Az energiaipar legfontosabb megfelelőségi és biztonsági szempontjai

Bevezetés

Az energiaipar olyan üzemanyagot és kritikus infrastruktúrát biztosít a társadalom számára, amelyre az emberek mindennap támaszkodnak. A tömeges energiarendszerekhez kapcsolódó infrastruktúra megbízhatóságának biztosítása érdekében a szabályozó hatóságok szigorú előírásokat írnak elő az energiaipari szervezetek számára. Ezek a szabályozási előírások nemcsak a villamosenergia-termelésre és -átvitelre vonatkoznak, hanem az energiavállalatok napi működéséhez kritikus fontosságú adatokra és kommunikációra is.

Az energiaiparban működő szervezetek rendszeres működésük részeként számos különböző típusú információval dolgoznak és cserélnek. Ezek az információk közé tartoznak az ügyféladatok, a tőketervezési tervezési dokumentáció, az erőforrás-helytérképek, a projektvezetési összetevők, a teljesítménymetrikák, a helyszíni szolgáltatási jelentések, a környezeti adatok és a teljesítménymetrikák. Mivel ezek a szervezetek modern digitális platformokra szeretnék átalakítani üzemeltetési és együttműködési rendszereiket, megbízható felhőszolgáltatóként (CSP) és Microsoft 365-ként szeretnék használni a Microsoftot a legkedveltebb együttműködési platformként. Mivel a Microsoft 365 a Microsoft Azure platformra épül, a szervezeteknek mindkét platformot meg kell vizsgálniuk, mivel a felhőbe való áttéréskor figyelembe veszik a megfelelőséget és a biztonsági vezérlőket.

A Észak-Amerika a Észak-Amerika Electric Reliability Corporation (NERC) olyan megbízhatósági szabványokat alkalmaz, amelyeket NERC Critical Infrastructure Protection (CIP) szabványoknak nevezünk. A NERC-t az Egyesült Államok Szövetségi Energiaszabályozási Bizottsága (FERC) és a kanadai kormányzati hatóságok felügyelik. Minden tömeges energiarendszer-tulajdonosnak, üzemeltetőnek és felhasználónak regisztrálnia kell a NERC-ben, és meg kell felelnie a NERC CIP szabványainak. A felhőszolgáltatókra és külső gyártókra, például a Microsoftra nem vonatkoznak a NERC CIP szabványai. A CIP-szabványok azonban olyan célkitűzéseket is tartalmaznak, amelyeket figyelembe kell venni, amikor a regisztrált szervezetek szállítókat használnak a bulk electric system (BES) működésében. A Bulk Electric Systemst üzemeltető Microsoft-ügyfelek teljes mértékben felelősek a NERC CIP-szabványoknak való megfelelőségük biztosításáért.

A Microsoft felhőszolgáltatásairól és a NERC-ről az alábbi forrásanyagokban talál további információt:

• NERC CIP-szabványok és felhőalapú számítástechnika
• Felhőbevezetési útmutató a NERC-auditokhoz

Az energiaszervezetek által megfontolandó szabályozási szabványok közé tartozik a FedRAMP (US Federal Risk and Authorization Management Program), amely az NIST SP 800-53 Rev 4 szabványon (National Institute of Standards and Technology) alapul és egészíti ki.

• Microsoft Office 365 és Office 365 egyesült államokbeli kormány kapott egy FedRAMP ATO -t (működési engedélyt) mérsékelt hatásszinten.
• Az Azure és Azure Government kaptak egy FedRAMP High P-ATO -t (ideiglenes működési engedélyt), amely a FedRAMP-engedélyezés legmagasabb szintjét képviseli.

További információ a Microsoft felhőszolgáltatásairól és a FedRAMP-ről:

• A Microsoft FedRAMP áttekintése
• FedRAMP-jelentések Office 365

Ezek az eredmények jelentősek az energiaipar számára, mivel a FedRAMP Moderate kontrollkészlet és a NERC CIP-követelmények összehasonlítása azt mutatja, hogy a FedRAMP Moderate kontrollok az ÖSSZES NERC CIP-követelményt magukban foglalják. További információkért a Microsoft kifejlesztett egy felhőbevezetési útmutatót a NERC-auditokhoz , amely tartalmazza a NERC CIP-szabványok jelenlegi készlete és a FedRAMP Moderate vezérlőkészlet közötti vezérlőleképezést az NIST 800-53 Rev 4-ben dokumentált módon.

Mivel az energiaipar az együttműködési platformjaik modernizálását keresi, körültekintően kell eljárni az együttműködési eszközök és biztonsági vezérlők konfigurálásához és üzembe helyezéséhez, beleértve a következőket:

• Gyakori együttműködési forgatókönyvek értékelése
• Az alkalmazottak által a produktivitáshoz szükséges adatokhoz való hozzáférés
• Jogszabályi megfelelőségi követelmények
• Az adatokra, az ügyfelekre és a szervezetre vonatkozó kockázatok

A Microsoft 365 egy modern munkahelyi felhőkörnyezet. Biztonságos és rugalmas együttműködést biztosít a vállalaton belül, beleértve a szabályozást és a szabályzatkényszerítést, hogy megfeleljenek a legszigorúbb jogszabályi megfelelőségi keretrendszereknek. Az alábbi cikkekből megtudhatja, hogyan segíti a Microsoft 365 az energiaipart egy modern együttműködési platformra való áttérésben, miközben segít az adatok és a rendszerek biztonságának megőrzésében és a szabályozásoknak való megfelelésben:

• Átfogó együttműködési platform biztosítása a Microsoft Teamsszel
• Biztonságos és megfelelő együttműködés biztosítása az energiaiparban
• Bizalmas adatok azonosítása és az adatvesztés megelőzése
• Adatok szabályozása a rekordok hatékony kezelésével
• Az energiapiacokra vonatkozó FERC- és FTC-szabályzatoknak való megfelelés
• Védelem az adatkiszivárgás és az Insider-kockázat ellen

Microsoft-partnerként a Protiviti hozzájárult a cikkhez, és jelentős visszajelzéseket adott.

Átfogó együttműködési platform biztosítása a Microsoft Teamsszel

Az együttműködéshez általában többféle kommunikációs módra, dokumentumok tárolására és elérésére, valamint más alkalmazások szükség szerinti integrálására van szükség. Akár globális vállalatokról, akár helyi vállalatokról van szó, az energiaágazatban dolgozó alkalmazottaknak általában más részlegek vagy csapatok tagjaival kell együttműködniük és kommunikálniuk. Gyakran külső partnerekkel, szállítókkal vagy ügyfelekkel is kommunikálniuk kell. Emiatt általában nem ajánlott silókat létrehozó vagy az információk megosztását megnehezítő rendszereket használni. Ennek ellenére továbbra is biztosítani szeretnénk, hogy az alkalmazottak biztonságosan és a szabályzatnak megfelelően oszthassák meg az információkat.

Egy modern és felhőalapú együttműködési platform biztosítása az alkalmazottak számára, amely lehetővé teszi számukra, hogy kiválaszthassák és könnyen integrálhassák azokat az eszközöket, amelyek a leghatékonyabbá teszik őket, lehetővé teszi számukra, hogy megtalálják a munka és az együttműködés legjobb módjait. A Microsoft Teams és a szervezet védelmét szolgáló biztonsági vezérlők és irányítási szabályzatok együttes használata segíthet a munkatársaknak a felhőben való egyszerű együttműködésben.

