Energiateollisuuden keskeiset vaatimustenmukaisuuteen ja turvallisuuteen liittyvät seikat

Kuva-vertauskuva maailmanlaajuiselle näkemykselle eri teollisuudenaloista, jotka käyttävät pilvipalvelua.

Johdanto

Energiateollisuus tarjoaa yhteiskunnalle polttoainetta ja kriittistä infrastruktuuria, joihin ihmiset luottavat päivittäin. Joukkovoimajärjestelmiin liittyvän infrastruktuurin luotettavuuden varmistamiseksi sääntelyviranomaiset asettavat tiukat standardit energiateollisuuden organisaatioille. Nämä sääntelystandardit eivät liity ainoastaan sähköntuotantoon ja siirtämiseen, vaan myös tietoihin ja viestintään, jotka ovat kriittisiä energiayhtiöiden päivittäiselle toiminnalle.

Energiateollisuuden organisaatiot käyttävät ja vaihtavat monentyyppisiä tietoja osana säännöllistä toimintaansa. Näitä tietoja ovat asiakastiedot, pääomatekniikan suunnitteludokumentaatio, resurssien sijaintikartat, projektinhallinnan artefaktit, suorituskykymittarit, kenttäpalveluraportit, ympäristötiedot ja suorituskykymittarit. Koska nämä organisaatiot pyrkivät muuttamaan toimintonsa ja yhteistyöjärjestelmänsä nykyaikaisiksi digitaalisiksi alustoiksi, ne haluavat Microsoftin olevan luotettu pilvipalveluntarjoaja (CSP) ja Microsoft 365:n paras rotujen mukainen yhteistyöympäristö. Koska Microsoft 365 on luotu Microsoft Azure -ympäristössä, organisaatioiden tulee tarkastella molempia ympäristöjä, koska ne harkitsevat vaatimustenmukaisuuden ja suojauksen hallintaa pilvipalveluun siirryttäessä.

Pohjois-Amerikka Pohjois-Amerikka Electric Reliability Corporation (NERC) valvoo luotettavuusstandardeja, joita kutsutaan NERC Critical Infrastructure Protection (CIP) -standardeiksi. NERC:tä valvovat Yhdysvaltain liittovaltion energia-alan sääntelykomissio (FERC) ja Kanadan valtion viranomaiset. Kaikkien joukkosähköjärjestelmän omistajien, operaattoreiden ja käyttäjien on rekisteröidyttävä NERC:n kanssa, ja niiden on noudatettava NERC CIP -standardeja. Pilvipalveluntarjoajat ja kolmannen osapuolen toimittajat, kuten Microsoft, eivät ole NERC CIP -standardien alaisia. CIP-standardit sisältävät kuitenkin tavoitteita, jotka tulee ottaa huomioon, kun rekisteröidyt entiteetit käyttävät toimittajia massasähköjärjestelmän (BES) toiminnassa. Bulk Electric Systemsiä käyttävät Microsoft-asiakkaat ovat täysin vastuussa siitä, että he noudattavat NERC CIP -standardeja.

Lisätietoja Microsoftin pilvipalveluista ja NERC:stä on seuraavissa resursseissa:

Energiaorganisaatiot suosittelevat sääntelystandardeja, joita energiajärjestöt suosittelevat, ovat FedRAMP (US Federal Risk and Authorization Management Program), joka perustuu NIST SP 800-53 Rev 4 -standardiin (National Institute of Standards and Technology) ja täydentää sitä.

  • Microsoft Office 365 ja Office 365 Yhdysvaltain hallitukselle on kukin myönnetty FedRAMP ATO (Authorization to Operate) kohtalaisella vaikutustasolla.
  • Azurelle ja Azure Government on kumpikin myönnetty FedRAMP High P-ATO (Väliaikainen valtuutus toimia), joka edustaa FedRAMP-valtuutuksen korkeinta tasoa.

Lisätietoja Microsoftin pilvipalveluista ja FedRAMP:sta on seuraavissa resursseissa:

Nämä saavutukset ovat merkittäviä energiateollisuudessa, koska FedRAMP Moderate -ohjausobjektijoukon ja NERC CIP -vaatimusten välinen vertailu osoittaa, että FedRAMP Moderate -valvonta käsittää kaikki NERC CIP -vaatimukset. Lisätietoja varten Microsoft kehitti NERC-auditointeja koskevan pilvipalvelutoteutusoppaan , joka sisältää hallinnan kartoituksen NIST 800-53 Rev 4:n nykyisten NERC CIP -standardien ja FedRAMP Moderate -valvonnan välillä.

Koska energiateollisuus haluaa nykyaikaistaa yhteistyöympäristöjään, yhteistyötyökalujen ja suojauksen hallinnan määrityksessä ja käyttöönotossa on huomioitava tarkasti seuraavat asiat:

  • Yleisten yhteistyöskenaarioiden arviointi
  • Työntekijöiden tuotannon edellyttämät tiedot
  • Lakisääteiset vaatimustenmukaisuusvaatimukset
  • Tietoihin, asiakkaisiin ja organisaatioon liittyvät riskit

Microsoft 365 on nykyaikainen työpaikan pilvipalveluympäristö. Se tarjoaa turvallisen ja joustavan yhteistyön koko yrityksessä, mukaan lukien valvonta ja politiikan täytäntöönpano, jotta voidaan noudattaa tiukimpia sääntelyn vaatimustenmukaisuuskehyksiä. Seuraavissa artikkeleissa tutustutaan siihen, miten Microsoft 365 auttaa energiateollisuutta siirtymään nykyaikaiseen yhteistyöympäristöön ja pitämään tiedot ja järjestelmät sekä turvallisina että yhteensopivina säädösten kanssa:

  • Kattavan yhteistyöympäristön tarjoaminen Microsoft Teamsin avulla
  • Suojatun ja yhteensopivan yhteistyön tarjoaminen energiateollisuudessa
  • Tunnista luottamukselliset tiedot ja estä tietojen menettäminen
  • Hallitse tietoja hallinnoimalla tietueita tehokkaasti
  • Noudata energiamarkkinoita koskevia FERC- ja FTC-määräyksiä
  • Suojaa tietojen suodatus- ja insider-riskeiltä

Microsoft-kumppanina Protiviti on osallistunut tähän artikkeliin ja antanut siihen materiaalista palautetta.

Kattavan yhteistyöympäristön tarjoaminen Microsoft Teamsin avulla

Yhteistyö edellyttää yleensä useita viestintämuotoja, mahdollisuutta tallentaa ja käyttää tiedostoja sekä mahdollisuutta integroida muita sovelluksia tarvittaessa. Olivatpa ne sitten globaaleja yrityksiä tai paikallisia yrityksiä, energia-alan työntekijöiden on yleensä tehtävä yhteistyötä ja kommunikoitava muiden osastojen jäsenten kanssa tai tiimien välillä. Heidän on myös usein oltava yhteydessä ulkoisiin kumppaneihin, toimittajiin tai asiakkaisiin. Tämän vuoksi ei yleensä suositella, että käytät järjestelmiä, jotka luovat siiloja tai vaikeuttavat tietojen jakamista. Haluamme kuitenkin edelleen varmistaa, että työntekijät jakavat tietoja turvallisesti ja käytännön mukaisesti.

Tarjoamalla työntekijöille modernin ja pilvipohjaisen yhteistyöympäristön, jonka avulla he voivat valita ja integroida helposti työkalut, jotka tekevät heistä tuottavimpia, ja antaa heille mahdollisuuden löytää parhaita tapoja työskennellä ja tehdä yhteistyötä. Microsoft Teamsin käyttäminen yhdessä suojauksen hallinnan ja hallintokäytäntöjen kanssa organisaation suojaamiseksi voi auttaa työvoimaasi tekemään helposti yhteistyötä pilvipalvelussa.

