Quando un valutatore o un auditor chiede come è protetta la vostra organizzazione, gran parte della risposta si trova già in Microsoft 365. I controlli esistono, i log vengono catturati e le impostazioni vengono applicate. Il divario raramente riguarda la tecnologia. Sta piuttosto nella capacità di indicare l'impostazione esatta che soddisfa un controllo e di produrne le evidenze senza una settimana di lavoro manuale.

Questa guida mappa le impostazioni comuni di Microsoft 365, Microsoft Entra e Microsoft Intune sui controlli Cyber Essentials e su una manciata di controlli Annex A di ISO 27001:2022. La formulazione dei controlli segue i requisiti NCSC Cyber Essentials e ISO/IEC 27001:2022. Considerate questa mappatura come una guida per definire l'ambito delle vostre evidenze, non come un sostituto dei requisiti del vostro ente di certificazione, perché il modo in cui un controllo si applica dipende sempre dal vostro ambito e dalla vostra configurazione specifici.

Perché gli auditor chiedono evidenze da Microsoft 365

Sia Cyber Essentials che ISO 27001 sono basati sulle evidenze. Un controllo sulla carta conta poco se non si può dimostrare che è applicato e funzionante. Per la maggior parte delle organizzazioni che utilizzano Microsoft 365, la piattaforma è il luogo in cui vengono governati identità, dispositivi, email e aggiornamenti, e quindi diventa la fonte di evidenze più ricca dell'intera valutazione. La domanda pratica è come far emergere quelle evidenze in modo pulito, su richiesta e in una forma che un valutatore accetti.

Cyber Essentials: i cinque controlli in Microsoft 365

Cyber Essentials definisce cinque controlli tecnici. Ciascuno si mappa su una configurazione concreta di Microsoft 365, Entra o Intune, e ciascuno produce evidenze esportabili.

Controllo Cyber EssentialsDove si trova in Microsoft 365Evidenze esportabili
FirewallMicrosoft Defender Firewall gestito tramite i criteri firewall di sicurezza degli endpoint di Intune sui dispositivi registrati; il confine del servizio è di competenza Microsoft per la piattaforma cloudConfigurazione dei criteri firewall e stato del firewall dei dispositivi dal centro di amministrazione Intune
Configurazione sicuraProfili di configurazione Intune e baseline di sicurezza Windows, Microsoft Secure Score, e blocco dell'autenticazione legacy in EntraReport di assegnazione baseline e conformità, cronologia Secure Score, report degli accessi con autenticazione legacy
Controllo degli accessi utenteAccount Microsoft Entra, Conditional Access, autenticazione a più fattori, ruoli a privilegio minimo, e processi di ingresso, trasferimento e uscita del personaleEsportazione dei criteri di Conditional Access, log di accesso, elenchi di assegnazione dei ruoli, registri di revisione degli account
Protezione dal malwareMicrosoft Defender Antivirus e Defender for Endpoint gestiti tramite Intune, oltre a Defender for Office 365 Safe Attachments e Safe LinksConfigurazione dei criteri antivirus e Defender, stato di protezione dei dispositivi e impostazioni dei criteri contro le minacce email
Gestione degli aggiornamenti di sicurezzaAnelli di aggiornamento Windows Autopatch o Windows Update for Business, criteri di aggiornamento qualità di Intune, e il canale di aggiornamento di Microsoft 365 AppsConfigurazione degli anelli di aggiornamento e report di conformità di Windows Update o Autopatch che mostrano i livelli delle patch

Vale la pena sottolineare due aspetti. Primo, Cyber Essentials è interessato al firewall degli endpoint e alla configurazione sicura dei dispositivi che gestite, non solo al servizio cloud, quindi il lato Intune della mappatura pesa di più. Secondo, la gestione degli aggiornamenti di sicurezza era in precedenza descritta come gestione delle patch; l'intento è lo stesso, e Windows Autopatch è il modo più pulito per documentarla.

ISO 27001:2022 Annex A: controlli selezionati e fonti di evidenza

ISO 27001 è più ampio di Cyber Essentials e copre governance, persone e processi oltre alla tecnologia. I controlli riportati di seguito sono un sottoinsieme dei controlli tecnologici e organizzativi dell'Annex A in cui Microsoft 365 è una fonte di evidenza primaria. Sono un punto di partenza per il vostro Statement of Applicability, non l'insieme completo.

