Belangrijkste overwegingen op het gebied van compliance en beveiliging voor de energiesector

  • Artikel
  • 15 minuten om te lezen

De illustratie is een metafoor voor een wereldwijd perspectief van diverse industrieën die de cloud gebruiken

Inleiding

De energiesector voorziet de samenleving van brandstof en kritieke infrastructuur waar mensen dagelijks op vertrouwen. Om de betrouwbaarheid van infrastructuur met betrekking tot bulkstroomsystemen te waarborgen, leggen regelgevende instanties strikte normen op aan organisaties in de energie-industrie. Deze regelgevingsnormen hebben niet alleen betrekking op de opwekking en transmissie van stroom, maar ook op de gegevens en communicatie die essentieel zijn voor de dagelijkse bedrijfsvoering van energiebedrijven.

Organisaties in de energiesector werken met en wisselen tal van soorten informatie uit als onderdeel van hun normale activiteiten, waaronder klantgegevens, ontwerpdocumentatie over belangrijke techniek, locatiemappen voor hulpbronnen, projectmanagementartefacten, prestatiestatistieken, velddienstrapporten, omgevingsgegevens en prestatiegegevens. Omdat deze organisaties hun operaties en samenwerkingssystemen willen transformeren in moderne digitale platforms, zien ze Microsoft als een vertrouwde Cloud Service Provider (CSP) en Microsoft 365 als hun beste samenwerkingsplatform. Aangezien Microsoft 365 intrinsiek is gebouwd op het Microsoft Azure-platform, moeten organisaties beide platforms onderzoeken bij het analyseren van hun nalevings- en beveiligingsmaatregelen wanneer ze naar de cloud overstappen.

In Noord-Amerika hanteert de North America Electric Reliability Corporation (NERC) betrouwbaarheidsnormen die worden aangeduid als NERC Critical Infrastructure Protection (CIP)-normen. NERC staat onder toezicht van de Amerikaanse Federal Energy Regulatory Commission (FERC) en overheidsinstanties in Canada. Alle eigenaren, operators en gebruikers van bulkstroomsystemen moeten zich registreren bij NERC en moeten voldoen aan de NERC CIP-normen. Cloudserviceproviders en externe leveranciers zoals Microsoft zijn niet onderworpen aan de NERC CIP-normen. De CIP-normen bevatten echter doelstellingen waarmee rekening moet worden gehouden wanneer Geregistreerde Entiteiten leveranciers gebruiken die invloed kunnen hebben op de werking van het Bulk Electric System (BES). Microsoft-klanten die bulkstroomsystemen gebruiken, zijn volledig verantwoordelijk voor hun eigen naleving van de NERC CIP-normen.

Zie de volgende bronnen voor informatie over Microsoft-cloudservices en NERC:

Regelgevende normen die worden aanbevolen voor overweging door de energiesector zijn onder meer FedRAMP (US Federal Risk and Authorization Management Program), dat is gebaseerd op en een aanvulling is op de NIST SP 800-53 Rev 4-standaard (National Institute of Standards and Technology).

  • Microsoft Office 365 en Office 365 U.S. Government hebben elk een FedRAMP-ATO (Authorization to Operate) gekregen op het niveau Moderate Impact.
  • Azure en Azure Government hebben elk een FedRAMP High P-ATO (Provisional Authorization to Operate) gekregen, wat het hoogste niveau van FedRAMP-autorisatie vertegenwoordigt.

Zie de volgende bronnen voor informatie over Microsoft-cloudservices en FedRAMP:

Deze prestaties zijn belangrijk voor de energiesector omdat een vergelijking tussen de FedRAMP Moderate-controleset en de NERC CIP-vereisten aantoont dat FedRAMP Moderate alle NERC CIP-vereisten omvat. Voor aanvullende informatie heeft Microsoft een Cloud Implementatiehandleiding voor NERC-audits ontwikkeld die een controle-mapping bevat tussen de huidige set NERC CIP-standaarden en de FedRAMP Moderate-controleset, zoals gedocumenteerd in NIST 800-53 Rev 4.

Aangezien de energiesector haar samenwerkingsplatforms wil moderniseren, is zorgvuldige overweging vereist voor de configuratie en implementatie van samenwerkingstools en veiligheidscontroles, waaronder:

  • Evaluatie van gangbare scenario's voor samenwerking
  • Toegang tot gegevens die nodig zijn voor werknemers om productief te zijn
  • Vereisten rondom naleving van regelgeving
  • Bijbehorende risico's voor data, klanten en de organisatie

Microsoft 365 is een moderne cloudomgeving op de werkplek die veilige en flexibele samenwerking binnen de onderneming kan bieden, evenals controles en handhaving van het beleid om te voldoen aan strikte regelgevingskaders. Aan de hand van de volgende onderwerpen zal dit document onderzoeken hoe het Microsoft 365-platform de energiesector helpt bij de overstap naar een modern samenwerkingsplatform, terwijl het tegelijkertijd helpt om gegevens en systemen veilig te houden en te voldoen aan regelgeving:

  • Een uitgebreid samenwerkingsplatform bieden met Microsoft Teams
  • Veilige en conforme samenwerking bieden in de energiesector
  • Gevoelige gegevens identificeren en verlies van gegevens voorkomen
  • Gegevens beheren door records effectief te beheren
  • Voldoen aan de FERC- en FTC-voorschriften voor energiemarkten
  • Beschermen tegen data-exfiltratie en interne risico's

Als Microsoft-partner heeft Protiviti bijgedragen aan dit artikel door belangrijke feedback te geven.

Een uitgebreid samenwerkingsplatform bieden met Microsoft Teams

Samenwerking vereist meestal verschillende vormen van communicatie, de mogelijkheid om documenten op te slaan en te openen en de mogelijkheid om zo nodig andere toepassingen te integreren. Of het nu gaat om wereldwijde ondernemingen of lokale bedrijven, werknemers in de energiesector moeten doorgaans samenwerken en communiceren met leden van andere afdelingen of tussen teams. Bovendien moeten ze vaak communiceren met externe partners, leveranciers of klanten. Het gebruik van systemen die gegevens achterhouden of het moeilijk maken om informatie te delen, wordt daarom doorgaans niet aanbevolen. We willen er toch voor zorgen dat werknemers informatie veilig en conform beleid delen.

Door medewerkers een modern samenwerkingsplatform in de cloud te bieden, kunnen ze tools kiezen en integreren waarmee ze productiever worden en flexibel kunnen werken. Door Microsoft Teams te gebruiken, in combinatie met veiligheidscontroles en beleid voor informatiebeheer die de organisatie beschermen, kan uw personeel gemakkelijk samenwerken in de cloud.