Microsoft Teams tarjoaa organisaatiollesi yhteistyökeskuksen, joka kokoaa ihmiset yhteen työskentelemään ja tekemään yhteistyötä yleisten aloitteiden tai projektien parissa. Sen avulla ryhmän jäsenet voivat käydä keskusteluja, tehdä yhteistyötä ja yhteismuokkaa asiakirjoja. Sen avulla käyttäjät voivat tallentaa ja jakaa tiedostoja ryhmän jäsenten tai tiimin ulkopuolisten jäsenten kanssa. Sen avulla he voivat myös järjestää reaaliaikaisia kokouksia integroidulla yritysäänellä ja -videolla. Microsoft Teamsia voidaan mukauttaa helppokäyttöisen Microsoft-sovellusten, kuten Plannerin, Dynamics 365, Power BI:n ja muiden kolmannen osapuolen toimialasovellusten, avulla. Teams yksinkertaistaa Office 365 palveluiden ja kolmannen osapuolen sovellusten käyttöä ja keskittää yhteistyö- ja viestintätarpeet organisaatiolle.

Jokaista Microsoft-tiimiä tukee Office 365 ryhmä. Office 365-ryhmää pidetään Office 365 palveluiden, kuten Microsoft Teamsin, jäsenyyden tarjoajana. Office 365 ryhmien avulla hallitaan turvallisesti sitä, mitä käyttäjiä pidetään ryhmän jäseninä ja mitkä ryhmän omistajina. Tämän rakenteen avulla voidaan helposti hallita sitä, ketkä käyttäjät voivat käyttää Vaihtelevia ominaisuuksia Teamsissa. Tämän seurauksena tiimin jäsenet ja omistajat voivat käyttää vain ominaisuuksia, joita he saavat käyttää.

Yleinen skenaario, jossa Microsoft Teams voi hyödyttää energiaorganisaatioita, on tehdä yhteistyötä alihankkijoiden tai ulkoisten yritysten kanssa osana kenttäpalveluohjelmaa, kuten kasvillisuuden hallintaa. Urakoitsijat ovat tyypillisesti sitoutuneet hallitsemaan kasvillisuutta tai poistamaan puita sähköjärjestelmän asennusten ympärillä. Heidän on usein saatava työohjeita, oltava yhteydessä lähettäjiin ja muuhun kenttähenkilöstöön, otettava ja jaettava kuvia ulkoisesta ympäristöstä, kirjauduttava ulos, kun työ on valmis, ja jaettava tietoja pääkonttorin kanssa. Perinteisesti nämä ohjelmat suoritetaan käyttämällä puhelin-, teksti-, paperityötilauksia tai mukautettuja sovelluksia. Tämä menetelmä voi aiheuttaa monia haasteita. Esimerkki:

  • Prosessit ovat manuaalisia tai analogisia, joten mittareita on vaikea seurata
  • Kaikki yhteydet eivät tallennu yhteen paikkaan
  • Tiedot on siilottu eikä niitä välttämättä jaeta kaikille sitä tarvitseville työntekijöille
  • Työtä ei ehkä suoriteta johdonmukaisesti tai tehokkaasti
  • Mukautettuja sovelluksia ei integroida yhteistyötyökaluihin, mikä vaikeuttaa tietojen poimimista ja jakamista tai suorituskyvyn mittaamista

Microsoft Teams tarjoaa helppokäyttöisen yhteistyötilan tietojen turvalliseen jakamiseen ja keskustelujen käymiseen tiimin jäsenten ja ulkoisten kenttäpalvelujen alihankkijoiden välillä. Teamsin avulla voidaan järjestää kokouksia, soittaa äänipuheluita, tallentaa ja jakaa työtilauksia keskitetysti, kerätä kenttätietoja, ladata valokuvia, integroida liiketoimintaprosessiratkaisuihin (Power Appsin ja Power Automaten avulla) ja integroida toimialasovelluksia. Tämän tyyppisiä kenttäpalvelun tietoja voidaan pitää vähäisinä vaikutuksina. Tehokkuutta voidaan kuitenkin saavuttaa keskittämällä viestintä ja tietojen käyttö työntekijöiden ja kenttäpalveluhenkilöstön välillä näissä skenaarioissa.

Toinen esimerkki, jossa Microsoft Teams voi hyödyttää energiateollisuutta, on se, kun kenttäpalveluhenkilöstö työskentelee palvelun palauttamiseksi katkoksen aikana. Kenttähenkilöstö tarvitsee usein nopean pääsyn ala-asemien, voima-asemien tai sinisten tulosteiden kaaviotietoihin kentällä. Näitä tietoja pidetään suurina vaikutuksina, ja ne on suojattava NERC CIP:n säännösten mukaisesti. Kenttäpalvelutyö katkosten aikana edellyttää viestintää kenttähenkilöstön ja toimiston työntekijöiden välillä ja vuorostaan loppuasiakkaiden kanssa. Kun keskität viestinnän ja tietojen jakamisen Microsoft Teamsissa, kenttähenkilöstö saa helpon tavan sekä käyttää tärkeitä tietoja että välittää tietoja tai tilaa takaisin pääkonttoriin. Esimerkiksi Microsoft Teamsin avulla kenttähenkilöstö voi liittyä neuvottelupuheluihin reititettäessä käyttökatkoon. Kenttähenkilöstö voi myös ottaa valokuvia tai videokuvaa ympäristöstään ja jakaa niitä pääkonttorissa, mikä on erityisen tärkeää, kun kenttälaitteet eivät vastaa toimintakaavioita. Kentästä kerätyt tiedot ja tila voidaan sitten näyttää Officen työntekijöille ja johtajuudelle tietojen visualisointityökalujen, kuten Power BI:n, avulla. Microsoft Teams voi viime kädessä tehdä kenttähenkilöstöstä tehokkaampaa ja tuottavampaa näissä kriittisissä tilanteissa.

Tiimit: yhteistyön parantaminen ja yhteensopivuusriskin vähentäminen

Microsoft 365 tarjoaa Microsoft Teamsille yleisiä käytäntöominaisuuksia käyttämällä Office 365 ryhmiä pohjana olevana jäsenyyden tarjoajana. Nämä käytännöt voivat auttaa parantamaan yhteistyötä ja vastaamaan yhteensopivuustarpeisiin.

Office 365 ryhmän nimeämiskäytännöt auttavat varmistamaan, että Office 365 ryhmät ja siten Microsoft Teams nimetään yrityskäytännön mukaan. Tiimin nimi voi esittää haasteita, jos sitä ei nimetä asianmukaisesti. Työntekijät eivät ehkä esimerkiksi tiedä, missä tiimeissä he työskentelevät tai jakavat tietoja, jos heidät on nimetty väärin. Ryhmien nimeämiskäytännöt auttavat valvomaan hyvää hygieniaa ja saattavat myös estää tiettyjen sanojen, kuten varattujen sanojen tai sopimattoman terminologian, käytön.

Office 365 ryhmän vanhenemiskäytännöt auttavat varmistamaan, että Office 365 ryhmiä ja siten Microsoft Teamsia ei säilytetä pidempään kuin organisaatio vaatii. Tämä ominaisuus auttaa estämään kaksi keskeistä tiedonhallintaongelmaa:

  • Sellaisten Microsoft Teamsin yleistyminen, jotka eivät ole välttämättömiä tai joita ei käytetä
  • Niiden tietojen ylipidätys, joita organisaatio ei enää tarvitse

Järjestelmänvalvojat voivat määrittää vanhentumisajan päivinä Office 365 ryhmille (esimerkiksi 90, 180 tai 365 päivää). Jos Office 365 ryhmän tukema palvelu on passiivinen vanhentumisjakson ajan, ryhmän omistajille ilmoitetaan. Jos mitään toimia ei tehdä, poistetaan Office 365 ryhmä ja kaikki siihen liittyvät palvelut, mukaan lukien Microsoft Teams.

