporar hábitos seguros en el trabajo diario y lograr lo que la tecnología por sí sola no puede. Es más que un cambio de mentalidad; es un movimiento de toda la empresa, liderado desde arriba y que establece un nuevo estándar para la industria.
Para ayudar a otras organizaciones a tomar medidas similares, presentamos dos nuevas guías, centradas en la protección de la identidad y la defensa contra los ataques habilitados por IA, que ofrecen información procesable y herramientas prácticas. Estos recursos están diseñados para ayudar a las organizaciones a repensar su enfoque con el fin de ir más allá del contenido de nivel 101 (para principiantes) y construir una cultura de seguridad que sea resiliente, adaptable y basada en las personas. Porque en ciberseguridad, la cultura es más que una defensa: es la diferencia entre reaccionar a las amenazas cibernéticas y adelantarse a ellas.
Capacitación para la seguridad proactiva: impulsar a los empleados en una nueva era de amenazas avanzadas
La seguridad es responsabilidad de todos los empleados de Microsoft, y hemos tomado medidas deliberadas para hacer que esa responsabilidad sea tangible y procesable. Durante el año pasado, hemos trabajado de manera ardua para reforzar una mentalidad de seguridad primero en todas las partes de la empresa, desde ingeniería y operaciones hasta atención al cliente, para garantizar que la seguridad sea una responsabilidad compartida en todos los niveles. A través de una formación rediseñada, una orientación personalizada, ciclos de retroalimentación regulares y expectativas específicas de cada función, fomentamos una cultura en la que la concienciación sobre la seguridad es instintiva y obligatoria.
A medida que los ciberatacantes se vuelven cada vez más sofisticados, a través de la utilización de IA, deepfakes e ingeniería social, también debe hacerlo la forma en que educamos y empoderamos a los empleados. El equipo de capacitación en seguridad de Microsoft ha revisado su programa de aprendizaje anual para reflejar esta urgencia. Nuestra capacitación está diseñada de manera cuidadosa para ser aún más accesible e inclusiva, construida a partir de la empatía por todos los roles laborales y el trabajo que realizan. Esto ayuda a garantizar que todos los empleados, sin importar su formación o experiencia técnica, puedan interactuar a plenitud con el contenido y aplicarlo de manera significativa. El resultado es una cultura de seguridad duradera que los empleados no solo adoptan en su trabajo, sino que también llevan a su vida personal.
Para garantizar que nuestra cultura de seguridad duradera se base en las ciberamenazas y tácticas del mundo real, hemos seguido con el impulso de nuestra serie Security Foundations para presentar contenido dinámico e informado sobre amenazas y escenarios del mundo real. También hemos actualizado el contenido de capacitación en temas tradicionales como phishing, suplantación de identidad y ciberataques habilitados por IA como deepfakes. Todos los empleados y pasantes de tiempo completo deben completar tres sesiones al año (90 minutos en total), con contenido recién creado cada año.
La capacitación en seguridad debe resonar tanto en el lugar de trabajo como en el hogar para crear un impacto duradero. Es por eso que equipamos a los empleados con una herramienta de autoevaluación que brinda comentarios personalizados y basados en el riesgo sobre la protección de la identidad, junto con orientación personalizada para ayudar a proteger sus identidades, tanto en el trabajo como en su vida personal.
Los ingredientes para una formación en seguridad exitosa
En Microsoft, el éxito de nuestros programas de capacitación en seguridad depende de varios ingredientes cruciales: contenido fresco y basado en riesgos; colaboración con expertos internos; y un enfoque implacable en la relevancia y la satisfacción de los empleados. En lugar de reciclar material viejo, reconstruimos nuestra capacitación desde cero cada año, impulsados por el cambiante panorama de las amenazas cibernéticas, no solo por los requisitos de cumplimiento. Cada programa anual comienza con un enfoque basado en el riesgo informado por una extensa red de escucha que incluye expertos internos en inteligencia de amenazas, respuesta a incidentes, riesgo empresarial, riesgo de seguridad y más. Juntos, identificamos las principales amenazas cibernéticas en las que el juicio y la toma de decisiones de los empleados son esenciales para mantener la seguridad de Microsoft, y cómo evolucionan esas ciberamenazas.
