Principais considerações de conformidade e segurança para bancos e mercados de capitais dos EUA

Introdução

As instituições de serviços financeiros superam quase todas as empresas comerciais em demanda por rigorosos controles de segurança, conformidade e governança. A proteção de dados, identidades, dispositivos e aplicativos não é apenas fundamental para os negócios, está sujeita aos requisitos e diretrizes de conformidade de órgãos reguladores dos EUA, como a SEC (Comissão de Títulos e Câmbio dos Estados Unidos), a FINRA (Autoridade Regulatória da Indústria Financeira), o FFIEC (Conselho Federal de Exame de Instituições Financeiras) e a CFTC (Comissão de Negociação de Futuros de Commodities). Além disso, as instituições financeiras estão sujeitas a leis como a Dodd-Frank e a Sarbanes-Oxley de 2002.

No clima atual de maior vigilância à segurança e preocupações com riscos internos e violações de dados públicos, os clientes também exigem altos níveis de segurança de suas instituições financeiras, a fim de confiar neles seus dados pessoais e ativos bancários.

Historicamente, a necessidade de controles abrangentes impactou e restringiu diretamente os sistemas e plataformas de TI que as instituições financeiras usam para permitir a colaboração interna e externa. Hoje, os funcionários de serviços financeiros precisam de uma plataforma de colaboração moderna e que seja fácil de adotar e usar. Mas os serviços financeiros não podem trocar a flexibilidade de colaborar entre usuários, equipes e departamentos pelos controles de segurança e conformidade que impõem políticas para proteger usuários e sistemas de TI contra ameaças.

No setor de serviços financeiros, é necessária uma consideração cuidadosa para a configuração e implantação de ferramentas de colaboração e controles de segurança, incluindo:

  • Avaliação de risco de cenários comuns de colaboração organizacional e processos comerciais
  • Requisitos de proteção de informações e governança de dados
  • Cibersegurança e ameaças internas
  • Requisitos de conformidade regulamentar
  • Outros riscos operacionais

O Microsoft 365 é um ambiente de nuvem moderno no local de trabalho que pode resolver os desafios contemporâneos enfrentados por organizações de serviços financeiros. A colaboração segura e flexível em toda a empresa é combinada com controles e imposição de políticas para aderir a estruturas de conformidade regulatória rigorosas. Este artigo descreve como a plataforma do Microsoft 365 ajuda os serviços financeiros a migrar para uma moderna plataforma de colaboração, ajudando a manter dados e sistemas seguros e em conformidade com os regulamentos:

  • Impulsione a produtividade dos funcionários e da organização usando o Microsoft 365 e o Microsoft Teams
  • Proteja a colaboração moderna usando o Microsoft 365
  • Identificar dados confidenciais e evitar a perda de dados
  • Defender a fortaleza
  • Controle dados e cumpra os regulamentos, gerenciando efetivamente os registros
  • Estabelecer muros éticos com barreiras de informação
  • Proteger-se contra exfiltração de dados e riscos internos

Como parceiro da Microsoft, a Protiviti contribuiu e forneceu comentário material para este artigo.

As seguintes ilustrações baixáveis complementam este artigo. O Woodgrove Bank e a Contoso são usados para demonstrar como os recursos descritos neste artigo podem ser aplicados para atender aos requisitos normativos comuns dos serviços financeiros. Sinta-se à vontade para adaptar essas ilustrações para seu próprio uso.

Ilustrações da Proteção de Informações e Conformidade do Microsoft 365

Item Descrição
Pôster do modelo: recursos de proteção e conformidade das informações do Microsoft 365.
Inglês: baixar como um download em PDF | como um Visio
Japonês: baixar como um download em PDF | como um Visio
Atualizado em novembro de 2020
Contém:
  • Prevenção contra perda de dados do Microsoft Purview e Proteção de Informações dados do Microsoft Purview
  • Políticas de retenção e rótulos de retenção
  • Barreiras de informações
  • Conformidade em comunicações
  • Gerenciamento de riscos internos.
  • Inclusão de dados de terceiros

Fortaleça a produtividade dos funcionários e da organização usando o Microsoft 365 e o Teams

A colaboração normalmente requer várias formas de comunicação, a capacidade de armazenar e acessar documentos/dados e a capacidade de integrar outros aplicativos, conforme necessário. Os funcionários de serviços financeiros normalmente precisam colaborar e se comunicar com membros de outros departamentos ou equipes e, às vezes, com entidades externas. Portanto, o uso de sistemas que criam silos ou dificultam o compartilhamento de informações é indesejável. Em vez disso, é preferível aproveitar plataformas e aplicativos que permitem que os funcionários se comuniquem, colaborem e compartilhem informações de forma segura e de acordo com a política corporativa.

Fornecer aos funcionários uma plataforma de colaboração moderna baseada em nuvem permite que eles escolham e integrem ferramentas que os tornem mais produtivos e os capacitem a encontrar maneiras ágeis de trabalhar. O uso do Teams em conjunto com controles de segurança e políticas de controle de informações que protegem a organização pode ajudar sua força de trabalho a se comunicar e colaborar de forma eficaz.

O Teams fornece um hub de colaboração para a organização. Ele ajuda a unir as pessoas com o objetivo de trabalhar produtivamente em iniciativas e projetos comuns. O Teams permite que os membros das equipes conduzam conversas de chat entre duas ou várias pessoas e colaborem e trabalhem em coautoria em documentos, além de armazenar e compartilhar arquivos. O Teams também facilita as reuniões online por meio de voz e vídeo corporativos integrados. O Teams também pode ser personalizado com aplicativos da Microsoft, como o Microsoft Planner, Microsoft Dynamics 365, Power Apps, Power BI e aplicativos de linha de negócios de terceiros. O Teams foi projetado para ser usado por membros internos da equipe e usuários externos permitidos que podem ingressar nos canais de equipe, participar de conversas de chat, acessar arquivos armazenados e aproveitar outros aplicativos

Cada Microsoft Team tem suporte de um grupo do Microsoft 365. Esse grupo é considerado o serviço de assinatura para vários serviços do Office 365, incluindo o Teams. Os grupos do Microsoft 365 são usados para distinguir "proprietários" e "membros" com segurança e controlar o acesso a vários recursos do Teams. Quando combinado a controles adequados de governança e análises de acesso administradas regularmente, o Teams permite que apenas membros e proprietários utilizem canais e recursos autorizados.

Um cenário comum em que o Teams beneficia serviços financeiros é durante a execução de projetos ou programas internos. Por exemplo, muitas instituições financeiras, incluindo bancos, empresas de gestão de patrimônio, cooperativas de crédito e provedores de seguros, precisam ter programas contra lavagem de dinheiro e outros programas de conformidade. Uma equipe multifuncional composta por TI, linhas de negócios como varejo e gerenciamento de patrimônio e uma unidade de crime financeiro pode ser obrigada a compartilhar dados entre si e a se comunicar sobre o programa ou investigações específicas. Tradicionalmente, esses programas usam unidades de rede compartilhadas, mas essa abordagem pode apresentar inúmeros desafios, incluindo:

  • Somente uma pessoa pode editar um documento de cada vez.
  • Gerenciar a segurança é demorado, porque adicionar/remover indivíduos normalmente envolve TI.
  • Os dados permanecem residentes em unidades de rede compartilhadas por muito mais tempo do que o necessário ou desejado.

