Wichtige Überlegungen zur Compliance und Sicherheit der Energiebranche
Einführung
Die Energiewirtschaft versorgt die Gesellschaft mit Treibstoff und kritischer Infrastruktur, auf die sich die Menschen täglich verlassen. Zur Sicherstellung der Zuverlässigkeit von Infrastruktur im Zusammenhang mit Hochleistungs-Energiesystemen erlegen Behörden den Organisationen der Energiebranche strenge Normen auf. Diese regulatorischen Standards beziehen sich nicht nur auf die Erzeugung und Übertragung von Energie, sondern auch auf die Daten und die Kommunikation, die für den täglichen Betrieb von Energieunternehmen unverzichtbar sind.
Unternehmen in der Energiewirtschaft arbeiten mit vielen Arten von Informationen und tauschen diese im Rahmen ihrer regulären Tätigkeit aus. Diese Informationen umfassen Kundendaten, Entwurfsdokumentationen für das Kapitalbau, Ressourcenstandortzuordnungen, Projektmanagementartefakte, Leistungsmetriken, Außendienstberichte, Umgebungsdaten und Leistungsmetriken. Da diese Organisationen ihre Betriebs- und Zusammenarbeitssysteme in moderne digitale Plattformen umwandeln möchten, suchen sie microsoft als vertrauenswürdigen Clouddienstanbieter (Cloud Service Provider, CSP) und Microsoft 365 als best-of-breed Collaboration-Plattform. Da Microsoft 365 auf der Microsoft Azure-Plattform basiert, sollten Organisationen beide Plattformen prüfen, wenn sie ihre Compliance- und Sicherheitskontrollen beim Umstieg auf die Cloud prüfen.
In Nordamerika, setzt die North America Electric Reliability Corporation (NERC) Zuverlässigkeitsstandards um, die als NERC Critical Infrastructure Protection (CIP)-Standards bekannt sind. NERC unterliegt der Aufsicht der U.S. Federal Energy Regulatory Commission (FERC) und der staatlichen Behörden in Kanada. Alle Eigentümer, Operatoren und Benutzer des Hochleistungsstromnetzes müssen sich bei NERC registrieren und den NERC CIP-Standards entsprechen. Clouddienstanbieter und Drittanbieter wie Microsoft unterliegen nicht den NERC CIP-Standards. Die CIP-Standards beinhalten jedoch Ziele, die berücksichtigt werden sollten, wenn registrierte Unternehmen Anbieter beim Betrieb des Bulk Electric System (BES) einsetzen. Microsoft-Kunden, die Großelektrosysteme betreiben, sind vollständig dafür verantwortlich, die Einhaltung der NERC CIP-Standards sicherzustellen.
Informationen zu Microsoft Cloud Services und NERC finden Sie in den folgenden Ressourcen:
Zu den regulatorischen Standards, die von Energieorganisationen in Erwägung gezogen werden sollten, zählen das FedRAMP-Programm für Risiko- und Autorisierungsmanagement („US Federal Risk and Authorization Management Program“), das auf dem NIST SP 800-53 Rev 4 Standard (Nationales Institut für Normen und Technologie) basiert und diesen ergänzt.
- Microsoft Office 365 und Office 365 U.S. Government haben jeweils eine FedRAMP ATO (Autorisierung zum Einsatz) für die Stufe „mittelstarke Auswirkungen“ erhalten.
- Azure und Azure Government wurde jeweils ein FedRAMP High P-ATO (vorläufige Autorisierung zum Einsatz) verliehen, was die höchste Berechtigungsstufe für FedRAMP darstellt.
Informationen zu Microsoft Cloud Services und FedRAMP finden Sie in den folgenden Ressourcen:
Diese Errungenschaften sind für die Energiebranche von Bedeutung, da ein Vergleich zwischen dem „FedRAMP Moderate Control Set“ und „NERC CIP“-Anforderungen zeigt, dass „FedRAMP Moderate Controls“ alle „NERC CIP“-Anforderungen umfassen. Für zusätzliche Informationen hat Microsoft einen Cloud-Implementierungsleitfaden für NERC-Audits entwickelt, der ein Kontroll-Mapping zwischen dem aktuellen Satz von NERC CIP-Standards und dem FedRAMP Moderate-Kontrollsatz enthält, wie in NIST 800-53 Rev. 4 dokumentiert.
Während die Energiebranche ihre Kollaborationsplattformen modernisieren möchten, ist dennoch eine sorgfältige Prüfung der Konfiguration und des Einsatzes von Tools zur Zusammenarbeit und von Sicherheitskontrollen erforderlich, einschließlich:
- Einschätzung allgemeiner Szenarien für die Zusammenarbeit
- Zur Produktivität der Mitarbeiter erforderlicher Zugriff auf Daten
- Gesetzliche Kompatibilitätsanforderungen
- Damit verbundene Risiken für Daten, Kunden und die Organisation
Microsoft 365 ist eine moderne Cloud-Umgebung für den Arbeitsplatz. Es bietet eine sichere und flexible Zusammenarbeit im gesamten Unternehmen, einschließlich Kontrollen und Richtlinienerzwingung, um den strengsten gesetzlichen Compliance-Rahmen einzuhalten. In den folgenden Artikeln wird in diesem Artikel untersucht, wie Microsoft 365 der Energiebranche dabei hilft, auf eine moderne Plattform für die Zusammenarbeit umzusteigen und gleichzeitig die Sicherheit von Daten und Systemen sowie die Einhaltung von Vorschriften zu gewährleisten:
- Bereitstellen einer umfassenden Plattform für die Zusammenarbeit mit Microsoft Teams
- Bereitstellen sicherer und gesetzeskonformer Zusammenarbeit in der Energiebranche
- Identifizierung vertraulicher Daten und Verhinderung von Datenverlusten
- Steuern von Daten durch effektive Verwaltung von Datensätzen
- Einhaltung der FERC- und FTC-Bestimmungen für Energiemärkte
- Schutz vor Datenexfiltration und Insider-Risiken
Als Microsoft-Partner trug Protiviti zu diesem Artikel bei und lieferte materielles Feedback zu diesem Artikel.
Bereitstellen einer umfassenden Plattform für die Zusammenarbeit mit Microsoft Teams
Zusammenarbeit erfordert in der Regel mehrere Formen der Kommunikation, die Fähigkeit, Dokumente zu speichern und auf sie zuzugreifen, sowie die Fähigkeit, andere Anwendungen nach Bedarf zu integrieren. Unabhängig davon, ob es sich um globale Unternehmen oder lokale Unternehmen handelt, müssen Mitarbeiter im Energiesektor in der Regel zusammenarbeiten und mit Mitgliedern anderer Abteilungen oder teamsübergreifend kommunizieren. Außerdem müssen Sie häufig mit externen Partnern, Lieferanten oder Kunden kommunizieren. Daher wird die Verwendung von Systemen, die Silos bilden oder den Informationsaustausch erschweren, in der Regel nicht empfohlen. Trotzdem möchten wir sicherstellen, dass die Mitarbeiter Informationen sicher und gemäß Richtlinie teilen.
Die Bereitstellung einer modernen und cloudbasierten Plattform für die Zusammenarbeit für Mitarbeiter, die es ihnen ermöglicht, die Tools auszuwählen und einfach zu integrieren, mit denen sie am produktivsten arbeiten und zusammenarbeiten können. Die Verwendung von Microsoft Teams zusammen mit Sicherheitskontrollen und Governance-Richtlinien zum Schutz der Organisation kann Ihre Mitarbeiter bei der einfachen Zusammenarbeit in der Cloud unterstützen.
