Consideraciones clave de cumplimiento y seguridad para la Industria energética

Introducción

La industria energética proporciona a la sociedad combustible e infraestructura crítica de la que la gente depende cada día. A fin de garantizar la fiabilidad de la infraestructura relacionada con los sistemas de energía masiva, las autoridades reguladoras imponen normas estrictas a las organizaciones de la industria energética. Estas normas reglamentarias se refieren no sólo a la generación y transmisión de energía, sino también a los datos y las comunicaciones que son fundamentales para las operaciones cotidianas de las empresas de energía.

Las organizaciones del sector de la energía trabajan con e intercambian muchos tipos de información como parte de sus operaciones regulares. Esta información incluye datos de clientes, documentación de diseño de ingeniería de capital, mapas de ubicación de recursos, artefactos de administración de proyectos, métricas de rendimiento, informes de servicio de campo, datos ambientales y métricas de rendimiento. A medida que estas organizaciones buscan transformar sus sistemas de operaciones y colaboración en plataformas digitales modernas, buscan a Microsoft como proveedor de servicios en la nube (CSP) de confianza y Microsoft 365 como su mejor plataforma de colaboración. Dado que Microsoft 365 está construido sobre la plataforma Microsoft Azure, las organizaciones deben examinar ambas plataformas a medida que tienen en cuenta su cumplimiento y los controles de seguridad al pasar a la Nube.

En América del Norte, la Corporación de Confiabilidad Eléctrica de América del Norte (NERC) hace cumplir las normas de confiabilidad que se conocen como NERC Normas de protección de infraestructuras críticas (CIP). La NERC está sujeta a la supervisión de la Comisión Federal de Regulación de la Energía de los Estados Unidos (FERC) y de las autoridades gubernamentales de Canadá. Todos los propietarios, operadores y usuarios de sistemas de energía masiva deben registrarse en el NERC y deben cumplir con las normas CIP del NERC. Los proveedores de servicios en la nube y los proveedores de terceros, como Microsoft, no están sujetos a los estándares CIP de NERC. Sin embargo, los estándares CIP incluyen objetivos que deben tenerse en cuenta cuando las entidades registradas usen proveedores en el funcionamiento del sistema eléctrico masivo (BES). Los clientes de Microsoft que operan los Sistemas de generación eléctrica masiva son totalmente responsables de garantizar su propio cumplimiento con los estándares de NERC CIP.

Para obtener información sobre los servicios de nube de Microsoft y el NERC, consulte los siguientes recursos:

• Estándares e Informática en la nube de NERC CIP
• Guía de implementación en la nube para auditorías de NERC

Entre las normas reglamentarias que se recomiendan para su examen por las organizaciones de energía se incluye el FedRAMP (Programa Federal de Gestión de Riesgos y Autorizaciones de los Estados Unidos), que se basa y aumenta en la norma NIST SP 800-53 Rev 4 (Instituto Nacional de Normas y Tecnología).

• A el Microsoft Office 365 y Office 365 del Gobierno de los Estados Unidos se le ha sido concedido una FedRAMP ATO (Autorización para Operar) en el Nivel de Impacto Moderado.
• Se ha concedido para Azure y Azure Government una FedRAMP Alta P-ATO (Autorización Provisional para Operar), que representa el nivel más alto de autorización de la FedRAMP.

Para obtener información sobre los servicios de nube de Microsoft y FedRAMP, consulte los siguientes recursos:

• Información general Microsoft FedRAMP
• Informes Office 365 FedRAMP

Estos logros son significativos para la industria de la energía porque una comparación entre el conjunto de control de FedRAMP Moderado y los requisitos CIP de NERC muestra que los controles de FedRAMP Moderado abarcan todos los requisitos CIP de NERC. Para obtener más información, Microsoft desarrolló una Guía de implementación de la nube para las auditorías del NERC que incluye un mapeo de control entre el conjunto actual de normas NERC CIP y el conjunto de control FedRAMP Moderado, como se documenta en NIST 800-53 Rev 4.

A medida que la industria energética busca modernizar sus plataformas de colaboración, se requiere una cuidadosa consideración para la configuración y el despliegue de las herramientas de colaboración y los controles de seguridad, incluyendo:

• Evaluación de los escenarios comunes de colaboración
• Acceso a los datos que necesitan los empleados para ser productivos
• Requisitos de cumplimiento normativo
• Riesgos asociados a los datos, los clientes y la organización

Microsoft 365 es un entorno en la nube de trabajo moderno. Proporciona una colaboración segura y flexible en toda la empresa, incluidos los controles y la aplicación de directivas para cumplir los marcos de cumplimiento normativo más estrictos. A través de los artículos siguientes, este artículo explora cómo Microsoft 365 ayuda a la industria energética a pasar a una plataforma de colaboración moderna, a la vez que ayuda a mantener los datos y los sistemas seguros y conformes a las normativas:

• Proporcionar una plataforma completa de colaboración con Microsoft Teams
• Proporcionar una colaboración segura y conforme a las normas en la industria energética
• Identificar los datos confidenciales y prevenir la pérdida de datos
• Gobernar los datos mediante la gestión eficaz de los registros
• Cumplir con los reglamentos de la FERC y la FTC para los mercados de energía
• Proteger contra la filtración de datos y el riesgo interno

Como partner de Microsoft, Protiviti contribuyó a este artículo y proporcionó comentarios sobre los materiales.

Proporcionar una plataforma completa de colaboración con Microsoft Teams

La colaboración suele requerir múltiples formas de comunicación, la capacidad de almacenar y acceder a documentos y la posibilidad de integrar otras aplicaciones según sea necesario. Ya sean empresas globales o empresas locales, los empleados del sector energético normalmente necesitan colaborar y comunicarse con miembros de otros departamentos o entre equipos. También suelen necesitar comunicarse con socios, proveedores o clientes externos. En consecuencia, no se suele recomendar el uso de sistemas que creen silos o dificulten el intercambio de información. Dicho esto, queremos asegurarnos de que los empleados compartan la información de forma segura y de acuerdo con la directiva.

