Principais considerações de conformidade e segurança para os mercados bancários e de capitais dos EUA

  • Artigo

Introdução

As instituições de serviços financeiros ultrapassam quase todas as empresas comerciais na sua procura de controlos rigorosos de segurança, conformidade e governação. A proteção de dados, identidades, dispositivos e aplicações não é apenas fundamental para o seu negócio, está sujeita a requisitos de conformidade e diretrizes de entidades reguladoras como a Comissão de Valores Mobiliários (SEC), a Autoridade Reguladora da Indústria Financeira (FINRA), o Federal Financial Institutions Examination Council (FFIEC) e a Commodity Futures Trading Commission (CFTC). Além disso, as instituições financeiras estão sujeitas a leis como a Dodd-Frank e a Lei Sarbanes-Oxley de 2002.

No actual clima de maior vigilância de segurança, preocupações com riscos internos e violações de dados públicos, os clientes também exigem elevados níveis de segurança por parte das suas instituições financeiras, a fim de confiar nos seus dados pessoais e ativos bancários.

Historicamente, a necessidade de controlos abrangentes afetou e restringiu diretamente os sistemas e plataformas de TI que as instituições financeiras utilizam para permitir a colaboração interna e externamente. Atualmente, os colaboradores dos serviços financeiros precisam de uma plataforma de colaboração moderna que seja fácil de adotar e fácil de utilizar. No entanto, os serviços financeiros não podem trocar a flexibilidade para colaborar entre utilizadores, equipas e departamentos com controlos de segurança e conformidade que impõem políticas para proteger os utilizadores e os sistemas de TI contra ameaças.

No setor dos serviços financeiros, é necessária uma consideração cuidadosa para a configuração e implementação de ferramentas de colaboração e controlos de segurança, incluindo:

  • Avaliação de riscos de cenários comuns de colaboração organizacional e processo de negócio
  • Proteção de informações e requisitos de governação de dados
  • Cibersegurança e ameaças internas
  • Requisitos de conformidade regulamentar
  • Outros riscos operacionais

O Microsoft 365 é um ambiente de cloud no local de trabalho moderno que pode enfrentar os desafios contemporâneos que as organizações de serviços financeiros enfrentam. A colaboração segura e flexível em toda a empresa é combinada com controlos e aplicação de políticas para cumprir quadros rigorosos de conformidade regulamentar. Este artigo descreve como a plataforma do Microsoft 365 ajuda os serviços financeiros a moverem-se para uma plataforma de colaboração moderna, ao mesmo tempo que ajuda a manter os dados e os sistemas seguros e em conformidade com os regulamentos:

  • Ativar a produtividade organizacional e dos colaboradores com o Microsoft 365 e o Microsoft Teams
  • Proteger a colaboração moderna com o Microsoft 365
  • Identificar dados confidenciais e evitar a perda de dados
  • Defender a fortaleza
  • Govern data and comply with regulations by effectively managing records (Governar dados e cumprir os regulamentos ao gerir efetivamente os registos)
  • Estabelecer muros éticos com barreiras de informação
  • Proteger contra a transferência de dados não autorizada e o risco interno

Como parceiro da Microsoft, a Protiviti contribuiu e forneceu feedback material para este artigo.

As seguintes ilustrações transferíveis complementam este artigo. O Woodgrove Bank e a Contoso são utilizados para demonstrar como as capacidades descritas neste artigo podem ser aplicadas para abordar os requisitos regulamentares comuns dos serviços financeiros. Não hesite em adaptar estas ilustrações para sua própria utilização.

Ilustrações de conformidade e proteção de informações do Microsoft 365

Item Descrição
Cartaz do modelo: capacidades de conformidade e proteção de informações do Microsoft 365.
Inglês: Transferir como um PDF | Transferir como um Visio
Japonês: Transferir como umaTransferência de PDF | como um Visio
Atualizado em novembro de 2020		 Inclui:
  • Proteção de Informações do Microsoft Purview e Prevenção de Perda de Dados do Microsoft Purview
  • Políticas de retenção e etiquetas de retenção
  • Barreiras de informações
  • Conformidade de comunicações
  • Risco interno
  • Ingestão de dados de terceiros

Capacitar a produtividade organizacional e dos colaboradores com o Microsoft 365 e o Teams

Normalmente, a colaboração requer várias formas de comunicação, a capacidade de armazenar e aceder a documentos/dados e a capacidade de integrar outras aplicações conforme necessário. Normalmente, os colaboradores em serviços financeiros precisam de colaborar e comunicar com membros de outros departamentos ou equipas e, por vezes, com entidades externas. Por conseguinte, utilizar sistemas que criam silos ou dificultam a partilha de informações é indesejável. Em vez disso, é preferível utilizar plataformas e aplicações que permitam aos funcionários comunicar, colaborar e partilhar informações de forma segura e de acordo com a política empresarial.

Fornecer aos colaboradores uma plataforma de colaboração moderna e baseada na cloud permite-lhes escolher e integrar ferramentas que os tornam mais produtivos e capacitam-nos a encontrar formas ágeis de trabalhar. Utilizar o Teams em conjunto com controlos de segurança e políticas de governação de informações que protegem a organização pode ajudar a sua força de trabalho a comunicar e a colaborar de forma eficaz.

O Teams fornece um hub de colaboração para a organização. Ajuda a reunir pessoas para trabalharem de forma produtiva em iniciativas e projetos comuns. O Teams permite que os membros da equipa realizem conversações de chat multipartidas e 1:1, colaborem e cocriem documentos e armazenem e partilhem ficheiros. O Teams também facilita reuniões online através de voz e vídeo empresariais integrados. As equipas também podem ser personalizadas com aplicações da Microsoft, como Microsoft Planner, Microsoft Dynamics 365, Power Apps, Power BI e aplicações de linha de negócio de terceiros. O Teams foi concebido para ser utilizado por membros de equipa internos e utilizadores externos autorizados que podem aderir a canais de equipa, participar em conversações de chat, aceder a ficheiros armazenados e utilizar outras aplicações

Cada Equipa Microsoft é apoiada por um grupo do Microsoft 365. Este grupo é considerado o serviço de associação para vários serviços Office 365, incluindo o Teams. Os grupos do Microsoft 365 são utilizados para distinguir de forma segura entre "proprietários" e "membros" e para controlar o acesso a várias capacidades no Teams. Quando associado a controlos de governação adequados e revisões de acesso administradas regularmente, o Teams permite que apenas membros e proprietários utilizem canais e capacidades autorizados.

Um cenário comum em que o Teams beneficia os serviços financeiros é a execução de projetos ou programas internos. Por exemplo, muitas instituições financeiras, incluindo bancos, empresas de gestão de riqueza, uniões de crédito e prestadores de seguros, são obrigadas a ter programas anti-branqueamento de capitais e outros programas de conformidade em vigor. Uma equipa multifuncional composta por TI, linhas de negócio como a gestão de retalho e riqueza e uma unidade de crime financeiro podem ser necessárias para partilhar dados entre si e comunicar sobre o programa ou investigações específicas. Tradicionalmente, estes programas têm utilizado unidades de rede partilhadas, mas esta abordagem pode apresentar inúmeros desafios, incluindo:

  • Apenas uma pessoa pode editar um documento de cada vez.
  • A gestão da segurança é morosa porque a adição/remoção de indivíduos normalmente envolve TI.
  • Os dados permanecem residentes em unidades de rede partilhadas durante muito mais tempo do que o necessário ou pretendido.

