Principais considerações de conformidade e segurança para o setor de energia

  • Artigo

Metáfora de ilustração de uma visão global de várias indústrias utilizando a nuvem.

Introdução

O setor de energia fornece à sociedade combustível e infraestruturas essenciais que as pessoas contam todos os dias. A fim de garantir a confiabilidade da infraestrutura relacionada aos Sistemas Elétricos em Massa, as autoridades reguladoras impõem padrões rigorosos às organizações de energia. Esses padrões regulatórios se relacionam não apenas à geração e transmissão de energia, mas também aos dados e comunicados que são essenciais para as operações rotineiras das empresas de energia.

As organizações do setor de energia trabalham e trocam muitos tipos de informações como parte de suas operações regulares. Essas informações incluem dados do cliente, documentação de design de engenharia de capital, mapas de localização de recursos, artefatos de gerenciamento de projetos, métricas de desempenho, relatórios de serviço de campo, dados ambientais e métricas de desempenho. À medida que essas organizações buscam transformar suas operações e sistemas de colaboração em plataformas digitais modernas, elas estão olhando para a Microsoft como um CSP (Provedor de Serviços de Nuvem) confiável e o Microsoft 365 como sua melhor plataforma de colaboração. Como o Microsoft 365 é desenvolvido na plataforma Microsoft Azure, as organizações precisam examinar as duas plataformas ao avaliar seus controles de conformidade e segurança durante a migração para a nuvem.

Na América do Norte, a Corporação de Confiabilidade Elétrica da América do Norte (NERC) aplica padrões de confiabilidade chamados de Padrões de proteção de infraestrutura crítica (CIP) da NERC. A NERC está sujeita à supervisão da Comissão Federal de Regulamentação de Energia dos EUA (FERC) e das autoridades governamentais do Canadá. Todos os proprietários, operadores e usuários dos Sistemas Elétricos em Massa devem se registrar na NERC e cumprir os padrões de CIP da NERC. Provedores de Serviços de Nuvem e fornecedores de terceiros, como a Microsoft, não estão sujeitos aos padrões DE CIP do NERC. No entanto, os padrões de CIP incluem objetivos que devem ser levados em conta quando Entidades Registradas utilizam fornecedores para operar seu Sistema Elétrico em Massa (BES). Os clientes da Microsoft que operam Sistemas Elétricos em Massa são inteiramente responsáveis por garantir sua própria conformidade com os padrões de CIP da NERC.

Para obter informações sobre os serviços de nuvem da Microsoft e da NERC, consulte os seguintes recursos:

Os padrões regulamentares recomendados a serem considerados pelas organizações de energia incluem o FedRAMP (Programa Federal de Gerenciamento de Riscos e Autorizações dos EUA), que se baseia e aumenta o padrão NIST SP 800-53 Rev 4 (Instituto Nacional de Padrões e Tecnologia).

  • O Microsoft Office 365 e o Office 365 do Governo dos Estados Unidos receberam um ATO FedRAMP (Autorização de Operação) no Nível de Impacto Moderado.
  • O Azure e o Azure Governamental receberam, cada um, uma Autoridade Provisória para Funcionar (P-ATO) do FedRAMP High, que representa o nível mais alto de autorização do FedRAMP.

Para obter mais informações sobre os serviços de nuvem da Microsoft e do FedRAMP, consulte os seguintes recursos:

Essas realizações são significativas para o setor de energia, porque uma comparação entre o conjunto de controles do FedRAMP Moderate e os padrões de CIP da NERC mostra que os controles do FedRAMP Moderate abrangem todos os requisitos de CIP da NERC. Para obter informações adicionais, a Microsoft desenvolveu um Guia de Implementação na Nuvem para Auditorias da NERC, que inclui um mapeamento de controle entre o conjunto atual de padrões de CIP da NERC e o conjunto de controles do FedRAMP Moderate, conforme documentado no NIST 800-53 Rev 4.

Como o setor de energia procura modernizar suas plataformas de colaboração, é necessária uma consideração cuidadosa para configurar e implantar as ferramentas de colaboração e controles de segurança, incluindo:

  • Avaliação de cenários comuns de colaboração
  • Acesso aos dados exigidos pelos funcionários para serem produtivos
  • Requerimentos de conformidade regulamentar
  • Riscos associados a dados, clientes e organização

O Microsoft 365 é um moderno ambiente de nuvem no local de trabalho que proporciona uma colaboração segura e flexível em toda a empresa, incluindo os controles e a implementação de políticas no sentido de aderir às mais rigorosas estruturas de conformidade regulatória. Por meio dos artigos a seguir, este artigo explora como o Microsoft 365 ajuda o setor de energia a migrar para uma plataforma de colaboração moderna, ao mesmo tempo em que ajuda a manter dados e sistemas seguros e em conformidade com as regulamentações:

  • Forneça uma plataforma de colaboração global com o Microsoft Teams
  • Forneça colaboração segura e compatível com o setor de energia
  • Identifique dados confidenciais e evite a perda de dados
  • Controle os dados gerenciando os registros de forma eficaz
  • Cumpra as regulamentações FERC e FTC dos mercados de energia
  • Proteja-se contra exfiltração de dados e riscos internos

Como parceiro da Microsoft, a Protiviti contribuiu e forneceu comentário material para este artigo.

Forneça uma plataforma de colaboração global com o Microsoft Teams

Normalmente, a colaboração requer várias formas de comunicação, capacidade de armazenar e acessar documentos e a capacidade de integrar outros aplicativos, conforme necessário. Sejam empresas globais ou empresas locais, os funcionários do setor de energia normalmente precisam colaborar e se comunicar com membros de outros departamentos ou entre equipes. Normalmente, eles também precisam se comunicar com parceiros, fornecedores ou clientes externos. Como resultado, o uso de sistemas que criam silos ou dificultam o compartilhamento de informações não costuma ser recomendado. Dito isso, ainda queremos garantir que os funcionários estejam compartilhando informações de forma segura e de acordo com a política.