O Teams pode fornecer um espaço de colaboração para armazenar com segurança dados confidenciais do cliente e conduzir conversas entre os membros da equipe, onde tópicos sensíveis podem ser discutidos. Vários membros da equipe podem editar ou colaborar em um único documento ao mesmo tempo. O proprietário ou coordenador do programa pode ser configurado como proprietário da equipe e pode adicionar e remover membros, conforme necessário.

Outro cenário comum é usar o Teams como um "centro de dados virtual" para colaborar com segurança, incluindo armazenamento e gerenciamento de documentos. Os membros da equipe e sindicatos dentro de bancos de investimento, administração de ativos ou empresas de capital privado podem colaborar com segurança em um negócio ou investimento. As equipes multifuncionais geralmente estão envolvidas no planejamento e na realização de tais acordos, e a capacidade de compartilhar dados com segurança e conduzir conversas é um requisito essencial. Compartilhar com segurança documentos relacionados com investidores externos também é um requisito essencial. O Teams fornece um local seguro e totalmente auditável para armazenar, proteger e compartilhar centralmente dados de investimento.

Um grupo de funcionários de escritório em uma reunião discute imagens em uma tela grande.

Teams: melhore a colaboração e reduza o risco de conformidade

O Microsoft 365 fornece outros recursos comuns de política para o Teams por meio do uso de grupos do Microsoft 365 como um serviço de assinatura subjacente. Essas políticas podem ajudar a melhorar a colaboração e atender às necessidades de conformidade.

As políticas de nome de grupos do Microsoft 365 ajudam a garantir que os grupos do Microsoft 365 e, portanto, as equipes, sejam nomeados de acordo com a política corporativa. Os nomes podem ser problemáticos se não forem apropriados. Por exemplo, funcionários podem não saber com quais equipes trabalhar ou compartilhar informações se os nomes não forem aplicados adequadamente. As políticas de nome de grupo (incluindo suporte para políticas baseadas em prefixo/sufixo e palavras bloqueadas personalizadas) podem impor uma "higiene" boa e impedir o uso de palavras específicas, como palavras reservadas ou terminologia inadequada.

As políticas de expiração de grupos do Microsoft 365 ajudam a garantir que os grupos do Microsoft 365 e, portanto, as equipes, não sejam retidos por períodos mais longos do que a organização deseja ou precisa. Esse recurso ajuda a evitar dois problemas principais de gerenciamento de informações:

  • Proliferação de equipes que não são necessárias ou usadas.
  • Retenção excessiva de dados que não são mais necessários ou usados pela organização (exceto nos casos de retenção/preservação legal).

Os administradores podem especificar um período de validade para grupos do Microsoft 365, como 90, 180 ou 365 dias. Se um serviço que tem o respaldo de um grupo do Microsoft 365 estiver inativo dentro do período de validade, os proprietários do grupo serão notificados. Se nenhuma ação for tomada, o grupo do Microsoft 365 e todos os seus serviços relacionados, incluindo o Teams, serão excluídos.

A retenção excessiva de dados armazenados no Teams e em outros serviços baseados em grupo pode representar riscos para as organizações de serviços financeiros. As políticas de expiração de grupo do Microsoft 365 são uma maneira recomendada de ajudar a impedir a retenção de dados que não são mais necessários. Combinado com rótulos e políticas de retenção incorporados, o Microsoft 365 ajuda a garantir que as organizações estejam retendo apenas os dados necessários para atender às políticas corporativas e obrigações de conformidade regulamentar.

Teams: integre requisitos personalizados com facilidade

O Teams permite a criação autônoma de equipes por padrão. No entanto, muitas organizações regulamentadas desejam controlar e entender quais canais de colaboração estão sendo usados atualmente por seus funcionários, quais canais podem conter dados confidenciais e a quem pertencem os canais organizacionais. Para facilitar esses controles de governança, o Microsoft 365 permite que a organização desative a criação autônoma de equipes. Usando ferramentas de automação de processos de negócios, como o Microsoft Power Apps e o Power Automate, as organizações podem criar e implantar formulários e processos de aprovação simples para que os funcionários solicitem a criação de uma nova equipe. Quando aprovada, a equipe pode ser provisionada automaticamente e um link pode ser enviado ao solicitante. Dessa forma, as organizações podem projetar e integrar seus controles de conformidade e requisitos personalizados ao processo de criação da equipe.

Canais de comunicação digital aceitáveis

A FINRA enfatiza que as comunicações digitais de empresas regulamentadas atendem aos requisitos de manutenção de registros das regras 17a-3 e 17a-4 da Exchange Act, bem como da série de regras 4510 da FINRA. A FINRA divulga um relatório anual que contém as principais conclusões, observações e práticas eficazes para ajudar as organizações a melhorar a conformidade e o gerenciamento de riscos. Em seu Relatório de 2019 sobre Conclusões e Observações de Exames, a FINRA identificou as comunicações digitais como uma área-chave em que as empresas enfrentam desafios para estar em conformidade com os requisitos de supervisão e manutenção de registros.

Se uma organização permitir que seus funcionários usem um aplicativo específico, como um serviço de mensagens baseado em aplicativo ou plataforma de colaboração, a empresa deve arquivar registros comerciais e supervisionar as atividades e comunicações desses funcionários nesse aplicativo. As organizações são responsáveis por realizar a devida diligência para cumprir as regras da FINRA e as leis de valores mobiliários, além de acompanhar possíveis violações dessas regras relacionadas ao uso desses aplicativos pelos funcionários.

As práticas eficazes recomendadas pela FINRA incluem o seguinte:

  • Estabeleça um programa abrangente de governança para canais de comunicação digital. Gerencie as decisões da organização sobre quais canais de comunicação digital são permitidos e defina os processos de conformidade para cada canal digital. Monitore de perto o cenário em rápida mudança dos canais de comunicação digital e mantenha os processos de conformidade atualizados.
  • Defina e controle claramente os canais digitais permitidos. Defina os canais digitais aprovados e proibidos. Bloqueie ou restrinja o uso de canais digitais proibidos ou recursos proibidos dentro de canais digitais, que limitam a capacidade da organização de cumprir os requisitos de gerenciamento e supervisão de registros.
  • Forneça treinamento para comunicações digitais. Implemente programas de treinamento obrigatórios antes de dar aos representantes registrados acesso aos canais digitais aprovados. O treinamento ajuda a esclarecer as expectativas de uma organização em relação às comunicações digitais pessoais e comerciais e orienta a equipe no uso de recursos permitidos de cada canal de maneira compatível.