A Microsoft Teams együttműködési központot biztosít a szervezet számára, amely összehozza a személyeket a közös kezdeményezéseken vagy projekteken való együttműködéshez. Lehetővé teszi a csapattagok számára a beszélgetéseket, az együttműködést és a dokumentumok közös szerkesztését. Lehetővé teszi a felhasználók számára a fájlok tárolását és megosztását a csapattagokkal vagy a csapaton kívüli személyekkel. Emellett lehetővé teszi számukra, hogy élő értekezleteket tartsanak integrált vállalati hanggal és videóval. A Microsoft Teams egyszerűen testre szabható a Microsoft-alkalmazásokhoz, például a Plannerhez, a Dynamics 365, a Power BI-hoz és más, külső gyártótól származó üzletági alkalmazásokhoz. A Teams leegyszerűsíti a Office 365 szolgáltatásokhoz és külső alkalmazásokhoz való hozzáférést a szervezet együttműködési és kommunikációs igényeinek központosítása érdekében.

Minden Microsoft-csapat egy Office 365 csoporttal rendelkezik. A Office 365-csoport az Office 365-szolgáltatások, köztük a Microsoft Teams tagságszolgáltatója. Office 365 Csoportok használatával biztonságosan szabályozható, hogy mely felhasználók minősülnek tagnak, és melyek a csoport tulajdonosai. Ezzel a kialakítással könnyedén szabályozhatjuk, hogy mely felhasználók férhetnek hozzá a Teams különböző képességeihez. Ennek eredményeképpen a csapattagok és a tulajdonosok csak az általuk engedélyezett képességekhez férhetnek hozzá.

Gyakran előfordul, hogy a Microsoft Teams energiaipari szervezetek számára előnyös lehet, ha alvállalkozókkal vagy külső cégekkel dolgoznak együtt egy helyszíni szolgáltatási program részeként, például a vegetációkezelés részeként. A vállalkozók jellemzően a növényzet kezelésére vagy az energiarendszer-létesítmények körüli fák eltávolítására vállalkoznak. Gyakran munkahelyi utasításokat kell kapniuk, kommunikálniuk kell a diszpécserekkel és más helyszíni szolgálatokkal, képeket kell készíteniük és megosztaniuk a külső környezetről, kijelentkezniük, amikor a munka befejeződött, és adatokat kell megosztaniuk a központi irodával. Ezek a programok hagyományosan telefon, szöveg, papíralapú munkarendelések vagy egyéni alkalmazások használatával futnak. Ez a módszer számos kihívást jelenthet. Például:

• A folyamatok manuálisak vagy analógak, így a metrikák nehezen követhetők
• A kommunikáció nem minden helyen van rögzítve
• Az adatok silózottak, és nem feltétlenül lesznek megosztva az összes olyan alkalmazottal, akire szükségük van
• Előfordulhat, hogy a munka nem következetesen vagy hatékonyan végezhető el
• Az egyéni alkalmazások nincsenek integrálva az együttműködési eszközökkel, ami megnehezíti az adatok kinyerét és megosztását, illetve a teljesítmény mérését

A Microsoft Teams egy könnyen használható együttműködési területet biztosít az információk biztonságos megosztásához és a csapattagok és a külső helyszíni szolgáltatási alvállalkozók közötti beszélgetésekhez. A Teams segítségével értekezleteket tarthat, hanghívásokat kezdeményezhet, központilag tárolhatja és megoszthatja a munkarendeléseket, mezőadatokat gyűjthet, fényképeket tölthet fel, integrálható üzleti folyamatokkal (a Power Apps és a Power Automate használatával), valamint üzletági alkalmazásokat integrálhat. Az ilyen típusú helyszíni szolgáltatásadatok alacsony hatásnak tekinthetők; a hatékonyság azonban az alkalmazottak és a helyszíni szolgáltatás személyzete közötti kommunikáció és az adatokhoz való hozzáférés központosításával érhető el ezekben a forgatókönyvekben.

Egy másik példa, amikor a Microsoft Teams az energiaipar számára hasznos lehet, ha a helyszíni szolgáltatás személyzete egy szolgáltatáskimaradás során dolgozik a szolgáltatás helyreállításán. A terepi dolgozók gyakran gyors hozzáférést igényelnek az alállomások, a termelőállomások vagy a mezőben lévő objektumok kék nyomatai sémaadataihoz. Ezek az adatok nagy hatásnak minősülnek, és a NERC CIP előírásainak megfelelően kell védeni. A szolgáltatáskimaradások során végzett helyszíni szolgáltatáshoz kommunikációra van szükség a helyszíni alkalmazottak és az irodai alkalmazottak között, valamint a végfelhasználókkal. A Kommunikáció és az adatmegosztás központosítása a Microsoft Teamsben egyszerű módszert biztosít a helyszíni személyzet számára a kritikus adatok elérésére, valamint az információk vagy állapotok központi irodába való visszajuttatására. A Microsoft Teams például lehetővé teszi, hogy a helyszíni személyzet bekapcsolódjon a konferenciahívásokbe, miközben a szolgáltatáskimaradás felé tart. A terepen dolgozók fényképeket és videókat is készíthetnek a környezetükről, és megoszthatják azokat a központi irodával, ami különösen fontos, ha a terepi berendezések nem felelnek meg a sémáknak. A mezőből gyűjtött adatok és állapotok ezután az irodai alkalmazottak és a vezetőség számára is megjeleníthetők adatvizualizációs eszközökkel, például a Power BI-jal. A Microsoft Teams végső soron hatékonyabbá és hatékonyabbá teheti a helyszíni személyzetet ezekben a kritikus helyzetekben.

Teams: Az együttműködés javítása és a megfelelőségi kockázatok csökkentése

A Microsoft 365 általános szabályzati képességeket biztosít a Microsoft Teams számára, mivel Office 365-csoportokat használ mögöttes tagságszolgáltatóként. Ezek a szabályzatok segíthetnek az együttműködés javításában és a megfelelőségi igények kielégítésében.

Office 365 csoportelnevezési házirendek segítenek biztosítani, hogy Office 365 csoportok, és így a Microsoft Teams neve a vállalati szabályzatnak megfelelően történjen. A csapat neve kihívást jelenthet, ha nem megfelelően van elnevezve. Előfordulhat például, hogy az alkalmazottak nem tudják, melyik csapaton belül kell dolgozniuk, vagy ha helytelenül vannak elnevezve, vagy megosztják az információkat. A csoportelnevezési házirendek segítenek a megfelelő higiénia betartásában, és megakadályozhatják bizonyos szavak használatát, például a fenntartott szavakat vagy a nem megfelelő terminológiát.

Office 365 csoportlejárati szabályzatok segítenek biztosítani, hogy a Office 365-csoportokat és így a Microsoft Teamst ne őrizze meg a szervezet által előírtnál hosszabb ideig. Ez a képesség két fontos adatkezelési probléma megelőzésében segít:

• A nem szükséges vagy használt Microsoft Teams elterjedése
• A szervezet által már nem igényelt adatok túlmegőrzése

A rendszergazdák megadhatnak lejárati időtartamot napokban Office 365 csoportokhoz (például 90, 180 vagy 365 nap). Ha egy Office 365 csoport által támogatott szolgáltatás inaktív a lejárati időszakra, a csoporttulajdonosok értesítést kapnak. Ha nem történik művelet, akkor a Office 365 csoport és annak összes kapcsolódó szolgáltatása, beleértve a Microsoft Teamst is, törlődik.