Fornecer aos funcionários uma plataforma de colaboração moderna e baseada em nuvem que lhes permita escolher e integrar facilmente as ferramentas que os tornam mais produtivos os capacita a encontrar as melhores maneiras de trabalhar e colaborar. O uso do Microsoft Teams, juntamente com controles de segurança e políticas de governança para proteger a organização, pode ajudar sua equipe de funcionários a colaborar na nuvem com facilidade.

O Microsoft Teams fornece um hub de colaboração para que sua organização permita às pessoas trabalharem juntas e colaborarem em iniciativas ou projetos comuns. Ele permite que os membros da equipe conduzam conversas, colaboram e documentos do coautor. Ele permite que as pessoas armazenem e compartilhem arquivos com membros da equipe ou de fora da equipe. Também permite que eles realizem reuniões ao vivo com voz e vídeo corporativos integrados. O Microsoft Teams pode ser personalizado com fácil acesso aos aplicativos da Microsoft, como Planner, Dynamics 365, Power BI e outros aplicativos de linha de negócios de terceiros. As equipes simplificam o acesso aos serviços do Office 365 e a aplicativos de terceiros para centralizar as necessidades de colaboração e comunicação da organização.

Cada Microsoft Team tem suporte de um grupo do Office 365. Um Grupo do Office 365 é considerado o provedor de afiliação para os serviços do Office 365, incluindo o Microsoft Teams. Os Grupos do Office 365 são usados para controlar com segurança quais usuários são considerados membros associados e quem são os proprietários do grupo. Esse design nos permite controlar facilmente quais usuários têm acesso a funcionalidades variadas no Teams. Como resultado, os membros e proprietários da equipe só podem acessar os recursos que têm permissão para utilizar.

Uma situação comum na qual o Microsoft Teams pode beneficiar as organizações de energia é a colaboração com prestadores de serviços ou empresas externas como parte de um programa de serviço de campo, como o gerenciamento da vegetação. As empresas costumam contratar prestadores de serviços para gerenciar a vegetação ou remover árvores ao redor das instalações do sistema de energia elétrica. Eles geralmente precisam receber instruções de trabalho, se comunicar com despachantes e outros funcionários do serviço de campo, tirar e compartilhar fotos de ambientes externos, sair quando o trabalho estiver concluído e compartilhar dados de volta com a sede. Tradicionalmente, esses programas são executados usando telefone, texto, pedidos de trabalho em papel ou aplicativos personalizados. Esse método pode apresentar muitos desafios. Por exemplo:

  • Os processos são manuais ou analógicos, dificultando o rastreamento das métricas
  • As comunicações não são todas capturadas em um só lugar
  • Os dados são isolados e não são necessariamente compartilhados com todos os funcionários que precisam deles
  • O trabalho pode não ser executado de forma consistente ou eficiente
  • Aplicativos personalizados não são integrados a ferramentas de colaboração, dificultando a extração e o compartilhamento de dados ou a medida do desempenho

O Microsoft Teams pode fornecer um espaço de colaboração fácil de usar para compartilhar informações com segurança e conduzir conversas entre membros da equipe e prestadores de serviços dos campo externos. O Teams pode ser usado para realizar reuniões, fazer chamadas de voz, armazenar ordens de serviço centralmente e compartilhá-las, coletar dados de campo, carregar fotos, integrar-se com soluções de processos comerciais (criadas com o Power Apps e o Power Automate) e integrar aplicativos do ramo de atividade. Esse tipo de dados de serviço de campo pode ser considerado de baixo impacto; no entanto, a eficiência pode ser obtida centralizando as comunicações e os dados de acesso entre funcionários e o pessoal do serviço de campo nesses cenários.

Outro exemplo em que o Microsoft Teams pode beneficiar o setor de energia é quando o pessoal de serviço de campo está trabalhando para restaurar o serviço durante uma interrupção. A equipe de campo costuma precisar de um acesso rápido a dados esquemáticos das subestações, estações geradoras ou projetos para os ativos no campo. Esses dados são considerados de alto impacto e devem ser protegidos de acordo com os padrões CIP da NERC. O trabalho de serviço de campo durante as interrupções requer comunicação entre a equipe de campo e os funcionários do escritório e, por sua vez, com os clientes finais. A centralização das comunicações e do compartilhamento de dados no Microsoft Teams fornece à equipe de campo um método fácil para acessar dados críticos e comunicar informações ou status de volta à matriz. Por exemplo, o Microsoft Teams permite que a equipe de campo participe de chamadas em conferência enquanto estiver no caminho de uma interrupção. A equipe de campo também pode tirar fotos ou vídeos de seu ambiente e compartilhá-las com a sede, o que é particularmente importante quando o equipamento de campo não corresponde aos esquemas. Os dados e o status coletados em campo podem ser apresentados aos funcionários e à liderança do escritório através de ferramentas de visualização de dados, como o Power BI. Por fim, as equipes da Microsoft podem tornar a equipe de campo mais eficiente e produtiva nessas situações essenciais.

Teams: melhore a colaboração e reduza o risco de conformidade

O Microsoft 365 fornece recursos de políticas comuns ao Microsoft Teams por meio do uso dos Grupos do Office 365 como um provedor de afiliação subjacente. Essas políticas podem ajudar a melhorar a colaboração e a atender às necessidades de conformidade.

As Políticas de Nomenclatura dos Grupos do Office 365 ajudam a garantir que os Grupos do Office 365 e, consequentemente, o Microsoft Teams sejam nomeados de acordo com a política corporativa. O nome de uma equipe pode apresentar dificuldades caso a nomenclatura não seja adequada. Por exemplo, os funcionários podem não saber em quais equipes trabalhar ou compartilhar informações se forem nomeadas incorretamente. As políticas de nomenclatura de grupo ajudam a impor uma boa higiene e também podem impedir o uso de palavras específicas, como palavras reservadas ou terminologia inadequada.

