Considerazioni chiave su conformità e sicurezza per il settore energetico

Introduzione

Il settore dell'energia fornisce alla società il carburante e le infrastrutture ed essenziali su cui le persone fanno affidamento ogni giorno. Al fine di garantire l'affidabilità delle infrastrutture correlate ai sistemi di produzione e trasmissione dell'energia (Bulk Power System, BPS), le autorità di regolamentazione impongono standard rigorosi alle organizzazioni del settore. Questi standard normativi non riguardano solo la generazione e la trasmissione di energia, ma anche i dati e le comunicazioni fondamentali per le operazioni quotidiane delle compagnie elettriche.

Le organizzazioni del settore energetico lavorano e scambiano molti tipi di informazioni come parte delle loro operazioni normali. Queste informazioni includono i dati dei clienti, la documentazione di progettazione dell'ingegneria del capitale, le mappe della posizione delle risorse, gli artefatti di gestione dei progetti, le metriche delle prestazioni, i report sul servizio sul campo, i dati ambientali e le metriche delle prestazioni. Mentre queste organizzazioni cercano di trasformare i propri sistemi operativi e di collaborazione in piattaforme digitali moderne, stanno cercando Microsoft come provider di servizi cloud (CSP) attendibile e Microsoft 365 come piattaforma di collaborazione migliore. Poiché Microsoft 365 è basato sulla piattaforma Microsoft Azure, le organizzazioni dovrebbero esaminare entrambe le piattaforme quando considerano la loro conformità e i controlli di sicurezza per il passaggio al cloud.

In America del Nord, la North America Electric Reliability Corporation (NERC) impone standard di affidabilità noti come standard Critical Infrastructure Protection (CIP) ovvero per la protezione di infrastrutture fondamentali. La NERC è soggetta alla supervisione da parte della Federal Energy Regulatory Commission (FERC) statunitense e di autorità governative canadesi. Tutti i proprietari, gli operatori e gli utenti di sistemi BPS devono registrarsi alla NERC e conformarsi agi standard NERC CIP. I provider di servizi cloud e i fornitori di terze parti, ad esempio Microsoft, non sono soggetti agli standard NERC CIP. Tuttavia questi ultimi prevedono certi obiettivi da tenere in considerazione qualora le entità registrate si avvalgano di fornitori per le loro operazioni nell'ambito del sistema elettrico per l'energia Bulk Electric System (BES). I clienti Microsoft che gestiscono sistemi BES sono interamente responsabili di garantire la propria conformità agli standard NERC CIP.

Per informazioni sui servizi cloud Microsoft e NERC, vedere le risorse seguenti:

• Standard NERC CIP e cloud computing
• Guida all'implementazione cloud per controlli NERC

Gli standard normativi raccomandati per le organizzazioni del settore energetico includono il programma FedRAMP (Federal Risk and Authorization Management Program) degli Stati Uniti, che si basa su e amplia lo standard NIST SP 800-53 Rev 4 (National Institute of Standards and Technology).

• Sia Microsoft Office 365 che Office 365 U.S. Government hanno ricevuto un'autorizzazione a operare (ATO) FedRAMP a livello di impatto moderato.
• Azure e Azure per enti pubblici hanno ricevuto un'autorizzazione a operare provvisoria (P-ATO) a livello di impatto elevato, il livello più elevato di autorizzazione di FedRAMP.

Per informazioni sui servizi cloud Microsoft e FedRAMP, vedere le risorse seguenti:

• Panoramica su Microsoft e FedRAMP
• Report FedRAMP di Office 365

Questi risultati sono significativi per il settore dell'energia, perché un confronto tra il set di controlli FedRAMP per livello moderato e i requisiti NERC CIP indica che i controlli FedRAMP Moderate abbracciano tutti i requisiti NERC CIP. Per ulteriori informazioni, Microsoft ha sviluppato una Guida all'implementazione cloud per controlli NERC, che include una mappatura dei controlli tra l'attuale set di norme NERC CIP e il set di controlli FedRAMP Moderate come documentato in NIST 800-53 Rev 4.

Le aziende del settore energetico che intendono modernizzare le proprie piattaforme di collaborazione devono considerare con attenzione la configurazione e la distribuzione di strumenti di collaborazione e controlli di sicurezza, tra cui:

• Valutazione di scenari di collaborazione comuni
• Accesso ai dati necessari ai dipendenti per essere produttivi
• Requisiti di conformità alle normative
• Rischi associati ai dati, ai clienti e all'organizzazione

Microsoft 365 è un ambiente cloud di lavoro moderno. Fornisce collaborazione sicura e flessibile nell'intera azienda, compresi i controlli e l’applicazione dei criteri per rispettare i più rigidi framework di conformità normativa. Attraverso gli articoli seguenti, questo documento illustra in che modo Microsoft 365 aiuta il settore energetico a passare a una piattaforma di collaborazione moderna, contribuendo al tempo stesso a mantenere i dati e i sistemi sicuri e conformi alle normative:

• Fornire una piattaforma di collaborazione completa con Microsoft Teams
• Assicurare una collaborazione sicura e conforme nel settore dell'energia
• Identificare i dati sensibili ed evitare la perdita di dati
• Gestire i dati tramite una gestione efficiente dei record
• Conformità alle normative FERC e FTC relative ai mercati dell'energia
• Proteggersi dall'esfiltrazione dei dati e dai rischi Insider

Come partner Microsoft, Protiviti ha contribuito a fornire il proprio feedback su questo articolo.

Fornire una piattaforma di collaborazione completa con Microsoft Teams

La collaborazione richiede in genere più forme di comunicazione, la possibilità di archiviare e accedere a documenti e la capacità di integrare altre applicazioni in base alle esigenze. Che si tratti di aziende globali o di aziende locali, i dipendenti del settore energetico devono in genere collaborare e comunicare con i membri di altri reparti o tra team. Spesso devono anche comunicare con clienti, fornitori o partner esterni. Di conseguenza, l'uso di sistemi che creano sili o che rendono difficile la condivisione di informazioni in genere è sconsigliato. Detto ciò, l'obiettivo è ancora quello di assicurarsi che i dipendenti condividano le informazioni in modo sicuro e nel rispetto dei criteri.