O Teams pode fornecer um espaço de colaboração para armazenar dados confidenciais de cliente de forma segura e realizar conversações entre membros da equipa onde podem ser abordados tópicos confidenciais. Vários membros da equipa podem editar ou colaborar num único documento ao mesmo tempo. O proprietário ou coordenador do programa pode ser configurado como o proprietário da equipa e, em seguida, pode adicionar e remover membros conforme necessário.

Outro cenário comum é utilizar o Teams como uma "sala de dados virtual" para colaborar de forma segura, incluindo armazenar e gerir documentos. Os membros da equipa e os sindicatos na banca de investimento, gestão de ativos ou empresas de private equity podem colaborar de forma segura num negócio ou investimento. Muitas vezes, as equipas multifuncionais estão envolvidas no planeamento e no cumprimento desses negócios, e a capacidade de partilhar dados e conduzir conversações de forma segura é um requisito fundamental. A partilha segura de documentos relacionados com investidores externos também é um requisito fundamental. O Teams fornece uma localização segura e totalmente auditável a partir da qual armazenar, proteger e partilhar dados de investimento centralmente.

Um grupo de trabalhadores de escritório numa reunião discute imagens num grande intervalo.

Teams: Melhorar a colaboração e reduzir o risco de conformidade

O Microsoft 365 fornece outras capacidades de política comuns para o Teams através da utilização de grupos do Microsoft 365 como um serviço de associação subjacente. Estas políticas podem ajudar a melhorar a colaboração e a satisfazer as necessidades de conformidade.

As políticas de nomenclatura de grupos do Microsoft 365 ajudam a garantir que os grupos do Microsoft 365 e, por conseguinte, as equipas são nomeados de acordo com a política empresarial. Os nomes podem ser problemáticos se não forem adequados. Por exemplo, os funcionários podem não saber com que equipas trabalhar ou partilhar informações se os nomes não forem aplicados adequadamente. As políticas de nomenclatura de grupos (incluindo suporte para políticas baseadas em prefixo/sufixo e palavras bloqueadas personalizadas) podem impor uma boa "higiene" e impedir a utilização de palavras específicas, como palavras reservadas ou terminologia inadequada.

As políticas de expiração de grupos do Microsoft 365 ajudam a garantir que os grupos do Microsoft 365 e, por conseguinte, as equipas não são retidos por períodos de tempo mais longos do que o que a organização quer ou precisa. Esta capacidade ajuda a evitar dois problemas principais de gestão de informações:

  • Proliferação de equipas que não são necessárias ou utilizadas.
  • Retenção excessiva de dados que já não são necessários ou utilizados pela organização (exceto em casos de suspensão/preservação legal).

Os administradores podem especificar um período de expiração para grupos do Microsoft 365, como 90, 180 ou 365 dias. Se um serviço apoiado por um grupo do Microsoft 365 estiver inativo durante o período de expiração, os proprietários do grupo serão notificados. Se não for efetuada nenhuma ação, o grupo do Microsoft 365 e todos os respetivos serviços relacionados, incluindo o Teams, serão eliminados.

A retenção excessiva de dados armazenados no Teams e noutros serviços baseados em grupos pode representar riscos para as organizações de serviços financeiros. As políticas de expiração de grupos do Microsoft 365 são uma forma recomendada de ajudar a impedir a retenção de dados que já não são necessários. Combinado com políticas e etiquetas de retenção incorporadas, o Microsoft 365 ajuda a garantir que as organizações apenas mantêm os dados necessários para cumprir as políticas empresariais e as obrigações de conformidade regulamentar.

Teams: Integrar requisitos personalizados com facilidade

Por predefinição, o Teams permite a criação personalizada de equipas. No entanto, muitas organizações reguladas querem controlar e compreender que canais de colaboração estão atualmente a ser utilizados pelos seus funcionários, que canais podem conter dados confidenciais e a propriedade dos canais organizacionais. Para facilitar estes controlos de governação, o Microsoft 365 permite que a organização desative a criação de equipas self-service. Ao utilizar ferramentas de automatização de processos de negócio, como o Microsoft Power Apps e o Power Automate, as organizações podem criar e implementar processos de aprovação e formulários simples para os funcionários solicitarem a criação de uma nova equipa. Quando aprovada, a equipa pode ser aprovisionada automaticamente e uma ligação enviada para o requerente. Desta forma, as organizações podem conceber e integrar os respetivos controlos de conformidade e requisitos personalizados no processo de criação de equipa.

Canais de comunicação digital aceitáveis

A FINRA salienta que as comunicações digitais das empresas regulamentadas cumprem os requisitos de manutenção dos registos das regras 17a-3 e 17a-4, bem como da FINRA Rule Series 4510. A FINRA lança um relatório anual que contém descobertas fundamentais, observações e práticas eficazes para ajudar as organizações a melhorar a conformidade e a gestão de riscos. No relatório de 2019 sobre conclusões e observações de exames, a FINRA identificou as comunicações digitais como uma área-chave onde as empresas encontram desafios em conformidade com os requisitos de supervisão e manutenção de registos.

Se uma organização permitir que os seus colaboradores utilizem uma aplicação específica, como um serviço de mensagens baseado em aplicações ou uma plataforma de colaboração, a empresa tem de arquivar registos empresariais e supervisionar as atividades e comunicações desses funcionários nessa aplicação. As organizações são responsáveis por realizar as devidas diligências para cumprir as regras da FINRA e as leis de valores mobiliários, e por dar seguimento a potenciais violações dessas regras relacionadas com a utilização de tais aplicações por parte dos colaboradores.

As práticas eficazes recomendadas pela FINRA incluem o seguinte:

  • Estabeleça um programa de governação abrangente para canais de comunicação digital. Faça a gestão das decisões da organização sobre que canais de comunicação digital são permitidos e defina processos de conformidade para cada canal digital. Monitorize de perto o panorama em rápida mudança dos canais de comunicação digital e mantenha os processos de conformidade atualizados.
  • Defina e controle claramente os canais digitais permitidos. Definir canais digitais aprovados e proibidos. Bloquear ou restringir a utilização de canais digitais proibidos, ou funcionalidades proibidas em canais digitais, que limitam a capacidade da organização de cumprir os requisitos de gestão e supervisão de registos.
  • Fornecer formação para comunicações digitais. Implemente programas de formação obrigatórios antes de conceder aos representantes registados acesso a canais digitais aprovados. A formação ajuda a clarificar as expetativas de uma organização para comunicações digitais pessoais e empresariais e orienta os colaboradores através da utilização de funcionalidades permitidas de cada canal de forma conforme.

