Consideraciones clave de cumplimiento y seguridad para los mercados de capital y los bancos de Estados Unidos

Introducción

Las instituciones de servicios financieros superan a casi todas las empresas comerciales en su demanda de estrictos controles de seguridad, cumplimiento y gobierno. La protección de los datos, las identidades, los dispositivos y las aplicaciones no solo es crítica para su negocio, sino que está sujeta a las directrices y requisitos de cumplimiento de organismos normativos como la Comisión de Bolsa y Valores de Estados Unidos (SEC), la Autoridad Reguladora de la Industria Financiera (FINRA), el Consejo Federal de Certificación de Instituciones Financieras (FFIEC) y la Comisión de Comercio de Futuros de Mercancías (CFTC). Además, las instituciones financieras están sujetas a leyes como la Dodd-Frank y la Sarbanes-Oxley de 2002.

En el clima actual de creciente vigilancia de seguridad, inquietudes sobre riesgos internos y vulneraciones de datos públicos, los clientes también demandan altos niveles de seguridad de las instituciones financieras para confiarles sus datos personales y activos bancarios.

Históricamente, la necesidad de controles integrales restringió y afectó directamente a las plataformas y los sistemas de TI que las instituciones financieras usan para permitir la colaboración interna y externa. Hoy en día, los empleados de servicios financieros necesitan una plataforma de colaboración moderna que sea fácil de adoptar y usar. Pero los servicios financieros no pueden sacrificar la flexibilidad necesaria para colaborar entre usuarios, equipos y departamentos en favor de controles de cumplimiento y seguridad que aplican directivas para proteger a los usuarios y sistemas de TI frente a amenazas.

En el sector de servicios financieros, se requiere una reflexión cuidadosa para la configuración e implementación de herramientas de colaboración y controles de seguridad, entre los que se incluyen:

  • Evaluación de riesgos de escenarios comunes de colaboración en organizaciones y procesos empresariales
  • Requisitos de protección de la información y gobierno de datos
  • Amenazas internas y de ciberseguridad
  • Requisitos de cumplimiento normativo
  • Otros riesgos operativos

Microsoft 365 es un entorno de área de trabajo actual en la nube que puede tratar las dificultades modernas a las que se enfrentan las organizaciones de servicios financieros. Las colaboraciones seguras y flexibles en toda la empresa se combinan con los controles y la exigencia de directivas para adherir a los estrictos entornos de cumplimiento normativo. En este artículo se describe cómo la plataforma de Microsoft 365 ayuda a los servicios financieros a pasarse a una plataforma de colaboración moderna, al tiempo que protege los datos y sistemas y les permite cumplir con las normativas:

  • Permitir la productividad de los empleados y de la organización con Microsoft 365 y Microsoft Teams
  • Proteger la colaboración moderna con Microsoft 365
  • Identificar datos confidenciales y evitar la pérdida de datos
  • Defender la fortaleza
  • Controlar los datos y cumplir con las normativas mediante una administración efectiva de registros
  • Establecer zona de protección de datos confidenciales con barreras de información
  • Protegerse contra la exfiltración de datos y los riesgos internos

Como partner de Microsoft, Protiviti contribuyó a este artículo y proporcionó comentarios sobre los materiales.

Las siguientes ilustraciones descargables complementan este artículo. El Woodgrove Bank y la empresa Contoso se utilizan para demostrar la forma en que las capacidades descritas en el presente artículo pueden aplicarse para hacer frente a los requisitos reglamentarios comunes de los servicios financieros. Siéntase libre de adaptar estas ilustraciones para su propio uso.

Ilustraciones de protección de información y cumplimiento de Microsoft 365

Elemento Description
Póster modelo: capacidades de protección y cumplimiento de la información de Microsoft 365.
Inglés: Descargar como PDF | Descargar como Visio
Japonés: Descargar como PDF | Descargar como Visio
Actualizado en noviembre de 2020
Incluye:
  • Microsoft Purview Information Protection y Prevención de pérdida de datos de Microsoft Purview
  • Directivas y etiquetas de retención
  • Barreras de información
  • Cumplimiento de comunicaciones
  • Riesgo de Insider
  • Ingesta de datos de terceros

Permitir la productividad de los empleados y de la organización con Microsoft 365 y Teams

Generalmente, la colaboración requiere distintas formas de comunicación, la capacidad para almacenar y acceder a documentos y datos, y la capacidad de integrar otras aplicaciones según sea necesario. Los empleados en servicios financieros suelen necesitar colaborar y comunicarse con miembros de otros departamentos o equipos, y a veces con entidades externas. Por lo tanto, es poco recomendable usar sistemas que crean silos o hacen que el uso compartido de la información sea complicado o indeseado. En lugar de ello, es preferible usar plataformas y aplicaciones que permiten a los empleados comunicarse, colaborar y compartir la información de forma segura y en concordancia con las directivas empresariales.

Proporcionar a los empleados una moderna plataforma de colaboración basada en la nube, les permite elegir e integrar las herramientas que los hacen más productivos y les permite encontrar formas ágiles de trabajo. El uso de Teams en combinación con los controles de seguridad y las directivas de gobierno de la información que protegen la organización puede ayudar a que el personal se comunique y colabore eficazmente.

Teams proporciona un centro de colaboración para la organización. Permite juntar a los usuarios para que trabajen de forma productiva en iniciativas y proyectos comunes. Teams permite a los miembros del equipo dirigir conversaciones de chat de 1:1 y con varios participantes, colaborar y trabajar en coautoría en documentos, así como almacenar y compartir archivos. Teams también facilita las reuniones en línea mediante voz y vídeo empresariales integrados. Teams también se puede personalizar con las aplicaciones de Microsoft, como Microsoft Planner, Microsoft Dynamics 365, Power Apps, Power BI y las aplicaciones de línea de negocios de terceros. Teams está diseñado para que lo utilicen miembros del equipo interno y usuarios externos autorizados que pueden unirse a canales de equipo, participar en conversaciones de chat, tener acceso a archivos almacenados y usar otras aplicaciones

Cada Microsoft Teams está respaldado por un grupo de Microsoft 365. Ese grupo se considera el servicio de suscripción para numerosos servicios de Office 365, incluido Teams. Los grupos de Microsoft 365 se usan para distinguir de forma segura entre "propietarios" y "miembros" y para controlar el acceso a las distintas funciones dentro de Teams. Cuando se une con controles de gobierno adecuados y revisiones de acceso de administración periódicas, Teams solo permite que los miembros y propietarios utilicen canales y capacidades autorizados.

Un escenario habitual en el que Teams es un beneficio para los servicios financieros es al ejecutar proyectos o programas internos. Por ejemplo, en el caso de las instituciones financieras, como los bancos, las empresas de administración de la riqueza, las entidades de crédito y los proveedores de seguros, deben contar con programas de prevención de blanqueo de dinero y otros programas de cumplimiento. Es posible que un equipo multifuncional de TI, líneas de negocios, como las ventas minoristas y la administración de la riqueza, y una unidad de delitos financieros deban compartir datos entre sí y comunicarse por el programa o investigaciones específicas. Tradicionalmente, estos programas usan unidades de red compartidas, pero este método puede presentar numerosos desafíos, entre los que se incluyen:

  • Solo una persona puede editar un documento a la vez.
  • La administración de la seguridad lleva mucho tiempo, ya que al agregar o quitar usuarios se suele involucrar a TI.
  • Los datos permanecen en unidades de red compartidas durante más tiempo de lo necesario.