Microsoft Teams biedt een samenwerkingshub voor uw organisatie, die mensen snel samenbrengt om samen met andere teamleden te werken aan gemeenschappelijke initiatieven of projecten. Teamleden kunnen gesprekken voeren, samenwerken en documenten schrijven. Hiermee kunnen mensen bestanden opslaan en delen met teamleden of met personen buiten het team. Het stelt hen ook in staat om live-vergaderingen te houden met geïntegreerde spraak en video. Microsoft Teams kan worden aangepast met eenvoudige toegang tot Microsoft-apps zoals Planner, Dynamics 365, Power BI en andere externe line-of-business-applicaties. Teams vereenvoudigt de toegang tot Office 365-services en apps van derden om samenwerking en communicatiebehoeften voor de organisatie te centraliseren.

Elk Microsoft-team wordt ondersteund door een Office 365-groep. Een Office 365-groep wordt beschouwd als de lidmaatschapsprovider voor tal van Office 365-services, waaronder Microsoft Teams. Als zodanig worden Office 365 Groepen gebruikt om te bepalen welke gebruikers als leden worden beschouwd en wie eigenaren van de groep zijn, waardoor de leden en eigenaren van het team worden beperkt. Zo kunnen we gemakkelijk beheren welke gebruikers toegang hebben tot verschillende functies binnen Teams. Hierdoor hebben teamleden en -eigenaren alleen toegang tot de mogelijkheden die ze mogen gebruiken.

Een veelvoorkomend scenario waarbij Microsoft Teams energiebedrijven ten goede kunnen komen, is samenwerking met aannemers of externe bedrijven als onderdeel van field service-programma's zoals vegetatiebeheer. Aannemers zijn beheren doorgaans de vegetatie of het verwijderen van bomen rond installaties van energiesystemen. Ze moeten vaak werkinstructies ontvangen, communiceren met coördinatoren en ander buitendienstpersoneel, foto's maken en delen van een externe omgeving, aftekenen wanneer het werk is voltooid en gegevens delen met het hoofdkantoor. Traditioneel werden deze programma's uitgevoerd met telefoon, tekst, papieren werkorders of aangepaste applicaties. Dit kan talrijke uitdagingen opleveren, zoals:

  • Processen zijn handmatig of analoog, waardoor het moeilijk is om statistieken bij te houden
  • De communicatie wordt niet allemaal op één plaats vastgelegd
  • Gegevens worden opgeslagen en niet per se gedeeld met alle medewerkers die ze nodig hebben
  • Werk kan niet consistent of efficiënt worden uitgevoerd
  • Aangepaste toepassingen worden niet geïntegreerd met hulpprogramma's voor samenwerking, waardoor het lastig is om gegevens uit te pakken en te delen of prestaties te meten.

Microsoft Teams biedt een gebruiksvriendelijke samenwerkingsruimte om informatie veilig te delen en gesprekken te voeren tussen teamleden en externe buitendienstaannemers. Teams kan worden gebruikt om vergaderingen te houden, gesprekken te voeren, werkorders centraal op te slaan en te delen, veldgegevens te verzamelen, foto's te uploaden, te integreren met bedrijfsprocesoplossingen (gebouwd met Power Apps en Power Automate) en om zakelijke apps te integreren. Dit soort veldtypegegevens kan worden beschouwd als low-impact. Efficiëntie kan echter worden bereikt door de communicatie en toegangsgegevens tussen werknemers en buitendienstpersoneel in deze scenario's te centraliseren.

Een ander voorbeeld waar Microsoft Teams de energiesector kan bijstaan, is wanneer buitendienstpersoneel bezig is om de service te herstellen tijdens een storing. Buitendienstpersoneel heeft vaak snel toegang nodig tot schematische gegevens voor substations, hoofdstations of blauwdrukken voor activa in het veld. Deze gegevens worden beschouwd als erg belangrijk en moeten worden beschermd volgens de NERC CIP-voorschriften. Buitendienstwerk tijdens storingen vereist communicatie tussen buitendienst- en kantoormedewerkers, en met eindklanten. Door de communicatie en het delen van gegevens in Microsoft Teams te centraliseren, kunnen buitendienstmedewerkers gemakkelijk toegang krijgen tot kritieke gegevens en informatie of status doorgeven aan het hoofdkantoor. Met Microsoft Teams kunnen medewerkers in het veld bijvoorbeeld deelnemen aan telefonische vergaderingen terwijl ze onderweg zijn naar een storing. Buitendienstmedewerkers kunnen ook foto's of video's van hun omgeving maken en die delen met het hoofdkantoor, wat vooral belangrijk is wanneer veldapparatuur niet overeenkomt met schema's. De gegevens en status die uit het veld zijn verzameld, kunnen vervolgens worden doorgegeven aan kantoormedewerkers en managers via datavisualisatietools zoals Power BI. Uiteindelijk kan Microsoft Teams de buitendienstmedewerkers in deze kritieke situaties efficiënter en productiever maken.

Teams: betere samenwerking en minder compliancerisico

Microsoft 365 biedt algemene beleidsmogelijkheden voor Microsoft Teams door het gebruik van Office 365 Groepen als onderliggende lidmaatschapsprovider. Met dit beleid kunt u de samenwerking verbeteren en aan de compliancevereisten voldoen.

Het naamgevingsbeleid voor Office 365-groepen zorgt ervoor dat Office 365 Groepen, ofwel Microsoft Teams, een naam krijgen volgens het bedrijfsbeleid. De naam van een team kan uitdagingen opleveren als deze niet op de juiste manier wordt benoemd. Werknemers weten bijvoorbeeld mogelijk niet in welke teams ze moeten werken of waar ze informatie moeten delen als ze een verkeerde naam hebben. Het naamgevingsbeleid voor groepen kan een goede hygiëne afdwingen en kan ook het gebruik van specifieke woorden, zoals gereserveerde woorden of ongepaste terminologie, voorkomen.

Het verloopbeleid van de Office 365-groep zorgt ervoor dat Office 365 Groepen, en dus ook Microsoft Teams, niet langer worden bewaard dan vereist door de organisatie. Deze mogelijkheid zorgt ervoor dat twee belangrijke problemen met informatiebeheer worden voorkomen:

  • De proliferatie van Microsoft Teams die niet nodig zijn of worden gebruikt
  • Het overmatig bewaren van gegevens die de organisatie niet meer nodig heeft

Beheerders kunnen een verloopperiode opgeven in dagen voor Office 365 Groepen, zoals 90, 180 of 365 dagen. Als een service die wordt ondersteund door een Office 365 Groep gedurende de verloopperiode inactief is, worden groepseigenaren op de hoogte gesteld. Als er geen actie wordt ondernomen, worden de Office 365-groep en alle gerelateerde services, waaronder Microsoft Teams, verwijderd.