A Microsoft-csapat adatainak túlmegőrzése jogi kockázatokat jelenthet a szervezetek számára. A lejárati szabályzatok használata ajánlott módszer a szervezet védelmére. A Beépített adatmegőrzési címkékkel és szabályzatokkal együtt a Microsoft 365 segít biztosítani, hogy a szervezetek csak a jogszabályi megfelelési kötelezettségek teljesítéséhez szükséges adatokat tárolják.

Teams: Az egyéni követelmények egyszerű integrálása

A Microsoft Teams alapértelmezés szerint lehetővé teszi a Teams önkiszolgáló létrehozását. Számos szabályozott szervezet azonban szeretné szabályozni és megérteni, hogy mely együttműködési terek vannak jelenleg használatban az alkalmazottak számára, mely terek tartalmaznak bizalmas adatokat, és kik a tulajdonosok a szervezeten belül. A vezérlők megkönnyítése érdekében a Microsoft 365 lehetővé teszi a szervezetek számára az önkiszolgáló Teams-létrehozás letiltását. A Beépített Microsoft 365 üzletifolyamat-automatizálási eszközök, például a Power Apps és a Power Automate használatával a szervezetek egyszerű folyamatokat hozhatnak létre új csapat kéréséhez. Egy könnyen használható űrlap kitöltésével a vezető automatikusan kérheti a jóváhagyást. A jóváhagyás után a csapat automatikusan kiépül, és a kérelmező egy hivatkozást kap az új csapatához. Ilyen folyamatok létrehozásával a szervezetek egyéni követelményeket is integrálhatnak más üzleti folyamatok elősegítése érdekében.

Biztonságos és megfelelő együttműködés biztosítása az energiaiparban

Mint említettük, Microsoft Office 365 és Office 365 egyesült államokbeli kormány minden egyes elérte FedRAMP ATO a mérsékelt hatás szintjén. Az Azure és a Azure Government elérte a FedRAMP High P-ATO-t, amely a FedRAMP-engedélyezés legmagasabb szintjét képviseli. Emellett a FedRAMP mérsékelt ellenőrzési készlete magában foglalja a NERC CIP összes követelményét, ezáltal lehetővé teszi az energiaipari szervezetek ("regisztrált szervezetek") számára, hogy a MEGLÉVŐ FedRAMP-engedélyeket skálázható és hatékony megközelítésként használják a NERC auditálási követelményeinek kezelése érdekében. Fontos azonban megjegyezni, hogy a FedRAMP nem egy időponthoz kötött minősítés, hanem egy értékelési és engedélyezési program, amely tartalmazza a folyamatos monitorozásra vonatkozó rendelkezéseket. Bár ez a rendelkezés elsősorban a CSP-ra vonatkozik, a Bulk Electric Systemst üzemeltető Microsoft-ügyfelek felelősek a NERC CIP-szabványoknak való megfelelőségük biztosításáért. Általában ajánlott a szervezet megfelelőségi állapotának folyamatos monitorozása a szabályozásoknak való folyamatos megfelelés biztosítása érdekében.

A Microsoft kulcsfontosságú eszközt biztosít a szabályozásoknak való megfelelés nyomon követéséhez az idő múlásával:

• A Microsoft Purview Compliance Manager segít a szervezetnek megérteni a jelenlegi megfelelőségi állapotát, valamint azokat a műveleteket, amelyek segíthetnek a helyzet javításában. A Compliance Manager kockázatalapú pontszámot számít ki, amely az adatvédelmi és szabályozási szabványok kockázatainak csökkentésére szolgáló műveletek elvégzésének előrehaladását méri. A Compliance Manager a Microsoft 365 adatvédelmi alapkonfigurációja alapján biztosít kezdeti pontszámot. Ez az alapkonfiguráció olyan vezérlők készlete, amelyek közös iparági szabályozásokat és szabványokat tartalmaznak. Bár ez a pontszám jó kiindulási pont, a Compliance Manager hatékonyabbá válik, ha egy szervezet olyan értékeléseket ad hozzá, amelyek relevánsabbak az iparáguk szempontjából. A Compliance Manager számos, a NERC CIP megfelelőségi kötelezettségekre vonatkozó szabályozási szabványt támogat, beleértve a FedRAMP Moderate Control Set, az NIST 800-53 Rev. 4 és az AICPA SOC 2 szabványt. Az energiaipari szervezetek szükség esetén egyéni vezérlőkészleteket is létrehozhatnak vagy importálhatnak.

A Compliance Manager beépített munkafolyamat-képességei lehetővé teszik az energiaszervezetek számára a jogszabályi megfelelőségi folyamatok átalakítását és digitalizálását. Az energiaipar megfelelőségi csapatai hagyományosan a következő kihívásokkal szembesülnek:

• Inkonzisztens jelentéskészítés vagy a javítási műveletek előrehaladásának nyomon követése
• Nem hatékony vagy hatástalan folyamatok
• Nincs elegendő erőforrás vagy a tulajdonjog hiánya
• Valós idejű információk hiánya és emberi hiba

A jogszabályi megfelelőségi folyamatok szempontjainak a Megfelelőségkezelő használatával történő automatizálásával a szervezetek csökkenthetik a jogi és megfelelőségi funkciók adminisztratív terheit. Ez az eszközkészlet segíthet ezeknek a kihívásoknak a megoldásában azáltal, hogy naprakész információkat nyújt a szervizelési műveletekről, konzisztensebb jelentéskészítést és a műveletek dokumentált tulajdonjogát (amelyek a műveletek végrehajtásához kapcsolódnak). A szervezetek automatikusan nyomon követhetik a szervizelési műveleteket az idő múlásával, és megtekinthetik az általános hatékonyságnövekedést. Ez a funkció lehetővé teszi, hogy az alkalmazottak nagyobb erőfeszítéseket összpontosítsanak a megállapítások megszerzésére és stratégiák kidolgozására, hogy hatékonyabban navigáljanak a kockázatok között.

A Compliance Manager nem fejezi ki a szervezeti megfelelőség abszolút mértékét egyetlen adott szabványnak vagy rendeletnek sem. Kifejezi, hogy milyen mértékben alkalmazott olyan vezérlőket, amelyek csökkenthetik a személyes adatokra és az egyéni adatvédelemre vonatkozó kockázatokat. A Megfelelőségkezelő javaslatait nem szabad a megfelelőség garanciájaként értelmezni. A Compliance Managerben megadott ügyfélműveletek javaslatok. Minden szervezetnek ki kell értékelnie ezeknek a javaslatoknak a hatékonyságát, hogy azok a végrehajtás előtt megfeleljenek a szabályozási kötelezettségeiknek. A Megfelelőségkezelőben talált javaslatokat nem szabad a megfelelőség garanciájaként értelmezni.

A FedRAMP Moderate Control Set és a NERC CIP szabvány számos kiberbiztonsági ellenőrzés részét képezi. A Microsoft 365 platformhoz kapcsolódó fő vezérlők közé tartoznak azonban a biztonsági felügyeleti vezérlők (CIP-003-6), a fiók- és hozzáférés-kezelés/hozzáférés-visszavonás (CIP-004-6), az elektronikus biztonsági szegélyhálózat (CIP-005-5), a biztonsági események monitorozása és az incidensmegoldás (CIP-008-5). Az alábbi alapvető Microsoft 365-képességek segítenek kezelni az ezekben a cikkekben szereplő kockázatokat és követelményeket.