Microsoft Teams bietet einen Knotenpunkt für die Zusammenarbeit in Ihrem Unternehmen, der Menschen zusammenbringt, um an gemeinsamen Initiativen oder Projekten zu arbeiten und zusammenzuarbeiten. Es ermöglicht Teammitgliedern, Unterhaltungen zu führen, zusammenzuarbeiten und Dokumente mitzuverfassen. Es ermöglicht Personen, Dateien mit Teammitgliedern oder außerhalb des Teams zu speichern und freizugeben. Zudem ist es möglich, Live-Besprechungen mit integriertem Enterprise-VoIP und Video abzuhalten. Microsoft Teams kann durch einfachen Zugriff auf Microsoft-Apps wie Planner, Dynamics 365, PowerApps, Power BI und andere Branchenanwendungen von Drittanbietern angepasst werden. Teams vereinfacht den Zugriff auf Office 365-Dienste und Apps von Drittanbietern, um die Zusammenarbeit und Kommunikationsbedürfnisse für die Organisation zu zentralisieren.
Jedes Microsoft-Team wird von einer Office 365-Gruppe unterstützt. Eine Office 365-Gruppe gilt als Mitgliedschaftsanbieter für Office 365-Dienste, einschließlich Microsoft Teams. Office 365-Gruppen werden verwendet, um sicher zu steuern, welche Benutzer als Mitglieder und welche als Eigentümer der Gruppe gelten. Dieses Design ermöglicht es uns, einfach zu steuern, welche Benutzer Zugriff auf unterschiedliche Funktionen in Teams haben. Daher können Teammitglieder und Besitzer nur auf die Funktionen zugreifen, die sie nutzen dürfen.
Ein gängiges Szenario, in dem Microsoft Teams Organisationen der Energiebranche unterstützen kann, ist die Zusammenarbeit mit Vertragsnehmern oder externen Unternehmen im Rahmen von Außendienstprogrammen wie dem Vegetationsmanagement. In der Regel werden Auftragnehmer mit der Pflege der Vegetation oder der Entfernung von Bäumen im Umfeld von Stromanlagen beauftragt. Sie müssen häufig Arbeitsanweisungen erhalten, mit Disponenten und anderen Außendienstmitarbeitern kommunizieren, Bilder von der externen Umgebung aufnehmen und teilen, sich abmelden, wenn die Arbeit abgeschlossen ist, und Daten mit der Zentrale teilen. In der Regel werden diese Programme mit Telefon, Text, Papieraufträgen oder benutzerdefinierten Anwendungen ausgeführt. Diese Methode kann viele Herausforderungen mit sich führen. Zum Beispiel:
- Prozesse sind manuell oder analog, wodurch Metriken schwierig nachzuverfolgen sind
- Die Kommunikation wird nicht alle an einem Ort erfasst
- Daten werden in Silos aufbewahrt und nicht notwendigerweise mit allen Mitarbeitern geteilt, die sie benötigen
- Arbeit wird möglicherweise nicht konsistent oder effizient ausgeführt
- Benutzerdefinierte Anwendungen sind nicht in Tools für die Zusammenarbeit integriert, was das Extrahieren und Freigeben von Daten oder das Messen der Leistung erschwert.
Microsoft Teams kann einen benutzerfreundlichen Ort zur Zusammenarbeit bieten, um Informationen sicher zu teilen und Unterhaltungen zwischen Teammitgliedern und externen Außendienst-Vertragsnehmern durchzuführen. Teams kann genutzt werden, um Besprechungen durchzuführen, Sprachanrufe zu tätigen, Arbeitsaufträge zentral zu speichern und gemeinsam zu nutzen, Außendienstdaten zu erfassen, Fotos hochzuladen, Geschäftsprozesslösungen zu integrieren (die mit Power Apps und Power Automate erstellt wurden) und Branchenanwendungen zu integrieren. Diese Art von Außendienstdaten kann als geringe Auswirkung angesehen werden; Effizienzsteigerungen können jedoch durch die Zentralisierung der Kommunikation und des Zugriffs auf Daten zwischen Mitarbeitern und Außendienstmitarbeitern in diesen Szenarien erzielt werden.
Ein weiteres Beispiel für einen Fall, in dem Microsoft Teams der Energiebranche Vorteile bescheren kann, zeigt sich, wenn Mitarbeiter des Außendienstes während eines Ausfalls die Stromversorgung wiederherstellen müssen. Außendienstmitarbeiter benötigen oft schnellen Zugriff auf schematische Daten für Umspannwerke, Kraftwerke oder Blaupausen für Anlagen vor Ort. Diese Daten werden als Daten mit wesentlichen Auswirkungen betrachtet und müssen gemäß den NERC-CIP-Vorschriften geschützt werden. Die Außendienstarbeit während eines Ausfalls erfordert die Kommunikation zwischen den Außendienstmitarbeitern und den Innendienstmitarbeitern des Unternehmens sowie auch mit Endkunden. Die zentralisierte Kommunikation und Datenfreigabe in Microsoft Teams bietet den Mitarbeitern des Außendienstes eine einfache Methode, um auf wichtige Daten zuzugreifen und Informationen oder Status wieder an die Zentrale zurück zu melden. So können beispielsweise Mitarbeiter des Außendienstes mit Microsoft Teams an Konferenzgesprächen teilnehmen, während sie sich auf dem Weg zu einem Ausfall befinden. Außendienstmitarbeiter können auch Fotos oder Videos von ihrer Umgebung aufnehmen und diese mit der Zentrale teilen, was besonders wichtig ist, wenn die Feldausrüstung nicht mit schematischem Schema übereinstimmt. Daten und Status, die im Feld gesammelt wurden, können über die Datenvisualisierungstools wie Power BI an Büromitarbeiter und Führungspersonal ausgegeben werden. Letztendlich kann Microsoft Teams in diesen kritischen Situationen den Außendienst effizienter und produktiver machen.
Teams: Verbessern Sie die Zusammenarbeit und reduzieren Sie das Risiko bei der Einhaltung von Vorschriften
Microsoft 365 bietet durch die Nutzung von Office 365-Gruppen als zugrundeliegendem Mitgliedschaftsanbieter gemeinsame Richtlinienfunktionen für Microsoft Teams. Diese Richtlinien können dazu beitragen, die Zusammenarbeit zu verbessern und dabei helfen, die Anforderungen der Compliance zu erfüllen.
Office 365-Gruppenbenennungsrichtlinien stellen sicher, dass Office 365-Gruppen und somit Microsoft Teams entsprechend der Unternehmensrichtlinie benannt werden. Der Name eines Teams kann eine Herausforderung darstellen, wenn er nicht angemessen ist. Beispielsweise wissen Mitarbeiter möglicherweise nicht, in welchen Teams sie arbeiten oder Informationen freigeben sollen, wenn sie falsch benannt sind. Gruppenbenennungsrichtlinien tragen dazu bei, eine gute Hygiene zu erzwingen und können auch die Verwendung bestimmter Wörter wie reservierte Wörter oder unangemessene Terminologie verhindern.
Office 365 Gruppenablaufrichtlinien tragen dazu bei, sicherzustellen, dass Office 365 Gruppen und damit Microsoft Teams nicht länger aufbewahrt werden, als dies für die organization erforderlich ist. Diese Fähigkeit trägt dazu bei, zwei wichtige Probleme beim Informationsmanagement zu vermeiden:
- Die Verbreitung von Microsoft Teams, die nicht erforderlich oder verwendet werden
- Die verlängerte Speicherung von Daten, die von der Organisation nicht länger benötigt werden
Administratoren können einen Ablaufzeitraum in Tagen für Office 365-Gruppen angeben (z. B. 90, 180 oder 365 Tage). Wenn ein Dienst, der von einer Office 365-Gruppe unterstützt wird, während des Ablaufzeitraums inaktiv ist, werden die Gruppenbesitzer benachrichtigt. Wenn keine Aktion ausgeführt wird, werden die Office 365-Gruppe und alle zugehörigen Dienste einschließlich Microsoft Teams gelöscht.