As conclusões e observações da FINRA para Comunicações Digitais estão diretamente relacionadas com a capacidade de uma organização cumprir a Regra 17a-4 da SEC para manter todas as comunicações relacionadas com a empresa, as regras FINRA 3110 e 3120 para supervisão e revisão das comunicações e a Série de Regras 4510 para manutenção de registos. A Comissão de Negociação de Futuros de Mercadorias (CFTC) promulga requisitos semelhantes ao abrigo do 17 CFR 131. Estes regulamentos são abordados em profundidade mais adiante neste artigo.

O Teams, juntamente com o conjunto abrangente de ofertas de segurança e conformidade do Microsoft 365, fornece um canal de comunicação digital empresarial para que as instituições de serviços financeiros realizem efetivamente negócios e cumpram os regulamentos. O resto deste artigo descreve como as capacidades incorporadas do Microsoft 365 para gestão de registos, proteção de informações, barreiras de informação e controlo de supervisão proporcionam ao Teams um conjunto de ferramentas robusto para ajudar a cumprir estas obrigações regulamentares.

Proteger a colaboração moderna com o Microsoft 365

Proteger identidades de utilizador e controlar o acesso

A proteção do acesso às informações dos clientes, aos documentos financeiros e às aplicações começa por proteger fortemente as identidades dos utilizadores. Isto requer uma plataforma segura para que a empresa armazene e faça a gestão de identidades, fornecendo um meio de autenticação fidedigno e controlando dinamicamente o acesso a essas aplicações.

À medida que os funcionários trabalham, podem passar da aplicação para a aplicação ou entre várias localizações e dispositivos. O acesso aos dados tem de ser autenticado em cada passo ao longo do percurso. O processo de autenticação tem de suportar um protocolo forte e vários fatores de autenticação (como código sms pass único, aplicação de autenticação e certificado) para garantir que as identidades não estão comprometidas. A imposição de políticas de acesso baseadas em riscos é fundamental para proteger dados financeiros e aplicações contra ameaças internas, fugas de dados inadvertidas e transferência de dados não autorizada.

O Microsoft 365 fornece uma plataforma de identidade segura no Microsoft Entra ID, onde as identidades são armazenadas centralmente e geridas de forma segura. Microsoft Entra ID, juntamente com uma série de serviços de segurança relacionados com o Microsoft 365, constitui a base para fornecer aos funcionários o acesso necessário para trabalharem em segurança, protegendo também a organização contra ameaças.

Microsoft Entra autenticação multifator (MFA) está incorporada na plataforma e fornece uma prova adicional de autenticação para ajudar a confirmar a identidade do utilizador quando acede a aplicações e dados financeiros confidenciais. A MFA do Azure requer, pelo menos, duas formas de autenticação, como uma palavra-passe e um dispositivo móvel conhecido. Suporta várias opções de autenticação de segundo fator, incluindo:

  • A aplicação Microsoft Authenticator
  • Um código de acesso único fornecido por SMS
  • Uma chamada telefónica em que um utilizador tem de introduzir um PIN

Se a palavra-passe for de alguma forma comprometida, um potencial hacker ainda precisará do telemóvel do utilizador para obter acesso aos dados organizacionais. Além disso, o Microsoft 365 utiliza a Autenticação Moderna como um protocolo chave, o que proporciona a mesma experiência de autenticação forte e rica dos browsers às ferramentas de colaboração que os funcionários utilizam diariamente, incluindo o Microsoft Outlook e as outras aplicações do Microsoft Office.

Sem palavra-passe

As palavras-passe são a ligação mais fraca numa cadeia de segurança. Podem ser um ponto único de falha se não houver verificação adicional. A Microsoft suporta um vasto leque de opções de autenticação que se adequam às necessidades das instituições financeiras.

Os métodos sem palavra-passe ajudam a tornar a MFA mais conveniente para os utilizadores. Embora nem toda a MFA seja sem palavra-passe, as tecnologias sem palavra-passe utilizam a autenticação multifator. A Microsoft, a Google e outros líderes do setor desenvolveram padrões para permitir uma experiência de autenticação mais simples e mais forte na Web e em dispositivos móveis num grupo chamado Fast IDentity Online (FIDO). A norma FIDO2 recentemente desenvolvida permite que os utilizadores se autentiquem de forma fácil e segura sem precisarem de uma palavra-passe para eliminar phishing.

Os métodos da MFA da Microsoft que não têm palavra-passe incluem:

  • Microsoft Authenticator: para flexibilidade, conveniência e custo, recomendamos que utilize a aplicação Microsoft Authenticator para dispositivos móveis. O Microsoft Authenticator suporta biometria, notificações push e códigos de acesso únicos para qualquer Microsoft Entra aplicação ligada. Está disponível nas lojas de aplicações Apple e Android.
  • Windows Hello: para uma experiência incorporada no PC, recomendamos que utilize Windows Hello. Utiliza informações biométricas (como rosto ou impressão digital) para iniciar sessão automaticamente.
  • As chaves de segurança FIDO2 estão agora disponíveis de vários parceiros da Microsoft: Yubico, Feitian Technologies e HID Global num distintivo USB, compatível com NFC ou chave biométrica.

Microsoft Entra Acesso Condicional fornece uma solução robusta para automatizar as decisões de controlo de acesso e impor políticas organizacionais para proteger os recursos da empresa. Um exemplo clássico é quando um planeador financeiro quer aceder a uma aplicação que tem dados confidenciais do cliente. São automaticamente necessários para efetuar uma autenticação multifator para aceder especificamente a essa aplicação e o acesso tem de ser a partir de um dispositivo gerido pela empresa. O Acesso Condicional do Azure reúne sinais sobre o pedido de acesso de um utilizador, tais como propriedades sobre o utilizador, o dispositivo, a localização e a rede, e a aplicação a que o utilizador está a tentar aceder. Avalia dinamicamente as tentativas de acesso à aplicação em relação às políticas configuradas. Se o risco de utilizador ou dispositivo for elevado ou não forem cumpridas outras condições, Microsoft Entra ID pode impor automaticamente políticas como a necessidade de MFA, exigir uma reposição segura de palavra-passe ou restringir ou bloquear o acesso. Isto ajuda a garantir que os recursos organizacionais confidenciais estão protegidos em ambientes de mudança dinâmica.

Microsoft Entra ID, e os serviços de segurança relacionados com o Microsoft 365, fornecem as bases nas quais uma plataforma de colaboração na cloud moderna pode ser lançada para instituições financeiras para que o acesso a dados e aplicações possa ser assegurado e que as obrigações de conformidade regulamentar possam ser cumpridas. Estas ferramentas fornecem as seguintes capacidades principais:

  • Armazene e faça a gestão de identidades de utilizador de forma segura.
  • Utilize um protocolo de autenticação forte, incluindo a autenticação multifator, para autenticar os utilizadores em pedidos de acesso e proporcionar uma experiência de autenticação consistente e robusta em todas as aplicações.
  • Valide dinamicamente políticas em todos os pedidos de acesso, incorporando vários sinais no processo de tomada de decisões de políticas, incluindo identidade, associação de utilizador/grupo, aplicação, dispositivo, rede, localização e classificação de risco em tempo real.
  • Valide políticas granulares com base no comportamento do utilizador e nas propriedades dos ficheiros e aplique dinamicamente medidas de segurança adicionais quando necessário.
  • Identifique "TI sombra" na organização e permita que as equipas do InfoSec sancionem ou bloqueiem aplicações na cloud.
  • Monitorizar e controlar o acesso a aplicações na cloud da Microsoft e não microsoft.
  • Proteja proativamente contra ataques de phishing e ransomware por e-mail.

