Consideraciones clave de cumplimiento y seguridad para la Industria energética

  • Artículo
  • Tiempo de lectura: 20 minutos

Metáfora ilustrativa de una visión global de varias industrias que utilizan la nube.

Introducción

La industria energética proporciona a la sociedad combustible e infraestructura crítica de la que la gente depende cada día. A fin de garantizar la fiabilidad de la infraestructura relacionada con los sistemas de energía masiva, las autoridades reguladoras imponen normas estrictas a las organizaciones de la industria energética. Estas normas reglamentarias se refieren no sólo a la generación y transmisión de energía, sino también a los datos y las comunicaciones que son fundamentales para las operaciones cotidianas de las empresas de energía.

Las organizaciones de la industria energética trabajan e intercambian numerosos tipos de información como parte de sus operaciones regulares, incluyendo, datos de clientes, documentación de diseño de ingeniería de capital, mapas de localización de recursos, artefactos de gestión de proyectos, métricas de rendimiento, informes de servicios de campo y datos medioambientales. A medida que estas organizaciones buscan transformar sus operaciones y sistemas de colaboración en plataformas digitales modernas, buscan a Microsoft como un proveedor de servicios en la nube (CSP) de confianza y a Microsoft 365 como su mejor plataforma de colaboración. Dado que Microsoft 365 está esencialmente construido sobre la plataforma Microsoft Azure, las organizaciones deben examinar ambas plataformas a medida que consideran su cumplimiento y los controles de seguridad al pasar a la Nube.

En América del Norte, la Corporación de Confiabilidad Eléctrica de América del Norte (NERC) hace cumplir las normas de confiabilidad que se conocen como NERC Normas de protección de infraestructuras críticas (CIP). La NERC está sujeta a la supervisión de la Comisión Federal de Regulación de la Energía de los Estados Unidos (FERC) y de las autoridades gubernamentales de Canadá. Todos los propietarios, operadores y usuarios de sistemas de energía masiva deben registrarse en el NERC y deben cumplir con las normas CIP del NERC. Los proveedores de servicios en la nube y los vendedores de terceros como Microsoft no están sujetos a las normas CIP del NERC; sin embargo, las normas CIP incluyen objetivos que deben considerarse cuando las Entidades registradas utilizan vendedores en la operación del Sistemas de generación eléctrica masiva (BES). Los clientes de Microsoft que operan los Sistemas de generación eléctrica masiva son totalmente responsables de garantizar su propio cumplimiento con los estándares de NERC CIP.

Para obtener información sobre los servicios de nube de Microsoft y el NERC, consulte los siguientes recursos:

Entre las normas reglamentarias que se recomiendan para su examen por las organizaciones de energía se incluye el FedRAMP (Programa Federal de Gestión de Riesgos y Autorizaciones de los Estados Unidos), que se basa y aumenta en la norma NIST SP 800-53 Rev 4 (Instituto Nacional de Normas y Tecnología).

  • A el Microsoft Office 365 y Office 365 del Gobierno de los Estados Unidos se le ha sido concedido una FedRAMP ATO (Autorización para Operar) en el Nivel de Impacto Moderado.
  • Se ha concedido para Azure y Azure Government una FedRAMP Alta P-ATO (Autorización Provisional para Operar), que representa el nivel más alto de autorización de la FedRAMP.

Para obtener información sobre los servicios de nube de Microsoft y FedRAMP, consulte los siguientes recursos:

Estos logros son significativos para la industria de la energía porque una comparación entre el conjunto de control de FedRAMP Moderado y los requisitos CIP de NERC muestra que los controles de FedRAMP Moderado abarcan todos los requisitos CIP de NERC. Para obtener más información, Microsoft ha desarrollado una Guía de implementación de la nube para las auditorías del NERC que incluye un mapeo de control entre el conjunto actual de normas NERC CIP y el conjunto de control FedRAMP Moderado como se documenta en NIST 800-53 Rev 4.

A medida que la industria energética busca modernizar sus plataformas de colaboración, se requiere una cuidadosa consideración para la configuración y el despliegue de las herramientas de colaboración y los controles de seguridad, incluyendo:

  • Evaluación de los escenarios comunes de colaboración
  • Acceso a los datos que necesitan los empleados para ser productivos
  • Requisitos de cumplimiento normativo
  • Riesgos asociados a los datos, los clientes y la organización

Microsoft 365 es un entorno moderno de nube para el lugar de trabajo que puede proporcionar una colaboración segura y flexible en toda la empresa, así como controles y aplicación de directivas para adherirse a los marcos de cumplimiento normativo más estrictos. A través de los siguientes temas, este documento explorará cómo la plataforma Microsoft 365 ayuda a la industria de la energía a pasar a una plataforma de colaboración moderna, a la vez que ayuda a mantener los datos y los sistemas seguros y en conformidad con las regulaciones:

  • Proporcionar una plataforma completa de colaboración con Microsoft Teams
  • Proporcionar una colaboración segura y conforme a las normas en la industria energética
  • Identificar los datos confidenciales y prevenir la pérdida de datos
  • Gobernar los datos mediante la gestión eficaz de los registros
  • Cumplir con los reglamentos de la FERC y la FTC para los mercados de energía
  • Proteger contra la filtración de datos y el riesgo interno

Como partner de Microsoft, Protiviti contribuyó a este artículo y proporcionó comentarios sobre los materiales.

Proporcionar una plataforma completa de colaboración con Microsoft Teams

La colaboración suele requerir múltiples formas de comunicación, la capacidad de almacenar y acceder a documentos y la posibilidad de integrar otras aplicaciones según sea necesario. Tanto si se trata de empresas globales como de empresas locales, los empleados del sector de la energía suelen necesitar colaborar y comunicarse con los miembros de otros departamentos o entre equipos. También suelen necesitar comunicarse con socios, proveedores o clientes externos. En consecuencia, no se suele recomendar la utilización de sistemas que creen silos o dificulten el intercambio de información. Dicho esto, queremos asegurarnos de que los empleados compartan la información de forma segura y de acuerdo con la directiva.

