Grundläggande efterlevnad och säkerhetsaspekter för energiindustrin

  • Artikel
  • 15 minuter för att läsa

Illustrerad metafor för en global vy över olika branscher som använder molnet.

Introduktion

Energiindustrin tillhandahåller samhället med bränsle och kritisk infrastruktur som människor förlitar sig på varje dag. För att säkerställa tillförlitligheten i infrastruktur för omfångsrika energisystem lägger regleringsGovernmentna in strikta normer i organisationer för energiindustrin. Dessa föreskrifter gäller inte bara för skapande och överföring av energi, utan även för de data och meddelanden som är viktiga för den dagliga verksamheten i energiföretag.

Organisationer i energiindustrin arbetar med och utbyter flera olika typer av information som en del av den vanliga verksamheten, t. ex. kunddata, informationsteknisk konstruktion, resursplatskartor, projekthanteringsartefakter, prestandastatistik, fälttjänstrapporter, miljödata och prestandastatistik. Allt eftersom de här organisationerna börjar titta på att omvandla sina drifts- och samarbetssystem till moderna digitala plattformar kommer de till Microsoft som en betrodd molntjänstleverantör (CSP) och Microsoft 365 som deras bästa samarbetsplattform. Eftersom Microsoft 365 är egentligen är byggt på Microsoft Azure-plattformen bör organisationer undersöka båda plattformarna när de överväger om de uppfyller deras efterlevnads- och säkerhetskontroller när de flyttar till molnet.

I Nordamerika upprätthåller NERC (North America Electric Reliability Corporation) standarder om tillförlitlighet som kallas för NERC Critical Infrastructure Protection (CIP)-standarder. NERC är underkastad granskning av U.S. Federal Energy Regulatory Commission (FERC) och Government i Kanada. Alla huvudägare, operatörer och användare av omfångsrika elsystem måste registrera sig hos NERC och måste uppfylla kraven för NERC CIP-standarder. Molntjänstleverantörer och leverantörer från tredje part, som Microsoft omfattas inte av NERC CIP-standard dock innehåller CIP-standarderna exempelvis mål som ska övervägas när registrerade enheter använder leverantörer vid driften av det omfångsrika elsystem (BES). Microsoft-kunder som använder omfångsrika elsystem har fullt ansvar för att säkerställa att de uppfyller NERC CIP-standard.

Mer information om Microsofts molntjänster och NERC finns i följande resurser:

Regelverk som rekommenderas för att övervägas av energiorganisationer är bland annat FedRAMP (US Federal Risk and Authorization Management program), som bygger på och förstärker NIST SP 800-53 rev 4 standard (National Institute of Standards and Technology).

  • Microsoft Office 365 och Office 365 U.S. Government har beviljats en FedRAMP ATO (Driftgodkännande) på nivån måttlig effekt.
  • Azure och Azure Government har beviljats en FedRAMP High P-ATO (provisoriskt driftgodkännande), som representerar den högsta nivån av FedRAMP-auktorisering.

Mer information om Microsofts molntjänster och FedRAMP finns i följande resurser:

Dessa utmärkelser är betydande för energiindustrin eftersom en jämförelse mellan FedRAMP måttlig kontrollinställning och NERC CIP-kraven visar att FedRAMP måttliga kontroller omfattar alla NERC CIP-kraven. Om du vill ha mer information har Microsoft utvecklat en Guide för implementering av moln för NERC-granskningar som innehåller en kontrollmappning mellan aktuell uppsättning av NERC CIP-standarder och FedRAMP måttlig kontroll som har dokumenterats i NIST 800-53 rev 4.

I takt med att energiindustrin ser sig omkring för att modernisera sina samarbetsplattformar krävs noggrant övervägande för konfiguration och distribution av samarbetsverktyg och säkerhetskontroller, inklusive:

  • Utvärdering av vanliga samarbetsscenarier
  • Tillgång till data som krävs för att anställda ska vara produktiva
  • Vanliga frågor och svar om regelefterlevnad
  • Kopplade risker till data, kunder och organisationen

Microsoft 365 är en modern arbetsplats i molnmiljö som kan ge ett säkert och smidigt samarbete i hela företaget, liksom kontroller och upprätthållande av policy för att följa de mest långtgående ramarna för efterlevnad. Genom det följande ämnet får du lära dig hur Microsoft 365-plattformen underlättar för energiindustrin att gå till en modern samarbetsplattform, medan vi håller data och systemen både säkra och kompatibla med föreskrifter:

  • Tillhandahålla en omfattande samarbetsplattform med Microsoft Teams
  • Tillhandahålla säker och kompatibel samverkan i energiindustrin
  • Identifiera känsliga data och förhindra dataförluster
  • Styra data genom att effektivt hantera poster
  • Följa föreskrifter för FERC och FTC för energimarknader
  • Skydd mot dataexfiltration och insiderrisk

Som Microsoft-partner bidrog Protiviti till och gav viktig feedback till den här artikeln.

Tillhandahålla en omfattande samarbetsplattform med Microsoft Teams

Samarbete kräver vanligtvis olika former av kommunikation, möjligheten att lagra och komma åt dokument och data och möjlighet att integrera andra program efter behov. Oavsett om det är globala företag eller lokala företag måste anställda i energisektorn vanligtvis samarbeta och kommunicera med medlemmar i andra avdelningar eller grupper. De måste också ofta kommunicera med externa partner, leverantörer eller klienter. Därför rekommenderar vi vanligtvis inte att du använder system som skapar silor eller gör det svårt att dela information. Med det sagt, vill vi fortfarande säkerställa att anställda delar information säkert och enligt principer.