Teams puede ofrecer un espacio de colaboración para almacenar de forma segura datos confidenciales de los clientes y tener conversaciones entre miembros del equipo donde se puedan discutir temas confidenciales. Varios miembros del equipo pueden editar o colaborar en un único documento al mismo tiempo. El propietario o coordinador del programa puede configurarse como el propietario del equipo y, después, puede agregar y quitar miembros según sea necesario.

Otro escenario común es usar Teams como "sala de datos virtual" para colaborar de forma segura, como al almacenar y administrar documentos. Los miembros del equipo y los sindicatos en la banca de inversiones, la administración de activos o las empresas de capitales privadas pueden colaborar de forma segura en un negocio o una inversión. Los equipos multifuncionales suelen participar en la planeación y finalización de estos acuerdos, y la capacidad de compartir datos y entablar conversaciones de forma segura es una exigencia principal. Compartir de forma segura documentos relacionados con inversores externos también es un requisito clave. Teams proporciona una ubicación segura y totalmente auditable desde la que se pueden almacenar, proteger y compartir datos de la inversión de forma centralizada.

Un grupo de trabajadores de oficina en una reunión comentan imágenes de una pantalla grande.

Teams: mejorar la colaboración y reducir el riesgo de cumplimiento

Microsoft 365 proporciona otras funciones de directiva comunes para Teams mediante el uso de grupos de Microsoft 365 como servicio de suscripción subyacente. Estas directivas pueden ayudar a mejorar la colaboración y satisfacer las necesidades de cumplimiento normativo.

Las directivas de nomenclatura de grupo de Microsoft 365 ayudan a asegurarse de que los grupos de Microsoft 365 y, por tanto, los equipos, se denominen de acuerdo a la directiva empresarial. Los nombres pueden ser problemáticos si no son adecuados. Por ejemplo, es posible que los empleados no sepan con qué equipos trabajar o compartir información si los nombres no se aplicaron correctamente. Las directivas de nomenclatura de grupos (incluida la compatibilidad con directivas basadas en prefijos y sufijos o las palabras bloqueadas personalizadas) pueden exigir una "higiene" adecuada y evitar el uso de palabras específicas, como palabras reservadas o terminología inapropiada.

Las directivas de expiración de grupos de Microsoft 365 ayudan a garantizar que los grupos de Microsoft 365 y, por lo tanto, los equipos, no se conserven durante períodos de tiempo más largos de lo que la organización quiere o necesita. Esta función ayuda a evitar dos problemas clave de administración de la información:

  • Proliferación de equipos que no son necesarios ni se usan.
  • La retención excesiva de datos que ya no necesita o usa la organización (excepto en casos de conservación o preservación legal).

Los administradores pueden especificar períodos de expiración para los grupos de Microsoft 365 de 90, 180 o 365 días. Si un servicio respaldado por un grupo de Microsoft 365 está inactivo durante el período de expiración, se notificará a los propietarios del grupo. Si no se realiza ninguna acción, se elimina el grupo de Microsoft 365 y todos sus servicios relacionados, incluido Teams.

La retención excesiva de los datos que se almacenan en Teams y otros servicios basados en grupos puede suponer riesgos para las organizaciones de servicios financieros. Las directivas de expiración del grupo de Microsoft 365 son una forma recomendada para ayudar a evitar la retención de datos que ya no son necesarios. Combinado con las etiquetas y directivas de retención integradas, Microsoft 365 le ayuda a garantizar que las organizaciones solo retienen los datos necesarios para cumplir con las obligaciones de las directivas corporativas y el cumplimiento normativo.

Teams: integrar requisitos personalizados con facilidad

Teams permite la creación de equipos sin intervención del administrador de forma predeterminada. Sin embargo, muchas organizaciones reguladas quieren controlar y entender qué canales de colaboración están usando actualmente sus empleados, qué canales pueden contener datos confidenciales y los propietarios de los canales de la organización. Para facilitar estos controles de gobierno, Microsoft 365 permite a la organización deshabilitar la creación de equipos sin intervención del administrador. Al usar herramientas de automatización del proceso empresarial, como Microsoft Power apps y Power Automate, las organizaciones pueden crear e implementar formularios y procesos de aprobación sencillos para que los empleados soliciten la creación de un nuevo equipo. Cuando se aprueba, el equipo se puede aprovisionar automáticamente y se envía un vínculo al solicitante. De esta manera, las organizaciones pueden diseñar e integrar sus requisitos personalizados y controles de cumplimiento en el proceso de creación de equipos.

Canales de comunicación digital aceptables

FINRA enfatiza que la comunicación digital de las empresas reguladas cumpla con los requisitos de mantenimiento de registros de las Reglas 17a-3 y 17a-4 de la Ley de Intercambio, así como la Serie de reglas 4510 de la FINRA. FINRA publica un informe anual que contiene conclusiones, observaciones y prácticas útiles clave para ayudar a las organizaciones a mejorar la administración de riesgos y el cumplimiento. En su Informe sobre la Evaluación de 2019, Hallazgos y Observaciones, FINRA identificó la comunicación digital como área clave en la que las empresas enfrentan dificultades de cumplimiento con los requisitos de supervisión y mantenimiento de registros.

Si una organización permite que sus empleados usen una aplicación específica, como un servicio de mensajería basado en aplicaciones o una plataforma de colaboración, la empresa debe archivar los registros de la empresa y supervisar las actividades y las comunicaciones de los empleados en esa aplicación. Las organizaciones son responsables de la diligencia debida para cumplir con las normas y leyes de títulos y valores de FINRA, y de hacer un seguimiento de las infracciones potenciales de las reglas relacionadas con el uso de estas aplicaciones por parte de los empleados.

Entre los procedimientos eficaces recomendados por FINRA se incluyen los siguientes:

  • Establecer un programa de gobierno exhaustivo para los canales de comunicación digital. Administrar las decisiones de la organización sobre qué canales de comunicación digital se permiten y definir procesos de cumplimiento para cada canal digital. Supervisar atentamente el cambiante escenario de los canales de comunicación digital y mantener los procesos de cumplimiento actualizados.
  • Definir claramente y controlar los canales digitales permitidos. Definir tanto canales digitales aprobados como prohibidos. Bloquear o restringir el uso de canales digitales prohibidos o de características prohibidas en canales digitales, que limiten la capacidad de la organización para cumplir los requisitos de administración y supervisión de registros.
  • Proporcionar formación para las comunicaciones digitales. Implementar programas de formación obligatorios antes de que los representantes autorizados puedan acceder a los canales digitales aprobados. La formación permite aclarar las expectativas de la organización en lo que se refiere a las comunicaciones digitales empresariales y personales, así como guiar al personal al usar las características permitidas de cada canal de forma conforme a las normas.

Las conclusiones y observaciones de FINRA para las comunicaciones digitales se relacionan directamente con la capacidad de una organización para cumplir con la Regla 17a-4 de la SEC para conservar todas las comunicaciones relacionadas con la empresa, las Reglas de FINRA 3110 y 3120 para la supervisión y la revisión de las comunicaciones, y la Serie de reglas 4510 para el mantenimiento de registros. La Comisión de Comercio de Futuros de Mercancías (CFTC) promulga requisitos similares bajo la Regla 17 CFR 131. Estas normas se tratan en profundidad más adelante en este artículo.