As constatações e observações da FINRA para Comunicações Digitais estão diretamente relacionadas à capacidade de uma organização cumprir a Regra 17a-4 da SEC para retenção todas as comunicações relacionadas aos negócios, as regras 3110 e 3120 da FINRA para supervisão e análise de comunicações e a Série de Regras 4510 para manutenção registros. A CFTC (Comissão de Negociação de Futuros de Commodities) promulga requisitos semelhantes sob a regra 17 CFR 131. Esses regulamentos serão discutidos em profundidade posteriormente neste artigo.

O Teams, juntamente com o abrangente pacote de ofertas de segurança e conformidade do Microsoft 365, fornece um canal de comunicação digital corporativo para que as instituições de serviços financeiros realizem negócios com eficiência e cumpram as normas. O restante deste artigo descreve como os recursos internos do Microsoft 365 para gerenciamento de registros, proteção de informações, barreiras de informações e controle de supervisão fornecem ao Teams um conjunto de ferramentas robusto para ajudar a atender a essas obrigações regulatórias.

Proteja a colaboração moderna com o Microsoft 365

Identidades de usuários e controle de acesso seguros

Proteger o acesso a informações do cliente, documentos financeiros e aplicativos começa com a proteção forte de identidades de usuário. Isso requer uma plataforma segura para a empresa armazenar e gerenciar identidades, fornecendo um meio confiável de autenticação e controlando dinamicamente o acesso a esses aplicativos.

À medida que os funcionários trabalham, eles podem passar de aplicativo para aplicativo ou alternar entre vários locais e dispositivos. O acesso aos dados deve ser autenticado em cada etapa do processo. O processo de autenticação deve oferecer suporte a um protocolo forte e a vários fatores de autenticação (como senha única por SMS, aplicativo de autenticação e certificado) para garantir que as identidades não sejam comprometidas. A imposição de políticas de acesso com base em riscos é fundamental para proteger dados e aplicativos financeiros contra ameaças internas, vazamentos de dados inadvertidos e exfiltração de dados.

O Microsoft 365 fornece uma plataforma de identidade segura no Azure Active Directory (Azure AD), onde as identidades são armazenadas centralmente e gerenciadas com segurança. O Azure AD, juntamente com uma série de serviços de segurança relacionados ao Microsoft 365, constitui a base para fornecer aos funcionários o acesso necessário para trabalhar com segurança, além de proteger a organização contra ameaças.

A MFA (Autenticação Multifator do Microsoft Azure Active Directory) é incorporada à plataforma e fornece uma prova adicional de autenticação para ajudar a confirmar a identidade do usuário ao acessar dados e aplicativos financeiros confidenciais. A MFA do Azure requer pelo menos duas formas de autenticação, como uma senha e um dispositivo móvel conhecido. Ela tem suporte a várias opções de autenticação de dois fatores, incluindo:

  • O aplicativo Microsoft Authenticator
  • Um código de acesso único entregue via SMS
  • Uma chamada telefônica em que um usuário deve digitar um PIN

Se a senha for comprometida de alguma forma, um possível hacker ainda precisará do telefone do usuário para obter acesso aos dados da organização. Além disso, o Microsoft 365 usa a autenticação moderna como um protocolo-chave, que traz a mesma experiência de autenticação forte e avançada dos navegadores da Web para as ferramentas de colaboração que os funcionários usam no dia a dia, incluindo o Microsoft Outlook e os outros aplicativos do Microsoft Office.

Sem senha

As senhas são o elo mais fraco de uma cadeia de segurança. Elas podem ser um ponto único de falha se não houver verificação adicional. A Microsoft dá suporte a uma ampla variedade de opções de autenticação para atender às necessidades das instituições financeiras.

Os métodos sem senha ajudam a tornar a MFA mais conveniente para os usuários. Embora nem toda MFA seja sem senha, as tecnologias sem senha empregam autenticação multifator. A Microsoft, o Google e outros líderes do setor desenvolveram padrões para permitir uma experiência de autenticação mais simples e forte na Web e em dispositivos móveis em um grupo chamado Fast IDentity Online (FIDO). O padrão FIDO2 recentemente desenvolvido permite que os usuários se autentiquem com facilidade e segurança, sem a necessidade de uma senha para eliminar phishing.

Os métodos MFA da Microsoft sem senha incluem:

  • Microsoft Authenticator: Para flexibilidade, conveniência e custo, recomendamos o uso do aplicativo móvel Microsoft Authenticator. O Microsoft Authenticator oferece suporte a biometria, notificações por push e códigos de acesso únicos para qualquer aplicativo conectado ao Azure AD. Está disponível nas lojas de aplicativos da Apple e Android.
  • Windows Hello: Para uma experiência incorporada no PC, recomendamos o uso do Windows Hello. Ele usa informações biométricas (como rosto ou impressão digital) para possibilitar a entrada automática.
  • As chaves de segurança FIDO2 agora estão disponíveis em vários parceiros da Microsoft: Yubico, Feitian Technologies e HID Global, em um USB, crachá habilitado para NFC ou chave biométrica.

O Acesso Condicional do Azure AD fornece uma solução robusta para automatizar decisões de controle de acesso e aplicar políticas organizacionais para proteger os ativos da empresa. Um exemplo clássico é quando um planejador financeiro deseja acessar um aplicativo que possui dados confidenciais do cliente. Eles são automaticamente solicitados a executar uma autenticação multifatorial para acessar especificamente esse aplicativo, e o acesso deve ser de um dispositivo gerenciado pela empresa. O Acesso Condicional do Azure reúne sinais sobre a solicitação de acesso de um usuário, como propriedades sobre o usuário, dispositivo, local, rede e aplicativo que o usuário está tentando acessar. Ele avalia dinamicamente as tentativas de acessar o aplicativo em relação às políticas configuradas. Se o risco de usuário ou dispositivo for elevado ou outras condições não forem atendidas, o Azure AD poderá impor políticas automaticamente, como exigir MFA, exigir redefinição segura de senha ou restringir ou bloquear o acesso. Isso ajuda a garantir que ativos organizacionais confidenciais sejam protegidos em ambientes dinamicamente variáveis.

O Azure AD e os serviços de segurança relacionados ao Microsoft 365 fornecem a base sobre a qual uma moderna plataforma de colaboração em nuvem pode ser implementada nas instituições financeiras, para que o acesso a dados e aplicativos possa ser protegido e as obrigações de conformidade com os reguladores possam ser cumpridas. Essas ferramentas fornecem os seguintes recursos principais:

  • Armazenar e gerenciar de forma segura as identidades do usuário.
  • Usar um protocolo de autenticação forte, incluindo autenticação multifator, para autenticar usuários em solicitações de acesso e fornecer uma experiência de autenticação consistente e robusta em todos os aplicativos.
  • Valide políticas dinamicamente em todas as solicitações de acesso, incorporando vários sinais no processo de tomada de decisão, incluindo identidade, associação de usuário/grupo, aplicativo, dispositivo, rede, local e pontuação de risco em tempo real.
  • Validar políticas granulares com base no comportamento do usuário e nas propriedades do arquivo, e impor dinamicamente medidas de segurança adicionais quando necessário.
  • Identificar "TI de sombra" na organização e permitir que as equipes de segurança da informação sancionem ou bloqueiem aplicativos de nuvem.
  • Monitorar e controlar o acesso a aplicativos de nuvem da Microsoft e de terceiros.
  • Proteger proativamente contra ataques de phishing e ransomware por email.