Tietojen liiallinen säilyttäminen Microsoft-tiimissä voi aiheuttaa organisaatioille riita-asioita koskevia riskejä. Vanhentumiskäytäntöjen käyttäminen on suositeltava menetelmä organisaation suojaamiseen. Yhdessä valmiiden säilytystunnisteiden ja käytäntöjen kanssa Microsoft 365 auttaa varmistamaan, että organisaatiot säilyttävät vain tiedot, joita tarvitaan lakisääteisten vaatimustenmukaisuusvelvoitteiden täyttämiseen.

Teams: Mukautettujen vaatimusten integrointi vaivattomasti

Microsoft Teams mahdollistaa Teamsin omatoimisen luomisen oletusarvoisesti. Monet säännellyt organisaatiot haluavat kuitenkin hallita ja ymmärtää, mitkä yhteistyötilat ovat tällä hetkellä työntekijöiden käytössä, mitkä välilyönnit sisältävät arkaluontoisia tietoja ja ketkä omistajat ovat tilojen omistajia koko organisaatiossaan. Näiden ohjausobjektien helpottamiseksi Microsoft 365 sallii organisaatioiden poistaa omatoimisen Teamsin luomisen käytöstä. Lisäksi sisäänrakennettujen Microsoft 365 -liiketoimintaprosessien automaatiotyökalujen, kuten Power Appsin ja Power Automaten, avulla organisaatiot voivat luoda yksinkertaisia prosesseja uuden tiimin pyytämiseksi. Helppokäyttöisen lomakkeen täyttäminen voi pyytää hyväksyntää automaattisesti esimieheltä. Kun tiimi on hyväksytty, se voidaan valmistella automaattisesti ja pyytäjälle lähetetään linkki uuteen tiimiinsä. Luomalla tällaisia prosesseja organisaatiot voivat myös integroida mukautettuja vaatimuksia muiden liiketoimintaprosessien helpottamiseksi.

Suojatun ja yhteensopivan yhteistyön tarjoaminen energiateollisuudessa

Kuten mainittiin, Microsoft Office 365 ja Office 365 Yhdysvaltain hallitus ovat kukin saavuttaneet FedRAMP ATO:n kohtalaisella vaikutustasolla. Azure ja Azure Government ovat saavuttaneet FedRAMP High P-ATO:n, joka edustaa FedRAMP-valtuutuksen korkeinta tasoa. Lisäksi FedRAMP:n kohtalainen valvontajoukko kattaa kaikki NERC CIP:n vaatimukset, minkä ansiosta energiateollisuuden organisaatiot (rekisteröidyt yksiköt) voivat hyödyntää olemassa olevia FedRAMP-lupia skaalautuvana ja tehokkaana lähestymistapana NERC:n tarkastusvaatimusten täyttämiseen. On kuitenkin tärkeää huomata, että FedRAMP ei ole ajankohtainen sertifiointi vaan arviointi- ja valtuutusohjelma, joka sisältää varauksia jatkuvaa valvontaa varten. Vaikka tämä säännös koskee ensisijaisesti CSP:tä, Bulk Electric Systemsiä käyttävät Microsoft-asiakkaat ovat vastuussa siitä, että he noudattavat itse NERC CIP -standardeja. Yleensä suosittelemme valvomaan jatkuvasti organisaation vaatimustenmukaisuusasennon toimintaa, jotta voidaan varmistaa, että säädöksiä noudatetaan jatkuvasti.

Microsoft tarjoaa keskeisen työkalun, jonka avulla voit valvoa säädösten vaatimustenmukaisuutta ajan mittaan:

  • Microsoft Purview Compliance Manager auttaa organisaatiota ymmärtämään sen nykyistä yhteensopivuusasennon ja toimintoja, joilla se voi parantaa kyseistä tilaa. Compliance Manager laskee riskipohjaisen pistemäärän mittaamalla edistymistä sellaisten toimintojen suorittamisessa, jotka auttavat vähentämään tietosuojaan ja sääntelystandardeihin liittyviä riskejä. Compliance Manager antaa ensimmäisen pistemäärän Microsoft 365 :n tietosuojan perustason perusteella. Tämä perustaso on joukko valvontaa, joka sisältää alan yhteiset säännökset ja standardit. Vaikka tämä pistemäärä on hyvä lähtökohta, compliance Managerista tulee tehokkaampi, kun organisaatio lisää toimialalleen merkityksellisiä arviointeja. Compliance Manager tukee useita sääntelystandardeja, jotka liittyvät NERC CIP -yhteensopivuusvelvollisuuksiin, mukaan lukien FedRAMP Moderate Control Set, NIST 800-53 Rev. 4 ja AICPA SOC 2. Energiateollisuuden organisaatiot voivat myös tarvittaessa luoda tai tuoda mukautettuja ohjausjoukkoja.

Compliance Manageriin sisäänrakennettujen työnkulkuominaisuuksien avulla energiaorganisaatiot voivat muuntaa ja digitoida säädösten vaatimustenmukaisuusprosessejaan. Perinteisesti energiateollisuuden yhteensopivuustiimit kohtaavat seuraavat haasteet:

  • Epäyhtenäinen raportointi tai edistymisen seuranta korjaustoimissa
  • Tehottomat tai tehottomat prosessit
  • Resurssit eivät riitä tai omistajuus puuttuu
  • Reaaliaikaisten tietojen ja inhimillisten virheiden puute

Automatisoimalla säädösten vaatimustenmukaisuusprosessien näkökohtia compliance Managerin avulla organisaatiot voivat vähentää juridisten ja vaatimustenmukaisuustoimintojen hallinnollista rasitetta. Nämä työkalut voivat auttaa vastaamaan näihin haasteisiin tarjoamalla ajantasaisempia tietoja korjaustoimista, yhdenmukaisemmasta raportoinnista ja toimien dokumentoidusta omistajuudesta (jotka liittyvät toimien täytäntöönpanoon). Organisaatiot voivat seurata korjaustoimia automaattisesti ajan mittaan ja nähdä yleiset tehokkuusedut. Tämän ominaisuuden avulla henkilökunta voi keskittyä enemmän merkityksellisten tietojen hankkimiseen ja strategioiden kehittämiseen, jotta riskiin siirtyminen on tehokkaampaa.

Compliance Manager ei ilmaise ehdotonta mittaria organisaation vaatimustenmukaisuudesta minkään tietyn standardin tai sääntelyn kanssa. Siinä kerrotaan, missä määrin olet ottanut käyttöön tarkastuksia, joilla voidaan vähentää henkilökohtaisiin tietoihin ja tietosuojaan kohdistuvia riskejä. Compliance Managerin suosituksia ei tule tulkita takuuksi vaatimustenmukaisuudesta. Compliance Managerin asiakastoiminnot ovat suosituksia. Kunkin organisaation on arvioitava näiden suositusten tehokkuutta täyttääkseen lakisääteiset velvoitteensa ennen täytäntöönpanoa. Compliance Managerin suosituksia ei tule tulkita takuuksi vaatimustenmukaisuudesta.