Proporcionar a los empleados una plataforma de colaboración moderna y basada en la nube que les permita elegir e integrar fácilmente las herramientas que los hacen más productivos les permite encontrar las mejores formas de trabajar y colaborar. El uso de Microsoft Teams, junto con los controles de seguridad y las directivas de gobierno para proteger la organización, puede ayudar a su personal a colaborar fácilmente en la nube.

Microsoft Teams proporciona un centro de colaboración para que su organización una a las personas para trabajar juntas y colaborar en iniciativas o proyectos comunes. Permite a los miembros del equipo realizar conversaciones, colaborar y coautor de documentos. Permite a la gente almacenar y compartir archivos con los miembros del equipo o con aquellos fuera del equipo. También les permite celebrar reuniones en directo con voz y vídeo integrados de la empresa. Microsoft Teams puede personalizarse con un fácil acceso a las aplicaciones de Microsoft como Planner, Dynamics 365, Power BI y otras aplicaciones de línea de negocio de terceros. Los equipos simplifican el acceso a los servicios de Office 365 y a las aplicaciones de terceros para centralizar las necesidades de colaboración y comunicación de la organización.

Cada Microsoft Teams está respaldado por un grupo de Office 365. El grupo Office 365 es considerado el proveedor de pertenencia de los servicios de Office 365, incluyendo Microsoft Teams. Los Grupos de Office 365 se usan para controlar de forma segura qué usuarios se consideran miembros y cuáles son propietarios del grupo. Este diseño nos permite controlar fácilmente qué usuarios tienen acceso a distintas funcionalidades dentro de Teams. Como resultado, los miembros del equipo y los propietarios solo pueden acceder a las funcionalidades que se les permite usar.

Un escenario común en el que Microsoft Teams puede beneficiar a las organizaciones energéticas es la colaboración con contratistas o empresas externas como parte de un programa de servicio de campo como la gestión de la vegetación. Por lo general, los contratistas se dedican a gestionar la vegetación o quitar árboles alrededor de las instalaciones de sistemas de energía. A menudo necesitan recibir instrucciones de trabajo, comunicarse con distribuidores y otro personal de servicio de campo, tomar y compartir imágenes de entornos externos, cerrar la sesión cuando se complete el trabajo y compartir datos con la oficina central. Tradicionalmente, estos programas se ejecutan mediante teléfono, texto, pedidos de trabajo en papel o aplicaciones personalizadas. Este método puede presentar muchos desafíos. Por ejemplo:

• Los procesos son manuales o analógicos, lo que hace que las métricas sean difíciles de rastrear
• Las comunicaciones no se capturan en un solo lugar
• Los datos se almacenan en silos y no necesariamente se comparten con todos los empleados que los necesitan.
• Es posible que el trabajo no se realice de forma coherente o eficaz
• Las aplicaciones personalizadas no se integran con herramientas de colaboración, lo que dificulta extraer y compartir datos o medir el rendimiento.

Microsoft Teams puede proporcionar un espacio de colaboración fácil de usar para compartir información de forma segura y llevar a cabo conversaciones entre los miembros del equipo y los contratistas externos del servicio de campo. Los equipos pueden utilizarse para llevar a cabo reuniones, realizar llamadas de voz, almacenar y compartir de forma centralizada órdenes de trabajo, recopilar datos de campo, cargar fotos, integrarse con soluciones de procesos empresariales (construidas con Power Apps y Power Automate) e integrar aplicaciones de línea de negocio. Este tipo de datos de servicio de campo podría considerarse de bajo impacto; sin embargo, la eficiencia se puede obtener mediante la centralización de las comunicaciones y el acceso a los datos entre los empleados y el personal del servicio de campo en estos escenarios.

Otro ejemplo en el que Microsoft Teams puede beneficiar a la industria de la energía es cuando el personal de servicio de campo está trabajando para restaurar el servicio durante una interrupción. El personal de campo suele necesitar un acceso rápido a los datos esquemáticos de las subestaciones, las estaciones generadoras o los planos de los bienes de campo. Estos datos se consideran de alto impacto y deben ser protegidos de acuerdo con las regulaciones del NERC CIP. El trabajo del servicio de campo durante las interrupciones requiere la comunicación entre el personal de campo y los empleados de la oficina, y a su vez con los clientes finales. La centralización de las comunicaciones y el intercambio de datos en Microsoft Teams proporciona al personal sobre el terreno un método fácil tanto para acceder a los datos críticos como para comunicar la información o el estado a la oficina central. Por ejemplo, Microsoft Teams permite al personal de campo unirse a las llamadas de conferencia mientras se dirigen a una interrupción. El personal de campo también puede tomar fotos o vídeos de su entorno y compartirlos con la oficina central, lo que es especialmente importante cuando el equipo de campo no coincide con los esquemas. Los datos y el estado recopilados en el campo pueden entonces ser llevados a la superficie a los empleados de oficina y a los líderes a través de herramientas de visualización de datos como el Power BI. En última instancia, Microsoft Teams puede hacer que el personal de campo sea más eficiente y productivo en estas situaciones críticas.

Teams: mejorar la colaboración y reducir el riesgo de cumplimiento

Microsoft 365 proporciona capacidades de directiva común para Microsoft Teams a través de su uso de los Grupos de Office 365 como proveedor de membresía subyacente. Estas directivas pueden contribuir a mejorar la colaboración y ayudar a satisfacer las necesidades de cumplimiento.

Directivas de nombramiento de Grupo de Office 365 ayudan a asegurar que los Grupos de Office 365 y, por lo tanto, de Microsoft Teams, sean nombrados de acuerdo a la directiva corporativa. El nombre de un equipo puede presentar problemas si no se le nombra de forma apropiada. Por ejemplo, es posible que los empleados no sepan en qué equipos trabajar o compartir información si se les asigna un nombre incorrecto. Las directivas de nomenclatura de grupos ayudan a aplicar una buena higiene y también pueden impedir el uso de palabras específicas, como palabras reservadas o terminología inapropiada.

