Lacune comuni e rischi di conformità NIST nella gestione dei documenti Dynamics 365

Assicurare Conformità NIST sta diventando sempre più critico per le organizzazioni che gestiscono dati e documenti sensibili, in particolare per quanto riguarda la compliance. spesso un prerequisito per l'idoneità al contratto.

È passato ormai un anno dalla pubblicazione di Quadro di riferimento per la sicurezza informatica NIST v. 2.0che, secondo Kevin StineIl progetto, che è stato sviluppato in stretta collaborazione con le parti interessate e che riflette le più recenti sfide e pratiche di gestione della sicurezza informatica, "aiuterà le organizzazioni, i settori e persino intere nazioni a comprendere e gestire meglio il rischio di sicurezza informatica".

Tuttavia, molte organizzazioni che utilizzano l'Dynamics 365 per la gestione dei documenti si trovano ancora di fronte a difficoltà nel soddisfare i requisiti chiave del NIST, in particolare quelli delineati in NIST SP 800-171 e SP 800-53.

Uno dei motivi principali di questo disallineamento è che le configurazioni Dynamics 365 predefinite non sempre soddisfano gli standard di conformità NIST. Questo è un problema non solo in termini di conformità, ma anche perché le organizzazioni potrebbero avere inconsapevolmente delle lacune nella sicurezza.

Perché queste configurazioni non sono in linea con il NIST? Il questioni chiave in Dynamics 365 Gli ambienti sono:

• Permessi di accesso eccessivi che portano a accesso incontrollato ai file
• Meccanismi di autenticazione deboli esporre i documenti a utenti non autorizzati
• Mancanza di un'adeguata registrazione di auditrendendo difficile l'individuazione degli incidenti e le indagini

La buona notizia è che le aziende possono evitare efficacemente questi rischi con una configurazione proattiva e uno sforzo coordinato tra i team di sicurezza, conformità e IT.

Questo articolo si concentra su come farlo nell'ambiente Dynamics 365.. Verranno trattati i seguenti argomenti:

NIST stabilisce le linee guida di cybersecurity per proteggere le informazioni controllate e non classificate (CUI) e per le organizzazioni che gestiscono tali informazioni.

Se la vostra organizzazione utilizza Microsoft Dynamics 365 per la gestione dei documenti, dovreste considerare in particolare quanto segue:

• NIST SP 800-171 (Gestione sicura di dati governativi non classificati)
• NIST SP 800-53 (Controlli di sicurezza e privacy per sistemi aziendali federali e privati)
• NIST SP 800-207 (Architettura a fiducia zero - ZTA) - Applicazione dell'autenticazione continua e dell'accesso a meno di privilegi)

Come abbiamo detto in precedenza, nonostante le impostazioni di sicurezza integrate di Microsoft, molte configurazioni out-of-the-box in Dynamics 365 non sono completamente allineate ai controlli NIST, con conseguenti potenziali rischi di conformità.

Di seguito sono riportati i principali rischi di conformità in Dynamics 365:

• Accesso autorizzato- I ruoli utente forniscono privilegi eccessivi, violando Privilegio minimo (NIST SP 800-53 AC-6 "Impiegare il principio del minimo privilegio, consentendo agli utenti solo gli accessi autorizzati necessari per svolgere i compiti organizzativi assegnati"). Inoltre, è preoccupante che i privilegi non vengano aggiornati quando necessario, in quanto ciò viola l'AC-6 (7) "La necessità di alcuni privilegi assegnati agli utenti può cambiare nel tempo".

