Grundläggande efterlevnad och säkerhetsaspekter för energiindustrin

Introduktion

Energiindustrin tillhandahåller samhället med bränsle och kritisk infrastruktur som människor förlitar sig på varje dag. För att säkerställa tillförlitligheten i infrastruktur för omfångsrika energisystem lägger regleringsGovernmentna in strikta normer i organisationer för energiindustrin. Dessa regelstandarder relaterar inte bara till generering och överföring av ström, utan också till de data och kommunikationer som är avgörande för energiföretags dagliga drift.

Organisationer inom energibranschen arbetar med och utbyter många typer av information som en del av sin vanliga verksamhet. Den här informationen omfattar kunddata, designdokumentation för kapitalteknik, kartor över resursplatser, projekthanteringsartefakter, prestandamått, fälttjänstrapporter, miljödata och prestandamått. När dessa organisationer vill omvandla sina drift- och samarbetssystem till moderna digitala plattformar, ser de Microsoft som en betrodd molntjänstleverantör (CSP) och Microsoft 365 som sin bästa samarbetsplattform. Eftersom Microsoft 365 är byggt på Microsoft Azure-plattformen bör organisationer undersöka båda plattformarna eftersom de har hänsyn till deras efterlevnads- och säkerhetskontroller när de flyttar till molnet.

I Nordamerika upprätthåller NERC (North America Electric Reliability Corporation) standarder om tillförlitlighet som kallas för NERC Critical Infrastructure Protection (CIP)-standarder. NERC är underkastad granskning av U.S. Federal Energy Regulatory Commission (FERC) och Government i Kanada. Alla huvudägare, operatörer och användare av omfångsrika elsystem måste registrera sig hos NERC och måste uppfylla kraven för NERC CIP-standarder. Molntjänstleverantörer och tredjepartsleverantörer som Microsoft omfattas inte av NERC CIP-standarder. I CIP-standarderna ingår emellertid mål som bör beaktas när registrerade enheter använder leverantörer i verksamheten för BES (Bulk Electric System). Microsoft-kunder som använder omfångsrika elsystem har fullt ansvar för att säkerställa att de uppfyller NERC CIP-standard.

Mer information om Microsofts molntjänster och NERC finns i följande resurser:

• NERC CIP-standarder och datormoln
• Implementeringsguide för moln för NERC-granskningar

Regelverk som rekommenderas för att övervägas av energiorganisationer är bland annat FedRAMP (US Federal Risk and Authorization Management program), som bygger på och förstärker NIST SP 800-53 rev 4 standard (National Institute of Standards and Technology).

• Microsoft Office 365 och Office 365 U.S. Government har beviljats en FedRAMP ATO (Driftgodkännande) på nivån måttlig effekt.
• Azure och Azure Government har beviljats en FedRAMP High P-ATO (provisoriskt driftgodkännande), som representerar den högsta nivån av FedRAMP-auktorisering.

Mer information om Microsofts molntjänster och FedRAMP finns i följande resurser:

• Översikt över Microsoft FedRAMP
• Office 365 FedRAMP-rapporter

Dessa utmärkelser är betydande för energiindustrin eftersom en jämförelse mellan FedRAMP måttlig kontrollinställning och NERC CIP-kraven visar att FedRAMP måttliga kontroller omfattar alla NERC CIP-kraven. Om du vill ha mer information har Microsoft utvecklat en Guide för implementering av moln för NERC-granskningar som innehåller en kontrollmappning mellan aktuell uppsättning av NERC CIP-standarder och FedRAMP måttlig kontroll som har dokumenterats i NIST 800-53 rev 4.