Office 365 directivas de expiración de grupos ayudan a garantizar que los grupos de Office 365 y, por lo tanto, Microsoft Teams, no se conserven durante períodos de tiempo más largos de los requeridos por la organización. Esta función ayuda a evitar dos problemas clave en la administración de información:

• La proliferación de Microsoft Teams que no es necesaria ni se usa
• La retención excesiva de datos que ya no son necesarios para la organización

Los administradores pueden especificar un período de caducidad en días para los Grupos de Office 365, como 90, 180 o 365 días. Si un servicio respaldado por un grupo de Office 365 está inactivo durante el período de expiración, los propietarios del grupo recibirán una notificación. Si no se lleva a cabo ninguna acción, se eliminará el grupo de Office 365 y todos sus servicios relacionados, incluidos los de Microsoft Teams.

La retención excesiva de datos en un equipo de Microsoft puede suponer riesgos de litigio para las organizaciones. El uso de directivas de expiración es un método recomendado para proteger la organización. En combinación con las etiquetas y directivas de retención incorporadas, Microsoft 365 ayuda a garantizar que las organizaciones sólo retengan los datos necesarios para cumplir con las obligaciones de cumplimiento normativo.

Teams: integrar requisitos personalizados con facilidad

Microsoft Teams permite la creación de equipos de autoservicio por defecto. Sin embargo, muchas organizaciones reguladas quieren controlar y comprender qué espacios de colaboración están siendo utilizados actualmente por los empleados, qué espacios contienen datos confidenciales y quiénes son los propietarios de los espacios en toda la organización. Para facilitar estos controles, Microsoft 365 permite a las organizaciones deshabilitar la creación de Teams autoservicio. Además, el uso de herramientas de automatización de procesos empresariales integradas de Microsoft 365, como Power Apps y Power Automate, permite a las organizaciones crear procesos sencillos para solicitar un nuevo equipo. Completando un formulario fácil de usar, un administrador puede solicitar automáticamente una aprobación. Una vez aprobado, el equipo puede ser aprovisionado automáticamente y se envía al solicitante un enlace a su nuevo equipo. Al establecer esos procesos, las organizaciones pueden también integrar requisitos personalizados para facilitar otros procesos comerciales.

Proporcionar una colaboración segura y conforme a las normas en la industria energética

Como se mencionó, Microsoft Office 365 y Office 365 gobierno de los Estados Unidos han alcanzado FedRAMP ATO en el nivel de impacto moderado. Azure y Azure Government han logrado un FedRAMP High P-ATO, que representa el nivel más alto de autorización de FedRAMP. Además, el conjunto de control moderado de la FedRAMP abarca todos los requisitos del CIP del NERC, lo que permite a las organizaciones de la industria energética ("entidades registradas") aprovechar las autorizaciones existentes de la FedRAMP como un enfoque escalable y eficiente para abordar los requisitos de auditoría del NERC. Sin embargo, es importante tener en cuenta que FedRAMP no es una certificación puntual, sino un programa de evaluación y autorización que incluye disposiciones para la supervisión continua. Aunque esta disposición se aplica principalmente al CSP, los clientes de Microsoft que operan sistemas eléctricos masivos son responsables de garantizar su propio cumplimiento con los estándares NERC CIP. Por lo general, es una práctica recomendada supervisar continuamente la posición de cumplimiento de la organización para ayudar a garantizar el cumplimiento continuo de las regulaciones.

Microsoft proporciona una herramienta clave que ayuda a controlar el cumplimiento de las normas a lo largo del tiempo:

• El Administrador de cumplimiento de Microsoft Purview ayuda a la organización a comprender su posición de cumplimiento y las medidas que puede adoptar para ayudar a mejorar dicha posición. El Administrador de cumplimiento calcula una puntuación basada en el riesgo que mide el progreso en la realización de acciones que ayuden a reducir los riesgos relacionados con la protección de datos y las normas reglamentarias. El Administrador de cumplimiento proporciona una puntuación inicial basada en la línea de base de protección de datos de Microsoft 365. Esta línea de base es un conjunto de controles que incluyen reglamentos y normas comunes de la industria. Si bien esta puntuación es un buen punto de partida, el Administrador de cumplimiento resulta más eficaz una vez que una organización agrega evaluaciones que son más relevantes para su industria. El Administrador de cumplimiento admite una serie de normas reglamentarias que son relevantes para las obligaciones de cumplimiento NERC CIP, entre ellas el Conjunto de control moderado FedRAMP, NIST 800-53 Rev. 4 yAICPA SOC 2. Las organizaciones del sector energético también pueden crear o importar conjuntos de control personalizados si es necesario.

Las capacidades de flujo de trabajo incorporadas en el Administrador de cumplimiento permiten a las organizaciones de energía transformar y digitalizar sus procesos de cumplimiento normativo. Tradicionalmente, los equipos de cumplimiento de la industria energética se enfrentan a los siguientes desafíos:

• No se informa ni se hace un seguimiento coherente de los progresos realizados en las medidas de reparación
• Procesos ineficientes o ineficaces
• Recursos insuficientes o falta de propiedad
• La falta de información en tiempo real y el error humano

Al automatizar los aspectos de los procesos de cumplimiento normativo mediante el uso del Administrador de cumplimiento, las organizaciones pueden reducir la carga administrativa de las funciones jurídicas y de cumplimiento. Este instrumento puede ayudar a hacer frente a esos problemas proporcionando información más actualizada sobre las medidas de reparación, una presentación de informes más consistente y una propiedad documentada de las medidas que esté vinculada a la aplicación de las mismas. Las organizaciones pueden hacer un seguimiento automático de las medidas de reparación a lo largo del tiempo y ver el aumento de la eficiencia general. Esta característica permite al personal centrar más esfuerzo en obtener información y desarrollar estrategias para ayudar a navegar por el riesgo de forma más eficaz.

El Administrador de cumplimiento no expresa una medida absoluta del cumplimiento de la organización con ningún estándar o reglamento determinado. Expresa el grado en el que se han adoptado controles, lo cual puede reducir los riesgos de los datos personales y de la privacidad individual. Las recomendaciones del Administrador de cumplimiento no deben interpretarse como una garantía de cumplimiento. Las acciones de cliente que se proporcionan en el administrador de cumplimiento son recomendaciones. Depende de cada organización evaluar la eficacia de estas recomendaciones para cumplir sus obligaciones normativas antes de la implementación. Las recomendaciones que se encuentran en el Administrador de cumplimiento no deben interpretarse como una garantía de cumplimiento.

