Keskeiset vaatimustenmukaisuuteen ja turvallisuuteen liittyvät seikat Yhdysvaltain pankki- ja pääomamarkkinoilla

Johdanto

Rahoituspalvelulaitokset ylittävät lähes kaikki kaupalliset yritykset vaatiessaan tiukkaa turvallisuus-, vaatimustenmukaisuus- ja hallintovalvontaa. Tietojen, käyttäjätietojen, laitteiden ja sovellusten suojaaminen ei ole vain tärkeää niiden liiketoiminnalle, se on vaatimustenmukaisuusvaatimusten ja ohjeiden alainen sääntelyelimiltä, kuten Yhdysvaltain arvopaperi- ja Exchange komissiolta (SEC), Financial Industry Regulatory Authoritylta (FINRA), Federal Financial Institutions Examination Councililta (FFIEC) ja Commodity Futures Trading Commissionilta (CFTC). Rahoituslaitoksiin sovelletaan lisäksi vuoden 2002 Dodd-Frank ja Sarbanes-Oxley lakia.

Tämän päivän lisääntyneen turvallisuusvalppauden, sisäpiiririskien huolenaiheiden ja julkisten tietomurtojen ilmapiirissä asiakkaat vaativat myös rahoituslaitoksiltaan korkeaa suojaustasoa, jotta he voivat luottaa henkilötietoihinsa ja pankkivaroihinsa.

Aikaisemmin kattavan valvonnan tarve vaikutti suoraan rahoituslaitosten käyttämiin IT-järjestelmiin ja -alustoihin ja rajoitti niitä mahdollistaakseen yhteistyön sisäisesti ja ulkoisesti. Nykyään rahoituspalvelujen työntekijät tarvitsevat modernin yhteistyöalustan, joka on helppo omaksua ja jota on helppo käyttää. Rahoituspalvelut eivät kuitenkaan voi vaihtaa joustavuutta tehdä yhteistyötä käyttäjien, tiimien ja osastojen välillä suojauksen ja vaatimustenmukaisuuden valvonnalla, joka pakottaa käytäntöjä käyttäjien ja IT-järjestelmien suojaamiseksi uhkilta.

Rahoituspalvelualalla on huomioitava huolellisesti yhteistyötyökalujen ja suojauksen hallinnan määritys ja käyttöönotto, mukaan lukien:

  • Organisaation yhteistyön ja liiketoimintaprosessien yleisten skenaarioiden riskien arviointi
  • Tietojen suojaamisen ja tiedon hallinnan vaatimukset
  • Kyberturvallisuus ja insider-uhat
  • Lakisääteiset vaatimustenmukaisuusvaatimukset
  • Muut operatiiviset riskit

Microsoft 365 on nykyaikainen työpaikan pilvipalveluympäristö, joka voi vastata rahoituspalveluorganisaatioiden kohtaamiin nykyajan haasteisiin. Turvallinen ja joustava yhteistyö koko yrityksessä yhdistetään valvontaan ja politiikan valvontaan, jotta noudatetaan tiukkoja sääntelyn vaatimustenmukaisuuskehyksiä. Tässä artikkelissa kerrotaan, miten Microsoft 365 alusta auttaa rahoituspalveluja siirtymään nykyaikaiseen yhteistyöympäristöön ja samalla pitämään tiedot ja järjestelmät suojattuina ja säädösten mukaisina:

  • Ota organisaation ja työntekijöiden tuottavuus käyttöön käyttämällä Microsoft 365 ja Microsoft Teams
  • Modernin yhteistyön suojaaminen Microsoft 365 avulla
  • Tunnista luottamukselliset tiedot ja estä tietojen menettäminen
  • Puolusta linnoitusta
  • Hallitse tietoja ja noudata säädöksiä hallinnoimalla tietueita tehokkaasti
  • Eettisten muurien luominen tietoesteiden avulla
  • Suojautuminen tietojen suodatusta ja insider-riskejä vastaan

Microsoft-kumppanina Protiviti on osallistunut tähän artikkeliin ja antanut siihen materiaalista palautetta.

Seuraavat ladattavat kuvat täydentävät tätä artikkelia. Woodgrove Bankia ja Contoosoa käytetään osoittamaan, miten tässä artikkelissa kuvattuja valmiuksia voidaan soveltaa rahoituspalvelujen yhteisten sääntelyvaatimusten täyttämiseen. Voit mukauttaa näitä kuvia omaan käyttöusi.

Microsoft 365 tietojen suojaamisen ja yhteensopivuuden kuvat

Nimikkeen Kuvaus
Mallijuliste: Microsoft 365 tietojen suojauksen ja vaatimustenmukaisuuden ominaisuuksia.
Englanti: Lataa PDF-tiedostona| Lataa Visio
Japani: Lataa PDF-tiedostona| Lataa Visio
Päivitetty marraskuu 2020
Sisältää:
  • Microsoft Purview Information Protection ja Microsoft Purview tietojen menetyksen estäminen
  • Säilytyskäytännöt ja säilytysotsikot
  • Tiedonkulkuesteet
  • Viestinnän vaatimustenmukaisuus
  • Insider-riski
  • Kolmannen osapuolen tietojen käsittely

Organisaation ja työntekijöiden tuottavuuden parantaminen Microsoft 365 ja Teams avulla

Yhteistyö edellyttää yleensä erilaisia viestintämuotoja, mahdollisuutta tallentaa ja käyttää tiedostoja/tietoja sekä mahdollisuutta integroida muita sovelluksia tarpeen mukaan. Rahoituspalvelujen työntekijöiden on yleensä tehtävä yhteistyötä ja kommunikoitava muiden osastojen tai tiimien jäsenten ja joskus ulkoisten entiteettien kanssa. Siksi on ei-toivottavaa käyttää järjestelmiä, jotka luovat siiloja tai tekevät tiedon jakamisesta vaikeaa. Sen sijaan on suositeltavaa hyödyntää ympäristöjä ja sovelluksia, joiden avulla työntekijät voivat viestiä, tehdä yhteistyötä ja jakaa tietoja turvallisesti ja yrityskäytännön mukaisesti.

Tarjoamalla työntekijöille modernin pilvipohjaisen yhteistyöympäristön he voivat valita ja integroida työkaluja, jotka tekevät heistä tuottavampia ja antavat heille mahdollisuuden löytää ketteriä toimintatapoja. Teams käyttö yhdessä suojauksen hallinnan ja tietohallintokäytäntöjen kanssa, jotka suojaavat organisaatiota, voi auttaa työvoimaasi kommunikoimaan ja tekemään yhteistyötä tehokkaasti.

Teams tarjoaa organisaatiolle yhteistyökeskuksen. Se auttaa yhdistämään ihmisiä, jotta he voivat työskennellä tuottavasti yleisten aloitteiden ja projektien parissa. Teams avulla tiimin jäsenet voivat käydä 1:1- ja usean osapuolen keskusteluja, tehdä yhteistyötä ja yhteismuokkaa asiakirjoja sekä tallentaa ja jakaa tiedostoja. Teams helpottaa verkkokokouksia myös integroiduilla yritysäänillä ja videoilla. Teams voidaan mukauttaa myös Microsoft-sovelluksilla, kuten Microsoft Planner, Microsoft Dynamics 365:llä, Power Apps, Power BI ja kolmannen osapuolen toimialasovelluksilla. Teams on suunniteltu käytettäväksi sekä sisäisille ryhmän jäsenille että sallituille ulkoisille käyttäjille, jotka voivat liittyä ryhmän kanaviin, osallistua keskustelukeskusteluihin, käyttää tallennettuja tiedostoja ja hyödyntää muita sovelluksia

Jokaista Microsoft Team -tiimiä tukee Microsoft 365 ryhmä. Tätä ryhmää pidetään useiden Office 365 palveluiden jäsenpalveluna, mukaan lukien Teams. Microsoft 365 ryhmien avulla voidaan turvallisesti erottaa omistajat ja jäsenet sekä hallita Teams erilaisten ominaisuuksien käyttöä. Kun Teams yhdistetään asianmukaisiin hallinnon ohjausobjekteihin ja säännöllisesti hallinnoituihin käyttöoikeuksien tarkistuksiin, vain jäsenet ja omistajat voivat käyttää valtuutettuja kanavia ja ominaisuuksia.

Yleinen skenaario, jossa Teams hyödyttävät rahoituspalveluja, on sisäisten projektien tai ohjelmien suorittaminen. Esimerkiksi monilla rahoituslaitoksilla, kuten pankeilla, varainhoitoyrityksillä, luotto-osuuslaitoksilla ja vakuutustoimittajilla, on oltava rahanpesun ja muiden yhteensopivuusohjelmien oltava käytössä. IT:stä koostunut toimintojen välinen ryhmä, toimialat, kuten vähittäiskaupan ja varainhoito, sekä talousrikollisuusyksikkö voidaan vaatia jakamaan tietoja keskenään ja viestimään ohjelmasta tai erityistutkimuksista. Perinteisesti nämä ohjelmat ovat käyttäneet jaettuja verkkoasemia, mutta tämä lähestymistapa voi aiheuttaa lukuisia haasteita, kuten:

  • Vain yksi henkilö voi muokata asiakirjaa kerrallaan.
  • Suojauksen hallinta on aikaa vievää, koska yksilöiden lisäämiseen tai poistamiseen liittyy yleensä IT-toiminto.
  • Tiedot pysyvät jaettujen verkkojen asukkaina paljon pidempään kuin on tarpeen tai haluttu.