• Mancanza di microsegmentazione - La microsegmentazione è una misura di sicurezza fondamentale nelle integrazioni Dynamics 365 e SharePoint. Senza microsegmentazione, gli utenti spesso accedono inutilmente a documenti che vanno oltre la loro portata. Per saperne di più, vi consigliamo di leggere questo articolo sulla microsegmentazione in un'integrazione Dynamics 365 e SharePoint.
• Conservazione dei dati - Anche se il NIST non impone tempi precisi, il controllo NIST SP 800-53 SI-12 "Registrazione del sistema informativo" richiede che le organizzazioni "gestiscano e conservino le informazioni all'interno del sistema e le informazioni in uscita dal sistema in conformità con le leggi, gli ordini esecutivi, le direttive e i regolamenti applicabili".
• Nessuna autenticazione a più fattori (MFA) - Molti ambienti Dynamics 365 si affidano ancora esclusivamente all'autenticazione tramite password. Tuttavia, NIST SP 800-171 (3.5.3) MFA per l'accesso amministrativo e per il login remoto, mentre NIST SP 800-53 IA-2 richiede l'MFA per rafforzare la verifica dell'identità tra i sistemi. L'MFA è anche un pilastro fondamentale della sicurezza Zero Trust.
• Registri di audit incompleti - Una mancanza di Monitoraggio completo dell'attività dei file nell'Dynamics 365 rende difficile il raggiungimento di NIST AU-2, AU-12 e AU-14 (controlli della registrazione di audit).) e crea lacune nella sicurezza che possono portare a violazioni non rilevate e a sanzioni per la conformità. La Checklist 1169 del NIST richiede la registrazione automatica di tutti i tentativi di accesso, le modifiche e gli eventi di autorizzazione non riusciti. Per garantire l'integrità dei registri di audit, le organizzazioni dovrebbero implementare soluzioni avanzate come Truth Enforcer. Tali soluzioni devono essere dotate di meccanismi di verifica dell'autenticità.

La mancata soluzione di questi problemi aumenta i rischi per la sicurezza nell'Dynamics 365 e comporta lacune nella conformità NIST.

Il seguente scenario illustra le comuni mancanze di conformità che riguardano l'Dynamics 365 e il controllo dell'accesso ai documenti:

Scenario: Controllo degli accessi di un'azienda di servizi finanziari

• Un'azienda di servizi finanziari che utilizzava Dynamics 365 e SharePoint non applicava la microsegmentazione, consentendo un ampio accesso interno ai dati riservati.
• I documenti finanziari erano accessibili ai dipendenti al di fuori dei dipartimenti di contabilità e legale.
• L'azienda non ha superato un audit di conformità NIST.
• Risultato: L'azienda ha perso un contratto federale per un valore di diversi milioni di dollari a causa della mancata conformità.

Questo scenario è ipotetico, ma rispecchia i problemi del mondo reale e evidenzia perché la protezione dell'accesso ai documenti nell'Dynamics 365 è fondamentale per le aziende che gestiscono dati regolamentati o sensibili. Oltre alla perdita di contratti, la mancata protezione dell'accesso ai documenti in Dynamics 365 può comportare danni alla reputazione e alla salute. sanzioni finanziarie in base ad altri standard normativi come il GDPR.  

Assicurare La sicurezza dell'Dynamics 365 è conforme ai requisiti NIST richiede una mitigazione proattiva del rischio.

Soluzioni chiave per la conformità NIST in Dynamics 365

Implementando queste soluzioni, le organizzazioni possono ridurre i rischi e proteggere le informazioni non classificate controllate (CUI) nell'Dynamics 365.

Sebbene l'Dynamics 365 offra potenti funzionalità, le sue configurazioni predefinite non sono completamente in linea con i framework di controllo della sicurezza del NIST. Senza una supervisione proattiva, le organizzazioni corrono rischi reali: violazioni dei dati, audit falliti e perdita di contratti federali.

La buona notizia è che con gli strumenti giusti e il coordinamento tra i vari team è possibile colmare le lacune, ridurre i rischi e soddisfare con sicurezza i requisiti NIST per la gestione dei documenti nell'Dynamics 365.

Gli aspetti chiave da considerare sono:

• Controllo rigoroso degli accessi, grazie all'applicazione dei privilegi minimi, della microsegmentazione e dell'autenticazione a più fattori per impedire l'esposizione di dati non autorizzati. Garantire che i controlli di accesso rimangano coerenti tra Dynamics 365 e Microsoft 365, riducendo il rischio di non conformità dovuto a permessi non allineati.
• Visibilità e tracciabilità, grazie a una solida registrazione di audit, a una classificazione coerente e a politiche di conservazione automatizzate.

La configurazione di sicurezza dei documenti Dynamics 365 è conforme alle norme NIST? In caso contrario, il primo passo è quello di utilizzare la nostra lista di controllo per scoprire i problemi che potreste avere.