Veelvoorkomende hiaten en risico's voor naleving van NIST in Dynamics 365 Documentbeheer

Zorgen voor NIST-conformiteit wordt steeds belangrijker voor organisaties die gevoelige gegevens en documenten verwerken, vooral nu compliance vaak een voorwaarde om in aanmerking te komen voor een contract.

Het is nu een jaar geleden sinds de publicatie van NIST Cybersecurity Framework v. 2.0die volgens Kevin Stine, hoofd van NIST's Applied Cybersecurity Division, is "ontwikkeld door nauw samen te werken met belanghebbenden en weerspiegelt de meest recente cyberbeveiligingsuitdagingen en managementpraktijken", en "zal organisaties, sectoren en zelfs hele naties helpen om hun cyberbeveiligingsrisico's beter te begrijpen en te beheren".

Toch hebben veel organisaties die Dynamics 365 gebruiken voor documentbeheer nog steeds moeite om te voldoen aan de belangrijkste NIST-vereisten, met name die in NIST SP 800-171 en SP 800-53.

Een belangrijke reden voor deze slechte afstemming is dat standaard Dynamics 365 configuraties niet altijd voldoen aan de NIST compliance standaarden. Dit is niet alleen een probleem in termen van compliance, maar ook omdat organisaties onbewust gaten in de beveiliging kunnen hebben.

Waarom komen deze configuraties niet overeen met NIST? De belangrijke kwesties in Dynamics 365 omgevingen zijn:

• Buitensporige toegangsrechten die leiden tot ongecontroleerde bestandstoegang
• Zwakke verificatiemechanismen documenten blootstellen aan onbevoegde gebruikers
• Gebrek aan goede auditregistratiewaardoor het moeilijk is om incidenten op te sporen en te onderzoeken

Het goede nieuws is dat bedrijven deze risico's effectief kunnen vermijden met een proactieve configuratie en een gecoördineerde inspanning van beveiligings-, compliance- en IT-teams.

Dit artikel gaat over hoe je dat doet in de Dynamics 365-omgeving. We behandelen de volgende onderwerpen:

NIST stelt cyberbeveiligingsrichtlijnen vast voor bescherming van gecontroleerde niet-gerubriceerde gegevens (CUI) en voor organisaties die met die informatie omgaan.

Als uw organisatie Microsoft Dynamics 365 voor documentbeheer, moet je specifiek naar het volgende kijken:

• NIST SP 800-171 (Veilig omgaan met niet-gerubriceerde overheidsgegevens)
• NIST SP 800-53 (Beveiligings- en privacycontroles voor federale en particuliere bedrijfssystemen)
• NIST SP 800-207 (Zero Trust Architecture - ZTA - Continue authenticatie en toegang met minimale privileges afdwingen)

Zoals we al eerder zeiden, zijn veel out-of-the-box configuraties in Dynamics 365, ondanks de ingebouwde beveiligingsinstellingen van Microsoft, niet volledig afgestemd op de NIST-controles, wat leidt tot potentiële compliance risico's.

Hieronder vindt u de top compliance risico's in Dynamics 365:

• Overtoegelaten toegang- Gebruikersrollen bieden buitensporige privileges, wat in strijd is met Minste voorrecht (NIST SP 800-53 AC-6 "Hanteer het principe van de laagste privileges, waarbij gebruikers alleen geautoriseerde toegang krijgen die nodig is om toegewezen organisatorische taken uit te voeren."). Een ander punt van zorg is dat privileges niet worden bijgewerkt wanneer dat nodig is, aangezien dat in strijd is met AC-6 (7) "De behoefte aan bepaalde toegewezen gebruikersprivileges kan na verloop van tijd veranderen".