Teams voi tarjota yhteistyötilan luottamuksellisten asiakastietojen turvalliseen tallentamiseen ja tiimin jäsenten välisten keskustelujen järjestämiseen siellä, missä arkaluontoisista aiheista voidaan keskustella. Useat tiimin jäsenet voivat muokata yksittäistä asiakirjaa tai työstää sitä yhdessä yhteistyössä samanaikaisesti. Ohjelman omistaja tai koordinaattori voidaan määrittää ryhmän omistajaksi ja lisätä ja poistaa jäseniä tarvittaessa.

Toinen yleinen skenaario on käyttää Teams "virtuaalisena tietohuoneena" turvalliseen yhteistyöhön, kuten asiakirjojen tallentamiseen ja hallintaan. Tiimin jäsenet ja syndikaatit investointipankki-, omaisuudenhoito- tai pääomasijoitusyhtiöissä voivat turvallisesti tehdä yhteistyötä sopimuksen tai sijoituksen parissa. Toimintojenväliset tiimit osallistuvat usein tällaisten sopimusten suunnitteluun ja toteuttamiseen, ja mahdollisuus jakaa tietoja turvallisesti ja käydä keskusteluja on keskeinen edellytys. Myös liittyvien asiakirjojen turvallinen jakaminen ulkoisten sijoittajien kanssa on keskeinen vaatimus. Teams tarjoaa turvallisen ja täysin valvottavan sijainnin, josta voidaan keskitetysti tallentaa, suojata ja jakaa sijoitustietoja.

Ryhmä toimistotyöntekijöitä kokouksessa keskustelee kuvista suurella alueella.

Teams: Yhteistyön parantaminen ja yhteensopivuusriskin vähentäminen

Microsoft 365 tarjoaa Teams muita yleisiä käytäntötoimintoja käyttämällä Microsoft 365 ryhmiä pohjana olevana jäsenyyspalveluna. Nämä käytännöt voivat auttaa parantamaan yhteistyötä ja vastaamaan yhteensopivuustarpeisiin.

Microsoft 365 ryhmien nimeämiskäytäntöjen avulla voidaan varmistaa, että Microsoft 365 ryhmät ja siten tiimit nimetään yrityskäytännön mukaan. Nimet voivat olla ongelmallisia, jos ne eivät ole sopivia. Työntekijät eivät ehkä esimerkiksi tiedä, mille tiimeille tietoja käsitellään tai jaetaan, jos nimiä ei käytetä oikein. Ryhmän nimeämiskäytännöt (mukaan lukien etuliite- ja jälkiliitepohjaisten käytäntöjen ja mukautettujen estettyjen sanojen tuki) voivat edellyttää hyvää "hygieniaa" ja estää tiettyjen sanojen, kuten varattujen sanojen tai sopimattoman terminologian, käytön.

Microsoft 365 ryhmän vanhenemiskäytännöt auttavat varmistamaan, että Microsoft 365 ryhmiä ja siten tiimejä ei säilytetä pidempään kuin mitä organisaatio haluaa tai tarvitsee. Tämä ominaisuus auttaa estämään kaksi keskeistä tiedonhallintaongelmaa:

  • Sellaisten tiimien yleistyminen, jotka eivät ole välttämättömiä tai joita ei käytetä.
  • Niiden tietojen ylisäilytys, joita organisaatio ei enää vaadi tai jota se käyttää (lukuun ottamatta laillisen pidon/säilyttämisen tapauksia).

Järjestelmänvalvojat voivat määrittää Microsoft 365 ryhmille vanhentumisajan, esimerkiksi 90, 180 tai 365 päivää. Jos palvelu, jota tukee Microsoft 365 ryhmä, on passiivinen vanhentumisjakson ajan, ryhmän omistajille ilmoitetaan. Jos mitään toimia ei tehdä, Microsoft 365-ryhmä ja kaikki siihen liittyvät palvelut, mukaan lukien Teams, poistetaan.

Teams ja muihin ryhmäpohjaisiin palveluihin tallennettujen tietojen ylipidätys voi aiheuttaa riskejä rahoituspalveluorganisaatioille. Microsoft 365 ryhmän vanhenemiskäytännöt ovat suositeltu tapa estää enää tarvitsemieni tietojen säilyttäminen. Yhdessä valmiiden säilytystunnisteiden ja käytäntöjen kanssa Microsoft 365 auttaa varmistamaan, että organisaatiot säilyttävät vain tiedot, joita tarvitaan yrityskäytäntöjen ja säädösten noudattamiseen liittyvien velvoitteiden täyttämiseen.

Teams: Mukautettujen vaatimusten integrointi vaivattomasti

Teams ottaa käyttöön tiimien omatoimisen luomisen oletusarvoisesti. Monet säännellyt organisaatiot haluavat kuitenkin hallita ja ymmärtää, mitkä yhteistyökanavat ovat tällä hetkellä työntekijöiden käytössä, mitkä kanavat voivat sisältää arkaluontoisia tietoja sekä omistajuuden organisaatiokanaville. Näiden hallintatoimintojen helpottamiseksi Microsoft 365 avulla organisaatio voi poistaa omatoimisen tiimien luomisen käytöstä. Käyttämällä liiketoimintaprosessien automaatiotyökaluja, kuten Microsoft Power Apps ja Power Automate, organisaatiot voivat luoda ja ottaa käyttöön yksinkertaisia lomakkeita ja hyväksyntäprosesseja työntekijöille pyytääkseen uuden tiimin luomista. Hyväksymisen jälkeen tiimi voidaan valmistella automaattisesti ja pyyntöön lähetetään linkki. Tällä tavalla organisaatiot voivat suunnitella ja integroida vaatimustenmukaisuuden hallinnan ja mukautetut vaatimukset tiimin luontiprosessiin.

Hyväksyttävät digitaaliset viestintäkanavat

FINRA korostaa, että säänneltyjen yritysten digitaalinen viestintä täyttää Exchange lain 17a-3 ja 17a-4 sekä FINRA Rule Series 4510:n kirjanpitovaatimukset. FINRA julkaisee vuosikertomuksen, joka sisältää avainhavaintoja, havaintoja ja tehokkaita käytäntöjä, joiden avulla organisaatiot voivat parantaa vaatimustenmukaisuutta ja riskienhallintaa. FINRA totesi vuonna 2019 tutkimustuloksista ja havainnoista antamassaan raportissa, että digitaalinen viestintä on keskeinen osa-alue, jolla yrityksillä on valvonnan ja kirjanpitovaatimusten mukaisia haasteita.

Jos organisaatio sallii työntekijöidensä käyttää tiettyä sovellusta, kuten sovelluspohjaista viestintäpalvelua tai yhteistyöalustaa, yrityksen on arkistoitava liiketoimintatiedot ja valvottava kyseisten työntekijöiden toimintaa ja viestintää kyseisessä sovelluksessa. Organisaatiot ovat vastuussa huolellisuudesta FINRA:n sääntöjen ja arvopaperilakien noudattamiseksi sekä tällaisten sovellusten työntekijöiden käyttöön liittyvien sääntöjen mahdollisista rikkomuksista.

FINRA:n suosittelemia tehokkaita käytäntöjä ovat seuraavat:

  • Perusta kattava hallinto-ohjelma digitaalisia viestintäkanavia varten. Hallitse organisaation päätöksiä siitä, mitkä digitaaliset viestintäkanavat sallitaan, ja määritä kunkin digitaalisen kanavan yhteensopivuusprosessit. Seuraa tarkasti digitaalisten viestintäkanavien nopeasti muuttuvia ympäristöjä ja pidä yhteensopivuusprosessit ajan tasalla.
  • Määritä ja hallitse sallittuja digitaalisia kanavia selkeästi. Määritä sekä hyväksytyt että kielletyt digitaaliset kanavat. Estä tai rajoita kiellettyjen digitaalisten kanavien tai kiellettyjen ominaisuuksien käyttöä digitaalisissa kanavissa, jotka rajoittavat organisaation kykyä noudattaa tietueiden hallinta- ja valvontavaatimuksia.
  • Anna digitaalista viestintäkoulutusta. Toteuta pakollisia koulutusohjelmia, ennen kuin rekisteröidyille edustajille annetaan pääsy hyväksyttyihin digitaalisiin kanaviin. Koulutus auttaa selkeyttämään organisaation liiketoiminnan ja henkilökohtaisen digitaalisen viestinnän odotuksia ja opastaa henkilökuntaa käyttämään kunkin kanavan sallittuja ominaisuuksia yhteensopivalla tavalla.