Fornire ai dipendenti una piattaforma di collaborazione moderna e basata sul cloud che consenta loro di scegliere e integrare facilmente gli strumenti che li rendono più produttivi consente loro di trovare i modi migliori per lavorare e collaborare. Grazie all'uso di Microsoft Teams insieme ai controlli di sicurezza e i criteri di governance delle informazioni che proteggono l'organizzazione, la forza lavoro può comunicare e collaborare in modo semplice nel cloud.

Microsoft Teams offre un hub di collaborazione per la tua organizzazione per avvicinare le persone perché possano lavorare e collaborare insieme a iniziative o progetti comuni. Consente ai membri del team di condurre conversazioni, collaborare e creare documenti. Consente di archiviare e condividere file con i membri del team o con persone esterne al team. Consente anche di organizzare riunioni in tempo reale con VoIP aziendale e video integrati. Microsoft Teams può essere personalizzato con il semplice accesso ad app Microsoft come Planner, Dynamics 365, Power BI e altre applicazioni line-of-business di terze parti. Teams semplifica l'accesso ai servizi di Office 365 e alle app di terze parti, per centralizzare le esigenze di collaborazione e comunicazione per l'organizzazione.

Ogni team è supportato da un gruppo di Office 365, Un gruppo di Office 365 viene considerato il provider di appartenenza per numerosi servizi di Office 365, incluso Microsoft Teams. I gruppi Office 365 vengono utilizzati per controllare in modo sicuro quali utenti sono considerati membri e quali sono proprietari del gruppo. Questa progettazione consente di controllare facilmente quali utenti hanno accesso a diverse funzionalità all'interno di Teams. Di conseguenza, i membri e i proprietari del team possono accedere solo alle funzionalità che possono usare.

Uno scenario comune in cui Microsoft Teams può offrire vantaggi alle aziende del settore energetico è quello della collaborazione con appaltatori o ditte esterne nell'ambito di un programma di servizio sul campo, come la gestione della vegetazione. Gli appaltatori sono tipicamente ingaggiati per gestire la vegetazione o rimuovere gli alberi intorno alle installazioni del sistema elettrico. Spesso devono ricevere istruzioni di lavoro, comunicare con i dispatcher e con altro personale del servizio sul campo, scattare e condividere foto di ambienti esterni, disconnettersi al termine del lavoro e condividere i dati con la sede centrale. Tradizionalmente, questi programmi vengono eseguiti usando telefono, sms, ordini di lavoro cartacei o applicazioni personalizzate. Questo metodo può presentare molte sfide. Ad esempio:

• I processi sono manuali o analogici, il che rende difficile tenere traccia delle metriche
• Le comunicazioni non vengono tutte acquisite in un'unica posizione
• I dati sono separati in silos e non vengono necessariamente condivisi con tutti i dipendenti che ne hanno bisogno.
• Il lavoro potrebbe non essere eseguito in modo coerente o efficiente
• Le applicazioni personalizzate non sono integrate con gli strumenti di collaborazione, rendendo difficile estrarre e condividere dati o misurare le prestazioni

Microsoft Teams può offrire uno spazio di collaborazione facile da usare, in cui condividere in modo sicuro le informazioni e svolgere conversazioni tra membri del team e prestatori di servizi sul campo esterni. Teams può essere usato per svolgere riunioni, eseguire chiamate vocali, archiviare e condividere ordini di lavoro a livello centrale, raccogliere dati sul campo, caricare foto, integrare soluzioni per i processi aziendali (create con Power Apps e Power Automate) e integrare app line-of-business. Questo tipo di dati del servizio sul campo può essere considerato a basso impatto; tuttavia, è possibile ottenere efficienza centralizzando le comunicazioni e accedere ai dati tra i dipendenti e il personale del servizio sul campo in questi scenari.

Un altro esempio di situazione in cui Microsoft Teams può essere utile al settore dell'energia, è quando il personale di servizio sul campo sta lavorando al ripristino del servizio durante un'interruzione. Il personale sul campo spesso ha bisogno di accesso rapido agli schemi di sottostazioni o centrali di produzione oppure alle cianografie degli apparati sul campo. Questi dati sono considerati a impatto elevato ed è necessario proteggerli in base alle normative NERC CIP. Il lavoro sul campo durante le interruzioni del servizio richiede la comunicazione tra personale sul campo e personale in ufficio, che a sua volta dovrà comunicare con i clienti finali. Centralizzare le comunicazioni e la condivisione dei dati in Microsoft Teams offre al personale che opera sul campo un metodo semplice sia per accedere ai dati critici, sia per comunicare informazioni o lo stato alla sede centrale. Ad esempio, Microsoft Teams consente al personale sul campo di partecipare a conferenze telefoniche mentre è in viaggio verso il luogo di un guasto. Il personale sul campo può anche scattare foto o video del proprio ambiente e condividere quelli con la sede centrale, che è particolarmente importante quando le attrezzature sul campo non corrispondono agli schemi. Lo stato e i dati raccolti sul campo possono quindi essere comunicati a personale d'ufficio e dirigenti mediante strumenti di visualizzazione dei dati come Power BI. In ultima analisi, Microsoft Teams può rendere più efficiente e produttivo il personale sul campo in queste situazioni cruciali.

Teams: migliorare la collaborazione e ridurre i rischi di conformità

Microsoft 365 include funzionalità di criteri comuni per Microsoft Teams, grazie all'uso dei gruppi di Office 365 come provider di appartenenza sottostante. Questi criteri contribuiscono a migliorare la collaborazione e a soddisfare le esigenze di conformità.

I criteri di denominazione dei gruppi di Office 365 assicurano che i gruppi di Office 365, e quindi i team di Microsoft Teams, siano denominati in base ai criteri aziendali. Il nome di un team può presentare problemi se non è denominato in modo appropriato. Ad esempio, i dipendenti potrebbero non sapere quali team lavorare o condividere informazioni all'interno se sono denominati in modo errato. I criteri di denominazione dei gruppi consentono di applicare una buona igiene e potrebbero anche impedire l'uso di parole specifiche, ad esempio parole riservate o terminologia inappropriata.