Microsoft Entra ID Protection

Embora o Acesso Condicional proteja os recursos de pedidos suspeitos, o Identity Protection vai mais longe ao fornecer a deteção de riscos e a remediação contínuas de contas de utilizador suspeitas. O Identity Protection mantém-no informado sobre o comportamento suspeito do utilizador e do início de sessão no seu ambiente 24 horas por dia. A sua resposta automática impede proativamente que as identidades comprometidas sejam abusadas.

O Identity Protection é uma ferramenta que permite às organizações realizar três tarefas-chave:

  • Automatize a deteção e a remediação de riscos baseados na identidade.
  • Investigue os riscos através da utilização de dados no portal.
  • Exporte dados de deteção de risco para utilitários de terceiros para análise adicional.

O Identity Protection utiliza conhecimentos que a Microsoft adquiriu da sua posição em organizações com Microsoft Entra ID, no espaço de consumidor com Contas Microsoft e em jogos com a Xbox para proteger os seus utilizadores. A Microsoft analisa 65 biliões de sinais por dia para identificar e proteger os clientes contra ameaças. Os sinais gerados e enviados para o Identity Protection podem ser alimentados em ferramentas como o Acesso Condicional para tomar decisões de acesso. Também podem ser devolvidas a uma ferramenta de gestão de informações e eventos de segurança (SIEM) para uma investigação mais aprofundada com base nas políticas impostas pela sua organização.

O Identity Protection ajuda as organizações a protegerem-se automaticamente contra o comprometimento de identidade, tirando partido da inteligência da cloud com tecnologia de deteção avançada com base na heurística, análise comportamental de utilizadores e entidades (UEBA) e machine learning (ML) em todo o ecossistema da Microsoft.

Cinco técnicos de informação watch como outro faz uma apresentação.

Identificar dados confidenciais e evitar a perda de dados

O Microsoft 365 permite que todas as organizações identifiquem dados confidenciais na organização através de uma combinação de capacidades avançadas, incluindo:

  • Proteção de Informações do Microsoft Purview para classificação baseada no utilizador e classificação automatizada de dados confidenciais.
  • Prevenção de Perda de Dados do Microsoft Purview (DLP) para identificação automatizada de dados confidenciais através de tipos de dados confidenciais (por outras palavras, expressões regulares) e palavras-chave e imposição de políticas.

Proteção de Informações do Microsoft Purview permite que as organizações classifiquem documentos e e-mails de forma inteligente através de etiquetas de confidencialidade. As etiquetas de confidencialidade podem ser aplicadas manualmente pelos utilizadores a documentos em aplicações do Microsoft Office e a e-mails no Outlook. As etiquetas podem aplicar automaticamente marcas de documentos, proteção através de encriptação e imposição de gestão de direitos. As etiquetas de confidencialidade também podem ser aplicadas automaticamente ao configurar políticas que utilizem palavras-chave e tipos de dados confidenciais (como números de cartões de crédito, números de seguro social e números de identidade) para localizar e classificar automaticamente dados confidenciais.

Além disso, a Microsoft fornece "classificadores treináveis" que utilizam modelos de machine learning para identificar dados confidenciais com base no conteúdo, em vez de simplesmente através da correspondência de padrões ou pelos elementos dentro do conteúdo. Um classificador aprende a identificar um tipo de conteúdo ao analisar vários exemplos do conteúdo a classificar. A preparação de um classificador começa por lhe dar exemplos de conteúdo numa categoria específica. Depois de aprender com esses exemplos, o modelo é testado ao dar-lhe uma combinação de exemplos correspondentes e não correspondentes. O classificador prevê se um determinado exemplo se enquadra ou não na categoria. Em seguida, uma pessoa confirma os resultados, ordenando os positivos, os negativos, os falsos positivos e os falsos negativos para ajudar a aumentar a precisão das predições do classificador. Quando o classificador preparado é publicado, processa conteúdo em Microsoft Office SharePoint Online, Exchange Online e OneDrive para Empresas e classifica automaticamente o conteúdo.

A aplicação de etiquetas de confidencialidade a documentos e e-mails incorpora metadados que identificam a confidencialidade escolhida no objeto. Em seguida, a sensibilidade viaja com os dados. Assim, mesmo que um documento etiquetado esteja armazenado no ambiente de trabalho de um utilizador ou num sistema no local, este ainda está protegido. Esta funcionalidade permite que outras soluções do Microsoft 365, como Microsoft Defender for Cloud Apps ou dispositivos edge de rede, identifiquem dados confidenciais e imponham automaticamente controlos de segurança. As etiquetas de confidencialidade têm o benefício adicional de educar os colaboradores sobre que dados numa organização são considerados confidenciais e como lidar com esses dados quando os recebem.

Prevenção de Perda de Dados do Microsoft Purview (DLP) identifica automaticamente documentos, e-mails e conversações que contêm dados confidenciais ao analisar os dados confidenciais e, em seguida, ao impor a política nesses objetos. As políticas são impostas em documentos no SharePoint e OneDrive para Empresas. Também são impostas quando os utilizadores enviam e-mails e em conversas do Teams e conversas de canal. As políticas podem ser configuradas para procurar palavras-chave, tipos de dados confidenciais, etiquetas de retenção e se os dados são partilhados na organização ou externamente. Os controlos são fornecidos para ajudar as organizações a ajustar as políticas DLP para reduzir os falsos positivos. Quando forem encontrados dados confidenciais, podem ser apresentadas sugestões de política personalizáveis aos utilizadores nas aplicações do Microsoft 365 para informá-los de que os respetivos conteúdos contêm dados confidenciais e, em seguida, propor ações corretivas. As políticas também podem impedir que os utilizadores acedam a documentos, partilhem documentos ou enviem e-mails que contenham determinados tipos de dados confidenciais. O Microsoft 365 suporta mais de 100 tipos de dados confidenciais incorporados. As organizações podem configurar tipos de dados confidenciais personalizados para cumprirem as políticas.

Implementar políticas de Proteção de Informações do Microsoft Purview e DLP para organizações requer um planeamento cuidadoso e um programa de educação de utilizadores para que os funcionários compreendam o esquema de classificação de dados da organização e que tipos de dados são considerados confidenciais. Fornecer ferramentas e programas educativos aos funcionários que os ajudam a identificar dados confidenciais e a compreender como lidar com os mesmos faz com que façam parte da solução para mitigar riscos de segurança de informações.

Os sinais gerados e enviados para o Identity Protection também podem ser inseridos em ferramentas como o Acesso Condicional para tomar decisões de acesso ou para uma ferramenta de gestão de informações e eventos de segurança (SIEM) para investigação com base nas políticas impostas por uma organização.