Muchos de los controles relacionados con la seguridad cibernética están incluidos en el Conjunto de referencia moderado FedRAMP y en los estándares NERC CIP. Sin embargo, los controles clave relacionados con la plataforma Microsoft 365 incluyen controles de administración de seguridad (CIP-003-6), administración de cuentas y acceso/revocación de acceso (CIP-004-6), perímetro de seguridad electrónica (CIP-005-5), supervisión de eventos de seguridad y respuesta a incidentes (CIP-008-5). Las siguientes funcionalidades fundamentales de Microsoft 365 ayudan a abordar los riesgos y requisitos incluidos en estos artículos.

Identidades de usuario seguras y control de acceso

La protección del acceso a los documentos y aplicaciones comienza con una fuerte seguridad de las identidades de los usuarios. Como base, esta acción requiere proporcionar una plataforma segura para que la empresa almacene y administre identidades y proporcione un medio de autenticación de confianza. También requiere controlar dinámicamente el acceso a estas aplicaciones. A medida que los empleados trabajan, pueden pasar de la aplicación a la aplicación o a varias ubicaciones y dispositivos. Como resultado, el acceso a los datos debe ser autenticado en cada paso del camino. Además, el proceso de autenticación debe admitir un protocolo seguro y varios factores de autenticación (código de paso sms único, aplicación autenticadora, certificado, etc.) para asegurarse de que las identidades no se han puesto en peligro. Por último, la aplicación de directivas de acceso basadas en los riesgos es una recomendación fundamental para proteger los datos y las aplicaciones de las amenazas internas, las fugas de datos involuntarias y la filtración de datos.

Microsoft 365 proporciona una plataforma de identificación segura con Microsoft Entra ID donde las identidades se almacenan de forma centralizada y se administran de forma segura. Microsoft Entra ID, junto con un host de servicios de seguridad de Microsoft 365 relacionados, constituye la base para proporcionar a los empleados el acceso que necesitan para trabajar de forma segura y, al mismo tiempo, proteger a la organización frente a amenazas.

Microsoft Entra autenticación multifactor (MFA) está integrada en la plataforma y proporciona una capa adicional de protección para ayudar a garantizar que los usuarios son quienes dicen que son al acceder a datos confidenciales y aplicaciones. Microsoft Entra autenticación multifactor requiere al menos dos formas de autenticación, como una contraseña y un dispositivo móvil conocido. Admite varias opciones de autenticación de segundo factor, entre ellas: la aplicación Microsoft Authenticator, un código de acceso de un solo uso que se entrega por SMS, la recepción de una llamada telefónica en la que el usuario debe introducir un PIN y las tarjetas inteligentes o la autenticación basada en certificados. En caso de que una contraseña se vea comprometida, un potencial hacker todavía necesita el teléfono del usuario para acceder a los datos de la organización. Además, Microsoft 365 utiliza la Autenticación moderna como protocolo clave, aportando la misma experiencia de autenticación fuerte de los navegadores web a las herramientas de colaboración, incluyendo las aplicaciones de Microsoft Outlook y Microsoft Office.

Microsoft Entra acceso condicional proporciona una solución sólida para automatizar las decisiones de control de acceso y aplicar directivas para proteger los recursos de la empresa. Un ejemplo común es cuando un empleado intenta acceder a una aplicación que contiene datos confidenciales del cliente y se les requiere automáticamente para realizar una autenticación multifactor. El acceso condicional de Azure reúne señales de la solicitud de acceso de un usuario (como propiedades sobre el usuario, su dispositivo, ubicación, red y la aplicación o el repositorio al que intenta acceder). Evalúa dinámicamente cada intento de acceso a la aplicación contra las directivas configuradas. Si el riesgo de usuario o dispositivo está elevado o si no se cumplen otras condiciones, Microsoft Entra ID aplica automáticamente la directiva (por ejemplo, exigir MFA dinámicamente, restringir o incluso bloquear el acceso). Este diseño ayuda a garantizar que los recursos confidenciales están protegidos en entornos que cambian dinámicamente.

Microsoft Defender para Office 365 ofrece un servicio integrado para proteger a las organizaciones de los enlaces maliciosos y el malware que se envía por correo electrónico. Uno de los vectores de ataque más comunes que afectan a los usuarios en la actualidad es los ataques de suplantación de identidad por correo electrónico. Estos ataques pueden ser cuidadosamente dirigidos a empleados específicos de alto perfil y pueden ser elaborados para ser muy convincentes. Normalmente contienen alguna llamada a la acción que requiere que un usuario seleccione un vínculo malintencionado o abra un archivo adjunto con malware. Una vez infectado, un atacante puede robar las credenciales de un usuario y moverse lateralmente a través de la organización. También pueden filtrar correos electrónicos y datos en busca de información sensible. Microsoft Defender para Office 365 evalúa los vínculos en el momento de hacer clic en sitios potencialmente malintencionados y los bloquea. Los archivos adjuntos de los correos electrónicos se abren en un entorno protegido antes de entregarlos al buzón del usuario.

Microsoft Defender para Aplicaciones en la nube proporciona a las organizaciones la capacidad de aplicar directivas a un nivel granular. Este diseño incluye la detección de anomalías de comportamiento basadas en perfiles de usuario individuales que se definen automáticamente mediante Machine Learning. Defender for Cloud Apps compila en las directivas de Azure Conditional Access, evaluando señales adicionales relacionadas con el comportamiento del usuario y las propiedades de los documentos a los que se accede. Con el tiempo, Defender for Cloud Apps aprende el comportamiento habitual para cada empleado (los datos a los que acceden y a las aplicaciones que usan). Basándose en los patrones de comportamiento aprendidos, las directivas pueden hacer cumplir automáticamente los controles de seguridad si un empleado se sale de ese perfil de comportamiento. Por ejemplo, si un empleado normalmente accede a una aplicación de contabilidad de 9:00 a 5:00 p.m., de lunes a viernes, pero ese mismo usuario comienza a acceder a esa aplicación en gran medida un domingo por la noche, Defender for Cloud Apps puede aplicar dinámicamente directivas para requerir que el usuario vuelva a autenticarse. Este requisito ayuda a garantizar que las credenciales no se hayan puesto en peligro. Además, Defender for Cloud Apps puede ayudar a descubrir e identificar Shadow IT en la organización. Esta característica ayuda a los equipos de InfoSec a garantizar que los empleados usen herramientas autorizadas al trabajar con datos confidenciales. Por último, Defender for Cloud Apps puede proteger datos confidenciales en cualquier lugar de la nube, incluso fuera de la plataforma de Microsoft 365. Permite a las organizaciones autorizar (o no autorizar) aplicaciones externas específicas en la nube, controlando el acceso y la supervisión cuando los usuarios trabajan en esas aplicaciones.

