Lacunas comuns e riscos de conformidade com o NIST na gestão de documentos Dynamics 365

Garantindo Conformidade com o NIST está a tornar-se cada vez mais crítico para as organizações que lidam com dados e documentos sensíveis, especialmente porque a conformidade é frequentemente um pré-requisito para a elegibilidade para contratos.

Já passou um ano desde a publicação de Quadro de Cibersegurança do NIST v. 2.0que, de acordo com Kevin Stine, chefe da Divisão de Cibersegurança Aplicada do NIST, foi "desenvolvido através de um trabalho estreito com as partes interessadas e reflectindo os mais recentes desafios de cibersegurança e práticas de gestão", e "ajudará as organizações, sectores e mesmo nações inteiras a compreender e gerir melhor o seu risco de cibersegurança".

Ainda assim, muitas organizações que utilizam o Dynamics 365 para a gestão de documentos ainda enfrentam desafios para cumprir os principais requisitos do NIST, especialmente os descritos em NIST SP 800-171 e SP 800-53.

Uma das principais razões para esse desalinhamento é que as configurações padrão do Dynamics 365 nem sempre atendem aos padrões de conformidade do NIST. Este é um problema não só em termos de conformidade, mas também porque as organizações podem, sem saber, ter lacunas de segurança.

Porque é que estas configurações não estão em conformidade com o NIST? As questões-chave no Dynamics 365 ambientes são:

• Permissões de acesso excessivas que conduzem a acesso não controlado a ficheiros
• Mecanismos de autenticação fracos expor documentos a utilizadores não autorizados
• Falta de registo de auditoria adequadodificultando a deteção de incidentes e as investigações

A boa notícia é que as empresas podem evitar eficazmente estes riscos com uma configuração proactiva e um esforço coordenado entre as equipas de segurança, conformidade e TI.

Este artigo centrar-se-á na forma de o fazer no ambiente Dynamics 365. Serão abordados os seguintes temas:

NIST estabelece orientações em matéria de cibersegurança para proteger as informações não classificadas controladas (CUI) e para as organizações que tratam dessa informação.

Se a sua organização utiliza Microsoft Dynamics 365 para a gestão de documentos, deve considerar especificamente o seguinte:

• NIST SP 800-171 (Tratamento seguro de dados governamentais não classificados)
• NIST SP 800-53 (Controlos de segurança e privacidade para sistemas de empresas federais e privadas)
• NIST SP 800-207 (Arquitetura de Confiança Zero - ZTA - Aplicação da autenticação contínua e do acesso com privilégios mínimos)

Tal como mencionámos anteriormente, apesar das definições de segurança incorporadas da Microsoft, muitas configurações prontas a utilizar no Dynamics 365 não estão totalmente alinhadas com os controlos NIST, conduzindo a potenciais riscos de conformidade.

Abaixo estão os principais riscos de conformidade no Dynamics 365:

• Acesso com autorização excessiva- As funções de utilizador fornecem privilégios excessivos, violando Menos privilégio (NIST SP 800-53 AC-6 "Empregar o princípio do menor privilégio, permitindo apenas acessos autorizados para utilizadores que são necessários para realizar as tarefas organizacionais atribuídas."). Além disso, é preocupante que os privilégios não sejam actualizados quando necessário, uma vez que isso viola a AC-6 (7) "A necessidade de determinados privilégios de utilizador atribuídos pode mudar ao longo do tempo"

