在过去几年微软出现多次严重的安全事件,最近的一起安全事件是微软内部系统遭到黑客入侵并窃取部分高管的电子邮件,而安全问题也引起了美国监管机构的关注,监管机构称微软安全文化不足,需要彻底改革。
日前微软首席人力资源官凯琳霍根 (Kathleen Hogan) 在最新内部备忘录中概述了微软对员工的期望,微软的每个人都会把安全作为核心优先事项,当面临权衡时答案也明确且简单:安全高于一切。
如果微软员工缺乏安全意识则可能会影响职位晋升、绩效工资增长和奖金等,简单来说就是对安全核心优先事项产生的影响将是管理人员确定晋升和奖励的关键因素。
现在微软将安全与多样性和包容性并列为公司的主要优先事项之一,这两项工作都必须成为每位员工绩效的一部分,所有员工都必须在 2025 财年里设置其安全核心优先级。
就最近的情况来看微软在安全方面的管理确实存在缺陷,例如在 3 月份代号为 APT29 午夜暴雪的俄罗斯黑客集团通过密码喷洒攻击入侵了部分微软高管和员工的邮箱账户。
此次安全事件导致微软部分产品源代码和客户机密数据被窃取,这也再次显示微软的内部安全管控存在缺陷,过去几年微软已经出现多次类似的攻击导致产品源代码泄露。
不过对微软这种规模的科技公司来说,本身员工就需要编写更多代码或实现更多功能,将安全作为优先事项进行考核意味着员工工作会比以前更繁忙,这也是凯琳霍根所说的如果面临权衡时需要选择安全的原因。
这是否有助于提高微软的安全性还有待观察,不过近些年诸如苹果、谷歌、亚马逊和 Meta 等并未出现非常严重的安全问题,或许微软确实需要对整个安全文化进行改革。