FedRAMP Moderate Control Set- ja NERC CIP -standardeihin sisältyy monia kyberturvallisuuteen liittyviä valvontatoimia. Microsoft 365 -ympäristöön liittyvät keskeiset hallintatoiminnot sisältävät kuitenkin suojauksen hallinnan hallintatoiminnot (CIP-003-6), tilin ja käyttöoikeuksien hallinnan/käytön kumoamisen (CIP-004-6), sähköisen suojauksen eteisympäristön (CIP-005-5), suojaustapahtumien valvonnan ja tapausten käsittelyn (CIP-008-5). Seuraavat Microsoft 365:n perustoiminnot auttavat vastaamaan näihin artikkeleihin sisältyviin riskeihin ja vaatimuksiin.

Turvalliset käyttäjätiedot ja käyttöoikeuksien hallinta

Asiakirjojen ja sovellusten käytön suojaaminen alkaa vahvalla käyttäjätietojen suojaamisella. Tämän toiminnon perustana on suojatun ympäristön tarjoaminen yritykselle käyttäjätietojen tallentamista ja hallintaa varten sekä luotettavan todentamisen tarjoaminen. Se edellyttää myös näiden sovellusten käytön dynaamista hallintaa. Kun työntekijät työskentelevät, he saattavat siirtyä sovelluksesta sovellukseen tai useisiin sijainteihin ja laitteisiin. Tämän seurauksena tietojen käyttöoikeus on todennettava jokaisessa vaiheessa. Lisäksi todennusprosessin on tuettava vahvaa protokollaa ja useita todennustekijöitä (kertaus sms-tunnuskoodi, todentajasovellus, varmenne jne.) sen varmistamiseksi, että käyttäjätiedot eivät ole vaarantuneet. Lopuksi riskipohjaisten käyttöoikeuskäytäntöjen pakottaminen on keskeinen suositus tietojen ja sovellusten suojaamiseksi insider-uhilta, tahattomilta tietovuodoilta ja tietojen suodattimelta.

Microsoft 365 tarjoaa suojatun tunnisteympäristön, jossa on Microsoft Entra ID, johon käyttäjätiedot tallennetaan keskitetysti ja jossa niitä hallitaan turvallisesti. Microsoft Entra ID yhdessä palveluihin liittyvien Microsoft 365 -suojauspalveluiden kanssa muodostaa perustan sille, että työntekijöille tarjotaan heidän tarvitsemansa käyttöoikeudet turvalliseen työskentelyyn ja samalla suojataan organisaatiota uhkilta.

Microsoft Entra monimenetelmäinen todentaminen on sisäänrakennettu ympäristöön ja tarjoaa suojauksen lisäkerroksen, joka auttaa varmistamaan, että käyttäjät ovat sitä, mitä he sanovat olevansa käyttäessään luottamuksellisia tietoja ja sovelluksia. Microsoft Entra monimenetelmäinen todentaminen edellyttää vähintään kahta todennusmuotoa, kuten salasanaa ja tunnettua mobiililaitetta. Se tukee useita toisen tekijän todennusvaihtoehtoja, kuten Microsoft Authenticator -sovellusta, tekstiviestillä toimitettua kertakäyttöistä tunnuskoodia, puhelun vastaanottamista, jossa käyttäjän on annettava PIN-koodi, sekä älykortteja tai varmennepohjaista todennusta. Jos salasana vaarantuu, mahdollinen hakkeri tarvitsee yhä käyttäjän puhelimen, jotta hän voi käyttää organisaation tietoja. Lisäksi Microsoft 365 käyttää modernia todennusta keskeisenä protokollana tuoden saman vahvan todennuskokemuksen selaimista yhteistyötyökaluihin, kuten Microsoft Outlookiin ja Microsoft Office -sovelluksiin.

Microsoft Entra Ehdollinen käyttö tarjoaa vankan ratkaisun käyttöoikeuksien valvontapäätösten automatisoinniin ja käytäntöjen pakottamiseen yrityksen resurssien suojaamiseksi. Yleinen esimerkki on se, kun työntekijä yrittää käyttää luottamuksellisia asiakastietoja sisältävää sovellusta ja hänet vaaditaan automaattisesti monimenetelmäisen todennuksen suorittamiseen. Azuren ehdollinen käyttö tuo yhteen signaaleja käyttäjän käyttöoikeuspyynnöstä (esimerkiksi ominaisuuksia käyttäjästä, laitteesta, sijainnista, verkosta ja sovelluksesta tai säilöstä, jota hän yrittää käyttää). Se arvioi dynaamisesti kaikki yritykset käyttää sovellusta määrittämiesi käytäntöjen perusteella. Jos käyttäjän tai laitteen riski on kohonnut tai jos muut ehdot eivät täyty, Microsoft Entra ID pakottaa käytännön automaattisesti (esimerkiksi monimenetelmäistä todentamista, käyttöoikeuksien rajoittamista tai jopa estämistä dynaamisesti). Tämä rakenne auttaa varmistamaan, että luottamukselliset resurssit suojataan dynaamisesti muuttuvissa ympäristöissä.

Microsoft Defender for Office 365 tarjoaa integroidun palvelun, joka suojaa organisaatioita sähköpostitse toimitelta haitallisilta linkkeiltä ja haittaohjelmilta. Yksi yleisimpiä käyttäjiin vaikuttavia hyökkäysvektoreita ovat sähköpostin tietojenkalasteluhyökkäykset. Nämä hyökkäykset voidaan kohdistaa huolellisesti tiettyihin korkean profiilin työntekijöihin, ja ne voidaan luoda erittäin vakuuttavaksi. Ne sisältävät yleensä toimintokutsun, joka edellyttää, että käyttäjä valitsee haitallisen linkin tai avaa liitteen haittaohjelmalla. Tartunnan saatuaan hyökkääjä voi varastaa käyttäjän tunnistetiedot ja siirtyä sivuttain koko organisaatioon. He voivat myös suodattimia sähköpostiviestejä ja tietoja, jotka etsivät arkaluonteisia tietoja. Microsoft Defender for Office 365 arvioi linkit napsautushetkellä mahdollisesti haitallisille sivustoille ja estää ne. Sähköpostiliitteet avataan suojatussa eristyksessä ennen niiden toimittamista käyttäjän postilaatikkoon.

Microsoft Defender for Cloud Apps tarjoaa organisaatioille mahdollisuuden toteuttaa käytäntöjä yksityiskohtaisesti. Tämä rakenne sisältää käyttäytymispoikkeamien tunnistamisen, jotka perustuvat yksittäisiin käyttäjäprofiileihin, jotka määritetään automaattisesti automaattianalyysipalveluiden avulla. Defender for Cloud Apps perustuu Azuren ehdollisten käyttöoikeuksien käytäntöihin arvioimalla muita signaaleja, jotka liittyvät käyttäjän toimintaan ja käytettävien tiedostojen ominaisuuksiin. Ajan mittaan Defender for Cloud Apps oppii kunkin työntekijän tyypillisen käyttäytymisen (heidän käyttämänsä tiedot ja heidän käyttämänsä sovellukset). Opitut toimintatavat huomioon ottaen käytännöt voivat pakottaa suojauksen hallinnan automaattisesti, jos työntekijä siirtyy kyseisen toimintaprofiilin ulkopuolelle. Jos työntekijä esimerkiksi tavallisesti käyttää kirjanpitosovellusta maanantaista perjantaihin klo 9.00–17.00, mutta sama käyttäjä alkaa käyttää kyseistä sovellusta voimakkaasti sunnuntai-iltana, Defender for Cloud Apps voi dynaamisesti valvoa käytäntöjä, jotka edellyttävät käyttäjän todentamista uudelleen. Tämä vaatimus auttaa varmistamaan, että tunnistetietoja ei ole vaarantunut. Lisäksi Defender for Cloud Apps voi auttaa löytämään ja tunnistamaan varjo-IT:n organisaatiossa. Tämän ominaisuuden avulla InfoSec-tiimit voivat varmistaa, että työntekijät käyttävät hyväksyttyjä työkaluja käsitellessäsi arkaluonteisia tietoja. Lopuksi Defender for Cloud Apps voi suojata luottamuksellisia tietoja missä tahansa pilvipalvelussa jopa Microsoft 365 -ympäristön ulkopuolella. Sen avulla organisaatiot voivat hyväksyä (tai olla tekemättä toimia) tiettyjä ulkoisia pilvisovelluksia, hallita käyttöoikeuksia ja seurantaa, kun käyttäjät työskentelevät kyseisissä sovelluksissa.