FINRA:n havainnot ja havainnot digitaalisesta viestinnästä liittyvät suoraan organisaation kykyyn noudattaa SEC:n sääntöä 17a-4 kaiken liiketoimintaan liittyvän viestinnän säilyttämisestä, FINRA:n säännöistä 3110 ja 3120 viestinnän valvonnasta ja tarkastelusta sekä sääntösarjasta 4510 tietojen säilyttämisestä. Commodity Futures Trading Commission (CFTC) promultoituja vastaavia vaatimuksia kohdassa 17 CFR 131. Näitä asetuksia käsitellään perusteellisesti jäljempänä tässä artikkelissa.

Teams yhdessä Microsoft 365 tietoturva- ja vaatimustenmukaisuustarjonnan kattavan ohjelmistopaketin kanssa tarjoaa rahoituspalvelulaitoksille yritysten digitaalisen viestintäkanavan, jonka avulla ne voivat harjoittaa liiketoimintaa tehokkaasti ja noudattaa säädöksiä. Tämän artikkelin loppuosassa kuvataan, miten Microsoft 365 sisäiset ominaisuudet tietueiden hallintaan, tietojen suojaamiseen, tietoesteisiin ja valvontavalvontaan antavat Teams vankan työkalut näiden sääntelyvelvoitteiden täyttämiseen.

Modernin yhteistyön suojaaminen Microsoft 365 avulla

Turvalliset käyttäjätiedot ja käyttöoikeuksien hallinta

Asiakastietojen, talousasiakirjojen ja sovellusten käytön suojaaminen alkaa vahvalla käyttäjätietojen suojaamisella. Tämä edellyttää, että yritys voi tallentaa ja hallita käyttäjätietoja suojatulla alustalla, tarjota luotettavan todentamisen ja hallita dynaamisesti kyseisten sovellusten käyttöoikeuksia.

Kun työntekijät työskentelevät, he voivat siirtyä sovelluksesta sovellukseen tai useiden sijaintien ja laitteiden välillä. Tietojen käyttöoikeus on todennettava jokaisessa vaiheessa. Todennusprosessin on tuettava vahvaa protokollaa ja useita todentamisen tekijöitä (kuten kertaus sms-pass-koodia, todentajasovellusta ja varmennetta) sen varmistamiseksi, että käyttäjätietoja ei vaaranneta. Riskipohjaisten käyttöoikeuskäytäntöjen pakottaminen on ratkaisevan tärkeää taloudellisten tietojen ja sovellusten suojaamiseksi insider-uhilta, tahattomilta tietovuodoilta ja tietojen suodattimelta.

Microsoft 365 tarjoaa suojatun käyttäjätietoympäristön Azure Active Directory (Azure AD), jossa käyttäjätietoja tallennetaan keskitetysti ja hallitaan turvallisesti. Azure AD sekä joukko toisiinsa liittyviä Microsoft 365 suojauspalveluita muodostavat perustan sille, että työntekijöille tarjotaan heidän tarvitsemansa käyttöoikeudet turvalliseen työskentelyyn ja samalla suojataan organisaatiota uhkilta.

Azure AD:n monivaiheinen todentaminen (MFA) on sisäänrakennettu ympäristöön, ja se tarjoaa lisätodennuksen todentamisesta, joka auttaa vahvistamaan käyttäjätiedot, kun he käyttävät arkaluonteisia taloustietoja ja sovelluksia. Azure MFA edellyttää vähintään kahta todennusmuotoa, kuten salasanaa ja tunnettua mobiililaitetta. Se tukee useita toisen tekijän todennusvaihtoehtoja, kuten:

  • Microsoft Authenticator-sovellus
  • Kertakohtainen tunnuskoodi, joka toimitetaan tekstiviestillä
  • Puhelu, jossa käyttäjän on annettava PIN-koodi

Jos salasana on jotenkin vaarantunut, mahdollinen hakkeri tarvitsee silti käyttäjän puhelimen päästäkseen käsiksi organisaation tietoihin. Lisäksi Microsoft 365 käyttää modernia todennusta keskeisenä protokollana, joka tuo saman vahvan ja monipuolisen todennuskokemuksen selaimista yhteistyötyökaluihin, joita työntekijät käyttävät päivittäin, mukaan lukien Microsoft Outlook ja muut Microsoft Office-sovellukset.

Salasanaton

Salasanat ovat suojausketjun heikoin linkki. Ne voivat olla yksittäinen vikapiste, jos lisävahvistusta ei ole. Microsoft tukee monia eri todennusvaihtoehtoja, jotka vastaavat rahoituslaitosten tarpeita.

Salasanattomien menetelmien avulla monimenetelmäinen todentaminen on helpompaa käyttäjille. Vaikka kaikki MFA ei ole salasanattomia, salasanattomat teknologiat käyttävät monimenetelmäistä todentamista. Microsoft, Google ja muut alan johtajat ovat kehittäneet standardeja yksinkertaisemman ja vahvemman todennuskokemuksen mahdollistamiseksi verkossa ja mobiililaitteissa Fast IDentity Online (FIDO) -nimisessä ryhmässä. Äskettäin kehitetyn FIDO2-standardin avulla käyttäjät voivat todentaa helposti ja turvallisesti ilman salasanaa tietojenkalastelun poistamiseksi.

Microsoft MFA -menetelmiä, jotka ovat salasanattomia, ovat seuraavat:

  • Microsoft Authenticator: Jos haluat joustavuutta, mukavuutta ja kustannuksia, suosittelemme käyttämään Microsoft Authenticator -mobiilisovellusta. Microsoft Authenticator tukee biometriikkaa, palveluilmoituksia ja kertakäyttöisiä tunnuskoodeja missä tahansa Azure AD:hen yhdistetyssä sovelluksessa. Se on saatavilla Apple- ja Android-sovelluskaupoista.
  • Windows Hello: Suosittelemme käyttämään Windows Hello, jotta tietokoneen sisäinen käyttökokemus on käytössä. Se käyttää biometrisiä tietoja (kuten kasvoja tai sormenjälkiä) kirjautuakseen sisään automaattisesti.
  • FIDO2-suojausavaimet ovat nyt saatavilla useilta Microsoftin kumppaneilta: Yubico, Feitian Technologies ja HID Global USB-, NFC-yhteensopivassa merkissä tai biometrisessa avaimessa.

Azure AD:n ehdollinen käyttö tarjoaa vankan ratkaisun käyttöoikeuksien valvontapäätösten automatisoinsiin ja organisaation käytäntöjen pakottamiseen yrityksen resurssien suojaamiseksi. Perinteinen esimerkki on se, kun taloussuunnittelija haluaa käyttää sovellusta, jossa on arkaluonteisia asiakastietoja. Niitä vaaditaan automaattisesti monimenetelmäisen todentamisen suorittamiseen, jotta he voivat erityisesti käyttää kyseistä sovellusta, ja käyttöoikeuden on oltava peräisin yrityksen hallitsemalta laitteelta. Azuren ehdollinen käyttö tuo yhteen käyttäjän käyttöoikeuspyyntöä koskevia signaaleja, kuten käyttäjän ominaisuuksia, laitetta, sijaintia ja verkkoa sekä sovellusta, jota käyttäjä yrittää käyttää. Se arvioi dynaamisesti yrityksiä käyttää sovellusta määritettyjen käytäntöjen perusteella. Jos käyttäjä- tai laiteriski on kohonnut tai muut ehdot eivät täyty, Azure AD voi automaattisesti pakottaa käytäntöjä, kuten monimenetelmäisen todentamisen edellyttämistä, suojatun salasanan palauttamisen edellyttämistä tai käytön rajoittamista tai estämistä. Tämä auttaa varmistamaan, että luottamukselliset organisaatioresurssit suojataan dynaamisesti muuttuvissa ympäristöissä.

Azure AD ja siihen liittyvät Microsoft 365 tietoturvapalvelut luovat perustan modernille pilviyhteistyöalustalle rahoituslaitoksille, jotta tietojen ja sovellusten käyttöoikeus voidaan suojata ja sääntelyviranomaisten vaatimustenmukaisuusvelvoitteet voidaan täyttää. Nämä työkalut tarjoavat seuraavat tärkeimmät ominaisuudet:

  • Tallenna ja hallitse käyttäjätietoja keskitetysti.
  • Käytä vahvaa todennusprotokollaa, mukaan lukien monimenetelmäistä todentamista, käyttäjien todentamiseen käyttöoikeuspyynnöissä ja yhdenmukaisen ja vankan todennuskokemuksen tarjoamiseen kaikissa sovelluksissa.
  • Vahvista dynaamisesti kaikkien käyttöoikeuspyyntöjen käytännöt sisällyttäen useita signaaleja käytännön päätöksentekoprosessiin, mukaan lukien käyttäjätiedot, käyttäjän/ryhmän jäsenyys, sovellus, laite, verkko, sijainti ja reaaliaikaiset riskipisteet.
  • Vahvista eriytetyt käytännöt käyttäjän toiminnan ja tiedostojen ominaisuuksien perusteella ja pakota tarvittaessa dynaamisesti lisäsuojaustoimenpiteitä.
  • Tunnista "varjo-IT" organisaatiossa ja salli InfoSec-tiimien hyväksyä tai estää pilvipalvelusovelluksia.
  • Microsoftin ja muiden kuin Microsoftin pilvisovellusten käytön valvonta ja hallinta.
  • Suojaa ennakoivasti sähköpostin tietojenkalastelulta ja kiristyshaittaohjelmahyökkäyksiltä.