O Identity Protection ajuda as organizações a protegerem-se automaticamente contra o comprometimento de identidade, tirando partido da inteligência da cloud com tecnologia de deteções avançadas baseadas em heurística, análise comportamental de utilizadores e entidades e aprendizagem automática em todo o ecossistema da Microsoft.

Um técnico de informação é representado em frente a uma grande variedade de monitores.

Defender a fortaleza

A Microsoft lançou recentemente a solução de Microsoft Defender XDR, concebida para proteger a organização moderna do cenário de ameaças em evolução. Ao tirar partido do Gráfico de Segurança Inteligente, a solução proteção contra ameaças oferece segurança abrangente e integrada contra vários vetores de ataque.

O Gráfico de Segurança Inteligente

Os serviços de segurança do Microsoft 365 são alimentados pelo Graph de Segurança Inteligente. Para combater as ameaças cibernéticas, o Gráfico de Segurança Inteligente utiliza análises avançadas para ligar sinais de segurança e informações sobre ameaças da Microsoft e dos seus parceiros. A Microsoft opera serviços globais em grande escala, reunindo triliões de sinais de segurança que a proteção de energia camadas em toda a pilha. Os modelos de machine learning avaliam esta inteligência e as informações de sinal e ameaças são amplamente partilhadas nos nossos produtos e serviços. Isto permite-nos detetar e responder a ameaças rapidamente e trazer alertas e informações acionáveis aos clientes para remediação. Os nossos modelos de machine learning são continuamente preparados e atualizados com novas informações, ajudando-nos a criar produtos mais seguros e a proporcionar uma segurança mais proativa.

Microsoft Defender para Office 365 fornece um serviço integrado do Microsoft 365 que protege as organizações contra ligações maliciosas e software maligno fornecido através de e-mail e documentos do Office. Um dos vetores de ataque mais comuns que afeta os utilizadores atualmente são os ataques de phishing por e-mail. Estes ataques podem ser direcionados para utilizadores específicos e podem ser muito convincentes, com alguma chamada à ação que pede ao utilizador para selecionar uma ligação maliciosa ou abrir um anexo que contenha software maligno. Assim que um computador estiver infetado, o atacante pode roubar as credenciais do utilizador e mover-se lateralmente pela organização ou exfiltrar e-mails e dados para procurar informações confidenciais. Defender para Office 365 suporta anexos seguros e ligações seguras ao avaliar documentos e ligações em tempo de clique para intenções potencialmente maliciosas e bloqueia o acesso. Email anexos são abertos num sandbox protegido antes de serem entregues na caixa de correio de um utilizador. Também avalia ligações em documentos do Office quanto a URLs maliciosos. Defender para Office 365 também protege ligações e ficheiros no SharePoint Online, no OneDrive para Empresas e no Teams. Se for detetado um ficheiro malicioso, Defender para Office 365 bloqueia automaticamente esse ficheiro para reduzir potenciais danos.

Microsoft Defender para Endpoint é uma plataforma de segurança de ponto final unificada para proteção preventiva, deteção pós-falha e investigação e resposta automatizada. O Defender para Endpoint fornece capacidades incorporadas para deteção e proteção de dados confidenciais em pontos finais empresariais.

Microsoft Defender for Cloud Apps permite às organizações impor políticas a um nível granular e detetar anomalias comportamentais com base em perfis de utilizador individuais que são definidos automaticamente através da aprendizagem automática. As políticas do Defender para Cloud Apps podem basear-se em políticas de Acesso Condicional do Azure para proteger recursos confidenciais da empresa ao avaliar sinais adicionais relacionados com o comportamento do utilizador e as propriedades dos documentos acedidos. Ao longo do tempo, o Defender para Cloud Apps aprende o comportamento típico de cada funcionário no que diz respeito aos dados a que acede e às aplicações que utiliza. Com base nos padrões de comportamento aprendidos, as políticas podem impor automaticamente controlos de segurança se um funcionário agir fora desse perfil comportamental. Por exemplo, se um funcionário normalmente aceder a uma aplicação de contabilidade das 09:00 às 17:00 de segunda a sexta-feira, mas de repente começar a aceder a essa aplicação fortemente num domingo à noite, o Defender para Cloud Apps pode impor dinamicamente políticas para exigir que o utilizador reautentorize. Isto ajuda a garantir que as credenciais do utilizador não foram comprometidas. O Defender para Cloud Apps também pode ajudar a identificar "TI sombra" na organização, o que ajuda as equipas de segurança de informações a garantir que os funcionários estão a utilizar ferramentas aprovadas quando trabalham com dados confidenciais. Por fim, o Defender para Cloud Apps pode proteger dados confidenciais em qualquer parte da Cloud, mesmo fora da plataforma do Microsoft 365. Permite que as organizações sancionem (ou anulem) aplicações externas da Cloud específicas, controlando o acesso e a monitorização da utilização.

Microsoft Defender para Identidade é uma solução de segurança baseada na cloud que utiliza os sinais de Active Directory no local para identificar, detetar e investigar ameaças avançadas, identidades comprometidas e ações internas maliciosas direcionadas para a sua organização. O AATP permite que os analistas e profissionais de segurança do SecOp detetem ataques avançados em ambientes híbridos para:

  • Monitorize os utilizadores, o comportamento das entidades e as atividades através da análise baseada na aprendizagem.
  • Proteger identidades e credenciais de utilizador armazenadas no Active Directory.
  • Identifique e investigue atividades suspeitas de utilizadores e ataques avançados em toda a cadeia de eliminação.
  • Forneça informações claras sobre incidentes numa linha cronológica simples para uma triagem rápida.

Os trabalhadores do escritório encontram-se numa pequena sala de conferências. Uma pessoa faz uma apresentação.

Governar dados e gerir registos

As instituições financeiras devem manter os seus registos e informações de acordo com as suas obrigações regulamentares, legais e comerciais, conforme representado no respetivo calendário de retenção empresarial. Por exemplo, a SEC determina períodos de retenção de três a seis anos, com base no tipo de registo, com acessibilidade imediata para os primeiros dois anos. As organizações enfrentam riscos de conformidade legal e regulamentar se os dados forem sub-retidos (descartados demasiado cedo) e agora também gerem regulamentos que determinam a eliminação quando as informações já não são necessárias. As estratégias de gestão de registos eficazes realçam uma abordagem prática e consistente para que as informações são eliminadas adequadamente, minimizando o custo e o risco para a organização.

Além disso, os mandatos regulamentares do Departamento de Serviços Financeiros do Estado de Nova Iorque exigem que as entidades abrangidas mantenham políticas e procedimentos para a eliminação de informações não públicas. 23 NYCRR 500, Secção 500.13, Limitações da Retenção de Dados requer que "Como parte do programa de cibersegurança, cada Entidade Abrangida inclua políticas e procedimentos para a eliminação segura numa base periódica de quaisquer Informações Não Públicas identificadas na secção 500.01(g)(2)-(3) desta Parte que já não seja necessária para operações comerciais ou para outros fins comerciais legítimos da Entidade Abrangida, exceto quando essas informações forem, de outra forma, necessárias para serem mantidas por lei ou regulamento."

