Belangrijkste overwegingen op het gebied van compliance en beveiliging voor de energiesector

  • Artikel

De illustratie is een metafoor voor een wereldwijd perspectief van diverse industrieën die de cloud gebruiken

Inleiding

De energiesector voorziet de samenleving van brandstof en kritieke infrastructuur waar mensen dagelijks op vertrouwen. Om de betrouwbaarheid van infrastructuur met betrekking tot bulkstroomsystemen te waarborgen, leggen regelgevende instanties strikte normen op aan organisaties in de energie-industrie. Deze normen hebben niet alleen betrekking op het genereren en de transmissie van energie, maar ook op de gegevens en communicatie die essentieel zijn voor de dagelijkse bedrijfsvoering van energiebedrijven.

Organisaties in de energie-industrie verwerken en delen allerlei typen informatie als onderdeel van hun normale activiteiten. Deze informatie omvat klantgegevens, ontwerpdocumentatie voor kapitaaltechniek, resourcelocatiekaarten, artefacten voor projectbeheer, metrische prestatiegegevens, veldservicerapporten, omgevingsgegevens en prestatiegegevens. Terwijl deze organisaties hun operationele en samenwerkingssystemen willen transformeren in moderne digitale platforms, kijken ze naar Microsoft als een vertrouwde Cloud Service Provider (CSP) en Microsoft 365 als hun beste samenwerkingsplatform. Aangezien Microsoft 365 is gebaseerd op het Microsoft Azure-platform, moeten organisaties beide platforms onderzoeken wanneer ze nadenken over het compliance- en beveiligingsbeheer bij hun overstap naar de cloud.

In Noord-Amerika hanteert de North America Electric Reliability Corporation (NERC) betrouwbaarheidsnormen die worden aangeduid als NERC Critical Infrastructure Protection (CIP)-normen. NERC staat onder toezicht van de Amerikaanse Federal Energy Regulatory Commission (FERC) en overheidsinstanties in Canada. Alle eigenaren, operators en gebruikers van bulkstroomsystemen moeten zich registreren bij NERC en moeten voldoen aan de NERC CIP-normen. Cloudserviceproviders en externe leveranciers, zoals Microsoft, zijn niet onderworpen aan DE NERC CIP-normen. De CIP-normen bevatten echter doelstellingen waarmee rekening moet worden gehouden wanneer geregistreerde entiteiten leveranciers gebruiken voor de werking van hun bulkstroomsysteem (BES). Microsoft-klanten die bulkstroomsystemen gebruiken, zijn volledig verantwoordelijk voor hun eigen naleving van de NERC CIP-normen.

Zie de volgende bronnen voor informatie over Microsoft-cloudservices en NERC:

Regelgevende normen die worden aanbevolen voor overweging door de energiesector zijn onder meer FedRAMP (US Federal Risk and Authorization Management Program), dat is gebaseerd op en een aanvulling is op de NIST SP 800-53 Rev 4-standaard (National Institute of Standards and Technology).

  • Microsoft Office 365 en Office 365 U.S. Government hebben elk een FedRAMP-ATO (Authorization to Operate) gekregen op het niveau Moderate Impact.
  • Azure en Azure Government hebben elk een FedRAMP High P-ATO (Provisional Authorization to Operate) gekregen, wat het hoogste niveau van FedRAMP-autorisatie vertegenwoordigt.

Zie de volgende bronnen voor informatie over Microsoft-cloudservices en FedRAMP:

Deze prestaties zijn belangrijk voor de energiesector omdat een vergelijking tussen de FedRAMP Moderate-controleset en de NERC CIP-vereisten aantoont dat FedRAMP Moderate alle NERC CIP-vereisten omvat. Voor meer informatie heeft Microsoft een cloudimplementatiehandleiding voor NERC-audits opgesteld, waarin de controles van de huidige set NERC CIP-normen worden vergeleken met de FedRAMP Moderate-controleset zoals beschreven in NIST 800-53 Rev 4.

Aangezien de energiesector haar samenwerkingsplatforms wil moderniseren, is zorgvuldige overweging vereist voor de configuratie en implementatie van samenwerkingstools en veiligheidscontroles, waaronder:

  • Evaluatie van gangbare scenario's voor samenwerking
  • Toegang tot gegevens die nodig zijn voor werknemers om productief te zijn
  • Vereisten rondom naleving van regelgeving
  • Bijbehorende risico's voor data, klanten en de organisatie

Microsoft 365 is een cloudomgeving voor de moderne werkplek. Deze biedt veilige en flexibele samenwerkingsmogelijkheden voor de hele onderneming, inclusief besturingselementen en beleidshandhaving om te voldoen aan de strengste regelgevingskaders. In de volgende artikelen wordt in dit artikel uitgelegd hoe Microsoft 365 de energiesector helpt om over te stappen op een modern samenwerkingsplatform en tegelijkertijd gegevens en systemen veilig en compatibel te houden met regelgeving:

  • Een uitgebreid samenwerkingsplatform bieden met Microsoft Teams
  • Veilige en conforme samenwerking bieden in de energiesector
  • Gevoelige gegevens identificeren en verlies van gegevens voorkomen
  • Gegevens beheren door records effectief te beheren
  • Voldoen aan de FERC- en FTC-voorschriften voor energiemarkten
  • Beschermen tegen data-exfiltratie en interne risico's

Als Microsoft-partner heeft Protiviti bijgedragen aan dit artikel door belangrijke feedback te geven.

Een uitgebreid samenwerkingsplatform bieden met Microsoft Teams

Samenwerking vereist meestal verschillende vormen van communicatie, de mogelijkheid om documenten op te slaan en te openen en de mogelijkheid om zo nodig andere toepassingen te integreren. Of het nu gaat om wereldwijde ondernemingen of lokale bedrijven, werknemers in de energiesector moeten doorgaans samenwerken en communiceren met leden van andere afdelingen of tussen teams. Bovendien moeten ze vaak communiceren met externe partners, leveranciers of klanten. Daarom wordt het meestal niet aanbevolen om gebruik te maken van systemen die silo's bevorderen of het delen van informatie bemoeilijken. We willen er toch voor zorgen dat werknemers informatie veilig en conform beleid delen.

Door werknemers een modern samenwerkingsplatform in de cloud te bieden waarmee ze de hulpprogramma's kunnen kiezen die hen het meest productief maken, kunnen ze de beste manieren vinden om te werken en samen te werken. Met Microsoft Teams, samen met beveiligingsbeheer en governancebeleid ter bescherming van de organisatie, kunnen uw werknemers eenvoudig samenwerken in de cloud.