Office 365 políticas de expiração de grupo ajudam a garantir que Office 365 Grupos e, portanto, o Microsoft Teams, não sejam mantidos por períodos mais longos do que o exigido pela organização. Esse recurso ajuda a evitar dois problemas principais de gerenciamento de informações:

  • A proliferação do Microsoft Teams que não são necessárias ou usadas
  • A retenção excessiva de dados que não são mais necessários para a organização

Os administradores podem especificar um período de validade contado em dias para os Grupos do Office 365 (como, por exemplo, 90, 180 ou 365 dias). Se um serviço respaldado por um Grupo do Office 365 estiver inativo durante o período de validade, os proprietários do grupo serão notificados. Se nenhuma providência for tomada, o Grupo do Office 365 e todos os serviços a ele relacionados, incluindo o Microsoft Teams, serão excluídos.

A retenção de dados por um tempo excessivo em uma Equipe da Microsoft pode representar um risco de ação judicial para as organizações. O uso de políticas de validade é um método recomendado para a proteção da organização. Combinado com rótulos e políticas de retenção incorporados, o Microsoft 365 ajuda a garantir que as organizações estejam retendo apenas os dados necessários para atender às obrigações de conformidade regulamentar.

Teams: integre requisitos personalizados com facilidade

O Microsoft Teams permite a criação autônoma de equipes por padrão. No entanto, muitas organizações regulamentadas querem controlar e entender quais espaços de colaboração estão atualmente em uso pelos funcionários, quais espaços contêm dados confidenciais e quem são os proprietários dos espaços em toda a organização. Para facilitar esses controles, o Microsoft 365 permite que as organizações desabilitem a criação de equipes por autoatendimento. Além disso, o uso de ferramentas de automação de processos comerciais integradas do Microsoft 365, como o Power Apps e o Power Automate, permite que as organizações desenvolvam processos simples para solicitar uma nova equipe. Ao concluir um formulário fácil de ser usado, uma aprovação pode ser solicitada automaticamente por um gerente. Depois de aprovada, a equipe pode ser provisionada automaticamente e o solicitante recebe um link para sua nova equipe. Ao criar esses processos, as organizações também podem integrar requisitos personalizados para facilitar outros processos comerciais.

Forneça colaboração segura e compatível com o setor de energia

Como mencionamos, o Microsoft Office 365 e o Office 365 do governo dos EUA conseguiram uma Autorização para Funcionar (ATO) do Programa Federal de Gerenciamento de Riscos e Autorização (FedRAMP) ao Nível de Impacto Moderado. O Azure e o Azure Governamental conseguiram uma Autoridade Provisória para Funcionar (P-ATO) do FedRAMP High, que representa o nível mais alto de autorização do FedRAMP. Além disso, o conjunto de controles do FedRAMP Moderate abrange todos os requisitos CIP da NERC, permitindo que as organizações do setor de energia ("entidades registradas") usem autorizações do FedRAMP existentes como uma abordagem dimensionável e eficiente ao endereçamento dos requisitos de auditoria da NERC . No entanto, é importante observar que o FedRAMP não é uma certificação pontual, mas um programa de avaliação e autorização que inclui disposições para monitoramento contínuo. Embora essa disposição se aplique principalmente ao CSP, os clientes da Microsoft que operam Sistemas Elétricos em Massa são responsáveis por garantir sua própria conformidade com os padrões de CIP da NERC. Geralmente, é uma prática recomendada monitorar continuamente a postura de conformidade da organização para ajudar a garantir a conformidade contínua com as regulamentações.

A Microsoft oferece uma ferramenta fundamental que ajuda a monitorar a conformidade com as regulamentações ao longo do tempo:

  • O Gerenciador de Conformidade do Microsoft Purview ajuda a organização a entender sua postura de conformidade atual e as ações que ela pode tomar para ajudar a melhorar essa postura. O Gerenciador de Conformidade calcula um progresso de medição de pontuação com base no risco em concluir ações que ajudam a reduzir os riscos relacionados à proteção de dados e aos padrões normativos. O Gerenciador de Conformidade fornece uma pontuação inicial baseada na base de referência da proteção de dados do Microsoft 365. Essa base de referência é um conjunto de controles que inclui as regras e padrões comuns do setor. Enquanto essa pontuação for um bom ponto de partida, o Gerenciador de Conformidade fica mais poderoso sempre que uma organização adiciona avaliações mais relevantes ao setor. O Gerenciador de Conformidade oferece suporte a vários padrões regulatórios que são relevantes às obrigações de conformidade CIP da NERC, incluindo o Conjunto de controles do FedRAMP Moderate, NIST 800-53 Rev. 4e AICPA SOC 2. As organizações do setor de energia também podem criar ou importar conjuntos de controle personalizados, se necessário.

Os recursos de fluxo de trabalho integrados no Gerenciador de Conformidade permitem que as organizações de energia transformem e digitalizem seus processos de conformidade regulatória. Tradicionalmente, as equipes de conformidade no setor de energia enfrentam os seguintes desafios:

  • Relatórios inconsistentes ou rastreamento do progresso em ações de correção
  • Processos ineficientes ou ineficazes
  • Recursos insuficientes ou falta de propriedade
  • Falta de informações em tempo real e erro humano

Ao automatizar aspectos dos processos de conformidade regulamentar através do uso do Gerenciador de Conformidade, as organizações podem reduzir a carga administrativa das funções legais e de conformidade. Esse arsenal de ferramentas pode ajudar a abordar esses desafios fornecendo mais informações atualizadas sobre ações de correção, relatórios mais consistentes e uma responsabilidade documentada com relação às ações (vinculada à implementação das ações). As organizações podem controlar automaticamente as ações de correção ao mesmo tempo e consultar os ganhos de eficiência gerais. Esse recurso permite que a equipe se concentre mais em obter insights e desenvolver estratégias para ajudar a navegar no risco de forma mais eficaz.

O Gerenciador de Conformidade não expressa uma medida absoluta de conformidade organizacional com qualquer padrão ou regulamento específico. Ela expressa até que ponto você adotou controles que podem reduzir os riscos para os dados pessoais e a privacidade individual. As recomendações do Gerenciador de Conformidade não devem ser interpretadas como uma garantia de conformidade. As ações do cliente fornecidas no Gerenciador de Conformidade são recomendações. Cabe a cada organização avaliar a eficácia dessas recomendações para cumprir suas obrigações regulatórias antes da implementação. As recomendações encontradas no Gerenciador de Conformidade não devem ser interpretadas como uma garantia de conformidade.