Azure AD -käyttäjätietojen suojaus

Ehdollinen käyttö suojaa resursseja epäilyttäviltä pyynnöiltä, mutta käyttäjätietojen suojaus menee pidemmälle tarjoamalla jatkuvan riskintunnistuksen ja epäilyttävien käyttäjätilien korjaamisen. Käyttäjätietojen suojaus pitää sinut ajan tasalla epäilyttävästä käyttäjästä ja kirjautumistoiminnasta ympäristössäsi kellon ympäri. Sen automaattinen reagointi estää ennakoivasti vaarantuneita käyttäjätietoja käyttämästä väärin.

Käyttäjätietojen suojaus on työkalu, jonka avulla organisaatiot voivat suorittaa kolme tärkeää tehtävää:

  • Automatisoi käyttäjätietoon perustuvien riskien tunnistaminen ja korjaaminen.
  • Tutki riskejä käyttämällä portaalin tietoja.
  • Vie riskintunnistustiedot kolmannen osapuolen apuohjelmiin lisäanalyyseja varten.

Identity Protection käyttää tietoja, jotka Microsoft on hankkinut azure AD:n organisaatioasemasta, Microsoft-tilien asiakastilasta ja Xboxilla pelaamisesta käyttäjien suojaamiseksi. Microsoft analysoi 65 biljoonaa signaalia päivässä tunnistaakseen ja suojatakseen asiakkaita uhkilta. Käyttäjätietojen suojauksen luomia ja käyttäjätietojen suojaamiseen syötettyjä signaaleja voidaan syöttää edelleen työkaluihin, kuten ehdolliseen käyttöön, käyttöoikeuspäätösten tekemiseksi. Ne voidaan myös syöttää takaisin suojaustietoihin ja tapahtumienhallintatyökaluun tarkempaa tutkimusta varten organisaatiosi pakotettujen käytäntöjen perusteella.

Käyttäjätietojen suojauksen avulla organisaatiot voivat automaattisesti suojautua käyttäjätietojen vaarantumiselta hyödyntämällä pilvitietoja, jotka perustuvat heuristiikkaan, käyttäjien ja entiteettien käyttäytymisanalytiikkaan (UEBA) sekä koneoppimiseen (ML) koko Microsoftin ekosysteemissä.

Viisi tietotyöntekijää katsoo, kun toinen pitää esityksen.

Tunnista luottamukselliset tiedot ja estä tietojen menettäminen

Microsoft 365 avulla kaikki organisaatiot voivat tunnistaa luottamuksellisia tietoja organisaatiossa tehokkaiden ominaisuuksien yhdistelmällä, mukaan lukien:

  • Microsoft Purview Information Protection sekä käyttäjäpohjaiseen luokitukseen että luottamuksellisten tietojen automaattiseen luokitukseen.
  • Microsoft Purview Data Loss Prevention (DLP) luottamuksellisten tietojen automaattiseen tunnistamiseen käyttämällä luottamuksellisia tietotyyppejä (toisin sanoen säännönmukaisia lausekkeita) ja avainsanoja sekä käytännön täytäntöönpanoa.

Microsoft Purview Information Protection avulla organisaatiot voivat luokitella asiakirjoja ja sähköpostiviestejä älykkäästi luottamuksellisuustunnisteiden avulla. Käyttäjät voivat käyttää luottamuksellisuustunnisteita manuaalisesti Microsoft Office sovellusten asiakirjoissa ja Outlook sähköposteissa. Tunnisteet voivat ottaa automaattisesti käyttöön asiakirjan merkinnät, suojauksen salauksen ja oikeuksien hallinnan täytäntöönpanon kautta. Luottamuksellisuustunnisteita voidaan ottaa käyttöön automaattisesti myös määrittämällä käytännöt, jotka käyttävät avainsanoja ja luottamuksellisia tietotyyppejä (kuten luottokorttinumeroita, sosiaaliturvatunnuksia ja käyttäjätietoja) luottamuksellisten tietojen etsimiseksi ja luokittelemiseksi automaattisesti.

Lisäksi Microsoft tarjoaa "harjoitettavia luokittajia", jotka käyttävät koneoppimismalleja tunnistamaan luottamuksellisia tietoja sisällön perusteella sen sijaan, että ne yksinkertaisesti täsmäytetään kuvioiden tai sisällön elementtien avulla. Luokittelutoiminto oppii tunnistamaan sisältötyypin katsomalla lukuisia esimerkkejä luokiteltavasta sisällöstä. Luokittelun harjoittaminen alkaa antamalla sille esimerkkejä tietyn luokan sisällöstä. Kun malli on oppinut näistä esimerkeistä, se testataan lisäämällä siihen vastaavia ja vastaamattomia esimerkkejä. Luokittelutoiminto ennustaa, kuuluuko tietty esimerkki luokkaan vai ei. Tämän jälkeen henkilö vahvistaa tulokset lajittelemalla positiiviset, negatiiviset, false-positiiviset ja false-negatiiviset parantaakseen luokittelun ennusteiden tarkkuutta. Kun koulutettu luokitus julkaistaan, se käsittelee sisältöä Microsoft Office SharePoint Online, Exchange Online ja OneDrive for Business ja luokittelee sisällön automaattisesti.

Luottamuksellisuustunnisteiden käyttäminen asiakirjoihin ja sähköposteihin upottaa metatietoja, jotka tunnistavat valitun luottamuksellisuustunnisteen objektissa. Sen jälkeen luottamuksellisuus kulkee tietojen mukana. Vaikka nimetty asiakirja olisi tallennettu käyttäjän työpöydälle tai paikalliseen järjestelmään, se on silti suojattu. Tämän toiminnon avulla muut Microsoft 365 ratkaisut, kuten Microsoft Defender for Cloud Apps tai verkon reunalaitteet, voivat tunnistaa luottamuksellisia tietoja ja ottaa automaattisesti käyttöön suojauksen hallintatoimia. Luottamuksellisuustunnisteiden etuna on myös se, että työntekijöille kerrotaan, mitä tietoja organisaatiossa pidetään luottamuksellisina ja miten tietoja käsitellään, kun he saavat ne.

Microsoft Purview Data Loss Prevention (DLP) tunnistaa automaattisesti luottamuksellisia tietoja sisältävät asiakirjat, sähköpostiviestit ja keskustelut skannaamalla ne luottamuksellisten tietojen osalta ja valvomalla sitten kyseisten objektien käytäntöä. Käytäntöjä käytetään SharePoint- ja OneDrive for Business asiakirjoissa. Ne pakotetaan myös silloin, kun käyttäjät lähettävät sähköpostia, ja Teams keskusteluja ja kanavakeskusteluja. Käytännöt voidaan määrittää etsimään avainsanoja, luottamuksellisia tietotyyppejä, säilytysotsikoita ja sitä, jaetaanko tietoja organisaatiossa vai ulkoisesti. Ohjausobjektit auttavat organisaatioita hienosäätämään DLP-käytäntöjä false-positiivisten vähentämiseksi. Kun luottamuksellisia tietoja löytyy, Microsoft 365 sovellusten käyttäjille voidaan näyttää mukautettavia käytäntövihjeitä, joiden avulla he voivat ilmoittaa, että heidän sisältönsä sisältää luottamuksellisia tietoja, ja ehdottaa sitten korjaavia toimia. Käytännöt voivat myös estää käyttäjiä käyttämästä asiakirjoja, jakamasta asiakirjoja tai lähettämästä tietyntyyppisiä arkaluonteisia tietoja sisältäviä sähköpostiviestejä. Microsoft 365 tukee yli 100:aa sisäistä luottamuksellista tietotyyppiä. Organisaatiot voivat määrittää mukautettuja luottamuksellisia tietotyyppejä käytäntöjensä mukaisesti.

Microsoft Purview Information Protection- ja DLP-käytäntöjen käyttöönotto organisaatioissa edellyttää huolellista suunnittelua ja käyttäjän koulutusohjelmaa, jotta työntekijät ymmärtävät organisaation tietojen luokitusrakenteen ja sen, minkä tyyppisiä tietoja pidetään luottamuksellisina. Tarjoamalla työntekijöille työkaluja ja koulutusohjelmia, joiden avulla he tunnistavat arkaluonteisia tietoja ja ymmärtävät, miten he voivat käsitellä niitä, he ovat osa ratkaisua tietoturvariskien lieventämiseksi.

Käyttäjätietojen suojauksen luomia ja käyttäjätietojen suojaamiseen syötettyjä signaaleja voidaan syöttää myös työkaluihin, kuten ehdolliseen käyttöön käyttöoikeuspäätösten tekemiseksi, tai suojaustietoihin ja tapahtumienhallintatyökaluun (SIEM) organisaation pakotettujen käytäntöjen perusteella.

Käyttäjätietojen suojauksen avulla organisaatiot voivat automaattisesti suojautua käyttäjätietojen vaarantumiselta hyödyntämällä pilvitietoja, jotka perustuvat heuristiikkaan, käyttäjien ja entiteettien käyttäytymisanalytiikkaan sekä koneoppimiseen koko Microsoft-ekosysteemissä.