Med en modern, molnbaserad samarbetsplattform som gör det möjligt för dem att välja och enkelt integrera verktyg som gör dem till den mest produktiva, så att de kan hitta de bästa sätten att arbeta och samarbeta. Med Microsoft Teams, tillsammans med säkerhetskontroller och principer för styrning för att skydda organisationen, kan personalen hjälpa personalen att enkelt samarbeta i molnet.

Microsoft Teams tillhandahåller ett samarbetsnav för din organisation, som snabbt får personer att samarbeta för att arbeta effektivt och samarbeta med andra gruppmedlemmar i vanliga initiativ eller projekt. Det gör att gruppmedlemmarna kan sköta konversationer, samarbeta och samredigera dokument. Det gör det möjligt för användare att lagra och dela filer med gruppmedlemmar och personer utanför gruppen. Med den kan du också hålla Live-möten med integrerad företagsröst och video. Microsoft Teams kan anpassas med enkel åtkomst till Microsoft-program, t. ex. Planner, Dynamics 365, Power BI och andra företagsprogram från tredje part. Teams gör det enklare att få tillgång till Office 365-tjänster och program från tredje part för att centralisera organisationens samarbets- och kommunikationsbehov.

Alla Microsoft-grupper stöds av en Office 365-grupp. En Office 365-grupp anses vara leverantören av medlemskap för flera Office 365-tjänster, till exempel Microsoft Teams. Som sådana används Office 365 Grupper för att säkerställa vilka användare som anses vara medlemmar och som är ägare till gruppen och som begränsar teamets medlemmar och ägare. På så sätt kan vi enkelt styra vilka användare som har tillgång till olika funktioner i teamet. Därför kan gruppmedlemmar och ägare bara komma åt de funktioner de får använda.

Ett vanligt scenario där Microsoft Teams kan ge energiorganisationer fördelar är i samarbete med entreprenörer och externa företag som en del av ett fälttjänstprogram, till exempel vegetationsskötsel. Entreprenörer används vanligtvis för att hantera vegetation och ta bort träd runt energisysteminstallationer, och de måste ofta ta emot arbetsinstruktioner, kommunicera med avsändare och annan fälttjänstpersonal, ta och dela bilder av extern miljö, logga ut när arbetet är slutfört och dela data med huvudkontoret. Tidigare har programmen körts med telefoner, text, arbetsorder på papper eller anpassade program. Det här kan presentera flera olika utmaningar, t. ex.:

  • Processer är manuella eller analoga vilket innebär att det är svårt att spåra mått
  • All kommunikation registreras inte på ett ställe
  • Data lagras i en silo som inte alltid delas med alla anställda som behöver det
  • Arbetet kanske inte genomförs konsekvent eller effektivt
  • Anpassade program är inte integrerade med samarbetsverktyg, vilket innebär att det är svårt att extrahera och dela data och mäta prestanda

Microsoft Teams kan tillhandahålla ett lättanvänt samarbetsutrymme för att dela information på ett säkert sätt och sköta konversationer mellan gruppmedlemmar och externa fälttjänstleverantörer. Teams kan användas för att hålla möten, ringa röstsamtal, lagra och dela arbetsorder, samla in fältdata, ladda upp foton, integrera med affärsprocesslösningar (byggt med Power Apps och Power Automate) och integrera affärsprogram. Den här typen av fälttjänstdata kan anses som små konsekvenser. effektiviteten kan emellertid uppnås genom att centralisera kommunikation och få tillgång till data mellan anställda och fälttjänstpersonal i de här scenarierna.

Ett annat exempel där Microsoft Teams kan skapa en fördel för energiindustrin är när fälttjänstpersonalen arbetar för att återställa tjänsten under ett avbrott. Fältpersonalen kräver ofta snabb åtkomst till Schematisk information för understationer, generatorstationer eller ritningar för tillgångar i fältet. Dessa data anses ha hög påverkan och måste skyddas enligt NERC CIP-föreskrifter. För att kunna använda fälttjänsten under avbrott krävs kommunikation mellan fältpersonal och kontorsanställda och i sin tur till slutkunder. Genom att centralisera kommunikation och datadelning i Microsoft Teams får du en enkel metod för att få åtkomst till kritiska data och förmedla information och status tillbaka till huvudkontoret. Microsoft Teams kan till exempel användas för att få fältpersonalen att delta i konferenssamtal när de är på väg till ett avbrott. Fältpersonalen kan också ta foton eller video av miljön och dela dem med huvudkontoret, vilket är särskilt viktigt när fältutrustningen inte matchar schemat. Data och status som samlas in från fältet kan sedan bli omkopplade till kontorsanställda och ledarskap via datavisualiseringsverktyg som Power BI. Microsoft Teams kan göra fältpersonalen mer effektiv och mer produktiv i de här kritiska situationerna.

Teams: förbättra samarbetet och minska riskerna för efterlevnad

Microsoft 365 tillhandahåller andra vanliga policyfunktioner för Microsoft Teams genom dess användning av Office 365 Grupper som en underliggande medlemskapstjänst. Dessa policyer kan hjälpa dig att förbättra samarbetet och uppfylla behovet av överensstämmelse.

Med Principerna för att namnge grupper i Office 365 kan du se till att Office 365 Grupper, och följaktligen Microsoft Teams, namnges enligt företagets policy. Namnet på ett team kan ge utmaningar om det inte namnges på rätt sätt, t. ex. kanske inte personer vet vilka grupper som ska arbeta eller dela information i om de namnges felaktigt. Namngivningsprinciper för grupper kan upprätthålla god hygien och kan även förhindra att vissa ord används, t. ex. reserverade ord eller olämpliga termer.