Office 365 criteri di scadenza del gruppo consentono di garantire che i gruppi di Office 365, e quindi Microsoft Teams, non vengano conservati per periodi di tempo più lunghi rispetto a quelli richiesti dall'organizzazione. Questa funzionalità consente di evitare due problemi principali di gestione delle informazioni:

• La proliferazione di Microsoft Teams che non sono necessari o usati
• La conservazione prolungata di dati non più necessari all'organizzazione

Gli amministratori possono specificare un periodo di scadenza per i gruppi di Office 365 (come 90, 180 o 365 giorni). Se un servizio supportato da un gruppo di Office 365 non è attivo per il periodo di scadenza, i proprietari del gruppo riceveranno una notifica. Se non viene eseguita alcuna azione, il gruppo Office 365 e tutti i servizi correlati, compreso Microsoft Teams vengono eliminati.

L'eccessiva conservazione dei dati in un team Microsoft può comportare rischi di controversia legale per le organizzazioni. L'utilizzo dei criteri di scadenza è un metodo consigliato per proteggere l'organizzazione. In combinazione con le etichette e i criteri di conservazione predefiniti, Microsoft 365 consente alle organizzazioni di mantenere solo i dati necessari per rispettare gli obblighi di conformità alle normative.

Teams: integrare i requisiti personalizzati con facilità

Per impostazione predefinita, Microsoft Teams consente la creazione di team in modalità self-service. Tuttavia, molte organizzazioni regolamentate desiderano controllare e comprendere quali spazi di collaborazione sono attualmente utilizzati dai dipendenti, quali spazi contengono dati sensibili e chi sono i proprietari degli spazi all'interno dell'organizzazione. Per facilitare questi controlli, Microsoft 365 permette alle organizzazioni di disabilitare la creazione Teams self-service. Inoltre, l'utilizzo di strumenti di automazione dei processi aziendali di Microsoft 365 incorporati, come Power Apps e Power Automate, consente alle organizzazioni di creare processi semplici per richiedere un nuovo team. Completando un modulo facile da usare, è possibile richiedere automaticamente l'approvazione di un responsabile. Dopo l'approvazione, è possibile eseguire il provisioning automatico del team e inviare al richiedente un collegamento al nuovo team. Creando processi di questo genere, le organizzazioni possono anche integrare requisiti personalizzati per facilitare altri processi aziendali.

Assicurare una collaborazione sicura e conforme nel settore dell'energia

Come accennato, Microsoft Office 365 e Office 365 governo degli Stati Uniti hanno raggiunto ciascuno fedRAMP ATO al livello di impatto moderato. Azure e Azure Government hanno raggiunto un livello fedRAMP High P-ATO che rappresenta il livello più alto di autorizzazione FedRAMP. Inoltre, il set di controlli FedRAMP di livello moderato include tutti i requisiti NERC CIP, consentendo in tal modo alle organizzazioni del settore dell'energia ("enti registrati") di sfruttare le autorizzazioni FedRAMP esistenti come approccio scalabile ed efficiente ai requisiti di controllo NERC. Tuttavia, è importante notare che FedRAMP non è una certificazione temporizzato, ma un programma di valutazione e autorizzazione che include disposizioni per il monitoraggio continuo. Anche se questa disposizione si applica principalmente al CSP, i clienti Microsoft che operano in Bulk Electric Systems sono responsabili di garantire la propria conformità con le norme CIP NERC. In genere è consigliabile monitorare continuamente il comportamento di conformità dell'organizzazione per garantire la conformità costante alle normative.

Microsoft fornisce uno strumento chiave che agevola il monitoraggio della conformità alle normative nel tempo:

• Compliance Manager di Microsoft Purview aiuta l'organizzazione a comprendere lo stato di conformità corrente e le azioni che è possibile intraprendere per migliorarlo. Compliance Manager calcola un punteggio di riferimento basato sui rischi che misura i progressi rispetto al completamento di azioni mirate a ridurre i rischi correlati alla protezione dei dati e agli standard normativi. Compliance Manager fornisce un punteggio iniziale basato sulla baseline per la protezione dei dati di Microsoft 365. Questa baseline è un set di controlli che include norme e standard di settore comuni. Anche se questo punteggio rappresenta un buon punto di partenza, Compliance Manager diventa più potente quando un'organizzazione aggiunge valutazioni più rilevanti per il proprio settore. Compliance Manager supporta una serie di standard normativi rilevanti per gli obblighi di conformità NERC CIP, tra cui il set di controlli FedRAMP Moderate, NIST 800-53 Rev. 4e AICPA SOC 2. Le organizzazioni del settore energetico potrebbero anche creare o importare set di controlli personalizzati, se necessario.

Le funzionalità del flusso di lavoro integrate in Compliance Manager consentono alle organizzazioni energetiche di trasformare e digitalizzare i processi di conformità alle normative. Tradizionalmente, i team di conformità nel settore energetico devono affrontare le seguenti sfide:

• Incoerenze nella creazione di report o nel monitoraggio dello stato di avanzamento delle azioni correttive
• Processi inefficienti o inefficaci
• Risorse insufficienti o mancanza di proprietà
• Mancanza di informazioni in tempo reale ed errori umani

Automatizzando gli aspetti dei processi di conformità delle normative con l'uso di Compliance Manager, le organizzazioni possono alleggerire il carico amministrativo sulle funzioni legali e di conformità. Questi strumenti possono essere utili per affrontare queste sfide, fornendo informazioni più aggiornate sulle azioni correttive, un reporting più consistente e la proprietà documentata delle azioni, che è collegata all'implementazione delle azioni. Le organizzazioni possono tenere traccia automaticamente delle azioni correttive nel corso del tempo e riscontrare guadagni complessivi in termini di efficienza. Questa funzionalità consente al personale di concentrarsi maggiormente sull'acquisizione di informazioni dettagliate e sullo sviluppo di strategie per facilitare la navigazione dei rischi in modo più efficace.

Compliance Manager non esprime una misura assoluta della conformità dell'organizzazione con uno standard o una regolamentazione particolare. Rappresenta il livello di adozione di controlli che possono ridurre i rischi per la privacy e i dati personali. Le raccomandazioni di Compliance Manager non devono essere interpretate come garanzia di conformità. Le azioni del cliente disponibili in Compliance Manager sono suggerimenti. Spetta a ogni organizzazione valutare l'efficacia di queste raccomandazioni per soddisfare gli obblighi normativi prima dell'implementazione. Le raccomandazioni disponibili in Compliance Manager non devono essere interpretate come garanzia di conformità.