Azure AD Identity Protection

Enquanto o Acesso Condicional protege os recursos contra solicitações suspeitas, o Identity Protection vai além, fornecendo detecção de riscos e correção de contas de usuários suspeitos continuamente. O Identity Protection mantém você informado sobre comportamentos suspeitos de usuário e entrada em seu ambiente o tempo todo. Sua resposta automática impede proativamente que identidades comprometidas sejam abusadas.

O Identity Protection é uma ferramenta que permite às organizações realizar três tarefas principais:

  • Automatizar a detecção e correção de riscos baseados em identidade.
  • Investigar riscos usando dados no portal.
  • Exportar dados de detecção de risco para utilitários de terceiros para análises adicionais.

Para proteger os usuários, o Identity Protection usa o conhecimento que a Microsoft adquiriu de sua posição em organizações com o Azure AD, no espaço do consumidor com Contas da Microsoft e em jogos com o Xbox. A Microsoft analisa 65 trilhões de sinais por dia para identificar e proteger os clientes contra ameaças. Os sinais gerados e alimentados no Identity Protection podem ser alimentados ainda mais em ferramentas como o Acesso Condicional para tomar decisões de acesso. Eles também podem ser retornados a uma ferramenta de gerenciamento de informações e eventos de segurança (SIEM) para uma investigação mais aprofundada com base nas políticas aplicadas da sua organização.

O Identity Protection ajuda as organizações a se protegerem automaticamente contra o comprometimento de identidade, aproveitando a inteligência em nuvem desenvolvida pela detecção avançada baseada em heurística, análise de comportamento de usuários e entidades (UEBA) e aprendizado de máquina (ML) em todo o ecossistema da Microsoft.

Cinco profissionais da informação observam enquanto outro faz uma apresentação.

Identificar dados confidenciais e evitar a perda de dados

O Microsoft 365 permite que todas as organizações identifiquem dados confidenciais dentro da organização por meio de uma combinação de recursos avançados, incluindo:

  • A Proteção de Informações do Microsoft Purview para classificação baseada no usuário e classificação automatizada de dados confidenciais.
  • Prevenção contra Perda de Dados (DLP) do Microsoft Purview para identificação automatizada de dados confidenciais usando tipos de dados confidenciais (em outras palavras, expressões regulares) e imposição de políticas e palavras-chave.

A Proteção de Informações do Microsoft Purview permite que as organizações classifiquem documentos e emails de maneira inteligente usando rótulos de confidencialidade. Os rótulos de confidencialidade podem ser aplicados manualmente pelos usuários a documentos em aplicativos do Microsoft Office e a emails no Outlook. Os rótulos podem aplicar marcações de documentos, proteção por criptografia e imposição de gerenciamento de direitos automaticamente. Os rótulos de confidencialidade também podem ser aplicados automaticamente, configurando políticas que usam palavras-chave e tipos de dados confidenciais (como números de cartão de crédito, números de previdência social e números de identidade) para localizar e classificar automaticamente dados confidenciais.

Além disso, a Microsoft fornece "classificadores treináveis" que usam modelos de aprendizado de máquina para identificar dados confidenciais com base no conteúdo, em vez de simplesmente por meio de correspondência de padrões ou pelos elementos dentro do conteúdo. Um classificador aprende como identificar um tipo de conteúdo observando vários exemplos do conteúdo a ser classificado. O treinamento de um classificador começa com exemplos de conteúdo em uma categoria específica. Depois de aprender com esses exemplos, o modelo é testado, dando-lhe uma combinação de exemplos correspondentes e não correspondentes. O classificador prevê se um determinado exemplo se enquadra na categoria ou não. Uma pessoa então confirma os resultados, classificando os positivos, negativos, falsos positivos e falsos negativos para ajudar a aumentar a precisão das previsões do classificador. Quando o classificador treinado é publicado, ele processa o conteúdo no SharePoint Online, Exchange Online e OneDrive for Business da Microsoft e classifica automaticamente o conteúdo.

A aplicação de rótulos de confidencialidade a documentos e emails incorpora metadados que identificam a confidencialidade escolhida no objeto. A confidencialidade então viaja com os dados. Portanto, mesmo que um documento rotulado seja armazenado na área de trabalho de um usuário ou em um sistema local, ele ainda estará protegido. Esta funcionalidade permite que outras soluções Microsoft 365, tais como o Microsoft Defender for Cloud Apps ou dispositivos de borda de rede, identifiquem dados sensíveis e reforcem automaticamente os controles de segurança. Os rótulos de confidencialidade têm o benefício adicional de educar os funcionários sobre quais dados em uma organização são considerados confidenciais e como lidar com esses dados ao recebê-los.

A Prevenção contra Perda de Dados (DLP) do Microsoft Purview identifica automaticamente documentos, emails e conversas que contêm dados confidenciais, verificando-os em busca de dados confidenciais e aplicando políticas nesses objetos. As políticas são impostas em documentos no SharePoint e OneDrive for Business. Elas também são impostas quando os usuários enviam emails, nos chats do Teams e nas conversas de canais. As políticas podem ser configuradas para procurar palavras-chave, tipos de dados confidenciais, rótulos de retenção e se os dados são compartilhados dentro da organização ou externamente. São fornecidos controles para ajudar as organizações a ajustar as políticas de DLP para reduzir falsos positivos. Quando dados confidenciais são encontrados, dicas de políticas personalizáveis podem ser exibidas aos usuários nos aplicativos Microsoft 365 para informá-los de que seu conteúdo contém dados confidenciais e depois propor ações corretivas. As políticas também podem impedir que os usuários acessem documentos, compartilhem documentos ou enviem emails que contenham certos tipos de dados confidenciais. O Microsoft 365 oferece suporte a mais de 100 tipos de dados sensíveis internos. As organizações podem configurar tipos de dados confidenciais personalizados para atender às suas políticas.

A implementação de Proteção de Informações do Microsoft Purview e políticas DLP para as organizações exige um planejamento cuidadoso e um programa de educação do usuário, para que os funcionários entendam o esquema de classificação de dados da organização e quais tipos de dados são considerados confidenciais. Fornecer aos funcionários ferramentas e programas educacionais que os ajudem a identificar dados confidenciais e a entender como lidar com eles os torna parte da solução para mitigar os riscos à segurança das informações.

Os sinais gerados e alimentados no Identity Protection também podem ser alimentados em ferramentas como Acesso Condicional para tomar decisões de acesso, ou em uma ferramenta de gerenciamento de informações e eventos de segurança (SIEM) para investigação com base nas políticas aplicadas de uma organização.