Muitos controles relacionados à segurança cibernética estão incluídos no Conjunto de Controles do FedRAMP Moderate e nos padrões de CIP da NERC. No entanto, os principais controles relacionados à plataforma Microsoft 365 incluem controles de gerenciamento de segurança (CIP-003-6), gerenciamento de contas e acesso/revogação de acesso (CIP-004-6), perímetro de segurança eletrônica (CIP-005-5), monitoramento do evento de segurança e resposta a incidentes (CIP-008-5). Os seguintes recursos fundamentais do Microsoft 365 ajudam a resolver os riscos e requisitos incluídos nesses artigos.

Proteger as identidades dos usuários e controlar o acesso

A proteção do acesso a documentos e aplicativos começa com uma forte proteção da identidade do usuário. Como base, essa ação requer fornecer uma plataforma segura para que a empresa armazene e gerencie identidades e forneça um meio confiável de autenticação. Também é necessário controlar dinamicamente o acesso a esses aplicativos. À medida que os funcionários funcionam, eles podem passar de aplicativo para aplicativo ou em vários locais e dispositivos. Como resultado, o acesso aos dados deve ser autenticado em cada etapa do processo. Além disso, o processo de autenticação deve dar suporte a um protocolo forte e vários fatores de autenticação (código de passagem sms único, aplicativo autenticador, certificado etc.) para garantir que as identidades não tenham sido comprometidas. Por fim, a implementação de políticas de acesso baseadas em risco é uma recomendação essencial para proteger dados e aplicativos contra ameaças internas, vazamentos involuntários de dados e exfiltração dos dados.

O Microsoft 365 fornece uma plataforma de identificação segura com Microsoft Entra ID em que as identidades são armazenadas centralmente e gerenciadas com segurança. Microsoft Entra ID, juntamente com uma série de serviços de segurança relacionados do Microsoft 365, forma a base para fornecer aos funcionários o acesso necessário para trabalhar com segurança e, ao mesmo tempo, proteger a organização contra ameaças.

Microsoft Entra MFA (autenticação multifator) é incorporada à plataforma e fornece uma camada adicional de proteção para ajudar a garantir que os usuários sejam quem eles dizem ser ao acessar dados e aplicativos confidenciais. Microsoft Entra autenticação multifator requer pelo menos duas formas de autenticação, como uma senha e um dispositivo móvel conhecido. Ele suporta várias opções de autenticação de segundo fator, incluindo: o aplicativo Microsoft Authenticator, uma senha única entregue via SMS, recebimento de uma ligação telefônica em que o usuário deve digitar um PIN e cartões inteligentes ou autenticação com base em certificados. No caso de uma senha ser comprometida, um possível hacker ainda precisará do telefone do usuário para obter acesso aos dados da organização. Além disso, o Microsoft 365 utiliza a Autenticação moderna como um protocolo essencial, proporcionando a mesma comprovada experiência de autenticação, desde navegadores da Web até ferramentas de colaboração, incluindo os aplicativos do Microsoft Outlook e do Microsoft Office.

Microsoft Entra o Acesso Condicional fornece uma solução robusta para automatizar decisões de controle de acesso e impor políticas para proteger ativos da empresa. Um exemplo comum é quando um funcionário tenta acessar um aplicativo que contém dados confidenciais do cliente e ele é automaticamente necessário para executar uma autenticação multifator. O Acesso Condicional do Azure reúne sinais da solicitação de acesso de um usuário (como propriedades sobre o usuário, seu dispositivo, localização, rede e o aplicativo ou repositório que eles estão tentando acessar). e avalia dinamicamente cada tentativa de acessar o aplicativo, confrontando-a com as políticas que você configurar. Se o risco de usuário ou dispositivo for elevado ou se outras condições não forem atendidas, Microsoft Entra ID imporá automaticamente a política (como exigir dinamicamente MFA, restringir ou até bloquear o acesso). Esse design ajuda a garantir que ativos confidenciais sejam protegidos em ambientes em mudança dinâmica.

O Microsoft Defender para Office 365 fornece um serviço integrado para proteger as organizações de links maliciosos e malware enviados por email. Um dos vetores de ataque mais comuns que afetam os usuários atualmente são os ataques de phishing por email. Esses ataques podem ser cuidadosamente direcionados a funcionários de alto nível específicos e podem ser criados para serem muito convincentes. Normalmente, eles contêm algumas chamadas para a ação que exigem que um usuário selecione um link mal-intencionado ou abra um anexo com malware. Uma vez infectado, um invasor pode roubar as credenciais de um usuário e se mover lateralmente pela organização. Eles também podem filtrar e-mails e dados em busca de informações confidenciais. Microsoft Defender para Office 365 avalia links em tempo de clique para sites potencialmente mal-intencionados e os bloqueia. Os anexos de e-mail são abertos em uma caixa de proteção protegida antes de entregá-los na caixa de correio do usuário.

O Microsoft Defender para Aplicativos de Nuvem fornece às organizações a capacidade de implementar políticas em um nível detalhado. Esse design inclui a detecção de anomalias comportamentais com base em perfis de usuário individuais definidos automaticamente usando o Machine Learning. O Defender para Aplicativos de Nuvem se baseia nas políticas de Acesso Condicional do Azure ao avaliar sinais adicionais relacionados ao comportamento do usuário e às propriedades dos documentos que estão sendo acessados. Com o tempo, o Defender para Aplicativos de Nuvem aprende o comportamento típico de cada funcionário (os dados que ele acessa e os aplicativos que ele usa). Com base nos padrões comportamentais aprendidos, as políticas podem aplicar automaticamente controles de segurança se um funcionário sair desse perfil comportamental. Por exemplo, se um funcionário normalmente acessa um aplicativo de contabilidade das 9:00 às 17:00, de segunda a sexta-feira, mas esse mesmo usuário começa a acessar esse aplicativo fortemente em uma noite de domingo, o Defender para Aplicativos de Nuvem pode impor políticas dinamicamente para exigir que o usuário se autentique novamente. Esse requisito ajuda a garantir que as credenciais não tenham sido comprometidas. Além disso, o Defender para Aplicativos de Nuvem pode ajudar a descobrir e identificar a ocorrência de Shadow IT (dispositivos não autorizados) na organização. Esse recurso ajuda as equipes do InfoSec a garantir que os funcionários usem ferramentas sancionadas ao trabalhar com dados confidenciais. Por fim, o Defender para Aplicativos de Nuvem pode proteger dados confidenciais em qualquer lugar na nuvem, mesmo fora da plataforma do Microsoft 365. Ele permite que as organizações sancionem (ou desanexar) aplicativos externos específicos da Nuvem, controlando o acesso e o monitoramento quando os usuários trabalham nesses aplicativos.