As instituições financeiras gerem grandes quantidades de dados. E alguns períodos de retenção são acionados por eventos, como um contrato prestes a expirar ou um funcionário a sair da organização. Neste ambiente, pode ser um desafio aplicar políticas de retenção de registos. As abordagens para atribuir períodos de retenção de registos com precisão em documentos organizacionais podem variar. Alguns aplicam políticas de retenção em geral ou utilizam técnicas de autoclassificação e machine learning. Outros identificam uma abordagem que requer um processo mais granular que atribui períodos de retenção exclusivamente a documentos individuais.

O Microsoft 365 fornece capacidades flexíveis para definir etiquetas e políticas de retenção para implementar de forma inteligente requisitos de gestão de registos. Um gestor de registos define uma etiqueta de retenção, que representa um "tipo de registo" numa agenda de retenção tradicional. A etiqueta de retenção contém definições que definem estes detalhes:

  • Durante quanto tempo um registo é retido
  • O que ocorre quando o período de retenção expira (elimine o documento, inicie uma revisão de eliminação ou não tome nenhuma ação)
  • O que aciona o período de retenção a iniciar (data de criação, data da última modificação, data etiquetada ou um evento) e marca o documento ou e-mail como um registo (o que significa que não pode ser editado ou eliminado)

Em seguida, as etiquetas de retenção são publicadas em sites do SharePoint ou do OneDrive, caixas de correio do Exchange e grupos do Microsoft 365. Os utilizadores podem aplicar manualmente as etiquetas de retenção a documentos e e-mails. Os gestores de registos podem utilizar inteligência para aplicar automaticamente as etiquetas. As capacidades inteligentes podem basear-se em 90 tipos de informações confidenciais incorporadas (como o número de saída do ABA, o número da conta bancária dos EUA ou o Número da Segurança Social dos EUA). Também são personalizáveis com base em palavras-chave ou dados confidenciais encontrados em documentos ou e-mails, como números de cartões de crédito ou outras informações pessoais ou com base em metadados do SharePoint. Para dados que não são facilmente identificados através da correspondência de padrões manual ou automatizada, os classificadores treináveis podem ser utilizados para classificar documentos de forma inteligente com base em técnicas de machine learning.

A Comissão de Valores Mobiliários (SEC) exige que os corretores e outras instituições financeiras regulamentadas mantenham todas as comunicações relacionadas com as empresas. Estes requisitos aplicam-se a muitos tipos de comunicações e dados, incluindo e-mails, documentos, mensagens instantâneas, faxes e muito mais. A regra SEC 17a-4 define os critérios que estas organizações têm de cumprir para armazenar registos num sistema de armazenamento de dados eletrónico. Em 2003, a SEC emitiu um comunicado que esclareceu estes requisitos. Incluía os seguintes critérios:

  • Os dados preservados por um sistema de armazenamento eletrónico têm de ser não reescritáveis e não apagáveis. Isto é referido como um requisito WORM (escrever uma vez, ler muitos).
  • O sistema de armazenamento tem de ser capaz de armazenar dados para além do período de retenção exigido pela regra, em caso de intimação ou outra ordem legal.
  • Uma organização não violaria o requisito no parágrafo (f)(2)(ii)(A) da regra se utilizasse um sistema de armazenamento eletrónico que impedisse a substituição, a eliminação ou a alteração de um registo durante o período de retenção necessário através da utilização de códigos de controlo de hardware e software integrados.
  • Os sistemas de armazenamento eletrónico que apenas "mitigam" o risco de um registo ser substituído ou apagado, por exemplo, dependendo do controlo de acesso, não cumprem os requisitos da regra.

Para ajudar as instituições financeiras a cumprir os requisitos da regra 17a-4 da SEC, o Microsoft 365 fornece uma combinação de capacidades relacionadas com a forma como os dados são retidos, as políticas são configuradas e os dados são armazenados no serviço. Estes incluem:

  • Preservação de dados (Regra 17a-4(a), (b)(4)) – As etiquetas e políticas de retenção são flexíveis para satisfazer as necessidades organizacionais e podem ser aplicadas automaticamente ou manualmente a diferentes tipos de dados, documentos e informações. São suportados vários tipos de dados e comunicações, incluindo documentos no SharePoint e OneDrive para Empresas, dados dentro Exchange Online caixas de correio e dados no Teams.

  • Formato não reescrita e não apagável (Regra 17a-4(f)(2)(ii)(A)) – a capacidade de Bloqueio de Preservação para políticas de retenção permite aos gestores de registos e administradores configurar políticas de retenção para serem restritivas, de modo a que já não possam ser modificadas. Isto proíbe qualquer pessoa de remover, desativar ou modificar a política de retenção de qualquer forma. Isto significa que, uma vez ativado o Bloqueio de Preservação, não pode ser desativado e não existe nenhum método através do qual quaisquer dados aos quais a política de retenção tenha sido aplicada podem ser substituídos, modificados ou eliminados durante o período de retenção. Além disso, o período de retenção não pode ser encurtado. No entanto, o período de retenção pode ser alargado quando existe um requisito legal para continuar a retenção de dados.

    Quando um Bloqueio de Preservação é aplicado a uma política de retenção, as seguintes ações são restritas:

    • O período de retenção da política só pode ser aumentado. Não pode ser abreviado.
    • Os utilizadores podem ser adicionados à política, mas os utilizadores existentes configurados na política não podem ser removidos.
    • A política de retenção não pode ser eliminada por nenhum administrador da organização.

    O Bloqueio de Preservação ajuda a garantir que nenhum utilizador, nem mesmo os administradores com os níveis mais elevados de acesso privilegiado, pode alterar as definições, modificar, substituir ou eliminar os dados armazenados, alinhando o arquivo no Microsoft 365 com as orientações fornecidas na Versão da SEC 2003.

  • Qualidade, precisão e verificação do armazenamento/serialização e indexação de dados (Regra 17a-4(f)(2) (ii)(B) e (C)) – Office 365 cargas de trabalho contêm capacidades para verificar automaticamente a qualidade e precisão do processo para registar dados em suportes de dados de armazenamento. Além disso, os dados são armazenados através da utilização de metadados e carimbos de data/hora para garantir indexação suficiente para permitir uma pesquisa e obtenção eficazes de dados.

  • Armazenamento separado para cópias duplicadas (Regra 17a-4(f)(3(iii)) – o serviço cloud Office 365 armazena cópias duplicadas de dados como um aspeto fundamental da sua elevada disponibilidade. Isto é conseguido através da implementação da redundância em todos os níveis do serviço, incluindo ao nível físico em todos os servidores, ao nível do servidor no datacenter e ao nível do serviço para datacenters dispersos geograficamente.

  • Dados transferíveis e acessíveis (Regra 17a-4(f)(2)(ii)(D)) – Office 365 geralmente permite que os dados etiquetados para retenção sejam procurados, acedidos e transferidos no local. Além disso, permite que os dados nos Arquivos do Exchange Online sejam pesquisáveis através de funcionalidades de Deteção de Dados Eletrónicos incorporadas. Em seguida, os dados podem ser transferidos conforme necessário em formatos padrão, incluindo EDRML e PST.