Tietotyöntekijä on kuvattu suuren näyttövalikoiman edessä.

Puolusta linnoitusta

Microsoft lanseerasi hiljattain Microsoft 365 Defender-ratkaisun, joka on suunniteltu suojaamaan nykyaikainen organisaatio kehittyvältä uhkamaisemalta. Hyödyntämällä älykästä Graph Threat Protection -ratkaisu tarjoaa kattavan ja integroidun suojauksen useita hyökkäysvektoreita vastaan.

Älykäs suojaus -Graph

Microsoft 365 suojauspalvelut perustuvat älykkään suojauksen Graph. Älykkään suojauksen Graph käyttää edistynyttä analytiikkaa microsoftin ja sen kumppaneiden uhkatietojen ja tietoturvasignaalien linkittämiseen kyberuhkien torjumiseksi. Microsoft käyttää globaaleja palveluita valtavassa mittakaavassa keräten biljoonia suojaussignaaleja, jotka tehostavat suojauskerroksia pinon yli. Koneoppimismallit arvioivat tätä älykkyyttä, ja signaalien ja uhkien merkitykselliset tiedot jaetaan laajasti tuotteissamme ja palveluissamme. Tämän avulla voimme havaita uhat ja vastata niihin nopeasti ja tuoda toiminnallisia ilmoituksia ja tietoja asiakkaille korjattavaksi. Koneoppimismallejamme harjoitetaan jatkuvasti ja päivitetään uusilla merkityksellisillä tiedoilla, mikä auttaa meitä kehittämään entistä turvallisempia tuotteita ja tarjoamaan ennakoivampaa suojausta.

Microsoft Defender for Office 365 tarjoaa integroidun Microsoft 365 -palvelun, joka suojaa organisaatioita haitallisilta linkeiltä ja haittaohjelmilta, jotka toimitetaan sähköpostitse ja Office asiakirjojen kautta. Yksi yleisimmistä hyökkäysvektoreista, joka vaikuttaa käyttäjiin nykyään, on sähköpostin tietojenkalasteluhyökkäykset. Nämä hyökkäykset voidaan kohdistaa tietyille käyttäjille, ja ne voivat olla erittäin vakuuttavia, ja ne voivat sisältää toimintokutsun, joka kehottaa käyttäjää napsauttamaan haitallista linkkiä tai avaamaan liitteen, joka sisältää haittaohjelmia. Kun tietokone on tartutettu, hyökkääjä voi joko varastaa käyttäjän tunnistetiedot ja siirtyä sivuttain koko organisaatioon tai suodattaa sähköpostiviestit ja tiedot luottamuksellisten tietojen etsimistä varten. Defender for Office 365 tukee turvallisia liitteitä ja turvallisia linkkejä arvioimalla tiedostoja ja linkkejä napsautushetkellä mahdollisesti haitallisia aikomuksia varten ja estää käytön. Sähköpostiliitteet avataan suojatussa eristyksessä, ennen kuin ne toimitetaan käyttäjän postilaatikkoon. Se arvioi myös haitallisten URL-osoitteiden linkkejä Office asiakirjoissa. Defender for Office 365 suojaa myös SharePoint Onlinen, OneDrive for Business:n ja Teams linkit ja tiedostot. Jos haitallinen tiedosto havaitaan, Defender for Office 365 lukitsee tiedoston automaattisesti mahdollisten vahinkojen vähentämiseksi.

Microsoft Defender for Endpoint on yhdistetty päätepisteen suojausympäristö ennaltaehkäisevää suojausta, murron jälkeistä tunnistusta sekä automatisoitua tutkintaa ja reagointia varten. Defender for Endpoint tarjoaa valmiita ominaisuuksia luottamuksellisten tietojen etsimiseen ja suojaamiseen yrityksen päätepisteissä.

Microsoft Defender for Cloud Apps avulla organisaatiot voivat ottaa käyttöön eriytettyjä käytäntöjä ja tunnistaa yksittäisiin käyttäjäprofiileihin perustuvia käyttäytymispoikkeamia, jotka määritetään automaattisesti koneoppimisen avulla. Defender for Cloud Apps -käytännöt voivat käyttää Azuren ehdollisten käyttöoikeuksien käytäntöjä luottamuksellisten yritysresurssien suojaamiseksi arvioimalla muita signaaleja, jotka liittyvät käyttäjien toimintaan ja käytettävien asiakirjojen ominaisuuksiin. Ajan mittaan Defender for Cloud Apps oppii, mikä on tyypillistä kullekin työntekijälle heidän käyttämiensä tietojen ja heidän käyttämiensä sovellusten suhteen. Opittuihin toimintatapoihin perustuvien käytäntöjen avulla käytännöt voivat sitten automaattisesti pakottaa suojauksen hallinnan, jos työntekijä toimii kyseisen toimintaprofiilin ulkopuolella. Jos työntekijä esimerkiksi tavallisesti käyttää kirjanpitosovellusta maanantaista perjantaihin klo 9.00-17.00, mutta alkaa yhtäkkiä käyttää kyseistä sovellusta voimakkaasti sunnuntai-iltana, Defender for Cloud Apps voi dynaamisesti valvoa käytäntöjä, jotka edellyttävät käyttäjän todennusta uudelleen. Tämä auttaa varmistamaan, että käyttäjän tunnistetietoja ei ole vaarantunut. Defender for Cloud Apps voi myös auttaa tunnistamaan "varjo-IT:n" organisaatiossa, mikä auttaa tietoturvatiimejä varmistamaan, että työntekijät käyttävät hyväksyttyjä työkaluja käsitellessaan luottamuksellisia tietoja. Lopuksi Defender for Cloud Apps voi suojata luottamuksellisia tietoja missä tahansa pilvipalvelussa jopa Microsoft 365 ympäristön ulkopuolella. Sen avulla organisaatiot voivat hyväksyä (tai olla hyväksymättä) tiettyjä ulkoisia pilvipalvelusovelluksia, hallita käyttöoikeuksia ja valvoa käyttöä.

Microsoft Defender for Identity on pilvipohjainen suojausratkaisu, joka hyödyntää paikallinen Active Directory signaalejasi, jotta voit tunnistaa, tunnistaa ja tutkia kehittyneitä uhkia, vaarantuneita käyttäjätietoja ja organisaatioosi suunnattuja haitallisia insider-toimintoja. AATP:n avulla SecOp-analyytikot ja tietoturva-ammattilaiset voivat havaita kehittyneitä hyökkäyksiä hybridiympäristöissä:

  • Valvo käyttäjiä, entiteetin toimintaa ja toimintoja oppimispohjaisen analytiikan avulla.
  • Suojaa Active Directoryyn tallennetut käyttäjätiedot ja tunnistetiedot.
  • Tunnista ja tutki epäilyttäviä käyttäjän toimia ja kehittyneitä hyökkäyksiä koko tappoketjussa.
  • Anna selkeät tapaustiedot yksinkertaisella aikajanalla nopeaa triagea varten.

Toimistotyöntekijät tapaavat pienessä neuvotteluhuoneessa. Yksi pitää esityksen.

Hallitse tietoja ja tietueita

Rahoituslaitosten on säilytettävä kirjanpitonsa ja tietonsa lakisääteisten, oikeudellisten ja liiketoimintavelvoitteidensa mukaisesti, sellaisina kuin ne ovat edustettuina yritysten säilytysaikataulussa. Esimerkiksi SEC valtuuttaa 3–6 vuoden säilytysajat tietuetyypin perusteella ja on heti käytettävissä kahden ensimmäisen vuoden ajan. Organisaatioihin kohdistuu lainmukaisten ja säädösten noudattamiseen liittyviä riskejä, jos tietoja säilytetään liian vähän (ne hylätään liian aikaisin) ja ne hallinnoivat nyt myös määräyksiä, jotka valtuuttavat luovutuksen, kun tietoja ei enää tarvita. Tehokkaassa tietueiden hallintastrategiassa korostetaan käytännöllistä ja johdonmukaista lähestymistapaa, jotta tiedot hävitetään asianmukaisesti ja samalla minimoidaan kustannukset ja riskit organisaatiolle.

Lisäksi New Yorkin ulkoministeriön lakisääteiset valtuudet edellyttävät, että katetut yksiköt säilyttävät ei-julkista tietoa koskevat käytännöt ja menettelyt. 23 NYCRR 500, osio 500.13, Tietojen säilytystä koskevat rajoitukset edellyttävät, että "osana kyberturvallisuusohjelmaan kunkin katetun yksikön on sisällettävä suojatun luovutuksen käytännöt ja menettelyt säännöllisin väliajoin kaikkien tämän osan 500.01(g)(2)-(3) kohdassa yksilöityjen ei-julkisiin tietoihin perustuen, jotka eivät ole enää tarpeen liiketoimintatoiminnassa tai muissa katetun yksikön laillisissa liiketoimintatarkoituksessa, paitsi, jos nämä tiedot on muutoin säilytettävä laissa tai asetuksessa."