Biztonságos felhasználói identitások és hozzáférés-vezérlés

A dokumentumokhoz és alkalmazásokhoz való hozzáférés védelme a felhasználói identitások szigorú védelmével kezdődik. Ennek a műveletnek az alapja egy biztonságos platform biztosítása a vállalat számára az identitások tárolásához és kezeléséhez, valamint a megbízható hitelesítési eszközök biztosításához. Emellett dinamikusan kell szabályoznia az alkalmazásokhoz való hozzáférést. Ahogy az alkalmazottak dolgoznak, előfordulhat, hogy alkalmazásról alkalmazásra vagy több helyre és eszközre váltanak. Ennek eredményeképpen az adatokhoz való hozzáférést minden lépésnél hitelesíteni kell. Emellett a hitelesítési folyamatnak támogatnia kell egy erős protokollt és több hitelesítési tényezőt (egyszeri SMS-hozzáférési kódot, hitelesítő alkalmazást, tanúsítványt stb.), hogy az identitások ne sérüljenek. Végül a kockázatalapú hozzáférési szabályzatok betartatása kulcsfontosságú javaslat az adatok és alkalmazások belső fenyegetésekkel, véletlen adatszivárgással és adatkiszivárgással szembeni védelméhez.

A Microsoft 365 biztonságos azonosítási platformot biztosít Microsoft Entra ID, ahol az identitások központilag vannak tárolva és biztonságosan felügyelve. Microsoft Entra ID, valamint számos kapcsolódó Microsoft 365 biztonsági szolgáltatás biztosítja az alkalmazottak számára a biztonságos munkavégzéshez szükséges hozzáférést, miközben a szervezetet is védi a fenyegetésektől.

Microsoft Entra többtényezős hitelesítés (MFA) be van építve a platformba, és egy további védelmi réteget biztosít, amely segít biztosítani, hogy a felhasználók azok legyenek, akikről azt mondják, hogy bizalmas adatokhoz és alkalmazásokhoz férnek hozzá. Microsoft Entra többtényezős hitelesítéshez legalább két hitelesítési módra van szükség, például jelszóra és egy ismert mobileszközre. Számos második tényezős hitelesítési lehetőséget támogat, többek között a Microsoft Authenticator alkalmazást, egy SMS-en keresztül küldött egyszeri PIN-kódot, egy telefonhívást, ahol a felhasználónak PIN-kódot kell megadnia, valamint intelligens kártyákat vagy tanúsítványalapú hitelesítést. A jelszó feltörése esetén a potenciális támadóknak továbbra is szükségük van a felhasználó telefonjára a szervezeti adatokhoz való hozzáféréshez. Emellett a Microsoft 365 a modern hitelesítést használja kulcsprotokollként, így a webböngészők ugyanazt az erős hitelesítési élményt nyújtják az együttműködési eszközökhöz, például a Microsoft Outlookhoz és a Microsoft Office-alkalmazásokhoz.

Microsoft Entra feltételes hozzáférés hatékony megoldást kínál a hozzáférés-vezérlési döntések automatizálására és a vállalati eszközök védelmére vonatkozó szabályzatok kikényszerítésére. Gyakori példa, amikor egy alkalmazott bizalmas ügyféladatokat tartalmazó alkalmazáshoz próbál hozzáférni, és automatikusan többtényezős hitelesítést kell végrehajtania. Az Azure Feltételes hozzáférés egyesíti a felhasználó hozzáférési kéréséből származó jeleket (például a felhasználó tulajdonságait, az eszközét, a helyét, a hálózatát, valamint az elérni kívánt alkalmazást vagy adattárat). Dinamikusan kiértékel minden, az alkalmazáshoz való hozzáférésre tett kísérletet a konfigurált szabályzatok alapján. Ha a felhasználói vagy eszközkockázat emelt szintű, vagy ha más feltételek nem teljesülnek, Microsoft Entra ID automatikusan kikényszeríti a szabályzatot (például dinamikusan igényli az MFA-t, korlátozza vagy akár letiltja a hozzáférést). Ezzel a kialakítással biztosítható, hogy a bizalmas objektumok dinamikusan változó környezetekben legyenek védve.

Office 365-höz készült Microsoft Defender integrált szolgáltatást biztosít a szervezeteknek az e-mailben küldött rosszindulatú hivatkozások és kártevők elleni védelméhez. Az egyik leggyakoribb támadási vektor, amely ma a felhasználókat érinti, az e-mail adathalász támadások. Ezeket a támadásokat gondosan meg lehet célozni bizonyos magas szintű alkalmazottakra, és nagyon meggyőzőek lehetnek. Általában valamilyen művelethívást tartalmaznak, amely miatt a felhasználónak rosszindulatú hivatkozást kell választania, vagy meg kell nyitnia egy kártevőt tartalmazó mellékletet. A fertőzöttség után a támadó ellophatja a felhasználó hitelesítő adatait, és oldalirányú mozgást végezhet a szervezeten belül. Emellett kiszűrhetik a bizalmas adatokat kereső e-maileket és adatokat. Office 365-höz készült Microsoft Defender kattintással kiértékeli a potenciálisan rosszindulatú webhelyeket, és letiltja azokat. Email mellékletek védett tesztkörnyezetben nyílnak meg, mielőtt a felhasználó postaládájába továbbítanák őket.

Microsoft Defender for Cloud Apps lehetővé teszi a szervezetek számára a szabályzatok részletes szintű kikényszerítését. Ez a kialakítás magában foglalja a viselkedési anomáliák észlelését a Machine Learning használatával automatikusan definiált egyéni felhasználói profilok alapján. A Defender for Cloud Apps az Azure feltételes hozzáférési szabályzatokra épít a felhasználói viselkedéssel és az elérni kívánt dokumentumok tulajdonságaival kapcsolatos további jelek kiértékelésével. A Defender for Cloud Apps idővel megtanulja az egyes alkalmazottak tipikus viselkedését (az általuk elért adatokat és az általuk használt alkalmazásokat). A megtanult viselkedési minták alapján a szabályzatok automatikusan kikényszeríthetik a biztonsági vezérlőket, ha egy alkalmazott kívül esik ezen a viselkedési profilon. Ha például egy alkalmazott általában hétfőtől péntekig, 9:00 és 17:00 között fér hozzá egy könyvelési alkalmazáshoz, de ugyanaz a felhasználó vasárnap este erősen hozzá tud férni az alkalmazáshoz, a Defender for Cloud Apps dinamikusan kényszerítheti a szabályzatokat, hogy megköveteljék a felhasználó újbóli hitelesítését. Ez a követelmény biztosítja, hogy a hitelesítő adatok biztonsága ne sérüljön. Emellett a Defender for Cloud Apps segíthet felderíteni és azonosítani az árnyék informatikát a szervezetben. Ez a funkció segít az InfoSec-csapatoknak biztosítani, hogy az alkalmazottak engedélyezett eszközöket használjanak a bizalmas adatokkal végzett munka során. Végül a Defender for Cloud Apps a felhőben bárhol, a Microsoft 365 platformon kívül is képes megvédeni a bizalmas adatokat. Lehetővé teszi a szervezetek számára, hogy bizonyos külső felhőalkalmazásokat engedélyezhessenek (vagy visszavonjanak), így szabályozhatják a hozzáférést és a monitorozást, amikor a felhasználók az adott alkalmazásokban dolgoznak.