Microsoft Entra ID ja siihen liittyvät Microsoft 365 -tietoturvapalvelut luovat perustan modernille pilviyhteistyöalustalle, jota voidaan käyttää energiateollisuuden organisaatioissa. Microsoft Entra ID sisältää ohjausobjekteja, jotka suojaavat tietojen ja sovellusten käyttöä. Vahvan suojauksen lisäksi nämä ohjausobjektit auttavat organisaatioita täyttämään säädösten noudattamista koskevat velvoitteet.

Microsoft Entra ID- ja Microsoft 365 -palvelut ja ovat syvästi integroituja ja tarjoavat seuraavat tärkeät ominaisuudet:

  • Tallenna ja hallitse käyttäjätietoja keskitetysti
  • Käytä vahvaa todennusprotokollaa, mukaan lukien monimenetelmäinen todentaminen, käyttäjien todentamiseen käyttöoikeuspyynnöissä
  • Yhdenmukaisen ja vankan todennuskokemuksen tarjoaminen kaikille sovelluksille
  • Vahvista dynaamisesti kaikkien käyttöoikeuspyyntöjen käytännöt sisällyttäen useita signaaleja käytännön päätöksentekoprosessiin (mukaan lukien käyttäjätiedot, käyttäjän/ryhmän jäsenyys, sovellus, laite, verkko, sijainti ja reaaliaikaiset riskipisteet)
  • Vahvista eriytetyt käytännöt käyttäjän toiminnan ja tiedostojen ominaisuuksien perusteella ja ota tarvittaessa dynaamisesti käyttöön lisäsuojaustoimenpiteitä
  • Tunnista varjo-IT organisaatiossa ja salli InfoSec-tiimien hyväksyä tai estää pilvipalvelusovelluksia
  • Microsoftin ja muiden pilvisovellusten käytön valvonta ja hallinta
  • Suojaa ennakoivasti sähköpostin tietojenkalastelulta ja kiristyshaittaohjelmahyökkäyksiltä

Tunnista luottamukselliset tiedot ja estä tietojen menettäminen

FedRAMP Moderate Control Set- ja NERC CIP -standardit sisältävät myös tietojen suojaamisen keskeisenä valvontavaatimuksena (CIP-011-2). Näillä vaatimuksilla vastataan erityisesti tarpeeseen tunnistaa BES (Bulk Electric System) Cyber System Information -tietoihin sekä näiden tietojen suojaamiseen ja turvalliseen käsittelyyn liittyvät tiedot (mukaan lukien varastointi, kauttakulku ja käyttö). Tietyt esimerkit BES Cyber System Informationista voivat sisältää suojausmenettelyjä tai tietoturvatietoja järjestelmistä, jotka ovat olennaisia massasähköjärjestelmän käytössä (BES Cyber Systems, Physical Käyttöoikeuksien hallinta Systems ja Electronic Käyttöoikeuksien hallinta tai valvontajärjestelmät), jotka eivät ole julkisesti saatavilla ja joita voidaan käyttää luvattoman käytön tai luvattoman jakelun sallimiseen. Sama tarve on kuitenkin olemassa energiaorganisaatioiden päivittäisen toiminnan kannalta tärkeiden asiakastietojen tunnistamiseksi ja suojaamiseksi.

Microsoft 365 mahdollistaa luottamuksellisten tietojen tunnistamisen ja suojaamisen organisaatiossa tehokkaiden ominaisuuksien yhdistelmällä, mukaan lukien:

  • Microsoft Purview Information Protection sekä käyttäjäpohjaiseen luokitukseen että luottamuksellisten tietojen automaattiseen luokitukseen

  • Microsoft Purview -tuotteen tietojen menetyksen esto (DLP) luottamuksellisten tietojen automaattiseen tunnistamiseen käyttämällä luottamuksellisia tietotyyppejä (eli säännönmukaisia lausekkeita) ja avainsanoja sekä käytännön täytäntöönpanoa

Microsoft Purview Information Protection avulla työntekijät voivat luokitella asiakirjoja ja sähköpostiviestejä luottamuksellisuustunnisteilla. Käyttäjät voivat käyttää luottamuksellisuustunnisteita manuaalisesti Microsoft Office -sovellusten asiakirjoissa ja Microsoft Outlookin sähköposteissa. Luottamuksellisuustunnisteet voivat ottaa automaattisesti käyttöön asiakirjan merkinnät, suojauksen salauksen avulla ja valvoa oikeuksien hallintaa. Luottamuksellisuustunnisteita voidaan käyttää automaattisesti myös määrittämällä käytäntöjä, jotka käyttävät avainsanoja ja luottamuksellisia tietotyyppejä (luottokorttinumerot, sosiaaliturvatunnukset, käyttäjätiedot jne.).

Microsoft tarjoaa myös harjoitettavia luokittajia. Nämä käyttävät koneoppimismalleja tunnistamaan luottamuksellisia tietoja sisällön perusteella sen sijaan, että ne yksinkertaisesti täsmäytetään kuvioiden tai sisällön elementtien avulla. Luokittelutoiminto oppii tunnistamaan sisältötyypin katsomalla monia esimerkkejä luokiteltavasta sisällöstä. Luokittelun aloittaminen antamalla sille esimerkkejä tietyn luokan sisällöstä. Kun malli on prosessoinut esimerkkejä, se testataan tarjoamalla sille sekä vastaavien että vastaamattomien esimerkkien yhdistelmä. Luokittelutoiminto ennustaa sitten, kuuluuko tietty esimerkki luokkaan vai ei. Tämän jälkeen henkilö vahvistaa tulokset lajittelemalla positiiviset, negatiiviset, false-positiiviset ja false-negatiiviset parantaakseen luokittelun ennusteiden tarkkuutta. Kun koulutettu luokitus on julkaistu, se käsittelee ja luokittelee sisällön automaattisesti SharePoint Onlinessa, Exchange Online ja OneDrivessa.

Luottamuksellisuustunnisteiden käyttö asiakirjoissa ja sähköposteissa upottaa metatietoja objektiin, joka tunnistaa valitun luottamuksellisuustiedon, jolloin luottamuksellisuus voidaan kulkea tietojen mukana. Tämän seurauksena, vaikka nimetty asiakirja olisi tallennettu käyttäjän työpöydälle tai paikalliseen järjestelmään, se on silti suojattu. Tämän rakenteen avulla muut Microsoft 365 -ratkaisut, kuten Microsoft Defender for Cloud Apps tai verkon reunalaitteet, voivat tunnistaa luottamuksellisia tietoja ja ottaa automaattisesti käyttöön suojauksen hallintatoimia. Luottamuksellisuustunnisteiden etuna on myös se, että työntekijöille kerrotaan, mitä tietoja organisaatiossa pidetään luottamuksellisina ja miten näitä tietoja käsitellään.