Molti controlli correlati alla sicurezza informatica sono inclusi negli standard FedRAMP Moderate Control Set e NERC CIP. Tuttavia, i controlli chiave correlati alla piattaforma Microsoft 365 includono controlli di gestione della sicurezza (CIP-003-6), gestione degli account e degli accessi/revoca dell'accesso (CIP-004-6), perimetro di sicurezza elettronica (CIP-005-5), monitoraggio degli eventi di sicurezza e risposta agli incidenti (CIP-008-5). Le funzionalità fondamentali di Microsoft 365 seguenti consentono di affrontare i rischi e i requisiti inclusi in questi articoli.

Proteggere le identità degli utenti e controllare l'accesso

La protezione dell'accesso ai documenti e alle applicazioni inizia con la protezione delle identità degli utenti. Come base, questa azione richiede di fornire una piattaforma sicura per l'azienda per archiviare e gestire le identità e fornire un mezzo di autenticazione attendibile. e la capacità di controllare in modo dinamico l'accesso a tali applicazioni. Quando lavorano, i dipendenti potrebbero passare da un'applicazione all'altra o tra più posizioni e dispositivi. Di conseguenza, l'accesso ai dati deve essere autenticato a ogni passaggio lungo il percorso. Inoltre, il processo di autenticazione deve supportare un protocollo sicuro e più fattori di autenticazione (codice pass SMS una tantum, app di autenticazione, certificato e così via) per garantire che le identità non siano state compromesse. Infine, l'applicazione di criteri di accesso basati sul rischio è cruciale per la protezione di applicazioni e dati da minacce Insider, perdite di dati accidentali ed esfiltrazione di dati. Infine, l'applicazione di criteri di accesso basati sul rischio è cruciale per la protezione di applicazioni e dati da minacce Insider, perdite di dati accidentali ed esfiltrazione di dati.

Microsoft 365 offre una piattaforma di identificazione sicura con Microsoft Entra ID in cui le identità vengono archiviate centralmente e gestite in modo sicuro. Microsoft Entra ID, insieme a una serie di servizi di sicurezza di Microsoft 365 correlati, costituisce la base per fornire ai dipendenti l'accesso necessario per lavorare in modo sicuro, proteggendo al tempo stesso l'organizzazione dalle minacce.

Microsoft Entra'autenticazione a più fattori (MFA) è integrata nella piattaforma e offre un ulteriore livello di protezione per garantire che gli utenti siano quelli che dicono di essere quando accedono a dati e applicazioni sensibili. Microsoft Entra'autenticazione a più fattori richiede almeno due forme di autenticazione, ad esempio una password e un dispositivo mobile noto. Supporta diverse opzioni per il secondo fattore dell'autenticazione, tra cui: l'app Microsoft Authenticator, un passcode monouso recapitato via SMS, la ricezione di una telefonata in cui un utente deve immettere un PIN e l'autorizzazione con smart card o basata sui certificati. Se una password fosse compromessa, un potenziale hacker dovrebbe comunque avere il telefono dell'utente per accedere ai dati dell'organizzazione. Inoltre, Microsoft 365 usa come protocollo chiave l'autenticazione moderna, che offre la stessa esperienza di autenticazione avanzata e complessa dei Web browser negli strumenti di collaborazione, tra cui Microsoft Outlook e altre applicazioni di Microsoft Office.

Microsoft Entra l'accesso condizionale offre una soluzione affidabile per automatizzare le decisioni di controllo di accesso e applicare criteri per proteggere gli asset aziendali. Un esempio comune è quando un dipendente tenta di accedere a un'applicazione contenente dati sensibili dei clienti e viene automaticamente richiesto di eseguire un'autenticazione a più fattori. L'accesso condizionale di Azure riunisce i segnali provenienti dalla richiesta di accesso di un utente, ad esempio le proprietà relative all'utente, al dispositivo, alla posizione, alla rete e all'app o al repository a cui sta tentando di accedere. Valuta in modo dinamico ogni tentativo di accedere all'applicazione in base ai criteri che si configurano. Se il rischio dell'utente o del dispositivo è elevato o se non vengono soddisfatte altre condizioni, Microsoft Entra ID applica automaticamente i criteri , ad esempio la richiesta dinamica dell'autenticazione a più fattori, la limitazione o addirittura il blocco dell'accesso. Questa progettazione consente di garantire che gli asset sensibili siano protetti in ambienti che cambiano dinamicamente.

Microsoft Defender per Office 365 fornisce un servizio integrato per proteggere le organizzazioni da collegamenti dannosi e malware recapitati tramite posta elettronica. Uno dei vettori di attacco più comuni che interessano gli utenti oggi è attacchi di phishing tramite posta elettronica. Questi attacchi possono essere mirati a specifici dipendenti di alto profilo ed essere molto convincenti. In genere contengono alcune chiamate all'azione che richiedono a un utente di selezionare un collegamento dannoso o aprire un allegato con malware. Dopo l'infezione, l'utente malintenzionato può rubare le credenziali dell'utente e spostarsi in modo invisibile nell'organizzazione. Può anche esfiltrare messaggi di posta elettronica e dati per cercare informazioni riservate. Microsoft Defender per Office 365 valuta i collegamenti in fase di clic per siti potenzialmente dannosi e li blocca. Gli allegati di posta elettronica vengono aperti in una sandbox protetta prima di essere recapitati nella cassetta postale di un utente.

Microsoft Defender for Cloud Apps offre alle organizzazioni la possibilità di applicare criteri a livello granulare. Questa progettazione include il rilevamento di anomalie comportamentali basate su singoli profili utente definiti automaticamente tramite Machine Learning. Defender for Cloud Apps si basa sui criteri di accesso condizionale di Azure, valutando ulteriori segnali relativi al comportamento degli utenti e alle proprietà dei documenti a cui si accede. Nel corso del tempo, Defender for Cloud Apps impara il comportamento tipico di ogni dipendente (i dati a cui accedono e le applicazioni che usano). In base ai modelli di comportamento appresi, i criteri possono applicare automaticamente controlli di sicurezza se un dipendente agisce all'esterno di tale profilo comportamentale. Ad esempio, se un dipendente accede in genere a un'app di contabilità dalle 9:00 alle 17:00 dal lunedì al venerdì, ma lo stesso utente inizia ad accedere pesantemente all'applicazione la domenica sera, Defender for Cloud Apps può applicare dinamicamente i criteri per richiedere all'utente di eseguire di nuovo l'autenticazione. Questo requisito consente di garantire che le credenziali non siano state compromesse. Inoltre, Defender for Cloud Apps può aiutare a individuare e identificare Shadow IT nell'organizzazione. Questa funzionalità consente ai team InfoSec di assicurarsi che i dipendenti usno strumenti approvati quando lavorano con dati sensibili. Infine, Defender for Cloud Apps può proteggere i dati sensibili ovunque nel cloud, anche all'esterno della piattaforma Microsoft 365. Consente alle organizzazioni di approvare (o annullare l'approvazione) specifiche app cloud esterne, controllando l'accesso e il monitoraggio quando gli utenti lavorano in tali applicazioni.