Microsoft Entra ID és a kapcsolódó Microsoft 365 biztonsági szolgáltatások biztosítják azt az alapot, amelyre egy modern felhőalapú együttműködési platformot lehet kivenni az energiaipari szervezetek számára. Microsoft Entra ID az adatokhoz és alkalmazásokhoz való hozzáférés védelmét biztosító vezérlőket tartalmaz. Az erős biztonság mellett ezek a vezérlők segítik a szervezeteket a jogszabályi megfelelési kötelezettségek teljesítésében.

Microsoft Entra ID és Microsoft 365-szolgáltatások, amelyek mélyen integrálva vannak, és a következő fontos képességeket biztosítják:

• Felhasználói identitások központi tárolása és biztonságos kezelése
• Használjon erős hitelesítési protokollt, beleértve a többtényezős hitelesítést is a felhasználók hozzáférési kérelmeken való hitelesítéséhez
• Konzisztens és robusztus hitelesítési élmény biztosítása minden alkalmazásban
• Szabályzatok dinamikus érvényesítése minden hozzáférési kérelemre, több jel beépítésével a szabályzattal kapcsolatos döntéshozatali folyamatba (beleértve az identitást, a felhasználói/csoporttagságot, az alkalmazást, az eszközt, a hálózatot, a helyet és a valós idejű kockázati pontszámot)
• Részletes szabályzatok ellenőrzése a felhasználói viselkedés és a fájltulajdonságok alapján, valamint szükség esetén további biztonsági intézkedések dinamikus kényszerítése
• A szervezet árnyék informatikai részlegének azonosítása és a felhőalkalmazások engedélyezésének engedélyezése az InfoSec-csapatok számára
• Microsoft- és nem Microsoft-felhőalkalmazásokhoz való hozzáférés monitorozása és szabályozása
• Proaktív védelem az e-mailek adathalászata és zsarolóprogram-támadások ellen

Bizalmas adatok azonosítása és az adatvesztés megelőzése

A FedRAMP Moderate Control Set és a NERC CIP szabványok az információvédelmet is tartalmazzák, mint kulcsfontosságú vezérlőkövetelményt (CIP-011-2). Ezek a követelmények kifejezetten arra vonatkoznak, hogy azonosítani kell a BES (Bulk Electric System) cyberrendszer-információihoz, valamint az információk védelméhez és biztonságos kezeléséhez (beleértve a tárolást, az átvitelt és a felhasználást). A BES Cyber System Information konkrét példái közé tartozhatnak a tömeges elektromos rendszerek (BES Cyber Systems, fizikai Access Control rendszerek, elektronikus Access Control vagy monitorozási rendszerek) működtetéséhez alapvető fontosságú rendszerekre vonatkozó biztonsági eljárások vagy biztonsági információk, amelyek nyilvánosan nem érhetők el, és felhasználhatók jogosulatlan hozzáférés vagy jogosulatlan terjesztés engedélyezésére. Ugyanez az igény azonban az energiaszervezetek napi működéséhez kritikus fontosságú ügyféladatok azonosítására és védelmére is.

A Microsoft 365 lehetővé teszi a bizalmas adatok azonosítását és védelmét a szervezeten belül számos hatékony funkcióval, többek között az alábbiakkal:

• Microsoft Purview információvédelem a bizalmas adatok felhasználóalapú besorolásához és automatikus besorolásához

• Microsoft Purview adatveszteség-megelőzés (DLP) bizalmas adatok bizalmas adattípusokkal (azaz reguláris kifejezésekkel) és kulcsszavakkal történő automatikus azonosításához, valamint szabályzatkényszerítéshez

Microsoft Purview információvédelem lehetővé teszi, hogy az alkalmazottak bizalmassági címkékkel sorolják be a dokumentumokat és e-maileket. A bizalmassági címkéket a felhasználók manuálisan alkalmazhatják a Microsoft Office-alkalmazásokban lévő dokumentumokra és a Microsoft Outlookban lévő e-mailekre. A bizalmassági címkék automatikusan alkalmazhatnak dokumentumjelöléseket, védelmet titkosítással, és kikényszeríthetik a tartalomvédelmet. A bizalmassági címkék automatikusan is alkalmazhatók kulcsszavakat és bizalmas adattípusokat (hitelkártyaszámok, társadalombiztosítási számok, identitásszámok stb.) használó szabályzatok konfigurálásával.

A Microsoft betanítható osztályozókat is biztosít. Ezek gépi tanulási modelleket használnak a bizalmas adatok azonosítására a tartalom alapján, nem pedig egyszerűen mintaegyeztetéssel vagy a tartalom elemeivel. Az osztályozó megtanulja, hogyan azonosíthat egy tartalomtípust a besorolandó tartalom számos példájának megtekintésével. Az osztályozó betanítása azzal kezdődik, hogy példákat ad neki egy adott kategórián belüli tartalomra. Miután feldolgozta a példákat, a modell tesztelése során egyező és nem egyező példák kombinációját is biztosítja. Az osztályozó ezután előrejelzi, hogy egy adott példa a kategóriába tartozik-e vagy sem. Egy személy ezután megerősíti az eredményeket, rendezi a pozitívokat, a negatívokat, a hamis pozitívokat és a hamis negatívokat, hogy növelje az osztályozó előrejelzéseinek pontosságát. A betanított osztályozó közzétételekor feldolgozza és automatikusan besorolja a SharePoint Online-ban, a Exchange Online és a OneDrive-on lévő tartalmakat.

A bizalmassági címkék dokumentumokra és e-mailekre való alkalmazása metaadatokat ágyaz be a választott bizalmassági adatokat azonosító objektumba, így lehetővé teszi, hogy a bizalmasság az adatokkal együtt haladjon. Ennek eredményeképpen még akkor is védett marad, ha egy címkézett dokumentum egy felhasználó asztalán vagy egy helyszíni rendszeren van tárolva. Ez a kialakítás lehetővé teszi más Microsoft 365-megoldások, például a Microsoft Defender for Cloud Apps vagy a hálózati peremhálózati eszközök számára a bizalmas adatok azonosítását és a biztonsági vezérlők automatikus kikényszerítését. A bizalmassági címkék további előnyökkel járnak, ha megtanítják az alkalmazottaknak, hogy a szervezeten belül mely adatok minősülnek bizalmasnak, és hogyan kell kezelni azokat.