Microsoft Entra ID e os serviços de segurança relacionados do Microsoft 365 fornecem a base sobre a qual uma plataforma moderna de colaboração em nuvem pode ser distribuída para organizações do setor de energia. Microsoft Entra ID inclui controles para proteger o acesso a dados e aplicativos. Além de fornecer uma segurança reforçada, esses controles ajudam as organizações a cumprirem suas obrigações de conformidade regulatória.

Microsoft Entra ID e os serviços do Microsoft 365 e estão profundamente integrados e fornecem as seguintes funcionalidades importantes:

  • Armazenar e gerenciar de forma segura e centralizada as identidades do usuário
  • Use um protocolo de autenticação forte, incluindo autenticação multifator, para autenticar usuários em solicitações de acesso
  • Fornecer uma experiência de autenticação consistente e reforçada em qualquer aplicativo.
  • Validar políticas dinamicamente em todas as solicitações de acesso, incorporando vários sinais ao processo de tomada de decisão (incluindo identidade, afiliação do usuário/grupo, aplicativo, dispositivo, rede, local e pontuação de risco em tempo real).
  • Validar políticas granulares com base no comportamento do usuário e nas propriedades do arquivo e aplicar dinamicamente medidas de segurança adicionais quando necessário
  • Identificar ocorrências de Shadow TI na organização e permitir que as equipes do InfoSec sancionem ou bloqueiem aplicativos de nuvem
  • Monitorar e controlar o acesso a aplicativos de nuvem da Microsoft e de terceiros
  • Proteger proativamente contra ataques de phishing e ransomware por e-mail

Identifique dados confidenciais e evite a perda de dados

O Conjunto de Controles do FedRAMP Moderate e as normas CIP da NERC também incluem a proteção de informações como requisito chave de controle (CIP-011-2). Esses requisitos abordam especificamente a necessidade de identificar informações relacionadas às Informações do Sistema Cibernético do BES (Sistema Elétrico em Massa) e à proteção e manuseio seguro dessas informações (incluindo o armazenamento, trânsito e uso). Exemplos específicos de Informações do Sistema Cibernético bes podem incluir procedimentos de segurança ou informações de segurança sobre sistemas que são fundamentais para operar o sistema elétrico em massa (SISTEMAS Cibernéticos BES, Sistemas de Controle de Acesso Físicos e sistemas eletrônicos de Controle de Acesso ou monitoramento) que não estão disponíveis publicamente e podem ser usados para permitir acesso não autorizado ou distribuição não autorizada. No entanto, a mesma necessidade existe para identificar e proteger dados do cliente que são críticos para as operações rotineiras das organizações de energia.

O Microsoft 365 permite que dados confidenciais sejam identificados e protegidos dentro da organização por uma combinação de recursos avançados, incluindo:

  • A Proteção de Informações do Microsoft Purview para classificação baseada no usuário e classificação automatizada de dados confidenciais

  • Prevenção Contra Perda de Dados do Microsoft Purview (DLP) para identificação automatizada de dados confidenciais usando tipos de dados confidenciais (ou seja, expressões regulares) e palavras-chave e a aplicação da política

A Proteção de Informações do Microsoft Purview Information Protection permite que os funcionários classifiquem documentos e emails com rótulos de confidencialidade. Os rótulos de confidencialidade podem ser aplicados manualmente pelos usuários aos documentos nos aplicativos do Microsoft Office e nos e-mails no Microsoft Outlook. Os rótulos de confidencialidade podem aplicar marcações em um documento, proteger por meio de criptografia e implementar o gerenciamento de direitos, tudo isso automaticamente. Os rótulos de confidencialidade também podem ser aplicados automaticamente configurando políticas que usam palavras-chave e tipos de dados confidenciais (números de cartão de crédito, números de segurança social, números de identidade etc.).

A Microsoft também fornece classificadores passíveis de treinamento que usam modelos de aprendizado de máquina para identificar dados confidenciais com base no tipo de conteúdo, em vez de utilizar simplesmente a correspondência de padrões ou elementos dentro do conteúdo. Um classificador aprende a identificar um tipo de conteúdo analisando muitos exemplos do conteúdo a ser classificado. O treinamento de um classificador começa fornecendo exemplos de conteúdo em uma categoria específica. Após processar os exemplos, o modelo é testado ao ser fornecido com uma combinação entre exemplos que correspondem e exemplos que não correspondem. O classificador prevê se um determinado exemplo se enquadra na categoria ou não. Uma pessoa então confirma os resultados, classificando os positivos, negativos, falsos positivos e falsos negativos para ajudar a aumentar a precisão das previsões do classificador. Quando o classificador treinado é publicado, ele processa e classifica automaticamente o conteúdo no SharePoint Online, Exchange Online e OneDrive.

Aplicar rótulos de confidencialidade a documentos e emails insere metadados dentro do objeto que identifica a confidencialidade escolhida, permitindo assim que a confidencialidade viaje com os dados. Como resultado, mesmo que um documento rotulado seja armazenado na área de trabalho de um usuário ou em um sistema local, ele ainda estará protegido. Esse design permite que outras soluções do Microsoft 365, como Microsoft Defender para Aplicativos de Nuvem ou dispositivos de borda de rede, identifiquem dados confidenciais e imponham automaticamente os controles de segurança. Os rótulos de confidencialidade têm a vantagem adicional de educar os funcionários no sentido de quais dados dentro de uma organização são considerados confidenciais e como lidar com esses dados.