Het overmatig bewaren van gegevens in een Microsoft-team kan procesrisico's met zich meebrengen. Het gebruik van vervalbeleid is de aanbevolen methode om de organisatie te beschermen. In combinatie met ingebouwde bewaarlabels en -beleid helpt Microsoft 365 ervoor te zorgen dat organisaties alleen de gegevens bewaren die nodig zijn om te voldoen aan het bedrijfsbeleid en wettelijke complianceverplichtingen.

Teams: eenvoudig aangepaste vereisten integreren

Met Microsoft Teams kunt u standaard zelf teams maken. Veel gereguleerde organisaties willen echter controleren en begrijpen welke samenwerkingsruimten momenteel worden gebruikt door werknemers, welke ruimtes gevoelige gegevens bevatten en wie de eigenaren zijn van ruimtes in hun hele organisatie. Om deze controles mogelijk te maken, kunnen organisaties met Microsoft 365 het zelf maken van teams uitschakelen. Met behulp van ingebouwde Microsoft 365-tools voor bedrijfsprocesautomatisering, zoals Power Apps en Power Automate, kunnen organisaties eenvoudige processen bouwen om een nieuw team aan te vragen. Door een eenvoudig te gebruiken formulier in te vullen, kan een goedkeuring automatisch worden aangevraagd door een manager. Na goedkeuring kan het team automatisch worden ingericht en ontvangt de aanvrager een link naar zijn nieuwe team. Door dergelijke processen te bouwen, kunnen organisaties ook aangepaste vereisten integreren om andere bedrijfsprocessen te vergemakkelijken.

Veilige en conforme samenwerking bieden in de energiesector

Zoals eerder vermeld, hebben zowel Microsoft Office 365 als Office 365 U.S. Government de rating FedRAMP ATO behaald op het niveau Moderate Impact, en Azure en Azure Government hebben de rating FedRAMP High P-ATO behaald, het hoogste niveau van FedRAMP-autorisatie. Bovendien omvat de gematigde controleset van FedRAMP alle NERC CIP-vereisten, waardoor organisaties in de energiesector ('geregistreerde entiteiten') bestaande FedRAMP-autorisaties kunnen benutten als een schaalbare en efficiënte benadering om aan de NERC-auditvereisten te voldoen. Het is echter belangrijk op te merken dat FedRAMP geen eenmalige certificering is, maar een beoordelings- en autorisatieprogramma dat bepalingen bevat voor doorlopende monitoring. Hoewel deze bepaling voornamelijk van toepassing is op de CSP, zijn Microsoft-klanten die bulk electrische systemen gebruiken verantwoordelijk voor hun eigen naleving van de NERC CIP-normen. Het wordt algemeen aanbevolen om de nalevingstoestand van de organisatie voortdurend te controleren om te zorgen voor voortdurende naleving van regelgeving.

Microsoft biedt een belangrijk hulpmiddel voor het controleren van de naleving van regelgeving gedurende een bepaalde periode:

  • Microsoft Compliancebeheer helpt de organisatie inzicht te krijgen in het huidige compliancepostuur en de acties die kunnen worden ondernemen om dat postuur te verbeteren. In Compliancebeheer wordt een op risico gebaseerde score berekend om de voortgang te meten van acties die de risico's rond gegevensbescherming en regelgevingsnormen helpen verminderen. Compliancebeheer biedt een initiële score op basis van de Microsoft 365-baseline voor gegevensbescherming. Deze baseline is een set besturingselementen die algemene branchevoorschriften en -normen omvat. Deze score is een goed startpunt, maar Compliancebeheer wordt krachtiger zodra een organisatie evaluaties toevoegt die relevanter zijn voor de betreffende branche. Compliancebeheer ondersteunt enkele regelgevende normen die relevant zijn voor NERC CIP-complianceverplichtingen, waaronder de FedRAMP Moderate Control Set, NIST 800-53 Rev. 4 en AICPA SOC 2. Organisaties in de energiesector kunnen indien nodig ook aangepaste controlesets maken of importeren.

Dankzij de op workflows gebaseerde mogelijkheden die zijn ingebouwd in Compliancebeheer, kunnen energieorganisaties hun complianceprocessen op het gebied van regelgeving transformeren en digitaliseren. Traditioneel zijn de uitdagingen waarmee complianceteams in de energiesector worden geconfronteerd:

  • Inconsistente rapportage of het volgen van de voortgang van herstelmaatregelen
  • Inefficiënte of ineffectieve processen
  • Onvoldoende middelen of gebrek aan eigendom
  • Gebrek aan realtime informatie en menselijke fouten

Door aspecten van complianceprocessen van regelgeving te automatiseren met behulp van Compliancebeheer kunnen organisaties de administratieve last voor juridische en compliancefuncties verminderen. Deze tools kunnen helpen deze uitdagingen aan te gaan door meer up-to-date informatie te verstrekken over herstelmaatregelen, consistentere rapportage en gedocumenteerd eigendom van acties die verband houden met de uitvoering van acties. Organisaties kunnen herstelacties in de loop van de tijd automatisch volgen en algemene efficiëntieverbeteringen zien. Dit kan het personeel op zijn beurt in staat stellen om zich meer te richten op het verkrijgen van inzichten en het ontwikkelen van strategieën om effectiever met risico's om te gaan.

Compliancebeheer biedt geen absolute maatstaf voor de naleving van een bepaalde norm of regelgeving door de organisatie. Het geeft aan in hoeverre u maatregelen hebt genomen om de risico's voor persoonsgegevens en individuele privacy te verminderen. Aanbevelingen van Compliancebeheer mogen niet worden geïnterpreteerd als een garantie voor naleving. De acties van de klant in Compliance Manager zijn aanbevelingen. Het is aan elke organisatie om de effectiviteit van deze aanbevelingen te evalueren in hun respectieve regelgevingsomgeving, voorafgaand aan implementatie. Aanbevelingen van Compliance Manager mogen niet worden geïnterpreteerd als een garantie voor naleving.