Rahoituslaitokset hallinnoivat valtavia tietomääriä. Jotkin säilytysajat käynnistyvät tapahtumista, kuten sopimuksen päättymisestä tai organisaatiosta poistumisesta. Tässä ilmapiirissä tietueiden säilytyskäytäntöjen käyttöönotto voi olla haastavaa. Tavat, joilla tietueiden säilytysjaksot määritetään tarkasti organisaation asiakirjojen välillä, voivat vaihdella. Jotkin soveltavat säilytyskäytäntöjä laajasti tai hyödyntävät automaattista luokittelua ja koneoppimistekniikoita. Toiset tunnistavat lähestymistavan, joka edellyttää tarkempia prosesseja, jotka määrittävät säilytysajat yksilöllisesti yksittäisille asiakirjoille.

Microsoft 365 tarjoaa joustavat ominaisuudet säilytystunnisteiden ja käytäntöjen määrittämiseen tietueiden hallintavaatimusten älykkääseen toteuttamiseen. Tietueiden hallinta määrittää säilytysotsikon, joka edustaa "tietuetyyppiä" perinteisessä säilytysaikataulussa. Säilytysotsikko sisältää asetukset, jotka määrittävät seuraavat tiedot:

  • Kuinka kauan tietuetta säilytetään
  • Mitä tapahtuu, kun säilytysaika päättyy (poista asiakirja, aloita poistaminen tai älä tee mitään)
  • Mikä käynnistää säilytysajan alkamispäivän (luontipäivämäärä, viimeisin muokkauspäivä, nimetty päivämäärä tai tapahtuma) ja merkitsee asiakirjan tai sähköpostin tietueeksi (eli sitä ei voi muokata tai poistaa)

Säilytysotsikot julkaistaan sitten SharePoint tai OneDrive sivustoihin, Exchange postilaatikoihin ja Microsoft 365 ryhmiin. Käyttäjät voivat käyttää säilytystunnisteita manuaalisesti asiakirjoissa ja sähköposteissa. Tietuepäälliköt voivat käyttää älykkyyttä ottaakseen tunnisteet automaattisesti käyttöön. Älykkäät toiminnot voivat perustua yli 90 sisäiseen luottamukselliseen tietotyyppiin (kuten ABA-retken numeroon, Yhdysvaltalaisen pankkitilin numeroon tai Yhdysvaltain sosiaaliturvatunnukseen). Ne ovat myös mukautettavissa asiakirjojen tai sähköpostiviestien avainsanojen tai luottamuksellisten tietojen, kuten luottokorttinumeroiden tai muiden tunnistustietojen tai SharePoint metatietojen perusteella. Tiedoille, joita ei ole helppo tunnistaa manuaalisten tai automatisoitujen kuviovastaavuuksien avulla, harjoittelijaluokittajia voidaan käyttää asiakirjojen älykkääseen luokitteluun koneoppimistekniikoiden perusteella.

Arvopaperi- ja Exchange komissio (SEC) edellyttää, että meklari-jälleenmyyjät ja muut säännellyt rahoituslaitokset säilyttävät kaiken liiketoimintaan liittyvän viestinnän. Nämä vaatimukset koskevat monenlaisia viestejä ja tietoja, kuten sähköpostiviestejä, asiakirjoja, pikaviestejä, fakseja ja paljon muuta. SEC-sääntö 17a-4 määrittää kriteerit, jotka näiden organisaatioiden on täytettävä tietueiden tallentamiseksi sähköiseen tietojen tallennusjärjestelmään. Vuonna 2003 SEC julkaisi julkaisun, joka selvensi näitä vaatimuksia. Se sisälsi seuraavat ehdot:

  • Sähköisessä tallennusjärjestelmässä säilytettävien tietojen on oltava uudelleenkirjoitettavissa ja ei-hävitettäviä. Tätä kutsutaan WORM-vaatimukseksi (kirjoita kerran, lue monta).
  • Tallennusjärjestelmän on voitava tallentaa tietoja, jotka ylittävät säännön vaatiman säilytysajan, jos kyseessä on haaste tai muu oikeusjärjestys.
  • Organisaatio ei rikkoisi säännön kohdan (f)(2)(ii)(A) vaatimusta, jos se käyttäisi sähköistä tallennusjärjestelmää, joka estää tietueen korvaamisen, poistamisen tai muulla tavoin muuttamisen sen vaaditun säilytysajan aikana käyttämällä integroituja laitteisto- ja ohjelmistovalvontakoodeja.
  • Sähköiset tallennusjärjestelmät, jotka vain lieventävät riskiä siitä, että tietue korvataan tai poistetaan esimerkiksi käyttöoikeuksien valvonnan avulla, eivät täytä säännön vaatimuksia.

Auttaakseen rahoituslaitoksia täyttämään SEC-säännön 17a-4 vaatimukset, Microsoft 365 tarjoaa yhdistelmän ominaisuuksia, jotka liittyvät siihen, miten tiedot säilytetään, käytäntöihin määritetään ja tiedot tallennetaan palveluun. Näitä ovat esimerkiksi seuraavat:

  • Tietojen säilyttäminen (sääntö 17a-4(a), (b)(4)) – Säilytystunnisteet ja -käytännöt ovat joustavia organisaation tarpeiden täyttämiseksi, ja niitä voidaan soveltaa automaattisesti tai manuaalisesti erityyppisiin tietoihin, asiakirjoihin ja tietoihin. Tuettuja tietotyyppejä ja viestintää tuetaan, mukaan lukien SharePoint ja OneDrive for Business olevat asiakirjat, Exchange Online postilaatikoiden tiedot ja Teams tiedot.

  • Muotoa ei voi kirjoittaa uudelleen, eikä sitä voi poistaa (sääntö 17a-4(f)(2)(ii)(A)) – Säilytyskäytäntöjen säilyttämisen lukitusominaisuus antaa tietueiden ylläpitäjille ja järjestelmänvalvojille mahdollisuuden määrittää säilytyskäytännöt rajoittaviksi siten, että niitä ei voi enää muokata. Tämä estää kaikkia poistamasta, poistamasta käytöstä tai muokkaamasta säilytyskäytäntöä millään tavalla. Tämä tarkoittaa sitä, että kun säilyttämisen lukitus on otettu käyttöön, sitä ei voi poistaa käytöstä eikä mitään menetelmää, jolla säilytyskäytäntöä olisi käytetty, voida korvata, muokata tai poistaa säilytysjakson aikana. Lisäksi säilytysaikaa ei voi lyhentää. Säilytysaikaa voidaan kuitenkin pidentää, kun tietojen säilyttämisen jatkamiseen on lakisanallinen vaatimus.

    Kun säilytyskäytäntöön sovelletaan säilyttämislukitusta, seuraavat toimet ovat rajoitettuja:

    • Käytännön säilytysaikaa voidaan vain nostaa. Sitä ei voi lyhentää.
    • Käyttäjiä voidaan lisätä käytäntöön, mutta käytännön nykyisiä käyttäjiä ei voi poistaa.
    • Organisaation järjestelmänvalvoja ei voi poistaa säilytyskäytäntöä.

    Preservation Lock auttaa varmistamaan, että yksikään käyttäjä, ei edes järjestelmänvalvoja, jolla on korkein käyttöoikeustaso, ei voi muuttaa asetuksia, muokata, korvata tai poistaa tallennettuja tietoja, jolloin arkistointi Microsoft 365 SEC 2003 -julkaisussa annettujen ohjeiden mukaisesti.

  • Tallennustilan/sarjoituksen ja tietojen indeksoinnin laatu, tarkkuus ja vahvistus (sääntö 17a-4(f)(2) (ii)(B) ja (C)) – Office 365 kuormitukset sisältävät kaikki ominaisuudet, joilla tarkistetaan automaattisesti tallennusvälineisiin tallennettavan prosessin laatu ja tarkkuus. Lisäksi tiedot tallennetaan käyttämällä metatietoja ja aikaleimaa, jotta voidaan varmistaa riittävä indeksointi, jotta tietoja voidaan hakea tehokkaasti.

  • Kopioiden kaksoiskappaleiden erillinen tallennustila (sääntö 17a-4(f)(3(iii)) – Office 365 pilvipalvelu tallentaa kopioiden kopiot tiedoista korkean käytettävyyden keskeisenä osana. Tämä toteutetaan ottamalla redundanssi käyttöön kaikilla palvelun tasoilla, myös fyysisellä tasolla kaikissa palvelimilla, palvelintasolla palvelinkeskuksessa ja palvelutasolla maantieteellisesti hajallaan olevia palvelinkeskuksia varten.

  • Ladattavat ja käytettävissä olevat tiedot (sääntö 17a-4(f)(2)(ii)(D)) – Office 365 yleensä sallii tietojen, jotka on merkitty säilytykseen, hakemisen, käyttämisen ja lataamisen paikallaan. Sen avulla Exchange Online arkistojen tietoja voidaan hakea käyttämällä sisäisiä eDiscovery-ominaisuuksia. Tiedot voidaan sitten ladata tarpeen mukaan vakiomuodoissa, kuten EDRML ja PST.