Die übermäßige Aufbewahrung von Daten in einem Microsoft-Team kann für Unternehmen ein Prozessrisiko darstellen. Die Verwendung von Ablaufrichtlinien ist eine empfohlene Methode zum Schutz der Organisation. In Kombination mit integrierten Aufbewahrungskennzeichen und -richtlinien trägt Microsoft 365 dazu bei, dass Unternehmen nur die Daten aufbewahren, die zur Einhaltung von gesetzlichen Bestimmungen erforderlich sind.
Teams: Integrieren Sie einfach benutzerdefinierte Anforderungen
Microsoft Teams ermöglicht standardmäßig die Erstellung von Teams in Selbstbedienung. Viele regulierte Organisationen möchten jedoch steuern und verstehen, welche Bereiche für die Zusammenarbeit derzeit von Mitarbeitern verwendet werden, welche Bereiche vertrauliche Daten enthalten und wer die Besitzer von Räumen in ihrer gesamten Organisation sind. Um diese Steuerung zu vereinfachen, ermöglicht Microsoft 365 Organisationen die Deaktivierung der Selbsterstellung von Teams. Mit den in Microsoft 365 integrierten Tools zur Automatisierung von Geschäftsprozessen, wie z.B. Power Apps und Power Automate, können Unternehmen außerdem einfache Prozesse zur Beantragung eines neuen Teams erstellen. Durch das Ausfüllen eines einfach zu verwendenden Formblatts kann automatisch eine Genehmigung bei einem Vorgesetzten angefordert werden. Nach der Genehmigung kann das Team automatisch bereitgestellt und ein Link zum neuen Team an den Anforderer gesendet werden. Durch den Aufbau solcher Prozesse können Organisationen auch benutzerdefinierte Anforderungen integrieren, um andere Geschäftsprozesse zu erleichtern.
Bereitstellen sicherer und gesetzeskonformer Zusammenarbeit in der Energiebranche
Wie bereits erwähnt, haben Microsoft Office 365 und Office 365 U.S. Government jeweils die FedRAMP ATO auf dem Moderate Impact Level erreicht. Azure und Azure Government haben eine FedRAMP High P-ATO erreicht, welche die höchste FedRAMP-Autorisierungsstufe darstellt. Darüber hinaus umfasst das FedRAMP-Moderate Control Set alle NERC-CIP-Anforderungen und ermöglicht es Organisationen der Energiebranche („registrierten Entitäten“), vorhandene FedRAMP-Berechtigungen als skalierbaren und effizienten Ansatz zur Erfüllung von NERC-Überwachungsanforderungen zu nutzen. Es ist jedoch wichtig zu beachten, dass FedRAMP keine Point-in-Time-Zertifizierung ist, sondern ein Bewertungs- und Autorisierungsprogramm, das Bestimmungen für eine kontinuierliche Überwachung enthält. Obwohl diese Bestimmung in erster Linie für den CSP gilt, sind die Microsoft-Kunden, die Stromversorgungssysteme betreiben, selbst für die Einhaltung der NERC CIP-Standards verantwortlich. Es wird im Allgemeinen empfohlen, den Compliancestatus der organization kontinuierlich zu überwachen, um die fortlaufende Einhaltung von Vorschriften sicherzustellen.
Microsoft bietet ein wichtiges Tool zur Unterstützung bei der Überwachung der Compliance gesetzlicher Vorschriften über einen Zeitraum:
- Microsoft Purview Compliance Manager hilft der Organisation, ihren aktuellen Compliancestatus und die Maßnahmen zu verstehen, die sie ergreifen kann, um diesen Status zu verbessern. Der Compliance-Manager berechnet eine risikobasierte Bewertung, die den Fortschritt bei der Durchführung von Maßnahmen misst, welche dazu beitragen, die Risiken im Zusammenhang mit Datenschutz und gesetzlichen Vorschriften zu verringern. Der Compliance-Manager bietet eine erste Bewertung basierend auf der Microsoft 365-Datenschutz-Baseline. Bei dieser Baseline handelt es sich um eine Reihe von Kontrollen, die allgemeine Branchenvorschriften und -standards enthalten. Obwohl diese Bewertung ein guter Ausgangspunkt ist, wird Compliance-Manager leistungsfähiger, sobald ein Unternehmen Bewertungen hinzufügt, die für ihre Branche relevanter sind. Compliance-Manager unterstützt eine Reihe von gesetzlichen Vorschriften, die für NERC-CIP-Complianceverpflichtungen relevant sind, einschließlich des FedRAMP Moderate Control Sets, NIST 800-53 Rev. 4und AICPA SOC 2. Unternehmen der Energiebranche können bei Bedarf auch benutzerdefinierte Kontrollsätze erstellen oder importieren.
Die in Compliance Manager integrierten Workflow-Funktionen ermöglichen es Energieunternehmen, ihre Prozesse zur Einhaltung gesetzlicher Vorschriften umzugestalten und zu digitalisieren. Traditionell stehen Complianceteams in der Energiebranche vor den folgenden Herausforderungen:
- Inkonsistente Berichterstellung oder Nachverfolgung des Fortschritts bei Korrekturmaßnahmen
- Ineffiziente oder ineffektive Prozesse
- Unzureichende Ressourcen oder mangelnde Eigenverantwortung
- Mangel an Echtzeitinformationen und menschliche Fehler
Durch die Automatisierung von Aspekten der Einhaltung gesetzlicher Compliance-Prozesse durch den Einsatz von Compliance-Manager können Unternehmen den Verwaltungsaufwand für Rechts- und Compliance-Funktionen verringern. Dieses Tool kann dazu beitragen, diese Herausforderungen zu bewältigen, indem es aktuellere Informationen über Abhilfemaßnahmen, eine konsistentere Berichterstattung und dokumentierte Besitzrechte für die Maßnahmen (in Verbindung mit der Umsetzung der Maßnahmen) bietet. Organisationen können Korrekturmaßnahmen über einen gewissen Zeitraum automatisch nachverfolgen und insgesamt Effizienzgewinne verbuchen. Dieses Feature ermöglicht es Mitarbeitern, sich mehr auf die Gewinnung von Erkenntnissen und die Entwicklung von Strategien zu konzentrieren, um risiken effektiver zu navigieren.
Compliance-Manager drückt kein absolutes Maß für die Einhaltung eines bestimmten Standards oder einer bestimmten Vorschrift durch die Organisation aus. Sie drückt aus, inwieweit Sie Kontrollmechanismen eingeführt haben, welche die Risiken für personenbezogene Daten und die Privatsphäre des Einzelnen verringern können. Empfehlungen des Compliance-Managers sollten nicht als Garantie für die Konformität interpretiert werden. Die im Compliance-Manager bereitgestellten Kundenaktionen sind Empfehlungen. Es ist an jedem organization, die Wirksamkeit dieser Empfehlungen zu bewerten, um seine regulatorischen Verpflichtungen vor der Implementierung zu erfüllen. Empfehlungen im Compliance-Manager sollten nicht als Konformitätsgarantie interpretiert werden.