Microsoft Teams biedt een samenwerkingshub voor uw organisatie, waar mensen kunnen samenwerken aan gemeenschappelijke initiatieven of projecten. Teamleden kunnen hiermee gesprekken voeren, samenwerken en documenten cocreatie. Hiermee kunnen mensen bestanden opslaan en delen met teamleden of met personen buiten het team. Het stelt hen ook in staat om live-vergaderingen te houden met geïntegreerde spraak en video. Microsoft Teams kan worden aangepast met eenvoudige toegang tot Microsoft-apps zoals Planner, Dynamics 365, Power BI en andere externe line-of-business-applicaties. Teams vereenvoudigt de toegang tot Office 365-services en apps van derden om samenwerking en communicatiebehoeften voor de organisatie te centraliseren.

Elk Microsoft-team wordt ondersteund door een Office 365-groep. Een Office 365-groep wordt beschouwd als de lidmaatschapsprovider voor Office 365-services, waaronder Microsoft Teams. Office 365-groepen worden gebruikt om veilig te bepalen welke gebruikers als lid worden beschouwd en wie de eigenaren van de groep zijn. Met dit ontwerp kunnen we eenvoudig bepalen welke gebruikers toegang hebben tot verschillende mogelijkheden binnen Teams. Als gevolg hiervan hebben teamleden en eigenaren alleen toegang tot de mogelijkheden die ze mogen gebruiken.

Een veelvoorkomend scenario waarbij Microsoft Teams energieorganisaties kan helpen, is de samenwerking met aannemers of externe bedrijven als onderdeel van een fieldserviceprogramma, zoals het beheer van de natuurlijke begroeiing. Aannemers hebben vaak als taak om de begroeiing te beheersen en bomen rond de installaties van een energiesysteem te verwijderen. Ze moeten vaak werkinstructies ontvangen, communiceren met dispatchers en andere buitendienstmedewerkers, foto's van externe omgevingen maken en delen, zich afmelden wanneer het werk is voltooid en gegevens delen met het hoofdkantoor. Traditioneel worden deze programma's uitgevoerd met behulp van telefoon-, sms-, papieren werkorders of aangepaste toepassingen. Deze methode kan veel uitdagingen opleveren. Bijvoorbeeld:

  • Processen zijn handmatig of analoog, waardoor het moeilijk is om statistieken bij te houden
  • Communicatie wordt niet allemaal op één plek vastgelegd
  • Gegevens worden opgeslagen en niet per se gedeeld met alle medewerkers die ze nodig hebben
  • Werk wordt mogelijk niet consistent of efficiënt uitgevoerd
  • Aangepaste toepassingen zijn niet geïntegreerd met hulpprogramma's voor samenwerking, waardoor het moeilijk is om gegevens te extraheren en te delen of prestaties te meten

Microsoft Teams biedt een gebruiksvriendelijke samenwerkingsruimte om informatie veilig te delen en gesprekken te voeren tussen teamleden en externe buitendienstaannemers. U kunt Teams gebruiken om vergaderingen te houden, audiogesprekken te voeren, werkorders centraal op te slaan en te delen, veldgegevens te verzamelen, foto's te uploaden, line-of-business-apps te integreren en om te integreren met oplossingen voor bedrijfsprocessen (gemaakt met Power Apps en Power Automate). Dit type veldservicegegevens kan worden beschouwd als een lage impact; Efficiëntie kan echter worden bereikt door in deze scenario's de communicatie en toegangsgegevens tussen werknemers en buitendienstmedewerkers te centraliseren.

Een ander voorbeeld waar Microsoft Teams de energiesector kan bijstaan, is wanneer buitendienstpersoneel bezig is om de service te herstellen tijdens een storing. Veldmedewerkers hebben vaak snelle toegang nodig tot schematische gegevens van verdeelstations en centrales of blauwdrukken voor assets in het veld. Deze gegevens worden beschouwd als erg belangrijk en moeten worden beschermd volgens de NERC CIP-voorschriften. Buitendienstwerk tijdens storingen vereist communicatie tussen buitendienst- en kantoormedewerkers, en met eindklanten. Door de communicatie en het delen van gegevens in Microsoft Teams te centraliseren, kunnen buitendienstmedewerkers gemakkelijk toegang krijgen tot kritieke gegevens en informatie of status doorgeven aan het hoofdkantoor. Met Microsoft Teams kunnen medewerkers in het veld bijvoorbeeld deelnemen aan telefonische vergaderingen terwijl ze onderweg zijn naar een storing. Buitendienstmedewerkers kunnen ook foto's of video's van hun omgeving maken en deze delen met het hoofdkantoor, wat vooral belangrijk is wanneer veldapparatuur niet overeenkomt met schema's. De gegevens en status die uit het veld zijn verzameld, kunnen vervolgens worden doorgegeven aan kantoormedewerkers en managers via datavisualisatietools zoals Power BI. Uiteindelijk kan Microsoft Teams de buitendienstmedewerkers in deze kritieke situaties efficiënter en productiever maken.

Teams: betere samenwerking en minder compliancerisico

Microsoft 365 biedt algemene beleidsmogelijkheden voor Microsoft Teams door het gebruik van Office 365 Groepen als onderliggende lidmaatschapsprovider. Met dit beleid kunt u de samenwerking verbeteren en aan de compliancevereisten voldoen.

Met Naamgevingsbeleid van Microsoft 365 Groepen wordt gewaarborgd dat de namen van Office 365-groepen, en dus Microsoft Teams, worden bepaald aan de hand van het bedrijfsbeleid. Onjuiste of onduidelijke namen van teams kunnen problematisch zijn. Werknemers weten bijvoorbeeld niet in welke teams ze moeten werken of informatie moeten delen als ze een onjuiste naam hebben. Groepsnaambeleid helpt bij het afdwingen van goede hygiëne en kan ook het gebruik van specifieke woorden, zoals gereserveerde woorden of ongepaste terminologie, voorkomen.

Office 365 verloopbeleid voor groepen helpt ervoor te zorgen dat Office 365 Groepen, en dus Microsoft Teams, niet langer worden bewaard dan vereist door de organisatie. Met deze functie voorkomt u twee belangrijke problemen met informatiebeheer:

  • De verspreiding van Microsoft Teams die niet nodig of niet gebruikt wordt
  • Het overmatig bewaren van gegevens die de organisatie niet meer nodig heeft

Beheerders kunnen een vervalperiode in dagen opgeven voor Office 365-groepen (bijvoorbeeld 90, 180 of 365 dagen). Als een service die wordt ondersteund door een Office 365 groep, inactief is tijdens de vervalperiode, krijgen groepseigenaren een melding. Als er geen actie wordt ondernomen, worden de Office 365-groep en alle bijbehorende services, waaronder Microsoft Teams, verwijderd.

