Nova Direktiva CISA za Osiguranje Cyber Sigurnosti Microsoft 365
Agencija za cyber sigurnost i sigurnost infrastrukture Sjedinjenih Američkih Država (CISA) izdala je svoju prvu obaveznu operativnu direktivu za 2025. godinu. Ova direktiva sadrži skup pravila i zahtjeva koji osiguravaju da Microsoft 365 okruženja u oblaku ispunjavaju visoke standarde cyber sigurnosti. Ova direktiva, poznata kao BOD 25-01, obavezna je za sve sustave i resurse Savezne civilne izvršne vlasti (FCEB), ali CISA također savjetuje privatni sektor da slijedi iste smjernice.
Ključni Ciljevi Direktive BOD 25-01
Ova direktiva se usredotočuje na implementaciju prilagođenog alata za procjenu automatske konfiguracije pod nazivom ScubaGear za revizije Microsoft 365, integraciju s CISA-inom infrastrukturom za kontinuirano praćenje i ispravljanje svih odstupanja od potrebnih sigurnosnih konfiguracijskih osnova (SCB). CISA je naglasila važnost ovog koraka rekavši:
“Nedavni incidenti u cyber sigurnosti ističu značajne rizike koje predstavljaju pogrešne konfiguracije i slabe sigurnosne kontrole. Takvi čimbenici omogućuju napadačima neovlašteni pristup, iskopavanje podataka ili ometanje usluga.”
Specifični Zahtjevi za FCEB Organizacije
CISA zahtijeva od FCEB organizacija da poduzmu sljedeće korake:
- Identifikacija oblaka: Identificirati sve cloud stanice unutar opsega ove direktive do 21. veljače 2025.
- Implementacija alata: Implementirati alate za procjenu sigurnosti u skladu s propisima.
- Usuglašavanje sa standardima: Poravnati cloud okruženja sa CISA-inim sigurnosnim konfiguracijskim osnovama za poslovne aplikacije (SCuBA).
Na službenoj stranici Required Configurations možete pronaći popis svih obaveznih politika, uključujući sigurnosne konfiguracijske osnove za Microsoft 365, Azure Active Directory / Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online & OneDrive, te Microsoft Teams. Očekuje se da će Google i druge cloud platforme ubrzo slijediti ove smjernice.
Kraj Razgovora
CISA također ima popis obaveznih akcija koje možete pročitati za detaljnije informacije. Ova direktiva donosi važne promjene koje organizacijama u privatnom sektoru nude priliku da poboljšaju svoje sigurnosne prakse u oblaku. U osnovi, cilj je zaštititi podatke i osigurati sigurnost usluga u okruženjima koja koriste Microsoft 365.
Održavanje visoke razine cyber sigurnosti nije samo obaveza, već i ključ za uspjeh svake organizacije u digitalnom dobu. Pratite CISA-u i budite informirani o novim promjenama i zahtjevima u cyber sigurnosti.