Viele Cybersicherheitskontrollen sind imFedRAMP Moderate Control Set und NERC CIP Standardsenthalten. Wichtige Steuerelemente im Zusammenhang mit der Microsoft 365-Plattform umfassen jedoch Sicherheitsverwaltungssteuerelemente (CIP-003-6), Konto-und Zugriffsverwaltung/Zugriffsentzug (CIP-004-6), elektronischer Sicherheitsperimeter (CIP-005-5), Überwachung von Sicherheitsereignissen und die Reaktion auf Vorfälle (CIP-008-5). Die folgenden grundlegenden Microsoft 365-Funktionen helfen, die in diesen Artikeln enthaltenen Risiken und Anforderungen zu beheben.
Benutzeridentitäten sichern und Zugriff steuern
Der Schutz des Zugriffs auf Dokumente und Anwendungen beginnt mit dem starken Schutz von Benutzeridentitäten. Diese Aktion erfordert die Bereitstellung einer sicheren Plattform für das Unternehmen zum Speichern und Verwalten von Identitäten sowie die Bereitstellung einer vertrauenswürdigen Authentifizierungsmethode. Außerdem ist eine dynamische Steuerung des Zugriffs auf diese Anwendungen erforderlich. Wenn Mitarbeiter arbeiten, können sie von Anwendung zu Anwendung oder über mehrere Standorte und Geräte wechseln. Der Zugriff auf Daten muss während jedem Schritt authentifiziert bleiben. Darüber hinaus muss der Authentifizierungsprozess ein sicheres Protokoll und mehrere Authentifizierungsfaktoren (einmaler SMS-Passcode, Authentifikator-App, Zertifikat usw.) unterstützen, um sicherzustellen, dass Identitäten nicht kompromittiert wurden. Schließlich ist die Durchsetzung risikobasierter Zugriffsrichtlinien eine wichtige Empfehlung zum Schutz von Daten und Anwendungen vor Insider-Bedrohungen, unbeabsichtigten Datenlecks und Datenexfiltration.
Microsoft 365 bietet eine sichere Identifikationsplattform mit Microsoft Entra ID, auf der Identitäten zentral gespeichert und sicher verwaltet werden. Microsoft Entra ID bildet zusammen mit einer Vielzahl verwandter Microsoft 365-Sicherheitsdienste die Grundlage dafür, Mitarbeitern den Zugriff zu gewähren, den sie benötigen, um sicher zu arbeiten und gleichzeitig die organization vor Bedrohungen zu schützen.
Microsoft Entra mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) ist in die Plattform integriert und bietet eine zusätzliche Schutzebene, um sicherzustellen, dass Benutzer beim Zugriff auf vertrauliche Daten und Anwendungen so sind, wie sie sie sind. Microsoft Entra mehrstufige Authentifizierung erfordert mindestens zwei Arten der Authentifizierung, z. B. ein Kennwort und ein bekanntes mobiles Gerät. Es unterstützt mehrere Optionen für die zweite Stufe der Authentifizierung, darunter: die Microsoft Authenticator-APP, ein Einmalkennwort, das per SMS übermittelt wird, den Erhalt eines Telefonanrufs, bei dem der Nutzer eine PIN-Nummer eingeben muss und Smart Cards oder die zertifikatbasierte Authentifizierung. Für den Fall, dass das Kennwort kompromittiert wird, würde ein potenzieller Hacker immer noch das Telefon des Benutzers benötigen, um Zugriff auf Unternehmensdaten zu erhalten. Darüber hinaus verwendet Microsoft 365 Modern Authentification als Schlüsselprotokoll, das die starke Authentifizierungserfahrung, die aus Webbrowsern bekannt ist, auf Kollaborationstools anwendbar macht, darunter Microsoft Outlook und die Microsoft Office Apps.
Microsoft Entra bedingter Zugriff bietet eine stabile Lösung zum Automatisieren von Zugriffssteuerungsentscheidungen und zum Erzwingen von Richtlinien zum Schutz von Unternehmensressourcen. Ein häufiges Beispiel ist, wenn ein Mitarbeiter versucht, auf eine Anwendung zuzugreifen, die vertrauliche Kundendaten enthält, und er automatisch eine mehrstufige Authentifizierung durchführen muss. Bedingter Azure-Zugriff vereint Signale aus der Zugriffsanforderung eines Benutzers (z. B. Eigenschaften zum Benutzer, seinem Gerät, Standort, Netzwerk und der App oder dem Repository, auf die bzw. das er zugreifen möchte). Jeder Versuch, auf die Anwendung zuzugreifen, wird anhand der von Ihnen konfigurierten Richtlinien dynamisch ausgewertet. Wenn das Benutzer- oder Geräterisiko erhöht ist oder andere Bedingungen nicht erfüllt sind, erzwingt Microsoft Entra ID automatisch Richtlinien (z. B. dynamisches Anfordern von MFA, Einschränken oder sogar Blockieren des Zugriffs). Dieser Entwurf trägt dazu bei, dass vertrauliche Ressourcen in sich dynamisch ändernden Umgebungen geschützt werden.
Microsoft Defender für Office 365 bietet einen integrierten Dienst, der Unternehmen vor bösartigen Links und Schadsoftware schützt, die über E-Mails zugestellt werden. Einer der häufigsten Angriffsvektoren, die benutzer betreffen, sind E-Mail-Phishing-Angriffe. Diese Angriffe lassen sich sorgfältig auf bestimmte hochrangige Mitarbeiter abzielen und können sehr überzeugend gestaltet werden. Sie enthalten in der Regel einen Handlungsaufruf, bei dem ein Benutzer einen schädlichen Link auswählen oder eine Anlage mit Schadsoftware öffnen muss. Nach der Infektion kann ein Angreifer die Anmeldeinformationen eines Benutzers stehlen und sich damit horizontal durch die Organisation bewegen. Sie können auch E-Mails und Daten abschöpfen und darin nach vertraulichen Informationen suchen. Microsoft Defender for Office 365 wertet Links zum Zeitpunkt des Klickens auf potenziell schädliche Websites aus und blockiert sie. E-Mail-Anhänge werden in einer geschützten Sandbox geöffnet, bevor sie in das Postfach des Benutzers übermittelt werden.
Microsoft Defender for Cloud Apps bietet Organisationen die Möglichkeit, Richtlinien präzise durchzusetzen. Dieser Entwurf umfasst die Erkennung von Verhaltensanomalien basierend auf individuellen Benutzerprofilen, die automatisch mithilfe von Machine Learning definiert werden. Defender for Cloud Apps baut auf den Azure-Richtlinien für bedingten Zugriff auf, indem es zusätzliche Signale in Bezug auf das Benutzerverhalten und die Eigenschaften der Dokumente, auf die zugegriffen wird, auswertet. Im Laufe der Zeit erlernt Defender for Cloud Apps das typische Verhalten für jeden Mitarbeiter (die Daten, auf die er zugreift, und die Anwendungen, die er verwendet). Basierend auf erlernten Verhaltensmustern können Richtlinien automatisch Sicherheitskontrollen durchsetzen, wenn ein Mitarbeiter außerhalb seines Verhaltensprofils handelt. Wenn beispielsweise ein Mitarbeiter in der Regel montags bis freitags von 9:00 bis 17:00 Uhr auf eine Buchhaltungs-App zugreift, derselbe Benutzer aber an einem Sonntagabend stark auf diese Anwendung zugreift, kann Defender for Cloud Apps richtlinien dynamisch erzwingen, damit der Benutzer sich erneut authentifizieren muss. Diese Anforderung trägt dazu bei, dass anmeldeinformationen nicht kompromittiert wurden. Darüber hinaus kann Defender for Cloud-Apps dabei helfen, Schatten-IT in der Organisation zu ermitteln und zu identifizieren. Dieses Feature hilft InfoSec-Teams sicherzustellen, dass Mitarbeiter sanktionierte Tools verwenden, wenn sie mit vertraulichen Daten arbeiten. Schließlich kann Defender für Cloud-Apps vertrauliche Daten überall in der Cloud schützen, auch außerhalb der Microsoft 365 Plattform. Es ermöglicht Organisationen, bestimmte externe Cloud-Apps zu sanktionieren (oder die Sanktion aufzugeben), wodurch der Zugriff gesteuert und überwacht wird, wann Benutzer in diesen Anwendungen arbeiten.