Microsoft Purview -tuotteen tietojen menetyksen esto (DLP) tunnistaa automaattisesti luottamuksellisia tietoja sisältävät asiakirjat, sähköpostiviestit ja keskustelut skannaamalla nämä kohteet luottamuksellisten tietotyyppien osalta ja valvomalla sitten kyseisten objektien käytäntöjä. SharePointin ja OneDrive for Business asiakirjoissa käytetään käytäntöjä. Käytäntöjä käytetään myös silloin, kun käyttäjät lähettävät sähköpostia ja Microsoft Teamsissa keskustelu- ja kanavakeskusteluissa. Käytännöt voidaan määrittää etsimään avainsanoja, luottamuksellisia tietotyyppejä, säilytysotsikoita ja sitä, jaetaanko tietoja organisaatiossa vai ulkoisesti. Ohjausobjektien avulla organisaatiot voivat hienosäätää DLP-käytäntöjä, jotta false-positiiviset vältytään paremmin. Kun luottamuksellisia tietoja löytyy, microsoft 365 -sovellusten käyttäjille voidaan näyttää mukautettavia käytäntövihjeitä. Käytäntövihjeet kertovat käyttäjille, että heidän sisältönsä sisältää luottamuksellisia tietoja, ja voivat ehdottaa korjaavia toimia. Käytännöt voivat myös estää käyttäjiä käyttämästä asiakirjoja, jakamasta asiakirjoja tai lähettämästä tietyntyyppisiä arkaluonteisia tietoja sisältäviä sähköpostiviestejä. Microsoft 365 tukee yli 100 sisäistä luottamuksellista tietotyyppiä. Organisaatiot voivat määrittää mukautettuja luottamuksellisia tietotyyppejä käytäntöjensä mukaisesti.

Microsoft Purview Information Protection- ja DLP-käytäntöjen käyttöönotto organisaatioissa edellyttää huolellista suunnittelua. Se edellyttää myös käyttäjän koulutusta, jotta työntekijät ymmärtävät organisaation tietojen luokittelurakenteen ja sen, mitkä tietotyypit ovat arkaluonteisia. Tarjoamalla työntekijöille työkaluja ja koulutusohjelmia, joiden avulla he tunnistavat arkaluonteisia tietoja ja auttavat heitä ymmärtämään, miten he voivat käsitellä niitä, he ovat osa ratkaisua tietoturvariskien lieventämiseksi.

Hallitse tietoja hallinnoimalla tietueita tehokkaasti

Määräykset edellyttävät, että monet organisaatiot hallitsevat keskeisten organisaatioasiakirjojen säilytystä hallitun yrityksen säilytysaikataulun mukaisesti. Organisaatioihin kohdistuu säädösten noudattamiseen liittyviä riskejä, jos tietoja säilytetään liian vähän (poistetaan liian aikaisin) tai oikeudellisia riskejä, jos tietoja säilytetään liian kauan. Tehokkaat tietueiden hallintastrategiat auttavat varmistamaan, että organisaation asiakirjat säilytetään ennalta määritettyjen säilytysjaksojen mukaisesti, jotka on suunniteltu minimoimaan organisaatiolle aiheutuva riski. Säilytysjaksoja määritetään keskitetysti hallitussa organisaatiotietueiden säilytysaikataulussa. Säilytysajat perustuvat kunkin asiakirjatyypin luonteeseen, tiettyjen tietotyyppien säilyttämisen lakisääteisiin vaatimustenmukaisuusvaatimuksiin ja organisaation määritettyihin käytäntöihin.

Tietueiden säilytysjaksojen määrittäminen tarkasti organisaation asiakirjojen välillä saattaa edellyttää yksityiskohtaista prosessia, joka määrittää säilytysajat yksilöllisesti yksittäisille asiakirjoille. Tietueiden säilytyskäytäntöjen käyttöönotto mittakaavassa voi olla haastavaa monista syistä. Näihin syihin kuuluvat energia-alan organisaatioissa olevien asiakirjojen valtava määrä sekä se, että monissa tapauksissa säilytysjaksot voivat käynnistyä organisaation tapahtumien vuoksi (esimerkiksi sopimusten vanhentuminen tai työntekijän poistuminen organisaatiosta).

Microsoft 365 tarjoaa ominaisuudet säilytystunnisteiden ja käytäntöjen määrittämiseen, jotta tietueiden hallintavaatimukset voidaan helposti toteuttaa. Tietueiden hallinta määrittää säilytysotsikon, joka edustaa "tietuetyyppiä" perinteisessä säilytysaikataulussa. Säilytystunniste sisältää asetukset, jotka määrittävät:

  • Kuinka kauan tietuetta säilytetään
  • Samanaikaisuusvaatimukset tai se, mitä tapahtuu säilytysajan umpeutuessa (poista asiakirja, aloita poistaminen tai älä tee mitään)
  • Mikä käynnistää säilytysajan alkamispäivän (luontipäivämäärä, viimeisin muokkauspäivämäärä, nimetty päivämäärä tai tapahtuma) ja
  • Jos asiakirja tai sähköposti on tietue (eli sitä ei voi muokata tai poistaa)

Säilytyskoosteet julkaistaan sitten SharePoint- tai OneDrive-sivustoihin, Exchange-postilaatikoihin ja Office 365 ryhmiin. Käyttäjät voivat sitten käyttää säilytystunnisteita manuaalisesti asiakirjoissa ja sähköposteissa. Tietueiden valvojat voivat myös käyttää sääntöjä säilytysotsikoiden automaattiseen käyttöön. Automaattisen käytön säännöt voivat perustua asiakirjoihin tai sähköposteihin löytyviin avainsanoihin tai luottamuksellisiin tietoihin, kuten luottokorttinumeroihin, sosiaaliturvatunnukseen tai muihin henkilötietoihin (PII). Automaattisen käytön säännöt voivat perustua myös SharePointin metatietoihin.

FedRAMP Moderate Control Set- ja NERC CIP -standardit sisältävät myös omaisuuden uudelleenkäytön ja hävittämisen keskeisenä valvontavaatimuksena (CIP-011-2). Nämä vaatimukset koskevat jälleen kerran erityisesti BES (Bulk Electric System) Cyber System Information -järjestelmää. Muut lainkäyttövaltaan kuuluvat säännökset kuitenkin edellyttävät, että energiateollisuuden organisaatiot hallinnoivat ja hävittävät tietueita tehokkaasti monentyyppisten tietojen osalta. Nämä tiedot sisältävät tilinpäätökset, pääomaprojektitiedot, budjetit, asiakastiedot jne. Kaikissa tapauksissa energiaorganisaatioiden on ylläpidettävä vankkoja tietueiden hallintaohjelmia ja todisteita, jotka liittyvät yritystietueiden puolustettavaan luovutukseen.

Microsoft 365 antaa tietuevastaaville mahdollisuuden määrittää kunkin säilytysotsikon yhteydessä, tarvitaanko käsittelytarkistusta. Kun nämä tietuetyypit tulevat poistetuiksi, nimettyjen disposition-tarkistajien on tarkistettava ne ennen sisällön poistamista, kun niiden säilytysaika on päättynyt. Kun poistamisen tarkistus on hyväksytty, sisällön poistaminen jatkuu. Kuitenkin todisteet poistamisesta (käyttäjä, joka suoritti poistamisen ja päivämäärän/ajan, jolloin se tapahtui) säilytetään edelleen useita vuosia tuhoamistodistuksena. Jos organisaatiot edellyttävät pidempään tai pysyvästi tuhoamisvarmenteiden säilyttämistä, ne voivat käyttää Microsoft Sentineliä loki- ja valvontatietojen pitkäaikaiseen pilvipohjaiseen tallennukseen. Microsoft Sentinel antaa organisaatioille täydet oikeudet toimintotietojen, lokitietojen sekä säilytys-/hävitystietojen pitkäaikaiseen tallennukseen ja säilytykseen.