  • Requisitos de auditoria (Regra 17a-4(f)(3)(v)) – Office 365 fornece registo de auditoria para cada ação administrativa e de utilizador que modifica objetos de dados, configura ou modifica políticas de retenção, realiza pesquisas de Deteção de Dados Eletrónicos ou modifica permissões de acesso. Office 365 mantém um registo de auditoria abrangente, incluindo dados sobre quem efetuou uma ação, quando foi executada, detalhes sobre a ação e os comandos que foram executados. Em seguida, o registo de auditoria pode ser exportado e incluído como parte dos processos de auditoria formais, conforme necessário.

Por fim, a Regra 17a-4 requer que as organizações retenham registos para muitos tipos de transações para que fiquem imediatamente acessíveis durante dois anos. Os registos têm de ser mantidos durante três a seis anos com acesso não imediato. Os registos duplicados também têm de ser mantidos durante o mesmo período numa localização fora do local. As capacidades de gestão de registos do Microsoft 365 permitem que os registos sejam retidos de modo a não poderem ser modificados ou eliminados, mas podem ser facilmente acedidos durante um período de tempo controlado pelo gestor de registos. Estes períodos podem abranger dias, meses ou anos, consoante as obrigações de conformidade regulamentar da organização.

Mediante pedido, a Microsoft fornecerá uma carta de atestado de conformidade com a SEC 17a-4, se necessário por uma organização.

Além disso, estas capacidades também ajudam o Microsoft 365 a cumprir os requisitos de armazenamento para a Regra 1.31(c)-(d) do CFTC da Comissão de Negociação de Futuros de Mercadorias dos E.U.A. e da Finra Rule Series 4510 da Autoridade Reguladora da Indústria Financeira. Colectivamente, estas regras representam a orientação mais prescritiva a nível global para que as instituições financeiras mantenham registos.

Estão disponíveis detalhes adicionais sobre como o Microsoft 365 está em conformidade com a regra 17a-4 da SEC e outros regulamentos com o documento de transferência Office 365 - Cohasset Assessment - Sec Rule 17a-4(f) - Immutable Storage for SharePoint, OneDrive, Exchange, Teams e Viva Engage (2022).

Estabelecer muros éticos com barreiras de informação

As instituições financeiras podem estar sujeitas a regulamentos que impedem os colaboradores em determinadas funções de trocar informações ou colaborar com outras funções. Por exemplo, a FINRA publicou as regras 2241(b)(2)(G), 2242(b)(2) (D), (b)(2)(H)(ii) e (b)(2)(H)(iii) que exigem que os membros:

"(G) estabelecer barreiras de informação ou outras salvaguardas institucionais razoavelmente concebidas para garantir que os analistas de investigação sejam isolados da revisão, pressão ou supervisão por parte de pessoas envolvidas em actividades de serviços bancários de investimento ou outras pessoas, incluindo pessoal de vendas e comerciais, que possam ser tendenciosos no seu julgamento ou supervisão;" e "(H) estabelecer barreiras de informação ou outras salvaguardas institucionais razoavelmente concebidas para garantir que os analistas de investigação da dívida sejam isolados de a revisão, pressão ou supervisão por parte das pessoas envolvidas nos serviços bancários de investimento: (i) serviços bancários de investimento; ii Actividades de negociação ou vendas e negociação de capital; e (iii) outras pessoas que possam ser tendenciosas no seu julgamento ou supervisão;"

Em última análise, estas regras exigem que as organizações estabeleçam políticas e implementem barreiras de informação entre funções envolvidas em serviços bancários, vendas ou negociação contra a troca de informações e comunicações com analistas.

As barreiras de informação permitem estabelecer limites éticos no seu ambiente de Office 365, permitindo que os administradores de conformidade ou outros administradores autorizados definam políticas que permitam ou impeçam comunicações entre grupos de utilizadores no Teams. As barreiras de informação efetuam verificações em ações específicas para impedir comunicações não autorizadas. As barreiras à informação também podem restringir a comunicação em cenários em que as equipas internas estão a trabalhar em fusões/aquisições ou negócios confidenciais, ou a trabalhar com informações internas confidenciais que devem ser fortemente restritas.

As barreiras de informação suportam conversações e ficheiros no Teams. Podem impedir os seguintes tipos de ações relacionadas com comunicações para ajudar a cumprir os regulamentos da FINRA:

  • Procurar um utilizador
  • Adicionar um membro a uma equipa ou continuar a participar com outro membro numa equipa
  • Iniciar ou continuar uma sessão de chat
  • Iniciar ou continuar uma conversa de grupo
  • Convidar alguém para participar numa reunião
  • Partilhar um ecrã
  • Fazer uma chamada

Implementar o controlo de supervisão

Normalmente, as instituições financeiras são obrigadas a estabelecer e manter uma função de supervisão nas suas organizações para monitorizar as atividades dos colaboradores e ajudá-la a cumprir as leis de valores mobiliários aplicáveis. Especificamente, a FINRA estabeleceu estes requisitos de supervisão:

  • A Regra 3110 (Supervisão) da FINRA exige que as empresas tenham procedimentos de supervisão escritos (WSPs) para supervisionar as actividades dos seus colaboradores e os tipos de empresas em que se dedica. Além de outros requisitos, os procedimentos têm de incluir:

    • Supervisão do pessoal de supervisão
    • Revisão da banca de investimento de uma empresa, do negócio de valores mobiliários, das comunicações internas e das investigações internas
    • Revisão das transações para o insider trading
    • Revisão da correspondência e reclamações

    Os procedimentos têm de descrever as pessoas responsáveis pelas revisões, a atividade de supervisão que cada pessoa irá realizar, rever a frequência e os tipos de documentação ou comunicações em análise.

  • A Regra 3120 (Sistema de Controlo de Supervisão) da FINRA exige que as empresas disponham de um sistema de políticas e procedimentos de controlo de supervisão (SCPs) que valide os respetivos procedimentos de supervisão escritos, conforme definido pela Regra 3110. As empresas são obrigadas não só a ter WSPs, mas também a ter políticas que testem anualmente estes procedimentos para validar a sua capacidade de garantir o cumprimento das leis e regulamentos aplicáveis dos valores mobiliários. As metodologias e a amostragem baseadas em riscos podem ser utilizadas para definir o âmbito dos testes. Entre outros requisitos, esta regra exige que as empresas forneçam um relatório anual à administração sénior que inclua um resumo dos resultados dos testes e quaisquer exceções significativas ou procedimentos alterados em resposta aos resultados dos testes.

Um trabalhador de escritório vê um gráfico e tabelas num ecrã enquanto outras pessoas se encontram em segundo plano.