Microsoft Entra ID und die zugehörigen Microsoft 365-Sicherheitsdienste bilden die Grundlage, auf der eine moderne Cloud-Zusammenarbeitsplattform für Unternehmen der Energiebranche eingeführt werden kann. Microsoft Entra ID umfasst Steuerelemente zum Schutz des Zugriffs auf Daten und Anwendungen. Diese Kontrollen bieten nicht nur ein hohes Maß an Sicherheit, sondern helfen Unternehmen auch bei der Einhaltung gesetzlicher Vorschriften.
Microsoft Entra ID- und Microsoft 365-Dienste sind tief integriert und bieten die folgenden wichtigen Funktionen:
- Zentrale Speicherung und sichere Verwaltung von Benutzeridentitäten
- Verwenden sie ein sicheres Authentifizierungsprotokoll, einschließlich der mehrstufigen Authentifizierung, um Benutzer bei Zugriffsanforderungen zu authentifizieren.
- Bereitstellen einer konsistenten und stabilen Authentifizierungsoberfläche für alle Anwendungen
- Dynamisches Überprüfen von Richtlinien für alle Zugriffsanforderungen, Integration mehrerer Signale in den Richtlinienentscheidungsprozess (einschließlich Identität, Benutzer-/Gruppenmitgliedschaft, Anwendung, Gerät, Netzwerk, Standort und Echtzeitrisikobewertung)
- Validieren Sie genaue Richtlinien auf der Grundlage des Benutzerverhaltens und der Dateieigenschaften und setzen Sie bei Bedarf dynamisch zusätzliche Sicherheitsmaßnahmen durch
- Identifizieren Sie „Schatten-IT“ in der Organisation und erlauben Sie den InfoSec-Teams, Cloud-Anwendungen zu sanktionieren oder zu blockieren
- Überwachen und kontrollieren Sie den Zugriff auf Microsoft- und Nicht-Microsoft-Cloud-Anwendungen
- Proaktiver Schutz vor E-Mail-Phishing und Ransomware-Angriffen
Identifizierung vertraulicher Daten und Verhinderung von Datenverlusten
Die FedRAMP Moderate Control Set- und NERC CIP-Normen umfassen als Schlüsselanforderung auch den Datenschutz (CIP-011-2). Diese Anforderungen beziehen sich insbesondere auf die Notwendigkeit, Informationen im Zusammenhang mit BES (Bulk Electric System)-Cybersysteminformationen und den Schutz und sicheren Umgang mit diesen Informationen (einschließlich Speicherung, Übertragung und Verwendung) zu identifizieren. Spezifische Beispiele für BES Cyber System Information können Sicherheitsverfahren oder Sicherheitsinformationen zu Systemen sein, die für den Betrieb des massenelektrischen Systems (BES Cyber Systems, Physical Access Control Systems und Electronic Access Control oder Überwachungssysteme) von grundlegender Bedeutung sind und nicht öffentlich verfügbar sind und verwendet werden können, um nicht autorisierten Zugriff oder nicht autorisierte Verteilung zu ermöglichen. Es besteht jedoch die gleiche Notwendigkeit, Kundeninformationen zu identifizieren und zu schützen, die für den täglichen Betrieb von Energieorganisationen wichtig sind.
Microsoft 365 ermöglicht die Identifizierung und den Schutz vertraulicher Daten durch eine Kombination leistungsstarker Funktionen, einschließlich:
Microsoft Purview Information Protection sowohl für die benutzerbasierte Klassifizierung als auch für die automatische Klassifizierung vertraulicher Daten.
Microsoft Purview Data Loss Prevention (DLP) für die automatisierte Identifizierung vertraulicher Daten mithilfe vertraulicher Datentypen (d. a. regulärer Ausdrücke) und Schlüsselwörter sowie Richtlinienerzwingung
Microsoft Purview Information Protection ermöglicht es Mitarbeitern, Dokumente und E-Mails durch die Verwendung von Vertraulichkeitskennzeichnungen zu klassifizieren. Vertraulichkeitskennzeichnungen können von Benutzern manuell auf Dokumente in Microsoft Office-Apps und auf E-Mails in Microsoft Outlook angewendet werden. Sensibilitätskennzeichnungen können automatisch Dokumentmarkierungen und Schutz durch Verschlüsselung anwenden und die Rechteverwaltung durchsetzen. Vertraulichkeitsbezeichnungen können auch automatisch angewendet werden, indem Richtlinien konfiguriert werden, die Schlüsselwörter und vertrauliche Datentypen (Gutschrift Karte Nummern, Sozialversicherungsnummern, Identitätsnummern usw.) verwenden.
Microsoft bietet auch trainierbare Klassifikatoren an. Diese verwenden Modelle des maschinellen Lernens, um sensible Daten auf der Grundlage des Inhalts zu identifizieren, und nicht einfach durch Mustervergleich oder anhand der Elemente innerhalb des Inhalts. Ein Klassifikator lernt, eine Art von Inhalt zu identifizieren, indem er sich viele Beispiele des zu klassifizierenden Inhalts ansieht. Das Trainieren eines Klassifizierers beginnt damit, dass man ihm Beispiele für Inhalte in einer bestimmten Kategorie zur Verfügung stellt. Sobald er die Beispiele verarbeitet hat, wird das Modell getestet, indem ihm eine Mischung aus passenden und nicht passenden Beispielen vorgelegt wird. Der Klassifizierer prognostiziert dann, ob ein bestimmtes Beispiel in die Kategorie fällt oder nicht. Eine Person bestätigt dann die Ergebnisse und sortiert die Positiven, Negativen, Falsch-Positiven und Falsch-Negativen, um die Genauigkeit der Vorhersagen des Klassifikators zu erhöhen. Wenn die trainierte Klassifizierung veröffentlicht wird, werden Inhalte in SharePoint Online, Exchange Online und OneDrive verarbeitet und automatisch klassifiziert.
Durch das Anwenden von Vertraulichkeitsbezeichnungen auf Dokumente und E-Mails werden Metadaten in das Objekt eingebettet, die die ausgewählte Vertraulichkeit identifizieren, sodass die Vertraulichkeit mit den Daten übertragen werden kann. Daher ist ein beschriftetes Dokument auch dann geschützt, wenn es auf dem Desktop eines Benutzers oder in einem lokalen System gespeichert ist. Dieses Design ermöglicht es anderen Microsoft 365-Lösungen, z. B. Microsoft Defender for Cloud Apps oder Netzwerk-Edge-Geräten, vertrauliche Daten zu identifizieren und sicherheitsrelevante Kontrollen automatisch zu erzwingen. Vertraulichkeitsbezeichnungen haben den zusätzlichen Vorteil, dass sie Mitarbeiter aufklären, welche Daten innerhalb einer Organisation als vertraulich betrachtet werden und wie diese Daten zu behandeln sind.