Noudata energiamarkkinoita koskevia FERC- ja FTC-määräyksiä

Yhdysvaltain liittovaltion energia-alan sääntelykomissio (FERC) valvoo energiamarkkinoihin ja sähköenergia- ja maakaasumarkkinoiden kaupankäyntiin liittyviä säännöksiä. Yhdysvaltain liittovaltion kauppakomissio (FTC) valvoo samanlaisia säännöksiä öljymarkkinoilla. Kummassakin tapauksessa nämä sääntelyelimet laativat sääntöjä ja ohjeita, joilla kielletään energiamarkkinoiden manipulointi. ESIMERKIKSI FERC suosittelee, että energiaorganisaatiot investoivat teknologiaresursseihin valvoakseen kaupankäyntiä, kauppiasviestintää ja sisäisen valvonnan noudattamista. Sääntelyviranomaiset suosittelevat myös, että energiajärjestöt arvioivat säännöllisesti organisaation yhteensopivuusohjelman jatkuvaa tehokkuutta.

Perinteisesti viestinnän valvontaratkaisut ovat kalliita, ja niiden määrittäminen ja hallinta voi olla monimutkaista. Organisaatioilla voi myös olla haasteita, kun ne valvovat monia, vaihtelevia viestintäkanavia, jotka ovat työntekijöiden käytettävissä. Microsoft 365 tarjoaa useita valmiita ominaisuuksia työntekijöiden viestinnän valvontaan, työntekijöiden toiminnan valvontaan ja ferc-säädösten noudattamiseen energiamarkkinoilla.

Valvontajärjestelmän käyttöönotto

Microsoft 365:n avulla organisaatiot voivat määrittää valvontakäytäntöjä, jotka sieppaavat työntekijöiden viestinnän (määritettyjen ehtojen perusteella) ja sallivat nimettyjen valvojien tarkastella niitä. Valvontakäytännöt voivat siepata sisäisiä tai ulkoisia sähköpostiviestejä ja liitteitä, Microsoft Teams -keskustelu- ja kanavaviestintää, Skype for Business online-keskusteluviestintää ja -liitteitä sekä viestintää kolmannen osapuolen palveluiden (kuten Facebook tai Dropboxin) kautta.

Organisaation sisäiset ja tarkistettavat viestinnän kattavat luonteen ja niiden laajat ehdot, joilla käytäntöjä voidaan määrittää, mahdollistavat Sen, että Microsoft 365:n valvontakäytännöt auttavat organisaatioita noudattamaan FERC-energiamarkkinamääräyksiä. Valvontakäytännöt voidaan määrittää tarkastelemaan henkilöiden tai ryhmien viestintää. Lisäksi esimiehet voidaan määrittää yksilöiksi tai ryhmiksi. Kattavat ehdot voidaan määrittää sieppaamaan viestejä, jotka perustuvat saapuviin tai lähtevään viestiin, toimialueisiin, säilytyskoosteisiin, avainsanoihin tai lauseisiin, avainsanasanastoihin, luottamuksellisiin tietotyyppeihin, liitteisiin, viestin kokoon tai liitteen kokoon. Tarkistajille tarjotaan koontinäyttö, jossa he voivat tarkastella merkittyjä viestejä, toimia viestinnässä, joka mahdollisesti rikkoo käytäntöjä, tai merkitä merkityt kohteet ratkaistuiksi. He saattavat myös tarkastella aiempien tarkistusten tuloksia ja ratkaistuja kohteita.

Microsoft 365 sisältää raportteja, joiden avulla valvontakäytännön tarkistustoimia voidaan valvoa käytännön ja tarkistajan perusteella. Käytettävissä olevien raporttien avulla voidaan varmistaa, että valvontakäytännöt toimivat organisaatioiden kirjallisten valvontakäytäntöjen mukaisesti. Raporttien avulla voidaan myös tunnistaa tarkistamista edellyttävä viestintä, mukaan lukien viestintä, joka ei ole yhteensopiva yrityskäytännön kanssa. Lopuksi kaikki valvontakäytäntöjen määrittämiseen ja viestinnän tarkistamiseen liittyvät toimet tarkastetaan Office 365 yhtenäisessä valvontalokissa.

Microsoft 365:n valvontakäytäntöjen avulla organisaatiot voivat valvoa viestintää yrityksen käytäntöjen noudattamiseksi, kuten henkilöstöhallintoa koskevien häirintärikkomusten ja yrityksen viestinnän loukkaavan kielen noudattamiseksi. Sen avulla organisaatiot voivat myös vähentää riskejä valvomalla viestintää, kun organisaatiossa tehdään arkaluonteisia muutoksia, kuten fuusioita ja yrityskauppoja tai johtajamuutoksia.

Viestinnän vaatimustenmukaisuus

Koska työntekijöiden käytettävissä on useita viestintäkanavia, organisaatiot tarvitsevat yhä tehokkaampia ratkaisuja viestinnän havaitsemiseen ja tutkimiseen säännellyillä aloilla, kuten energiakaupankäyntimarkkinoilla. Näihin haasteisiin voivat kuulua viestintäkanavien ja viestien määrän lisääntyminen sekä mahdollisten sakkojen riski politiikan rikkomuksista.

Microsoft Purview -tuotteen viestinnän vaatimustenmukaisuus on yhteensopivuusratkaisu, joka auttaa minimoimaan viestintäriskejä auttamalla havaitsemaan, tutkimaan ja toimimaan sopimatonten viestien varalta organisaatiossasi. Ennalta määritettyjen ja mukautettujen käytäntöjen avulla voit tarkistaa sisäisen ja ulkoisen viestinnän käytäntövastaavuuksien osalta, jotta nimetyt tarkistajat voivat tarkastella niitä. Tarkistajat voivat tutkia skannattuja sähköpostiviestejä, Microsoft Teamsia, Viva Engage tai kolmannen osapuolen viestintää organisaatiossasi ja ryhtyä asianmukaisiin toimiin varmistaakseen, että ne täyttävät organisaatiosi viestistandardit.

Tietoliikenteen vaatimustenmukaisuus auttaa yhteensopivuustiimejä tarkistamaan tehokkaasti viestejä seuraavista mahdollisista rikkomuksista:

  • yrityskäytännöt, kuten hyväksyttävä käyttö, eettiset standardit ja yrityskohtaiset käytännöt
  • luottamuksellisia tai arkaluontoisia liiketoiminnalliset tiedot, kuten valtuuttamaton viestintä arkaluontoisista projekteista, kuten tulevista yritysostoista, fuusioista, tulosilmoituksista, uudelleenjärjestelyistä tai johtoryhmän muutoksista
  • vaatimustenmukaisuusvaatimukset, kuten työntekijöiden viestintä siitä, millaisia yrityksiä tai liiketoimia organisaatio noudattaa energiamarkkinoita koskevia FERC-määräyksiä

Viestinnän yhteensopivuus tarjoaa sisäisiä uhkia, häirintää ja hävyttömyyksien luokitteluja, jotka auttavat vähentämään vääriä positiivisia tietoja viestintää tarkasteltaessa. Tämä luokitus säästää tarkistajien aikaa tutkimus- ja korjausprosessin aikana. Se auttaa tarkistajia keskittymään tiettyihin viesteihin pitkissä säikeissä, jotka on korostettu käytäntöilmoituksista. Tämä tulos auttaa yhteensopivuustiimejä tunnistamaan ja korjaamaan riskejä entistä nopeammin. Se tarjoaa yhteensopivuusryhmille mahdollisuuden helposti määrittää ja hienosäätää käytäntöjä, säätää ratkaisua organisaation erityistarpeiden mukaan ja vähentää vääriä positiivisia arvoja. Viestinnän yhteensopivuus voi myös auttaa tunnistamaan mahdollisesti riskialttiin käyttäjän toiminnan ajan mittaan korostamalla mahdollisia malleja riskialttiissa toiminnassa tai käytäntörikkomuksissa. Lopuksi se tarjoaa joustavia sisäisiä korjaustyönkulkuja. Näiden työnkulkujen avulla tarkistajat voivat nopeasti eskaloitua juridisiin tai henkilöstöhallinnon tiimeihin määritettyjen yritysprosessien mukaisesti.