O Identity Protection ajuda as organizações a se protegerem automaticamente contra comprometimento de identidade, tirando proveito da inteligência em nuvem fornecida por detecções avançadas baseadas em heurística, análises de comportamento de usuários e entidades e aprendizado de máquina no ecossistema da Microsoft.

Um profissional da informação é retratado em frente de vários monitores.

Defender a fortaleza

A Microsoft lançou recentemente a solução Microsoft 365 Defender, projetada para proteger a organização moderna do cenário de ameaças em evolução. Ao aproveitar o Gráfico de Segurança Inteligente da Microsoft, a solução de Proteção contra Ameaças oferece segurança abrangente e integrada contra vários vetores de ataque.

O Gráfico de Segurança Inteligente

Os serviços de segurança do Microsoft 365 são baseados no Gráfico de Segurança Inteligente. Para combater ameaças cibernéticas, o Gráfico de Segurança Inteligente usa análises avançadas para vincular inteligência de ameaças e sinais de segurança da Microsoft e de seus parceiros. A Microsoft opera serviços globais em grande escala, reunindo trilhões de sinais de segurança que alimentam camadas de proteção em toda a pilha. Os modelos de aprendizado de máquina avaliam essa inteligência e os insights de sinais e ameaças são amplamente compartilhados em nossos produtos e serviços. Isso nos permite detectar e responder a ameaças rapidamente e trazer aos clientes alertas e informações acionáveis para correção. Nossos modelos de aprendizado de máquina são treinados e atualizados continuamente com novos insights, ajudando-nos a criar produtos mais seguros e fornecer segurança mais proativa.

O Microsoft Defender para Office 365 fornece um serviço Microsoft 365 integrado que protege as organizações contra links maliciosos e malware enviados por email e documentos do Office. Um dos vetores de ataque mais comuns que afetam os usuários hoje são os ataques de phishing por email. Esses ataques podem ser direcionados a usuários específicos e podem ser muito convincentes, com algumas ações que solicitam que o usuário clique em um link mal-intencionado ou abra um anexo contendo malware. Depois que um computador é infectado, o invasor pode roubar as credenciais do usuário e mover-se lateralmente pela organização ou filtrar emails e dados para procurar informações confidenciais. O Defender for Office 365 oferece suporte a anexos seguros e links seguros avaliando documentos e links no momento do clique para intenções potencialmente maliciosas e bloqueia o acesso. Os anexos de email são abertos em uma área restrita protegida antes de serem entregues na caixa de correio de um usuário. Ela também avalia os links nos documentos do Office para detectar URLs mal-intencionadas. O Defender for Office 365 também protege links e arquivos no Microsoft Office SharePoint Online, Microsoft OneDrive for Business e Microsoft Teams. Se um arquivo mal-intencionado for detectado, Defender para Office 365 bloqueará automaticamente esse arquivo para reduzir possíveis danos.

Microsoft Defender para Ponto de Extremidade é uma plataforma de segurança de ponto de extremidade unificada para proteção preventiva, detecção pós-violação, resposta e investigação automatizadas. O Defender para Ponto de Extremidade fornece recursos integrados para descoberta e proteção de dados confidenciais em terminais de empresas.

O Microsoft Defender for Cloud Apps permite que as organizações enforcem políticas em um nível granular e detectem anomalias comportamentais com base em perfis de usuário individuais que são definidos automaticamente usando o aprendizado de máquina. As políticas do Defender for Cloud Apps podem se basear em políticas de Acesso Condicional do Azure para proteger ativos confidenciais da empresa avaliando sinais adicionais relacionados ao comportamento do usuário e propriedades dos documentos acessados. Com o tempo, o Defender for Cloud Apps aprende o que é comportamento típico para cada funcionário em relação aos dados que acessam e aos aplicativos que usam. Com base nos padrões de comportamento aprendidos, as políticas podem impor controles de segurança automaticamente se um funcionário agir fora desse perfil comportamental. Por exemplo, se um funcionário normalmente acessa um aplicativo de contabilidade das 9:00 às 17:00 de segunda a sexta-feira, mas de repente começa a acessar esse aplicativo fortemente em uma noite de domingo, o Defender for Cloud Apps pode impor dinamicamente políticas para exigir que o usuário reautentique. Isso ajuda a garantir que as credenciais do usuário não tenham sido comprometidas. O Defender for Cloud Apps também pode ajudar a identificar a "SHADOW IT" na organização, o que ajuda as equipes de segurança da informação a garantir que os funcionários usem ferramentas sancionadas quando trabalham com dados confidenciais. Por fim, o Defender for Cloud Apps pode proteger dados confidenciais em qualquer lugar na Nuvem, mesmo fora da plataforma Microsoft 365. Ele permite que as organizações sancionem (ou não sancionem) aplicativos externos de nuvem específicos, controlando o acesso e monitorando o uso.

O Microsoft Defender para Identidade é uma solução de segurança baseada em nuvem que aproveita os sinais do Active Directory local para identificar, detectar e investigar ameaças avançadas, identidades comprometidas e ações internas mal-intencionadas direcionadas à sua organização. A AATP permite que os analistas de operações de segurança e profissionais de segurança detectem ataques avançados em ambientes híbridos para:

  • Monitorar usuários, comportamento da entidade e atividades usando análises baseadas em aprendizado.
  • Proteger as identidades e credenciais do usuário armazenadas no Active Directory.
  • Identificar e investigar atividades suspeitas do usuário e ataques avançados em toda a cadeia de extermínio.
  • Fornecer informações claras sobre incidentes em uma linha do tempo simples para triagem rápida.

Funcionários de escritório se reúnem em uma pequena sala de conferências. Um faz uma apresentação.

Controlar dados e gerenciar registros

As instituições financeiras devem reter seus registros e informações de acordo com suas obrigações regulatórias, jurídicas e comerciais, conforme representado em sua programação de retenção corporativa. Por exemplo, a SEC determina períodos de retenção de três a seis anos, com base no tipo de registro, com acessibilidade imediata nos dois primeiros anos. As organizações enfrentam riscos de conformidade legal e regulamentar se os dados forem insuficientemente mantidos (descartados muito cedo), e agora também gerenciam regulamentos que determinam o descarte quando as informações não são mais necessárias. Estratégias eficazes de gerenciamento de registros enfatizam uma abordagem prática e consistente, para que as informações sejam descartadas adequadamente, minimizando custos e riscos para a organização.

Além disso, os mandatos regulatórios do Departamento de Serviços Financeiros do Estado de Nova York exigem que as entidades abrangidas mantenham políticas e procedimentos para o descarte de informações não públicas. O regulamento 23 NYCRR 500, Seção 500.13, Limitações à retenção de dados, exige que "Como parte de seu programa de segurança cibernética, cada Entidade Abrangida inclua políticas e procedimentos para o descarte seguro, periodicamente, de qualquer informação não pública identificada na seção 500.01(g)(2)-(3) desta Parte que não é mais necessária para operações comerciais ou para outros fins comerciais legítimos da Entidade Abrangida, exceto quando for exigido que essas informações sejam retidas por lei ou regulamento."