• Falta de microssegmentação - A microssegmentação é uma medida de segurança crítica nas integrações Dynamics 365 e SharePoint. Sem a microssegmentação, os utilizadores obtêm frequentemente um acesso desnecessário a documentos que não se enquadram no âmbito pretendido. Para saber mais sobre o assunto, recomendamos a leitura de este artigo sobre microssegmentação em uma integração Dynamics 365 e SharePoint.
• Conservação de dados - Apesar de o NIST não ditar prazos exactos, o controlo NIST SP 800-53 SI-12 "Registo do sistema de informação" exige que as organizações "gerem e retenham a informação dentro do sistema e a informação saída do sistema de acordo com as leis, ordens executivas, diretivas e regulamentos aplicáveis".
• Sem autenticação multi-fator (MFA) - Muitos ambientes Dynamics 365 ainda dependem exclusivamente da autenticação baseada em senha. No entanto, NIST SP 800-171 (3.5.3) obriga a MFA para o acesso administrativo e o início de sessão à distância, enquanto NIST SP 800-53 IA-2 exige a autenticação multifator para reforçar a verificação da identidade em todos os sistemas. A MFA é também um pilar fundamental da segurança Zero Trust.
• Registos de auditoria incompletos - A falta de acompanhamento exaustivo da atividade dos ficheiros no Dynamics 365 torna difícil cumprir NIST AU-2, AU-12 e AU-14 (Controlos de registo de auditoria)) e cria lacunas de segurança que podem levar a violações não detectadas e a sanções de conformidade. A lista de verificação NIST 1169 exige o registo automatizado de todas as tentativas de acesso, modificações e eventos de autorização falhados. Para garantir a integridade dos registos de auditoria, as organizações devem implementar soluções avançadas como Truth Enforcer. Essas soluções devem dispor de mecanismos de verificação da autenticidade.

A não resolução destas questões aumenta os riscos de segurança no Dynamics 365 e resulta em lacunas na conformidade com o NIST.

O cenário seguinte ilustra falhas de conformidade comuns que envolvem o Dynamics 365 e o controlo de acesso a documentos:

Cenário: Controlo de acesso de empresas de serviços financeiros

• Uma empresa de serviços financeiros que usava Dynamics 365 e SharePoint não aplicava microssegmentação, permitindo amplo acesso interno a dados confidenciais.
• Os registos financeiros estavam acessíveis a funcionários fora dos departamentos de contabilidade e jurídico.
• A empresa não passou numa auditoria de conformidade com o NIST.
• Resultado: A empresa perdeu um contrato federal no valor de vários milhões de dólares devido à falha de conformidade.

Este cenário é hipotético, mas reflecte problemas do mundo real e destaca a razão pela qual a segurança do acesso aos documentos no Dynamics 365 é fundamental para empresas que lidam com dados regulamentados ou sensíveis. Para além da perda de contratos, a falta de segurança no acesso aos documentos no Dynamics 365 pode causar danos à reputação e sanções pecuniárias ao abrigo de outras normas regulamentares como o RGPD.  

Garantindo A segurança do Dynamics 365 está em conformidade com os requisitos do NIST exige uma atenuação proactiva dos riscos.

Soluções-chave para a conformidade com o NIST no Dynamics 365

Ao implementar estas soluçõesas organizações podem reduzir os riscos e proteger as informações não classificadas controladas (CUI) no Dynamics 365.

Embora o Dynamics 365 ofereça capacidades poderosas, as suas configurações predefinidas não estão totalmente alinhadas com as estruturas de controlo de segurança do NIST. Sem uma supervisão proactiva, as organizações enfrentam riscos reais - violações de dados, auditorias falhadas e perda de contratos federais.

A boa notícia: com as ferramentas certas e a coordenação entre equipas, é totalmente possível colmatar as lacunas, diminuir o risco e cumprir com confiança os requisitos do NIST para a gestão de documentos no Dynamics 365.

Os principais aspectos a considerar são:

• Controlo rigoroso do acesso, possibilitado pela aplicação de privilégios mínimos, microssegmentação e autenticação multi-fator para evitar a exposição não autorizada de dados. Garantir que os controlos de acesso permaneçam consistentes no Dynamics 365 e no Microsoft 365, reduzindo o risco de não conformidade devido a permissões desalinhadas.
• Visibilidade e rastreabilidade, conseguidas através de um registo de auditoria robusto, classificação consistente e políticas de retenção automatizadas.

A sua configuração de segurança de documentos Dynamics 365 está em conformidade com o NIST? Se não, o primeiro passo é utilizar a nossa lista de controlo para descobrir os problemas que poderá ter.