Microsoft Entra ID e i relativi servizi di sicurezza di Microsoft 365 forniscono le basi su cui implementare una moderna piattaforma di collaborazione cloud per le organizzazioni del settore energetico. Microsoft Entra ID include controlli per proteggere l'accesso a dati e applicazioni. Oltre a garantire una sicurezza avanzata, questi controlli aiutano le organizzazioni a rispettare gli obblighi di conformità alle normative.

Microsoft Entra ID e i servizi di Microsoft 365 e sono profondamente integrati e offrono le funzionalità importanti seguenti:

• Archiviare in modo centralizzato e gestire in modo sicuro le identità degli utenti
• Usare un protocollo di autenticazione avanzata, inclusa l'autenticazione a più fattori, per autenticare gli utenti nelle richieste di accesso
• Offrire un'esperienza di autenticazione coerente e affidabile in qualsiasi applicazione
• Convalidare in modo dinamico i criteri per tutte le richieste di accesso, incorporando più segnali nel processo decisionale dei criteri, tra cui identità, appartenenza a utenti/gruppi, applicazioni, dispositivi, rete, posizione e punteggio di rischio in tempo reale.
• Convalidare i criteri granulari in base ai comportamenti dell'utente e alle proprietà dei file e applicare in modo dinamico ulteriori misure di sicurezza, se necessario
• Identificare "shadow IT" nell'organizzazione e consentire ai team InfoSec di approvare o bloccare le applicazioni cloud
• Monitorare e controllare l'accesso alle applicazioni cloud Microsoft e non Microsoft
• Proteggere in modo proattivo contro gli attacchi di phishing via posta elettronica e ransomware

Identificare i dati sensibili ed evitare la perdita di dati

Il set di controlli FedRAMP Moderate e gli standard NERC CIP includono tra i requisiti di controllo chiave anche la protezione delle informazioni (CIP-011-2). Questi requisiti riguardano specificamente la necessità di identificare le informazioni relative alle informazioni correlate al sistema cibernetico BES (BCSI, BES Cyber System Information), e la protezione e la gestione sicura di tali informazioni, comprese l'archiviazione, il trasferimento e l'uso. Esempi specifici di informazioni sul sistema informatico BES possono includere procedure di sicurezza o informazioni di sicurezza sui sistemi fondamentali per il funzionamento del sistema elettrico bulk (BES Cyber Systems, Physical Controllo di accesso Systems e Electronic Controllo di accesso o sistemi di monitoraggio) che non sono disponibili pubblicamente e possono essere usati per consentire l'accesso non autorizzato o la distribuzione non autorizzata. Tuttavia, vie la medesima necessità di identificare e proteggere le informazioni dei clienti che sono essenziali per le operazioni quotidiane delle organizzazioni del settore energetico.

Microsoft 365 consente di identificare e proteggere i dati sensibili all'interno dell'organizzazione attraverso una combinazione di funzionalità efficaci, tra cui:

• Microsoft Purview Information Protection (MIP) sia per la classificazione basata sull'utente che per la classificazione automatica dei dati sensibili.

• Prevenzione della perdita dei dati Microsoft Purview (DLP) per l'identificazione automatizzata dei dati sensibili tramite tipi di dati sensibili (ovvero espressioni regolari) e parole chiave e imposizione dei criteri

Microsoft Purview Information Protection (MIP) consente ai dipendenti di classificare documenti e messaggi di posta elettronica usando etichette di riservatezza. Gli utenti possono applicare manualmente le etichette di riservatezza ai documenti nelle app di Microsoft Office e ai messaggi di posta elettronica in Microsoft Outlook. Le etichette di riservatezza possono applicare automaticamente i contrassegni di documento, la protezione con crittografia e imporre la gestione dei diritti. Le etichette di riservatezza possono essere applicate automaticamente anche configurando criteri che usano parole chiave e tipi di dati sensibili (numeri di carta di credito, numeri di previdenza sociale, numeri di identità e così via).

Microsoft fornisce anche classificatori sottoponibili a training. Questi usano modelli di machine learning per identificare i dati sensibili in base al contenuto, anziché semplicemente tramite la corrispondenza dei modelli o dagli elementi all'interno del contenuto. Un classificatore impara a identificare un tipo di contenuto esaminando diversi esempi del contenuto da classificare. Il training di un classificatore inizia fornendogli esempi di contenuto in una determinata categoria. Dopo l'elaborazione degli esempi, il modello viene testato fornendogli una combinazione di esempi corrispondenti e non corrispondenti. Il classificatore stima quindi se un determinato esempio rientra nella categoria o meno. Una persona poi conferma i risultati, ordinando i positivi, i negativi, i falsi positivi e i falsi negativi per aumentare l'accuratezza delle previsioni del classificatore. Quando il classificatore sottoposto a training viene pubblicato, elabora e classifica automaticamente il contenuto in SharePoint Online, Exchange Online e OneDrive.

L'applicazione di etichette di riservatezza a documenti e messaggi di posta elettronica incorpora metadati all'interno dell'oggetto che identifica la sensibilità scelta, consentendo così alla riservatezza di spostarsi con i dati. Di conseguenza, anche se un documento etichettato viene archiviato sul desktop di un utente o all'interno di un sistema locale, è ancora protetto. Questa progettazione consente ad altre soluzioni di Microsoft 365, ad esempio Microsoft Defender for Cloud Apps o dispositivi perimetrali di rete, di identificare i dati sensibili e applicare automaticamente i controlli di sicurezza. Le etichette di riservatezza hanno il vantaggio di insegnare ai dipendenti quali dati all'interno di un'organizzazione sono considerati sensibili e come gestirli.