Microsoft Entra ID y los servicios de seguridad de Microsoft 365 relacionados proporcionan la base sobre la que se puede implementar una plataforma de colaboración en la nube moderna para las organizaciones del sector energético. Microsoft Entra ID incluye controles para proteger el acceso a datos y aplicaciones. Además de proporcionar una gran seguridad, estos controles ayudan a las organizaciones a cumplir las obligaciones de cumplimiento normativo.

Microsoft Entra ID y los servicios de Microsoft 365, están profundamente integrados y proporcionan las siguientes funcionalidades importantes:

• Almacenar centralmente y administrar de forma segura las identidades de los usuarios
• Uso de un protocolo de autenticación seguro, incluida la autenticación multifactor, para autenticar a los usuarios en las solicitudes de acceso
• Proporcionar una experiencia de autenticación consistente y sólida en cualquier aplicación
• Validar dinámicamente las directivas en todas las solicitudes de acceso, al incorporar múltiples señales en el proceso de toma de decisiones de la directiva, como la identidad, la pertenencia de usuarios y grupos, la aplicación, el dispositivo, la red, la ubicación y la puntuación de riesgo en tiempo real.
• Validar las directivas pormenorizada basadas en el comportamiento del usuario y las propiedades de los archivos y aplicar dinámicamente medidas de seguridad adicionales cuando sea necesario
• Identificar shadow IT en la organización y permitir que los equipos de InfoSec sancionen o bloqueen las aplicaciones en la nube
• Monitorear y controlar el acceso a las aplicaciones en la nube de Microsoft y de otros fabricantes.
• Proteger pro activamente contra el suplantación de identidad de correo electrónico y los ataques de ransomware

Identificar los datos confidenciales y prevenir la pérdida de datos

El Conjunto de control moderado FedRAMP y las normas CIP del NERC también incluyen la protección de la información como un requisito de control clave (CIP-011-2). Estos requisitos tratan específicamente la necesidad de identificar la información relacionada con la información del sistema cibernético BES (Sistema eléctrico masivo), la protección y el tratamiento seguro de esa información, incluidos el almacenamiento, el tránsito y el uso. Algunos ejemplos específicos de información del sistema cibernético BES pueden incluir procedimientos de seguridad o información de seguridad sobre sistemas que son fundamentales para operar el sistema eléctrico en masa (sistemas cibernéticos BES, sistemas de Access Control físicos y sistemas electrónicos de Access Control o supervisión) que no están disponibles públicamente y podrían usarse para permitir el acceso no autorizado o la distribución no autorizada. Sin embargo, existe la misma necesidad de identificar y proteger la información de los clientes que es fundamental para las operaciones cotidianas de las organizaciones de energía.

Microsoft 365 permite que los datos sensibles sean identificados y protegidos dentro de la organización a través de una combinación de poderosas capacidades, incluyendo:

• Information Protection de Microsoft Purview para la clasificación basada en el usuario como y para la clasificación automatizada de datos confidenciales

• Prevención de pérdida de datos de Microsoft Purview (DLP) para la identificación automatizada de datos confidenciales mediante tipos de datos confidenciales (es decir, expresiones regulares) y palabras clave, y la aplicación de directivas

Information Protection de Microsoft Purview permite a los empleados clasificar documentos y correos electrónicos con etiquetas de confidencialidad. Los usuarios pueden aplicar manualmente etiquetas de confidencialidad a los documentos de las aplicaciones de Microsoft Office y a los correos electrónicos de Microsoft Outlook. Las etiquetas de sensibilidad pueden aplicar automáticamente marcas en los documentos, protección a través de la encriptación, y hacer cumplir la administración de derechos. Las etiquetas de confidencialidad también se pueden aplicar automáticamente mediante la configuración de directivas que usan palabras clave y tipos de datos confidenciales (números de tarjeta de crédito, números de seguridad social, números de identidad, etc.).

Microsoft también proporciona clasificadores entrenables. Estos usan modelos de aprendizaje automático para identificar datos confidenciales en función de lo que el contenido es, en lugar de, simplemente, mediante la coincidencia de patrones o por los elementos de dentro del contenido. Un clasificador aprende cómo identificar un tipo de contenido al revisar muchos ejemplos del contenido que se va a clasificar. La formación de un clasificador comienza por proporcionarle ejemplos de contenido dentro de una categoría particular. Una vez que procesa los ejemplos, el modelo se prueba proporcionándole una mezcla de ejemplos coincidentes y no coincidentes. El clasificador predice entonces si un ejemplo dado entra en la categoría o no. Después, una persona confirma los resultados, ordenando los positivos, negativos, falsos positivos y falsos negativos para ayudar a aumentar la precisión de las predicciones del clasificador. Cuando se publica el clasificador entrenado, procesa y clasifica automáticamente el contenido en SharePoint Online, Exchange Online y OneDrive.

Al aplicar etiquetas de confidencialidad a documentos y correos electrónicos, se insertan metadatos dentro del objeto que identifica la confidencialidad elegida, lo que permite que la confidencialidad viaje con los datos. Como resultado, incluso si un documento etiquetado se almacena en el escritorio de un usuario o dentro de un sistema local, sigue estando protegido. Este diseño permite a otras soluciones de Microsoft 365, como Microsoft Defender for Cloud Apps o dispositivos perimetrales de red, identificar datos confidenciales y aplicar automáticamente controles de seguridad. Las etiquetas de confidencialidad tienen la ventaja adicional de informar a los empleados sobre los datos de una organización que se consideran confidenciales y cómo tratar esos datos.