Teams, junto con la gama completa de ofertas de seguridad y cumplimiento de Microsoft 365, ofrece un canal de comunicación digital corporativo para que las instituciones de servicios financieros puedan hacer negocios de forma eficaz y cumpliendo la ley. El resto de este artículo describe cómo las capacidades integradas de Microsoft 365 para la administración de registros, la protección de la información, las barreras de la información y el control de supervisión proporcionan a Teams un conjunto de herramientas robusto para ayudarle a cumplir estos compromisos reglamentarios.

Proteger la colaboración moderna con Microsoft 365

Identidades de usuario seguras y control de acceso

La protección del acceso a la información de los clientes, los documentos financieros y las aplicaciones comienza asegurando firmemente las identidades de los usuarios. Esto requiere una plataforma segura para que la empresa pueda almacenar y administrar identidades, lo que proporciona un medio de autenticación de confianza y controla dinámicamente el acceso a esas aplicaciones.

A medida que los empleados trabajan, pueden pasar de una aplicación a otra o cambiar entre múltiples ubicaciones y dispositivos. El acceso a los datos debe autenticarse en cada paso durante el proceso. El proceso de autenticación tiene que admitir un protocolo de alto nivel y varios factores de autenticación (como un código de acceso SMS único, una aplicación de autenticación y un certificado) para asegurarse de que las identidades no se han visto comprometidas. Exigir las directivas de acceso basadas en riesgos es fundamental para proteger los datos financieros y las aplicaciones de las amenazas internas, la filtración involuntaria de datos y el robo de datos.

Microsoft 365 proporciona una plataforma de identidades segura en Azure Active Directory (Azure AD), donde las identidades se almacenan de forma centralizada y se administran de forma segura. Azure AD, junto con una variedad de servicios de seguridad de Microsoft 365 relacionados, forma la base para proporcionar a los empleados el acceso que necesitan para trabajar de forma segura, a la vez que protege la organización frente a las amenazas.

La autenticación multifactor (MFA) de Azure AD está integrada en la plataforma y proporciona una prueba adicional de autenticación que le ayuda a confirmar la identidad del usuario cuando obtenga acceso a aplicaciones y datos financieros confidenciales. Azure MFA necesita al menos dos formas de autenticación, como una contraseña y un dispositivo móvil conocido. Admite varias opciones de autenticación de segundo factor, entre las que se incluyen:

  • La aplicación de Microsoft Authenticator
  • Un código de acceso de un solo uso entregado a través de SMS
  • Un llamado telefónico en el que un usuario tiene que escribir un PIN

Si la contraseña se viese comprometida de alguna forma, un hacker potencial aún necesitaría el teléfono del usuario para obtener acceso a los datos de la organización. Además, Microsoft 365 usa la autenticación moderna como protocolo clave, que ofrece la misma experiencia de autenticación eficaz y enriquecida de los exploradores web a las herramientas de colaboración que usan los empleados en el día a día, como Microsoft Outlook y otras aplicaciones de Microsoft Office.

Sin contraseña

Las contraseñas son el eslabón más débil de una cadena de seguridad. Pueden ser un punto único de error si no hay ninguna comprobación adicional. Microsoft admite una amplia variedad de opciones de autenticación para satisfacer las necesidades de las instituciones financieras.

Los métodos sin contraseña permiten que la MFA resulte más cómoda para los usuarios. Aunque no todas las MFA carecen de contraseña, las tecnologías sin contraseñas usan la autenticación multifactor. Microsoft, Google y otros líderes del sector han desarrollado estándares para permitir una experiencia de autenticación más sencilla y segura en la web y los dispositivos móviles en un grupo llamado Fast IDentity Online (FIDO). El estándar FIDO2 desarrollado recientemente permite que los usuarios puedan autenticarse de forma fácil y segura sin requerir una contraseña para eliminar la suplantación de identidad.

Los métodos de Microsoft MFA que no tienen contraseñas son:

  • Microsoft Authenticator: para mayor flexibilidad, comodidad y mejores costos, recomendamos usar la aplicación móvil Microsoft Authenticator. Microsoft Authenticator es compatible con la biometría, las notificaciones de inserción y los códigos de acceso de un solo uso en cualquier aplicación conectada a Azure AD. Está disponible en las tiendas de aplicaciones de Apple y Android.
  • Windows Hello: para obtener una experiencia integrada en el equipo PC, recomendamos usar Windows Hello. Usa información biométrica (como una cara o huella digital) para iniciar sesión automáticamente.
  • Las claves de seguridad de FIDO2 ya están disponibles de varios partners de Microsoft: Yubico, Feitian Technologies y HID Global en una llave NFC, USB o clave biométrica.

El acceso condicional de Azure AD ofrece una solución robusta para automatizar las decisiones de control de acceso y exigir las directivas de la organización para proteger los activos de la empresa. Un ejemplo clásico es cuando un programador financiero quiere tener acceso a una aplicación que tiene datos confidenciales de los clientes. Se requieren automáticamente para realizar una autenticación multifactor para tener acceso específico a la aplicación y el acceso debe ser desde un dispositivo administrado por la empresa. El acceso condicional de Azure reúne las señales sobre la solicitud de acceso de un usuario, como las propiedades del usuario, el dispositivo, la ubicación, la red y la aplicación a la que el usuario está intentando acceder. Evalúa dinámicamente los intentos de acceso a la aplicación en directivas configuradas. Si se eleva el riesgo de un usuario o un dispositivo, o no se cumplen otras condiciones, Azure AD puede aplicar automáticamente directivas como requerir MFA, requerir el restablecimiento de una contraseña segura o restringir o bloquear el acceso. Esto permite garantizar que los activos confidenciales de la organización estén protegidos en entornos cambiantes.

Azure AD y los servicios de seguridad relacionados de Microsoft 365 proporcionan la base en la que se puede implementar una plataforma de colaboración en la nube moderna para las instituciones financieras, de modo que se pueda proteger el acceso a los datos y las aplicaciones, y garantizar el cumplimiento de las obligaciones. Estas herramientas proporcionan las siguientes funciones clave:

  • Almacenar y administrar identidades de usuario de forma segura y centralizada.
  • Usar un protocolo de autenticación eficaz, incluida la autenticación multifactor, para autenticar usuarios en solicitudes de acceso y proporcionar una experiencia de autenticación coherente y robusta en todas las aplicaciones.
  • Validar dinámicamente las directivas en todas las solicitudes de acceso, al incorporar múltiples señales en el proceso de toma de decisiones de la directiva, como la identidad, la pertenencia de usuarios y grupos, la aplicación, el dispositivo, la red, la ubicación y la puntuación de riesgo en tiempo real.
  • Validar directivas pormenorizadas basadas en el comportamiento de los usuarios y en las propiedades de archivo, y aplicar dinámicamente medidas de seguridad adicionales cuando sea necesario.
  • Identificar "shadow IT" en la organización y permitir que los equipos de InfoSec puedan sancionar o bloquear aplicaciones en la nube.
  • Supervisar y controlar el acceso a las aplicaciones en la nube de Microsoft o ajenas a Microsoft.
  • Proteger de forma proactiva frente a ataques de phishing y ransomware por correo electrónico.