Proporcionar a los empleados una plataforma de colaboración moderna basada en la nube, que les permita elegir e integrar fácilmente las herramientas que los hagan más productivos, los capacite para encontrar las mejores formas de trabajar y colaborar. El uso de Microsoft Teams, junto con los controles de seguridad y las directivas de gobierno para proteger la organización, puede ayudar a su personal a colaborar fácilmente en la nube.

Microsoft Teams proporciona un centro de colaboración para su organización, que reúne rápidamente a las personas para que trabajen eficazmente y colaboren con otros miembros del equipo en iniciativas o proyectos comunes. Permite a los miembros del equipo llevar a cabo conversaciones, colaborar y ser coautores de documentos. Permite a la gente almacenar y compartir archivos con los miembros del equipo o con aquellos fuera del equipo. También les permite celebrar reuniones en directo con voz y vídeo integrados de la empresa. Microsoft Teams puede personalizarse con un fácil acceso a las aplicaciones de Microsoft como Planner, Dynamics 365, Power BI y otras aplicaciones de línea de negocio de terceros. Los equipos simplifican el acceso a los servicios de Office 365 y a las aplicaciones de terceros para centralizar las necesidades de colaboración y comunicación de la organización.

Cada Microsoft Teams está respaldado por un grupo de Office 365. El grupo Office 365 es considerado el proveedor de numerosos servicios de Office 365, incluyendo Microsoft Teams. Como tal, los Grupos de Office 365 se utilizan para controlar de manera segura qué usuarios se consideran miembros y cuáles son los propietarios del grupo, restringiendo así los miembros y propietarios del equipo. Esto nos permite controlar fácilmente qué usuarios tienen acceso a diversas capacidades dentro de los equipos. En consecuencia, los miembros y propietarios del equipo sólo pueden acceder a las funciones que se les permite utilizar.

Un escenario común en el que Microsoft Teams puede beneficiar a las organizaciones de energía es la colaboración con contratistas o empresas externas como parte de un programa de servicio de campo como la gestión de la vegetación. Los contratistas suelen ser solicitadas para manejar la vegetación o quitar árboles alrededor de las instalaciones de sistemas de energía, y a menudo necesitan recibir instrucciones de trabajo, comunicarse con los despachadores y otro personal de servicio sobre el terreno, tomar y compartir fotografías de los alrededores externos, firmar cuando el trabajo se ha completado y compartir los datos con la oficina central. Tradicionalmente, estos programas se han ejecutado usando teléfono, texto, órdenes de trabajo en papel o aplicaciones personalizadas. Esto puede presentar numerosos desafíos, incluyendo:

  • Los procesos son manuales o analógicos, lo que hace que las métricas sean difíciles de rastrear
  • Las comunicaciones no se capturan todas en un solo lugar
  • Los datos se almacenan en silos y no necesariamente se comparten con todos los empleados que los necesitan.
  • El trabajo puede no realizarse de manera consistente o eficiente
  • Las aplicaciones personalizadas no están integradas con las herramientas de colaboración, lo que dificulta la extracción y el intercambio de datos o la medición del rendimiento

Microsoft Teams puede proporcionar un espacio de colaboración fácil de usar para compartir información de forma segura y llevar a cabo conversaciones entre los miembros del equipo y los contratistas externos del servicio de campo. Los equipos pueden utilizarse para llevar a cabo reuniones, realizar llamadas de voz, almacenar y compartir de forma centralizada órdenes de trabajo, recopilar datos de campo, cargar fotos, integrarse con soluciones de procesos empresariales (construidas con Power Apps y Power Automate) e integrar aplicaciones de línea de negocio. Este tipo de datos del servicio sobre el terreno puede considerarse de bajo impacto; sin embargo, se puede ganar en eficiencia centralizando las comunicaciones y los datos de acceso entre los empleados y el personal del servicio sobre el terreno en estos escenarios.

Otro ejemplo en el que Microsoft Teams puede beneficiar a la industria de la energía es cuando el personal de servicio de campo está trabajando para restaurar el servicio durante una interrupción. El personal sobre el terreno suele necesitar un acceso rápido a los datos esquemáticos de las subestaciones, las estaciones generadoras o los planos de los bienes sobre el terreno. Estos datos se consideran de alto impacto y deben ser protegidos de acuerdo con las regulaciones del NERC CIP. El trabajo del servicio de campo durante las interrupciones requiere la comunicación entre el personal de campo y los empleados de la oficina, y a su vez con los clientes finales. La centralización de las comunicaciones y el intercambio de datos en Microsoft Teams proporciona al personal sobre el terreno un método fácil tanto para acceder a los datos críticos como para comunicar la información o el estado a la oficina central. Por ejemplo, Microsoft Teams permite al personal de campo unirse a las llamadas de conferencia mientras se dirigen a una interrupción. El personal sobre el terreno también puede tomar fotos o vídeos de su entorno y compartirlos con la oficina central, lo que es especialmente importante cuando el equipamiento sobre el terreno no coincide con los esquemas. Los datos y el estado recopilados en el campo pueden entonces ser llevados a la superficie a los empleados de oficina y a los líderes a través de herramientas de visualización de datos como el Power BI. En última instancia, Microsoft Teams puede hacer que el personal de campo sea más eficiente y productivo en estas situaciones críticas.

Teams: mejorar la colaboración y reducir el riesgo de cumplimiento

Microsoft 365 proporciona capacidades de directiva común para Microsoft Teams a través de su uso de los Grupos de Office 365 como proveedor de membresía subyacente. Estas directivas pueden contribuir a mejorar la colaboración y ayudar a satisfacer las necesidades de cumplimiento.

Directivas de nombramiento del Grupo Office 365 ayudan a asegurar que los Grupos de Office 365, y por lo tanto Microsoft Teams, sean nombrados de acuerdo a la directiva corporativa. El nombre de un equipo puede presentar desafíos si no se nombra adecuadamente, por ejemplo, es posible que los empleados no sepan en qué equipos trabajar o compartir información si se les nombra incorrectamente. Las directivas de nombramiento de grupo pueden hacer cumplir una buena higiene y también pueden evitar el uso de palabras específicas, como palabras reservadas o terminología inapropiada.