I takt med att energiindustrin ser sig omkring för att modernisera sina samarbetsplattformar krävs noggrant övervägande för konfiguration och distribution av samarbetsverktyg och säkerhetskontroller, inklusive:

• Utvärdering av vanliga samarbetsscenarier
• Tillgång till data som krävs för att anställda ska vara produktiva
• Vanliga frågor och svar om regelefterlevnad
• Kopplade risker till data, kunder och organisationen

Microsoft 365 en modern molnmiljö på arbetsplatsen. Det ger säkert och flexibelt samarbete i hela företaget, inklusive kontroller och tillämpning av principer för att följa de striktaste ramverken för regelefterlevnad. I följande artiklar utforskar det här dokumentet hur Microsoft 365 hjälper energiindustrin att flytta till en modern samarbetsplattform samtidigt som data och system både skyddas och efterlevs:

• Tillhandahålla en omfattande samarbetsplattform med Microsoft Teams
• Tillhandahålla säker och kompatibel samverkan i energiindustrin
• Identifiera känsliga data och förhindra dataförluster
• Styra data genom att effektivt hantera poster
• Följa föreskrifter för FERC och FTC för energimarknader
• Skydd mot dataexfiltration och insiderrisk

Som Microsoft-partner bidrog Protiviti till och gav viktig feedback till den här artikeln.

Tillhandahålla en omfattande samarbetsplattform med Microsoft Teams

Samarbete kräver vanligtvis olika former av kommunikation, möjligheten att lagra och komma åt dokument och data och möjlighet att integrera andra program efter behov. Oavsett om de är globala företag eller lokala företag behöver anställda inom energisektorn vanligtvis samarbeta och kommunicera med medlemmar i andra avdelningar eller mellan team. De måste också ofta kommunicera med externa partner, leverantörer eller klienter. Därför rekommenderas det vanligtvis inte att använda system som skapar silos eller gör det svårt att dela information. Med det sagt, vill vi fortfarande säkerställa att anställda delar information säkert och enligt principer.

Genom att ge anställda en modern och molnbaserad samarbetsplattform som gör det möjligt för dem att välja och enkelt integrera de verktyg som gör dem mest produktiva kan de hitta de bästa sätten att arbeta och samarbeta. Genom Microsoft Teams, tillsammans med säkerhetskontroller och styrningsprinciper för att skydda organisationen, kan din arbetsstyrka enkelt samarbeta i molnet.

Microsoft Teams tillhandahåller en samarbetshubb för din organisation som sammanför personer för att arbeta och samarbeta i gemensamma initiativ eller projekt. Det gör det möjligt för gruppmedlemmar att föra konversationer, samarbeta och samarbeta med dokument. Det gör det möjligt för användare att lagra och dela filer med gruppmedlemmar och personer utanför gruppen. Med den kan du också hålla Live-möten med integrerad företagsröst och video. Microsoft Teams kan anpassas med enkel åtkomst till Microsoft-program, t. ex. Planner, Dynamics 365, Power BI och andra företagsprogram från tredje part. Teams gör det enklare att få tillgång till Office 365-tjänster och program från tredje part för att centralisera organisationens samarbets- och kommunikationsbehov.

Alla Microsoft-grupper stöds av en Office 365-grupp. En Office 365-grupp betraktas som medlemskapsleverantör för Office 365 tjänster, inklusive Microsoft Teams. Office 365-grupper används för att på ett säkert sätt styra vilka användare som betraktas som medlemmar och vilka som är ägare till gruppen. Med den här designen kan vi enkelt styra vilka användare som har åtkomst till olika funktioner i Teams. Därför kan teammedlemmar och ägare bara komma åt de funktioner som de har tillåtelse att använda.

Ett vanligt scenario där Microsoft Teams kan ge energiorganisationer fördelar är i samarbete med entreprenörer och externa företag som en del av ett fälttjänstprogram, till exempel vegetationsskötsel. Leverantörer är vanligtvis engagerade i att hantera träd eller ta bort träd runt energisysteminstallationer. De behöver ofta ta emot arbetsinstruktioner, kommunicera med speditörer och annan fälttjänstpersonal, ta och dela bilder av yttre omgivningar, logga ut när arbetet är klart och dela data med huvudkontoret. Traditionellt körs dessa program med telefon, text, pappersarbetsorder eller anpassade program. Den här metoden kan innebära många utmaningar. Till exempel:

• Processer är manuella eller analoga vilket innebär att det är svårt att spåra mått
• Kommunikation fångas inte alla på ett ställe
• Data lagras i en silo som inte alltid delas med alla anställda som behöver det
• Arbetet kanske inte utförs konsekvent eller effektivt
• Anpassade program är inte integrerade med samarbetsverktyg, vilket gör det svårt att extrahera och dela data eller mäta prestanda

Microsoft Teams kan tillhandahålla ett lättanvänt samarbetsutrymme för att dela information på ett säkert sätt och sköta konversationer mellan gruppmedlemmar och externa fälttjänstleverantörer. Teams kan användas för att hålla möten, ringa röstsamtal, lagra och dela arbetsorder, samla in fältdata, ladda upp foton, integrera med affärsprocesslösningar (byggt med Power Apps och Power Automate) och integrera affärsprogram. Den här typen av fälttjänstdata kan betraktas som låg påverkan. Effektivitet kan dock uppnås genom centralisering av kommunikation och åtkomst till data mellan anställda och fälttjänstpersonal i dessa scenarier.

Ett annat exempel där Microsoft Teams kan skapa en fördel för energiindustrin är när fälttjänstpersonalen arbetar för att återställa tjänsten under ett avbrott. Fältpersonalen kräver ofta snabb åtkomst till Schematisk information för understationer, generatorstationer eller ritningar för tillgångar i fältet. Dessa data anses ha hög påverkan och måste skyddas enligt NERC CIP-föreskrifter. För att kunna använda fälttjänsten under avbrott krävs kommunikation mellan fältpersonal och kontorsanställda och i sin tur till slutkunder. Genom att centralisera kommunikation och datadelning i Microsoft Teams får du en enkel metod för att få åtkomst till kritiska data och förmedla information och status tillbaka till huvudkontoret. Microsoft Teams kan till exempel användas för att få fältpersonalen att delta i konferenssamtal när de är på väg till ett avbrott. Fältpersonal kan också ta bilder eller video av sin miljö och dela dem med huvudkontoret, vilket är särskilt viktigt när fältutrustning inte matchar scheman. Data och status som samlas in från fältet kan sedan bli omkopplade till kontorsanställda och ledarskap via datavisualiseringsverktyg som Power BI. Microsoft Teams kan göra fältpersonalen mer effektiv och mer produktiv i de här kritiska situationerna.

Teams: förbättra samarbetet och minska riskerna för efterlevnad

Microsoft 365 tillhandahåller andra vanliga policyfunktioner för Microsoft Teams genom dess användning av Office 365 Grupper som en underliggande medlemskapstjänst. Dessa policyer kan hjälpa dig att förbättra samarbetet och uppfylla behovet av överensstämmelse.

Med Principerna för att namnge grupper i Office 365 kan du se till att Office 365 Grupper, och följaktligen Microsoft Teams, namnges enligt företagets policy. Namnet på ett team kan innebära utmaningar om det inte namnges korrekt. Anställda kanske till exempel inte vet vilka team som ska arbeta eller dela information inom om de är felaktigt namngivna. Namngivningsprinciper för grupper bidrar till att upprätthålla god hygien och kan också förhindra användning av specifika ord, till exempel reserverade ord eller olämplig terminologi.

Office 365 förfalloprinciper för grupper hjälper till att säkerställa att Office 365 grupper, och därför Microsoft Teams, inte behålls under längre tidsperioder än vad som krävs av organisationen. Denna förmåga hjälper till att förhindra två viktiga problem med informationshantering:

• Spridningen av Microsoft Teams som inte är nödvändiga eller används
• Bevarandet av data som inte längre krävs av organisationen

Administratörer kan ange en förfalloperiod för Office 365 Grupper (t. ex. 90, 180 eller 365 dagar). Om en tjänst som backats Office 365 grupp är inaktiv under utgångsperioden meddelas gruppägare. Om ingen åtgärd vidtas tas Office 365-gruppen och alla dess relaterade tjänster, inklusive Microsoft Teams, bort.