Azure AD Identity Protection

Aunque el acceso condicional protege los recursos de las solicitudes sospechosas, Identity Protection va más allá al ofrecer la detección y corrección continuadas de cuentas de usuarios sospechosos. Identity Protection le mantiene informado en todo momento de comportamientos de inicio de sesión o usuarios sospechosos en su entorno. La respuesta automática impide proactivamente que se abuse de las identidades que hayan sido comprometidas.

Identity Protection es una herramienta que permite a las organizaciones llevar a cabo tres tareas clave:

  • Automatizar la detección y corrección de riesgos basados en la identidad.
  • Investigar riesgos mediante el uso de datos en el portal.
  • Exportar datos de detección de riesgos a utilidades de terceros para analizarlos en más profundidad.

Identity Protection usa el conocimiento que Microsoft ha adquirido de su posición en organizaciones con Azure AD, el espacio de consumidores con cuentas de Microsoft y en juegos con Xbox para proteger a los usuarios. Microsoft analiza 65 billones de señales diarias para identificar y proteger a los clientes frente a las amenazas. Las señales generadas por Identity Protection o añadidas a esta pueden incluirse en herramientas como el acceso condicional para tomar decisiones de acceso. También pueden volver a introducirse en una herramienta de administración de eventos e información de seguridad (SIEM) para investigar en mayor detalle en función de las directivas exigidas por la organización.

Identity Protection ayuda a las organizaciones a protegerse de forma automática frente al compromiso de identidades aprovechando la inteligencia en la nube con tecnología de detección avanzada basada en heurística, análisis de comportamiento de usuarios y entidades (UEBA) y aprendizaje automático (ML) en el ecosistema de Microsoft.

Cinco profesionales de la información ven la presentación de otro.

Identificar datos confidenciales y evitar la pérdida de datos

Microsoft 365 permite que todas las organizaciones identifiquen datos confidenciales en la organización a través de una combinación de potentes funciones, entre las que se incluyen:

  • Microsoft Purview Information Protection para la clasificación basada en el usuario como y para la clasificación automatizada de datos confidenciales.
  • La prevención de pérdida de datos (DLP) de Microsoft Purview para identificar automáticamente datos confidenciales con tipos de datos confidenciales (es decir, expresiones regulares), así como palabras clave y aplicación de directivas.

Microsoft Purview Information Protection permite a las organizaciones clasificar documentos y mensajes de correo electrónico de forma inteligente mediante etiquetas de confidencialidad. Los usuarios pueden aplicar manualmente las etiquetas de confidencialidad en documentos en aplicaciones de Microsoft Office y en mensajes de correo electrónico en Outlook. Las etiquetas pueden aplicar automáticamente marcas de documento, protección mediante el cifrado y la exigencia de administración de derechos. Las etiquetas de confidencialidad también se pueden aplicar automáticamente si se configuran directivas que usen palabras clave y tipos de datos confidenciales (como números de tarjeta de crédito, números de seguridad social y números de identidad) para buscar y clasificar automáticamente datos confidenciales.

Además, Microsoft ofrece "clasificadores que se pueden entrenar" que usan modelos de aprendizaje automático para identificar datos confidenciales basándose en el contenido, en lugar de usar solo la coincidencia de patrones o los elementos dentro del contenido. Un clasificador aprende cómo identificar un tipo de contenido al revisar numerosos ejemplos del contenido que se va a clasificar. El entrenamiento de un clasificador comienza por añadir ejemplos de contenido para una categoría determinada. Después de aprender de estos ejemplos, el modelo se prueba añadiendo una mezcla de ejemplos coincidentes y no coincidentes. El clasificador predice si un ejemplo determinado entra o no en la categoría. Después, una persona confirma los resultados, ordenando los positivos, negativos, falsos positivos y falsos negativos para ayudar a aumentar la precisión de las predicciones del clasificador. Cuando se publica el clasificador entrenado, este procesa el contenido de Microsoft SharePoint Online, Exchange Online y OneDrive para la Empresa y clasifica automáticamente el contenido.

La aplicación de etiquetas de confidencialidad a documentos y mensajes de correo electrónico inserta metadatos que identifican la confidencialidad elegida dentro del objeto. La confidencialidad viaja con los datos. Por lo tanto, incluso si un documento con etiqueta se almacena en el escritorio de un usuario o en un sistema local, seguirá estando protegido. Esta funcionalidad permite que otras soluciones de Microsoft 365, como Microsoft Defender for Cloud Apps o dispositivos perimetrales de red, identifiquen datos confidenciales y apliquen automáticamente controles de seguridad. Las etiquetas de confidencialidad tienen la ventaja adicional de informar a los empleados sobre los datos de una organización que se consideran confidenciales y cómo tratar esos datos cuando se reciben.

La protección de pérdida de datos (DLP) de Microsoft Purview identifica automáticamente documentos, correos y conversaciones que contienen datos confidenciales mediante el análisis en busca de datos confidenciales y la aplicación de directivas en esos objetos. Las directivas se aplican a los documentos de SharePoint y OneDrive para la Empresa. También se aplican cuando los usuarios envían correo electrónico y en los chats o conversaciones de canales de Teams. Las directivas pueden configurarse para buscar palabras clave, tipos de datos confidenciales, etiquetas de retención y si los datos se comparten dentro de la organización o externamente. Se proporcionan controles para ayudar a las organizaciones a ajustar las directivas DLP para reducir los falsos positivos. Cuando se encuentra información confidencial, las sugerencias de directiva personalizables se pueden mostrar a los usuarios de las aplicaciones de Microsoft 365 para informarles de que su contenido contiene datos confidenciales y proponer acciones de corrección. Las directivas también pueden impedir que los usuarios accedan a documentos, compartan documentos o envíen mensajes de correo electrónico que contengan determinados tipos de datos confidenciales. Microsoft 365 admite más de 100 tipos de datos confidenciales integrados. Las organizaciones pueden configurar tipos de datos confidenciales personalizados para cumplir con sus directivas.

La implementación de directivas DLP y Microsoft Purview Information Protection para las organizaciones requiere un planeamiento cuidadoso y un programa de aprendizaje para los usuarios, de modo que los empleados comprendan el esquema de clasificación de datos de la organización y los tipos de datos que se consideran confidenciales. Proporcionar a los empleados herramientas y programas educativos que les permitan identificar datos confidenciales y comprender cómo administrarlos los convierte en parte de la solución para reducir los riesgos de seguridad de la información.

Las señales generadas por Identity Protection o añadidas también pueden incluirse en herramientas como el acceso condicional para tomar decisiones de acceso o a una herramienta de administración de eventos e información de seguridad (SIEM) para investigar en función de las directivas exigidas por la organización.

Identity Protection ayuda a las organizaciones a protegerse de forma automática frente al compromiso de identidades aprovechando la inteligencia en la nube con tecnología de detección avanzada basada en heurística, análisis de comportamiento de usuarios y entidades y aprendizaje automático en el ecosistema de Microsoft.

Se muestra un profesional de la información delante de un gran número de monitores.