Prevenzione della perdita dei dati Microsoft Purview (DLP) identifica automaticamente documenti, messaggi di posta elettronica e conversazioni che contengono dati sensibili analizzando questi elementi per individuare i tipi di dati sensibili e quindi applicando criteri su tali oggetti. I criteri vengono applicati ai documenti in SharePoint e in OneDrive for Business. I criteri vengono applicati anche quando gli utenti inviano email nelle chat e conversazioni sui canali di Microsoft Teams. I criteri possono essere configurati in modo da cercare parole chiave, tipi di dati riservati, etichette di conservazione e se i dati vengono condivisi all'interno dell'organizzazione o all'esterno. Sono disponibili controlli che consentono alle organizzazioni di ottimizzare i criteri di prevenzione della perdita dei dati per ridurre in modo più efficace i falsi positivi. Quando vengono rilevati dati sensibili, i suggerimenti per i criteri personalizzabili possono essere visualizzati agli utenti all'interno delle applicazioni Microsoft 365. I suggerimenti per i criteri informano gli utenti che il contenuto contiene dati sensibili e possono proporre azioni correttive. I criteri possono anche impedire agli utenti di accedere ai documenti, condividere documenti o inviare messaggi di posta elettronica che contengono alcuni tipi di dati riservati. Microsoft 365 supporta oltre 100 tipi di dati sensibili incorporati. Le organizzazioni possono configurare tipi di dati riservati personalizzati in modo da soddisfare i criteri.

L'implementazione dei criteri di Information Protection e DLP di Microsoft Purview per le organizzazioni richiede un'attenta pianificazione. Richiede inoltre l'istruzione degli utenti in modo che i dipendenti comprendano lo schema di classificazione dei dati dell'organizzazione e quali tipi di dati sono sensibili. Offrire ai dipendenti strumenti e programmi di formazione che li aiutino a identificare i dati sensibili e a comprendere come gestirli li rende parte della soluzione per attenuare i rischi per la sicurezza delle informazioni.

Gestire i dati tramite una gestione efficiente dei record

Le normative richiedono a molte organizzazioni di gestire la conservazione dei documenti aziendali chiave in base a una pianificazione di conservazione gestita. Le organizzazioni affrontano rischi di conformità se i dati vengono eliminati troppo presto o rischi legali se vengono conservati troppo a lungo. Strategie efficaci di gestione dei record consentono di mantenere i documenti in base a periodi di conservazione prestabiliti, sviluppati per ridurre al minimo i rischi per l'organizzazione. I periodi di conservazione sono previsti in una pianificazione di conservazione dei record dell'organizzazione gestita centralmente. I periodi di conservazione sono basati sulla natura di ogni tipo di documento, i requisiti di conformità alle normative sulla conservazione di tipi specifici di dati e i criteri definiti dell'organizzazione.

L'assegnazione accurata dei periodi di conservazione dei record tra i documenti dell'organizzazione potrebbe richiedere un processo granulare che assegna i periodi di conservazione in modo univoco ai singoli documenti. L'applicazione di criteri di conservazione dei record su larga scala può essere difficile per molti motivi. Queste ragioni includono il vasto numero di documenti all'interno delle organizzazioni dell'industria energetica insieme al fatto che, in molti casi, i periodi di conservazione possono essere innescati da eventi organizzativi (come la scadenza dei contratti o un dipendente che lascia l'organizzazione).

Microsoft 365 offre funzionalità che consentono di definire criteri ed etichette di conservazione, per implementare facilmente i requisiti di gestione dei record. Un responsabile dei record definisce un'etichetta di conservazione, che rappresenta un "tipo di record" in una pianificazione di conservazione tradizionale. L'etichetta di conservazione contiene impostazioni che definiscono i dettagli seguenti:

• Il periodo di conservazione di un record
• I requisiti di concorrenza o cosa succede quando scade il periodo di conservazione (eliminare il documento, avviare una revisione per l'eliminazione o non eseguire alcuna azione)
• Cosa attiva l'avvio del periodo di conservazione (data di creazione, data dell'ultima modifica, data di etichettatura o evento) e
• Se il documento o il messaggio di posta elettronica è un record (ovvero non può essere modificato o eliminato)

Le etichette di conservazione vengono quindi pubblicate nei siti di SharePoint o OneDrive, nelle cassette postali di Exchange e nei gruppi di Office 365. Gli utenti possono quindi applicare manualmente le etichette di conservazione a documenti e messaggi di posta elettronica. Oppure, i record manager possono usare delle regole per applicare automaticamente le etichette di conservazione dei dati. Le regole per l'applicazione automatica possono essere basate su parole chiave o a dati sensibili presenti in documenti o messaggi di posta elettronica, come numeri di carta di credito, codici fiscali o altre informazioni personali dell'utente finale (PII). Le regole di applicazione automatica possono anche essere basate sui metadati di SharePoint.

Il set di controlli FedRAMP Moderate e gli standard NERC CIP includono tra i requisiti di controllo chiave anche il riutilizzo e l'eliminazione degli asset (CIP-011-2). Anche questi requisiti riguardano specificamente le informazioni correlate al sistema cibernetico BES (BCSI, BES Cyber System Information). Tuttavia, altre normative giurisdizionali richiedono alle organizzazioni del settore energetico di gestire ed eliminare i record in modo efficace per molti tipi di informazioni. Queste informazioni comprendono rendiconti finanziari, informazioni sui progetti di investimento, bilanci, dati dei clienti e così via. In tutti i casi, le organizzazioni devono dotarsi di programmi efficienti di gestione dei record e conservare prove correlate all'eliminazione giustificabile dei record aziendali.

Per ogni etichetta di conservazione, Microsoft 365 consente ai responsabili dei record di stabilire se è necessaria una revisione per l'eliminazione. In questo modo, quando questi tipi di record arrivano al momento dell'eliminazione, dopo la scadenza del periodo di conservazione, i revisori designati devono svolgere una verifica prima che il contenuto venga eliminato. Dopo l'approvazione della revisione dell'eliminazione, l'eliminazione del contenuto procede. Tuttavia, la prova dell'eliminazione (l'utente che ha eseguito l'eliminazione e la data/ora in cui si è verificata) viene conservata per più anni come certificato di distruzione. Se le organizzazioni richiedono una conservazione più lunga o permanente dei certificati di distruzione, possono usare Microsoft Sentinel per l'archiviazione a lungo termine basata sul cloud dei dati di log e di controllo. Microsoft Sentinel offre alle organizzazioni il controllo completo sull'archiviazione a lungo termine e sulla conservazione dei dati delle attività, dei dati di log e dei dati di conservazione/eliminazione.