  • Valvontavaatimukset (sääntö 17a-4(f)(3)(v)) – Office 365 tarjoaa valvontalokin jokaiselle järjestelmänvalvojan ja käyttäjän toiminnolle, joka muokkaa tieto-objekteja, määrittää tai muokkaa säilytyskäytäntöjä, suorittaa eDiscovery-hakuja tai muokkaa käyttöoikeuksia. Office 365 ylläpitää kattavaa kirjausketjua, mukaan lukien tietoja siitä, kuka suoritti toiminnon, milloin se suoritettiin, tietoja toiminnosta ja suoritetuista komennoista. Valvontaloki voidaan sitten tulostaa ja sisällyttää osana virallisia valvontaprosesseja tarpeen mukaan.

Lopuksi sääntö 17a-4 edellyttää, että organisaatiot säilyttävät tietueita monentyyppisille tapahtumille, jotta ne ovat heti käytettävissä kahden vuoden ajan. Tietueita on säilytettävä edelleen 3–6 vuotta ilman välitöntä käyttöoikeutta. Päällekkäisiä tietueita on säilytettävä myös saman ajan sivuston ulkopuolisessa sijainnissa. Microsoft 365 tietueiden hallintatoiminnot mahdollistavat tietueiden säilyttämisen siten, että niitä ei voi muokata tai poistaa, mutta niitä voi käyttää helposti tietueiden hallinnan hallitseman ajanjakson ajan. Nämä jaksot voivat kestää päiviä, kuukausia tai vuosia organisaation vaatimustenmukaisuusvelvoitteiden mukaan.

Microsoft toimittaa pyydettäessä todentamiskirjeen SEC 17a-4:n noudattamisesta, jos organisaatio sitä vaatii.

Lisäksi nämä ominaisuudet auttavat Microsoft 365 täyttämään YHDYSVALTAIN hyödykefutuurin kauppakomission cftc-säännön 1.31(c)-(d) tallennusvaatimukset ja rahoitusalan sääntelyviranomaisen FINRA Rule Series 4510-säännön vaatimukset. Yhdessä nämä säännöt edustavat kaikkein ohjailevinta ohjeistusta maailmanlaajuisesti, jotta rahoituslaitokset voivat säilyttää kirjanpitoa.

Lisätietoja siitä, miten Microsoft 365 noudattaa SEC-sääntöä 17a-4 ja muita säännöksiä, on saatavilla kohdassa Office 365 Exchange Online SEC 17a-4(f) / CFTC 1.31(c)-(d) cohasset Associatesin toimesta.

Eettisten muurien luominen tietoesteiden avulla

Rahoituslaitoksiin voidaan soveltaa säädöksiä, jotka estävät tietyissä tehtävissä olevia työntekijöitä vaihtamasta tietoja tai tekemästä yhteistyötä muiden tehtävien kanssa. Esimerkiksi FINRA on julkaissut säännöt 2241(b)(2)(G), 2242(b)(2) (D), (b)(2)(H)(ii) ja (b)(2)(H)(iii), jotka vaativat jäseniä:

"G) vahvistetaan tietoesteet tai muut institutionaaliset suojatoimet, joiden kohtuudella tarkoituksena on varmistaa, että tutkimusanalyytikot ovat eristyneet investointipankkitoimintaan osallistuvien henkilöiden tai muiden henkilöiden, myös myynti- ja kauppahenkilöstön, tarkastelusta, painostamisesta tai valvonnasta ja että "H) laatii tietoesteitä tai muita institutionaalisia suojatoimia, joiden tarkoituksena on kohtuudella varmistaa, että velkatutkimusanalyytikot ovat eristyneitä sellaisten henkilöiden tarkastelu, painostus tai valvonta, jotka harjoittavat: i) investointipankkipalveluja; ii) pääasiallinen kaupankäynti tai myynti ja kaupankäynti; ja iii) muut henkilöt, jotka saattavat olla puolueellisia tuomiossaan tai valvonnassaan;"

Viime kädessä nämä säännöt edellyttävät, että organisaatiot laativat politiikkoja ja toteuttavat tietoesteitä pankkipalveluihin, myyntiin tai kaupankäyntiin osallistuvien roolien välillä vaihtamalla tietoja ja viestintää analyytikoiden kanssa.

Tietoesteet mahdollistavat eettisten seinien muodostamisen Office 365 ympäristöön, jolloin vaatimustenmukaisuuden järjestelmänvalvojat tai muut valtuutetut järjestelmänvalvojat voivat määrittää käytäntöjä, jotka mahdollistavat tai estävät viestintää käyttäjäryhmien välillä Teams. Tietoesteet tekevät tarkastuksia tietyissä toimissa luvattoman viestinnän estämiseksi. Tietoesteet voivat myös rajoittaa viestintää tilanteissa, joissa sisäiset tiimit työstävät fuusioita/yritysostoja tai arkaluonteisia sopimuksia tai työskentelevät arkaluontoisten sisäisten tietojen parissa, joita on rajoitettava voimakkaasti.

Tietoesteet tukevat keskusteluja ja tiedostoja Teams. Ne voivat estää seuraavanlaiset viestintään liittyvät toimet FINRA:n säädösten noudattamisen helpottamiseksi:

  • Hae käyttäjää
  • Lisää jäsen ryhmään tai jatka osallistumista toisen ryhmän jäsenen kanssa
  • Aloita tai jatka keskusteluistuntoa
  • Aloita ryhmäkeskustelu tai jatka sitä
  • Kutsu joku kokoukseen
  • Näytön jakaminen
  • Soita puhelu

Valvontavalvonnan toteuttaminen

Rahoituslaitosten on yleensä luotava organisaatiossaan valvontatoiminto ja ylläpidettävä sitä työntekijöiden toiminnan seuraamiseksi ja sen auttamiseksi sovellettavien arvopaperilakien noudattamisen varmistamiseksi. FINRA on erityisesti todennut seuraavat valvontavaatimukset:

  • FINRA:n säännössä 3110 (valvonta) säädetään, että yrityksillä on kirjallinen valvontamenettely työntekijöidensä toiminnan ja sen toimintaan osallistuvan yritystyypin valvomiseksi. Muiden vaatimusten lisäksi menettelyissä on oltava seuraavat:

    • Valvontahenkilöstön valvonta
    • Katsaus yrityksen investointipankkitoimintaan, arvopaperiliiketoimintaan, sisäiseen viestintään ja sisäisiin tutkimuksiin
    • Insider-kaupankäyntiin liittyvien liiketoimien tarkastelu
    • Kirjeenvaihdon ja valitusten tarkastelu

    Menettelyissä on kuvattava henkilöt, jotka vastaavat tarkistuksista, valvontatoimista, joita kukin henkilö suorittaa, tarkastelutiheys sekä tarkasteltavien asiakirjojen tai viestinnän tyypit.

  • FINRA:n sääntöjen 3120 (valvontajärjestelmä) mukaan yrityksillä on oltava valvontakäytäntöjen ja -menettelyjen järjestelmä, joka vahvistaa niiden 3110 artiklan mukaiset kirjalliset valvontamenettelyt. Yrityksillä on oltava paitsi WSP:t myös politiikka, joka testaa näitä menettelyjä vuosittain vahvistaakseen kykynsä varmistaa sovellettavien arvopaperilakien ja -säännösten noudattaminen. Riskipohjaisia menetelmiä ja näytteenottoa voidaan käyttää testauksen laajuuden määrittämiseen. Tämä sääntö edellyttää muun muassa sitä, että yritykset antavat ylimmälle johdolle vuosikertomuksen, joka sisältää yhteenvedon testituloksista ja merkittävistä poikkeuksista tai muutetuista menettelyistä testitulosten johdosta.

Toimistotyöntekijä tarkastelee kaaviota ja taulukoita näytössä, kun taas muut tapaavat taustalla.

Viestinnän vaatimustenmukaisuus

Tietoliikenneyhteensopivuuden avulla organisaatiot voivat esimääritellä käytäntöjä työntekijöiden viestinnän sieppaamiseksi valtuutettujen valvojien valvomista ja tarkistamista varten. Viestintäyhteensopivuuteen liittyvät käytännöt voivat siepata sisäisiä tai ulkoisia sähköpostiviestejä ja liitteitä, Teams keskustelu- ja kanavaviestintää sekä Skype for Business Online-keskusteluviestintää ja -liitteitä. Lisäksi viestinnän vaatimustenmukaisuus voi käyttää kolmannen osapuolen palveluiden (kuten Bloombergin, Thomson Reutersin, LinkedInin, Twitterin, Facebookin, Boxin ja Dropbox) viestintää ja tietoja. Organisaation sisällä kaapattavien ja tarkasteltavien viestinnän kattava luonne ja laajat ehdot, joilla käytäntöjä voidaan määrittää, mahdollistavat viestintäkäytäntöjen noudattamisen, jotta rahoituslaitokset voivat noudattaa FINRA:n sääntöä 3110. Käytännöt voidaan määrittää tarkastelemaan henkilöiden tai ryhmien viestintää. Nimetyt esimiehet voidaan määrittää yksilö- tai ryhmätasolla. Kattavat ehdot voidaan määrittää sieppaamaan viestejä, jotka perustuvat saapuviin tai lähtevään viestiin, toimialueisiin, säilytyskoosteisiin, avainsanoihin tai lauseisiin, avainsanasanastoihin, luottamuksellisiin tietotyyppeihin, liitteisiin, viestin kokoon tai liitteen kokoon. Tarkistajat saavat koontinäytön, jossa he voivat tarkastella merkittyjä viestejä, toimia viestinnässä, joka mahdollisesti rikkoo käytäntöjä, ja merkitä merkityt kohteet ratkaistuiksi. He voivat myös tarkastella aiemmin ratkaistujen tarkistusten ja kohteiden tuloksia.