Controllo Annex ACosa richiedeFonte di evidenza in Microsoft 365
A.5.15 Controllo degli accessiRegole per controllare l'accesso fisico e logico in base ai requisiti di business e sicurezzaCriteri di Conditional Access, assegnazioni di ruolo in Entra, e registri di access package o access review
A.8.2 Diritti di accesso privilegiatoAssegnazione e utilizzo dell'accesso privilegiato limitati e gestitiRuoli idonei di Microsoft Entra Privileged Identity Management, approvazioni di attivazione, e cronologia di audit scaricabile
A.8.7 Protezione dal malwareProtezione dal malware supportata dalla consapevolezza degli utentiConfigurazione dei criteri di Defender for Endpoint e Defender for Office 365 e report di incidenti e rilevamenti
A.8.8 Gestione delle vulnerabilità tecnicheInformazioni sulle vulnerabilità tecniche ottenute, con l'esposizione valutata e affrontataReport di esposizione di Microsoft Defender Vulnerability Management, più la conformità delle patch di Autopatch o degli anelli di aggiornamento
A.8.13 Backup delle informazioniCopie di backup mantenute e testate in linea con un criterio concordatoConfigurazione dei criteri di conservazione di Microsoft Purview, più i propri registri per il backup di configurazione e dati

A.8.13 merita particolare attenzione. Microsoft 365 offre ridondanza del servizio e controlli di conservazione come i criteri di conservazione di Purview, ma non è un prodotto di backup, e il modello di responsabilità condivisa lascia la protezione dei vostri dati e della vostra configurazione a voi. Per un controllo di backup ISO 27001, documentate la vostra configurazione di conservazione e il vostro approccio separato al backup di dati e configurazione del tenant, invece di lasciare intendere che la piattaforma esegua il backup di se stessa.

Come raccogliere evidenze senza maratone di screenshot

Gli screenshot sono lenti, diventano obsoleti in fretta e un valutatore non può verificarli. Ogni fonte nelle tabelle precedenti può invece essere esportata.

  • La ricerca nei log di Microsoft Purview Audit esporta l'attività dell'intero tenant in CSV, così potete mostrare cosa è successo e quando su Exchange, SharePoint e le azioni amministrative.
  • I log di accesso e di audit di Microsoft Entra si scaricano direttamente in CSV o JSON, documentando il controllo degli accessi, l'MFA e le modifiche alla directory.
  • Le esportazioni dei report e le viste di conformità dei dispositivi di Microsoft Intune documentano la configurazione sicura, il firewall, l'antivirus e lo stato degli aggiornamenti sui dispositivi gestiti.
  • Microsoft Entra Privileged Identity Management fornisce una cronologia di audit scaricabile per l'attivazione e le approvazioni degli accessi privilegiati.
  • Le esportazioni di Microsoft Secure Score tracciano il miglioramento della configurazione sicura nel tempo.
  • Microsoft Purview Compliance Manager conserva le azioni di miglioramento e permette di allegare file di evidenza ai controlli, offrendo un unico punto in cui assemblare un pacchetto di evidenze.

Per le evidenze dei dispositivi gestiti, uno strumento di reporting Intune può trasformare i segnali di compliance, app, update e configurazione in pack di audit ripetibili.

Per tutto ciò che ripetete, preferite un'esportazione pianificata o una query Microsoft Graph o PowerShell rispetto a un percorso manuale a clic. Le esportazioni ripetibili mantengono le evidenze aggiornate tra un ciclo di audit e l'altro ed eliminano la corsa affannosa annuale.

Dove si inseriscono EtherAssist e EtherInsights

Sapere quale impostazione si mappa su quale controllo è metà del lavoro. L'altra metà consiste nell'organizzare il flusso di lavoro, redigere le policy e le procedure che si collocano al di sopra delle impostazioni, e assemblare evidenze che un valutatore accetti.

EtherAssist supporta questo flusso di lavoro di compliance. Aiuta i team a mappare i controlli sulle evidenze di Microsoft 365, a redigere e mantenere policy e procedure, a strutturare le valutazioni e a preparare un pacchetto di evidenze per framework come ISO 27001, ISO 9001, ISO 42001 e Cyber Essentials. È compliance controllata e preparazione delle evidenze con un essere umano nel ciclo di lavoro; organizza e accelera il lavoro, e non sostituisce il vostro ente di certificazione né garantisce un esito di certificazione.

EtherInsights copre il lato posture. Vi offre una visione della configurazione di sicurezza di Microsoft 365, una baseline per il tenant e il rilevamento del drift, in modo che un controllo documentato in fase di audit non cambi silenziosamente in seguito. Backup della configurazione, drift e ripristino mantengono stabile l'ambiente IT tra una valutazione e l'altra, ed è esattamente ciò che mantiene le evidenze affidabili nel tempo.

Mappare le impostazioni sui controlli è il modo più rapido per trasformare un tenant Microsoft 365 che già gestite in evidenze pronte per l'audit. Cominciate dai cinque controlli Cyber Essentials, estendete ai controlli Annex A rilevanti per il vostro ambito, e sostituite gli screenshot con esportazioni ripetibili.

Scopri la soluzione per la compliance ISO e l'audit readiness per vedere come si integrano un flusso di lavoro di compliance controllato e la preparazione delle evidenze.