Microsoft Purview Data Loss Prevention (DLP) identifiziert dokumente, E-Mails und Unterhaltungen, die vertrauliche Daten enthalten, automatisch, indem diese Elemente auf vertrauliche Datentypen überprüft und dann Richtlinien für diese Objekte erzwungen werden. Die Richtlinien werden für Dokumente innerhalb von SharePoint und OneDrive for Business durchgesetzt. Richtlinien werden auch erzwungen, wenn Benutzer E-Mails und in Microsoft Teams innerhalb von Chat- und Kanalunterhaltungen senden. Die Richtlinien können so konfiguriert werden, dass nach Schlüsselwörtern, vertraulichen Datentypen und Kennzeichnungen für die Aufbewahrung gesucht wird und ob die Daten innerhalb der Organisation oder extern ausgetauscht werden. Es werden Kontrollen zur Verfügung gestellt, um Organisationen bei der Feinabstimmung der DLP-Richtlinien zu helfen, um falsch positive Ergebnisse besser zu verhindern. Wenn sensible Daten gefunden werden, können den Benutzern in Microsoft 365-Anwendungen anpassbare Richtlinienhinweise angezeigt werden. Richtlinientipps informieren Benutzer darüber, dass ihre Inhalte vertrauliche Daten enthalten, und können Korrekturmaßnahmen vorschlagen. Richtlinien können auch verhindern, dass Benutzer auf Dokumente zugreifen, Dokumente gemeinsam nutzen oder E-Mails versenden, die bestimmte Arten von vertraulichen Daten enthalten. Microsoft 365 unterstützt über 100 integrierte vertrauliche Datentypen. Organisationen können benutzerdefinierte vertrauliche Datentypen konfigurieren, um ihre Richtlinien zu erfüllen.
Die Einführung von Microsoft Purview Information Protection- und DLP-Richtlinien für Organisationen erfordert eine sorgfältige Planung. Außerdem ist eine Benutzerschulung erforderlich, damit Mitarbeiter das Datenklassifizierungsschema der Organisation verstehen und welche Arten von Daten vertraulich sind. Die Bereitstellung von Tools und Schulungsprogrammen, die den Mitarbeitern helfen, vertrauliche Daten zu identifizieren und ihnen dabei helfen, zu verstehen, wie man damit umgeht, macht sie zu einem Teil der Lösung zur Minderung von Informationssicherheitsrisiken.
Steuern von Daten durch effektive Verwaltung von Datensätzen
Vorschriften zwingen viele Organisationen dazu, die Aufbewahrung wichtiger Organisationsdokumente gemäß einem verwalteten, unternehmensweiten Aufbewahrungszeitplan zu verwalten. Unternehmen sind mit den Risiken der behördlichen Compliance konfrontiert, wenn die Daten nicht lange genug aufbewahrt (zu früh gelöscht) werden oder wenn Daten übermäßig lange gespeichert (zu lange aufbewahrt) werden. Effektive Strategien zur Datensatzverwaltung tragen dazu bei, dass Organisationsdokumente gemäß vordefinierten Aufbewahrungszeiträumen aufbewahrt werden, die darauf ausgelegt sind, das Risiko für die Organisation zu minimieren. Aufbewahrungsdauern werden in einem zentral verwalteten Aufbewahrungszeitplan für Organisationsdatensätze vorgeschrieben. Aufbewahrungsdauern basieren auf der Art der einzelnen Dokumenttypen, den gesetzlichen Complianceanforderungen für die Aufbewahrung bestimmter Datentypen und den definierten Richtlinien der Organisation.
Die genaue Zuweisung von Aufbewahrungszeiträumen für Datensätze über Organisationsdokumente hinweg kann einen präzisen Prozess erfordern, bei dem Aufbewahrungszeiträume einzelnen Dokumenten eindeutig zugewiesen werden. Die Anwendung von Datensatzaufbewahrungsrichtlinien im großen Stil kann aus vielen Gründen eine Herausforderung darstellen. Zu diesen Gründen gehören die große Anzahl von Dokumenten in Organisationen der Energiebranche sowie die Tatsache, dass Aufbewahrungsdauern in vielen Fällen durch organisatorische Ereignisse ausgelöst werden können (z. B. ablaufende Verträge oder ein Mitarbeiter, der die Organisation verlässt).
Microsoft 365 bietet Funktionen, um Aufbewahrungsbezeichnungen und -richtlinien zu definieren, mit denen die Anforderungen für die Datensatzverwaltung einfach implementiert werden. Ein Datensatzverwalter bestimmt eine Aufbewahrungsbezeichnung, die in einem traditionellen Aufbewahrungszeitplan für einen Datensatztyp steht. Die Aufbewahrungsbezeichnung enthält Einstellungen, die folgendes definieren:
- Wie lange ein Datensatz aufbewahrt wird
- Die Eintrittsbedingungen oder was geschieht, wenn der Aufbewahrungszeitraum abläuft (Löschen des Dokuments, Starten einer Anordnungsüberprüfung oder keine Aktion)
- Was bewirkt, dass der Aufbewahrungszeitraum beginnt (Erstellungsdatum, Datum der letzten Änderung, Datum der Einklassifizierung oder ein bestimmtes Ereignis), und
- Wenn das Dokument oder die E-Mail ein Datensatz ist (d. h., es kann nicht bearbeitet oder gelöscht werden)
Aufbewahrungsbezeichnungen werden dann auf SharePoint- oder OneDrive-Websites, Exchange-Postfächern und Office 365-Gruppen veröffentlicht. Benutzer können dann Aufbewahrungsbezeichnungen manuell auf Dokumente und E-Mails anwenden. Datensatz-Manager können auch Regeln verwenden, um Aufbewahrungsbezeichnungen automatisch anzuwenden. Regeln für die automatische Anwendung können auf Schlüsselwörtern oder vertraulichen Daten basieren, die in Dokumenten oder E-Mails enthalten sind, z. B. Kreditkartennummern, Sozialversicherungsnummern oder andere personenbezogene Informationen (PII). Regeln für die automatische Anwendung können auch auf SharePoint-Metadaten basieren.
Die FedRAMP Moderate Control Set- und NERC CIP-Normen umfassen als Schlüsselanforderung auch die Wiederverwendung und Entsorgung von Ressourcen (CIP-011-2). Diese Voraussetzungen befassen sich erneut gezielt mit BES-Cybersystem-Informationen. Andere Gerichtliche Vorschriften erfordern jedoch, dass Unternehmen der Energiebranche Datensätze für viele Arten von Informationen effektiv verwalten und löschen müssen. Zu diesen Informationen gehören Jahresabschlüsse, Informationen über Kapitalprojekte, Budgets, Kundendaten usw. In allen Fällen sind Energieunternehmen verpflichtet, robuste Programme zur Verwaltung von Unterlagen und Nachweisen für die vertretbare Entsorgung von Unternehmensunterlagen zu führen.
Für jede Aufbewahrungsbezeichnung erlaubt Microsoft 365, dass Datensatzverwalter bestimmen, ob eine Dispositionsüberprüfung erforderlich ist. Wenn diese Datensatztypen nach Ablauf des Aufbewahrungszeitraums zur Disposition stehen, muss eine Überprüfung durch die vorher bestimmten Dispositionsprüfer durchgeführt werden, bevor Inhalte gelöscht werden. Sobald die Löschungsüberprüfung genehmigt wurde, wird das Löschen des Inhalts fortgesetzt. Der Nachweis des Löschvorgangs (der Benutzer, der den Löschvorgang durchgeführt hat, und Datum/Uhrzeit des Löschvorgangs) wird jedoch weiterhin für mehrere Jahre als Zertifikat der Zerstörung aufbewahrt. Wenn Organisationen eine längere oder dauerhafte Aufbewahrung von Vernichtungszertifikaten benötigen, können sie Microsoft Sentinel für die langfristige cloudbasierte Speicherung von Protokoll- und Überwachungsdaten verwenden. Microsoft Sentinel gibt Unternehmen die volle Kontrolle über die langfristige Speicherung und Aufbewahrung von Aktivitätsdaten, Protokolldaten und Aufbewahrungs-/Verfügungsdaten.