Las directivas de caducidad de grupos de Office 365 ayudan a garantizar que los Grupos de Office 365, y por tanto Microsoft Teams, no se conserven durante más tiempo del requerido por la organización. Esta capacidad ayuda a prevenir dos problemas clave de administración de la información:

  • La proliferación de Microsoft Teams que no son necesarios ni utilizados
  • La retención excesiva de datos que ya no son necesarios para la organización

Los administradores pueden especificar un período de expiración en días para Grupos de Office 365, como 90, 180 o 365 días. Si un servicio respaldado por un Grupo de Office 365 está inactivo durante el período de expiración, se notificará a los propietarios del grupo y, si no se realiza ninguna acción, se eliminarán el Grupo de Office 365 y todos sus servicios relacionados, incluido Microsoft Teams.

La retención excesiva de datos en Microsoft Teams puede plantear riesgos de litigio para las organizaciones, y el uso de directivas de caducidad es un método recomendado para proteger a la organización. En combinación con las etiquetas y directivas de retención incorporadas, Microsoft 365 ayuda a garantizar que las organizaciones sólo retengan los datos necesarios para cumplir con las obligaciones de cumplimiento normativo.

Teams: integrar requisitos personalizados con facilidad

Microsoft Teams permite la creación de equipos de autoservicio por defecto. Sin embargo, muchas organizaciones reguladas desean controlar y comprender qué espacios de colaboración están siendo utilizados actualmente por los empleados, qué espacios contienen datos confidenciales y quiénes son los propietarios de los espacios en toda su organización. Para facilitar estos controles, Microsoft 365 permite a las organizaciones desactivar la creación de Teams de autoservicio, y mediante el uso de las herramientas integradas de automatización de procesos empresariales de Microsoft 365, como Power Apps y Power Automate, permite a las organizaciones crear procesos sencillos para solicitar un nuevo equipo. Completando un formulario fácil de usar, un administrador puede solicitar automáticamente una aprobación. Una vez aprobado, el equipo puede ser aprovisionado automáticamente y se envía al solicitante un enlace a su nuevo equipo. Al establecer esos procesos, las organizaciones pueden también integrar requisitos personalizados para facilitar otros procesos comerciales.

Proporcionar una colaboración segura y conforme a las normas en la industria energética

Como se ha mencionado, Microsoft Office 365 y Office 365 del Gobierno de los Estados Unidos han alcanzado cada uno el FedRAMP ATO en el Nivel de Impacto Moderado, y Azure y Azure Government han alcanzado un FedRAMP Alto P-ATO que representa el nivel más alto de autorización del FedRAMP. Además, el conjunto de control moderado de la FedRAMP abarca todos los requisitos del CIP del NERC, lo que permite a las organizaciones de la industria energética ("entidades registradas") aprovechar las autorizaciones existentes de la FedRAMP como un enfoque escalable y eficiente para abordar los requisitos de auditoría del NERC. Sin embargo, es importante señalar que el FedRAMP no es una certificación puntual, sino un programa de evaluación y autorización que incluye disposiciones para laauditoría continua. Aunque esta disposición se aplica principalmente al CSP, los clientes de Microsoft que operan los Sistemas de generación eléctrica masiva son responsables de asegurar su propio cumplimiento de las normas CIP del NERC, y por lo general, es una práctica recomendada vigilar continuamente la postura de cumplimiento de la organización para ayudar a asegurar el cumplimiento continuo de los reglamentos.

Microsoft proporciona una herramienta clave que ayuda a controlar el cumplimiento de las normas a lo largo del tiempo:

  • Administrador de cumplimiento de Microsoft ayuda a la organización a comprender su actual postura de cumplimiento y las medidas que puede adoptar para ayudar a mejorar dicha postura. El Administrador de cumplimiento calcula una puntuación basada en el riesgo que mide el progreso en la realización de acciones que ayuden a reducir los riesgos relacionados con la protección de datos y las normas reglamentarias. El Administrador de cumplimiento proporciona una puntuación inicial basada en la línea de base de protección de datos de Microsoft 365. Esta línea de base es un conjunto de controles que incluye reglamentos y normas comunes de la industria. Si bien esta puntuación es un buen punto de partida, el Administrador de cumplimiento resulta más eficaz una vez que una organización agrega evaluaciones que son más relevantes para su industria. El Administrador de cumplimiento admite una serie de normas reglamentarias que son relevantes para las obligaciones de cumplimiento NERC CIP, entre ellas el Conjunto de control moderado FedRAMP, NIST 800-53 Rev. 4 yAICPA SOC 2. Las organizaciones de la industria energética también pueden crear o importar conjuntos de control aduanero si es necesario.

Las capacidades basadas en el flujo de trabajo incorporadas en el Administrador de cumplimiento permiten a las organizaciones de energía transformar y digitalizar sus procesos de cumplimiento normativo. Tradicionalmente, los retos a los que se enfrentan los equipos de cumplimiento en la industria energética son:

  • No se informa ni se hace un seguimiento coherente de los progresos realizados en las medidas de reparación
  • Procesos ineficientes o ineficaces
  • Recursos insuficientes o falta de propiedad
  • La falta de información en tiempo real y el error humano

Al automatizar los aspectos de los procesos de cumplimiento normativo mediante el uso del Administrador de cumplimiento, las organizaciones pueden reducir la carga administrativa de las funciones jurídicas y de cumplimiento. Este instrumento puede ayudar a hacer frente a esos problemas proporcionando información más actualizada sobre las medidas de reparación, una presentación de informes más coherente y una propiedad documentada de las medidas que esté vinculada a la aplicación de las mismas. Las organizaciones pueden hacer un seguimiento automático de las medidas de reparación a lo largo del tiempo y ver el aumento de la eficiencia general. A su vez, esto puede permitir al personal concentrar más esfuerzos en la obtención de conocimientos y el desarrollo de estrategias para ayudar a navegar el riesgo de manera más eficaz.