Een te lange retentie van gegevens in een Microsoft-team kan juridische risico's opleveren voor organisaties. Het gebruik van verloopbeleid is een aanbevolen methode voor het beschermen van de organisatie. In combinatie met ingebouwde bewaarlabels en -beleid helpt Microsoft 365 ervoor te zorgen dat organisaties alleen de gegevens bewaren die nodig zijn om te voldoen aan het bedrijfsbeleid en wettelijke complianceverplichtingen.

Teams: eenvoudig aangepaste vereisten integreren

Met Microsoft Teams kunt u standaard zelf teams maken. Veel gereguleerde organisaties willen echter weten en zelf kunnen bepalen welke samenwerkingsruimten momenteel door werknemers worden gebruikt, welke ruimten gevoelige gegevens bevatten en wie de eigenaren zijn van de ruimten in de hele organisatie. Microsoft 365 vergemakkelijkt deze controles door organisaties in staat te stellen de selfservice voor het maken van teams uit te schakelen. Met ingebouwde Microsoft 365-automatiseringsprogramma's voor bedrijfsprocessen, zoals Power Apps en Power Automate, kunnen organisaties eenvoudige processen maken om een nieuw Team aan te vragen. Door een eenvoudig te gebruiken formulier in te vullen, kan een goedkeuring automatisch worden aangevraagd door een manager. Na goedkeuring kan het team automatisch worden ingericht en ontvangt de aanvrager een link naar zijn nieuwe team. Via dergelijke processen kunnen organisaties ook aangepaste vereisten integreren om andere bedrijfsprocessen te vergemakkelijken.

Veilige en conforme samenwerking bieden in de energiesector

Zoals gezegd hebben Microsoft Office 365 en Office 365 U.S. Government elk een FedRAMP ATO verkregen op het niveau 'Moderate'. Azure en Azure Government hebben een FedRAMP High P-ATO verkregen. Dit is het hoogste niveau van de FedRAMP-autorisaties. Bovendien omvat de gematigde controleset van FedRAMP alle NERC CIP-vereisten, waardoor organisaties in de energiesector ('geregistreerde entiteiten') bestaande FedRAMP-autorisaties kunnen benutten als een schaalbare en efficiënte benadering om aan de NERC-auditvereisten te voldoen. Het is echter belangrijk om te weten dat FedRAMP geen point-in-time certificering is, maar een evaluatie- en autorisatieprogramma dat voorzieningen bevat voor continue bewaking. Deze bepaling is hoofdzakelijk van toepassing is op de CSP, maar Microsoft-klanten die bulkstroomsystemen gebruiken, moeten zelf waarborgen dat ze voldoen aan de NERC CIP-normen. Het is over het algemeen een aanbevolen praktijk om de nalevingspostuur van de organisatie continu te bewaken om ervoor te zorgen dat de regelgeving voortdurend wordt nageleefd.

Microsoft biedt een belangrijk hulpmiddel voor het controleren van de naleving van regelgeving gedurende een bepaalde periode:

  • Microsoft Purview-compliancebeheer helpt organisaties inzicht te krijgen in de huidige situatie op het gebied van compliance, met de nodige acties voor verbetering. In Compliancebeheer wordt een op risico gebaseerde score berekend om de voortgang te meten van acties die de risico's rond gegevensbescherming en regelgevingsnormen helpen verminderen. Compliancebeheer biedt een initiële score op basis van de Microsoft 365-baseline voor gegevensbescherming. Deze basislijn bestaat uit een set controles die algemene branchevoorschriften en -normen bevatten. Deze score is een goed startpunt, maar Compliancebeheer wordt krachtiger zodra een organisatie evaluaties toevoegt die relevanter zijn voor de betreffende branche. Compliancebeheer ondersteunt enkele regelgevende normen die relevant zijn voor NERC CIP-complianceverplichtingen, waaronder de FedRAMP Moderate Control Set, NIST 800-53 Rev. 4 en AICPA SOC 2. Organisaties in de energiesector kunnen indien nodig ook aangepaste controlesets maken of importeren.

Met de ingebouwde werkstroommogelijkheden van Compliancebeheer kunnen energieorganisaties hun processen voor naleving van de regelgeving transformeren en digitaliseren. Complianceteams in de energie-industrie staan traditioneel voor de volgende uitdagingen:

  • Inconsistente rapportage of het volgen van de voortgang van herstelmaatregelen
  • Inefficiënte of ineffectieve processen
  • Onvoldoende middelen of gebrek aan eigendom
  • Gebrek aan realtime informatie en menselijke fouten

Door aspecten van complianceprocessen van regelgeving te automatiseren met behulp van Compliancebeheer kunnen organisaties de administratieve last voor juridische en compliancefuncties verminderen. Met deze hulpprogramma's kunt u deze uitdagingen het hoofd bieden door meer up-to-date informatie te verstrekken over herstelacties, consistentere rapportage te bieden en te documenteren wie verantwoordelijk is voor acties (en de implementatie daarvan). Organisaties kunnen herstelacties in de loop van de tijd automatisch volgen en algemene efficiëntieverbeteringen zien. Met deze functie kunnen medewerkers zich meer richten op het verkrijgen van inzichten en het ontwikkelen van strategieën om effectiever door risico's te navigeren.

Compliancebeheer geeft geen absolute maatstaf voor de naleving van een bepaalde norm of regelgeving. Het geeft aan in hoeverre u maatregelen hebt genomen om de risico's voor persoonsgegevens en individuele privacy te verminderen. Aanbevelingen van Compliancebeheer mogen niet worden geïnterpreteerd als een garantie voor naleving. De acties van de klant die in Compliancebeheer worden voorgesteld, zijn aanbevelingen. Het is aan elke organisatie om de effectiviteit van deze aanbevelingen te evalueren om te voldoen aan hun wettelijke verplichtingen voorafgaand aan de implementatie. Aanbevelingen in Compliancebeheer mogen niet worden geïnterpreteerd als een garantie voor naleving.

Veel controles voor cyberbeveiliging zijn opgenomen in de FedRAMP Moderate-controleset en de NERC CIP-normen. Belangrijke besturingselementen voor het Microsoft 365-platform bestaan echter uit beveiligingsbeheer (overschrijving-003-6), account- en toegangsbeheer/toegang (overschrijving-004-6), elektronische beveiligingsverbindingen (overschrijving-005-5), controle van beveiligingsgebeurtenissen en reacties op incidenten (overschrijvingen-008-5). De volgende basismogelijkheden van Microsoft 365 helpen bij het aanpakken van de risico's en vereisten in deze artikelen.