Suojautuminen tietojen suodatusta ja insider-riskejä vastaan

Yleinen uhka yrityksille on tietojen suodatus tai tietojen poimiminen organisaatiolta. Tämä toiminto voi olla energiaorganisaatioille merkittävä huolenaihe, koska tiedot, joita työntekijät tai kenttäpalveluhenkilöstö saattavat käyttää päivittäin, ovat arkaluonteisia. Nämä tiedot sisältävät sekä BES (Bulk Electric System) Cyber System -tiedot että liiketoimintaan liittyvät tiedot ja asiakastiedot. Käytettävissä olevien kasvavien viestintämenetelmien ja monien tietojen siirtotyökalujen myötä tarvitaan yleensä kehittyneitä työkaluja tietovuotojen, käytäntörikkomusten ja insider-riskien riskien vähentämiseksi.

Sisäisten käyttäjien riskin hallinta

Se, että työntekijöille otetaan käyttöön online-yhteistyötyökaluja, joita voi käyttää missä tahansa, aiheuttaa organisaatiolle riskejä. Työntekijät saattavat tahattomasti tai haitallisesti vuotaa tietoja hyökkääjille tai kilpailijoille. Vaihtoehtoisesti hän voi suodattaa tiedot henkilökohtaiseen käyttöön tai viedä tietoja mukanaan tulevalle työnantajalle. Nämä skenaariot aiheuttavat organisaatioille vakavia riskejä suojauksen ja vaatimustenmukaisuuden kannalta. Näiden riskien tunnistaminen niiden tapahtuessa ja niiden nopea lieventäminen edellyttää sekä älykkäitä työkaluja tiedonkeruuseen että yhteistyöhön eri osastojen välillä, kuten juridiset resurssit, henkilöstöhallinto ja tietoturva.

Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta on yhteensopivuusratkaisu, joka auttaa minimoimaan sisäisiä riskejä, jotta voit tunnistaa, tutkia ja toimia organisaation haitallisiin ja tahattomiin toimiin. Insider-riskikäytäntöjen avulla voit määrittää riskityypit, jotka tunnistetaan ja havaita organisaatiossasi, mukaan lukien tarvittaessa toimiminen tapauksissa ja tapausten kärjistyminen Microsoft eDiscoveryyn (Premiumiin). Organisaatiosi riskianalyytikot voivat nopeasti ryhtyä asianmukaisiin toimiin varmistaakseen, että käyttäjät noudattavat organisaatiosi yhteensopivuusstandardeja.

Insider-riskinhallinta voi esimerkiksi korreloida käyttäjän laitteista peräisin olevia signaaleja (kuten tiedostojen kopioimista USB-asemaan tai henkilökohtaisen sähköpostitilin lähettämistä sähköpostitse) online-palvelut toimilla (esimerkiksi Office 365 sähköposti, SharePoint Online, Microsoft Teams OneDrive for Business) tietojen suodatusmallien tunnistamiseksi. Se voi myös korreloida nämä toimet niiden työntekijöiden kanssa, jotka lähtevät organisaatiosta. Tämä on yleinen tietojen suodattimeen liittyvä käyttäytymismalli. Se voi havaita useita mahdollisesti riskialttiita toimintoja ja toimintaa ajan mittaan. Kun yleisiä malleja ilmenee, se voi herättää hälytyksiä ja auttaa tutkijoita keskittymään keskeisiin toimiin, joilla varmistetaan käytäntörikkomus, jolla on suuri luottamus. Insider-riskinhallinta voi myös hämärtää tutkijoiden tietoja tietosuojamääräysten täyttämiseksi ja samalla hyödyntää keskeisiä toimia, jotka auttavat heitä suorittamaan tutkimuksia tehokkaasti. Kun se on valmis, sen avulla tutkijat voivat pakata ja lähettää turvallisesti keskeisiä toimintatietoja henkilöstöhallintoihin ja oikeudellisiin osastoihin yleisten eskalointityönkulkujen jälkeen tapausten nostamiseksi korjaustoimia varten.

Insider-riskinhallinta lisää merkittävästi Microsoft 365:n ominaisuuksia insider-riskien havaitsemiseen ja tutkimiseen. Sen avulla organisaatiot voivat samalla edelleen noudattaa tietosuojamääräyksiä ja seurata vakiintuneita eskalointipolkuja, kun tapaukset edellyttävät ylemmän tason toimia.

Päätelmä

Microsoft 365 tarjoaa integroidun ja kattavan ratkaisun, joka mahdollistaa helppokäyttöisen pilvipohjaisen yhteistyön koko yrityksessä Microsoft Teamsin avulla. Microsoft Teams mahdollistaa myös paremman viestinnän ja yhteistyön kenttäpalvelun henkilöstön kanssa, mikä auttaa energiaorganisaatioita tehostamaan ja tehostamaan toimintaansa. Parempi yhteistyö koko yrityksessä ja kenttähenkilöstön kanssa voi lopulta auttaa energiaorganisaatioita palvelemaan asiakkaita paremmin.

Energia-alan organisaatioiden on noudatettava tiukkoja määräyksiä, jotka liittyvät siihen, miten ne tallentavat, suojaavat, hallinnoivat ja säilyttävät toimintoihinsa ja asiakkaisiinsa liittyviä tietoja. Niiden on myös noudatettava säännöksiä, jotka liittyvät siihen, miten ne valvovat ja estävät energiamarkkinoiden manipuloinnin. Microsoft 365 tarjoaa vankkaa suojauksen hallintaa tietojen, käyttäjätietojen, laitteiden ja sovellusten suojaamiseksi riskeiltä ja tiukkojen energia-alan säännösten noudattamiseksi. Valmiit työkalut auttavat energiaorganisaatioita arvioimaan vaatimustenmukaisuuttaan sekä ryhtymään toimiin ja seuraamaan korjaustoimia ajan mittaan. Nämä välineet tarjoavat myös helppokäyttöisen menetelmän viestinnän seurantaan ja valvontaan. Microsoft 365 -ympäristö perustuu Perusta-komponentteihin, kuten Microsoft Azureen ja Microsoft Entra ID, mikä auttaa turvaamaan yleisen ympäristön ja auttamaan organisaatiota täyttämään FedRAMP Moderate- ja High-ohjausobjektijoukkojen yhteensopivuusvaatimukset. Tämä malli puolestaan edistää energiaorganisaation kykyä täyttää NERC CIP -standardit.

Kaiken kaikkiaan Microsoft 365 auttaa energiaorganisaatioita suojaamaan organisaatiota paremmin, käyttämään vankempia yhteensopivuusohjelmia ja mahdollistamaan henkilöstön keskittymisen parempien merkityksellisten tietojen hankkimiseen ja strategioiden toteuttamiseen riskien vähentämiseksi paremmin.