El Administrador de cumplimiento no expresa una medida absoluta de la conformidad de la organización con ninguna norma o reglamento en particular. Expresa el grado en el que se han adoptado controles, lo cual puede reducir los riesgos de los datos personales y de la privacidad individual. Las recomendaciones del Administrador de cumplimiento no deberán interpretarse como una garantía de cumplimiento. Las medidas para los clientes que figuran en el Administrador de cumplimiento son recomendaciones; corresponde a cada organización evaluar la eficacia de esas recomendaciones en su respectivo entorno reglamentario antes de su aplicación. Las recomendaciones incluidas en el Administrador de cumplimiento no deberán interpretarse como una garantía de cumplimiento.

Muchos de los controles relacionados con la seguridad cibernética están incluidos en la Conjunto de control moderado FedRAMP ynormas NERC CIP. Sin embargo, los controles clave relacionados con la plataforma Microsoft 365 incluyen controles de administración de seguridad (CIP-003-6), administración de cuentas y acceso/revocación de acceso (CIP-004-6), perímetro de seguridad electrónica (CIP-005-5), supervisión de eventos de seguridad y respuesta a incidentes (CIP-008-5). Las siguientes funciones fundamentales de Microsoft 365 ayudan a abordar los riesgos y requisitos incluidos en estos temas.

Identidades de usuario seguras y control de acceso

La protección del acceso a los documentos y aplicaciones comienza con una fuerte seguridad de las identidades de los usuarios. Como fundamento, esto requiere proporcionar una plataforma segura para que la empresa almacene y administre las identidades y proporcionar un medio de autenticación fiable. También requiere controlar dinámicamente el acceso a estas aplicaciones. A medida que los empleados trabajan, pueden pasar de una aplicación a otra o a través de múltiples lugares y dispositivos. Como resultado, el acceso a los datos debe ser autenticado en cada paso del camino. Además, el proceso de autenticación debe soportar un protocolo fuerte y múltiples factores de autenticación (código de paso de un SMS, aplicación de autenticación, certificado, etc.) para que podamos asegurarnos de que las identidades no se han visto comprometidas. Por último, la aplicación de directivas de acceso basadas en los riesgos es una recomendación fundamental para proteger los datos y las aplicaciones de las amenazas internas, las fugas de datos involuntarias y la filtración de datos.

Microsoft 365 proporciona una plataforma de identificación segura con Azure Active Directory (Azure AD) donde las identidades se almacenan de forma centralizada y se administran de forma segura. Azure Active Directory, junto con una serie de servicios de seguridad Microsoft 365 relacionados, constituye la base para proporcionar a los empleados el acceso que necesitan para trabajar de forma segura y, al mismo tiempo, proteger a la organización de las amenazas.

La autenticación multifactor de Microsoft Azure AD (MFA) está integrada en la plataforma y proporciona una capa adicional de protección para ayudar a garantizar que los usuarios sean quienes dicen ser cuando acceden a datos y aplicaciones sensibles. Azure MFA requiere al menos dos formas de autenticación, como una contraseña y un dispositivo móvil conocido. Admite varias opciones de autenticación de segundo factor, entre ellas: la aplicación Microsoft Authenticator, un código de acceso de un solo uso que se entrega por SMS, la recepción de una llamada telefónica en la que el usuario debe introducir un PIN y las tarjetas inteligentes o la autenticación basada en certificados. En caso de que una contraseña se vea comprometida, un potencial hacker todavía necesita el teléfono del usuario para acceder a los datos de la organización. Además, Microsoft 365 utiliza la Autenticación moderna como protocolo clave, aportando la misma experiencia de autenticación fuerte de los navegadores web a las herramientas de colaboración, incluyendo las aplicaciones de Microsoft Outlook y Microsoft Office.

Acceso condicional de Azure AD proporciona una solución sólida para automatizar las decisiones de control de acceso y aplicar directivas para proteger los activos de la empresa. Un ejemplo común es cuando un empleado desea acceder a una aplicación que contiene datos sensibles del cliente, y se le pide automáticamente que realice una autenticación multifactorial para acceder específicamente a esa aplicación. Azure Conditional Access reúne las señales de la solicitud de acceso de un usuario, como las propiedades del usuario, su dispositivo, ubicación, red y la aplicación o depósito al que está intentando acceder. Puede evaluar dinámicamente cada intento de acceso a la aplicación contra las directivas configuradas. Si el riesgo del usuario o del dispositivo es elevado, o si no se cumplen otras condiciones, Azure AD puede hacer cumplir automáticamente directivas tales como requerir dinámicamente el MFA, restringir o incluso bloquear el acceso. Esto ayuda a garantizar la protección de los activos sensibles en entornos dinámicamente cambiantes.

Microsoft Defender para Office 365 ofrece un servicio integrado para proteger a las organizaciones de los enlaces maliciosos y el malware que se envía por correo electrónico. Uno de los vectores de ataque más comunes que afectan a los usuarios hoy en día son los ataques de suplantación de identidad por correo electrónico. Estos ataques pueden ser cuidadosamente dirigidos a empleados específicos de alto perfil y pueden ser elaborados para ser muy convincentes. Normalmente contienen alguna llamada a la acción que requiere que el usuario haga clic en un enlace malicioso o abra un archivo adjunto con malware. Una vez infectado, un atacante puede robar las credenciales de un usuario y moverse lateralmente a través de la organización. También pueden filtrar correos electrónicos y datos en busca de información sensible. Microsoft Defender para Office 365 evalúa los enlaces en el momento de hacer clic en los sitios potencialmente maliciosos y los bloquea. Los archivos adjuntos de los correos electrónicos se abren en un entorno protegido antes de entregarlos al buzón del usuario.