Överlagring av data i ett Microsoft-team kan utgöra juridiska risker för organisationer. Användning av förfalloprinciper är en rekommenderad metod för att skydda organisationen. I kombination med fördefinierade inbyggda lagringsetiketter och policyer ser Microsoft 365 till att organisationer bara bevarar de data som krävs för att uppfylla företagets principer och regelefterlevnad.

Teams: integrera enkelt anpassade krav

Microsoft Teams gör det enkelt att själv skapa grupper som standard. Många reglerade organisationer vill ha kontroll och förståelse för vilka samarbetsutrymmen som används för närvarande av anställda, vilka som kommer att innehålla känsliga data och vem som äger utrymme i hela organisationen. För att underlätta dessa kontroller gör Microsoft 365 att organisationer kan inaktivera skapande av Teams med självbetjäning. Genom att använda inbyggda Microsoft 365 för automatiseringsverktyg för affärsprocesser, till exempel Power Apps och Power Automate, kan organisationer dessutom skapa enkla processer för att begära ett nytt team. Om du fyller i ett formulär som är enkelt att använda kan ett godkännande automatiskt begäras av en chef. När du har godkänt teamet kan det upprättas automatiskt och den som skickar begäran får en länk till deras nya team. Genom att bygga sådana processer kan organisationer också integrera anpassade krav för att underlätta andra affärsprocesser.

Tillhandahålla säker och kompatibel samverkan i energiindustrin

Som nämnts har Microsoft Office 365 och Office 365 U.S. Government båda uppnått FedRAMP ATO på måttlig effektnivå. Azure och Azure Government har uppnått en FedRAMP High P-ATO som representerar den högsta nivån av FedRAMP-auktorisering. Dessutom omfattar FedRAMP för måttlig kontroll alla kraven för NERC CIP, vilket gör det möjligt att tillåta organisationer för energiindustri (registrerade enheter) att utnyttja befintliga FedRAMP-auktoriseringar som ett skalbart och effektivt sätt att lösa NERC granskningskrav. Det är dock viktigt att notera att FedRAMP inte är en certifiering till tidpunkt utan ett utvärderings- och auktoriseringsprogram som innehåller bestämmelser för kontinuerlig övervakning. Även om den här etableringen främst gäller molnlösningsleverantören ansvarar Microsoft-kunder som kör Bulk Electric Systems för att säkerställa sin egen efterlevnad av NERC CIP-standarder. Det är vanligtvis en rekommenderad metod att kontinuerligt övervaka organisationens efterlevnadsstatus för att säkerställa löpande efterlevnad av regler.

Microsoft tillhandahåller ett viktigt verktyg för att övervaka efterlevnad av regler över tid:

• Microsoft Purview Compliance Manager hjälper organisationen att förstå sin aktuella efterlevnadshållning och de åtgärder den kan vidta för att förbättra den hållningen. Compliance Manager beräknar en riskbaserad poäng som mäter framsteg i genomförandet av åtgärder som hjälper till att minska riskerna kring dataskydd och regleringsstandarder. Compliance Manager ger en första poäng baserat på databaslinjen för Microsoft 365-dataskydd. Denna baslinje är en uppsättning kontroller som inkluderar vanliga branschföreskrifter och standarder. Även om denna poäng är en bra utgångspunkt blir Compliance Manager kraftfullare när en organisation lägger till bedömningar som är mer relevanta för sin bransch. Compliance Manager stöder ett antal regleringsstandarder som är relevanta för NERC CIP-krav, inklusive FedRAMP Moderate Control Set, NIST 800-53 Rev. 4 och AICPA SOC 2. Energiindustrins organisationer kan också skapa eller importera anpassade kontrolluppsättningar om det behövs.