Veel cyberbeveiliging gerelateerde besturingselementen zijn opgenomen in de FedRAMP Moderate Control Set en de NERC CIP-standaarden. Belangrijke besturingselementen voor het Microsoft 365-platform bestaan echter uit beveiligingsbeheer (overschrijving-003-6), account- en toegangsbeheer/toegang (overschrijving-004-6), elektronische beveiligingsverbindingen (overschrijving-005-5), controle van beveiligingsgebeurtenissen en reacties op incidenten (overschrijvingen-008-5). De volgende basisfuncties van Microsoft 365 zijn bedoeld om de risico's en vereisten voor deze onderwerpen te verhelpen.

Veilige gebruikersidentiteiten en toegangsbeheer

Het beveiligen van de toegang tot documenten en toepassingen begint met de sterke beveiliging van gebruikersidentiteiten. Hiervoor hebt u een veilig platform voor de onderneming nodig om identiteiten op te slaan en te beheren, zodat u over een vertrouwde verificatiemethode beschikt. Bovendien moet de toegang tot deze toepassingen dynamisch worden beheerd. Tijdens het werk kunnen medewerkers steeds wisselen van toepassing, locatie en apparaat. De toegang tot gegevens moet bij elke stap worden geverifieerd. Bovendien moet het verificatieproces ondersteuning bieden voor een sterk protocol en meerdere verificatie factoren (eenmalige SMS toegangscode, verificatie-app, certificaat enzovoort), zodat we kunnen garanderen dat er geen inbreuk is gemaakt op de identiteiten. Tenslotte is het afdwingen van op risico gebaseerd toegangsbeleid van cruciaal belang voor het beschermen van financiële gegevens en toepassingen tegen interne bedreigingen, onopzettelijke gegevenslekken en gegevensexfiltratie.

Microsoft 365 biedt een veilig identiteitsplatform in Azure Active Directory (Azure AD), waarin de id's centraal worden opgeslagen en veilig worden beheerd. Azure Active Directory vormt samen met een groot aantal gerelateerde Microsoft 365-beveiligingsservices, de basis om werknemers de toegang te bieden die ze nodig hebben om veilig te werken en tegelijk de organisatie te beschermen tegen bedreigingen.

Azure AD Multi-Factor Authentication (MFA) is ingebouwd in het platform en biedt een extra verificatiemiddel voor het bevestigen van de gebruikersidentiteit bij het verkrijgen van toegang tot gevoelige financiële gegevens en toepassingen. Azure MFA vereist ten minste twee vormen van verificatie, zoals een wachtwoord plus een bekend mobiel apparaat. Het ondersteunt verschillende opties voor tweefactorverificatie, waaronder de Microsoft Authenticator-app, een eenmalige toegangscode die via sms wordt bezorgd, een automatisch telefoongesprek waarbij een gebruiker een pincode moet invoeren, en smartcards of op certificaten gebaseerde authenticatie. Als het wachtwoord wordt aangetast, heeft een potentiële hacker de telefoon van de gebruiker nog steeds nodig om toegang te krijgen tot organisatiegegevens. Bovendien gebruikt Microsoft 365 moderne verificatie als een belangrijk protocol, dat dezelfde krachtige verificatie-ervaring van webbrowsers biedt voor de samenwerkingstools, waaronder Microsoft Outlook en andere Microsoft Office-toepassingen.

Voorwaardelijke toegang voor Azure AD is een krachtige oplossing voor het automatiseren van beslissingen voor toegangsbeheer en het afdwingen van beleid om bedrijfsmiddelen te beveiligen. Een voorbeeld hiervan is wanneer een werknemer toegang wil krijgen tot een toepassing met gevoelige klantgegevens en ze automatisch een meervoudige verificatie moeten uitvoeren om specifiek toegang te krijgen tot die toepassing. Met voorwaardelijke toegang voor Azure worden de signalen van de toegangsaanvraag van een gebruiker samengevoegd, zoals de eigenschappen van de gebruiker, het apparaat, de locatie en het netwerk en de toepassing of opslagplaats waartoe de gebruiker toegang probeert te krijgen. De app kan dynamisch elke poging voor toegang tot de toepassing evalueren aan de hand van het geconfigureerde beleid. Bij een verhoogd risico voor gebruikers of apparaten of als er niet aan andere voorwaarden wordt voldaan, kan Azure AD automatisch beleidsregels afdwingen, zoals het dynamisch vereisen van MFA of het beperken of blokkeren van de toegang. Dit helpt ervoor te zorgen dat gevoelige bedrijfsmiddelen worden beschermd in dynamisch veranderende omgevingen.

Microsoft Defender voor Office 365 biedt een geïntegreerde service waarmee organisaties worden beschermd tegen schadelijke koppelingen en malware die binnenkomen via e-mail. Een van de meest voorkomende aanvalsvectoren die momenteel van invloed zijn op gebruikers, is een phishingaanval via e-mail. Deze aanvallen zijn nauw gericht op specifieke, belangrijke werknemers en kunnen zeer overtuigend zijn. Ze bevatten meestal een call-to-action waarbij een gebruiker op een kwaadaardige koppeling moet klikken of een bijlage met malware moet openen. Eenmaal besmet, kan een aanvaller de inloggegevens van een gebruiker stelen en zich ongehinderd binnen de organisatie verplaatsen. Ze kunnen ook e-mailberichten en gegevens exfiltreren, op zoek naar gevoelige informatie. Microsoft Defender voor Office 365 evalueert koppelingen bij het klikken op mogelijk kwaadaardige sites en blokkeert deze. E-mailbijlagen worden geopend in een beveiligde sandbox voordat ze worden bezorgd in het postvak van een gebruiker.

Microsoft Defender voor Cloud-apps biedt organisaties de mogelijkheid om beleid verder af te dwingen op een gedetailleerd niveau en gedragsafwijkingen te detecteren op basis van afzonderlijke gebruikersprofielen die automatisch worden gedefinieerd met Machine Learning. Defender voor Cloud-apps kan voortbouwen op het Azure Conditional Access-beleid, om gevoelige activa verder te beschermen door aanvullende signalen te evalueren met betrekking tot gebruikersgedrag en eigenschappen van de documenten die worden gebruikt. Na een tijd leert Defender voor Cloud-apps wat wordt beschouwd als normaal gedrag voor elke werknemer, met betrekking tot de gegevens die ze openen en de toepassingen die ze gebruiken. Op basis van aangeleerde gedragspatronen kan beleid automatisch beveiligingscontroles afdwingen als een medewerker niet volgens dit gedragsprofiel handelt. Als een werknemer bijvoorbeeld meestal toegang heeft tot een boekhoud-app van 9:00 tot 17:00 uur, van maandag tot en met vrijdag, maar diezelfde gebruiker die toepassing op zondagavond veel begint te gebruiken, kan Defender voor Cloud-apps dynamisch beleid afdwingen, zodat de gebruiker zich opnieuw moet verifiëren. Hierdoor wordt ervoor gezorgd dat de inloggegevens van de gebruiker niet worden aangetast. Daarnaast kunnen Defender voor Cloud-apps helpen bij het ontdekken en identificeren van Schaduw-IT in de organisatie, zodat InfoSec-teams ervoor kunnen zorgen dat werknemers gebruikmaken van goedgekeurde hulpprogramma's bij het werken met gevoelige gegevens. Ten slotte kunnen Defender voor Cloud-apps gevoelige gegevens overal in de cloud beveiligen, zelfs buiten het Microsoft 365-platform. Hiermee kunnen organisaties specifieke externe cloud-apps goedkeuren (of weigeren) en de toegang en het gebruik beheren wanneer gebruikers in deze toepassingen werken.