Microsoft Defender for Cloud Apps proporciona a las organizaciones la capacidad de hacer cumplir las directivas a un nivel detallado y de detectar anomalías de comportamiento basadas en perfiles de usuario individuales que se definen automáticamente mediante el aprendizaje automático. Defender for Cloud Apps puede basarse en las directivas de Azure Conditional Access, para proteger aún más los activos sensibles evaluando señales adicionales relacionadas con el comportamiento del usuario y las propiedades de los documentos a los que se accede. Con el tiempo, Defender for Cloud Apps aprenderá lo que se considera un comportamiento típico de cada empleado, con respecto a los datos a los que acceden y las aplicaciones que utilizan. Basándose en los patrones de comportamiento aprendidos, las directivas pueden hacer cumplir automáticamente los controles de seguridad si un empleado se sale de ese perfil de comportamiento. Por ejemplo, si un empleado suele acceder a una aplicación de contabilidad de 9 de la mañana a 5 de la tarde, de lunes a viernes, pero ese mismo usuario comienza a acceder a esa aplicación en gran medida un domingo por la tarde, Defender for Cloud Apps puede hacer cumplir dinámicamente las directivas para exigir al usuario que se vuelva a autentificar. Esto ayuda a asegurar que las credenciales no se han visto comprometidas. Además, Defender for Cloud Apps puede ayudar a descubrir e identificar Shadow IT en la organización, ayudando a los equipos de InfoSec a asegurarse de que los empleados están utilizando herramientas autorizadas cuando trabajan con datos confidenciales. Por último, Defender for Cloud Apps puede proteger datos confidenciales en cualquier lugar de la nube, incluso fuera de la plataforma de Microsoft 365. Permite a las organizaciones sancionar (o no sancionar) determinadas aplicaciones externas de la Nube, controlando el acceso y la vigilancia cuando los usuarios trabajan en esas aplicaciones.

Azure Active Directory, y los servicios de seguridad relacionados de Microsoft 365, proporcionan la base sobre la que se puede desplegar una moderna plataforma de colaboración en la nube para las organizaciones del sector energético, de modo que el acceso a los datos y las aplicaciones pueda estar fuertemente asegurado y se puedan cumplir las obligaciones de cumplimiento normativo. En resumen, estas herramientas proporcionan las siguientes capacidades clave:

  • Almacenar centralmente y administrar de forma segura las identidades de los usuarios
  • Utilizar un protocolo de autenticación fuerte, incluida la autenticación multifactorial, para autenticar a los usuarios en las solicitudes de acceso y proporcionar una experiencia de autenticación coherente y sólida en cualquier aplicación
  • Validar dinámicamente las directivas sobre todas las solicitudes de acceso, incorporando múltiples señales en el proceso de toma de decisión de directivas, incluyendo la identidad, la pertenencia a un usuario o grupo, la solicitud, el dispositivo, la red, la ubicación y la puntuación de riesgo en tiempo real
  • Validar las directivas pormenorizada basadas en el comportamiento del usuario y las propiedades de los archivos y aplicar dinámicamente medidas de seguridad adicionales cuando sea necesario
  • Identificar shadow IT en la organización y permitir que los equipos de InfoSec sancionen o bloqueen las aplicaciones en la nube
  • Monitorear y controlar el acceso a las aplicaciones en la nube de Microsoft y de otros fabricantes.
  • Proteger pro activamente contra el suplantación de identidad de correo electrónico y los ataques de ransomware

Identificar los datos confidenciales y prevenir la pérdida de datos

El Conjunto de control moderado FedRAMP y las normas CIP del NERC también incluyen la protección de la información como un requisito de control clave (CIP-011-2). Estos requisitos tratan específicamente la necesidad de identificar la información relacionada con la información del sistema BES (Sistemas de generación eléctrica masiva), la protección y el tratamiento seguro de esa información, incluidos el almacenamiento, el tránsito y el uso. Entre los ejemplos concretos de información del Sistema cibernético BES pueden figurar procedimientos de seguridad o información de seguridad sobre los sistemas que son fundamentales para el funcionamiento del sistema eléctrico a gran escala (Sistemas cibernéticos BES, Sistemas de control de acceso físico y Sistemas de control de acceso electrónico o de vigilancia) que no están a disposición del público y que podrían utilizarse para permitir el acceso o la distribución no autorizados. Sin embargo, existe la misma necesidad de identificar y proteger la información de los clientes que es fundamental para las operaciones cotidianas de las organizaciones de energía.

Microsoft 365 permite que los datos sensibles sean identificados y protegidos dentro de la organización a través de una combinación de poderosas capacidades, incluyendo:

  • Microsoft Information Protection (MIP) tanto para la clasificación basada en el usuario como para la clasificación automatizada de datos confidenciales

  • Prevención de pérdida de datos (DLP) de Office 365 para la identificación automatizada de datos sensibles utilizando tipos de datos confidenciales (es decir, expresiones regulares) y palabras clave, y la aplicación de directivas

Microsoft Information Protection (MIP) permite a los empleados clasificar documentos y correos electrónicos con etiquetas de confidencialidad. Los usuarios pueden aplicar manualmente etiquetas de confidencialidad a los documentos de las aplicaciones de Microsoft Office y a los correos electrónicos de Microsoft Outlook. Las etiquetas de sensibilidad pueden a su vez, aplicar automáticamente marcas en los documentos, protección a través de la encriptación, y hacer cumplir la administración de derechos. También pueden aplicarse automáticamente, configurando directivas que utilicen palabras clave y tipos de datos sensibles (números de tarjetas de crédito, números de seguridad social, números de identidad, etc.) para encontrar y clasificar automáticamente los datos confidenciales.

Además, Microsoft proporciona clasificadores que se pueden entrenar y que utilizan modelos de aprendizaje automático para identificar datos confidenciales basados en el contenido, en lugar de simplemente mediante la comparación de patrones o por los elementos del contenido. Un clasificador aprende cómo identificar un tipo de contenido al revisar numerosos ejemplos del contenido que se va a clasificar. La formación de un clasificador comienza por proporcionarle ejemplos de contenido dentro de una categoría particular. Una vez que procesa esos ejemplos, el modelo se prueba proporcionándole una mezcla de ejemplos coincidentes y no coincidentes. El clasificador predice entonces si un ejemplo dado entra en la categoría o no. Después, una persona confirma los resultados, ordenando los positivos, negativos, falsos positivos y falsos negativos para ayudar a aumentar la precisión de las predicciones del clasificador. Cuando se publica el clasificador capacitado, éste procesa el contenido en SharePoint Online, Exchange Online y OneDrive para la Empresa, y clasifica automáticamente el contenido.