Tomemos la ingeniería social, por ejemplo. Este tema es una inclusión constante en nuestra capacitación porque alrededor del 80% de los incidentes de seguridad comienzan con un incidente de phishing o un compromiso de identidad. Pero no enseñamos phishing 101, ya que esperamos que nuestros empleados ya tengan conciencia fundamental de esta amenaza cibernética. En cambio, nos sumergimos en amenazas de identidad emergentes, escenarios de ciberataques del mundo real y ejemplos de cómo los ciberatacantes se vuelven más sofisticados y escalan más rápido que nunca.
El impacto que tenemos en la cultura de seguridad de Microsoft no es casual, ni anecdótico. El equipo de Educación y Concientización de la Oficina del Jefe de Seguridad de la Información (OCISO, por sus siglas en inglés) aplica la ciencia del comportamiento, la teoría del aprendizaje de adultos y el diseño centrado en el ser humano al desarrollo de cada curso de Fundamentos de Seguridad. Esto asegura que la capacitación resuene, se adhiera y potencie el cambio de comportamiento. También medimos de manera continua la satisfacción del alumno y la relevancia del contenido, que han aumentado de manera significativa en los últimos años. Atribuimos este cambio positivo a la continua innovación y evolución de nuestro contenido y a la mayor atención que prestamos a las necesidades culturales y de aprendizaje de nuestros empleados.
Por ejemplo, la serie de capacitación Security Foundations es, de manera consistente, uno de los cursos de capacitación para empleados requeridos mejor calificados en Microsoft. Nuestras encuestas posteriores a la capacitación cuentan una historia clara: los empleados se ven a sí mismos como participantes activos para mantener la seguridad de Microsoft. Se sienten seguros al identificar amenazas, saben cómo escalar problemas y refuerzan de manera constante que la seguridad es una prioridad máxima en todos los roles, regiones y equipos.
Esta fue una de las mejores Security Foundations que he tomado, ¡bien hecho! El énfasis en los posibles ataques deepfake fue esclarecedor y sorprendente, pensé que era una gran elección hacer deepfake [de nuestro actor] para mostrar lo real que suena y mostrar en tiempo real lo que es posible para obtener ese énfasis. La autoevaluación también fue excelente en términos de mostrar las áreas en las que necesito trabajar y tener más precaución.
—Empleado de Microsoft
Hoy en día, el compromiso con la capacitación de Security Foundations es fuerte, con el 99% de los empleados que completan cada curso. La satisfacción de los alumnos sigue en aumento, y la puntuación neta de satisfacción ha pasado de 144 en el año fiscal 2023 a 170 en la actualidad. Los puntajes de relevancia han seguido una tendencia similar, con un aumento de 144 en el año fiscal 2023 a 169 en la actualidad.1 Estos puntajes reflejan que nuestros empleados consideran que el contenido de la capacitación en seguridad es oportuno, aplicable y procesable.
El liderazgo de Microsoft marca la pauta
Nuestro cambio de cultura de seguridad comenzó desde arriba, con la orden del director ejecutivo (CEO, por sus siglas en inglés) Satya Nadella sobre que la seguridad sea la principal prioridad de la empresa. Su directiva a los empleados es clara: cuando la seguridad y otras prioridades entran en conflicto, la seguridad siempre debe tener prioridad. La directora de personal (CPO, por sus siglas en inglés) Kathleen Hogan reforzó este compromiso en un memorando para toda la empresa, donde afirma: «Todos en Microsoft tendrán la seguridad como una Prioridad Central. Cuando se enfrenten a un conflicto de prioridades, la respuesta es clara y simple: la seguridad por encima de todo».
La prioridad principal de seguridad continúa con las mejoras en la capacitación de los empleados en torno a la seguridad en Microsoft. A partir de diciembre de 2024, cada empleado tenía una prioridad central de seguridad definida y discutía su impacto individual durante los controles de desempeño con su gerente. Hogan explica que esta no es una promesa única, sino una responsabilidad continua no negociable compartida por todos los empleados. «La prioridad central de seguridad no es un ejercicio de cumplimiento de marcar la casilla; es una forma para que todos los empleados y gerentes se comprometan y sean responsables de priorizar la seguridad, y una forma de codificar sus contribuciones y reconocerlos por su impacto», dijo. «Todos debemos actuar con una mentalidad donde la seguridad es primero, hablar y buscar oportunidades de manera proactiva para garantizar la seguridad en todo lo que hacemos».
