Lagunas comunes y riesgos de conformidad con NIST en la gestión de documentos Dynamics 365

Asegurando Conformidad con el NIST es cada vez más importante para las organizaciones que manejan datos y documentos confidenciales, sobre todo porque el cumplimiento de la normativa es cada vez más importante. a menudo un requisito previo para poder optar a un contrato.

Ha pasado ya un año desde la publicación de Marco de Ciberseguridad del NIST v. 2.0que, según Kevin Stine, jefe de la División de Ciberseguridad Aplicada del NIST, ha sido "desarrollada trabajando en estrecha colaboración con las partes interesadas y reflejando los retos y prácticas de gestión de la ciberseguridad más recientes", y "ayudará a organizaciones, sectores e incluso naciones enteras a comprender y gestionar mejor sus riesgos de ciberseguridad".

Aun así, muchas organizaciones que utilizan Dynamics 365 para la gestión de documentos siguen teniendo dificultades para cumplir los requisitos clave del NIST, especialmente los descritos en NIST SP 800-171 y SP 800-53.

Una razón clave de este desajuste es que las configuraciones Dynamics 365 por defecto no siempre cumplen las normas de conformidad del NIST. Esto es un problema no solo en términos de cumplimiento, sino también porque las organizaciones pueden tener lagunas de seguridad sin saberlo.

¿Por qué estas configuraciones no coinciden con las del NIST? El sitio cuestiones clave en Dynamics 365 entornos son:

• Permisos de acceso excesivos que conducen a acceso incontrolado a archivos
• Mecanismos de autenticación débiles exponer documentos a usuarios no autorizados
• Falta de un registro de auditoría adecuadodificultando la detección e investigación de incidentes

La buena noticia es que las empresas pueden evitar eficazmente estos riesgos con una configuración proactiva y un esfuerzo coordinado entre los equipos de seguridad, cumplimiento y TI.

Este artículo se centrará en cómo hacerlo en el entorno Dynamics 365. Trataremos los siguientes temas:

NIST establece directrices de ciberseguridad para proteger la información no clasificada controlada (CUI) y para las organizaciones que manejan esa información.

Si su organización utiliza Microsoft Dynamics 365 para la gestión de documentos, debería echar un vistazo específicamente a lo siguiente:

• NIST SP 800-171 (Manejo seguro de datos gubernamentales no clasificados)
• NIST SP 800-53 (Controles de seguridad y privacidad para sistemas de empresas federales y privadas)
• NIST SP 800-207 (Arquitectura de Confianza Cero - ZTA - Autenticación continua y acceso con privilegios mínimos)

Como hemos mencionado anteriormente, a pesar de la configuración de seguridad integrada de Microsoft, muchas de las configuraciones listas para usar en Dynamics 365 no están totalmente alineadas con los controles NIST, lo que conlleva posibles riesgos de cumplimiento.

A continuación figuran los principales riesgos de cumplimiento en Dynamics 365:

• Acceso con exceso de permisos- Los roles de usuario proporcionan privilegios excesivos, violando Menor privilegio (NIST SP 800-53 AC-6 "Emplear el principio del menor privilegio, permitiendo sólo los accesos autorizados a los usuarios que sean necesarios para realizar las tareas organizativas asignadas"). También es preocupante que los privilegios no se actualicen cuando sea necesario, ya que esto viola AC-6 (7) "La necesidad de ciertos privilegios de usuario asignados puede cambiar con el tiempo".