Microsoft Purview adatveszteség-megelőzés (DLP) a bizalmas adatokat tartalmazó dokumentumokat, e-maileket és beszélgetéseket automatikusan azonosítja, ha bizalmas adattípusokat keres az elemek között, majd házirendeket kényszerít az objektumokon. A házirendek a SharePointban és a OneDrive Vállalati verzió lévő dokumentumokon vannak kényszerítve. A szabályzatok akkor is érvénybe lépnek, ha a felhasználók e-maileket küldenek, és a Microsoft Teamsben csevegő- és csatornabeszélgetéseken belül. A házirendek konfigurálhatók úgy, hogy kulcsszavakat, bizalmas adattípusokat, adatmegőrzési címkéket keressenek, és hogy az adatok meg legyenek-e osztva a szervezeten belül vagy külsőleg. A vezérlők segítenek a szervezeteknek a DLP-szabályzatok finomhangolásában a téves riasztások hatékonyabb elkerülése érdekében. Ha bizalmas adatokat talál, testre szabható szabályzattippek jeleníthetők meg a Microsoft 365-alkalmazások felhasználói számára. A házirendtippek tájékoztatják a felhasználókat arról, hogy tartalmaik bizalmas adatokat tartalmaznak, és korrekciós műveleteket javasolhatnak. A házirendek azt is megakadályozhatják, hogy a felhasználók hozzáférjenek a dokumentumokhoz, dokumentumokat osszanak meg, vagy bizonyos típusú bizalmas adatokat tartalmazó e-maileket küldjenek. A Microsoft 365 több mint 100 beépített bizalmas adattípust támogat. A szervezetek egyéni bizalmas adattípusokat konfigurálhatnak, hogy megfeleljenek a szabályzataiknak.

A Microsoft Purview információvédelem és DLP-szabályzatok szervezetek számára történő bevezetése gondos tervezést igényel. Felhasználói oktatást is igényel, hogy az alkalmazottak megértsék a szervezet adatbesorolási sémáját, és hogy milyen típusú adatok bizalmasak. Az alkalmazottak számára olyan eszközök és oktatási programok biztosítása, amelyek segítenek a bizalmas adatok azonosításában, és segítenek megérteni, hogyan kell kezelni őket, az információbiztonsági kockázatok mérséklésére szolgáló megoldás részévé teszi őket.

Adatok szabályozása a rekordok hatékony kezelésével

A szabályozások megkövetelik, hogy számos szervezet kezelje a kulcsfontosságú szervezeti dokumentumok megőrzését egy felügyelt vállalati adatmegőrzési ütemterv szerint. A szervezetek szabályozási megfelelőségi kockázatokkal szembesülnek, ha az adatok nem őrződnek meg (túl korán törlődnek), vagy jogi kockázattal járnak, ha az adatok túlságosan megőrződnek (túl hosszúak). A hatékony rekordkezelési stratégiák segítenek biztosítani, hogy a szervezeti dokumentumok az előre meghatározott megőrzési időtartamok szerint legyenek megőrizve, amelyek célja a szervezetet veszélyeztető kockázatok minimalizálása. A megőrzési időtartamokat egy központilag felügyelt szervezeti rekordmegőrzési ütemterv írja elő. A megőrzési időtartamok az egyes dokumentumtípusok jellegén, az adott adattípusok megőrzésére vonatkozó jogszabályi megfelelőségi követelményeken és a szervezet meghatározott szabályzataion alapulnak.

A rekordmegőrzési időtartamok szervezeti dokumentumok közötti pontos hozzárendeléséhez részletes folyamatra lehet szükség, amely egyedileg rendeli hozzá a megőrzési időtartamokat az egyes dokumentumokhoz. A rekordmegőrzési szabályzatok nagy léptékű alkalmazása számos okból kihívást jelenthet. Ezek az okok közé tartozik az energiaipari szervezeteken belüli dokumentumok nagy száma, valamint az a tény, hogy a megőrzési időtartamokat sok esetben szervezeti események (például lejáró szerződések vagy a szervezetből kilépő alkalmazott) válthatják ki.

A Microsoft 365 adatmegőrzési címkék és szabályzatok meghatározására szolgáló képességeket biztosít a rekordkezelési követelmények egyszerű megvalósításához. A rekordkezelő egy adatmegőrzési címkét határoz meg, amely egy hagyományos adatmegőrzési ütemezésben egy "rekordtípust" jelöl. Az adatmegőrzési címke az alábbi beállításokat tartalmazza:

• Mennyi ideig őriz meg egy rekordot a
• Az egyidejűségi követelmények vagy a megőrzési időszak lejártakor előforduló események (a dokumentum törlése, a törlési felülvizsgálat megkezdése vagy a művelet letiltása)
• Mi váltja ki a kezdési megőrzési időtartamot (létrehozás dátuma, utolsó módosítás dátuma, címkézett dátum vagy esemény), és
• Ha a dokumentum vagy az e-mail rekord (vagyis nem szerkeszthető vagy törölhető)

Az adatmegőrzési címkék ezután közzé lesznek téve SharePoint- vagy OneDrive-webhelyeken, Exchange-postaládákban és Office 365 csoportokban. A felhasználók ezután manuálisan alkalmazhatnak adatmegőrzési címkéket a dokumentumokra és e-mailekre. Vagy a rekordkezelők szabályok használatával automatikusan alkalmazhatnak adatmegőrzési címkéket. Az automatikus alkalmazás szabályai a dokumentumokban vagy e-mailekben található kulcsszavakon vagy bizalmas adatokon alapulhatnak, például hitelkártyaszámokon, társadalombiztosítási számokon vagy más személyazonosításra alkalmas adatokon (PII). A szabályok automatikus alkalmazása a SharePoint-metaadatokon is alapulhat.

A FedRAMP Moderate Control Set és a NERC CIP szabványok az eszköz újrafelhasználását és ártalmatlanítását is tartalmazzák kulcsfontosságú ellenőrzési követelményként (CIP-011-2). Ezek a követelmények ismét kifejezetten a BES (Bulk Electric System) cyberrendszer-információkra vonatkoznak. Más joghatósági szabályozások azonban megkövetelik, hogy az energiaipari szervezetek hatékonyan kezelhessék és megsemmisíthessék a nyilvántartásokat számos információtípus esetében. Ezek az információk közé tartoznak a pénzügyi kimutatások, a tőkeprojektek adatai, a költségvetések, az ügyféladatok stb. Az energiaszervezeteknek minden esetben robusztus rekordkezelési programokat és bizonyítékokat kell fenntartaniuk a vállalati rekordok védhető törlésével kapcsolatban.

A Microsoft 365 minden adatmegőrzési címkével lehetővé teszi a rekordkezelők számára annak meghatározását, hogy szükség van-e törlési felülvizsgálatra. Ezután, amikor ezek a rekordtípusok törlésre kerülnek, a megőrzési időtartam lejárta után a kijelölt törlési felülvizsgálóknak felülvizsgálatot kell végezniük a tartalom törlése előtt. A törlési felülvizsgálat jóváhagyása után a tartalom törlése folytatódik. A törlés bizonyítékait (a törlést végrehajtó felhasználót és a törlés dátumát/időpontját) azonban még több évig megőrzik megsemmisítési igazolásként. Ha a szervezeteknek a megsemmisítési tanúsítványok hosszabb vagy tartós megőrzésére van szükségük, a Microsoft Sentinelt használhatják a napló- és auditadatok hosszú távú felhőalapú tárolásához. A Microsoft Sentinel teljes körű ellenőrzést biztosít a szervezetek számára a tevékenységadatok, a naplóadatok, valamint a megőrzési/törlési adatok hosszú távú tárolása és megőrzése felett.