Med Utgångsprinciper för Office 365-grupper kan du se till att Office 365-grupper, och därmed Microsoft Teams, inte behålls under längre tidsperioder än vad som krävs av organisationen. Den här funktionen hjälper till att förhindra två viktiga problem med informationshantering:

  • Spridningen av Microsoft Teams som inte behövs eller används
  • Bevarandet av data som inte längre krävs av organisationen

Administratörer kan ange en förfalloperiod för Office 365 Grupper, t. ex. 90, 180 eller 365 dagar. Om en tjänst som stöds av en Office 365-grupp är inaktiv under utgångsperioden, meddelas gruppägare och om inga åtgärder vidtas kommer Office 365-gruppen och alla de relaterade tjänsterna inklusive Microsoft Teams att tas bort.

Övergång från data i ett Microsoft-team kan innebära tvistrisker för organisationer och användningen av förfalloprinciper är en rekommenderad metod för att skydda organisationen. I kombination med fördefinierade inbyggda lagringsetiketter och policyer ser Microsoft 365 till att organisationer bara bevarar de data som krävs för att uppfylla företagets principer och regelefterlevnad.

Teams: integrera enkelt anpassade krav

Microsoft Teams gör det enkelt att själv skapa grupper som standard. Många reglerade organisationer vill ha kontroll och förståelse för vilka samarbetsutrymmen som används för närvarande av anställda, vilka som kommer att innehålla känsliga data och vem som äger utrymme i hela organisationen. För att underlätta de här kontrollerna tillåter Microsoft 365 organisationer att inaktivera skapande av självbetjäningsgrupper och genom att använda de inbyggda automatiseringsverktygen för Microsoft 365 Business process, t. ex. Power Apps och Power Automation, kan organisationer bygga enkla processer för att begära en ny grupp. Om du fyller i ett formulär som är enkelt att använda kan ett godkännande automatiskt begäras av en chef. När du har godkänt teamet kan det upprättas automatiskt och den som skickar begäran får en länk till deras nya team. Genom att bygga sådana processer kan organisationer också integrera anpassade krav för att underlätta andra affärsprocesser.

Tillhandahålla säker och kompatibel samverkan i energiindustrin

I enlighet med detta har Microsoft Office 365 och Office 365 U.S. Government var och en för sig uppnått FedRAMP ATO på måttlig effektnivå och Azure och Azure Government har uppnått en FedRAMP med höga P-ATO som representerar den högsta nivån av FedRAMP-behörighet. Dessutom omfattar FedRAMP för måttlig kontroll alla kraven för NERC CIP, vilket gör det möjligt att tillåta organisationer för energiindustri (registrerade enheter) att utnyttja befintliga FedRAMP-auktoriseringar som ett skalbart och effektivt sätt att lösa NERC granskningskrav. Men det är viktigt att tänka på att FedRAMP inte är en punkt-i-tid-certifiering men ett bedömnings- och autentiseringsprogram som innehåller bestämmelser för löpande övervakning. Även om den här etableringen främst gäller för CSP är Microsoft-kunder som använder omfångsrika elsystem ansvariga för att säkerställa sin egen efterlevnad av NERC CIP-standard. Det är vanligtvis en rekommenderad metod för att kontinuerligt övervaka organisationens regelefterlevnad för att säkerställa löpande efterlevnad av bestämmelserna.

Microsoft tillhandahåller ett viktigt verktyg för att övervaka efterlevnad av regler över tid:

  • Microsoft Compliance Manager hjälper organisationen att förstå sin nuvarande efterlevnadshållning och de åtgärder som den kan vidta för att förbättra den hållningen. Compliance Manager beräknar en riskbaserad poäng som mäter framsteg i genomförandet av åtgärder som hjälper till att minska riskerna kring dataskydd och regleringsstandarder. Compliance Manager ger en första poäng baserat på databaslinjen för Microsoft 365-dataskydd. Denna baslinje är en uppsättning kontroller som inkluderar vanliga branschföreskrifter och standarder. Även om denna poäng är en bra utgångspunkt blir Compliance Manager kraftfullare när en organisation lägger till bedömningar som är mer relevanta för sin bransch. Compliance Manager stöder ett antal regleringsstandarder som är relevanta för NERC CIP-krav, inklusive FedRAMP Moderate Control Set, NIST 800-53 Rev. 4 och AICPA SOC 2. Organisationer för energiindustri kan också skapa eller importera anpassade kontrolluppsättningar om det behövs.

De arbetsflödesbaserade funktionerna inbyggda i Compliance Manager gör det möjligt för energiorganisationer att transformera och digitalisera sina processer för efterlevnad av regler. Traditionellt sett innefattar utmaningar som följer med team som följer av teamet i energi industrin:

  • Inkonsekvent rapportering eller spårning av framsteg vid åtgärder för reparationer
  • Ineffektiva eller inaktiva processer
  • Otillräckliga resurser eller avsaknad av ägarskap
  • Brist på information i realtid och mänskliga fel

Genom att automatisera aspekter av regelefterlevnadsprocesser genom användning av Compliance Manager kan organisationer minska den administrativa bördan för juridiska funktioner och efterlevnadsfunktioner. Med den här funktionen kan du åtgärda dessa utmaningar genom att erbjuda mer information om åtgärder, mer konsekventa rapporter och mer konsekventa uppgifter som är kopplade till åtgärder som genomförs. Organisationer kan automatiskt spåra reparationsåtgärder med tiden och se de totala effektivitetsvinsterna. Det kan i sin tur göra det möjligt för personalen att inrikta sig mer på att få insikter och utveckla strategier som bidrar till att hjälpa till att navigera risker mer effektivt.