• Falta de microsegmentación - La microsegmentación es una medida de seguridad fundamental en las integraciones Dynamics 365 y SharePoint. Sin microsegmentación, los usuarios a menudo obtienen acceso innecesario a documentos más allá de su alcance previsto. Para más información sobre este tema, recomendamos la lectura de este artículo sobre Microsegmentación en una integración Dynamics 365 y SharePoint.
• Conservación de datos - Aunque el NIST no dicta plazos exactos, el control NIST SP 800-53 SI-12 "Registro del sistema de información" exige que las organizaciones "gestionen y conserven la información dentro del sistema y la información de salida del sistema de acuerdo con las leyes, órdenes ejecutivas, directivas y reglamentos aplicables".
• Sin autenticación multifactor (AMF) - Muchos entornos Dynamics 365 siguen confiando únicamente en la autenticación basada en contraseñas. Sin embargo, NIST SP 800-171 (3.5.3) ordena la MFA para el acceso administrativo y el inicio de sesión remoto, mientras que NIST SP 800-53 IA-2 requiere la AMF para reforzar la verificación de la identidad en todos los sistemas. La AMF es también un pilar básico de la seguridad de Confianza Cero.
• Registros de auditoría incompletos - La falta de seguimiento exhaustivo de la actividad de los archivos en Dynamics 365 dificulta el cumplimiento de NIST AU-2, AU-12, y AU-14 (Controles de registro de auditoría) y crea brechas de seguridad que pueden dar lugar a infracciones no detectadas y sanciones por incumplimiento. La lista de comprobación 1169 del NIST exige el registro automatizado de todos los intentos de acceso, modificaciones y eventos de autorización fallidos. Para garantizar la integridad de los registros de auditoría, las organizaciones deben implantar soluciones avanzadas como Truth Enforcer. Estas soluciones deben contar con mecanismos de verificación de la autenticidad.

Si no se abordan estas cuestiones, aumentan los riesgos de seguridad en Dynamics 365 y se producen lagunas en el cumplimiento de NIST.

El siguiente escenario ilustra fallos de cumplimiento comunes relacionados con Dynamics 365 y el control de acceso a documentos:

Escenario: Control de acceso a empresas de servicios financieros

• Una empresa de servicios financieros que utilizaba Dynamics 365 y SharePoint no aplicaba la microsegmentación, lo que permitía un amplio acceso interno a datos confidenciales.
• Los registros financieros eran accesibles a empleados ajenos a los departamentos contable y jurídico.
• La empresa no superó una auditoría de cumplimiento del NIST.
• Resultado: La empresa perdió un contrato federal por valor de varios millones de dólares debido al incumplimiento.

Este escenario es hipotético pero refleja problemas del mundo real y destaca por qué es fundamental proteger el acceso a los documentos en Dynamics 365 para empresas que gestionan datos regulados o sensibles. Además de la pérdida de contratos, la falta de seguridad en el acceso a los documentos en Dynamics 365 puede dañar la reputación y la reputación de la empresa. sanciones económicas en virtud de otras normas reglamentarias como el GDPR.  

Asegurando La seguridad de Dynamics 365 se ajusta a los requisitos del NIST requiere una mitigación proactiva de los riesgos.

Soluciones clave para el cumplimiento de la normativa NIST en Dynamics 365

Mediante la aplicación de estas solucionesLas organizaciones pueden reducir los riesgos y proteger la Información No Clasificada Controlada (CUI) en Dynamics 365.

Aunque el Dynamics 365 ofrece potentes funciones, sus configuraciones predeterminadas no se ajustan plenamente a los marcos de control de seguridad del NIST. Sin una supervisión proactiva, las organizaciones se enfrentan a riesgos reales: filtraciones de datos, auditorías fallidas y pérdida de contratos federales.

La buena noticia: con las herramientas adecuadas y la coordinación entre equipos, es totalmente posible colmar las lagunas, disminuir el riesgo y cumplir con confianza los requisitos del NIST para la gestión de documentos en Dynamics 365.

Los aspectos clave a tener en cuenta son:

• Control estricto del acceso, habilitado mediante la aplicación de privilegios mínimos, microsegmentación y autenticación multifactor para evitar la exposición no autorizada de datos. Garantice que los controles de acceso sigan siendo coherentes en Dynamics 365 y Microsoft 365, reduciendo el riesgo de incumplimiento debido a permisos desalineados.
• Visibilidad y trazabilidad, conseguidas mediante un sólido registro de auditoría, una clasificación coherente y políticas de conservación automatizadas.

¿Su configuración de seguridad de documentos Dynamics 365 cumple la normativa NIST? Si no es así, el primer paso es utilizar nuestra lista de comprobación para descubrir los problemas que pueda tener.