Defender la fortaleza

Microsoft ha lanzado recientemente la solución Microsoft 365 Defender de Microsoft, que está diseñada para proteger la organización moderna frente al escenario cambiante de amenazas. Al usar Intelligent Security Graph, la solución de Protección contra amenazas ofrece seguridad completa integrada frente a varios tipos de ataques.

Intelligent Security Graph

Los servicios de seguridad de Microsoft 365 usan la tecnología de Intelligent Security Graph. Para combatir las amenazas informáticas, Intelligent Security Graph usa análisis avanzados para relacionar las señales de seguridad e inteligencia de amenazas de Microsoft y sus asociados. Microsoft opera servicios globales a gran escala, al obtener billones de señales de seguridad que impulsan capas de protección en la pila. Los modelos de aprendizaje automático evalúan esta inteligencia y la información de las amenazas y señales se comparte entre los productos y servicios. Esto nos permite detectar y responder rápidamente a las amenazas y enviar a los clientes las alertas y la información para corregirlas. Nuestros modelos de aprendizaje automáticos se entrenan y actualizan continuamente con nueva información, ayudando a crear productos más seguros y ofrecer una seguridad más proactiva.

Microsoft Defender para Office 365 ofrece un servicio integrado de Microsoft 365 que protege a las organizaciones frente a vínculos malintencionados y malware ocultos en documentos de Office y correos. Uno de los tipos de ataque más comunes que afecta a los usuarios en estos momentos son los ataques de suplantación de identidad de correo electrónico. Estos ataques pueden dirigirse a usuarios específicos y ser muy convincentes, con alguna solicitud que pida al usuario que haga clic en un vínculo malintencionado o que abra un archivo adjunto que contenga malware. Cuando un equipo está infectado, el atacante puede robar las credenciales del usuario y desplazarse por la organización o robar mensajes de correo electrónico y datos para buscar información confidencial. Microsoft Defender para Office 365 es compatible con datos adjuntos seguros y vínculos seguros mediante la evaluación de documentos y vínculos en el momento de hacer clic para detectar intenciones maliciosas y bloquear el acceso. Los datos adjuntos de correo se abren en un espacio aislado protegido antes de entregarse al buzón de un usuario. También examina vínculos en documentos de Office en busca de URL malintencionadas. Microsoft Defender para Office 365 también protege vínculos y archivos en SharePoint Online, OneDrive para la Empresa y Teams. Si se detecta un archivo malintencionado, Microsoft Defender para Office 365 lo bloquea automáticamente para reducir los posibles daños.

Microsoft Defender para punto de conexión es una plataforma de seguridad de punto de conexión unificada para la protección preventiva, la detección posterior a la vulneración y la respuesta e investigación automatizadas. Defender para punto de conexión ofrece funciones integradas para detectar y proteger los datos confidenciales en los puntos de conexión de la empresa.

Microsoft Defender for Cloud Apps permite a las organizaciones aplicar directivas en un nivel granular y detectar anomalías en el comportamiento en función de los perfiles de usuario individuales que se definen automáticamente con el aprendizaje automático. Las directivas de Defender for Cloud Apps se pueden basar en directivas de acceso condicional de Azure para proteger los activos confidenciales de la empresa al evaluar otras señales relacionadas con el comportamiento del usuario y las propiedades de los documentos a los que se accede. Con el tiempo, Defender for Cloud Apps aprende el comportamiento habitual para cada empleado con respecto a los datos a los que acceden y a las aplicaciones que usan. Basándose en patrones de comportamiento aprendidos, las directivas pueden exigir de forma automática controles de seguridad si un empleado actúa fuera de ese perfil de comportamiento. Por ejemplo, si un empleado generalmente accede a una aplicación de contabilidad entre las 9:00 y las 17:00 de lunes a viernes, pero de repente comienza a acceder a esa aplicación un domingo por la tarde, Defender for Cloud Apps puede aplicar dinámicamente directivas para requerir que el usuario vuelva a autenticarse. Esto permite garantizar que las credenciales del usuario no se hayan visto comprometidas. Defender for Cloud Apps también pueden ayudar a identificar "shadow IT" en la organización, lo que permite a los equipos de seguridad de la información asegurarse de que los empleados usan herramientas autorizadas cuando trabajan con datos confidenciales. Por último, Defender for Cloud Apps puede proteger datos confidenciales en cualquier lugar de la nube, incluso fuera de la plataforma de Microsoft 365. Permite a las organizaciones autorizar (o no autorizar) aplicaciones externas específicas en la nube, controlar el acceso y supervisar el uso.

Microsoft Defender for Identity es una solución de seguridad basada en la nube que aprovecha las señales locales de Active Directory para identificar, detectar e investigar las amenazas avanzadas, las identidades vulnerables y las acciones internas malintencionadas dirigidas a su organización. AATP permite a los analistas de SecOp y a los profesionales de la seguridad detectar ataques avanzados en entornos híbridos para:

  • Supervisar usuarios, el comportamiento de las entidades y las actividades mediante el análisis basado en aprendizaje.
  • Proteger las identidades de usuario y las credenciales almacenadas en Active Directory.
  • Identificar e investigar actividades de usuarios sospechosas y ataques avanzados en la cadena de eliminación.
  • Proporcionar información clara sobre el incidente en una escala de tiempo simple para una evaluación rápida.

Los trabajadores de la oficina se encuentran en una sala de conferencias pequeña. Uno ofrece una presentación.

Gobierno de datos y administración de registros

Las instituciones financieras deben conservar sus registros y su información según sus obligaciones normativas, jurídicas y comerciales, como se representa en la programación de retención de su empresa. Por ejemplo, la SEC exige períodos de retención de entre tres y seis años, basándose en el tipo de registro, con accesibilidad inmediata para los dos primeros años. Las organizaciones se enfrentan a los riesgos legales y normativos si los datos se retienen menos tiempo (se descartan muy anticipadamente) y ahora también administran las normas que exigen la eliminación cuando ya no se necesita información. Una estrategia de administración de registros eficaz enfatiza un enfoque práctico y coherente para que la información se elimine de forma adecuada al tiempo que se reducen los costes y los riesgos para la organización.

Además, los mandatos normativos del Departamento de Servicios Financieros del Estado de Nueva York exigen que las entidades cubiertas mantengan directivas y procedimientos para la eliminación de información no pública. Las limitaciones de la Sección 500.13 de 23 NYCRR 500 sobre la retención de datos requieren que "como parte de su programa de ciberseguridad, cada entidad cubierta incluirá directivas y procedimientos para la eliminación segura en una base periódica de cualquier información no pública identificada en la sección 500.01(g)(2)-(3) de esta Parte que ya no es necesaria para las operaciones de la empresa o para otros fines comerciales legítimos de la entidad cubierta, excepto cuando dicha información deba retenerse en virtud de la legislación o regulación".

Las instituciones financieras administran una gran cantidad de datos. Y algunos períodos de retención se activan por eventos, como un contrato que expira o un empleado que abandona la organización. En esta atmósfera, puede resultar complicado aplicar directivas de retención de registros. Los métodos para asignar períodos de retención de registros de forma exacta en documentos de la organización pueden variar. Algunos aplican directivas de retención más amplias o aprovechan técnicas de clasificación y aprendizaje automáticos. Otros identifican un enfoque que necesita un proceso más pormenorizado que asigna períodos de retención de forma individual en cada documento.