Einhaltung der FERC- und FTC-Bestimmungen für Energiemärkte
Die U.S. Federal Energy Regulatory Commission (FERC) beaufsichtigt Vorschriften, die sich auf die Energiemärkte und den Handel der Elektrizitäts- und Erdgasmärkte beziehen. Die U.S. Federal Trade Commission (FTC) beaufsichtigt ähnliche Bestimmungen im Mineralölmarkt. In beiden Fällen legen diese Regulierungsbehörden Regeln und Anleitungen fest, um die Manipulation von Energiemärkten zu verhindern. FERC empfiehlt Organisationen der Energiebranche beispielsweise, in Technologieressourcen zu investieren, um den Handel, die Händler-Kommunikation und die Einhaltung interner Kontrollen zu überwachen. Regulierungsbehörden empfehlen außerdem, dass Energieorganisationen regelmäßig die fortlaufende Effektivität des Complianceprogramms der Organisation bewerten.
In der Regel sind Kommunikationsüberwachungslösungen teuer und können komplex zu konfigurieren und zu verwalten sein. Auch die Überwachung der vielen, unterschiedlichen Kommunikationskanäle, die den Mitarbeitern zur Verfügung stehen, kann für Unternehmen eine Herausforderung sein. Microsoft 365 bietet mehrere integrierte, robuste Funktionen für die Überwachung der Mitarbeiterkommunikation, Überwachung der Mitarbeiteraktivitäten und zur Einhaltung der FERC-Vorschriften für Energiemärkte.
Implementierung der Aufsichtskontrolle
Mit Microsoft 365 können Organisationen Aufsichtsrichtlinien konfigurieren, die die Kommunikation zwischen Mitarbeitern (basierend auf konfigurierten Bedingungen) erfassen und zulassen, dass diese von den zuständigen Aufsichtsbehörden überprüft werden. Überwachungsrichtlinien können interne/externe E-Mails und Anhänge, Microsoft Teams Chat- und Channel-Kommunikation, Skype for Business Online Chat-Kommunikation und Anhänge sowie Kommunikation über Dienste von Drittanbietern (wie Facebook oder Dropbox) erfassen.
Der umfassende Charakter der Kommunikation, die innerhalb eines organization erfasst und überprüft werden kann, und die umfangreichen Bedingungen, unter denen Richtlinien konfiguriert werden können, ermöglichen es Microsoft 365-Aufsichtsrichtlinien, Organisationen bei der Einhaltung der FERC-Energiemarktvorschriften zu unterstützen. Aufsichtsrichtlinien können so konfiguriert werden, dass die Kommunikation für Einzelpersonen oder Gruppen überprüft wird. Darüber hinaus können Supervisoren so konfiguriert werden, dass sie Einzelpersonen oder Gruppen sind. Umfassende Bedingungen können konfiguriert werden, um Kommunikationen basierend auf eingehenden oder ausgehenden Nachrichten, Domänen, Aufbewahrungskennzeichnungen, Schlüsselwörtern oder -phrasen, Schlüsselwort-Wörterbüchern, sensiblen Datentypen, Anhängen, Nachrichten- oder Anhangsgröße zu erfassen. Den Prüfern wird ein Dashboard zur Verfügung gestellt, wo sie auffällige Kommunikationen überprüfen, auf Mitteilungen reagieren, die möglicherweise gegen die Richtlinien verstoßen, oder markierte Punkte als gelöst markieren können. Sie können auch die Ergebnisse früherer Überprüfungen und gelöster Elemente überprüfen.
Microsoft 365 bietet Berichte, die es ermöglichen, die Aktivitäten zur Überprüfung der Aufsichtsrichtlinie auf der Grundlage der Richtlinie und des Gutachters zu prüfen. Die verfügbaren Berichte können verwendet werden, um zu überprüfen, ob Aufsichtsrichtlinien so funktionieren, wie es in den schriftlichen Überwachungsrichtlinien der Organisation festgelegt ist. Berichte können auch verwendet werden, um Kommunikationen zu identifizieren, die überprüft werden müssen, einschließlich Kommunikationen, die nicht mit der Unternehmensrichtlinie konform sind. Schließlich werden alle Aktivitäten im Zusammenhang mit der Konfiguration von Aufsichtsrichtlinien und der Überprüfung der Kommunikation im einheitlichen Überwachungsprotokoll von Office 365 geprüft.
Die Microsoft 365-Aufsichtsrichtlinien ermöglichen es Organisationen, Mitteilungen auf Einhaltung der Unternehmensrichtlinien zu überwachen, wie z.B. Verstöße gegen Anti-Mobbing-Richtlinien der Personalabteilung und anstößige Sprache in Unternehmenskommunikation. Sie ermöglichen es Organisationen auch, Risiken zu reduzieren, indem sie die Kommunikation bei sensiblen Veränderungen der Organisation, wie Fusionen und Übernahmen oder Führungswechsel, überwachen.
Kommunikationscompliance
Da Mitarbeitern viele Kommunikationskanäle zur Verfügung stehen, benötigen Organisationen zunehmend effektive Lösungen für die Entdeckung und Untersuchung von Mitteilungen in regulierten Branchen wie z. B. den Energiehandelsmärkten. Zu diesen Herausforderungen gehören die steigende Anzahl von Kommunikationskanälen und das wachsende Nachrichtenvolumen sowie das Risiko möglicher Geldstrafen für Richtlinienverstöße.
Microsoft Purview-Kommunikationscompliance ist eine Compliance-Lösung, die Kommunikationsrisiken minimiert, indem sie Ihnen hilft, unangemessene Nachrichten in Ihrer Organisation zu erkennen, zu untersuchen und darauf zu reagieren. Vordefinierte und benutzerdefinierte Richtlinien ermöglichen es Ihnen, die Kommunikation auf Richtlinienübereinstimmungen intern sowie extern zu scannen, so dass sie von ausgewiesenen Prüfern untersucht werden kann. Prüfer können gescannte E-Mails, Microsoft Teams, Viva Engage oder Kommunikationen von Drittanbietern in Ihrem organization untersuchen und geeignete Maßnahmen ergreifen, um sicherzustellen, dass sie mit den Nachrichtenstandards Ihrer organization konform sind.
Kommunikationscompliance unterstützt Compliance-Teams bei der effektiven und effizienten Überprüfung von Nachrichten auf mögliche Verstöße gegen:
- Unternehmensrichtlinien, z.B. zulässige Nutzung, ethische Standards und unternehmensspezifische Richtlinien
- Offenlegung vertraulicher Informationen oder Geschäftsgeheimnisse, z. B. nicht autorisierte Kommunikation zu vertraulichen Projekten wie anstehenden Akquisitionen, Fusionen, Ertragsangaben, Reorganisationen oder Änderungen am Leadership-Team
- Vorschriften zur Einhaltung gesetzlicher Bestimmungen, z.B. Mitarbeitermitteilungen hinsichtlich der Arten von Unternehmen oder Transaktionen, in denen eine Organisation tätig ist, in Übereinstimmung mit FERC-Vorschriften für Energiemärkte
Die Kommunikationscompliance bietet integrierte Klassifizierer für Bedrohungen, Belästigungen und Schimpfwörter, um dazu beizutragen, falsch-positive Ergebnisse bei der Überprüfung der Mitteilungen zu reduzieren. Diese Klassifizierung spart Prüfern während des Untersuchungs- und Korrekturprozesses Zeit. Sie hilft Prüfern dabei, sich auf spezielle Nachrichten innerhalb langer Threads zu konzentrieren, die durch die Richtlinien-Benachrichtigungen hervorgehoben werden. Dieses Ergebnis hilft Complianceteams, Risiken schneller zu erkennen und zu beheben. Sie bietet Compliance-Teams die Möglichkeit, Richtlinien auf einfache Weise zu konfigurieren und zu optimieren, die Lösung für die spezifischen Anforderungen des Unternehmens anzupassen und falsch-positive Ergebnisse zu verringern. Kommunikationscompliance kann auch das potenziell riskantes Benutzerverhalten im Zeitverlauf identifizieren und potenzielle Muster riskanter Verhaltensweisen oder Richtlinienverstöße hervorheben. Schließlich bietet es flexible integrierte Lösungs-Workflows. Diese Workflows helfen den Prüfern, schnell Maßnahmen zu ergreifen, um sie gemäß den definierten Unternehmensprozessen an die Rechtsabteilung oder die Personalabteilung weiterzugeben.