Azure Active Directory en de bijbehorende beveiligingsservices van Microsoft 365 vormen de basis waarop een modern samenwerkingsplatform in de cloud kan worden geïmplementeerd voor de energiesector, zodat de toegang tot gegevens en toepassingen sterk kan worden beveiligd en de regelgeving kan worden nageleefd. Om het samen te vatten, deze tools bieden de volgende belangrijke mogelijkheden:

  • Centraal opslaan en veilig beheren van gebruikersidentiteiten.
  • Gebruik van een krachtig verificatieprotocol, inclusief meervoudige verificatie, om gebruikers te verifiëren voor toegangsaanvragen en een consistente en krachtige verificatie-ervaring te bieden in elke toepassing.
  • Dynamisch valideren van beleid voor alle toegangsaanvragen, waarbij meerdere signalen worden opgenomen in het besluitvormingsproces van het beleid, waaronder identiteit, lidmaatschap van gebruikers/groepen, toepassing, apparaat, netwerk, locatie en realtime risicoscore.
  • Gedetailleerd beleid valideren op basis van gebruikersgedrag en bestandseigenschappen en dynamisch aanvullende beveiligingsmaatregelen afdwingen wanneer dat nodig is.
  • 'Schaduw-IT' in de organisatie identificeren en InfoSec-teams toestaan om cloudtoepassingen te accepteren of te blokkeren.
  • De toegang tot Microsoft- en niet-Microsoft-cloudtoepassingen bewaken en beheren.
  • Proactief beschermen tegen phishing- en ransomwareaanvallen via e-mail.

Gevoelige gegevens identificeren en verlies van gegevens voorkomen

De FedRAMP Moderate Control Set en NERC CIP-standaarden omvatten ook informatiebescherming als een belangrijke controlevereiste (CIP-011-2). Deze vereisten hebben specifiek betrekking op de noodzaak om informatie te identificeren met betrekking tot BES (Bulk Electric System) Cyber System Information, en de bescherming en veilige afhandeling van die informatie, inclusief opslag, doorvoer en gebruik. Specifieke voorbeelden van BES Cyber System Information kunnen beveiligingsprocedures of beveiligingsinformatie bevatten over systemen die fundamenteel zijn voor het bedienen van het bulk elektrische systeem (BES Cyber Systems, Fysieke toegangscontrolesystemen en Elektronische toegangscontrole of bewakingssystemen) die niet openbaar beschikbaar zijn en zou kunnen worden gebruikt om ongeautoriseerde toegang of ongeautoriseerde distributie toe te staan. Er bestaat echter dezelfde behoefte aan het identificeren en beschermen van klantinformatie die essentieel is voor de dagelijkse bedrijfsvoering van energiebedrijven.

Met Microsoft 365 kunnen gevoelige gegevens binnen de organisatie worden geïdentificeerd en beschermd door een combinatie van krachtige mogelijkheden, waaronder:

  • Microsoft Information Protection (MIP) voor classificatie op basis van gebruikers en automatische classificatie van gevoelige gegevens.

  • Office 365 DLP (preventie van gegevensverlies) voor automatische identificatie van gevoelige gegevens met behulp van gevoelige gegevenstypen (met andere woorden, reguliere expressies) en trefwoorden en het afdwingen van beleid.

Met Microsoft Information Protection (MIP) kunnen werknemers documenten en e-mails classificeren met gevoeligheidslabels. Gevoeligheidslabels kunnen door gebruikers handmatig worden toegepast op documenten in Microsoft Office-toepassingen en e-mailberichten in Microsoft Outlook. Gevoeligheidslabels kunnen op hun beurt automatisch documentmarkeringen, bescherming door encryptie toepassen en rechtenbeheer afdwingen. Ze kunnen ook automatisch worden toegepast door beleidsregels te configureren die gebruikmaken van trefwoorden en gevoelige gegevenstypen (creditcardnummers, burgerservicenummers, identiteitsnummers, enz.), om automatisch gevoelige gegevens te vinden en te classificeren.

Daarnaast biedt Microsoft 'trainbare classificaties' die machine learning-modellen gebruiken om gevoelige gegevens te identificeren op basis van de inhoud, en niet alleen door te zoeken op patroonovereenkomsten of de elementen in de inhoud. Een classificatie leert hoe een inhoudstype moet worden geïdentificeerd door te kijken naar een groot aantal voorbeelden van de inhoud die moet worden geclassificeerd. U kunt een classificatie trainen door voorbeelden van de inhoud van een bepaalde categorie toe te voegen. Zodra deze voorbeelden zijn verwerkt, wordt het model getest door het een combinatie te bieden van zowel overeenkomende als niet-overeenkomende voorbeelden. De classificatie voorspelt vervolgens of een bepaald voorbeeld al dan niet in de categorie valt. Een persoon bevestigt vervolgens de resultaten, waarbij de positieve waarden, negatieve waarden, fout-positieven en fout-negatieven worden gesorteerd om nauwkeurigere voorspellingen te krijgen. Wanneer de getrainde classificatie wordt gepubliceerd, wordt de inhoud van SharePoint Online, Exchange Online en OneDrive voor Bedrijven verwerkt en wordt deze automatisch geclassificeerd.

Als u gevoeligheidslabels toepast op documenten en e-mailberichten, worden de metagegevens in het object ingesloten waarmee de gekozen gevoeligheid wordt aangeduid. Hierdoor kan de gevoeligheid met de gegevens worden meegestuurd. Zelfs als een gelabeld document wordt opgeslagen op de desktop van een gebruiker of in een on-premises systeem, is het nog steeds beveiligd. Hierdoor kunnen andere Microsoft 365-oplossingen, zoals Microsoft Defender voor Cloud-apps of apparaten met netwerkranden, gevoelige gegevens identificeren en automatisch beveiligingsbesturingselementen afdwingen. Gevoeligheidslabels hebben het extra voordeel dat medewerkers worden geïnformeerd over welke gegevens binnen een organisatie als gevoelig worden beschouwd en hoe ze met de gegevens moeten omgaan wanneer ze deze ontvangen.