Prevención de pérdida de datos de Microsoft Purview (DLP) identifica automáticamente documentos, correos electrónicos y conversaciones que contienen datos confidenciales mediante el examen de estos elementos en busca de tipos de datos confidenciales y, a continuación, la aplicación de directivas en esos objetos. Las directivas se aplican a los documentos dentro de SharePoint y OneDrive para la Empresa. Las directivas se aplican también cuando los usuarios envían un correo electrónico y, en Microsoft Teams, dentro del chat y las conversaciones de canal. Las directivas pueden configurarse para buscar palabras clave, tipos de datos confidenciales, etiquetas de retención y si los datos se comparten dentro de la organización o externamente. Se proporcionan controles para ayudar a las organizaciones a perfeccionar las directivas de DLP para evitar de una mejor forma los falsos positivos. Cuando se encuentran datos confidenciales, se pueden mostrar sugerencias de directiva personalizables a los usuarios dentro de las aplicaciones de Microsoft 365. Las sugerencias de directiva informan a los usuarios de que su contenido contiene datos confidenciales y pueden proponer acciones correctivas. Las directivas también pueden impedir que los usuarios accedan a documentos, compartan documentos o envíen mensajes de correo electrónico que contengan determinados tipos de datos confidenciales. Microsoft 365 admite unos 100 tipos de datos confidenciales integrados. Las organizaciones pueden configurar tipos de datos confidenciales personalizados para cumplir con sus directivas.

Implementar directivas de Information Protection de Microsoft Purview y DLP para las organizaciones requiere una planeación cuidadosa. También requiere educar al usuario para que los empleados comprendan el esquema de clasificación de datos de la organización y qué tipos de datos son confidenciales. Proporcionando a los empleados herramientas y programas de educación que les ayuden a identificar datos confidenciales y a entender cómo manejarlos, los hace parte de la solución para mitigar los riesgos de seguridad de la información.

Gobernar los datos mediante la gestión eficaz de los registros

Los reglamentos exigen a muchas organizaciones que administren la retención de los documentos clave de la organización de acuerdo con un calendario de retención empresarial gestionado. Las organizaciones se enfrentan a riesgos de cumplimiento de la normativa si los datos se retienen insuficientemente (se eliminan demasiado pronto), o a riesgos jurídicos si los datos se retienen en exceso (se conservan demasiado tiempo). Las estrategias eficaces de administración de registros ayudan a garantizar que los documentos de la organización se conserven de acuerdo con períodos de retención predeterminados, concebidos para reducir al mínimo el riesgo para la organización. Los períodos de retención se prescriben en una programación de retención de registros de la organización administrados de forma centralizada. Los períodos de retención se basan en la naturaleza de cada tipo de documento, los requisitos de cumplimiento normativo para retener tipos específicos de datos y en las directivas definidas de la organización.

La asignación de períodos de retención de registros con precisión en los documentos de la organización puede requerir un proceso granular que asigne períodos de retención de forma única a documentos individuales. La aplicación de directivas de retención de registros a gran escala puede ser difícil por muchas razones. Estas razones incluyen el gran número de documentos dentro de las organizaciones del sector de la energía, junto con el hecho de que, en muchos casos, los períodos de retención pueden desencadenarse por eventos organizativos (como contratos que expiran o un empleado que deja la organización).

Microsoft 365 proporciona funciones para definir etiquetas de retención y directivas para implementar fácilmente los requisitos de administración de registros. Un administrador de registros define una etiqueta de retención que representa un "tipo de registro" en una programación de retención tradicional. La etiqueta de retención contiene ajustes que definen:

• Cuánto tiempo es retenido un registro por
• Los requisitos de concurrencia o lo que ocurre cuando expira el período de retención (suprimir el documento, iniciar una revisión de la disposición o no tomar ninguna medida)
• Lo que desencadena el inicio del período de retención (fecha de creación, última fecha de modificación, fecha etiquetada o un evento), y
• Si el documento o correo electrónico es un registro (lo que significa que no se puede editar ni eliminar)

Las etiquetas de retención se publican en los sitios de SharePoint o OneDrive, en los buzones de Exchange y en los Grupos de Office 365. A continuación, los usuarios pueden aplicar etiquetas de retención manualmente a documentos y correos electrónicos. O bien, los administradores de registros pueden usar reglas para aplicar automáticamente etiquetas de retención. Las reglas de auto aplicación pueden basarse en palabras clave o en datos confidenciales que se encuentran en documentos o correos electrónicos, como números de tarjetas de crédito, números de seguridad social u otra información de identificación personal (PII). Las reglas de aplicación automática también pueden basarse en metadatos de SharePoint.

El Conjunto de control moderado FedRAMP y las normas CIP del NERC también incluyen la reutilización y eliminación de activos como un requisito de control clave (CIP-011-2). Estos requisitos, una vez más, se refieren específicamente a la información del Sistema cibernético BES (Sistemas de generación eléctrica masiva). Sin embargo, otras regulaciones jurisdiccionales requieren que las organizaciones de la industria energética administren y eliminen registros de forma eficaz para muchos tipos de información. Esta información incluye estados financieros, información sobre proyectos de capital, presupuestos, datos de clientes, etc. En todos los casos, se exige a las organizaciones de energía que mantengan programas sólidos de administración de registros y pruebas relacionadas con la disposición justificada de los registros corporativos.

Con cada etiqueta de retención, Microsoft 365 permite a los administradores de registros determinar si se requiere una revisión para eliminación. Luego, cuando esos tipos de registros se someten a disposición, una vez expirado su período de retención, los revisores designados para la disposición deben realizar una revisión antes de que se elimine el contenido. Una vez aprobada la revisión de eliminación, se procede a la eliminación de contenido. Sin embargo, la evidencia de la eliminación (el usuario que realizó la eliminación y la fecha y hora en que se produjo) se conserva durante varios años como certificado de destrucción. Si las organizaciones requieren una retención más larga o permanente de certificados de destrucción, pueden usar Microsoft Sentinel para el almacenamiento a largo plazo basado en la nube de datos de registro y auditoría. Microsoft Sentinel da a las organizaciones un control total sobre el almacenamiento y la retención a largo plazo de los datos de actividad, los datos de registro y los datos de retención o eliminación.