Conformidade de comunicações

Conformidade de comunicações do Microsoft Purview é uma solução de conformidade que ajuda a minimizar os riscos de comunicação ao ajudá-lo a detetar, investigar e agir sobre mensagens inadequadas na sua organização. As políticas predefinidas e personalizadas permitem-lhe analisar as comunicações internas e externas para que possam ser examinadas pelos revisores designados. Os revisores podem investigar e-mails digitalizados, Microsoft Teams, Viva Engage ou comunicações de terceiros na sua organização e tomar as medidas adequadas para garantir que estão em conformidade com os padrões de mensagens da sua organização.

A conformidade de comunicação fornece relatórios que permitem que as atividades de revisão de políticas sejam auditadas com base na política e no revisor. Os relatórios estão disponíveis para validar que as políticas estão a funcionar conforme definido pelas políticas escritas de uma organização. Também podem ser utilizadas para identificar comunicações que exigem revisão e as que não estão em conformidade com a política empresarial. Por fim, todas as atividades relacionadas com a configuração de políticas e a revisão das comunicações são auditadas no Office 365 registo de auditoria unificado. Como resultado, a conformidade de comunicação também ajuda as instituições financeiras a cumprir a Regra 3120 da FINRA.

Além de cumprir as regras FINRA, a conformidade de comunicações permite que as organizações detetem e atuem sobre comunicações que podem ser afetadas por outros requisitos legais, políticas empresariais e padrões éticos. A conformidade de comunicação fornece classificadores incorporados de ameaças, assédio e profanação que ajudam a reduzir falsos positivos ao rever comunicações, poupando tempo aos revisores durante o processo de investigação e remediação. Também permite que as organizações reduzam os riscos ao detetar comunicações quando são submetidas a alterações organizacionais confidenciais, como fusões e aquisições ou mudanças de liderança.

Um técnico de informação concentra-se num ecrã.

Proteger contra a transferência de dados não autorizada e o risco interno

Uma ameaça comum para as empresas é a transferência de dados não autorizada ou o ato de extrair dados de uma organização. Este risco pode ser uma preocupação significativa para as instituições financeiras devido à natureza sensível das informações que podem ser acedidas diariamente. Com o número crescente de canais de comunicações disponíveis e a proliferação de ferramentas para mover dados, as capacidades avançadas são normalmente necessárias para mitigar os riscos de fugas de dados, violações de políticas e riscos internos.

Gestão de riscos internos

Ativar os colaboradores com ferramentas de colaboração online que podem ser acedidas em qualquer lugar inerentemente traz riscos para a organização. Os funcionários podem, inadvertidamente ou maliciosamente, divulgar dados a atacantes ou concorrentes. Em alternativa, podem exfiltrar dados para utilização pessoal ou levar dados com eles para um futuro empregador. Estes cenários apresentam sérios riscos para as instituições de serviços financeiros do ponto de vista da segurança e da conformidade. Identificar estes riscos quando ocorrem e mitiga-los rapidamente requer ferramentas inteligentes para recolha de dados e colaboração em departamentos como legal, recursos humanos e segurança de informações.

Gestão do risco interno do Microsoft Purview é uma solução de conformidade que ajuda a minimizar os riscos internos ao permitir-lhe detetar, investigar e agir sobre atividades maliciosas e inadvertidas na sua organização. As políticas de risco interno permitem-lhe definir os tipos de riscos a identificar e detetar na sua organização, incluindo agir em casos e escalar casos para a Deteção de Dados Eletrónicos da Microsoft (Premium), se necessário. Os analistas de risco na sua organização podem tomar rapidamente as medidas adequadas para garantir que os utilizadores estão em conformidade com as normas de conformidade da sua organização.

Por exemplo, a gestão de riscos internos pode correlacionar sinais dos dispositivos de um utilizador, como copiar ficheiros para uma pen USB ou enviar por e-mail uma conta de e-mail pessoal, com atividades de serviços online como Office 365 e-mail, SharePoint Online, Microsoft Teams ou OneDrive para Empresas, para identificar padrões de exfiltração de dados. Também pode correlacionar estas atividades com os funcionários que saem de uma organização, que é um padrão comum de transferência de dados não autorizada. Pode detetar várias atividades e comportamentos potencialmente arriscados ao longo do tempo. Quando surgem padrões comuns, pode levantar alertas e ajudar os investigadores a concentrarem-se em atividades-chave para verificar uma violação de política com um elevado grau de confiança. A gestão de riscos internos pode pseudo-anonimizar os dados dos investigadores para ajudar a cumprir os regulamentos de privacidade dos dados, ao mesmo tempo que apresenta atividades importantes que os ajudam a realizar investigações de forma eficiente. Permite que os investigadores empacotem e enviem de forma segura dados de atividade chave para os departamentos jurídicos e de RH, seguindo fluxos de trabalho de escalamento comuns para levantar casos de ação de remediação.

A gestão de riscos internos aumenta significativamente as capacidades das organizações para detetar e investigar riscos internos, ao mesmo tempo que permite que as organizações cumpram os regulamentos de privacidade dos dados e sigam caminhos de escalamento estabelecidos quando os casos requerem uma ação de nível superior.

Uma função de trabalho de call center num cubículo escreve enquanto vê um ecrã.

Restrições de inquilinos

As organizações que lidam com dados confidenciais e colocam uma ênfase estrita na segurança normalmente querem controlar os recursos online aos quais os utilizadores podem aceder. Ao mesmo tempo, querem permitir uma colaboração segura através de serviços online como Office 365. Como resultado, controlar os ambientes de Office 365 a que os utilizadores podem aceder torna-se um desafio, porque os ambientes de Office 365 não pertencentes à empresa podem ser utilizados para exfiltrar dados de dispositivos empresariais de forma maliciosa ou inadvertida. Tradicionalmente, as organizações restringem os domínios ou endereços IP aos quais os utilizadores podem aceder a partir de dispositivos empresariais. No entanto, isto não funciona num mundo cloud-first, onde os utilizadores precisam de aceder legitimamente Office 365 serviços.

O Microsoft 365 fornece às restrições de inquilino a capacidade de enfrentar este desafio. As restrições de inquilinos podem ser configuradas para restringir o acesso dos funcionários a inquilinos externos Office 365 empresariais através de identidades não autorizados (identidades que não fazem parte do diretório empresarial). Atualmente, aplicam-se restrições de inquilinos em todo o inquilino, permitindo o acesso apenas aos inquilinos que aparecem na lista que configurar. A Microsoft continua a desenvolver esta solução para aumentar a granularidade do controlo e melhorar as proteções que fornece.

GRÁFICO.

Conclusão

O Microsoft 365 e o Teams fornecem uma solução integrada e abrangente para empresas de serviços financeiros, permitindo capacidades de colaboração e comunicação simples mas poderosas com base na cloud em toda a empresa. Ao utilizar tecnologias de segurança e conformidade do Microsoft 365, as instituições podem operar de forma mais segura e compatível com controlos de segurança robustos para proteger dados, identidades, dispositivos e aplicações de vários riscos operacionais, incluindo cibersegurança e riscos internos. O Microsoft 365 fornece uma plataforma fundamentalmente segura na qual as organizações de serviços financeiros podem alcançar mais ao mesmo tempo que protegem a sua empresa, colaboradores e clientes.