Prevenção Contra Perda de Dados do Microsoft Purview (DLP) identifica automaticamente documentos, emails e conversas que contêm dados confidenciais examinando esses itens em busca de tipos de dados confidenciais e aplicando políticas nesses objetos. As políticas são aplicadas aos documentos dentro do SharePoint e do OneDrive for Business. As políticas também são aplicadas sempre que os usuários enviam e-mails e, no Microsoft Teams, nas conversas no chat e nos canais. As políticas podem ser configuradas para procurar palavras-chave, tipos de dados confidenciais, rótulos de retenção e se os dados são compartilhados dentro da organização ou externamente. São fornecidos controles para ajudar as organizações a justar as políticas de DLP para reduzir falsos positivos. Quando dados confidenciais são encontrados, a política pode exibir dicas personalizáveis para os usuários dentro dos aplicativos do Microsoft 365. As dicas da política informam aos usuários que seu conteúdo contém dados confidenciais e podem propor ações corretivas. As políticas também podem impedir que os usuários acessem documentos, compartilhem documentos ou enviem emails que contenham certos tipos de dados confidenciais. O Microsoft 365 é compatível com mais de 100 tipos de dados confidenciais integrados. As organizações podem configurar tipos de dados confidenciais personalizados para atender às suas políticas.

A implementação de políticas de DLP e Proteção de Informações do Microsoft Purview para organizações requer um planejamento cuidadoso. Também requer a educação do usuário para que os funcionários entendam o esquema de classificação de dados da organização e quais tipos de dados são confidenciais. Forneça aos funcionários ferramentas e programas educacionais que os ajudem a identificar dados confidenciais e a entender como lidar com eles os tornar parte da solução para mitigar os riscos à segurança das informações.

Controle os dados gerenciando os registros de forma eficaz

Os regulamentos exigem que muitas organizações gerenciem a retenção dos principais documentos organizacionais de acordo com um cronograma de retenção corporativa gerenciado. As organizações enfrentam riscos de conformidade regulamentar se os dados forem mantidos em baixa (excluídos muito cedo) ou riscos legais se os dados forem mantidos em excesso (mantidos por muito tempo). Estratégias eficazes de gerenciamento de registros ajudam a garantir que os documentos da organização sejam retidos de acordo com períodos de retenção predeterminados que foram projetados para minimizar os riscos da organização. Os períodos de retenção são prescritos em uma tabela de retenção de registros organizacionais gerenciada centralmente. Os períodos de retenção se baseiam na natureza de cada tipo de documento, nos requisitos de conformidade regulatória para a retenção de tipos específicos de dados e nas políticas definidas pela organização.

Atribuir períodos de retenção de registro com precisão entre documentos organizacionais pode exigir um processo granular que atribui períodos de retenção exclusivamente a documentos individuais. A aplicação de políticas de retenção de registros em grande escala pode constituir um desafio por diversas razões, entre elas o grande número de documentos dentro das organizações do setor de energia, juntamente com o fato de que, em muitos casos, os períodos de retenção podem ser disparados por eventos organizacionais (como contratos prestes a vencer ou um funcionário que esteja saindo da organização).

O Microsoft 365 fornece recursos flexíveis para definir rótulos e políticas de retenção para implementar de forma inteligente os requisitos de gerenciamento de registros. Um gerenciador de registros define um rótulo de retenção, que representa um "tipo de registro" em uma programação de retenção tradicional. O rótulo de retenção contém configurações que definem esses detalhes:

  • Por quanto tempo um registro é mantido
  • Os requisitos de simultaneidade ou o que ocorre quando o período de retenção expira (exclua o documento, inicie uma revisão de disposição ou não tome nenhuma ação)
  • O que dispara o período de retenção para começar (data da criação, data da última modificação, data rotulada ou um evento) e
  • Se o documento ou email for um registro (o que significa que ele não pode ser editado ou excluído)

Os rótulos de retenção são publicados nos sites do SharePoint ou OneDrive, caixas de correio do Exchange e grupos do Office 365. Em seguida, os usuários podem aplicar rótulos de retenção manualmente a documentos e emails. Alternativamente, os gerentes de registros podem usar regras para aplicar os rótulos de retenção automaticamente. As regras de aplicação automática podem ser baseadas em palavras-chave ou dados confidenciais encontrados nos documentos ou e-mails, como números de cartão de crédito, CPF ou outras Informações de Identificação Pessoal (PII). As regras de aplicação automática também podem ser baseadas em metadados do SharePoint.

O Conjunto de Controles do FedRAMP Moderate e as normas de CIP da NERC também incluem a proteção de informações como requisito chave de controle (CIP-011-2). Mais uma vez, esses requisitos tratam especificamente das Informações do Sistema Cibernético do BES (Sistema Elétrico em Massa). No entanto, outras regulamentações jurisdiccionais exigem que as organizações do setor de energia gerenciem e descartem registros efetivamente para muitos tipos de informações. Essas informações incluem demonstrações financeiras, dados de projetos de capital, orçamentos, dados de clientes etc. Em todos os casos, as organizações de energia são solicitadas a manter programas consistentes de gerenciamento de registros e evidências relacionadas ao descarte adequado dos registros corporativos.

Com cada rótulo de retenção, o Microsoft 365 permite que os gerentes de registro determinem se uma revisão de disposição é necessária. Assim, quando esses tipos de registro surgirem para serem descartados após o término do período de retenção, uma revisão deverá ser realizada pelos revisores de descarte designados antes que o conteúdo seja excluído. Depois que a revisão de disposição é aprovada, a exclusão de conteúdo prossegue. No entanto, as evidências da exclusão (o usuário que realizou a exclusão e a data/hora em que a exclusão ocorreu) ainda precisam ser retidas por vários anos como um certificado de destruição. Se as organizações exigirem retenção mais longa ou permanente de certificados de destruição, elas poderão usar o Microsoft Sentinel para armazenamento baseado em nuvem de dados de log e auditoria de longo prazo. O Microsoft Sentinel fornece às organizações um controle total sobre o armazenamento e retenção de longo prazo dos dados de atividades, dados de logs e dados de retenção/descarte.