Cumplir con los reglamentos de la FERC y la FTC para los mercados de energía

La Comisión federal reguladora de la energía de los Estados Unidos (FERC) supervisalas regulaciones relacionadas con los mercados de energía y el comercio para los mercados de energía eléctrica y gas natural. La Comisión federal de comercio de los Estados Unidos (FTC) supervisa similaresregulaciones en el mercado petrolífero. En ambos casos, esos órganos reguladores establecen normas y directrices para prohibir la manipulación del mercado de la energía. La FERC, por ejemplo, recomienda que las organizaciones de energía inviertan en recursos tecnológicos para vigilar el comercio, las comunicaciones con los comerciantes y el cumplimiento de los controles internos. Los reguladores también recomiendan que las organizaciones de energía evalúen periódicamente la eficacia del programa de cumplimiento de la organización.

Tradicionalmente, las soluciones de monitoreo de las comunicaciones son costosas y pueden ser complejas de configurar y administrar. Además, las organizaciones pueden tener dificultades para vigilar los muchos y variados canales de comunicación de que disponen los empleados. Microsoft 365 proporciona varias capacidades sólidas incorporadas para monitorear las comunicaciones de los empleados, supervisar las actividades de los empleados y ayudar a cumplir con las regulaciones de la FERC para los mercados de energía.

Implementar el control de supervisión

Microsoft 365 permite a las organizaciones configurar directivas de supervisión que capturan las comunicaciones de los empleados (basadas en condiciones configuradas) y permiten que éstas sean revisadas por los supervisores designados. Las directivas de supervisión pueden capturar correos electrónicos y archivos adjuntos internos o externos, comunicaciones de chat y canales de comunicación de Microsoft Teams, comunicaciones de chat y archivos adjuntos de Skype Empresarial Online y las comunicaciones a través de servicios de terceros (como Facebook o Dropbox).

La naturaleza completa de las comunicaciones que se pueden capturar y revisar dentro de una organización y las amplias condiciones con las que se pueden configurar las directivas permiten a las directivas de supervisión de Microsoft 365 ayudar a las organizaciones a cumplir con las regulaciones del mercado energético de FERC. Las directivas de supervisión pueden configurarse para revisar las comunicaciones de personas o grupos. Además, los supervisores se pueden configurar para ser individuos o grupos. Se pueden configurar condiciones exhaustivas para capturar las comunicaciones en función de los mensajes de entrada o salida, dominios, etiquetas de retención, palabras clave o expresiones, diccionarios de palabras clave, tipos de datos confidenciales, datos adjuntos, el tamaño del mensaje o el tamaño del archivo adjunto. Los revisores disponen de un tablero en el que pueden revisar las comunicaciones marcadas, actuar sobre las comunicaciones que potencialmente violan las directivas o marcar los elementos marcados como resueltos. También pueden revisar los resultados de las revisiones y los elementos anteriores que se han resuelto.

Microsoft 365 proporciona informes que permiten auditar las actividades de revisión de la política de supervisión en base a la política y al revisor. Los informes disponibles pueden utilizarse para validar que las directivas de supervisión funcionan, según lo definido por las directivas de supervisión escritas de las organizaciones. Los informes también se pueden usar para identificar las comunicaciones que requieren revisión, incluidas las comunicaciones que no son compatibles con la directiva corporativa. Por último, todas las actividades relacionadas con la configuración de las directivas de supervisión y el examen de las comunicaciones se auditan en el registro unificado de auditoría de Office 365.

Las directivas de supervisión de Microsoft 365 permiten que las organizaciones supervisen las comunicaciones para el cumplimiento de las directivas corporativas, como las violaciones de acoso de recursos humanos y el lenguaje ofensivo en las comunicaciones de la empresa. También permite a las organizaciones reducir el riesgo, al supervisar las comunicaciones cuando las organizaciones están experimentando cambios organizativos delicados, como fusiones y adquisiciones, o cambios de dirección.

Cumplimiento de las comunicaciones

Con muchos canales de comunicación a disposición de los empleados, las organizaciones requieren cada vez más soluciones eficaces para detectar e investigar las comunicaciones en sectores regulados, como los mercados de comercio de energía. Estos desafíos pueden incluir un número creciente de canales de comunicación y de volumen de mensajes, además del riesgo de posibles multas por infracciones de directivas.

Cumplimiento de comunicaciones de Microsoft Purview es una solución de cumplimiento que ayuda a minimizar los riesgos de comunicación, ya que le ayuda a detectar, investigar y actuar sobre mensajes inadecuados en su organización. Las directivas personalizadas y predefinidas le permiten examinar las comunicaciones internas y externas para ver las coincidencias de directivas y que los revisores designados puedan examinarlas. Los revisores pueden investigar el correo electrónico digitalizado, Microsoft Teams, Viva Engage o comunicaciones de terceros en su organización y realizar las acciones adecuadas para asegurarse de que cumplen los estándares de mensajes de su organización.

El cumplimiento de las comunicaciones ayuda a los equipos de cumplimiento a revisar de forma eficaz y eficiente los mensajes para detectar posibles violaciones de:

• Directivas corporativas, como el uso aceptable, normas éticas y las directivas específicas de las empresas
• confidencialidad o divulgación de negocios confidenciales, como comunicaciones no autorizadas sobre proyectos confidenciales como próximas adquisiciones, fusiones, divulgación de ganancias, reorganizaciones o cambios en el equipo directivo
• requisitos de cumplimiento de la normativa, como las comunicaciones de los empleados relativas a los tipos de negocios o transacciones en los que una organización participa en el cumplimiento de los reglamentos de la FERC para los mercados de energía

El Cumplimiento de comunicaciones proporciona clasificadores de amenaza, acoso y blasfemia incorporados para ayudar a reducir los falsos positivos cuando se revisan las comunicaciones. Esta clasificación ahorra tiempo a los revisores durante el proceso de investigación y corrección. Ayuda a los revisores a centrarse en mensajes específicos dentro de los largos hilos que han sido destacados por las alertas de directiva. Este resultado ayuda a los equipos de cumplimiento a identificar y corregir los riesgos más rápidamente. Proporciona a los equipos de cumplimiento la capacidad de configurar y ajustar fácilmente las directivas, ajustando la solución a las necesidades específicas de la organización y reduciendo los falsos positivos. El Cumplimiento de comunicaciones también puede ayudar a identificar el comportamiento potencialmente peligroso de los usuarios a lo largo del tiempo, resaltando los posibles patrones de comportamiento de riesgo o infracciones de directivas. Por último, proporciona flujos de trabajo de corrección integrados flexibles. Estos flujos de trabajo ayudan a los revisores a tomar medidas rápidamente para escalar a equipos legales o de recursos humanos de acuerdo con procesos corporativos definidos.

