Resumen
Integration Innovation, Inc. (I3), una empresa líder en servicios de ingeniería y tecnología en la industria aeroespacial y de defensa, trabajó con Summit 7 Systems (S7) para implementar un alto inquilino de Microsoft 365 US Government Community (GCC) con la intención de satisfacer NIST 800-171, información no clasificada controlada (CUI) y requisitos del Reglamento Internacional de Tráfico de Armas (ITAR).
Desafío
I3 realizaba sus operaciones en la plataforma G-Suite de Google y utilizaba archivos compartidos dispares para proyectos o unidades comerciales únicos e independientes. Además, esta empresa de 500 personas necesitaba funciones de seguridad avanzadas que se encuentran en Microsoft 365 para defenderse de los crecientes ataques cibernéticos y cumplir con los requisitos de cumplimiento del Suplemento de regulación de adquisición de defensa (DFARS) 252.204-7012. I3 quería una plataforma con capacidades nativas de administración de dispositivos e identidades, junto con un socio que los guiara a través de la protección de los sistemas de información utilizados para respaldar al Departamento de Defensa (DoD).
Otra complejidad que enfrentaba I3 y su implementación en Microsoft 365 GCC High era el espectro de datos confidenciales con los que su base de usuarios interactuaba regularmente. Los requisitos de cumplimiento de I3 incluían mandatos de etiquetado de datos y documentos. Para cumplir con estos requisitos de cumplimiento, I3 necesitaba migrar de la plataforma G-Suite de Google y sus archivos compartidos dispares a una plataforma en la nube FedRAMP Moderate más segura y configurar una estrategia de etiquetado unificada.
Estrategia
Para cumplir con DFARS, los sistemas locales y en la nube deben estar alojados en un entorno certificado DISA Nivel 4 y FedRAMP Moderado. Summit 7 abordó el primer obstáculo para la transformación de DFARS y NIST al sugerir la plataforma Microsoft 365 GCC High como parte del programa Acuerdo para Servicios en Línea-Gobierno (AOS-G). Este entorno cumple de forma única con FedRAMP High y permite la notificación adecuada de incidentes al Departamento de Defensa, a diferencia de otras plataformas en la nube, como G-Suite de Google.
I3 y S7 asignaron los 110 controles de seguridad dentro de NIST a más de 750 configuraciones respectivas dentro de GCC High, Azure Government y Enterprise Mobility Security (EM+S). La solución incluía una configuración inicial de Azure Active Directory (AAD) y AAD Connect, junto con autenticación multifactor para completar un enfoque de gestión de identidad compatible con NIST. Además, I3 estableció políticas de prevención de pérdida de datos (DLP), protección avanzada contra amenazas (ATP) y políticas de protección de información Azure (AIP) para etiquetar CUI correctamente y aplicar la seguridad adecuada a los documentos y datos. La solución de I3 concluyó con Enterprise Mobility: implementación de Intune con perfiles y políticas de administración de dispositivos móviles (MDM) y administración de aplicaciones móviles (MAM), junto con políticas de acceso condicional.
Una preocupación que enfrentó I3 al manejar CUI dentro de una plataforma en la nube es la cantidad de lugares en los que se pueden almacenar datos y contenido en Microsoft Teams, OneDrive, SharePoint y más. NIST requiere que las empresas aseguren los datos confidenciales dentro de todos los contenedores, restrinjan el acceso a ellos, sepan quién accede y cuándo, alerten a los administradores cuando los malos intenten acceder a ellos y más.
Al configurar el inquilino Microsoft 365 GCC High, las cargas de trabajo dentro de la plataforma y los productos EM+S como AIP, los usuarios de I3 pueden almacenar CUI más libremente en su estado de datos (Microsoft 365, Azure Government y cargas de trabajo únicas integradas para la arquitectura local e híbrida) sin preocupación de fallar una auditoría regulatoria. Además, I3 se benefició de esta solución al permitir que sus usuarios utilicen la plataforma al máximo sin comprometer el cumplimiento. La base de usuarios de I3 aumentó el uso de Teams trimestre tras trimestre dentro de los 12 meses posteriores a la implementación, que continúa hasta la fecha.
Resultados
Con la solución de implementación de NIST, I3 se benefició de la consolidación de los sistemas de información, la integración de la autenticación en todas las fuentes de datos y la provisión de un único panel de seguridad sin la necesidad de múltiples productos y proveedores de seguridad. I3 pudo reducir su cartera de proveedores de nube y seguridad de cinco a uno porque Summit 7 pudo proporcionar las licencias y los servicios adecuados para cumplir con sus objetivos de seguridad y cumplimiento.
Sin la experiencia de S7, I3 esperaba contratar personal adicional con gastos de casi $300,000 y dedicar miles de horas adicionales en investigación y planificación para migrar de su entorno de Google existente y proteger adecuadamente su nuevo entorno de Office 365 según los estándares NIST. Al finalizar el proyecto, el líder de I3 explicó que “era necesario mudarse a un nuevo entorno de nube, aunque desalentador con la cantidad de complejidades de control y fuentes de datos. Summit 7 manejó nuestra implementación y cumplimiento con facilidad”.