Cumprimento dos regulamentos da FERC e da FTC para Mercados de Energia

A Comissão Federal de Regulamentação de Energia dos EUA (FERC) supervisiona os regulamentos relacionados aos mercados de energia e ao comércio dos mercados de energia elétrica e gás natural. A Federal Trade Commission (FTC) dos EUA supervisiona regulamentações semelhantes no mercado de petróleo. Em ambos os casos, esses órgãos regulatórios estabelecem regras e diretrizes para proibir a manipulação de mercados de energia. A FERC, por exemplo, recomenda que as organizações de energia invistam em recursos de tecnologia para monitorar negociações, comunicações com traders e conformidade com os controles internos. Os reguladores também recomendam que as organizações de energia avaliem regularmente a eficácia contínua do programa de conformidade da organização.

Tradicionalmente, as soluções de monitoramento de comunicações são caras e podem ser complexas de se configurar e gerenciar. Além disso, as organizações podem enfrentar desafios relativos ao monitoramento dos vários canais de comunicação disponíveis para os funcionários. O Microsoft 365 fornece vários recursos robustos incorporados para monitorar as comunicações dos funcionários, supervisionar as atividades dos funcionários e ajudar a cumprir os regulamentos da FERC para os mercados de energia.

Implementar controle de supervisão

O Microsoft 365 permite que as organizações configurem políticas de supervisão que capturam as comunicações dos funcionários (com base nas condições configuradas) e permitem que elas sejam revisadas pelos supervisores designados. As políticas de supervisão podem capturar e-mails e anexos internos/externos, comunicações por chat e por canais do Microsoft Teams, anexos e comunicações por chat do Skype for Business Online e comunicações por meio de serviços de terceiros (como o Facebook ou o Dropbox).

A natureza abrangente das comunicações que podem ser capturadas e revisadas dentro de uma organização e as extensas condições com as quais as políticas podem ser configuradas permitem que as Políticas de Supervisão do Microsoft 365 ajudem as organizações a cumprir as regulamentações do mercado de energia FERC. As políticas de supervisão podem ser configuradas para revisar as comunicações entre pessoas ou grupos. Além disso, os supervisores podem ser configurados para serem indivíduos ou grupos. É possível configurar condições abrangentes para capturar comunicações com base em mensagens de entrada ou saída, domínios, rótulos de retenção, palavras-chave ou frases, dicionários de palavras-chave, tipos de dados confidenciais, anexos, tamanho da mensagem ou tamanho do anexo. Os revisores recebem um painel em que podem revisar comunicações sinalizadas, tomar providências relativas a comunicações que possivelmente violem políticas ou marcar itens sinalizados como resolvidos. Eles também podem examinar os resultados de revisões e itens anteriores que foram resolvidos.

O Microsoft 365 fornece relatórios que permitem que as atividades de revisão da política de supervisão sejam auditadas com base na política e no revisor. Os relatórios disponíveis podem ser usados para validar o funcionamento das políticas de supervisão conforme definido pelas políticas de supervisão escritas pelas organizações. Os relatórios também podem ser usados para identificar comunicações que exigem revisão, incluindo comunicações que não estão em conformidade com a política corporativa. Por fim, todas as atividades relacionadas à configuração de políticas de supervisão e revisão de comunicações são auditadas no log de auditoria unificado do Office 365.

As Políticas de Supervisão do Microsoft 365 permitem que as organizações monitorem as comunicações quanto à conformidade com as políticas corporativas, como violações de assédio de recursos humanos e linguagem ofensiva nas comunicações da empresa. Também permite que as organizações reduzam o risco, monitorando as comunicações quando as organizações estão passando por mudanças organizacionais sensíveis, como fusões e aquisições ou mudanças de liderança.

Conformidade em comunicações

Com muitos canais de comunicação disponíveis para os funcionários, as organizações exigem cada vez mais soluções eficazes para monitorar ou supervisionar as comunicações nos setores regulamentados, como mercados de comércio de energia. Esses desafios podem incluir o crescente número de canais de comunicação e volume de mensagens e o risco de possíveis multas por violações da política.

A Conformidade de Comunicação do Microsoft Purview é uma solução de conformidade que ajuda a minimizar os riscos de comunicação, ajudando você a detectar, investigar e agir em mensagens inadequadas em sua organização. Políticas predefinidas e personalizadas permitem que você verifique as comunicações internas e externas em busca de correspondências de políticas, para que possam ser examinadas por revisores designados. Os revisores podem investigar emails, Microsoft Teams, Viva Engage ou comunicações de terceiros em sua organização e tomar as medidas apropriadas para garantir que eles estejam em conformidade com os padrões de mensagem da sua organização.

A Conformidade de comunicação ajuda as equipes de conformidade a analisarem de maneira eficaz e eficiente as mensagens quanto a possíveis violações de:

  • Políticas corporativas, como uso aceitável, padrões éticos e políticas específicas corporativas
  • Confidencialidade ou divulgação de negócios confidenciais, como comunicações não autorizadas de projetos confidenciais relativos a aquisições futuras, fusões, divulgação de lucros, reorganizações ou alterações na equipe executiva.
  • requisitos de conformidade regulatória, como comunicações dos funcionários sobre os tipos de negócios ou transações dos quais uma organização participa em conformidade com os regulamentos da FERC para mercados de energia

A Conformidade de comunicações fornece classificadores integrados de ameaças, assédio e linguagem chula para ajudar a reduzir falsos positivos durante a revisão das comunicações. Essa classificação economiza tempo para os revisores durante o processo de investigação e correção. Ajuda os revisores a se concentrarem em mensagens específicas em segmentos longos, destacados por alertas de política. Esse resultado ajuda as equipes de conformidade a identificar e corrigir riscos mais rapidamente. Fornece às equipes de conformidade a capacidade de configurar e ajustar políticas facilmente, ajustando a solução às necessidades específicas da organização e reduzindo os falsos positivos. A Conformidade de comunicações também pode rastrear o comportamento do usuário ao longo do tempo, destacando possíveis padrões em comportamentos de risco ou violações de políticas. Por fim, fornece fluxos de trabalho de correção flexíveis e integrados. Esses fluxos de trabalho ajudam os revisores a tomarem providências rapidamente e escalonar os problemas para as equipes jurídicas ou de recursos humanos de acordo com processos corporativos definidos.