Este compromiso está integrado en la forma en que Microsoft gobierna y opera en los niveles más altos. Durante el año pasado, el equipo de liderazgo sénior de Microsoft se ha centrado en evaluar el estado de nuestra cultura de seguridad e identificar formas de fortalecerla. El desempeño de la seguridad se revisa en reuniones ejecutivas semanales con inmersiones profundas en cada uno de los seis pilares de nuestra Iniciativa de Futuro Seguro. La Junta Directiva recibe actualizaciones periódicas, lo que refuerza el mensaje de que la seguridad es una preocupación a nivel de la junta. También hemos reforzado nuestro compromiso con la seguridad al vincular de manera directa la compensación del liderazgo con los resultados de seguridad, lo que eleva la seguridad al mismo nivel de importancia que el crecimiento, la innovación y el rendimiento financiero. Al utilizar la compensación ejecutiva como un mecanismo de responsabilidad vinculado a métricas específicas de rendimiento de seguridad, hemos impulsado mejoras medibles, en especial en áreas como la higiene secreta en nuestros repositorios de código.
Reforzar la cultura de seguridad a través del compromiso y la contratación
La cultura de seguridad no se construye en una sola sesión de capacitación; se mantiene a través de un compromiso continuo y un refuerzo visible. Para mantener la seguridad en primer lugar, Microsoft realiza campañas de concientización periódicas que revisan los conceptos básicos de capacitación y comparten actualizaciones oportunas en toda la empresa. Estas campañas abarcan plataformas internas como Microsoft SharePoint, Teams, Viva Engage y señalización digital global en oficinas. Esto crea un ritmo de tambor consistente que incorpora la seguridad en los flujos de trabajo diarios a través de recordatorios que refuerzan los comportamientos clave.
A partir de otoño de 2025, el programa de embajadores de seguridad global activará una red de base de defensores de confianza dentro de equipos y departamentos en todas las organizaciones y geografías. Con el objetivo de alcanzar al menos el 5% de participación de los empleados, estos embajadores servirán como campeones locales, para ayudar a amplificar las iniciativas, ofrecer orientación entre pares y ofrecer comentarios valiosos desde la primera línea. Este enfoque no solo mantiene el compromiso, sino que garantiza que la estrategia de seguridad de Microsoft se base en información del mundo real de toda la organización. A medida que los ciberatacantes continúan con su avance, nuestros empleados deben aprender y adaptarse de manera constante. Por esta razón, la seguridad es un recorrido continuo que requiere una cultura de mejora continua, donde las lecciones de los incidentes se utilizan para actualizar las políticas y estándares, y donde los comentarios de los empleados ayudan a dar forma a futuras estrategias de capacitación y compromiso.
La cultura de la seguridad es tan fuerte como las personas que la viven. Es por eso que Microsoft invierte de manera importante en talento para escalar sus defensas a través de la mejora de las habilidades y la contratación. A través del aumento resultante de ingenieros de seguridad, nos aseguramos de que cada equipo, producto y cliente se beneficie de lo último en pensamiento y experiencia en seguridad.
Integración de la seguridad en la ingeniería
El liderazgo de la empresa establece la visión, pero la transformación real ocurre cuando la seguridad se integra en nuestra ingeniería. Vamos más allá de la simple aplicación de marcos de seguridad, al rediseñar la manera en que diseñamos, probamos y operamos la tecnología a escala. Para impulsar este cambio, hemos alineado nuestras prácticas de ingeniería con el pilar Protect Engineering Systems de SFI, para integrar la seguridad en cada capa de desarrollo, desde la protección de la identidad hasta la detección de amenazas. Nuestro ciclo de vida de desarrollo de seguridad (SDL, por sus siglas en inglés) de Microsoft, una vez publicado como una metodología independiente, ahora está integrado a profundidad en el pilar Secure by Design de SFI, lo que garantiza que la seguridad sea parte del proceso, desde la primera línea de código hasta la implementación final.