Compliance Manager uttrycker inte ett absolut mått på organisatorisk efterlevnad av någon särskild standard eller reglering. Det uttrycker i vilken omfattning du har antagit kontroller som kan minska riskerna för personlig data och individens integritet. Rekommendationer från Compliance Manager ska inte tolkas som en garanti för överensstämmelse. Kundåtgärderna som tillhandahålls i Compliance Manager är rekommendationer. Det är upp till var och en organisation att bedöma effektiviteten av dessa rekommendationer i respektive regelverk före implementeringen. Rekommendationer som finns i Compliance Manager ska inte tolkas som en garanti för efterlevnad.

Många kontroller relaterade till cybersäkerhet ingår i FedRAMP för måttlig kontroll och NERC CIP-standard. Viktiga kontroller som är relaterade till Microsoft 365-plattformen innefattar säkerhetshanteringskontroller (CIP-003-6), konto- och åtkomsthantering/återkallelse av åtkomst (CIP-004-6), elektronisk säkerhetsgräns (CIP-005-5), övervakning av säkerhetshändelser och svar på tillbud (CIP-008-5). Följande grundläggande Microsoft 365-funktioner hjälper dig att lösa de risker och krav som anges i följande avsnitt.

Säkra användaridentiteter och kontrollera åtkomst

Skyddet av åtkomst till dokument och program börjar med att skydda användaridentiteter. Som grund kräver detta att du skapar en säker plattform för företaget för att lagra och hantera identiteter och tillhandahålla tillförlitliga medel för autentisering. Det kräver också dynamisk kontroll av åtkomst till de här programmen. När de anställda arbetar kan de flytta från program till program eller mellan flera platser och enheter. Tillgång till data måste verifieras vid varje steg på vägen. Dessutom måste verifieringsprocessen ha stöd för ett starkt protokoll och flera faktorer av autentisering (en SMS-svarskod, en autentiseringsapp, certifikat osv.) så att du kan se till att identiteter inte har äventyrats. Slutligt är det viktigt att framtvinga riskbaserade åtkomstprinciper för att skydda data och program från insiderhot, oavsiktliga dataläckage och dataexfiltration.

Microsoft 365 tillhandahåller en säker identitetsplattform i Azure Active Directory (Azure AD), där identiteter lagras centralt och hanteras på ett säkert sätt. Azure Active Directory, tillsammans med en mängd relaterade Microsoft 365-säkerhetstjänster, utgör grunden för att ge anställda den åtkomst de behöver för att arbeta säkert och samtidigt skydda organisationen från hot.

Azure Multi-Factor Authentication (MFA) är inbyggd i plattformen och ger ett ytterligare skyddslager för att säkerställa att användarna är de som de antar när de använder känsliga data och program. Azure MFA kräver minst två former av autentisering, till exempel ett lösenord och en känd mobil enhet. Den har stöd för flera andra faktorer för autentisering, t. ex. Microsoft Authenticator-appen, ett engångslösenord som levereras via SMS, ta emot telefonsamtal där användaren måste ange en PIN-kod och smartkort eller certifikatbaserad autentisering. Om lösenordet på något sätt komprometteras skulle en potentiell hackare fortfarande behöva användarens telefon för att få tillgång till organisationsdata. Dessutom använder Microsoft 365 modern autentisering som nyckelprotokoll och får samma kraftfulla autentisering från webbläsare för samarbetsverktyg, till exempel Microsoft Outlook och Microsoft Office-program.

Med Azure Active Directory villkorad åtkomst får du en robust lösning för automatisering av beslut om åtkomstkontroll och för att upprätthålla organisatoriska principer för att skydda företagets tillgångar. Ett vanligt exempel är när en anställd vill få åtkomst till ett program som innehåller känslig information om kunden och de måste automatiskt utföra multifaktorautentisering för att få åtkomst till det programmet. Azure villkorad åtkomst för samman signalerna om en användares åtkomstbegäran, t. ex. egenskaper för användaren, enheten, plats, nätverk och programmet eller lagret som användaren försöker komma åt. Det utvärderar varje försök att komma åt programmet dynamiskt mot konfigurerade principer. Om en användares eller enhets risk är förhöjd eller om andra villkor inte uppfylls, kan Azure Active Directory automatiskt upprätthålla principer som att dynamiskt kräva MFA, begränsa eller till och med blockera åtkomst. På så sätt kan du se till att känsliga tillgångar skyddas i dynamiskt föränderliga miljöer.

Microsoft Defender för Office 365 tillhandahåller en integrerad tjänst för att skydda organisationer från illasinnade länkar och skadlig kod som levererats via e-post. En av de vanligaste attackvektorerna som påverkar användare idag är nätfiskeattacker via e-post. De här angreppen kan vara noggrant målinriktade mot specifika högpresterande anställda och kan vara mycket övertygande. De innehåller i regel en någon form av åtgärd som kräver att användaren klickar på en skadlig länk eller öppnar en bifogad fil med skadlig kod. När angriparen har angripit kan han eller hon stjäla en användares inloggningsuppgifter och röra sig tvärs över hela organisationen. De kan också exfiltrera e-postmeddelanden och data för att hitta känslig information. Med Microsoft Defender för Office 365 utvärderas länkar vid tiden du klickar på den för potentiella skadliga webbplatser och blockerar dem. Bifogade filer i e-postmeddelanden öppnas i ett skyddat läge innan de skickas till en användares postlåda.