Schutz vor Datenexfiltration und Insider-Risiken
Eine häufige Bedrohung für Unternehmen ist die Datenexfiltration oder der Akt des Extrahierens von Daten aus einer Organisation. Diese Aktion kann für Energieorganisationen aufgrund der sensiblen Natur der Informationen, auf die Mitarbeiter oder Außendienstmitarbeiter täglich zugreifen können, ein erhebliches Problem darstellen. Diese Daten umfassen sowohl BES-Cybersysteminformationen (Bulk Electric System) als auch unternehmensbezogene Informationen und Kundendaten. Angesichts der zunehmenden Zahl von Kommunikationsmethoden und der vielen Tools für die Datenübertragung sind in der Regel fortschrittliche Tools erforderlich, um die Risiken von Datenlecks, Richtlinienverstößen und Insider-Risiken zu minimieren.
Insider-Risikomanagement
Die Aktivierung von Mitarbeitern mit Online-Tools für die Zusammenarbeit, auf die überall zugegriffen werden kann, birgt inhärent Risiken für eine organization. Mitarbeiter können versehentlich oder böswillig Daten an Angreifer oder An wettbewerber weitergegeben werden. Alternativ können sie Daten für den persönlichen Gebrauch exfiltrieren oder Daten an einen zukünftigen Arbeitgeber mitnehmen. Diese Szenarien stellen aus Sicherheits- und Compliancesicht schwerwiegende Risiken für Organisationen dar. Um diese Risiken zu erkennen, wenn sie auftreten, und sie schnell zu entschärfen, sind sowohl intelligente Tools für die Datensammlung als auch die abteilungsübergreifende Zusammenarbeit in Bereichen wie Recht, Personalwesen und Informationssicherheit erforderlich.
Microsoft Purview Insider-Risikomanagement ist eine Compliance-Lösung, die Ihnen hilft, interne Risiken zu minimieren, indem sie es Ihnen ermöglicht, bösartige und unbeabsichtigte Aktivitäten in Ihrer Organisation zu erkennen, zu untersuchen und darauf zu reagieren. Insider-Risikorichtlinien ermöglichen es Ihnen, die Arten von Risiken zu definieren, die in Ihrer Organisation identifiziert und erkannt werden sollen, einschließlich der Bearbeitung von Fällen und der Eskalation von Fällen an Microsoft eDiscovery (Premium), falls erforderlich. Risikoanalysten in Ihrer Organisation können schnell geeignete Maßnahmen ergreifen, um sicherzustellen, dass Benutzer mit den Compliance-Standards Ihrer Organisation konform sind.
Das Insider-Risikomanagement kann beispielsweise Signale von den Geräten eines Benutzers (z. B. das Kopieren von Dateien auf ein USB-Laufwerk oder das Versenden von E-Mails an ein persönliches E-Mail-Konto) mit Aktivitäten von Onlinediensten (z. B. Office 365-E-Mail, SharePoint Online, Microsoft Teams oder OneDrive for Business) korrelieren, um Datenexfiltrationsmuster zu identifizieren. Es kann diese Aktivitäten auch mit Mitarbeitern korrelieren, die eine Organisation verlassen, was ein übliches Verhaltensmuster im Zusammenhang mit Datenexfiltration ist. Es kann mehrere potenziell riskante Aktivitäten und Verhaltensweisen im Zeitverlauf erkennen. Wenn sich gemeinsame Muster herauskristallisieren, kann es Warnungen auslösen und den Ermittlern helfen, sich auf die wichtigsten Aktivitäten zu konzentrieren, um einen Richtlinienverstoß mit einem hohen Maß an Vertrauen zu überprüfen. Insider-Risikomanagement kann auch Daten vor Ermittlern verschleiern, um Datenschutzbestimmungen einzuhalten und gleichzeitig wichtige Aktivitäten aufzudecken, die ihnen helfen, Ermittlungen effizient durchzuführen. Wenn es soweit ist, ermöglicht es den Ermittlern, wichtige Aktivitätsdaten zu verpacken und sicher an die Personal- und Rechtsabteilungen zu senden, indem sie allgemeine Weiterleitungs-Workflows befolgen, um Fälle für Korrekturmaßnahmen zu melden.
Insider-Risikomanagement ist eine erhebliche Erweiterung der Funktionen in Microsoft 365 zur Überwachung und Untersuchung von Insiderrisiken. Gleichzeitig können Organisationen die Datenschutzbestimmungen einhalten und etablierten Eskalationspfaden folgen, wenn Fälle Maßnahmen auf höherer Ebene erfordern.
Schlussbemerkung
Microsoft 365 bietet eine integrierte und umfassende Lösung, die eine benutzerfreundliche, Cloud-basierte Zusammenarbeit im ganzen Unternehmen mit Microsoft Teams ermöglicht. Microsoft Teams ermöglicht zudem eine bessere Kommunikation und Zusammenarbeit mit Außendienstmitarbeitern, wodurch Organisationen der Energiebranche effizienter und effektiver werden. Eine bessere Zusammenarbeit im ganzen Unternehmen und mit Außendienstmitarbeitern kann letztlich dazu beitragen, dass Organisationen der Energiebranche Kunden besser bedienen können.
Organisationen der Energiewirtschaft müssen strenge Bestimmungen einhalten, die sich auf die Speicherung, Sicherung, Verwaltung und Aufbewahrung von Informationen im Zusammenhang mit ihren Operationen und Kunden beziehen. Sie müssen zudem Vorschriften einhalten, die sich auf die Überwachung und Verhütung der Manipulation von Energiemärkten beziehen. Microsoft 365 bietet zuverlässige Sicherheitssteuerelemente für den Schutz von Daten, Identitäten, Geräten und Anwendungen vor Risiken und zur Einhaltung strikter Vorschriften für die Energiebranche. Es werden integrierte Tools bereitgestellt, die Organisationen der Energiebranche dabei helfen sollen, ihre Compliance zu bewerten sowie Maßnahmen zu ergreifen und Abhilfeaktivitäten über einen Zeitraum nachzuverfolgen. Diese Tools bieten zudem einfach zu verwendende Methoden zum Überwachen der Kommunikation. Die Microsoft 365-Plattform basiert auf grundlegenden Komponenten wie Microsoft Azure und Microsoft Entra ID, die dazu beitragen, die gesamte Plattform zu schützen und die organization die Complianceanforderungen für FedRAMP Moderate- und High-Kontrollsätze zu erfüllen. Dieses Design trägt wiederum dazu bei, dass ein Energie-organization die NERC CIP-Standards erfüllen kann.
Insgesamt hilft Microsoft 365 Organisationen der Energiebranche dabei, das Unternehmen besser zu schützen, robustere Compliance-Programme zu nutzen und die Mitarbeiter in die Lage zu versetzen, sich auf bessere Einblicke und Implementierungsstrategien zur Reduzierung von Risiken zu konzentrieren.