Veilige gebruikersidentiteiten en toegangsbeheer

Het beveiligen van de toegang tot documenten en toepassingen begint met de sterke beveiliging van gebruikersidentiteiten. Als basis moet deze actie een veilig platform bieden voor de onderneming om identiteiten op te slaan en te beheren en een vertrouwd verificatiemiddel te bieden. Bovendien moet de toegang tot deze toepassingen dynamisch worden beheerd. Terwijl werknemers werken, kunnen ze zich verplaatsen van toepassing naar toepassing of over meerdere locaties en apparaten. De toegang tot gegevens moet bij elke stap worden geverifieerd. Daarnaast moet het verificatieproces ondersteuning bieden voor een sterk protocol en meerdere verificatiefactoren (eenmalige sms-wachtwoordcode, authenticator-app, certificaat, enzovoort) om ervoor te zorgen dat identiteiten niet zijn aangetast. Ten slotte is het afdwingen van op risico gebaseerd toegangsbeleid essentieel om gegevens en toepassingen te beschermen tegen interne bedreigingen, onopzettelijke gegevenslekken en gegevensexfiltratie.

Microsoft 365 biedt een beveiligd identificatieplatform met Microsoft Entra ID waar identiteiten centraal worden opgeslagen en veilig worden beheerd. Microsoft Entra ID vormt, samen met een groot aantal gerelateerde Microsoft 365-beveiligingsservices, de basis om werknemers de toegang te bieden die ze nodig hebben om veilig te werken en tegelijkertijd de organisatie te beschermen tegen bedreigingen.

Microsoft Entra meervoudige verificatie (MFA) is ingebouwd in het platform en biedt een extra beveiligingslaag om ervoor te zorgen dat gebruikers zijn wie ze zeggen te zijn bij het openen van gevoelige gegevens en toepassingen. Microsoft Entra meervoudige verificatie vereist ten minste twee vormen van verificatie, zoals een wachtwoord en een bekend mobiel apparaat. Het ondersteunt verschillende opties voor tweefactorverificatie, waaronder de Microsoft Authenticator-app, een eenmalige toegangscode die via sms wordt bezorgd, een automatisch telefoongesprek waarbij een gebruiker een pincode moet invoeren, en smartcards of op certificaten gebaseerde authenticatie. Als het wachtwoord wordt aangetast, heeft een potentiële hacker de telefoon van de gebruiker nog steeds nodig om toegang te krijgen tot organisatiegegevens. Bovendien gebruikt Microsoft 365 moderne verificatie als een belangrijk protocol, dat dezelfde krachtige verificatie-ervaring van webbrowsers biedt voor de samenwerkingstools, waaronder Microsoft Outlook en andere Microsoft Office-toepassingen.

Microsoft Entra Voorwaardelijke toegang biedt een robuuste oplossing voor het automatiseren van beslissingen over toegangsbeheer en het afdwingen van beleid om bedrijfsactiva te beveiligen. Een veelvoorkomend voorbeeld is wanneer een werknemer toegang probeert te krijgen tot een toepassing die gevoelige klantgegevens bevat en deze automatisch een meervoudige verificatie moet uitvoeren. Voorwaardelijke toegang van Azure brengt signalen van de toegangsaanvraag van een gebruiker samen (zoals eigenschappen over de gebruiker, het apparaat, de locatie, het netwerk en de app of opslagplaats die ze proberen te openen). De app kan dynamisch elke poging voor toegang tot de toepassing evalueren aan de hand van het geconfigureerde beleid. Als het gebruikers- of apparaatrisico verhoogd is of als niet aan andere voorwaarden wordt voldaan, wordt Microsoft Entra ID beleid automatisch afgedwongen (zoals het dynamisch vereisen van MFA, het beperken of zelfs blokkeren van toegang). Dit ontwerp helpt ervoor te zorgen dat gevoelige assets worden beveiligd in dynamisch veranderende omgevingen.

Microsoft Defender voor Office 365 biedt een geïntegreerde service waarmee organisaties worden beschermd tegen schadelijke koppelingen en malware die binnenkomen via e-mail. Een van de meest voorkomende aanvalsvectoren die momenteel van invloed zijn op gebruikers, is phishing-aanvallen via e-mail. Deze aanvallen zijn nauw gericht op specifieke, belangrijke werknemers en kunnen zeer overtuigend zijn. Ze bevatten meestal een call-to-action waarvoor een gebruiker een schadelijke koppeling moet selecteren of een bijlage met malware moet openen. Eenmaal besmet, kan een aanvaller de inloggegevens van een gebruiker stelen en zich ongehinderd binnen de organisatie verplaatsen. Ze kunnen ook e-mailberichten en gegevens exfiltreren, op zoek naar gevoelige informatie. Microsoft Defender voor Office 365 evalueert koppelingen tijdens het klikken op mogelijk schadelijke sites en blokkeert deze. E-mailbijlagen worden geopend in een beveiligde sandbox voordat ze worden bezorgd in het postvak van een gebruiker.

Microsoft Defender for Cloud-apps biedt organisaties de mogelijkheid beleid af te dwingen op gedetailleerd niveau. Dit ontwerp omvat het detecteren van gedragsafwijkingen op basis van afzonderlijke gebruikersprofielen die automatisch worden gedefinieerd met behulp van Machine Learning. Defender for Cloud-apps bouwt voort op het beleid van voorwaardelijke toegang voor Azure door aanvullende signalen te evalueren met betrekking tot gebruikersgedrag en eigenschappen van de documenten die worden gebruikt. Defender voor Cloud-apps leert geleidelijk het gebruikelijke gedrag van de werknemers (de gegevens die ze openen en de toepassingen die ze gebruiken). Op basis van aangeleerde gedragspatronen kan beleid automatisch beveiligingscontroles afdwingen als een medewerker niet volgens dit gedragsprofiel handelt. Als een werknemer bijvoorbeeld van maandag tot en met vrijdag van 9:00 tot 17:00 uur toegang heeft tot een boekhoud-app, maar dezelfde gebruiker op zondagavond intensief toegang heeft tot die toepassing, kan Defender for Cloud Apps dynamisch beleid afdwingen om te vereisen dat de gebruiker zich opnieuw moet verifiëren. Deze vereiste helpt ervoor te zorgen dat referenties niet zijn gecompromitteerd. Daarnaast kan Defender for Cloud-apps helpen bij het ontdekken en identificeren van schaduw-IT in de organisatie. Deze functie helpt InfoSec-teams ervoor te zorgen dat werknemers goedgekeurde hulpprogramma's gebruiken bij het werken met gevoelige gegevens. Ten slotte kunnen Defender voor Cloud-apps gevoelige gegevens overal in de cloud beveiligen, zelfs buiten het Microsoft 365-platform. Hiermee kunnen organisaties specifieke externe cloud-apps goedkeuren (of de goedkeuring ervan ongedaan maken), waardoor de toegang en bewaking worden beheerd wanneer gebruikers in die toepassingen werken.