Instituições financeiras gerenciam grandes quantidades de dados. E alguns períodos de retenção são acionados por eventos, como um contrato que expira ou um funcionário que sai da organização. Nesse ambiente, pode ser desafiador aplicar políticas de retenção de registros. As abordagens para atribuir períodos de retenção com precisão em registros nos documentos organizacionais podem variar. Alguns aplicam políticas de retenção amplamente ou aproveitam as técnicas de autoclassificação e aprendizado de máquina. Outras identificam uma abordagem que requer um processo mais granular que atribui períodos de retenção exclusivamente a documentos individuais.

O Microsoft 365 fornece recursos flexíveis para definir rótulos de retenção e políticas para implementar de forma inteligente os requisitos de gerenciamento de registros. Um gerenciador de registros define um rótulo de retenção, que representa um "tipo de registro" em um agendamento de retenção tradicional. O rótulo de retenção contém configurações que definem esses detalhes:

  • Por quanto tempo um registro é mantido
  • O que ocorre quando o período de retenção expira (excluir o documento, iniciar uma análise de disposição ou não tomar nenhuma ação)
  • O que aciona o início do período de retenção (data de criação, data da última modificação, data rotulada ou evento) e marca o documento ou email como um registro (o que significa que não pode ser editado ou excluído)

Os rótulos de retenção são publicados nos sites do SharePoint ou OneDrive, caixas de correio do Exchange e grupos do Microsoft 365. Os usuários podem aplicar os rótulos de retenção a documentos e emails manualmente. Os gerentes de registro podem usar a inteligência para aplicar os rótulos automaticamente. Os recursos inteligentes podem basear-se em mais de noventa tipos de informações confidenciais internos (como número de roteamento ABA, número de conta bancária nos EUA ou número de previdência social nos EUA). Eles também são personalizáveis com base em palavras-chave ou dados confidenciais encontrados em documentos ou emails, como números de cartão de crédito ou outras informações de identificação pessoal, ou com base nos metadados do SharePoint. Para dados que não são facilmente identificados através da correspondência de padrões manual ou automatizada, os classificadores treináveis podem ser usados para classificar documentos de maneira inteligente, com base nas técnicas de aprendizado de máquina.

A Comissão de Títulos e Câmbio dos Estados Unidos (SEC) exige que corretoras e outras instituições financeiras regulamentadas mantenham todas as comunicações relacionadas aos negócios. Esses requisitos se aplicam a muitos tipos de comunicação e dados, incluindo emails, documentos, mensagens instantâneas, faxes e muito mais. A Regra 17a-4 da SEC define os critérios que essas organizações devem atender para armazenar registros em um sistema de armazenamento eletrônico de dados. Em 2003, a SEC emitiu um comunicado que esclareceu esses requisitos. Ele incluiu os seguintes critérios:

  • Os dados preservados por um sistema de armazenamento eletrônico não podem ser regraváveis ou apagáveis. Isso é chamado de requisito WORM (uma gravação, muitas leituras).
  • O sistema de armazenamento deve poder armazenar dados além do período de retenção exigido pela regra, no caso de uma intimação ou outra ordem legal.
  • Uma organização não violaria o requisito do parágrafo (f)(2)(ii)(A) da regra se usasse um sistema de armazenamento eletrônico que evitasse sobrescrever, apagar ou alterar um registro durante o período de retenção necessário através do uso de códigos de controle integrados de hardware e software.
  • Os sistemas de armazenamento eletrônico que apenas "atenuam" o risco de um registro ser substituído ou apagado, por exemplo, dependendo do controle de acesso, não atendem aos requisitos da regra.

Para ajudar as instituições financeiras a atender aos requisitos da regra 17a-4 da SEC, o Microsoft 365 fornece uma combinação de recursos relacionados a como os dados são retidos, as políticas são configuradas e os dados são armazenados no serviço. Entre eles:

  • Preservação de dados (Regra 17a-4(a), (b)(4)) – Os rótulos e políticas de retenção são flexíveis para atender às necessidades da organização e podem ser aplicados automaticamente ou manualmente a diferentes tipos de dados, documentos e informações. Há suporte para uma grande variedade de tipos de dados e comunicações, incluindo documentos no SharePoint e OneDrive for Business, dados em caixas de correio do Exchange Online e dados no Teams.

  • Formato não regravável e não apagável (Regra 17a-4(f)(2)(ii)(A)) – O recurso de Bloqueio de Preservação para políticas de retenção permite que gerentes e administradores de registros configurem políticas de retenção como restritivas, para que não possam mais ser modificadas. Isso proíbe qualquer pessoa de remover, desativar ou modificar a política de retenção de qualquer forma. Isso significa que, uma vez que o Bloqueio de Preservação esteja ativado, ele não poderá ser desativado, e não haverá método pelo qual os dados aos quais a política de retenção tenha sido aplicada possam ser substituídos, modificados ou excluídos durante o período de retenção. Além disso, o período de retenção não pode ser reduzido. No entanto, o período de retenção pode ser prolongado, quando há um requisito legal para continuar a retenção de dados.

    Quando um Bloqueio de Preservação é aplicado a uma política de retenção, as seguintes ações são restritas:

    • O período de retenção da política só pode ser aumentado. Ele não pode ser reduzido.
    • É possível adicionar usuários à política, mas os usuários existentes configurados na política não podem ser removidos.
    • A política de retenção não pode ser excluída por nenhum administrador da organização.

    O bloqueio de preservação ajuda a garantir que nenhum usuário, nem mesmo os administradores com os níveis mais altos de acesso privilegiado, possa alterar as configurações ou modificar, substituir ou excluir os dados que foram armazenados, alinhando o arquivamento no Microsoft 365 com as orientações fornecidas no Comunicado de 2003 da SEC.

  • Qualidade, precisão e verificação do armazenamento/serialização e indexação de dados (Regra 17a-4(f)(2) (ii)(B) e (C)) – As cargas de trabalho do Office 365 contêm recursos para verificar automaticamente a qualidade e a precisão do processo de gravação de dados na mídia de armazenamento. Além disso, os dados são armazenados utilizando metadados e registros de data e hora para garantir a indexação suficiente, de modo a permitir uma pesquisa e recuperação eficaz dos dados.

  • Armazenamento separado para cópias duplicadas (Regra 17a-4(f)(3(iii)) – O serviço de nuvem do Office 365 armazena cópias duplicadas dos dados como um aspecto principal da sua alta disponibilidade. Isso é feito implementando redundância em todos os níveis do serviço, inclusive no nível físico em todos os servidores, no nível do servidor no datacenter e no nível do serviço para datacenters geograficamente dispersos.