La aplicación de etiquetas de confidencialidad a los documentos y correos electrónicos introducirá metadatos en el objeto que identifica la confidencialidad elegida, permitiendo así que la confidencialidad viaje con los datos. Como resultado, incluso si un documento etiquetado se almacena en el escritorio de un usuario o dentro de un sistema in situ, sigue estando protegido. Esto, a su vez, permite que otras soluciones de Microsoft 365, como Microsoft Defender for Cloud Apps o dispositivos perimetrales de red, identifiquen datos confidenciales y apliquen automáticamente controles de seguridad. Las etiquetas de confidencialidad tienen el beneficio agregado de educar a los empleados en cuanto a qué datos dentro de una organización se consideran sensibles y cómo manejar esos datos en caso de que los reciban.

Prevención de pérdida de datos (DLP) de Office 365 identificará automáticamente los documentos, correos electrónicos y conversaciones que contengan datos confidenciales, realizando un escaneo en busca de tipos de datos confidenciales y luego aplicando la directiva sobre esos objetos. Las directivas se aplican a los documentos dentro de SharePoint y OneDrive para la Empresa. También se aplican cuando los usuarios envían un correo electrónico, y en Microsoft Teams dentro del chat y las conversaciones de canal. Las directivas pueden configurarse para buscar palabras clave, tipos de datos confidenciales, etiquetas de retención y si los datos se comparten dentro o fuera de la organización. Se proporcionan controles para ayudar a las organizaciones a perfeccionar las directivas de DLP para evitar de una mejor forma los falsos positivos. Cuando se encuentran datos confidenciales, es posible que se muestren consejos de directivas personalizables a los usuarios dentro de las aplicaciones de Microsoft 365, informándoles de que su contenido contiene datos confidenciales y/o proponiendo medidas correctivas. Las directivas también pueden impedir que los usuarios accedan a documentos, compartan documentos o envíen correos electrónicos que contengan ciertos tipos de datos sensibles. Microsoft 365 es compatible con más de 100 tipos de datos confidenciales incorporados, y las organizaciones pueden configurar tipos de datos confidenciales personalizados para cumplir sus directivas.

La implementación de directivas de MIP y DLP en las organizaciones requiere una planificación cuidadosa, y por lo general, un programa de educación del usuario para que los empleados comprendan el esquema de clasificación de datos de la organización y qué tipos de datos se consideran confidenciales. Proporcionando a los empleados herramientas y programas de educación que les ayuden a identificar datos confidenciales y a entender cómo manejarlos, los hace parte de la solución para mitigar los riesgos de seguridad de la información.

Gobernar los datos mediante la gestión eficaz de los registros

Los reglamentos exigen a muchas organizaciones que administren la retención de los documentos clave de la organización de acuerdo con un calendario de retención empresarial gestionado. Las organizaciones se enfrentan a riesgos de cumplimiento de la normativa si los datos se retienen insuficientemente (se eliminan demasiado pronto), o a riesgos jurídicos si los datos se retienen en exceso (se conservan demasiado tiempo). Las estrategias eficaces de administración de registros ayudan a garantizar que los documentos de la organización se conserven de acuerdo con períodos de retención predeterminados, concebidos para reducir al mínimo el riesgo para la organización. Los períodos de retención se prescriben en un calendario de retención de registros de la organización administrado centralmente, y se basan en la naturaleza de cada tipo de documento, en los requisitos de cumplimiento normativo para la retención de determinados tipos de datos y en las directivas definidas de la organización.

La asignación de períodos de retención de registros con precisión en los documentos de la organización puede requerir un proceso pormenorizado que asigne períodos de retención de forma única a documentos individuales. El gran número de documentos de las organizaciones del sector energético, junto con el hecho de que en muchos casos los períodos de retención se pueden desencadenar mediante eventos organizativos (como contratos que expiran o un empleado que abandona la organización), dificulta la aplicación de directivas de retención de registros a escala para muchas organizaciones.

Microsoft 365 proporciona funciones para definir etiquetas de retención y directivas para implementar fácilmente los requisitos de administración de registros. Un administrador de registros define una etiqueta de retención que representa un "tipo de registro" en una programación de retención tradicional. La etiqueta de retención contiene ajustes que definen:

  • Cuánto tiempo es retenido un registro por
  • Los requisitos de concurrencia o lo que ocurre cuando expira el período de retención (suprimir el documento, iniciar una revisión de la disposición o no tomar ninguna medida)
  • Lo que desencadena el inicio del período de retención (fecha de creación, última fecha de modificación, fecha etiquetada o un evento), y
  • Si el documento o el correo electrónico es un registro (lo que significa que no puede ser editado o eliminado)

Las etiquetas de retención se publican en los sitios de SharePoint o OneDrive, en los buzones de Exchange y en los Grupos de Office 365. Los usuarios pueden entonces aplicar etiquetas de retención manualmente a los documentos y correos electrónicos, o los administradores de registros pueden utilizar reglas para aplicar automáticamente las etiquetas de retención. Las reglas de auto aplicación pueden basarse en palabras clave o en datos confidenciales que se encuentran en documentos o correos electrónicos, como números de tarjetas de crédito, números de seguridad social u otra información de identificación personal (PII) o pueden basarse en metadatos de SharePoint.

El Conjunto de control moderado FedRAMP y las normas CIP del NERC también incluyen la reutilización y eliminación de activos como un requisito de control clave (CIP-011-2). Estos requisitos, una vez más, se refieren específicamente a la información del Sistema cibernético BES (Sistemas de generación eléctrica masiva). Sin embargo, otras reglamentaciones jurisdiccionales exigirán que las organizaciones de la industria energética administren y eliminen eficazmente los registros de numerosos tipos de información. Esto incluirá estados financieros, información sobre proyectos de capital, presupuestos, datos de clientes, etc. En todos los casos, se exigirá a las organizaciones de energía que mantengan programas sólidos de administración de registros y pruebas relacionadas con la disposición justificada de los registros corporativos.

Con cada etiqueta de retención, Office 365 permite a los administradores de registros determinar si se requiere una revisión de la disposición. Luego, cuando esos tipos de registros se someten a disposición, una vez expirado su período de retención, los revisores designados para la disposición deben realizar una revisión antes de que se elimine el contenido. Una vez que la revisión de la disposición sea aprobada, se procederá a la eliminación del contenido, sin embargo, la evidencia de la eliminación, el usuario que realizó la eliminación y la fecha/hora en que se produjo sigue conservándose durante varios años (como certificado de destrucción). Si las organizaciones requieren una retención más prolongada o permanente de los certificados de destrucción, el Microsoft Sentinel puede utilizarse para el almacenamiento a largo plazo de datos de registro y auditoría en la nube. Microsoft Sentinel da a las organizaciones un control total sobre el almacenamiento y la retención a largo plazo de los datos de actividad, los datos de registro y los datos de retención/eliminación.