Microsoft Entra ID en de bijbehorende Microsoft 365-beveiligingsservices vormen de basis waarop een modern samenwerkingsplatform in de cloud kan worden geïmplementeerd voor organisaties in de energiesector. Microsoft Entra ID bevat besturingselementen om de toegang tot gegevens en toepassingen te beveiligen. Deze besturingselementen bieden niet alleen sterke beveiliging, maar helpen organisaties ook om te voldoen aan de vereisten voor naleving van de regelgeving.

Microsoft Entra ID- en Microsoft 365-services en zijn diep geïntegreerd en bieden de volgende belangrijke mogelijkheden:

  • Centraal opslaan en veilig beheren van gebruikersidentiteiten.
  • Gebruik een sterk verificatieprotocol, inclusief meervoudige verificatie, om gebruikers te verifiëren bij toegangsaanvragen
  • Een consistente en krachtige verificatie-ervaring bieden in elke toepassing
  • Dynamisch valideren van beleid voor alle toegangsaanvragen, waarbij meerdere signalen worden opgenomen in het besluitvormingsproces van het beleid, waaronder identiteit, lidmaatschap van gebruikers/groepen, toepassing, apparaat, netwerk, locatie en realtime risicoscore.
  • Gedetailleerd beleid valideren op basis van gebruikersgedrag en bestandseigenschappen en dynamisch aanvullende beveiligingsmaatregelen afdwingen wanneer dat nodig is.
  • 'Schaduw-IT' in de organisatie identificeren en InfoSec-teams toestaan om cloudtoepassingen te accepteren of te blokkeren.
  • De toegang tot Microsoft- en niet-Microsoft-cloudtoepassingen bewaken en beheren.
  • Proactief beschermen tegen phishing- en ransomwareaanvallen via e-mail.

Gevoelige gegevens identificeren en verlies van gegevens voorkomen

De FedRAMP Moderate Control Set en NERC CIP-standaarden omvatten ook informatiebescherming als een belangrijke controlevereiste (CIP-011-2). Deze vereisten zijn specifiek bedoeld voor de identificatie van cybersysteeminformatie van bulkstroomsystemen (BES (Bulk Electric System) Cyber System Information) en de bescherming en veilige verwerking van die informatie (inclusief opslag, transmissie en gebruik). Specifieke voorbeelden van BES Cyber System Information kunnen beveiligingsprocedures of beveiligingsinformatie zijn over systemen die essentieel zijn voor het gebruik van het bulk-elektrische systeem (BES Cyber Systems, Physical Access Control Systems en Electronic Access Control of bewakingssystemen) die niet openbaar beschikbaar zijn en kunnen worden gebruikt om onbevoegde toegang of onbevoegde distributie toe te staan. Maar ook de identificatie en bescherming van klantgegevens is essentieel voor de dagelijkse bedrijfsvoering van energieorganisaties.

Met Microsoft 365 kunnen gevoelige gegevens binnen de organisatie worden geïdentificeerd en beschermd door een combinatie van krachtige mogelijkheden, waaronder:

  • Microsoft Purview Information Protection voor classificatie op basis van gebruikers en automatische classificatie van gevoelige gegevens

  • Microsoft Purview-preventie van gegevensverlies (DLP) voor automatische identificatie van gevoelige gegevens met behulp van gevoelige gegevenstypen (dat wil gezegd, reguliere expressies) en trefwoorden, en beleidshandhaving

Met Microsoft Purview Information Protection kunnen werknemers documenten en e-mails classificeren met gevoeligheidslabels. Gevoeligheidslabels kunnen door gebruikers handmatig worden toegepast op documenten in Microsoft Office-toepassingen en e-mailberichten in Microsoft Outlook. Met vertrouwelijkheidslabels kunnen automatisch markeringen worden toegepast in documenten. Daarnaast kunnen documenten worden beveiligd via versleuteling en kan het beheer van rechten worden afgedwongen. Vertrouwelijkheidslabels kunnen ook automatisch worden toegepast door beleid te configureren dat gebruikmaakt van trefwoorden en gevoelige gegevenstypen (creditcardnummers, burgerservicenummers, identiteitsnummers, enzovoort).

Microsoft biedt ook trainbare classificaties. Hierbij worden machine learning-modellen gebruikt om gevoelige gegevens te identificeren op basis van de inhoud, in plaats van alleen door middel van patroonovereenkomst of bepaalde elementen in de inhoud. Een classificatie leert hoe een type inhoud kan worden geïdentificeerd aan de hand van talloze voorbeelden van de inhoud die moet worden geclassificeerd. U kunt een classificatie trainen door voorbeelden van de inhoud van een bepaalde categorie toe te voegen. Wanneer de voorbeelden zijn verwerkt, wordt het model getest door een combinatie in te voeren van zowel overeenkomende als niet-overeenkomende voorbeelden. De classificatie voorspelt vervolgens of een bepaald voorbeeld al dan niet in de categorie valt. Een persoon bevestigt vervolgens de resultaten, waarbij de positieve waarden, negatieve waarden, fout-positieven en fout-negatieven worden gesorteerd om nauwkeurigere voorspellingen te krijgen. Wanneer de getrainde classificatie wordt gepubliceerd, wordt inhoud in SharePoint Online, Exchange Online en OneDrive verwerkt en automatisch geclassificeerd.

Door vertrouwelijkheidslabels toe te passen op documenten en e-mailberichten, worden metagegevens in het object ingesloten waarmee de gekozen gevoeligheid wordt geïdentificeerd, waardoor de vertrouwelijkheid met de gegevens kan worden meebereisd. Als gevolg hiervan is het nog steeds beveiligd, zelfs als een gelabeld document is opgeslagen op het bureaublad van een gebruiker of in een on-premises systeem. Met dit ontwerp kunnen andere Microsoft 365-oplossingen, zoals Microsoft Defender for Cloud Apps- of netwerkrandapparaten, gevoelige gegevens identificeren en automatisch beveiligingscontroles afdwingen. Gevoeligheidslabels hebben het extra voordeel dat ze werknemers leren welke gegevens binnen een organisatie als gevoelig worden beschouwd en hoe deze gegevens moeten worden verwerkt.