Microsoft 365 ofrece funciones flexibles para definir las etiquetas de retención y las directivas para implementar de forma inteligente los requisitos de administración de registros. Un administrador de registros define una etiqueta de retención que representa un "tipo de registro" en una programación de retención tradicional. La etiqueta de retención contiene la configuración que define estos detalles:

  • Cuánto tiempo se retiene un registro
  • Qué ocurre cuando expira el período de retención (eliminar el documento, iniciar una revisión de disposición o no realizar ninguna acción)
  • Qué provoca que comience el período de retención (fecha de creación, fecha de la última modificación, fecha de la etiqueta o un evento) y marca el documento o correo electrónico como un registro (lo que significa que no se puede editar ni eliminar).

Las etiquetas de retención se publican en sitios de SharePoint o OneDrive, buzones de Exchange y grupos de Microsoft 365. Los usuarios pueden aplicar manualmente las etiquetas de retención a documentos y mensajes de correo electrónico. Los administradores de registros pueden usar la inteligencia para aplicar las etiquetas automáticamente. Las funciones inteligentes se pueden basar en más de 90 tipos de información confidencial (como el código ABA, el número de cuenta bancaria estadounidense o el número de la seguridad social de Estados Unidos). También son personalizables en función de palabras clave o datos confidenciales que se encuentran en documentos o mensajes de correo electrónico, como números de tarjeta de crédito u otra información de identificación personal, o en base a los metadatos de SharePoint. Para datos que no son fáciles de identificar mediante la coincidencia manual o automatizada de patrones, se pueden usar clasificadores que se pueden entrenar para clasificar documentos de forma inteligente en base a técnicas de aprendizaje automático.

La Comisión de valores y bolsa (SEC) requiere que los corredores de bolsa y otras instituciones financieras reguladas conserven todas las comunicaciones relacionadas con la empresa. Estos requisitos se aplican a muchos tipos de comunicación y datos, como correos electrónicos, documentos, mensajes instantáneos, faxes y mucho más. La norma 17a-4 de la SEC define los criterios que deben cumplir estas organizaciones para almacenar registros en un sistema de almacenamiento electrónico de datos. En 2003, la SEC emitió un comunicado que clarifica estos requisitos. Incluyó los siguientes criterios:

  • Los datos que conserva un sistema de almacenamiento electrónico deben ser no regrabables y no eliminables. Esto es lo que se conoce como un requisito de "escribir una vez, leer muchas veces" (WORM por sus siglas en inglés).
  • El sistema de almacenamiento debe poder almacenar datos que superen el período de retención requerido por la norma, en el caso de una citación u otra orden legal.
  • Ninguna organización vulneraría la exigencia en el párrafo (f)(2)(ii)(A) de la regla si usa un sistema de almacenamiento electrónico que impide que se sobrescriba, se borre o se altere de algún otro modo el registro durante el período de retención requerido mediante el uso de los códigos integrados de control de hardware y software.
  • Los sistemas de almacenamiento electrónico que simplemente "mitigan" el riesgo de que un registro se sobrescriba o se elimine (por ejemplo, al depender del control de acceso), no cumplen con los requisitos de la regla.

Para ayudar a las instituciones financieras a cumplir los requisitos de la norma 17a-4 de la SEC, Microsoft 365 proporciona una combinación de las funciones relacionadas con el modo en que se conservan los datos, se configuran las directivas y se almacenan los datos en el servicio. Estas incluyen:

  • Preservación de datos (Norma 17a-4 (a), (b)(4)): las etiquetas de retención y las directivas son flexibles para satisfacer las necesidades de la organización, y se pueden aplicar de forma automática o manual a diferentes tipos de datos, documentos e información. Se admiten una amplia variedad de tipos de datos y comunicaciones, incluidos los documentos de SharePoint y OneDrive para la Empresa, datos de buzones de Exchange Online y datos en Teams.

  • Un formato que no se puede volver a escribir y que no se puede eliminar (Regla 17a-4 (f)(2)(ii)(A)): la capacidad de bloqueo de conservación para las directivas de retención permite a los administradores y administradores de registros configurar las directivas de retención para que sean restrictivas, de modo que ya no se puedan modificar. Esto prohíbe que se pueda quitar, deshabilitar o modificar la directiva de retención de ninguna manera. Esto quiere decir que, una vez que el bloqueo de conservación está habilitado, no se puede deshabilitar y no hay ningún método mediante el que los datos a los que se haya aplicado la directiva de retención se puedan sobrescribir, modificar o eliminar durante el período de retención. Además, el período de retención no se puede acortar. Sin embargo, el período de retención se puede alargar cuando existe un requisito legal para continuar la retención de datos.

    Cuando se aplica un bloqueo de conservación a una directiva de retención, se restringen las acciones siguientes:

    • El período de retención de la directiva solo se puede incrementar, no se puede acortar.
    • Se pueden agregar usuarios a la directiva, pero no se podrán quitar los usuarios existentes configurados en la directiva.
    • La directiva de retención no puede ser eliminada por ningún administrador dentro de la organización.

    El bloqueo de conservación ayuda a garantizar que ningún usuario, ni siquiera administradores con los niveles más altos de acceso con privilegios, pueda cambiar la configuración, modificar, sobrescribir o eliminar los datos que se han almacenado, trasladando el archivado en Microsoft 365 en línea con las instrucciones proporcionadas en la versión 2003 de SEC.

  • Calidad, precisión y comprobación del almacenamiento, la serialización y la indización de datos (Regla 17a-4(f)(2)(ii)(B) y (C)): cada carga de trabajo de Office 365 contiene capacidades para comprobar de forma automática la calidad y la precisión del proceso de grabación de datos en medios de almacenamiento. Además, los datos se almacenan con metadatos y marcas de tiempo para asegurar que la indexación sea suficiente para permitir la búsqueda y la recuperación de los datos de forma eficaz.

  • Almacenamiento independiente para las copias duplicadas (Regla 17a-4 (f) (3(iii)): el servicio en la nube de Office 365 almacena copias duplicadas de los datos como un aspecto fundamental de su elevada disponibilidad. Esto se logra mediante la implementación de redundancia en todos los niveles del servicio, incluido el nivel físico en todos los servidores, en el nivel de servidor dentro del centro de datos y en el nivel de servicio para los centros de datos geográficamente dispersos.

  • Datos descargables y accesibles (Regla 17a-4 (f)(2)(ii)(D)): Office 365 generalmente permite que se busquen datos rotulados para la retención, se puede acceder a ellos y descargarlos en el lugar. Y permite que los datos de los archivos de Exchange Online se puedan buscar mediante el uso de características de eDiscovery integradas. Se pueden descargar datos según sea necesario en formatos estándar, como EDRML y PST.

  • Requisitos de auditoría (Regla 17a-4(f)(3)(v)): Office 365 proporciona un registro de auditoría para cada una de las acciones administrativas y de usuario que modifiquen objetos de datos, configure o modifique las directivas de retención, realice búsquedas eDiscovery o modifique los permisos de acceso. Office 365 mantiene una traza de auditoría integral, que incluye datos de quién realizó una acción, cuándo la realizó, detalles de la acción y los comandos que se realizaron. Luego, el registro de auditoría se puede obtener e incluir como parte de procesos de auditoría formal cuando sea necesario.