Med Microsoft Defender for Cloud Apps kan organisationer med möjligheten att ytterligare upprätthålla principer på detaljerad nivå och för att upptäcka avvikande beteende baserat på enskilda användarprofiler som automatiskt definieras med hjälp av maskininlärning. Microsoft Defender for Cloud Apps kan bygga på principer för villkorlig åtkomst i Azure för att ytterligare skydda känsliga tillgångar genom att utvärdera fler signaler relaterade till användarens beteende och egenskaper för de dokument som du har åtkomst till. Med tiden lär sig Microsoft Defender for Cloud Apps vad som är typiskt för varje anställd när det gäller de data de får tillgång till samt vilka program de använder. Principer som bygger på inlärda beteendemönster kan sedan automatiskt upprätthålla säkerhetskontroller om en anställd agerar utanför den beteendeprofilen. Om t. ex. en anställd normalt ansluter till ett redovisningsprogram från 09:00 till 17:00 måndag till fredag, men plötsligt börjar ansluta mycket till programmet på en söndag kväll, kan Microsoft Defender for Cloud Apps dynamiskt upprätthålla principer som kräver att användaren omautentiserar. På så sätt ser du till att autentiseringsuppgifterna inte har äventyrats. Dessutom kan Microsoft Defender for Cloud Apps hjälpa till att upptäcka och identifiera Skugg-IT i organisationen, vilket hjälper InfoSec-grupperna att se till att anställda använder sanktionerade verktyg när de arbetar med känsliga data. Slutligen kan Defender for Cloud Apps skydda känsliga data var som helst i molnet, även utanför Microsoft 365-plattformen. Det gör det möjligt för organisationer att sanktionera (eller icke sanktionera) vissa externa molnprogram, styra åtkomst och övervakning när användare arbetar i dessa program.

Azure Active Directory och tillhörande Microsoft 365-säkerhetstjänster tillhandahåller grunden för en modern molnbaserad samarbetsplattform som kan distribueras till organisationer i energiindustrin så att åtkomsten till data och program kan skyddas och skyldigheterna för efterlevnad av regler kan uppfyllas. Sammanfattningsvis kan dessa verktyg erbjuda följande viktiga funktioner:

  • Lagrar och hanterar användaridentiteter centralt.
  • Använd ett starkt autentiseringsprotokoll, t. ex. multifaktorautentisering, för att autentisera användare med åtkomstförfrågningar och tillhandahåll en enhetlig och robust autentisering för alla program.
  • Verifiera principer dynamiskt för alla åtkomstförfrågningar och införliva flera signaler i beslutsfattandet av principen, t. ex. identitets-, användar- och gruppmedlemskap, program, enhet, nätverk, plats och risknivå i realtid
  • Verifiera detaljerade principer baserat på användarens beteende och filegenskaper och dynamiskt upprätthålla ytterligare säkerhetsåtgärder vid behov.
  • Identifiera "skugg-IT" i organisationen och tillåt InfoSec-grupper att sanktionera eller blockera molnprogram.
  • Övervaka och kontrollera åtkomsten till Microsoft-program och molnprogram från andra leverantörer än Microsoft.
  • Skydda proaktivt mot attacker från nätfiske och utpressningstrojaner.

Identifiera känsliga data och förhindra dataförluster

FedRAMP för måttlig kontroll och NERC CIP-standard inkluderar även informationsskydd som krav på nyckelkontroll (CIP-011-2). Kraven behandlar särskilt behovet av att identifiera information som är relaterad till BES (Omfångsrika elsystem) Cybersysteminformation, skydd och säker hantering av informationen, inklusive lagring, överföring och användning. I vissa exempel på BES Cybersysteminformation kan det ingå säkerhetsrutiner eller säkerhetsinformation om system som är grundläggande för att fungera med det omfångsrika elsystemet (BES Cybersystem, kontrollsystem för fysisk och elektronisk åtkomst eller övervakningssystem) som inte är offentligt tillgängligt och som kan användas för att tillåta otillåten åtkomst eller otillåten distribution. Samma behov finns dock för att identifiera och skydda kundinformation som är viktig för den dagliga verksamheten i energiorganisationer.

I Microsoft 365 kan identifiera och skydda känsliga data i organisationen genom en kombination av kraftfulla funktioner, t. ex.:

  • Microsoft Information Protection (MIP) för både användardefinierad klassificering och automatisk klassificering av känsliga data.

  • Office 365-dataförlustskydd (DLP) för automatisk identifiering av känsliga data med känsliga datatyper (med andra ord, vanliga uttryck) samt nyckelord och upprätthållande av policy.

Med MIP (Microsoft Information Protection) tillåter de anställda att klassificera dokument och e-postmeddelanden med känsliga etiketter. Känslighetsetiketter kan läggas till manuellt av användare för dokument i Microsoft Office-program och e-postmeddelanden i Microsoft Outlook. Känslighetsetiketter kan i sin tur automatiskt använda dokumentmarkeringar, skydd via kryptering och upprätthållande av rättigheter. Du kan också använda dem automatiskt genom att konfigurera principer som använder nyckelord och känsliga datatyper (kreditkortsnummer, socialförsäkringsnummer och identitetsnummer, etc.) för att automatiskt hitta och klassificera känsliga data.

Dessutom tillhandahåller Microsoft "utbildningsbara klassificerare" som använder maskininlärningsmodeller för att identifiera känsliga data baserat på innehållet, i motsats till att bara genom mönstermatchning eller genom elementen i innehållet. En klassificerare får reda på hur du identifierar en typ av innehåll genom att titta på flera exempel på innehållet som ska klassificeras. Utbildning av en klassificerare börjar med att tillhandahålla exempelinnehåll inom en viss kategori. När du har bearbetat de här exemplen testas modellen genom att tillhandahålla en blandning av båda exemplen för matchning och icke matchning. Klassificeraren förutsäger om ett visst exempel är i kategorin eller inte. En person bekräftar sedan resultaten, sorterar positiva, negativa, falska positiva och falska negativa för att öka noggrannheten i klassificerarens förutsägelser. När den utbildade klassificeraren publiceras bearbetar den innehåll i Microsoft SharePoint Online, Exchange Online och OneDrive för företag och klassificerar automatiskt innehållet.