Microsoft Purview-preventie van gegevensverlies (DLP) identificeert automatisch documenten, e-mailberichten en gesprekken die gevoelige gegevens bevatten door deze items te scannen op gevoelige gegevenstypen en vervolgens beleid af te dwingen voor deze objecten. Beleidsregels worden afgedwongen voor documenten in SharePoint en OneDrive voor Bedrijven. Beleid wordt ook afgedwongen wanneer gebruikers e-mailberichten verzenden en tijdens chat- en kanaalgesprekken in Microsoft Teams. Het beleid kan worden geconfigureerd op het zoeken naar trefwoorden, gevoelige gegevenstypen, retentielabels en of gegevens binnen de organisatie of extern worden gedeeld. Met beleidsregels kunnen organisaties het DLP-beleid aanpassen om fout-positieven te beperken. Wanneer gevoelige gegevens worden gevonden, kunnen aanpasbare beleidstips worden weergegeven voor gebruikers binnen Microsoft 365-toepassingen. Beleidstips informeren gebruikers dat hun inhoud gevoelige gegevens bevat, met de corrigerende maatregelen die kunnen worden genomen. Met beleid kunt u ook voorkomen dat gebruikers documenten openen of delen of e-mailberichten verzenden die bepaalde typen gevoelige gegevens bevatten. Microsoft 365 ondersteunt meer dan 100 ingebouwde typen gevoelige gegevens. Organisaties kunnen aangepaste gevoelige gegevenstypen configureren om te voldoen aan hun beleid.

Voor het uitrollen van Microsoft Purview Information Protection- en DLP-beleid voor organisaties is een zorgvuldige planning vereist. Daarnaast moeten ook de gebruikers zijn getraind, zodat werknemers het gegevensclassificatieschema van de organisatie begrijpen en weten welke typen gegevens gevoelig zijn. Door werknemers tools en onderwijsprogramma's te bieden waarmee ze gevoelige gegevens kunnen identificeren en begrijpen hoe ze ermee om moeten gaan, worden ze onderdeel van de oplossing voor het beperken van informatiebeveiligingsrisico's.

Gegevens beheren door records effectief te beheren

Regelgeving vereist dat veel organisaties de bewaring van belangrijke organisatiedocumenten beheren volgens een beheerd retentieschema voor bedrijven. Organisaties lopen risico's op het gebied van naleving van de regelgeving als gegevens te vroeg worden verwijderd of juridische risico's als gegevens te lang worden bewaard. Effectieve strategieën voor recordbeheer helpen waarborgen dat organisatiedocumenten worden bewaard gedurende vooraf bepaalde retentieperioden waarmee het risico voor de organisatie wordt geminimaliseerd. Retentieperioden worden voorgeschreven in een centraal beheerde planning voor de retentie van organisatierecords. Retentieperioden zijn gebaseerd op de aard van elk type document, de nalevingsvereisten van de regelgeving voor het bewaren van specifieke typen gegevens en het gedefinieerde beleid van de organisatie.

Voor het nauwkeurig toewijzen van bewaarperioden voor records in organisatiedocumenten is mogelijk een gedetailleerd proces vereist waarmee bewaarperioden uniek worden toegewezen aan afzonderlijke documenten. Het toepassen van retentiebeleid voor grote hoeveelheden records kan om diverse redenen lastig zijn. Denk bijvoorbeeld aan het grote aantal documenten binnen organisaties in de energie-industrie en het feit dat retentieperioden vaak kunnen worden getriggerd door gebeurtenissen binnen de organisatie (zoals contracten die verlopen of een werknemer die de organisatie verlaat).

Microsoft 365 biedt functionaliteit voor het definiëren van retentielabels en bewaarbeleid om de vereisten voor recordbeheer eenvoudig te implementeren. Een recordmanager definieert een retentielabel, dat een 'recordtype' aanduidt in een traditioneel bewaarschema. Het retentielabel bevat instellingen waarmee deze details worden gedefinieerd:

  • Hoelang een record wordt bewaard
  • De gelijktijdigheidsvereisten of wat er gebeurt wanneer de bewaartermijn verloopt (verwijder het document, start een verwijderingsbeoordeling of onderneem geen actie)
  • Wat triggert het begin van de bewaartermijn (aanmaakdatum, laatste wijzigingsdatum, gelabelde datum of een gebeurtenis), en
  • Als het document of e-mailbericht een record is (wat betekent dat het niet kan worden bewerkt of verwijderd)

De retentielabels worden vervolgens gepubliceerd naar SharePoint- en OneDrive-sites, Exchange-postvakken en Office 365 Groepen. Gebruikers kunnen vervolgens handmatig retentielabels toepassen op documenten en e-mailberichten. Recordmanagers kunnen ook regels gebruiken om retentielabels automatisch toe te passen. Regels voor automatisch toepassen kunnen worden gebaseerd op trefwoorden of gevoelige gegevens in documenten of e-mailberichten, zoals creditcardnummers, burgerservicenummers of andere persoonsgegevens (PII). Regels voor automatisch toepassen kunnen ook worden gebaseerd op SharePoint-metagegevens.

De FedRAMP Moderate Control Set en NERC CIP-standaarden omvatten ook het hergebruik en het verwijderen van activa als een belangrijke controlevereiste (CIP-011-2). Deze vereisten hebben opnieuw specifiek betrekking op BES (Bulk Electric System) Cyber System Information. Andere juridische voorschriften vereisen echter dat organisaties in de energiesector records effectief beheren en verwijderen voor vele soorten informatie. Het kan bijvoorbeeld gaan om financiële overzichten, kapitaalprojectgegevens, budgetten, klantgegevens, enzovoort. In alle gevallen zijn energieorganisaties verplicht krachtige programma's voor recordbeheer te onderhouden en bewijs met rechtvaardiging bij te houden over de verwijdering van bedrijfsrecords.

Voor elk bewaarlabel stelt Microsoft 365 recordmanagers in staat om te bepalen of een verwijderingscontrole vereist is. Wanneer die recordtypen vervolgens voor verwijdering ter beschikking worden gesteld, nadat hun bewaartermijn is verstreken, moet een beoordeling worden uitgevoerd door de aangewezen reviewers voordat de inhoud wordt verwijderd. Zodra de verwijderingsbeoordeling is goedgekeurd, wordt de inhoud verwijderd. Het bewijs van de verwijdering (de gebruiker die de inhoud heeft verwijderd en de datum/tijd waarop dat is gebeurd) blijft echter nog meerdere jaren bewaard als certificaat van vernietiging. Als organisaties langere of permanente bewaring van certificaten van vernietiging vereisen, kunnen ze Microsoft Sentinel gebruiken voor langetermijnopslag in de cloud van logboek- en auditgegevens. Met Microsoft Sentinel hebben organisaties volledige controle over de opslag en het bewaren van activiteitsgegevens, logboekgegevens en retentie-/verwijderingsgegevens voor de lange termijn.