Viestinnän vaatimustenmukaisuus tarjoaa raportteja, joiden avulla käytäntöjen tarkistustoimia voidaan valvoa käytännön ja tarkistajan perusteella. Raporttien avulla voidaan varmistaa, että käytännöt toimivat organisaation kirjallisten valvontakäytäntöjen mukaisesti. Niiden avulla voidaan myös tunnistaa uudelleentarkastelua edellyttävä viestintä ja viestintä, joka ei ole yhteensopiva yrityskäytännön kanssa. Lopuksi kaikki käytäntöjen määrittämiseen ja viestinnän tarkistamiseen liittyvät toiminnot valvotaan Office 365 yhtenäisessä valvontalokissa. Näin ollen tiedonannon noudattaminen auttaa myös rahoituslaitoksia noudattamaan FINRA 3120 sääntöä.

FINRA-sääntöjen noudattamisen lisäksi viestinnän vaatimustenmukaisuus antaa organisaatioille mahdollisuuden valvoa viestintää muiden oikeudellisten vaatimusten, yrityskäytäntöjen ja eettisten standardien noudattamiseksi. Viestinnän yhteensopivuus tarjoaa sisäisiä uhkia, häirintää ja hävyttömyysluokitteluja, jotka auttavat vähentämään vääriä positiivisia asioita viestintää tarkasteltaessa, mikä säästää tarkistajien aikaa tutkimus- ja korjausprosessin aikana. Sen avulla organisaatiot voivat myös vähentää riskejä seuraamalla viestintää, kun niihin tehdään arkaluonteisia muutoksia, kuten fuusioita ja yritysostoja tai johtajuusmuutoksia.

Tietotyöntekijä keskittyy näyttöön.

Suojautuminen tietojen suodatusta ja insider-riskejä vastaan

Yleinen uhka yrityksille on tietojen suodatus tai tietojen poimiminen organisaatiolta. Tämä riski voi olla rahoituslaitoksille merkittävä huolenaihe, koska tiedot, joita voidaan käyttää päivittäin, ovat arkaluonteisia. Käytettävissä olevien viestintäkanavien määrän lisääntyessä ja tietojen siirtotyökalujen lisääntyessä tarvitaan tyypillisesti kehittyneitä ominaisuuksia tietovuotojen, poliittisten rikkomusten ja insider-riskin riskien vähentämiseksi.

Sisäisten käyttäjien riskin hallinta

Se, että työntekijöille otetaan käyttöön online-yhteistyötyökaluja, joita voi käyttää missä tahansa, aiheuttaa organisaatiolle riskejä. Työntekijät saattavat tahattomasti tai haitallisesti vuotaa tietoja hyökkääjille tai kilpailijoille. Vaihtoehtoisesti hän voi suodattaa tietoja henkilökohtaiseen käyttöön tai viedä tietoja mukanaan tulevalle työnantajalle. Nämä skenaariot aiheuttavat vakavia riskejä rahoituspalvelulaitoksille sekä turvallisuuden että vaatimustenmukaisuuden kannalta. Näiden riskien tunnistaminen niiden tapahtuessa ja niiden nopea lieventäminen edellyttää sekä älykkäitä työkaluja tiedonkeruuseen että yhteistyöhön eri osastojen välillä, kuten juridiset resurssit, henkilöstöhallinto ja tietoturva.

Microsoft 365 äskettäin käynnistänyt insider-riskinhallintaratkaisun, joka korreloi signaaleja eri Microsoft 365 palveluissa ja analysoi koneoppimismallien avulla käyttäjien toimintaa piilotettujen mallien ja insider-riskin merkkien varalta. Tämä työkalu mahdollistaa yhteistyön suojaustoimintojen, sisäisten tutkijoiden ja henkilöstöhallinnon välillä, jotta ne voivat helposti korjata tapauksia ennalta määritettyjen työnkulkujen perusteella.

Insider-riskinhallinta voi esimerkiksi korreloida käyttäjän Windows 10 työpöydän signaaleja, kuten tiedostojen kopioimista USB-asemaan tai henkilökohtaisen sähköpostitilin lähettämistä sähköpostitse, online-palvelut toimintoja, kuten Office 365 sähköposti, SharePoint Online, Microsoft Teams tai OneDrive for Business tietojen suodatusmallien tunnistamiseksi. Se voi myös korreloida nämä toimet työntekijöiden kanssa, jotka lähtevät organisaatiosta, mikä on yleinen tietojen suodatusmalli. Se voi seurata useita toimintoja ja toimintaa ajan kuluessa. Kun yleisiä malleja ilmenee, se voi herättää hälytyksiä ja auttaa tutkijoita keskittymään keskeisiin toimiin, joilla varmistetaan käytäntörikkomus, jolla on korkea luottamus. Insider-riskinhallinta voi anonymisoida tutkijoiden tietoja tietosuojamääräysten täyttämiseksi ja samalla hyödyntää keskeisiä toimia, jotka auttavat heitä suorittamaan tutkimuksia tehokkaasti. Sen avulla tutkijat voivat pakata ja lähettää turvallisesti keskeisiä toimintatietoja henkilöstöhallintoon ja oikeudellisiin osastoihin yleisten eskalointityönkulkujen jälkeen tapausten nostamiseksi korjaustoimia varten.

Insider-riskinhallinta parantaa merkittävästi organisaatioiden ominaisuuksia valvoa ja tutkia insider-riskejä, samalla kun organisaatiot voivat edelleen noudattaa tietosuojamääräyksiä ja seurata vakiintuneita eskalointipolkuja, kun tapaukset edellyttävät ylemmän tason toimia. Lisätietoja Insider-riskinhallinnasta on kohdissa Nykyaikaiset riskikipupisteet ja Työnkulku Insider-riskinhallinnassa.

Puhelinkeskuksen työntekijä työpistetyypeissä näyttöä tarkastellessa.

Vuokraajarajoitukset

Organisaatiot, jotka käsittelevät luottamuksellisia tietoja ja korostavat tiukasti suojausta, haluavat yleensä hallita verkkoresursseja, joita käyttäjät voivat käyttää. Samalla he haluavat mahdollistaa suojatun yhteistyön esimerkiksi Office 365 online-palvelut avulla. Tämän seurauksena käyttäjien käytettävissä olevien Office 365 ympäristöjen hallitsemisesta tulee haaste, koska yrityksen laitteiden tietoja voidaan suodattaa joko haitallisesti tai tahattomasti ei-yhtiömäisten Office 365 ympäristöjen avulla. Organisaatiot rajoittavat perinteisesti toimialueita tai IP-osoitteita, joita käyttäjät voivat käyttää yrityksen laitteista. Tämä ei kuitenkaan toimi pilvien 1. maailmassa, jossa käyttäjien on laillisesti käytettävä Office 365 palveluita.

Microsoft 365 tarjoaa vuokraajarajoitukset tämän haasteen käsittelemiseen. Vuokraajarajoitukset voidaan määrittää rajoittamaan työntekijöiden käyttöoikeuksia ulkoisiin Office 365 yrityksen vuokraajissa käyttämällä konnaidentiteettejä (käyttäjätietoja, jotka eivät kuulu yrityksen hakemistoon). Tällä hetkellä vuokraajan rajoitukset koskevat koko vuokraajaa, joten käyttöoikeus koskee vain niitä vuokraajia, jotka näkyvät määrittämässäsi luettelossa. Microsoft kehittää edelleen tätä ratkaisua parantaakseen hallinnan askelväliä ja parantaakseen sen tarjoamia suojauksia.

GRAAFINEN.

Päätelmä

Microsoft 365 ja Teams tarjoavat rahoituspalveluyrityksille integroidun ja kattavan ratkaisun, joka mahdollistaa yksinkertaiset mutta tehokkaat pilvipohjaisen yhteistyön ja viestinnän ominaisuudet koko yrityksessä. Käyttämällä Microsoft 365 suojaus- ja yhteensopivuustekniikoita laitokset voivat toimia turvallisemmin ja vaatimustenmukaisempia tehokkailla suojauksen valvonnoilla suojatakseen tietoja, käyttäjätietoja, laitteita ja sovelluksia erilaisilta toiminnallisilta riskeiltä, mukaan lukien kyberturvallisuus ja insider-riskit. Microsoft 365 tarjoaa perustavaa laatua olevan suojatun ympäristön, jolla rahoituspalveluorganisaatiot voivat saavuttaa enemmän suojaamalla yritystään, työntekijöitään ja asiakkaitaan.