Om du använder känslighetsetiketter i dokument och e-postmeddelanden kommer inbäddad metadata i objektet som identifierar den valda känsligheten, vilket ger dig känsligheten att resa med data. Även om du har ett dokument med etikett har sparats på en användares skrivbord eller i ett lokalt system är det fortfarande skyddat. Denna funktionalitet gör det möjligt för andra Microsoft 365-lösningar, till exempel Microsoft Defender for Cloud Apps eller nätverksenheter, att identifiera känslig data och automatiskt tillämpa säkerhetskontroller. Med känslighetsetiketter får du en bättre möjlighet att utbilda anställda om vilka data i en organisation som betraktas som känsliga och hur de hanterar datan när de får den.

Med Office 365-dataförlustskydd (DLP) identifierar automatiskt dokument, e-postmeddelanden och konversationer som innehåller känsliga data genom att söka efter känsliga datatyper och sedan verkställa principer för dessa objekt. Principer upprätthålls på dokument i SharePoint och OneDrive för företag. De upprätthålls också när användare skickar e-post och i chatt- och kanalkonversationer i Microsoft Teams. Principer kan konfigureras för att söka efter nyckelord, känsliga datatyper, lagringsetiketter och om data delas i organisationen eller externt. Kontroller tillhandahålls för att hjälpa organisationer att finjustera DLP-policyer för att minska falska positiva. När känslig data hittas kan anpassningsbara policytips visas för användare i Microsoft 365-applikationer för att informera dem om att deras innehåll innehåller känslig information och/eller föreslå korrigerande åtgärder. Principer kan också hindra användare från att komma åt dokument, dela dokument eller skicka e-postmeddelanden som innehåller vissa typer av känslig information. Microsoft 365 har stöd för över 100 fördefinierade känsliga datatyper och organisationer kan konfigurera anpassade, känsliga datatyper så att de uppfyller sina principer.

Utarbetande av MIP- och DLP-principer för organisationer kräver omsorgsfull planering och ett utbildningsprogram för användare så att anställda förstår organisationens dataklassificeringsschema och vilka typer av data som betraktas som känsliga. Att tillhandahålla anställda med verktyg och utbildningsprogram som hjälper dem att identifiera känsliga data och förstå hur de hanteras gör dem till en del av lösningen för att minska risker med informationssäkerhet.

Styra data genom att effektivt hantera poster

Föreskrifter kräver många organisationer för att hantera bevarande av viktiga organisationsdokument enligt ett hanterat bevarandeschema för företaget. Organisationer möter reglerande och efterlevnadsrisker om data tas bort för tidigt eller juridiska risker om data behålls för länge. Med hjälp av strategier för effektiv hantering kan du se till att organisations dokument bevaras enligt förutbestämda bevarandeperioder som är utformade för att minimera riskerna för organisationen. Bevarande perioder föreskrivs i ett centralt hanterat bevarandeschema och de baseras på naturen av varje typ av dokument, enligt myndighets krav för att bibehålla vissa typer av data och i organisationens definierade principer.

Det kan krävas en detaljerad process som tilldelar bevarandeperioder som är unika för enskilda dokument om du vill att posterna ska vara tillräckligt långa i organisations dokument. Det stora antalet dokument inom energiindustrins organisationer, tillsammans med faktumet att antalet lagringsperioder i många fall kan utlösas genom organisationshändelser (till exempel när avtal löper ut eller om en anställd lämnar organisationen) gör att tillämpa bevarandeprinciper på skala utmanande för många organisationer.

Microsoft 365 tillhandahåller funktioner för att definiera bevarandeetiketter och principer för att enkelt implementera hanteringskrav för handlingar. En arkivhanterare definierar en lagringsetikett som representerar en "typ av information" i ett traditionellt bevaringsschema. Bevarandet har inställningar som definierar:

  • Hur länge en post behålls
  • Vad inträffar när den lagringsperioden går ut (ta bort dokumentet, starta en granskning eller vidta ingen åtgärd)
  • Vad utlöser den bevarandeperiod som ska startas (skapat den, senast ändrad, datumetikett eller en händelse) och
  • Om dokumentet eller e-postmeddelandet är en post (vilket innebär att den inte kan redigeras eller tas bort)

Lagringsetiketterna publiceras sedan på SharePoint- och OneDrive-webbplatser, Exchange-postlådor och Office 365 Grupper. Användare kan sedan tillämpa bevarandet av bevarandet av bevarandet av dokument och e-post eller så kan posthanterare använda regler för att automatiskt använda bevarandeetiketter. Automatiskt tillämpa regler kan baseras på nyckelord eller känslig information som finns i dokument och e-postmeddelanden, t. ex kreditkortsnummer, personnummer eller annan personlig identifierbar information (PII) eller de kan baseras på metadata från SharePoint.

FedRAMP för måttlig kontroll och NERC CIP-standarder omfattar även återanvändande och avyttring av tillgångar som krav på nyckelkontroll (CIP-011-2). Kraven gäller återigen specifikt adresserade BES (omfångsrika elsystem) Cybersysteminformation. Andra myndighetsbestämmelser kräver dock att energiindustrins organisationer administrerar och avyttrar poster effektivt för flera olika typer av information. Det innefattar redovisningar, information om kapitalprojekt, budgeten, kunddata osv. I alla fall krävs energiorganisationer för att upprätthålla robusta program för hantering av arkivhandlingar och bevis som rör försvarbar disposition av företagsposter.