Med de inbyggda arbetsflödesfunktionerna i Efterlevnadshanteraren kan energiorganisationer omvandla och digitalisera sina processer för regelefterlevnad. Traditionellt har efterlevnadsteam inom energibranschen följande utmaningar:

• Inkonsekvent rapportering eller spårning av framsteg vid åtgärder för reparationer
• Ineffektiva eller inaktiva processer
• Otillräckliga resurser eller avsaknad av ägarskap
• Brist på information i realtid och mänskliga fel

Genom att automatisera aspekter av regelefterlevnadsprocesser genom användning av Compliance Manager kan organisationer minska den administrativa bördan för juridiska funktioner och efterlevnadsfunktioner. Det här verktyget kan hjälpa dig att hantera de här utmaningarna genom att ge mer uppdaterad information om åtgärder, mer konsekvent rapportering och dokumenterat ägarskap för åtgärder (länkat till implementeringen av åtgärder). Organisationer kan automatiskt spåra reparationsåtgärder med tiden och se de totala effektivitetsvinsterna. Den här funktionen gör det möjligt för personalen att fokusera mer på att få insikter och utveckla strategier för att hjälpa till att navigera i risker mer effektivt.

Efterlevnadshanteraren uttrycker inte ett absolut mått på organisationens efterlevnad med någon viss standard eller reglering. Det uttrycker i vilken omfattning du har antagit kontroller som kan minska riskerna för personlig data och individens integritet. Rekommendationer från Efterlevnadshanteraren bör inte tolkas som en garanti för efterlevnad. Kundåtgärderna som tillhandahålls i Compliance Manager är rekommendationer. Det är upp till varje organisation att utvärdera effektiviteten hos dessa rekommendationer för att uppfylla sina regelmässiga skyldigheter före implementeringen. Rekommendationer som finns i Efterlevnadshanteraren bör inte tolkas som en garanti för efterlevnad.

Många kontroller relaterade till cybersäkerhet ingår i FedRAMP för måttlig kontroll och NERC CIP-standard. Viktiga kontroller som är relaterade till Microsoft 365-plattformen innefattar säkerhetshanteringskontroller (CIP-003-6), konto- och åtkomsthantering/återkallelse av åtkomst (CIP-004-6), elektronisk säkerhetsgräns (CIP-005-5), övervakning av säkerhetshändelser och svar på tillbud (CIP-008-5). Följande grundläggande Microsoft 365-funktioner hjälper dig att hantera de risker och krav som ingår i dessa artiklar.

Säkra användaridentiteter och kontrollera åtkomst

Skyddet av åtkomst till dokument och program börjar med att skydda användaridentiteter. Som grund kräver den här åtgärden en säker plattform för företaget att lagra och hantera identiteter och tillhandahålla ett betrott autentiseringsmedel. Det kräver också dynamisk kontroll av åtkomst till de här programmen. När anställda arbetar kan de flytta från program till program eller över flera platser och enheter. Tillgång till data måste verifieras vid varje steg på vägen. Dessutom måste autentiseringsprocessen ha stöd för ett starkt protokoll och flera autentiseringsfaktorer (engångs-SMS-passkod, autentiseringsapp, certifikat osv.) för att säkerställa att identiteter inte har komprometterats. Slutligt är det viktigt att framtvinga riskbaserade åtkomstprinciper för att skydda data och program från insiderhot, oavsiktliga dataläckage och dataexfiltration.

Microsoft 365 tillhandahåller en säker identitetsplattform med Microsoft Entra ID där identiteter lagras centralt och hanteras på ett säkert sätt. Microsoft Entra ID, tillsammans med en mängd relaterade Microsoft 365-säkerhetstjänster, utgör grunden för att ge anställda den åtkomst de behöver för att arbeta säkert samtidigt som organisationen skyddas från hot.