  • Dados disponíveis para download e acessíveis (Regra 17a-4(f)(2)(ii)(D)) – O Office 365 geralmente permite que dados rotulados para retenção sejam pesquisados, acessados e baixados no local. E permite que os dados nos arquivos do Exchange Online sejam pesquisáveis usando os recursos internos de descoberta eletrônica. Os dados podem ser baixados conforme necessário em formatos padrão, incluindo EDRML e PST.

  • Requisitos de auditoria (Regra 17a-4(f)(3)(v)) – O Office 365 fornece log de auditoria para todas as ações administrativas e de usuário que modificam objetos de dados, configuram ou modificam políticas de retenção, executam pesquisas de Descoberta Eletrônica ou modificam permissões de acesso. O Office 365 mantém uma trilha de auditoria abrangente, incluindo dados sobre quem executou uma ação, quando foi executada, detalhes sobre a ação e os comandos que foram executados. O log de auditoria pode então ser produzido e incluído como parte dos processos formais de auditoria, conforme necessário.

Por fim, a Regra 17a-4 exige que as organizações mantenham registros para muitos tipos de transações, para que sejam imediatamente acessíveis por dois anos. Os registros devem ser mantidos por três a seis anos com acesso não imediato. Os registros duplicados também devem ser mantidos pelo mesmo período em um local externo. Os recursos de gerenciamento de registros do Microsoft 365 permitem que os registros sejam retidos de forma que não possam ser modificados ou excluídos, mas possam ser facilmente acessados por um período controlado pelo gerente de registros. Esses períodos podem abranger dias, meses ou anos, dependendo das obrigações de conformidade regulatória da organização.

Mediante solicitação, a Microsoft fornecerá uma carta de atestado de conformidade com a SEC 17a-4, se exigido por uma organização.

Além disso, esses recursos também ajudam a Microsoft 365 atender aos requisitos de armazenamento para CFTC Rule 1.31(c)-(d) da Comissão Norte-americana de Negociação de Futuros de Mercadorias eFINRA Rule Series 4510 da Autoridade Regulatória do Setor Financeiro. Coletivamente, essas regras representam as diretrizes mais prescritivas globalmente para as instituições financeiras manterem registros.

Detalhes adicionais sobre como o Microsoft 365 está em conformidade com a regra 17a-4 da SEC e outras regulamentações estão disponíveis com o documento de download Office 365 - Cohasset Assessment - SEC Rule 17a-4(f) - Armazenamento Imutável para SharePoint, OneDrive, Exchange, Teams e Yammer (2022).

Estabelecer muros éticos com barreiras de informação

As instituições financeiras podem estar sujeitas a regulamentos que impedem os funcionários em determinadas funções de trocar informações ou colaborar com outras funções. Por exemplo, a FINRA publicou as regras 2241(b)(2)(G), 2242(b)(2) (D), (b)(2)(H)(ii) e (b)(2)(H)(iii) que exigem que os membros:

"(G) estabelecer barreiras à informação ou outras proteções institucionais razoavelmente projetadas para garantir que os analistas de pesquisa sejam protegidos da revisão, pressão ou supervisão por pessoas envolvidas em atividades de serviços de bancos de investimento ou outras pessoas, incluindo funcionários de vendas e comércio, que podem ser tendenciosos em seu julgamento ou supervisão;" e "(H) estabelecer barreiras à informação ou outras proteções institucionais razoavelmente projetadas para garantir que os analistas de pesquisa de dívida sejam protegidos da revisão, pressão ou supervisão por pessoas envolvidas em: (i) serviços de bancos de investimento; (ii) atividades principais de comércio ou vendas e comércio; e (iii) outras pessoas que possam ser tendenciosas em seu julgamento ou supervisão;"

Por fim, essas regras exigem que as organizações estabeleçam políticas e implementem barreiras de informações entre as funções envolvidas nos serviços bancários, vendas ou comércio, para a troca de informações e comunicações com analistas.

As barreiras de informações fornecem a capacidade de estabelecer muros éticos no ambiente do Office 365, permitindo que os administradores de conformidade ou outros administradores autorizados definam políticas que permitam ou impeçam a comunicação entre grupos de usuários no Teams. As barreiras de informações realizam verificações de ações específicas para impedir a comunicação não autorizada. As barreiras à informação também podem restringir a comunicação em cenários em que as equipes internas estejam trabalhando em fusões/aquisições ou acordos confidenciais, ou trabalhando com informações internas confidenciais que devem ser fortemente restringidas.

As barreiras de informações oferecem suporte a conversas e arquivos no Teams. Elas podem impedir os seguintes tipos de ações relacionadas à comunicação para ajudar a cumprir os regulamentos da FINRA:

  • Procurar um usuário
  • Adicione um membro a uma equipe ou continue a participar com outro membro de uma equipe
  • Iniciar ou continuar uma sessão de chat
  • Iniciar ou continuar um chat em grupo
  • Convide alguém para participar de uma reunião
  • Compartilhar uma tela
  • Fazer uma chamada

Implementar controle de supervisão

Normalmente, as instituições financeiras são obrigadas a estabelecer e manter uma função de supervisão em suas organizações para monitorar as atividades dos funcionários e ajudá-lo a alcançar a conformidade com as leis de valores mobiliários aplicáveis. Especificamente, a FINRA estabeleceu estes requisitos de supervisão:

  • A Regra 3110 (Supervisão) da FINRA exige que as empresas tenham procedimentos escritos de supervisão (WSPs) para supervisionar as atividades dos seus funcionários e os tipos de negócios em que atua. Além de outros requisitos, os procedimentos devem incluir:

    • Supervisão do pessoal de supervisão
    • Análise de banco de investimentos, negócios de valores mobiliários, comunicações internas e investigações internas de uma empresa
    • Análise de transações para verificar a presença de informações privilegiadas
    • Análise de correspondências e reclamações

    Os procedimentos devem descrever os indivíduos responsáveis pelas análises, a atividade de supervisão que cada pessoa executará, a frequência da análise e os tipos de documentação ou comunicação sob análise.

  • A Regra 3120 da FINRA (Sistema de Controle de Supervisão) exige que as empresas tenham um sistema de políticas e procedimentos de controle de supervisão (SCPs) que valide seus procedimentos de supervisão por escrito, conforme definido pela Regra 3110. As empresas são obrigadas não apenas a ter WSPs, mas também a ter políticas que testem esses procedimentos anualmente para validar sua capacidade de garantir a conformidade com as leis e regulamentos de valores mobiliários aplicáveis. Metodologias baseadas em risco e amostragem podem ser usadas para definir o escopo dos testes. Entre outros requisitos, essa regra exige que as empresas forneçam um relatório anual à gerência sênior que inclua um resumo dos resultados dos testes e quaisquer exceções significativas ou procedimentos alterados em resposta aos resultados dos testes.

Um trabalhador de escritório exibe um gráfico e tabelas em uma tela enquanto outros se reúnem em segundo plano.