Protegerse contra la exfiltración de datos y los riesgos internos

Un peligro común para las empresas es la exfiltración de datos o el acto de extraer datos de una organización. Esta acción puede ser una preocupación importante para las organizaciones energéticas debido a la naturaleza confidencial de la información a la que pueden acceder los empleados o el personal del servicio de campo día a día. Estos datos incluyen tanto la información del Sistema cibernético BES (Sistema eléctrico masivo) como la información relacionada con los negocios y los datos de los clientes. Con el aumento de los métodos de comunicación disponibles y las muchas herramientas para trasladar datos que hay, se suelen necesitar instrumentos avanzados para mitigar los riesgos de fugas de datos, violaciones de las directivas y riesgos internos.

Administración de riesgos internos

La habilitación de empleados con herramientas de colaboración en línea a las que se puede acceder en cualquier lugar conlleva un riesgo inherente para una organización. Los empleados pueden filtrar datos de forma involuntaria o malintencionada a atacantes o competidores. Como alternativa, podrían filtrar datos para uso personal o llevar datos con ellos a un futuro empleador. Estos escenarios presentan graves riesgos para las organizaciones desde el punto de vista de la seguridad y el cumplimiento. Identificar estos riesgos cuando se producen y mitigarlos rápidamente requiere herramientas inteligentes para la recopilación de datos y colaboración entre departamentos como los departamentos legal, de seguridad de la información y de Recursos Humanos.

La Administración de riesgos internos de Microsoft Purview es una solución de cumplimiento que ayuda a minimizar los riesgos internos, ya que le permite detectar, investigar y actuar en actividades malintencionadas e involuntarias en su organización. Las directivas de riesgos internos le permiten definir los tipos de riesgos a identificar y detectar en su organización, incluida la acción sobre casos y la elevación de casos a Microsoft eDiscovery (Premium) si es necesario. Los analistas de riesgo de su organización pueden tomar rápidamente las medidas adecuadas para asegurarse de que los usuarios cumplen los estándares de cumplimiento de su organización.

Por ejemplo, la administración de riesgos internos puede correlacionar señales de los dispositivos de un usuario (como la copia de archivos en una unidad USB o el envío de un correo electrónico a una cuenta de correo electrónico personal) con actividades de servicios en línea (como el correo electrónico de Office 365, SharePoint Online, Microsoft Teams o OneDrive para la Empresa) para identificar patrones de filtración de datos. También puede correlacionar estas actividades con los empleados que abandonan la organización, lo cual es un patrón de comportamiento común asociado con la filtración de datos. Puede detectar varias actividades y comportamientos potencialmente peligrosos a lo largo del tiempo. Cuando surgen patrones comunes, se pueden generar alertas y ayudar a los investigadores a centrarse en las actividades clave para comprobar la violación de la directiva con un alto grado de confianza. La gestión de riesgos internos también puede ocultar datos de los investigadores para ayudar a cumplir las normas de confidencialidad de los datos, al tiempo que se siguen descubriendo actividades clave que les ayuden a realizar investigaciones de manera eficiente. Cuando está listo, permite a los investigadores empaquetar y enviar de forma segura datos de actividades clave a los departamentos de recursos humanos y jurídicos, siguiendo los flujos de trabajo comunes de escalación para plantear casos para la adopción de medidas correctivas.

La administración de riesgos internos supone un aumento significativo de las capacidades de Microsoft 365 para detectar e investigar los riesgos internos, al tiempo que permite a las organizaciones seguir cumpliendo las normas de confidencialidad de los datos y seguir las rutas de escalación establecidas cuando los casos requieren medidas de mayor nivel.

Conclusión

Microsoft 365 proporciona una solución integrada y completa que permite una colaboración fácil de usar basada en la nube en toda la empresa con Microsoft Teams. Microsoft Teams también permiten una mejor comunicación y colaboración con el personal de los servicios sobre el terreno, lo que ayuda a las organizaciones de energía a ser más eficientes y eficaces. Una mejor colaboración en toda la empresa y con el personal de campo puede, en última instancia, ayudar a las organizaciones de energía a prestar un mejor servicio a los clientes.

Las organizaciones de la industria energética deben cumplir con regulaciones estrictas relacionadas con la forma en que almacenan, aseguran, administran y retienen la información relacionada con sus operaciones y clientes. También deben cumplir con los reglamentos relacionados con la forma en que vigilan e impiden la manipulación de los mercados de energía.. Microsoft 365 proporciona sólidos controles de seguridad para proteger los datos, las identidades, los dispositivos y las aplicaciones de los riesgos y cumplir con las estrictas regulaciones de la industria energética. Se proporcionan herramientas incorporadas para ayudar a las organizaciones de energía a evaluar su cumplimiento, así como a tomar medidas y hacer un seguimiento de las actividades de reparación a lo largo del tiempo. Estos instrumentos también proporcionan métodos fáciles de usar para vigilar y supervisar las comunicaciones. La plataforma Microsoft 365 se basa en componentes fundamentales como Microsoft Azure y Microsoft Entra ID, lo que ayuda a proteger la plataforma general y a ayudar a la organización a cumplir los requisitos de cumplimiento para los conjuntos de control FedRAMP Moderado y Alto. Este diseño, a su vez, contribuye a la capacidad de una organización energética para cumplir con los estándares CIP de NERC.

En general, Microsoft 365 ayuda a las organizaciones de energía a proteger mejor la organización, a tener programas de cumplimiento más sólidos y a permitir que el personal se centre en obtener mejores conocimientos e implementar estrategias para mejorar la reducción de riesgo.