Microsoft Entra multifaktorautentisering (MFA) är inbyggd i plattformen och ger ytterligare ett skyddslager som hjälper till att säkerställa att användarna är de som de säger sig vara när de får åtkomst till känsliga data och program. Microsoft Entra multifaktorautentisering kräver minst två former av autentisering, till exempel ett lösenord och en känd mobil enhet. Den har stöd för flera andra faktorer för autentisering, t. ex. Microsoft Authenticator-appen, ett engångslösenord som levereras via SMS, ta emot telefonsamtal där användaren måste ange en PIN-kod och smartkort eller certifikatbaserad autentisering. Om lösenordet på något sätt komprometteras skulle en potentiell hackare fortfarande behöva användarens telefon för att få tillgång till organisationsdata. Dessutom använder Microsoft 365 modern autentisering som nyckelprotokoll och får samma kraftfulla autentisering från webbläsare för samarbetsverktyg, till exempel Microsoft Outlook och Microsoft Office-program.

Microsoft Entra villkorlig åtkomst är en robust lösning för att automatisera beslut om åtkomstkontroll och framtvinga principer för att skydda företagets tillgångar. Ett vanligt exempel är när en anställd försöker komma åt ett program som innehåller känsliga kunddata och de automatiskt måste utföra en multifaktorautentisering. Azures villkorliga åtkomst samlar signaler från en användares åtkomstbegäran (till exempel egenskaper om användaren, deras enhet, plats, nätverk och den app eller lagringsplats som de försöker komma åt). Den utvärderar dynamiskt varje försök att komma åt programmet mot principer som du konfigurerar. Om användar- eller enhetsrisken är förhöjd, eller om andra villkor inte uppfylls, tillämpar Microsoft Entra ID automatiskt principen (till exempel dynamiskt kräver MFA, begränsar eller till och med blockerar åtkomst). Den här designen säkerställer att känsliga tillgångar skyddas i dynamiskt föränderliga miljöer.

Microsoft Defender för Office 365 tillhandahåller en integrerad tjänst för att skydda organisationer från illasinnade länkar och skadlig kod som levererats via e-post. En av de vanligaste attackvektorerna som påverkar användare idag är nätfiskeattacker via e-post. De här angreppen kan vara noggrant målinriktade mot specifika högpresterande anställda och kan vara mycket övertygande. De innehåller vanligtvis vissa anrop till åtgärder som kräver att en användare väljer en skadlig länk eller öppnar en bifogad fil med skadlig kod. När angriparen har angripit kan han eller hon stjäla en användares inloggningsuppgifter och röra sig tvärs över hela organisationen. De kan också exfiltrera e-postmeddelanden och data för att hitta känslig information. Microsoft Defender för Office 365 utvärderar länkar vid klicktid för potentiellt skadliga webbplatser och blockerar dem. Bifogade filer i e-postmeddelanden öppnas i ett skyddat läge innan de skickas till en användares postlåda.

Microsoft Defender för Molnappar ger organisationer möjlighet att tillämpa principer på detaljerad nivå. Den här designen omfattar identifiering av beteendeavvikelser baserat på enskilda användarprofiler som definieras automatiskt med hjälp av Machine Learning. Defender för Cloud Apps bygger på principer för villkorsstyrd åtkomst i Azure genom att utvärdera ytterligare signaler som rör användarbeteende och egenskaper för de dokument som används. Med tiden lär sig Defender för Molnapar det typiska beteendet för varje anställd (de data de får åtkomst till och de program de använder). Principer som bygger på inlärda beteendemönster kan sedan automatiskt upprätthålla säkerhetskontroller om en anställd agerar utanför den beteendeprofilen. Om en anställd till exempel vanligtvis använder en redovisningsapp från 09:00 till 17:00, måndag till fredag, men samma användare börjar komma åt programmet mycket en söndagskväll, kan Defender för Cloud Apps dynamiskt tillämpa principer för att kräva att användaren autentiserar igen. Det här kravet säkerställer att autentiseringsuppgifterna inte har komprometterats. Dessutom kan Defender för molnappar hjälpa till att upptäcka och identifiera Shadow IT i organisationen. Den här funktionen hjälper InfoSec-team att se till att anställda använder sanktionerade verktyg när de arbetar med känsliga data. Slutligen kan Defender for Cloud Apps skydda känsliga data var som helst i molnet, även utanför Microsoft 365-plattformen. Det gör det möjligt för organisationer att sanktionera (eller osanktion) specifika externa molnappar, kontrollera åtkomst och övervakning när användare arbetar i dessa program.