Hemos integrado DevSecOps y estrategias de cambio a la izquierda a lo largo de nuestro ciclo de vida de desarrollo, respaldados por nuevos modelos de gobernanza y estructuras de responsabilidad. Cada división de ingeniería ahora tiene un Director Adjunto de Seguridad de la Información (CISO, por sus siglas en inglés) responsable de integrar la seguridad en sus flujos de trabajo. Estas prácticas reducen costos, minimizan las interrupciones y, en última instancia, conducen a productos más resistentes.
Según SFI, la seguridad se trata como un atributo central de la innovación, la calidad, la innovación y la confianza del producto. Y a medida que Microsoft redefine cómo se integra la seguridad en la ingeniería, también transformamos la manera en que se vive. Esto significa proporcionar a cada empleado la conciencia y la agilidad necesarias para contrarrestar las amenazas cibernéticas más avanzadas.
La cultura de seguridad como una cuestión de confianza empresarial
Para Microsoft, una sólida cultura de seguridad nos ayuda a proteger los sistemas internos y a mantener la confianza de los clientes y socios. Con una presencia global, una amplia huella de productos y una base de clientes que abarca casi todas las industrias, incluso un solo lapso puede tener un impacto a una escala en la que incluso un solo lapso de seguridad puede tener implicaciones de gran alcance. Integrar la seguridad en todas las capas de la empresa es complejo y esencial, e implica algo más que herramientas de vanguardia o políticas aisladas. Nuestra mentalidad de empleado que prioriza la seguridad no es una función discreta, sino algo que informa cada función, decisión y flujo de trabajo. Y si bien las herramientas son indispensables para abordar las amenazas cibernéticas técnicas, es la cultura la que garantiza que esas herramientas se apliquen, refinen y escalen de manera consistente en toda la organización.
Allanar el camino para una cultura de seguridad duradera
La famosa cita atribuida al renombrado consultor de gestión Peter Drucker de que «la cultura se come a la estrategia para el desayuno» es en especial cierta en ciberseguridad. No importa cuán bien diseñada esté una estrategia de seguridad, no se puede tener éxito sin una cultura que la respalde y la sostenga. En última instancia, la fórmula para la seguridad proactiva en Microsoft se basa en tres elementos conectados: personas, procesos y cultura. Y aunque hemos logrado un progreso significativo en los tres frentes, el trabajo nunca termina. El panorama de la ciberseguridad cambia de manera constante y, con cada nuevo desafío, surge la oportunidad de adaptarse, mejorar y liderar.
La decisión de Microsoft de tratar la seguridad no como una disciplina aislada, sino como un valor fundamental, algo que informa cómo se construyen los productos, cómo se evalúan los líderes y cómo los empleados de toda la empresa se presentan todos los días, es un aspecto central de SFI. Esta iniciativa ya ha dado lugar a mejoras medibles, incluido el nombramiento de CISO adjuntos en todas las divisiones de ingeniería, el rediseño de la capacitación de los empleados para reflejar las amenazas habilitadas por IA y el próximo lanzamiento de programas de base como el programa global de embajadores de seguridad.
Microsoft Secure Future Initiative es nuestro compromiso de crear una cultura duradera que incorpore la seguridad en cada decisión, cada producto y cada mentalidad de los empleados. Invitamos a otros a unirse a nosotros y transformar la forma en que se vive la seguridad. Porque en el panorama actual de amenazas, la cultura no es solo una defensa, sino que marca la diferencia.
Cultura en las prácticas: herramientas para construir una mentalidad de seguridad primero
Para reforzar una mentalidad de seguridad en el trabajo y el hogar, hemos desarrollado los siguientes recursos para nuestros empleados internos. También los ponemos a su disposición para ayudar a impulsar el mismo compromiso en su organización.
Guía de protección de identidad: “Prácticas críticas de protección de identidad para reducir el riesgo de ciberataques» de un ciberataque, en el trabajo y en el hogar.
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