Office 365 DLP (preventie van gegevensverlies) identificeert automatisch documenten, e-mailberichten en gesprekken die gevoelige gegevens bevatten door ze te scannen op gevoelige gegevens en vervolgens beleid af te dwingen voor deze objecten. Beleidsregels worden afgedwongen voor documenten in SharePoint en OneDrive voor Bedrijven. Ze worden ook afgedwongen wanneer gebruikers e-mail verzenden en bij chats en kanaalgesprekken in Microsoft Teams. Het beleid kan worden geconfigureerd op het zoeken naar trefwoorden, gevoelige gegevenstypen, retentielabels en of gegevens binnen de organisatie of extern worden gedeeld. Met beleidsregels kunnen organisaties het DLP-beleid aanpassen om fout-positieven te beperken. Wanneer gevoelige gegevens worden gevonden, kunnen er in Microsoft 365-toepassingen aanpasbare beleidstips worden weergegeven voor gebruikers om hen te laten weten dat hun inhoud gevoelige gegevens bevat, waarna er herstelbewerkingen worden voorgesteld. Met beleid kunt u ook voorkomen dat gebruikers documenten openen of delen of e-mailberichten verzenden die bepaalde typen gevoelige gegevens bevatten. Microsoft 365 biedt ondersteuning voor meer dan 100 ingebouwde gevoelige gegevenstypen en organisaties kunnen aangepaste typen gevoelige gegevens configureren om te voldoen aan hun beleid.

Het implementeren van MIP-en DLP-beleid voor organisaties vergt een zorgvuldige planning en doorgaans een trainingsprogramma voor gebruikers, zodat medewerkers inzicht hebben in het schema voor de gegevensclassificaties van de organisatie en weten welke typen gegevens als gevoelig worden beschouwd. Door werknemers tools en onderwijsprogramma's te bieden waarmee ze gevoelige gegevens kunnen identificeren en begrijpen hoe ze ermee om moeten gaan, worden ze onderdeel van de oplossing voor het beperken van informatiebeveiligingsrisico's.

Gegevens beheren door records effectief te beheren

Regelgeving vereist dat veel organisaties de bewaring van belangrijke organisatiedocumenten beheren volgens een beheerd retentieschema voor bedrijven. Organisaties lopen risico's op het gebied van naleving van de regelgeving als gegevens te vroeg worden verwijderd of juridische risico's als gegevens te lang worden bewaard. Effectieve strategieën voor archiefbeheer helpen ervoor te zorgen dat organisatiedocumenten worden bewaard volgens vooraf vastgestelde bewaartermijnen die zijn ontworpen om het risico voor de organisatie te minimaliseren. Bewaartermijnen worden voorgeschreven in een centraal beheerd schema voor het bewaren van records, en ze zijn gebaseerd op de aard van elk type document, op wettelijke vereisten voor het bewaren van specifieke soorten gegevens en op het gedefinieerde beleid van de organisatie.

Het nauwkeurig toewijzen van bewaarperioden aan organisatiedocumenten kan een gedetailleerd proces vereisen dat bewaarperioden op unieke wijze toewijst aan individuele documenten. Het grote aantal documenten binnen organisaties in de energiesector, in combinatie met het feit dat in veel gevallen bewaarperioden kunnen worden geactiveerd door organisatiegebeurtenissen (zoals contracten die verlopen of een werknemer die de organisatie verlaat), maken het toepassen van bewaarbeleid voor records op schaal voor veel organisaties lastig.

Microsoft 365 biedt functionaliteit voor het definiëren van retentielabels en bewaarbeleid om de vereisten voor recordbeheer eenvoudig te implementeren. Een recordmanager definieert een retentielabel, dat een 'recordtype' aanduidt in een traditioneel bewaarschema. Het retentielabel bevat instellingen waarmee deze details worden gedefinieerd:

  • Hoelang een record wordt bewaard
  • De gelijktijdigheidsvereisten of wat er gebeurt wanneer de bewaartermijn verloopt (verwijder het document, start een verwijderingsbeoordeling of onderneem geen actie)
  • Wat triggert het begin van de bewaartermijn (aanmaakdatum, laatste wijzigingsdatum, gelabelde datum of een gebeurtenis), en
  • Als het document of e-mailbericht een record is (wat betekent dat het niet kan worden bewerkt of verwijderd)

De retentielabels worden vervolgens gepubliceerd naar SharePoint- en OneDrive-sites, Exchange-postvakken en Office 365 Groepen. Gebruikers kunnen vervolgens handmatig retentielabels toepassen op documenten en e-mails, of recordbeheerders kunnen regels gebruiken om automatisch retentielabels toe te passen. Regels voor automatisch toepassen kunnen gebaseerd zijn op trefwoorden of gevoelige gegevens in documenten of e-mailsberichten, zoals creditcardnummers, burgerservicenummers of andere persoonlijk identificeerbare informatie (PII), of ze kunnen gebaseerd zijn op SharePoint-metagegevens.

De FedRAMP Moderate Control Set en NERC CIP-standaarden omvatten ook het hergebruik en het verwijderen van activa als een belangrijke controlevereiste (CIP-011-2). Deze vereisten hebben opnieuw specifiek betrekking op BES (Bulk Electric System) Cyber System Information. Andere wetgevende voorschriften vereisen echter dat organisaties in de energiesector de administratie voor talrijke soorten informatie effectief beheren en verwijderen. Dit omvat financiële overzichten, informatie over kapitaalprojecten, budgetten, klantgegevens, enz. In alle gevallen zullen energiebedrijven robuuste programma's voor archiefbeheer en bewijsmateriaal met betrekking tot de verdedigbare vernietiging van bedrijfsdocumenten moeten onderhouden.

Voor elk bewaarlabel stelt Office 365 recordmanagers in staat om te bepalen of een verwijderingscontrole vereist is. Wanneer die recordtypen vervolgens voor verwijdering ter beschikking worden gesteld, nadat hun bewaartermijn is verstreken, moet een beoordeling worden uitgevoerd door de aangewezen reviewers voordat de inhoud wordt verwijderd. Zodra de beoordeling is goedgekeurd, zal de inhoud worden vernietigd, maar het bewijs van de vernietiging, de gebruiker die de verwijdering heeft uitgevoerd en de datum/tijd waarop, blijft nog meerdere jaren behouden (als vernietigingscertificaat). Als organisaties langere of permanente certificaten van retentie vereisen, kan Microsoft Sentinel worden gebruikt voor opslag van logboek- en auditgegevens op lange termijn in de cloud. Microsoft Sentinel geeft organisaties volledige controle over de opslag en bewaring van activiteitsgegevens op lange termijn, logboekgegevens en bewaar-/beschikkingsgegevens.