Conformità alle normative FERC e FTC relative ai mercati dell'energia

La Federal Energy Regulatory Commission (FERC) statunitense ha il compito di supervisionare le norme relative ai mercati e al commercio per i mercati dell'energia elettrica e del gas naturale. La Federal Trade Commission (FTC) degli Stati Uniti supervisiona normative simili nel mercato petrolifero. In entrambi i casi, questi enti normativi emanano regole e linee guida per impedire la manipolazione del mercato dell'energia. La FERC, ad esempio, raccomanda alle organizzazioni del settore dell'energia di investire in risorse tecnologiche per monitorare il trading, le comunicazioni tra i trader e la conformità ai controlli interni. Si raccomanda inoltre che le organizzazioni del settore energetico valutino periodicamente l'efficacia del programma di conformità interno.

Tradizionalmente, le soluzioni per il monitoraggio delle comunicazioni sono costose e possono essere complesse da configurare e gestire. Inoltre, le organizzazioni possono sperimentare difficoltà nel monitorare i diversi ed eterogenei canali di comunicazione disponibili ai dipendenti. Microsoft 365 include diverse funzionalità integrate per il monitoraggio delle comunicazioni dei dipendenti, la supervisione delle attività dei dipendenti e la conformità alle normative FERC per i mercati energetici.

Implementare il controllo di supervisione

Microsoft 365 consente alle organizzazioni di configurare criteri di supervisione per acquisire le comunicazioni dei dipendenti, in base alle condizioni configurate, e consentirne la revisione da parte di responsabili designati. I criteri di supervisione consentono di acquisire messaggi di posta elettronica interni/esterni e allegati, comunicazioni in chat e canali di Microsoft Teams, comunicazioni in chat e allegati di Skype for Business Online e comunicazioni tramite servizi di terze parti, ad esempio Facebook o Dropbox.

La natura completa delle comunicazioni che potrebbero essere acquisite ed esaminate all'interno di un'organizzazione e le ampie condizioni con cui è possibile configurare i criteri consentono ai criteri di supervisione di Microsoft 365 di aiutare le organizzazioni a rispettare le normative del mercato energetico FERC. È possibile configurare criteri di supervisione per rivedere le comunicazioni di singoli utenti o gruppi. Inoltre, i supervisori possono essere configurati come utenti singoli o gruppi. È possibile configurare condizioni complete per acquisire comunicazioni basate su messaggi in entrata o in uscita, domini, etichette di conservazione, parole chiave o frasi, dizionari di parole chiave, tipi di dati sensibili, allegati, dimensioni del messaggio o dimensioni degli allegati. I revisori ricevono un dashboard in cui possono rivedere le comunicazioni contrassegnate, agire sulle comunicazioni che potenzialmente violano i criteri oppure segnalare gli elementi contrassegnati come risolti. Potrebbero anche esaminare i risultati delle recensioni e degli elementi precedenti che sono stati risolti.

Microsoft 365 fornisce report che consentono di controllare le attività di revisione dei criteri di supervisione in base al criterio e al revisore. È possibile usare i report disponibili per verificare che i criteri di supervisione funzionino come definito dai criteri di supervisione scritti dell'organizzazione. I report possono essere usati anche per identificare le comunicazioni che richiedono una revisione, incluse le comunicazioni non conformi ai criteri aziendali. Infine, tutte le attività relative alla configurazione dei criteri di supervisione e alla revisione delle comunicazioni vengono controllate nel log di controllo unificato di Office 365.

I criteri di supervisione di Microsoft 365 consentono alle organizzazioni di monitorare la conformità delle comunicazioni ai criteri aziendali, ad esempio in termini di molestie e linguaggio offensivo nelle comunicazioni aziendali. Consente alle organizzazioni anche di ridurre i rischi monitorando le comunicazioni quando affrontano mutamenti di natura particolarmente sensibile, come fusioni e acquisizioni o avvicendamenti della dirigenza.

Conformità delle comunicazioni

Con molti canali di comunicazione a disposizione dei dipendenti, le organizzazioni hanno sempre più bisogno di soluzioni efficaci per rilevare e indagare sulle comunicazioni in settori regolamentati come i mercati del trading energetico. Queste sfide possono includere un numero crescente di canali di comunicazione e volume di messaggi e il rischio di potenziali multe per violazioni dei criteri.

Conformità delle comunicazioni Microsoft Purview è una soluzione per la conformità che contribuisce a ridurre i rischi correlati alle comunicazioni aiutando a rilevare, indagare e attuare misure correttive per i messaggi inappropriati dell'organizzazione. I criteri predefiniti e personalizzati consentono di scansionare le comunicazioni interne ed esterne per trovare corrispondenze con i criteri, in modo che siano esaminate dai revisori designati. I revisori possono analizzare i messaggi di posta elettronica analizzati, Microsoft Teams, Viva Engage o comunicazioni di terze parti nell'organizzazione e intraprendere le azioni appropriate per assicurarsi che siano conformi agli standard dei messaggi dell'organizzazione.

Conformità delle comunicazioni aiuta i team di conformità a revisionare in modo efficace ed efficiente i messaggi in cerca di eventuali violazioni di:

• criteri aziendali, ad esempio l'uso accettabile, gli standard etici e i criteri aziendali specifici
• Riservatezza o divulgazione di informazioni aziendali riservate, ad esempio comunicazioni non autorizzate riguardanti progetti riservati come acquisizioni imminenti, fusioni, divulgazioni dei guadagni, riorganizzazioni o cambiamenti del team dirigente.
• requisiti di conformità normativa, come le comunicazioni ai dipendenti sui tipi di attività o transazioni in cui un'organizzazione è impegnata in conformità con le normative FERC per i mercati dell'energia

Conformità delle comunicazioni offre classificatori integrati di minacce, molestie e bestemmie per ridurre i falsi positivi durante la revisione delle comunicazioni. Questa classificazione consente di risparmiare tempo ai revisori durante il processo di analisi e correzione. Consente ai revisori di concentrarsi su messaggi specifici all'interno di lunghi thread, evidenziati da avvisi dei criteri. Questo risultato consente ai team di conformità di identificare e correggere più rapidamente i rischi. Offre ai team di conformità la capacità di configurare e ottimizzare i criteri in modo semplice e rapido, adattando la soluzione alle specifiche esigenze dell'organizzazione e riducendo i falsi positivi. Conformità delle comunicazioni può anche aiutare a identificare il comportamento potenzialmente rischioso degli utenti nel corso del tempo, evidenziando potenziali modelli di comportamento rischioso o di violazione dei criteri. Infine, fornisce flussi di lavoro di correzione incorporati flessibili. Questi flussi di lavoro consentono ai revisori di intervenire rapidamente per passare ai team legali o delle risorse umane in base ai processi aziendali definiti.