Med varje bevarandeetikett tillåter Office 365 att posthanterare bestämmer om en disposition måste utföras. När de posttyper som används för förvaring, när de har löpt ut, måste en översyn utföras av de avsedda dispositions förhandsgranskningarna innan innehållet tas bort. När dispositionsgranskningen är godkänd, kommer borttagning av innehållet att fortsätta, men bevis för borttagningen, användare som utförde borttagningen och datum/tid då det skedde kommer att bevaras i flera år (som ett certifikat på borttagningen). Om organisationer kräver längre eller permanent bevarande av borttagningscertifikat kan Microsoft Sentinel användas för långsiktig molnbaserade lagring av logg- och granskningsdata. Med Microsoft Sentinel får organisationer fullständig kontroll över långsiktig lagring och bevarande av aktivitetsdata, loggdata och bevarande/dispositionsdata.

Följa föreskrifter för FERC och FTC för energimarknader

Den amerikanska federala energi regleringskommissionen (FERC) överser föreskrifter avseende energimarknader och handeln för elenergi och naturgasmarknader. Den amerikanska federala handelskommissionen överser liknande föreskrifter på petroleummarknaden. I båda fallen anger de här regleringsGovernmentna bestämmelser och riktlinjer för att förhindra manipulering av energimarknaden. Med FERC rekommenderar vi till exempel att energiorganisationer investerar i tekniska resurser för att övervaka handel, näringsidkare, kommunikation med intern kontroll. Vi rekommenderar att energiorganisationer regelbundet beräknar att organisationens efterlevnad är effektiv.

Traditionellt sett är kommunikationsövervakningslösningar dyra och de kan vara komplicerade att konfigurera och hantera. Organisationer kan också få utmaningar med att övervaka de olika, varierande kommunikationskanaler som finns tillgängliga för anställda. I Microsoft 365 finns flera inbyggda robusta funktioner för övervakning av medarbetarnas kommunikation, övervakning av medarbetarnas aktiviteter och uppfyllande av FERC bestämmelser för energimarknader.

Implementera övervakningskontroll

I Microsoft 365 kan organisationer konfigurera övervakningsprinciper som fångar medarbetarnas kommunikation (utifrån konfigurerade villkor) och tillåta att dessa granskas av utsedda övervakare. Med övervakningsprinciper kan du hämta interna/externa e-postmeddelanden och bilagor, chatt- och kanalkommunikation i Microsoft Teams, chattkommunikation och bilagor med Skype för företag online tillsammans med kommunikation via tjänster från tredje part (till exempel Facebook eller Dropbox).

Den övergripande karaktären av kommunikationer som kan fångas och granskas inom en organisation och de omfattande förhållanden med vilka policyer kan konfigureras, möjliggör Microsoft 365 övervakning organisationer att följa efterlevnad av FERC reglering av energimarknaden. Övervakningsprinciper kan konfigureras för att granska kommunikationer för individer eller grupper. Dessutom kan en övervakare konfigurerad för att vara personer eller grupper. Omfattande förhållanden kan konfigureras för att fånga kommunikationer baserade på inkommande eller utgående meddelanden, domäner, lagringsetiketter, nyckelord eller fraser, nyckelordsordlistor, känsliga datatyper, bilagor, meddelandestorlek eller storlek på bilaga. Granskarna får en instrumentpanel där de kan granska flaggade kommunikationer, agera på kommunikationer som potentiellt bryter mot policyer och markera flaggade objekt som lösta. De kan också granska resultatet av tidigare granskningar och objekt som har lösts.

Microsoft 365 tillhandahåller rapporter som gör att granskningsaktiviteter för övervakningsprinciper granskas utifrån principen och granskaren. Tillgängliga rapporter kan användas för att verifiera att övervakningsprinciper fungerar som definieras av organisationens principer för skriftligt övervakning. De kan också användas för att identifiera kommunikation som kräver granskning och vilken kommunikation som inte överensstämmer med företagets policy. Slutligen granskas alla aktiviteter relaterade till konfigurering av övervakningsprinciper och granskning av kommunikationer i den enhetliga Office 365-granskningsloggen.

Microsoft 365-övervakningsprinciper gör att organisationer kan övervaka meddelanden för efterlevnad av företagsprinciper, till exempel mänskliga resurser trakasserier överträdelser och anstötligt språk i företagskommunikation. Det gör också att organisationer kan minska riskerna genom att övervaka kommunikationen när de genomgår känsliga förändringar, t. ex. sammanslagningar och förvärv eller förändringar i ledarskap.

Efterlevnad av kommunikation

Med många kommunikationskanaler tillgängliga för anställda behöver organisationer alltmer effektivare lösningar för övervakning av kommunikation i reglerade branscher, t. ex. marknader för energihandeln. Den nyligen lanserade lösningen för efterlevnad av kommunikation som är inbyggd i Microsoft 365 hjälper organisationer att lösa vanliga utmaningar, t. ex. ökande antalet kommunikationskanaler och meddelandevolym samt risken för problem för policyöverträdelser.

Med efterlevnad av kommunikation kan du övervaka flera kommunikationskanaler och använda maskinutbildningsmodeller för att identifiera potentiella policyöverträdelser, t. ex. e-post i Office 365, Microsoft Teams, Skype för företag Online, Facebook, Twitter och Bloomberg snabbmeddelanden. Med efterlevnad av kommunikation kan grupper effektivt granska meddelanden för potentiella överträdelser av:

  • Företagsprinciper, t. ex. acceptabel användning, etisk standard och företagsspecifika principer
  • känslig information om företaget, till exempel samtal om känsliga projekt såsom kommande förvärv, sammanslagningar, vinstresultat, omstruktureringar eller förändringar i ledningsgruppen
  • Bestämmelser om efterlevnad, t. ex. medarbetarnas kommunikation angående olika typer av verksamheter och transaktioner där en organisation uppkommer med beaktande av FERC bestämmelser för energimarknader

Med efterlevnad av kommunikation tillhandahåller inbyggda klassificerare för hot, trakasserier och svordomar vilket minskar falska positiva vid granskning av kommunikation. Detta sparar granskare tid under undersökningen och reparationsprocessen. Det hjälper granskare att fokusera på vissa meddelanden i långa trådar som har markerats med principvarningar. På så sätt kan grupper som följer arbetsgrupper snabbare identifiera och åtgärda risker. Den ger efterlevnadsgrupper med möjligheten att enkelt konfigurera och finjustera principer och justera lösningen till organisationens specifika behov och minska falska positiva. Med efterlevnad för kommunikation kan du även spåra användarens beteende med tiden och på så sätt Markera potentiella mönster för riskfyllda beteenden och policyöverträdelser. I den här artikeln får du till gång till flexibla, inbyggda arbetsflöden så att granskare snabbt kan vidta åtgärder och eskalera till juridiska och mänskliga resurser enligt definierade företagsprocesser.