Voldoen aan de FERC- en FTC-voorschriften voor energiemarkten

De Amerikaanse Federal Energy Regulatory Commission (FERC) houdt toezicht op voorschriften met betrekking tot energiemarkten en handel in elektrische energie en aardgas. De Amerikaanse Federal Trade Commission (FTC) houdt toezicht op vergelijkbare voorschriften op de aardoliemarkt. In beide gevallen hebben deze regelgevende instanties regels en richtlijnen opgesteld om manipulatie van de energiemarkt te voorkomen. FERC beveelt bijvoorbeeld aan dat energiebedrijven investeren in technologische middelen om handel, communicatie tussen bedrijven en naleving van interne controles te bewaken. Ze bevelen verder aan dat energiebedrijven regelmatig de effectiviteit van het nalevingsprogramma van de organisatie evalueren.

Traditioneel zijn oplossingen voor communicatiebewaking kostbaar en kunnen ze complex zijn om te configureren en te beheren. Organisaties kunnen ook problemen ondervinden bij het controleren van de talrijke, verschillende communicatiekanalen die beschikbaar zijn voor werknemers. Microsoft 365 biedt verschillende ingebouwde robuuste mogelijkheden voor het bewaken van de communicatie van werknemers, het toezicht houden op de activiteiten van werknemers en het helpen voldoen aan de FERC-voorschriften voor energiemarkten.

Toezichtscontrole implementeren

Microsoft 365 stelt organisaties in staat toezichtbeleid te configureren dat de communicatie van werknemers vastlegt (op basis van geconfigureerde voorwaarden) en staat toe dat deze worden beoordeeld door aangewezen toezichthouders. Het supervisiebeleid kan interne/externe e-mailberichten en bijlagen vastleggen, chat- en kanaalcommunicatie van Microsoft Teams, Skype voor Bedrijven Online chatcommunicatie en bijlagen, evenals communicatie via services van derden (zoals Facebook of Dropbox).

De uitgebreide aard van de communicatie die binnen een organisatie kan worden vastgelegd en beoordeeld, en de uitgebreide voorwaarden waarmee beleid kan worden geconfigureerd, stellen Microsoft 365 Supervision Policies in staat organisaties te helpen voldoen aan de FERC-regels voor de energiemarkt. Toezichtsbeleid kan worden geconfigureerd om communicatie voor personen of groepen te beoordelen. Bovendien kunnen toezichthouders worden geconfigureerd als personen of groepen. Er kunnen uitgebreide voorwaarden worden geconfigureerd om communicatie vast te leggen op basis van inkomende of uitgaande berichten, domeinen, retentielabels, trefwoorden of zinnen, trefwoordwoordenboeken, gevoelige gegevenstypen, bijlagen, berichtgrootte of bijlagegrootte. Reviewers krijgen een dashboard waarin ze gemarkeerde communicatie kunnen beoordelen, kunnen reageren op communicatie die mogelijk het beleid schendt en gemarkeerde items als opgelost kunnen markeren. Ze kunnen ook de resultaten bekijken van voorgaande beoordelingen en items die zijn opgelost.

Microsoft 365 biedt rapporten waarmee activiteiten voor beleidsbeoordeling kunnen worden gecontroleerd op basis van het beleid en de beoordelaar. Rapporten zijn beschikbaar om te controleren of het beleid werkt zoals is gedefinieerd door het schriftelijke toezichtbeleid van de organisatie. Ze kunnen ook worden gebruikt om de communicatie te identificeren die moet worden beoordeeld en de communicatie die niet compatibel is met het bedrijfsbeleid. Ten slotte worden alle activiteiten met betrekking tot het configureren van beleid en het beoordelen van communicatie gecontroleerd in het geïntegreerde Office 365 auditlogboek.

Met toezichtsbeleid van Microsoft 365 kunnen organisaties de communicatie controleren op naleving van bedrijfsbeleid, zoals het lastigvallen van de afdeling personeelszaken en aanstootgevende taal in bedrijfscommunicatie. Daarnaast kunnen organisaties hiermee risico's verminderen door communicatie te bewaken wanneer ze gevoelige veranderingen ondergaan, zoals fusies en overnames of veranderingen in het leiderschap.

Communicatie-compliance

Met veel communicatiekanalen die beschikbaar zijn voor werknemers, hebben organisaties steeds meer behoefte aan effectieve oplossingen voor het bewaken van of toezien op communicatie in gereguleerde industrieën zoals energiehandelsmarkten. De onlangs gelanceerde Communication Compliance-oplossing die in Microsoft 365 is ingebouwd, helpt organisaties bij het overwinnen van veelvoorkomende uitdagingen, zoals het toenemende aantal communicatiekanalen en het berichtenvolume, evenals het risico van mogelijke boetes voor beleidsschendingen.

Met Communicatiecompliance kunt u meerdere communicatiekanalen bewaken en modellen voor machinelearning gebruiken om mogelijke schendingen van het beleid te identificeren, waaronder Office 365-e-mail, Microsoft Teams, Skype voor Bedrijven Online, Facebook, Twitter en instant-berichten van Bloomberg. Communicatiecompliance helpt compliance-teams berichten effectief en efficiënt te beoordelen op mogelijke schendingen van:

  • Bedrijfsbeleid, zoals acceptabel gebruik, ethische normen en bedrijfsspecifiek beleid
  • Gevoeligheid of gevoelige zakelijke onthullingen, zoals ongeoorloofde communicatie over gevoelige projecten zoals aanstaande acquisities, fusies, financiële openbaarmakingen, reorganisaties of veranderingen in het leiderschapsteam
  • Vereisten voor naleving van regelgeving, zoals mededelingen van werknemers over de soorten bedrijven of transacties, waarbij een organisatie zich bezighoudt met naleving van de FERC-voorschriften voor energiemarkten

Communicatiecompliance biedt ingebouwde classificaties voor bedreiging, intimidatie en scheldwoorden die helpen bij het beperken van fout-positieven tijdens de beoordeling van communicatie. Dit bespaart beoordelaars tijd tijdens het onderzoeks- en herstelproces. Het helpt beoordelaars om zich te concentreren op specifieke berichten binnen lange threads die zijn gemarkeerd met beleidswaarschuwingen. Dit helpt compliance-teams om risico's sneller te identificeren en op te lossen. Het biedt compliance-teams de mogelijkheid om eenvoudig beleid te configureren en de oplossing aan te passen aan de specifieke behoeften van de organisatie en valse positieven te verminderen. Communication Compliance kan ook het gedrag van gebruikers in de loop van de tijd volgen, waarbij mogelijke patronen in risicovol gedrag of beleidsschendingen worden benadrukt. Ten slotte biedt het flexibele ingebouwde werkstromen voor herstel, zodat beoordelaars snel actie kunnen ondernemen en kunnen escaleren naar juridische of human resources-teams volgens gedefinieerde bedrijfsprocessen.