Proteger-se contra exfiltração de dados e riscos internos

Uma ameaça comum para as empresas é a exfiltração de dados ou o ato de extrair dados de uma organização. Essa ação pode ser uma preocupação significativa para as organizações de energia devido à natureza confidencial das informações que podem ser acessadas por funcionários ou equipe de serviço de campo no dia a dia. Esses dados incluem tanto informações do Sistema Cibernético do BES (Sistema Elétrico em Massa), quanto informações relacionadas a empresas e dados do cliente. Com o número crescente de métodos de comunicações disponíveis e muitas ferramentas para movimentar dados, geralmente são necessárias ferramentas avançadas para reduzir os riscos de vazamento de dados, violações de política e uso de informações privilegiadas.

Gerenciamento de risco interno

Habilitar funcionários com ferramentas de colaboração online que podem ser acessadas em qualquer lugar inerentemente traz risco a uma organização. Os funcionários podem, inadvertidamente ou maliciosamente, vazar dados para invasores ou para concorrentes. Como alternativa, eles podem exfiltrar dados para uso pessoal ou levar dados com eles para um futuro empregador. Esses cenários representam riscos graves para as organizações do ponto de vista de segurança e conformidade. Identificar esses riscos quando eles ocorrem e mitigá-los rapidamente requer ferramentas inteligentes para coleta e colaboração de dados em departamentos como jurídico, recursos humanos e segurança da informação.

O Gerenciamento de Risco Interno do Microsoft Purviewé uma solução de conformidade que ajuda a minimizar os riscos internos, permitindo que você detecte, investigue e atue em atividades mal-intencionadas e inadvertidas em sua organização. As políticas de risco interno permitem que você defina os tipos de riscos a serem identificados e detectados em sua organização, incluindo a ação em casos e o escalonamento de casos para a Descoberta Eletrônica da Microsoft (Premium), se necessário. Os analistas de risco em sua organização podem executar rapidamente as ações apropriadas para garantir que os usuários estejam em conformidade com os padrões de conformidade da sua organização.

Por exemplo, o gerenciamento de risco interno pode correlacionar sinais de dispositivos de um usuário (como cópia de arquivos para uma unidade USB ou envio de e-mails para uma conta de e-mail pessoal) com atividades de serviços online (como o e-mail do Office 365, SharePoint Online, Microsoft Teams, OneDrive for Business) para identificar padrões de exfiltração de dados. Também pode correlacionar essas atividades com funcionários que saem de uma organização, que constitui um padrão comum de exfiltração de dados. Ele pode detectar várias atividades potencialmente arriscadas e comportamento ao longo do tempo. Quando surgem padrões comuns, ele pode gerar alertas e ajudar os investigadores a se concentrarem nas atividades principais para verificar, com um alto grau de confiança, se há uma violação de política. O gerenciamento de risco interno também pode ocultar dados dos investigadores para ajudar a cumprir as regulamentações de privacidade de dados e, ao mesmo tempo, continuar a revelar atividades essenciais que os ajudem a realizar suas investigações com eficiência. Quando o serviço estiver pronto, permite que os investigadores empacotem e enviem com segurança os dados das atividades essenciais para os departamentos jurídicos e de recursos humanos, seguindo fluxos de trabalho comuns de escalonamento para encaminhar casos para ações de correção.

O gerenciamento de risco interno representa um aumento significativo dos recursos do Microsoft 365 para detectar e investigar riscos de uso de informações privilegiadas, permitindo que as organizações continuem cumprindo os regulamentos de privacidade de dados e sigam os caminhos de escalonamento estabelecidos para casos que requeiram providências de nível superior.

Conclusão

O Microsoft 365 fornece uma solução integrada e abrangente que permite uma colaboração baseada em nuvem fácil de usar em toda a empresa com o Microsoft Teams. O Microsoft Teams também permite uma melhor comunicação e colaboração com a equipe de campo, ajudando as organizações de energia a serem mais eficientes e eficazes. Uma melhor colaboração em toda a empresa e com a equipe de campo pode ajudar as organizações de energia a atender melhor os clientes.

As organizações do setor de energia devem obedecer a regulamentos estritos relacionados à forma como armazenam, protegem, gerenciam e retêm informações relacionadas a suas operações e clientes. Também devem cumprir os regulamentos relacionados à forma como monitoram e impedem a manipulação dos mercados de energia. O Microsoft 365 oferece controles de segurança eficientes para proteger dados, identidades, dispositivos e aplicativos contra riscos e em conformidade com os rígidos regulamentos do setor da energia. Ferramentas integradas são fornecidas para ajudar as organizações de energia a avaliar sua conformidade, bem como tomar medidas e acompanhar as atividades de correção ao longo do tempo. Essas ferramentas também fornecem métodos fáceis de usar para monitorar e supervisionar as comunicações. A plataforma Microsoft 365 é baseada em componentes fundamentais como Microsoft Azure e Microsoft Entra ID, ajudando a proteger a plataforma geral e ajudando a organização a atender aos requisitos de conformidade para conjuntos de controle Moderado e Alto do FedRAMP. Esse design, por sua vez, contribui para a capacidade de uma organização de energia para atender aos padrões DE CIP do NERC.

De modo geral, o Microsoft 365 ajuda as organizações de energia a proteger melhor a organização, implementar programas de conformidade mais eficientes e permitir que a equipe se concentre em obter insights melhores e implementar estratégias para melhor reduzir os riscos.