Cumplir con los reglamentos de la FERC y la FTC para los mercados de energía

La Comisión federal reguladora de la energía de los Estados Unidos (FERC) supervisalas regulaciones relacionadas con los mercados de energía y el comercio para los mercados de energía eléctrica y gas natural. La Comisión federal de comercio de los Estados Unidos (FTC) supervisa similaresregulaciones en el mercado petrolífero. En ambos casos, esos órganos reguladores establecen normas y directrices para prohibir la manipulación del mercado de la energía. La FERC, por ejemplo, recomienda que las organizaciones de energía inviertan en recursos tecnológicos para vigilar el comercio, las comunicaciones con los comerciantes y el cumplimiento de los controles internos. Recomiendan además que las organizaciones de energía evalúen periódicamente la eficacia del programa de cumplimiento de la organización.

Tradicionalmente, las soluciones de monitoreo de las comunicaciones son costosas, y pueden ser complejas de configurar y administrar. Además, las organizaciones pueden tener dificultades para vigilar los numerosos y variados canales de comunicación que disponen los empleados. Microsoft 365 proporciona varias capacidades sólidas incorporadas para monitorear las comunicaciones de los empleados, supervisar las actividades de los empleados y ayudar a cumplir con las regulaciones de la FERC para los mercados de energía.

Implementar el control de supervisión

Microsoft 365 permite a las organizaciones configurar directivas de supervisión que capturan las comunicaciones de los empleados (basadas en condiciones configuradas) y permiten que éstas sean revisadas por los supervisores designados. Las directivas de supervisión pueden capturar correos electrónicos y archivos adjuntos internos/externos, comunicaciones de chat y canales de comunicación de Microsoft Teams, comunicaciones de chat y archivos adjuntos de Skype Empresarial Online, junto a las comunicaciones a través de servicios de terceros (como Facebook o Dropbox).

La naturaleza exhaustiva de las comunicaciones que pueden ser capturadas y revisadas dentro de una organización, y las extensas condiciones con las que se pueden configurar las directivas, permiten que las directivas de supervisión de Microsoft 365 ayuden a las organizaciones a cumplir con las regulaciones del mercado energético de la FERC. Las directivas de supervisión pueden configurarse para revisar las comunicaciones de individuales o grupales. Además, los supervisores pueden estar configurados para ser individuales o grupales. Se pueden configurar condiciones completas para capturar comunicaciones basadas en mensajes entrantes o salientes, dominios, etiquetas de retención, palabras o frases clave, diccionarios de palabras clave, tipos de datos sensibles, archivos adjuntos, tamaño del mensaje o tamaño del archivo adjunto. Los revisores disponen de un tablero en el que pueden revisar las comunicaciones marcadas, actuar sobre las comunicaciones que potencialmente violan las directivas o marcar los elementos marcados como resueltos. También pueden revisar los resultados de exámenes anteriores y los puntos que se han resuelto.

Microsoft 365 proporciona informes que permiten auditar las actividades de revisión de la política de supervisión en base a la política y al revisor. Los informes disponibles pueden utilizarse para validar que las directivas de supervisión funcionan, según lo definido por las directivas de supervisión escritas de las organizaciones. También pueden utilizarse para identificar las comunicaciones que requieren un examen y las que no se ajustan a la directiva de la empresa. Por último, todas las actividades relacionadas con la configuración de las directivas de supervisión y el examen de las comunicaciones se auditan en el registro unificado de auditoría de Office 365.

Las directivas de supervisión de Microsoft 365 permiten que las organizaciones supervisen las comunicaciones para el cumplimiento de las directivas corporativas, como las violaciones de acoso de recursos humanos y el lenguaje ofensivo en las comunicaciones de la empresa. También permite a las organizaciones reducir el riesgo, al supervisar las comunicaciones cuando las organizaciones están experimentando cambios organizativos delicados, como fusiones y adquisiciones, o cambios de dirección.

Cumplimiento de la comunicación

Con muchos canales de comunicación a disposición de los empleados, las organizaciones requieren cada vez más soluciones eficaces para vigilar o supervisar las comunicaciones en las industrias reguladas, como los mercados de comercio de energía. La solución de cumplimiento de las comunicaciones, recientemente lanzada e integrada en Microsoft 365, ayuda a las organizaciones a superar desafíos comunes, como el aumento del número de canales de comunicación y el volumen de los mensajes, así como el riesgo de posibles multas por violaciones de las directivas.

Communication Compliance puede monitorear múltiples canales de comunicación y usar modelos de aprendizaje automático para identificar posibles violaciones de políticas, incluido el correo electrónico de Office 365, Microsoft Teams, Skype for Business Online, Facebook, Twitter y mensajes instantáneos de Bloomberg. El cumplimiento de comunicaciones ayuda a los equipos de cumplimiento a revisar los mensajes de manera eficaz y eficiente para detectar posibles violaciones de:

  • Directivas corporativas, como el uso aceptable, normas éticas y las directivas específicas de las empresas
  • confidencialidad o divulgación de negocios confidenciales, como comunicaciones no autorizadas sobre proyectos confidenciales como próximas adquisiciones, fusiones, divulgación de ganancias, reorganizaciones o cambios en el equipo directivo
  • Requisitos de cumplimiento de la normativa, como las comunicaciones de los empleados relativas a los tipos de negocios o transacciones en los que una organización participa en el cumplimiento de los reglamentos de la FERC para los mercados de energía

El cumplimiento de las comunicaciones proporciona clasificadores de amenaza, acoso y blasfemia incorporados para ayudar a reducir los falsos positivos cuando se revisan las comunicaciones. Esto ahorra tiempo a los revisores durante la investigación y el proceso de corrección. Ayuda a los revisores a centrarse en mensajes específicos dentro de los largos hilos que han sido destacados por las alertas de directiva. Esto ayuda a los equipos de cumplimiento a identificar y corregir los riesgos más rápidamente. Proporciona a los equipos de cumplimiento la capacidad de configurar y ajustar fácilmente las directivas, ajustando la solución a las necesidades específicas de la organización y reduciendo los falsos positivos. El cumplimiento de las comunicaciones también puede rastrear el comportamiento del usuario a lo largo del tiempo, resaltando patrones potenciales de comportamiento arriesgado o violaciones de la directiva. Por último, proporciona flujos de trabajo de reparación incorporados y flexibles, de modo que los examinadores pueden adoptar rápidamente medidas y pasar a equipos jurídicos o de recursos humanos de acuerdo con los procesos corporativos definidos.