Az energiapiacokra vonatkozó FERC- és FTC-szabályzatoknak való megfelelés

Az Amerikai Egyesült Államok Szövetségi Energiaszabályozási Bizottsága (FERC) felügyeli az energiapiacokkal és az elektromos energia és a földgázpiacok kereskedelmével kapcsolatos szabályozásokat. Az Amerikai Egyesült Államok Szövetségi Kereskedelmi Bizottsága (FTC) felügyeli a kőolajpiac hasonló szabályozásait. Mindkét esetben ezek a szabályozó szervek szabályokat és útmutatást határoznak meg az energiapiacok manipulálásának tiltására. A FERC például azt javasolja, hogy az energiaszervezetek fektessenek be technológiai erőforrásokba a kereskedelem, a kereskedői kommunikáció és a belső ellenőrzéseknek való megfelelés monitorozása érdekében. A szabályozók azt is javasolják, hogy az energiaszervezetek rendszeresen értékeljék a szervezet megfelelőségi programjának folyamatos hatékonyságát.

A kommunikációmonitorozási megoldások hagyományosan költségesek, és konfigurálhatók és kezelhetők is. Emellett a szervezetek kihívást tapasztalhatnak az alkalmazottak számára elérhető számos különböző kommunikációs csatorna monitorozásával. A Microsoft 365 számos beépített robusztus képességet biztosít az alkalmazottak kommunikációjának figyeléséhez, az alkalmazottak tevékenységeinek felügyeletéhez és az energiapiacokra vonatkozó FERC-szabályok betartásának elősegítéséhez.

Felügyeleti ellenőrzés implementálása

A Microsoft 365 lehetővé teszi a szervezetek számára, hogy felügyeleti szabályzatokat konfiguráljanak, amelyek rögzítik az alkalmazottak kommunikációját (a konfigurált feltételek alapján), és lehetővé teszik, hogy a kijelölt felügyelők felülvizsgálják őket. A felügyeleti szabályzatok rögzíthetik a belső/külső e-maileket és mellékleteket, a Microsoft Teams csevegési és csatornakommunikációit, Skype Vállalati verzió online csevegési kommunikációkat és mellékleteket, valamint harmadik féltől származó szolgáltatásokon (például Facebook vagy Dropboxon) keresztül folytatott kommunikációt.

A szervezeten belül rögzíthető és áttekinthető kommunikáció átfogó jellege, valamint a szabályzatok konfigurálásának kiterjedt feltételei lehetővé teszik a Microsoft 365 felügyeleti szabályzatainak használatát, hogy a szervezetek megfeleljenek a FERC energiapiaci szabályozásainak. A felügyeleti szabályzatok konfigurálhatók úgy, hogy felülvizsgálják az egyének vagy csoportok kommunikációit. Emellett a felügyelők konfigurálhatók egyéni vagy csoportként is. Átfogó feltételek konfigurálhatók a bejövő vagy kimenő üzenetek, tartományok, adatmegőrzési címkék, kulcsszavak vagy kifejezések, kulcsszószótárak, bizalmas adattípusok, mellékletek, üzenetméret vagy mellékletméret alapján történő kommunikáció rögzítésére. A véleményezők egy irányítópulttal rendelkeznek, ahol áttekinthetik a megjelölt kommunikációt, műveleteket végezhetnek a szabályzatokat esetlegesen megsértő kommunikációkon, vagy feloldottként megjelölhetik a megjelölt elemeket. Emellett áttekinthetik a korábbi felülvizsgálatok és a megoldott elemek eredményeit is.

A Microsoft 365 olyan jelentéseket biztosít, amelyek lehetővé teszik a felügyeleti szabályzatok felülvizsgálati tevékenységeinek naplózását a szabályzat és a felülvizsgáló alapján. A rendelkezésre álló jelentések segítségével ellenőrizheti, hogy a felügyeleti szabályzatok a szervezetek által meghatározottak szerint működnek-e. A jelentések felhasználhatók a felülvizsgálatot igénylő kommunikáció azonosítására is, beleértve a vállalati szabályzatnak nem megfelelő kommunikációkat is. Végül a felügyeleti szabályzatok konfigurálásával és a kommunikáció áttekintésével kapcsolatos összes tevékenységet naplózza a Office 365 egyesített auditnaplóban.

A Microsoft 365 felügyeleti házirendjei lehetővé teszik a szervezetek számára a kommunikáció figyelését a vállalati szabályzatoknak való megfelelés érdekében, például az emberi erőforrások zaklatásának megsértése és a vállalati kommunikáció sértő nyelvezete érdekében. Emellett lehetővé teszi a szervezetek számára, hogy csökkentsék a kockázatokat azáltal, hogy figyelik a kommunikációt, amikor a szervezetek érzékeny szervezeti változásokon mennek keresztül, például egyesüléseken és felvásárlásokon, illetve vezetői változásokon.

Kommunikációmegfelelőség

Mivel számos kommunikációs csatorna érhető el az alkalmazottak számára, a szervezeteknek egyre inkább hatékony megoldásokra van szükségük a szabályozott iparágakban, például az energiakereskedelmi piacokon folytatott kommunikáció észleléséhez és kivizsgálásához. Ezek közé a kihívások közé tartozhat a kommunikációs csatornák számának és az üzenetek mennyiségének növelése, valamint a szabályzatsértésekkel kapcsolatos esetleges bírságok kockázata.

Microsoft Purview Kommunikációmegfelelőség egy megfelelőségi megoldás, amely segít minimalizálni a kommunikációs kockázatokat azáltal, hogy segít észlelni, kivizsgálni és reagálni a nem megfelelő üzenetekre a szervezetben. Az előre definiált és egyéni szabályzatok lehetővé teszik a belső és külső kommunikáció szabályzattal való egyezéseinek vizsgálatát, hogy a kijelölt felülvizsgálók megvizsgálhassák őket. A véleményezők megvizsgálhatják a beolvasott e-maileket, a Microsoft Teamst, a Viva Engage vagy a külső felektől származó kommunikációt a szervezetben, és megfelelő lépéseket tehetnek annak érdekében, hogy megfeleljenek a szervezet üzenetszabványainak.

A kommunikációmegfelelés segít a megfelelőségi csapatoknak hatékonyan és hatékonyan áttekinteni az üzeneteket a következők lehetséges megsértése esetén:

• vállalati szabályzatok, például elfogadható használat, etikai szabványok és vállalati specifikus szabályzatok
• bizalmas vagy bizalmas üzleti információk, például jogosulatlan kommunikáció bizalmas projektekről, például közelgő felvásárlásokról, egyesülésekről, bevételek nyilvánosságra hozataláról, átszervezésekről vagy a vezetői csapat változásairól
• jogszabályi megfelelőségi követelmények, például a munkavállalók tájékoztatása azokról a vállalkozásokról vagy ügyletekről, amelyekben a szervezet az energiapiacokra vonatkozó FERC-előírásoknak való megfelelést

A kommunikáció megfelelősége beépített fenyegetés-, zaklatás- és trágár osztályozókat biztosít, amelyek segítenek csökkenteni a téves riasztásokat a kommunikáció áttekintésekor. Ez a besorolás időt takarít meg a felülvizsgálók számára a vizsgálat és a szervizelési folyamat során. Segítségével a felülvizsgálók a szabályzatriasztások által kiemelt hosszú szálakon belül adott üzenetekre összpontosítanak. Ez az eredmény segít a megfelelőségi csapatoknak a kockázatok gyorsabb azonosításában és elhárításában. A megfelelőségi csapatok számára lehetővé teszi a szabályzatok egyszerű konfigurálását és finomhangolását, a megoldásnak a szervezet konkrét igényeihez való igazítását és a téves riasztások csökkentését. A kommunikációmegfelelőség emellett segíthet azonosítani a potenciálisan kockázatos felhasználói viselkedést az idő múlásával, kiemelve a kockázatos viselkedéssel vagy szabályzatsértésekkel kapcsolatos lehetséges mintákat. Végül rugalmas beépített szervizelési munkafolyamatokat biztosít. Ezek a munkafolyamatok segítenek a véleményezőknek abban, hogy gyorsan eszkalálják az eszkalálást a jogi vagy emberi erőforrásokért felelős csapatok felé a meghatározott vállalati folyamatoknak megfelelően.