Skydd mot dataexfiltration och insiderrisk

Dataexfiltration eller att extrahera data från en organisation är ett vanligt hot mot företag. Detta kan vara ett betydande bekymmer för energiorganisationer på grund av känsligheten hos de uppgifter som anställda eller fälttjänstpersonalen dagligen får tillgång till. Detta omfattar både BES (omfångsrika elsystem) Cybersysteminformation samt verksamhetsrelaterad information och kunddata. Med ökande metoder för kommunikation tillgängliga och flera verktyg för att flytta data krävs det vanligtvis avancerade verktyg för att minska riskerna med dataläckor, policyöverträdelser och Insider-risker.

Hantering av insiderrisk

Att ge anställda samarbetsverktyg online som kan nås var som helst innebär en risk för organisationen. Anställda kan oavsiktligt eller skadligt läcka data till angripare eller konkurrenter. De kan också ut data för personlig användning eller ta med sig data till en framtida arbetsgivare. I dessa scenarier förekommer allvarliga risker för organisationer från ett säkerhets och efterlevnadsperspektiv. Att identifiera dessa risker när de inträffar och snabbt mildra dem kräver både intelligenta verktyg för datainsamling och samarbete mellan avdelningar som juridik, HR och informationssäkerhet.

Microsoft 365 har nyligen lanserat hanteringskonsolen för Insider-riskhantering som använder signaler över Microsoft 365-tjänster och maskinutbildningsmodeller för att övervaka användarbeteende för tecken på Insider-risker. Det här verktyget presenterar data till granskare så att de enkelt kan identifiera beteendemönster och eskalera ärenden utifrån förutbestämda arbetsflöden.

Exempelvis kan hantering av insiderrisk korrelera signaler från en användares skrivbord i Windows 10, till exempel att kopiera filer till en USB-enhet eller skicka e-post till ett personligt e-postkonto, med aktiviteter från onlinetjänster som Office 365 e-post, SharePoint Online, Microsoft Teams eller OneDrive för företag för att identifiera mönster för dataexfiltrering. Det kan också korrelera dessa aktiviteter med anställda som lämnar en organisation, vilket är ett vanligt mönster associerade med dataexfiltrering. Den kan övervaka flera aktiviteter och beteenden över tid och när vanliga mönster uppstår kan det ge aviseringar och hjälpa granskare att fokusera på nyckelaktiviteter för att verifiera en policyöverträdelse med en hög grad av säkerhet. Hantering av insiderrisk kan förvilla data från utredare för att uppfylla föreskrifterna för uppgifter om integritet medan det fortfarande dyker upp nyckelaktiviteter som hjälper dem att utföra utredningar effektivt. Det tillåter utredare att paketera och säkert skicka viktig aktivitetsdata till HR och juridiska avdelningar, efter vanliga upptrappning av arbetsflöden för lyfta upp ärenden för saneringsåtgärder.

Hantering av insiderrisk i Microsoft 365 ökar organisationers kapacitet att övervaka och undersöka insiderrisker avsevärt samtidigt som organisationer fortfarande kan uppfylla bestämmelserna om dataskydd och följa etablerade eskaleringsvägar när ärenden kräver åtgärder på högre nivå.

Sammanfattning

Microsoft 365 tillhandahåller en integrerad och fullständig lösning som gör att du enkelt kan använda molnbaserade samarbete i hela företaget med Microsoft Teams. Microsoft Teams gör det också enklare att kommunicera och samarbeta med fälttjänstpersonal och energiorganisationer kan vara effektivare och effektivare. Bättre samarbete i hela företaget och med fältpersonalen kan slutligen hjälpa energiorganisationer att bättre tjäna kunderna.

Organisationer för energiindustrin måste följa strikta förordningar som rör hur de lagrar, skyddar, hanterar och bevarar information som rör deras åtgärder och kunder. De måste också följa föreskrifter relaterade till hur de övervakar och förhindra manipulation av energimarknader. Microsoft 365 ger robusta säkerhetskontroller för att skydda data, identiteter, enheter och program från risker och följa strikta föreskrifter för energiindustrin. De inbyggda verktygen tillhandahålls för att hjälpa energiorganisationer att utvärdera att de efterlevs, liksom utföra åtgärder och spåra åtgärder med tiden. Verktygen tillhandahåller lättanvända metoder för övervakning av kommunikation. Microsoft 365-plattformen är inbyggd i baskomponenter som Microsoft Azure och Azure Active Directory, som hjälper till att skydda den generella plattformen och hjälpa organisationen att uppfylla efterföljandekrav för FedRAMP måttliga och höga kontrolluppsättningar. Det bidrar i sin tur till en energiorganisations möjlighet att uppfylla NERC CIP-standard.

Generellt sett hjälper Microsoft 365 energiorganisationer att bättre skydda organisationen för att få mer robusta program för efterlevnad och för att göra det möjligt för personalen att fokusera på att få bättre insikter och implementera strategier för att bättre minska riskerna.