Por último, la Regla 17a-4 exige a las organizaciones que conserven los registros de muchos tipos de transacciones para que se pueda acceder a ellas inmediatamente durante dos años. Los registros deben retenerse durante entre tres y seis años más con acceso no inmediato. Los registros duplicados también deben mantenerse durante el mismo periodo en una ubicación fuera del sitio. Las funciones de administración de registros de Microsoft 365 permiten que los registros se retengan de forma que no se puedan modificar ni eliminar, pero que se pueda acceder a ellos fácilmente durante un período de tiempo que controle el administrador de registros. Estos períodos pueden abarcar días, meses o años, en función de las obligaciones de cumplimiento normativo de la organización.

Previa solicitud, Microsoft proporcionará una carta de atestación del cumplimiento con la regla 17a-4 de la SEC cuando lo requiera una organización.

Además, estas funciones también ayudan a que Microsoft 365 cumpla con los requisitos de almacenamiento de la Regla 1.31 (c)-(d) de la CFTC de la Comisión de Negociación de Futuros de Productos Básicos de Estados Unidos y la Serie de reglas 4510 de FINRA de la Autoridad de Reglamentación del Sector Financiero. De forma colectiva, estas reglas constituyen las directrices más prescriptivas a nivel global para que las instituciones financieras conserven registros.

Los detalles adicionales sobre cómo Microsoft 365 cumple con la regla 17a-4 de la SEC y otras reglamentaciones están disponibles en Evaluación de Office 365 Exchange Online, 17a-4(f) de la SEC/1.31 (c)-(d) de la CFTC, de Cohasset Associates.

Establecer zona de protección de datos confidenciales con barreras de información

Las instituciones financieras pueden estar sujetas a normas que impiden que los empleados de determinados roles puedan cambiar la información o colaborar con otros roles. Por ejemplo, FINRA ha publicado las reglas 2241 (b)(2)(G), 2242 (b)(2)(D), (b)(2)(H)(ii) y (b)(2)(H)(iii) que exigen a los miembros:

"(G) establecer barreras de la información u otros tipos de salvaguardia institucionales diseñados para asegurar que los analistas de investigación estén aislados de la revisión, presión o supervisión por parte de personas que participen en actividades de servicios bancarios de inversión u otras personas, incluyendo al personal de ventas y comercio, que podría verse sesgado en su juicio o supervisión"; y "(H) establecer barreras de información u otros tipos de salvaguardia institucional especialmente diseñados para asegurar que los analistas de investigación de deudas estén aislados de la revisión, la presión o la supervisión por parte de personas que participen en: (i) servicios bancarios de inversiones; (ii) transacciones importantes o actividades de ventas y transacciones; y (iii) otras personas cuyo juicio o supervisión podría verse sesgado.

Por último, estas reglas requieren que las organizaciones establezcan directivas e implementen barreras en la información entre las funciones involucradas en servicios bancarios, ventas o transacciones que intercambien la información y las comunicaciones con analistas.

Las barreras de la información ofrecen la capacidad para establecer límites éticos en el entorno de Office 365, lo que permite a los administradores de cumplimiento u otros administradores autorizados definir directivas que permiten o impiden las comunicaciones entre grupos de usuarios en Teams. Las barreras de información realizan comprobaciones en acciones específicas para evitar la comunicación no autorizada. Las barreras de información también pueden restringir la comunicación en escenarios en los que los equipos internos estén trabajando en fusiones o adquisiciones, en transacciones confidenciales o con información interna confidencial que deba tener una restricción severa.

Las barreras de la información son compatibles con conversaciones y archivos en Teams. Pueden impedir los siguientes tipos de acciones relacionadas con las comunicaciones para ayudar a cumplir con las normativas de FINRA:

  • Buscar un usuario
  • Agregar un miembro a un equipo o seguir participando con otro miembro de un equipo
  • Iniciar o continuar una sesión de chat
  • Iniciar o continuar un chat grupal
  • Invitar a alguien a unirse a una reunión
  • Compartir una pantalla
  • Realizar una llamada

Implementar control de supervisión

Las instituciones financieras suelen estar obligadas a establecer y mantener una función de supervisión en su organización con el fin de supervisar las actividades de los empleados y ayudar a TI a lograr el cumplimiento de las leyes de valores aplicables. En concreto, FINRA ha establecido estos requisitos de supervisión:

  • La Norma 3110 de FINRA (Supervisión) exige a las empresas tener procedimientos de supervisión escritos (WSP) para controlar las actividades de sus empleados y los tipos de empresas en las que se desempeña. Además de otros requisitos, los procedimientos deben incluir:

    • Supervisión de personal de supervisión
    • Revisión del banco de inversión, negocios de valores, comunicaciones internas e investigaciones internas de la empresa
    • Revisión de las transacciones para el intercambio de información privilegiada
    • Revisión de quejas y correspondencia

    Los procedimientos deben describir las personas responsables de las revisiones, la actividad de supervisión que realizará cada persona, la frecuencia de revisión y los tipos de documentación o comunicaciones que se revisan.

  • La Regla 3120 de FINRA (Sistema de control de supervisión) requiere que las empresas tengan un sistema de políticas y procedimientos de control de vigilancia (SCP) que valide sus procedimientos de supervisión escritos, según se define en la Regla 3110. Las empresas no solo deben tener WSP, sino que también directivas que prueben estos procedimientos de anualmente para validar su capacidad para asegurar el cumplimiento de las leyes y normativas de los valores aplicables. Se pueden usar metodologías basadas en riesgo y muestreo para definir el ámbito de las pruebas. Entre otros requisitos, esta regla requiere que las empresas proporcionen un informe anual a la dirección de la empresa que incluya un resumen de los resultados de las pruebas y cualquier excepción importante o procedimientos modificados en respuesta a los resultados de las pruebas.

Un trabajador de oficina ve un gráfico y tablas en una pantalla mientras otros trabajadores se encuentran en segundo plano.

Cumplimiento de las comunicaciones

El Cumplimiento de comunicaciones permite a las organizaciones preconfigurar directivas para capturar las comunicaciones de los empleados para la monitorización y la revisión de los supervisores autorizados. Las directivas en el cumplimiento de las comunicaciones pueden capturar correo electrónico y datos adjuntos internos y externos, chats de Teams y comunicaciones del canal, así como comunicaciones y datos adjuntos de chat de Skype Empresarial Online. Además, el cumplimiento de comunicaciones puede utilizar comunicaciones y datos de servicios de terceros (como Bloomberg, Thomson Reuters, LinkedIn, Twitter, Facebook, Box y Dropbox). La naturaleza global de las comunicaciones que se pueden capturar y revisar en una organización, así como las amplias condiciones con las que se pueden configurar las directivas, permiten que las directivas de cumplimiento de comunicación ayuden a que las instituciones financieras cumplan con la Regla 3110 de FINRA. Las directivas pueden configurarse para revisar las comunicaciones de usuarios o grupos. Los supervisores designados se pueden asignar a nivel de grupo o individual. Se pueden configurar condiciones exhaustivas para capturar las comunicaciones en función de los mensajes de entrada o salida, dominios, etiquetas de retención, palabras clave o expresiones, diccionarios de palabras clave, tipos de datos confidenciales, datos adjuntos, el tamaño del mensaje o el tamaño del archivo adjunto. Los revisores obtienen un panel en el que pueden revisar las comunicaciones marcadas, actuar en las comunicaciones que pueden infringir las directivas y designar los elementos marcados como resueltos. También pueden revisar los resultados de las revisiones y los elementos que se han resuelto anteriormente.