Védelem az adatkiszivárgás és a belső kockázatok ellen

A nagyvállalatokat gyakran fenyegeti az adatok kiszivárgása, vagy az adatok szervezetből való kinyerése. Ez a művelet jelentős problémát jelenthet az energiaszervezetek számára, mivel az alkalmazottak vagy a helyszíni szolgálat munkatársai nap mint nap hozzáférhetnek az információk bizalmas jellegéhez. Ezek az adatok a BES (Bulk Electric System) Cyber System adatait, valamint az üzleti és ügyféladatokat is tartalmazzák. Az egyre növekvő kommunikációs módszerek és az adatok áthelyezésére szolgáló számos eszköz használata mellett általában speciális eszközökre van szükség az adatszivárgások, szabályzatsértések és belső kockázatok kockázatának mérsékléséhez.

Belső kockázatkezelés

Az alkalmazottak olyan online együttműködési eszközökkel való engedélyezése, amelyek bárhol elérhetők, eredendően kockázatot jelentenek a szervezet számára. Az alkalmazottak véletlenül vagy rosszindulatúan adatokat szivárogtathatnak ki támadóknak vagy versenytársaknak. Azt is megteheti, hogy személyes használatra kiszűri az adatokat, vagy egy jövőbeli munkáltatóhoz viszi az adatokat. Ezek a forgatókönyvek biztonsági és megfelelőségi szempontból komoly kockázatokat jelentenek a szervezetek számára. Ezeknek a kockázatoknak a bekövetkezésükkor történő azonosítása és gyors enyhítése intelligens eszközöket igényel az adatgyűjtéshez és az olyan részlegek közötti együttműködéshez, mint a jogi, az emberi erőforrások és az információbiztonság.

Microsoft Purview belső kockázatkezelés egy megfelelőségi megoldás, amely segít minimalizálni a belső kockázatokat azáltal, hogy lehetővé teszi a szervezet rosszindulatú és véletlen tevékenységeinek észlelését, kivizsgálását és elhárítását. Az Insider kockázati szabályzatokkal meghatározhatja a szervezetében azonosítani és észlelni kívánt kockázattípusokat, beleértve az esetek kezelését és az esetek eszkalálását a Microsoft elektronikus adatok feltárása (Prémium) felé, ha szükséges. A szervezet kockázatelemzői gyorsan elvégezhetik a megfelelő intézkedéseket annak érdekében, hogy a felhasználók megfeleljenek a szervezet megfelelőségi szabványainak.

A belső kockázatkezelés például korrelálhatja a felhasználók eszközeiről érkező jeleket (például fájlok USB-meghajtóra másolását vagy személyes e-mail-fiók elküldését) a online szolgáltatások tevékenységeivel (például Office 365 e-mail, SharePoint Online, Microsoft Teams OneDrive Vállalati verzió) az adatkiszivárgási minták azonosításához. Emellett korrelálhatja ezeket a tevékenységeket azokkal az alkalmazottakkal, akik elhagyják a szervezetet, ami az adatkiszivárgással kapcsolatos gyakori viselkedési minta. Több potenciálisan kockázatos tevékenységet és viselkedést képes észlelni az idő múlásával. Amikor gyakori minták merülnek fel, riasztásokat hozhat létre, és segíthet a nyomozóknak a kulcsfontosságú tevékenységekre összpontosítani a szabályzat megsértésének magas szintű megbízhatósággal történő ellenőrzése érdekében. Az Insider-kockázatkezelés a nyomozók adatait is elfedheti, hogy azok megfeleljenek az adatvédelmi előírásoknak, miközben továbbra is feltárják azokat a kulcsfontosságú tevékenységeket, amelyek segítenek nekik a vizsgálatok hatékony végrehajtásában. Amikor készen áll, lehetővé teszi a nyomozók számára, hogy a gyakori eszkalációs munkafolyamatokat követve csomagolják be és biztonságosan küldjék el a kulcsfontosságú tevékenységadatokat az emberi erőforrásoknak és a jogi részlegeknek a szervizelési műveletekhez szükséges esetek létrehozásához.

Az Insider-kockázatkezelés jelentős mértékben növeli a Microsoft 365-ben a belső kockázatok észlelésére és kivizsgálására szolgáló képességeket, miközben lehetővé teszi a szervezetek számára, hogy továbbra is megfeleljenek az adatvédelmi előírásoknak, és követjék a meghatározott eszkalációs útvonalakat, ha az esetek magasabb szintű beavatkozást igényelnek.

Következtetés

A Microsoft 365 integrált és átfogó megoldást kínál, amely lehetővé teszi a vállalaton belüli, könnyen használható felhőalapú együttműködést a Microsoft Teamsszel. A Microsoft Teams emellett jobb kommunikációt és együttműködést tesz lehetővé a helyszíni szolgáltatási munkatársakkal, így segítve az energiaszervezeteket a hatékonyabb és hatékonyabb munkában. A vállalaton belüli jobb együttműködés és a helyszíni személyzet végső soron segíthet az energiaszervezeteknek az ügyfelek jobb kiszolgálásában.

Az energiaipari szervezeteknek meg kell felelniük a működésükhöz és ügyfeleikhez kapcsolódó információk tárolására, védelmére, kezelésére és megőrzésére vonatkozó szigorú előírásoknak. Ezenkívül meg kell felelniük az energiapiacok manipulálásának nyomon követésére és megelőzésére vonatkozó rendeleteknek. A Microsoft 365 robusztus biztonsági vezérlőket biztosít az adatok, identitások, eszközök és alkalmazások kockázatok elleni védelméhez és a szigorú energiaiparra vonatkozó előírásoknak való megfeleléshez. A beépített eszközök segítenek az energiaszervezeteknek a megfelelőség értékelésében, valamint a műveletek végrehajtásában és a szervizelési tevékenységek nyomon követésében. Ezek az eszközök a kommunikáció monitorozására és felügyeletére is könnyen használható módszereket biztosítanak. A Microsoft 365 platform olyan alapvető összetevőkre épül, mint a Microsoft Azure és a Microsoft Entra ID, segítve a teljes platform védelmét, és segítve a szervezetet a FedRAMP Moderate és a Magas szintű vezérlőkészletek megfelelőségi követelményeinek teljesítésében. Ez a kialakítás hozzájárul ahhoz, hogy az energiaszervezet megfeleljen a NERC CIP szabványainak.

Összességében a Microsoft 365 segít az energiaszervezeteknek a szervezet jobb védelmében, a robusztusabb megfelelőségi programok kialakításában, valamint annak biztosításában, hogy a személyzet a jobb elemzésekre összpontosíthasson, és stratégiákat implementáljon a kockázatok jobb csökkentése érdekében.