Conformidade em comunicações

A Conformidade de Comunicações do Microsoft Purview é uma solução de conformidade que ajuda a minimizar os riscos de comunicação, ajudando você a detectar, investigar e agir em mensagens inadequadas em sua organização. Políticas predefinidas e personalizadas permitem que você verifique as comunicações internas e externas em busca de correspondências de políticas, para que possam ser examinadas por revisores designados. Revisores podem investigar emails digitalizados, Microsoft Teams, Yammer ou comunicações de terceiros em sua organização e tomar as ações corretivas apropriadas para garantir que estão em conformidade com os padrões de mensagem de sua organização.

A conformidade com a comunicação fornece relatórios que permitem que as atividades de análise de políticas sejam auditadas com base na política e no revisor. Os relatórios estão disponíveis para validar que as políticas estão funcionando conforme definido pelas políticas escritas de uma organização. Eles também podem ser usados para identificar comunicações que requerem análise e aquelas que não são compatíveis com a política corporativa. Por fim, todas as atividades relacionadas à configuração de políticas e análise de comunicações são auditadas no log de auditoria unificado do Office 365. Como resultado, a conformidade de comunicações também ajuda as instituições financeiras a cumprir a Regra 3120 da FINRA.

Além de cumprir as regras da FINRA, a conformidade de comunicação permite que as organizações detectem e atuem em comunicações que podem ser afetadas por outros requisitos legais, políticas corporativas e padrões éticos. A conformidade de comunicação fornece classificadores internos de ameaças, assédio e profanação que ajudam a reduzir falsos positivos ao analisar as comunicações, economizando tempo aos revisores durante o processo de investigação e correção. Ele também permite que as organizações reduzam o risco detectando comunicações quando elas passam por mudanças organizacionais sensíveis, como fusões e aquisições ou mudanças de liderança.

Um profissional da informação se concentra em uma tela.

Proteger-se contra exfiltração de dados e riscos internos

Uma ameaça comum para as empresas é a exfiltração de dados ou o ato de extrair dados de uma organização. Esse risco pode ser uma preocupação significativa para as instituições financeiras devido à natureza sensível das informações que podem ser acessadas diariamente. Com o crescente número de canais de comunicação disponíveis e a proliferação de ferramentas para movimentação de dados, recursos avançados são normalmente necessários para mitigar os riscos de vazamento de dados, violações de políticas e riscos internos.

Gerenciamento de risco interno

Permitir que os funcionários usem ferramentas de colaboração online que podem ser acessadas em qualquer lugar inerentemente traz riscos à organização. Os funcionários podem inadvertidamente ou maliciosamente vazar dados para invasores ou concorrentes. Alternativamente, eles podem extrair dados para uso pessoal ou levá-los a um futuro empregador. Esses cenários apresentam sérios riscos para as instituições de serviços financeiros do ponto de vista de segurança e conformidade. Identificar esses riscos quando eles ocorrem e mitigá-los rapidamente requer ferramentas inteligentes para coleta e colaboração de dados em departamentos como jurídico, recursos humanos e segurança da informação.

O Gerenciamento de Risco Interno do Microsoft Purviewé uma solução de conformidade que ajuda a minimizar os riscos internos, permitindo que você detecte, investigue e atue em atividades mal-intencionadas e inadvertidas em sua organização. As políticas de risco interno permitem que você defina os tipos de riscos a serem identificados e detectados em sua organização, incluindo a ação em casos e o escalonamento de casos para a Descoberta Eletrônica da Microsoft (Premium), se necessário. Os analistas de risco em sua organização podem executar rapidamente as ações apropriadas para garantir que os usuários estejam em conformidade com os padrões de conformidade da sua organização.

Por exemplo, o gerenciamento de risco interno pode correlacionar sinais dos dispositivos de um usuário, como copiar arquivos para uma unidade USB ou enviar por email uma conta de email pessoal, com atividades de serviços online, como email do Office 365, SharePoint Online, Microsoft Teams ou OneDrive for Business, para identificar padrões de exfiltração de dados. Ele também pode correlacionar essas atividades com os funcionários que saem de uma organização, o que é um padrão comum de exfiltração de dados. Ele pode detectar várias atividades potencialmente arriscadas e comportamento ao longo do tempo. Quando surgem padrões comuns, ele pode gerar alertas e ajudar os investigadores a se concentrarem nas atividades principais para verificar, com um alto grau de confiança, se há uma violação de política. O gerenciamento de riscos internos pode pseudo-anonimizar os dados dos investigadores para ajudar a cumprir as regulamentações de privacidade de dados, enquanto ainda apresenta as principais atividades que ajudam a realizar as investigações com eficiência. Ele permite que os investigadores empacotem e enviem com segurança os principais dados das atividades ao departamento jurídico e de RH, seguindo fluxos de trabalho de escalação comuns para levantar casos para ações de correção.

O gerenciamento de risco interno aumenta significativamente os recursos das organizações para detectar e investigar riscos internos, permitindo que as organizações ainda cumpram os regulamentos de privacidade de dados e sigam os caminhos de escalonamento estabelecidos quando os casos exigem ações de nível superior.

Um funcionário de central de atendimento em um cubículo digita enquanto visualiza uma tela.

Restrições de locatário

Geralmente, as organizações que lidam com dados confidenciais e enfatizam estritamente a segurança desejam controlar os recursos online que os usuários podem acessar. Ao mesmo tempo, elas desejam permitir a colaboração segura por meio de serviços online, como o Office 365. Como resultado, controlar os ambientes do Office 365 que os usuários podem acessar se torna um desafio, porque os ambientes não corporativos do Office 365 podem ser usados para exfiltrar dados de dispositivos corporativos de maneira mal-intencionada ou inadvertida. Tradicionalmente, as organizações restringem os domínios ou endereços IP que os usuários podem acessar a partir de dispositivos corporativos. Mas isso não funciona em um mundo centrado na nuvem, onde os usuários precisam acessar legitimamente os serviços do Office 365.

O Microsoft 365 fornece às restrições de locatário a capacidade de enfrentar esse desafio. As restrições de locatário podem ser configuradas para restringir o acesso dos funcionários a locatários corporativos externos do Office 365 que usam identidades não autorizadas (identidades que não fazem parte do diretório corporativo). Hoje, as restrições de locatário se aplicam por meio do locatário, permitindo acesso apenas aos locatários que aparecem na lista que você configura. A Microsoft continua desenvolvendo essa solução para aumentar a granularidade do controle e aprimorar as proteções que ela fornece.

ELEMENTO GRÁFICO.

Conclusão

O Microsoft 365 e o Teams fornecem uma solução integrada e abrangente para empresas de serviços financeiros, permitindo recursos simples e poderosos de colaboração e comunicação na nuvem em toda a empresa. Usando tecnologias de segurança e conformidade do Microsoft 365, as instituições podem operar de maneira mais segura e em conformidade com controles de segurança robustos para proteger dados, identidades, dispositivos e aplicativos contra vários riscos operacionais, incluindo segurança cibernética e riscos internos. O Microsoft 365 fornece uma plataforma fundamentalmente segura na qual as organizações de serviços financeiros podem alcançar mais, protegendo ao mesmo tempo sua empresa, funcionários e clientes.