El cumplimiento de comunicaciones ofrece informes que permiten auditar actividades de revisión de directivas en función de la directiva y el revisor. Los informes están disponibles para validar que las directivas funcionan tal como se define en las directivas de supervisión escritas de la organización. También se pueden usar para identificar las comunicaciones que necesitan revisarse y aquellas que no cumplen con las directivas corporativas. Por último, todas las actividades relacionadas con la configuración de directivas y la revisión de las comunicaciones se auditan en el registro de auditoría unificado de Office 365. Como resultado, el cumplimiento de comunicaciones también ayuda a las instituciones financieras a cumplir con la regla 3120 de FINRA.

Además de cumplir con las reglas de FINRA, el cumplimiento de las comunicaciones permite a las organizaciones supervisar las comunicaciones de acuerdo con otros requisitos legales, directivas corporativas y estándares éticos. El cumplimiento de las comunicaciones ofrece clasificadores integrados de amenazas, acoso y blasfemias que ayudan a reducir los falsos positivos al revisar las comunicaciones, lo que permite ahorrar tiempo a los revisores durante el proceso de investigación y corrección. También permite a las organizaciones reducir los riesgos al supervisar las comunicaciones cuando se producen cambios de confidencialidad, como fusiones y adquisiciones o cambios de liderazgo.

Un trabajador de la información se centra en una pantalla.

Protegerse contra la exfiltración de datos y los riesgos internos

Un peligro común para las empresas es la exfiltración de datos o el acto de extraer datos de una organización. Este riesgo puede suponer un problema importante para las instituciones financieras debido al carácter confidencial de la información a la que se puede acceder a diario. Con la creciente cantidad de canales de comunicación disponibles y la proliferación de herramientas para mover los datos, por lo general se requieren funcionalidades avanzadas para mitigar el riesgo de pérdida de datos, infracciones de directivas y riesgos internos.

Administración de riesgos internos

Permitir que los empleados utilicen herramientas de colaboración en línea a las que se puede tener acceso desde cualquier lugar, supone un riesgo inherente para la organización. Los empleados pueden filtrar datos, de forma involuntaria o malintencionada, a atacantes o competidores. O bien, pueden exfiltrar datos para uso personal o llevarlos con ellos a un futuro empleador. Estos escenarios presentan serios riesgos para las instituciones de servicios financieros tanto desde el punto de vista de seguridad como del cumplimiento. Identificar estos riesgos cuando se producen y mitigarlos rápidamente requiere herramientas inteligentes para la recopilación de datos y colaboración entre departamentos como los departamentos legal, de seguridad de la información y de Recursos Humanos.

Microsoft 365 presentó recientemente una solución de administración de riesgos internos que correlaciona las señales entre los servicios de Microsoft 365 y usa modelos de aprendizaje automático para analizar el comportamiento de los usuarios y, así, detectar patrones ocultos y signos de riesgo interno. Esta herramienta permite la colaboración entre operaciones de seguridad, investigadores internos y RR. HH., de modo que puedan corregir fácilmente los casos basándose en flujos de trabajo predeterminados.

Por ejemplo, la administración de riesgos internos puede correlacionar las señales del escritorio de Windows 10 de un usuario (como la copia de archivos a una unidad USB o el envío de un correo electrónico a una cuenta de correo electrónico personal) con actividades de servicios en línea (como el correo electrónico de Office 365, SharePoint Online, Microsoft Teams o OneDrive para la Empresa) para identificar los patrones de filtración de datos. También puede correlacionar estas actividades con los empleados que abandonan una organización, que es un patrón común de exfiltración de datos. Puede supervisar varias actividades y comportamientos a lo largo del tiempo. Cuando surgen patrones comunes, se pueden generar alertas y ayudar a los investigadores a centrarse en las actividades clave para comprobar la violación de la directiva con un alto grado de confianza. La administración de riesgos internos puede anonimizar los datos de los investigadores para ayudar a cumplir con las normas de privacidad de datos, a la vez que se siguen realizando actividades clave que les ayudan a realizar investigaciones de forma eficaz. Permite que los investigadores empaqueten y envíen con seguridad datos de actividad clave a los departamentos de RR. HH. y jurídicos, siguiendo los flujos de trabajo de escalamiento comunes para establecer casos para acciones correctivas.

La administración de riesgos internos incrementa significativamente las funciones de las organizaciones para supervisar e investigar los riesgos internos, a la vez que permite a las organizaciones seguir satisfaciendo las normativas de privacidad de datos y seguir las rutas de escalación establecidas cuando los casos requieren una acción de nivel superior. Para más información sobre la administración de riesgos internos, vea Puntos de riesgo modernos y flujo de trabajo en Administración de riesgos internos.

Un trabajador de un centro de llamadas en un cubículo escribe mientras ve una pantalla.

Restricciones de espacio empresarial

Las organizaciones que trabajan con datos confidenciales y ponen énfasis estricto en la seguridad suelen querer controlar los recursos en línea a los que pueden acceder los usuarios. Al mismo tiempo, quieren permitir una colaboración segura a través de servicios en línea como Office 365. Como consecuencia, el control de los entornos de Office 365 a los que los usuarios pueden tener acceso se convierte en un reto, ya que los entornos de Office 365 no corporativos se pueden usar para la exfiltración de datos de dispositivos corporativos, ya sea malintencionadamente o por error. Tradicionalmente, las organizaciones restringen los dominios o las direcciones IP a los que los usuarios pueden acceder desde dispositivos corporativos. Pero esto no funciona en un mundo que prioriza la nube, donde los usuarios tienen que tener acceso a los servicios de Office 365 de forma legítima.

Microsoft 365 proporciona a las restricciones del espacio empresarial la capacidad de afrontar este desafío. Las restricciones de espacio empresarial pueden configurarse para restringir el acceso a los espacios empresariales externos de Office 365 que usan identidades malintencionadas (identidades que no forman parte de su directorio corporativo). En la actualidad, las restricciones de espacios empresariales se aplican en todo el espacio empresarial, lo que permite el acceso solo a esos espacios empresariales que aparecen en la lista que configure. Microsoft continúa desarrollando esta solución para incrementar la granularidad del control y mejorar las protecciones que proporciona.

GRÁFICO.

Conclusión

Microsoft 365 y Teams proporcionan una solución completa e integrada para las empresas de servicios financieros, lo que permite funciones sencillas y eficientes de colaboración y comunicación basadas en la nube en toda la empresa. Mediante el uso de las tecnologías de seguridad y cumplimiento de Microsoft 365, las instituciones pueden operar de forma más segura y compatible con efectivos controles de seguridad para proteger los datos, las identidades, los dispositivos y las aplicaciones frente a diversos riesgos operativos, incluido riesgos ciberseguridad e internos. Microsoft 365 proporciona una plataforma fundamentalmente segura en la que las organizaciones de servicios financieros pueden lograr más a la vez que protege la empresa, los empleados y los clientes.