Proteggersi dall'esfiltrazione dei dati e dai rischi Insider

Una minaccia comune per le aziende è l'esfiltrazione dei dati, ossia l'atto di estrarre dati da un'organizzazione. Questa azione può costituire un problema significativo per le organizzazioni del settore energetico a causa della natura sensibile delle informazioni a cui possono accedere i dipendenti o il personale del servizio sul campo giorno per giorno. Questi dati includono sia le informazioni del BES (Bulk Electric System) Cyber System sia le informazioni relative al business e i dati dei clienti. Con l'aumento dei metodi di comunicazione disponibili e diversi strumenti per lo spostamento dei dati, in genere sono necessari strumenti avanzati per ridurre i rischi di perdite di dati, violazioni dei criteri e rischi insider.

Gestione dei rischi Insider

L'abilitazione dei dipendenti con strumenti di collaborazione online a cui è possibile accedere ovunque comporta rischi per un'organizzazione. I dipendenti potrebbero perdere dati inavvertitamente o intenzionalmente a utenti malintenzionati o a concorrenti. In alternativa, potrebbero esfiltrare i dati per uso personale o portare i dati con loro a un futuro datore di lavoro. Questi scenari rappresentano un rischio grave per le organizzazioni, sia dal punto di vista della sicurezza che da quello della conformità. Per identificare questi rischi quando si presentano e attenuarli rapidamente sono necessari strumenti intelligenti per la raccolta dei dati e la collaborazione tra i reparti, ad esempio tra ufficio legale, Risorse Umane e Information Security.

Gestione dei rischi Insider Microsoft Purview è una soluzione per la conformità che contribuisce a ridurre al minimo i rischi interni, consentendo di rilevare, analizzare e agire sulle attività dolose e involontarie nell'organizzazione. I criteri relativi al rischio insider consentono di definire i tipi di rischio da identificare e rilevare nell'organizzazione, compreso l'intervento sui casi e l'escalation dei casi a Microsoft eDiscovery (Premium), se necessario. Gli analisti del rischio dell'organizzazione possono intraprendere rapidamente le azioni appropriate per assicurarsi che gli utenti siano conformi agli standard di conformità dell'organizzazione.

Ad esempio, la gestione del rischio insider può correlare i segnali provenienti dai dispositivi di un utente (come la copia di file su un'unità USB o l'invio di e-mail a un account di posta elettronica personale) con le attività dei servizi online (come la posta elettronica di Office 365, SharePoint Online, Microsoft Teams, OneDrive for Business) per identificare i modelli di esfiltrazione dei dati. Può anche correlare queste attività con i dipendenti che lasciano l'organizzazione, un modello comportamentale tipico associato all'esfiltrazione di dati. Può rilevare più attività e comportamenti potenzialmente rischiosi nel tempo. Se emergono schemi comuni, può generare avvisi e aiutare gli investigatori a concentrarsi su attività chiave per identificare un'eventuale violazione dei criteri con un grado elevato di attendibilità. La gestione del rischio insider può anche nascondere i dati agli investigatori per aiutarli a rispettare le norme sulla privacy dei dati, facendo comunque emergere le attività chiave che li aiutano a svolgere le indagini in modo efficiente. Quando predisposta, consente agli investigatori di inserire in pacchetti e inviare in modo sicuro i dati sulle attività chiave all'ufficio legale e al reparto Risorse Umane, seguendo i flussi di lavoro di escalation comuni per la raccolta di casi e l'applicazione di misure correttive.

La gestione del rischio insider rappresenta un significativo aumento delle funzionalità di Microsoft 365 per il rilevamento e l'investigazione dei rischi insider, consentendo alle organizzazioni di rispettare le normative sulla privacy dei dati e di seguire i percorsi di escalation stabiliti quando i casi richiedono un'azione di livello superiore.

Conclusione

Microsoft 365 offre una soluzione completa e integrata che rende possibile la collaborazione semplice e basata sul cloud in tutta l'azienda con Microsoft Teams. Microsoft Teams consente inoltre una migliore comunicazione e collaborazione con il personale di servizio sul campo, aiutando le organizzazioni del settore energetico a operare in modo più efficace ed efficiente. Una collaborazione migliore all'interno dell'azienda e con il personale sul campo, in ultima analisi, consente alle organizzazioni di servire meglio i clienti.

Le organizzazioni del settore dell'energia devono rispettare normative stringenti sul modo in cui archiviare, proteggere, gestire e conservare le informazioni relative alle operazioni e ai clienti. Devono anche conformarsi a normative su come monitorare e prevenire la manipolazione dei mercati dell'energia. Microsoft 365 include potenti controlli di sicurezza per la protezione di dati, identità, dispositivi e applicazioni dai rischi e per la conformità alle rigorose normative del settore energetico. Sono disponibili strumenti predefiniti utili alle organizzazioni di questo settore per valutare la propria conformità, oltre che per intraprendere azioni e tenere traccia delle attività di correzione nel tempo. Questi strumenti offrono inoltre metodi semplici per il monitoraggio e la supervisione delle comunicazioni. La piattaforma Microsoft 365 si basa su componenti di base come Microsoft Azure e Microsoft Entra ID, contribuendo a proteggere la piattaforma complessiva e aiutando l'organizzazione a soddisfare i requisiti di conformità per i set di controllo FedRAMP Moderate e High. Questa progettazione, a sua volta, contribuisce alla capacità di un'organizzazione energetica di soddisfare gli standard NERC CIP.

Nel complesso, Microsoft 365 consente alle organizzazioni del settore energetico di proteggersi meglio, implementare programmi di conformità più robusti e consentire al personale di concentrarsi sull'ottenere informazioni migliori e sull'attuazione di strategie per ridurre meglio i rischi.