Proteger contra la filtración de datos y el riesgo interno

Una amenaza común para las empresas es la filtración de datos, o el acto de extraer datos de una organización. Esto puede ser una preocupación importante para las organizaciones de energía debido al carácter delicado de la información a la que pueden acceder los empleados o el personal de servicio sobre el terreno día a día. Esto incluye tanto la información del Sistema cibernético BES (Sistema de generación eléctrica masiva) como la información relacionada con los negocios y los datos de los clientes. Con el aumento de los métodos de comunicación disponibles y los numerosos instrumentos para trasladar datos, se suelen necesitar instrumentos avanzados para mitigar los riesgos de fugas de datos, violaciones de las directivas y riesgos de información privilegiada.

Administración de riesgos de Insider

Habilitar a los empleados con herramientas de colaboración en línea a las que se puede acceder en cualquier lugar conlleva un riesgo inherente para una organización. Los empleados pueden filtrar datos a los atacantes o a la competencia de forma inadvertida o maliciosa. Alternativamente, pueden extraer datos para uso personal o llevarlos consigo a un futuro empleador. Estos escenarios presentan graves riesgos para las organizaciones desde el punto de vista de la seguridad y el cumplimiento. Identificar estos riesgos cuando se producen y mitigarlos rápidamente requiere herramientas inteligentes para la recopilación de datos y colaboración entre departamentos como los departamentos legal, de seguridad de la información y de Recursos Humanos.

Microsoft 365 ha lanzado recientemente la consola de administración de riesgos de Insider que utiliza señales a través de los servicios de Microsoft 365 y modelos de aprendizaje automático para monitorear el comportamiento del usuario en busca de señales de riesgo interno. Esta herramienta presenta datos a los investigadores para que puedan identificar fácilmente los patrones de conducta de riesgo y escalar los casos en base a flujos de trabajo predeterminados.

Por ejemplo, la administración de riesgos de Insider puede correlacionar las señales del escritorio de Windows 10 de un usuario, como la copia de archivos a una unidad USB o el envío de un correo electrónico a una cuenta de correo electrónico personal, con actividades de servicios en línea como el correo electrónico de Office 365, SharePoint Online, Microsoft Teams, OneDrive para la Empresa, entre otros, para identificar los patrones de filtración de datos. También puede correlacionar estas actividades con los empleados que abandonan la organización, lo cual es un patrón de comportamiento común asociado con la filtración de datos. Puede monitorear múltiples actividades y comportamientos a lo largo del tiempo, y cuando surgen patrones comunes, puede elevar las alertas y ayudar a los investigadores a centrarse en actividades clave para verificar una violación de la directiva con un alto grado de confianza. La gestión de riesgos internos también puede ocultar los datos de los investigadores para ayudar a cumplir las normas de confidencialidad de los datos, al tiempo que se siguen descubriendo actividades clave que les ayudan a realizar investigaciones de manera eficiente. Cuando está listo, permite a los investigadores empaquetar y enviar de forma segura datos de actividades clave a los departamentos de recursos humanos y jurídicos, siguiendo los flujos de trabajo comunes de escalada para plantear casos para la adopción de medidas correctivas.

La administración de riesgos de Insider supone un aumento significativo de las capacidades de Microsoft 365 para monitorear e investigar los riesgos internos, al tiempo que permite a las organizaciones seguir cumpliendo las normas de confidencialidad de los datos y seguir las vías de escalada establecidas cuando los casos requieren medidas de mayor nivel.

Conclusión

Microsoft 365 proporciona una solución integrada y completa que permite una colaboración fácil de usar basada en la nube en toda la empresa con Microsoft Teams. Microsoft Teams también permiten una mejor comunicación y colaboración con el personal de los servicios sobre el terreno, lo que ayuda a las organizaciones de energía a ser más eficientes y eficaces. Una mejor colaboración en toda la empresa y con el personal de campo puede, en última instancia, ayudar a las organizaciones de energía a prestar un mejor servicio a los clientes.

Las organizaciones de la industria energética deben cumplir con regulaciones estrictas relacionadas con la forma en que almacenan, aseguran, administran y retienen la información relacionada con sus operaciones y clientes. También deben cumplir con los reglamentos relacionados con la forma en que vigilan e impiden la manipulación de los mercados de energía.. Microsoft 365 proporciona sólidos controles de seguridad para proteger los datos, las identidades, los dispositivos y las aplicaciones de los riesgos y cumplir con las estrictas regulaciones de la industria energética. Se proporcionan herramientas incorporadas para ayudar a las organizaciones de energía a evaluar su cumplimiento, así como a tomar medidas y hacer un seguimiento de las actividades de reparación a lo largo del tiempo. Estos instrumentos también proporcionan métodos fáciles de usar para vigilar y supervisar las comunicaciones. La plataforma Microsoft 365 está construida sobre componentes fundamentales como el Microsoft Azure y el Azure Active Directory, ayudando a asegurar la plataforma general y ayudando a la organización a cumplir los requisitos de cumplimiento de los conjuntos de control FedRAMP Moderado y Alto. Esto a su vez contribuye a la capacidad de una organización energética para cumplir con las normas CIP del NERC.

En general, Microsoft 365 ayuda a las organizaciones de energía a proteger mejor la organización, a tener programas de cumplimiento más sólidos y a permitir que el personal se centre en obtener mejores conocimientos e implementar estrategias para mejorar la reducción de riesgo.