• Gebrek aan microsegmentatie - Microsegmentatie is een essentiële beveiligingsmaatregel in Dynamics 365 en SharePoint integraties. Zonder microsegmentatie krijgen gebruikers vaak onnodig toegang tot documenten die buiten hun beoogde bereik vallen. Voor meer informatie hierover raden we aan dit artikel over Microsegmentatie in een Dynamics 365 en SharePoint integratie.
• Bewaren van gegevens - Hoewel NIST geen exacte tijdsbestekken voorschrijft, vereist de NIST SP 800-53 SI-12 "Information System Logging" controle dat organisaties "informatie binnen het systeem en informatie die uit het systeem komt beheren en bewaren in overeenstemming met toepasselijke wetten, uitvoerende orders, richtlijnen en voorschriften".
• Geen Multi-Factor Authenticatie (MFA) - Veel Dynamics 365 omgevingen vertrouwen nog steeds alleen op authenticatie met een wachtwoord. Echter, NIST SP 800-171 (3.5.3) verplicht MFA voor administratieve toegang en inloggen op afstand, terwijl NIST SP 800-53 IA-2 vereist MFA om de verificatie van identiteit in verschillende systemen te versterken. MFB is ook een kernpijler van Zero Trust-beveiliging.
• Onvolledige controlelogboeken - Een gebrek aan Uitgebreid bijhouden van bestandsactiviteiten in Dynamics 365 maakt het moeilijk om te voldoen aan NIST AU-2, AU-12 en AU-14 (Controles op auditlogging)) en creëert gaten in de beveiliging die kunnen leiden tot onopgemerkte inbreuken en nalevingsboetes. NIST Checklist 1169 verplicht het automatisch loggen van alle toegangspogingen, wijzigingen en mislukte autorisatiegebeurtenissen. Om de integriteit van auditlogs te garanderen, moeten organisaties geavanceerde oplossingen inzetten zoals Truth Enforcer. Dergelijke oplossingen moeten mechanismen hebben om de authenticiteit te verifiëren.

Als deze problemen niet worden aangepakt, neemt het beveiligingsrisico van Dynamics 365 toe en ontstaan er gaten in de naleving van NIST.

Het volgende scenario illustreert veelvoorkomende compliance fouten met betrekking tot Dynamics 365 en toegangscontrole tot documenten:

Scenario: Toegangscontrole financiële dienstverleners

• Een bedrijf in de financiële dienstverlening dat Dynamics 365 en SharePoint gebruikt, heeft microsegmentatie niet afgedwongen, waardoor er brede interne toegang tot vertrouwelijke gegevens mogelijk was.
• Financiële gegevens waren toegankelijk voor medewerkers buiten de boekhoudkundige en juridische afdelingen.
• Het bedrijf slaagde niet voor een NIST-nalevingsaudit.
• Resultaat: Het bedrijf een federaal contract verloren met een waarde van enkele miljoenen dollars als gevolg van de niet-naleving.

Dit scenario is hypothetisch, maar weerspiegelt problemen uit de echte wereld en benadrukt waarom het beveiligen van documenttoegang in Dynamics 365 van cruciaal belang is voor bedrijven die gereglementeerde of gevoelige gegevens. Naast het verlies van contracten kan het niet beveiligen van de toegang tot documenten in Dynamics 365 leiden tot reputatieschade en financiële sancties onder andere regelgevende normen zoals GDPR.  

Zorgen voor Dynamics 365 beveiliging voldoet aan NIST-vereisten vereist proactieve risicobeperking.

Essentiële oplossingen voor NIST-naleving in Dynamics 365

Door de uitvoering van deze oplossingenkunnen organisaties risico's verminderen en Controlled Unclassified Information (CUI) in Dynamics 365 beschermen.

Hoewel de Dynamics 365 krachtige mogelijkheden biedt, zijn de standaardconfiguraties niet volledig in overeenstemming met de NIST-raamwerken voor beveiligingscontrole. Zonder proactief toezicht lopen organisaties reële risico's: inbreuken op gegevens, mislukte audits en verlies van federale contracten.

Het goede nieuws: met de juiste hulpmiddelen en teamoverkoepelende coördinatie is het heel goed mogelijk om de gaten te dichten, de risico's te verkleinen en met vertrouwen te voldoen aan de NIST-vereisten voor documentbeheer in Dynamics 365.

De belangrijkste aspecten om rekening mee te houden zijn:

• Strenge toegangscontrole, mogelijk gemaakt door het afdwingen van least privilege, microsegmentatie en multi-factor authenticatie om ongeautoriseerde blootstelling van gegevens te voorkomen. Ervoor zorgen dat toegangscontroles consistent blijven tussen Dynamics 365 en Microsoft 365, waardoor het risico van niet-naleving door verkeerd uitgelijnde machtigingen.
• Zichtbaarheid en traceerbaarheid, bereikt door robuuste audit logging, consistente classificatie en geautomatiseerd bewaarbeleid.

Voldoet de configuratie voor documentbeveiliging van uw Dynamics 365 aan de NIST-normen? Zo niet, dan is de eerste stap om onze checklist te gebruiken om te ontdekken welke problemen je mogelijk hebt.