Voldoen aan de FERC- en FTC-voorschriften voor energiemarkten

De Amerikaanse Federal Energy Regulatory Commission (FERC) houdt toezicht op voorschriften met betrekking tot energiemarkten en handel in elektrische energie en aardgas. De Amerikaanse Federal Trade Commission (FTC) houdt toezicht op vergelijkbare voorschriften op de aardoliemarkt. In beide gevallen stellen deze regelgevende instanties regels en richtlijnen op die de manipulatie van energiemarkten verbieden. FERC beveelt bijvoorbeeld aan dat energiebedrijven investeren in technologische middelen om handel, communicatie tussen bedrijven en naleving van interne controles te bewaken. Regelgevers raden ook aan dat energieorganisaties regelmatig de continue effectiviteit van hun complianceprogramma evalueren.

Traditioneel zijn oplossingen voor communicatiebewaking kostbaar en de configuratie en het beheer zijn vaak complex. Organisaties kunnen ook moeite hebben om de vele diverse communicatiekanalen te bewaken die beschikbaar zijn voor werknemers. Microsoft 365 biedt verschillende ingebouwde robuuste mogelijkheden voor het bewaken van de communicatie van werknemers, het toezicht houden op de activiteiten van werknemers en het helpen voldoen aan de FERC-voorschriften voor energiemarkten.

Toezichtscontrole implementeren

Microsoft 365 stelt organisaties in staat toezichtbeleid te configureren dat de communicatie van werknemers vastlegt (op basis van geconfigureerde voorwaarden) en staat toe dat deze worden beoordeeld door aangewezen toezichthouders. Met toezichtbeleid kunt u diverse vormen van communicatie vastleggen, zoals interne/externe e-mail en bijlagen, chat- en kanaalcommunicatie in Microsoft Teams, online chatcommunicatie en -bijlagen in Skype voor Bedrijven en communicatie via services van derden (zoals Facebook of Dropbox).

De uitgebreide aard van de communicatie die kan worden vastgelegd en beoordeeld binnen een organisatie en de uitgebreide voorwaarden waarmee beleid kan worden geconfigureerd, maken het microsoft 365-toezichtsbeleid mogelijk om organisaties te helpen te voldoen aan ferc-regelgeving op de energiemarkt. Toezichtbeleid kan worden geconfigureerd om communicatie voor personen of groepen te beoordelen. Daarnaast kunnen supervisors worden geconfigureerd als individuen of groepen. Er kunnen uitgebreide voorwaarden worden geconfigureerd om communicatie vast te leggen op basis van inkomende of uitgaande berichten, domeinen, retentielabels, trefwoorden of zinnen, trefwoordwoordenboeken, gevoelige gegevenstypen, bijlagen, berichtgrootte of bijlagegrootte. Reviewers krijgen een dashboard waarin ze gemarkeerde communicatie kunnen beoordelen, kunnen reageren op communicatie die mogelijk het beleid schendt en gemarkeerde items als opgelost kunnen markeren. Ze kunnen ook de resultaten bekijken van eerdere beoordelingen en items die zijn opgelost.

Microsoft 365 biedt rapporten waarmee activiteiten voor beleidsbeoordeling kunnen worden gecontroleerd op basis van het beleid en de beoordelaar. De beschikbare rapporten kunnen worden gebruikt om te valideren dat het toezichtbeleid werkt zoals gedefinieerd in het schriftelijk vastgelegde toezichtbeleid van organisaties. Rapporten kunnen ook worden gebruikt om communicatie te identificeren die moet worden beoordeeld, inclusief communicatie die niet compatibel is met het bedrijfsbeleid. Ten slotte worden alle activiteiten met betrekking tot het configureren van beleid en het beoordelen van communicatie gecontroleerd in het geïntegreerde Office 365 auditlogboek.

Met toezichtsbeleid van Microsoft 365 kunnen organisaties de communicatie controleren op naleving van bedrijfsbeleid, zoals het lastigvallen van de afdeling personeelszaken en aanstootgevende taal in bedrijfscommunicatie. Daarnaast kunnen organisaties hiermee risico's verminderen door communicatie te bewaken wanneer ze gevoelige veranderingen ondergaan, zoals fusies en overnames of veranderingen in het leiderschap.

Communicatiecompliance

Met de vele communicatiekanalen die beschikbaar zijn voor werknemers, hebben organisaties steeds meer behoefte aan effectieve oplossingen voor het detecteren van of toezien op communicatie in gereguleerde industrieën zoals energiehandelsmarkten. Denk bijvoorbeeld aan het toenemende aantal communicatiekanalen en berichten en het risico van mogelijke boetes voor beleidsovertredingen.

Microsoft Purview Communicatiecompliance is een nalevingsoplossing waarmee communicatierisico's worden geminimaliseerd door je te helpen ongepaste berichten in je organisatie te detecteren, onderzoeken en erop te reageren. Met vooraf gedefinieerd en aangepast beleid kun je interne en externe communicatie scannen op beleidsovereenkomsten, zodat deze kunnen worden gecontroleerd door aangewezen revisoren. Revisoren kunnen gescande e-mail, Microsoft Teams, Viva Engage of communicatie van derden in uw organisatie onderzoeken en de juiste acties ondernemen om ervoor te zorgen dat ze voldoen aan de berichtstandaarden van uw organisatie.

Communication Compliance helpt compliance-teams berichten effectief en efficiënt te beoordelen op mogelijke schendingen van:

  • Bedrijfsbeleid, zoals acceptabel gebruik, ethische normen en bedrijfsspecifiek beleid
  • Gevoeligheid of gevoelige zakelijke onthullingen, zoals ongeoorloofde communicatie over gevoelige projecten zoals aanstaande acquisities, fusies, financiële openbaarmakingen, reorganisaties of veranderingen in het leiderschapsteam
  • Vereisten voor naleving van regelgeving, zoals mededelingen van werknemers over de soorten bedrijven of transacties, waarbij een organisatie zich bezighoudt met naleving van de FERC-voorschriften voor energiemarkten

Communicatiecompliance biedt ingebouwde classificaties voor bedreiging, intimidatie en scheldwoorden die helpen bij het beperken van fout-positieven tijdens de beoordeling van communicatie. Deze classificatie bespaart revisoren tijd tijdens het onderzoek en herstelproces. Het helpt beoordelaars om zich te concentreren op specifieke berichten binnen lange threads die zijn gemarkeerd met beleidswaarschuwingen. Dit resultaat helpt complianceteams sneller risico's te identificeren en te herstellen. Het biedt compliance-teams de mogelijkheid om eenvoudig beleid te configureren en de oplossing aan te passen aan de specifieke behoeften van de organisatie en valse positieven te verminderen. Communicatiecompliance kan ook het gedrag van gebruikers in de loop van de tijd helpen identificeren, waarbij mogelijke patronen in risicovol gedrag of beleidsschendingen worden benadrukt. Ten slotte biedt dit beleid flexibele ingebouwde herstelwerkstromen. Met deze werkstromen kunnen beoordelaars snel actie ondernemen om problemen te escaleren naar de teams van de juridische afdeling of Human Resources, in overeenstemming met gedefinieerde bedrijfsprocessen.