Beschermen tegen data-exfiltratie en interne risico's

Een veelvoorkomende bedreiging voor ondernemingen is exfiltratie, of het extraheren van gegevens van een organisatie. Dit kan een grote zorg zijn voor energiebedrijven vanwege de gevoelige aard van de informatie die dagelijks voor medewerkers of buitendienstmedewerkers toegankelijk is. Dit omvat zowel BES (Bulk Electric System) Cyber System-informatie als bedrijfsgerelateerde informatie en klantgegevens. Met de toenemende communicatiemethoden en talloze hulpmiddelen voor het verplaatsen van gegevens, zijn geavanceerde hulpmiddelen doorgaans vereist om de risico's van datalekken, beleidsschendingen en het risico van binnenuit te beperken.

Intern risicobeheer

Als medewerkers beschikken over online samenwerkingstools die overal toegankelijk zijn, brengt dit risico's met zich mee voor de organisatie. Medewerkers kunnen gegevens per ongeluk of opzettelijk lekken naar aanvallers of concurrenten. Ze kunnen ook gegevens exfiltreren voor persoonlijk gebruik of gegevens meenemen naar een toekomstige werkgever. Deze scenario's brengen ernstige risico's met zich mee voor organisaties vanuit het oogpunt van beveiliging en naleving. Het identificeren van deze risico's wanneer ze zich voordoen en het snel beperken hiervan, vereist zowel intelligente tools voor gegevensverzameling als samenwerking tussen verschillende afdelingen, zoals juridisch, human resources en gegevensbeveiliging.

Microsoft 365 heeft onlangs de Insider Risk Management-console gelanceerd, die gebruikmaakt van signalen in Microsoft 365-services en machine learning-modellen om het gebruikersgedrag te volgen op tekenen van interne risico‘s. Dit hulpprogramma presenteert gegevens aan onderzoekers, zodat ze gemakkelijk risicovolle gedragspatronen kunnen identificeren en gevallen kunnen escaleren op basis van vooraf gedefinieerde werkstromen.

Insider Risk Management kan bijvoorbeeld signalen van de Windows 10-desktop van een gebruiker, zoals het kopiëren van bestanden naar een USB-station of het sturen van een e-mail naar een persoonlijk e-mailaccount, correleren met activiteiten van online services zoals Office 365 e-mail, SharePoint Online, Microsoft Teams of OneDrive voor Bedrijven om patronen van gegevensexfiltratie te identificeren. Het kan deze activiteiten ook correleren met werknemers die een organisatie verlaten, wat een veelvoorkomend gedragspatroon is dat verband houdt met gegevensexfiltratie. Het kan meerdere activiteiten en gedrag in de loop van de tijd volgen, en wanneer veelvoorkomende patronen naar voren komen, kan het waarschuwingen genereren en onderzoekers helpen zich te richten op belangrijke activiteiten om een beleidsschending met een hoge mate van vertrouwen te verifiëren. Intern risicobeheer kan ook gegevens van onderzoekers verdoezelen om te helpen voldoen aan de voorschriften voor gegevensprivacy, terwijl nog steeds belangrijke activiteiten naar boven komen die hen helpen om onderzoeken efficiënt uit te voeren. Zo kunnen onderzoekers de belangrijkste activiteitsgegevens verpakken en veilig verzenden naar personeelszaken en de juridische afdeling, volgens algemene escalatiewerkstromen, om zaken aan te kaarten voor herstelmaatregelen.

Met intern risicobeheer in Microsoft 365 kunnen organisaties beter interne risico's bewaken en onderzoeken, terwijl ze nog steeds kunnen voldoen aan de regelgeving voor gegevensprivacy en vastgelegde escalatiepaden kunnen volgen wanneer actie op een hoger niveau is vereist.

Conclusie

Microsoft 365 biedt een geïntegreerde en uitgebreide oplossing die met Microsoft Teams gebruiksvriendelijke cloudgebaseerde samenwerking in de hele onderneming mogelijk maakt. Microsoft Teams maakt ook betere communicatie en samenwerking met buitendienstmedewerkers mogelijk, waardoor energiebedrijven efficiënter en effectiever kunnen worden. Betere samenwerking binnen de onderneming en met de buitendienst kan energiebedrijven uiteindelijk helpen om klanten beter van dienst te zijn.

Energiebedrijven moeten voldoen aan strikte voorschriften met betrekking tot de manier waarop ze informatie over hun activiteiten en klanten opslaan, beveiligen, beheren en bewaren. Ze moeten ook voldoen aan regelgeving met betrekking tot hoe ze energiemarkten monitoren en manipulatie voorkomen. Microsoft 365 biedt robuuste beveiligingsfuncties om gegevens, identiteiten, apparaten en applicaties te beschermen tegen risico's en te voldoen aan de strikte regels in de energiesector. Er worden ingebouwde hulpprogramma's gebruikt om organisaties werkzaam in de energiesector te helpen hun naleving te evalueren, en om actie te ondernemen en herstelactiviteiten in de loop van de tijd te volgen. Deze hulpprogramma‘s bieden ook eenvoudig te gebruiken methoden voor het bewaken en controleren van communicatie. Het Microsoft 365-platform is gebouwd op basiscomponenten zoals Microsoft Azure en Azure Active Directory, die het algehele platform helpen beveiligen en de organisatie helpen voldoen aan nalevingsvereisten voor de regelgevingsnormen FedRAMP Moderate en High. Dit draagt op zijn beurt bij aan het vermogen van een energiebedrijf om te voldoen aan de NERC CIP-normen.

Over het algemeen helpt Microsoft 365 energiebedrijven om hun organisatie beter te beschermen, robuustere nalevingsprogramma's te hebben en personeel in staat te stellen zich te concentreren op het verkrijgen van betere inzichten en het implementeren van strategieën om risico's te verminderen.