Beschermen tegen data-exfiltratie en interne risico's

Een veelvoorkomende bedreiging voor ondernemingen is de exfiltratie van gegevens of het extraheren van gegevens van een organisatie. Deze actie kan een grote zorg zijn voor energieorganisaties vanwege de gevoelige aard van de informatie waartoe werknemers of medewerkers van de buitendienst dagelijks toegang kunnen krijgen. Deze gegevens omvatten zowel BES (Bulk Electric System) Cyber System Information als bedrijfsgerelateerde informatie en klantgegevens. Vanwege de grotere keuze aan communicatiemethoden en de vele programma's voor het verplaatsen van gegevens hebben organisaties doorgaans geavanceerde hulpmiddelen nodig om de risico's van gegevenslekken, beleidsovertredingen en insider-risico's te beperken.

Intern risicobeheer

Het inschakelen van werknemers met hulpprogramma's voor onlinesamenwerking die overal toegankelijk kunnen zijn, brengt inherent risico's met zich mee voor een organisatie. Werknemers kunnen per ongeluk of kwaadwillig gegevens lekken naar aanvallers of naar concurrenten. Ze kunnen ook gegevens exfiltreren voor persoonlijk gebruik of gegevens meenemen naar een toekomstige werkgever. Deze scenario's brengen ernstige risico's voor de beveiliging en naleving met zich mee voor organisaties. Het identificeren van deze risico's wanneer ze zich voordoen en het snel beperken hiervan, vereist zowel intelligente tools voor gegevensverzameling als samenwerking tussen verschillende afdelingen, zoals juridisch, human resources en gegevensbeveiliging.

Microsoft Purview Intern risicobeheer is een nalevingsoplossing waarmee interne risico's worden geminimaliseerd door je in staat te stellen schadelijke en onbedoelde activiteiten in je organisatie te detecteren, onderzoeken en erop te reageren. Met intern risicobeleid kun je de typen risico's definiëren die je in je organisatie kunt identificeren en detecteren, inclusief het reageren op problemen en indien nodig escaleren van cases naar Microsoft eDiscovery (Premium). Risicoanalisten in je organisatie kunnen snel de juiste acties ondernemen om ervoor te zorgen dat gebruikers voldoen aan de nalevingsstandaarden van je organisatie.

Met intern risicobeheer kunnen bijvoorbeeld signalen van de apparaten van een gebruiker, (zoals het kopiëren van bestanden naar een USB-station of het sturen van een e-mail naar een persoonlijk e-mailaccount), worden gecorreleerd met activiteiten van onlineservices, zoals Office 365-e-mail, SharePoint Online, Microsoft Teams of OneDrive voor Bedrijven om patronen voor gegevensexfiltratie te identificeren. Het kan deze activiteiten ook correleren met werknemers die een organisatie verlaten, wat een veelvoorkomend gedragspatroon is dat verband houdt met gegevensexfiltratie. Er kunnen meerdere activiteiten en gedragspatronen in de loop van de tijd worden gedetecteerd. Wanneer veelvoorkomende patronen zichtbaar worden, kunnen er waarschuwingen worden gegenereerd, waardoor onderzoekers zich beter kunnen richten op belangrijke activiteiten om een beleidsschending met een hoge mate van vertrouwelijkheid te verifiëren. De gegevens van onderzoekers in intern risicobeheer kunnen ook worden verborgen om te voldoen aan de voorschriften voor gegevensprivacy, terwijl ze toch belangrijke activiteiten kunnen ontdekken die helpen om onderzoeken efficiënt uit te voeren. Onderzoekers kunnen belangrijke gegevens over activiteiten bijvoorbeeld verpakken en veilig verzenden naar de juridische afdeling en Human Resources, in overeenstemming met algemene escalatiewerkstromen, om zaken te melden die mogelijk herstelmaatregelen vereisen.

Met intern risicobeheer in Microsoft 365 kunnen organisaties insider-risico's beter detecteren en onderzoeken, terwijl ze nog steeds kunnen voldoen aan de regelgeving voor gegevensprivacy. En wanneer actie op een hoger niveau is vereist, kunnen ze vastgelegde escalatiepaden volgen.

Conclusie

Microsoft 365 biedt een geïntegreerde en uitgebreide oplossing die met Microsoft Teams gebruiksvriendelijke cloudgebaseerde samenwerking in de hele onderneming mogelijk maakt. Microsoft Teams maakt ook betere communicatie en samenwerking met buitendienstmedewerkers mogelijk, waardoor energiebedrijven efficiënter en effectiever kunnen worden. Betere samenwerking binnen de onderneming en met de buitendienst kan energiebedrijven uiteindelijk helpen om klanten beter van dienst te zijn.

Energiebedrijven moeten voldoen aan strikte voorschriften met betrekking tot de manier waarop ze informatie over hun activiteiten en klanten opslaan, beveiligen, beheren en bewaren. Ze moeten ook voldoen aan regelgeving met betrekking tot hoe ze energiemarkten monitoren en manipulatie voorkomen. Microsoft 365 biedt robuuste beveiligingsfuncties om gegevens, identiteiten, apparaten en applicaties te beschermen tegen risico's en te voldoen aan de strikte regels in de energiesector. Er worden ingebouwde hulpprogramma's gebruikt om organisaties werkzaam in de energiesector te helpen hun naleving te evalueren, en om actie te ondernemen en herstelactiviteiten in de loop van de tijd te volgen. Deze hulpprogramma‘s bieden ook eenvoudig te gebruiken methoden voor het bewaken en controleren van communicatie. Het Microsoft 365-platform is gebouwd op basisonderdelen zoals Microsoft Azure en Microsoft Entra ID, waarmee het algehele platform wordt beveiligd en de organisatie wordt geholpen te voldoen aan nalevingsvereisten voor fedRAMP Moderate- en High-controlesets. Dit ontwerp draagt op zijn beurt bij aan het vermogen van een energieorganisatie om te voldoen aan DE NERC CIP-normen.

Over het algemeen helpt Microsoft 365 energiebedrijven om hun organisatie beter te beschermen, robuustere nalevingsprogramma's te hebben en personeel in staat te stellen zich te concentreren op het verkrijgen van betere inzichten en het implementeren van strategieën om risico's te verminderen.