Microsoft Entra ID, och relaterade Microsoft 365-säkerhetstjänster, utgör grunden för en modern plattform för molnsamarbete som kan distribueras till organisationer inom energiindustrin. Microsoft Entra ID innehåller kontroller för att skydda åtkomsten till data och program. Förutom att tillhandahålla stark säkerhet hjälper dessa kontroller organisationer att uppfylla kraven på regelefterlevnad.

Microsoft Entra ID och Microsoft 365-tjänster och är djupt integrerade och tillhandahåller följande viktiga funktioner:

• Lagrar och hanterar användaridentiteter centralt.
• Använd ett starkt autentiseringsprotokoll, inklusive multifaktorautentisering, för att autentisera användare vid åtkomstbegäranden
• Ge en konsekvent och robust autentiseringsupplevelse i alla program
• Verifiera principer dynamiskt för alla åtkomstförfrågningar och införliva flera signaler i beslutsfattandet av principen (t. ex. identitets-, användar-och gruppmedlemskap, program, enhet, nätverk, plats och risknivå i realtid).
• Verifiera detaljerade principer baserat på användarens beteende och filegenskaper och dynamiskt upprätthålla ytterligare säkerhetsåtgärder vid behov.
• Identifiera "skugg-IT" i organisationen och tillåt InfoSec-grupper att sanktionera eller blockera molnprogram.
• Övervaka och kontrollera åtkomsten till Microsoft-program och molnprogram från andra leverantörer än Microsoft.
• Skydda proaktivt mot attacker från nätfiske och utpressningstrojaner.

Identifiera känsliga data och förhindra dataförluster

FedRAMP för måttlig kontroll och NERC CIP-standard inkluderar även informationsskydd som krav på nyckelkontroll (CIP-011-2). Dessa krav är specifikt knutna till behovet av att identifiera information om BES (Bulk Electric System) Cyber Systeminformation och skydd och säker hantering av informationen (inklusive lagring, överföring och användning). Specifika exempel på INFORMATION om BES Cyber System kan vara säkerhetsprocedurer eller säkerhetsinformation om system som är grundläggande för att driva masselektriskt system (BES Cyber Systems, Fysiska Access Control-system och elektroniska Access Control eller övervakningssystem) som inte är offentligt tillgängliga och kan användas för att tillåta obehörig åtkomst eller obehörig distribution. Samma behov finns dock för att identifiera och skydda kundinformation som är viktig för den dagliga verksamheten i energiorganisationer.

I Microsoft 365 kan identifiera och skydda känsliga data i organisationen genom en kombination av kraftfulla funktioner, t. ex.:

• Informationsskydd i Microsoft Purview för både användarbaserad klassificering och automatisk klassificering av känsliga data

• Dataförlustskydd i Microsoft Purview (DLP) för automatisk identifiering av känsliga data med hjälp av känsliga datatyper (det vill säga reguljära uttryck) och nyckelord samt principtillämpning

Microsoft Purview Information Protection gör det möjligt för anställda att klassificera dokument och e-postmeddelanden med känslighetsetiketter. Känslighetsetiketter kan läggas till manuellt av användare för dokument i Microsoft Office-program och e-postmeddelanden i Microsoft Outlook. Känslighetsetiketter kan automatiskt använda dokumentmarkeringar, skydd via kryptering och upprätthållande av rättigheter. Känslighetsetiketter kan också tillämpas automatiskt genom att konfigurera principer som använder nyckelord och känsliga datatyper (kreditkortsnummer, personnummer, identitetsnummer osv.).

Microsoft tillhandahåller även utbildningsbara klassificerare. Dessa använder maskininlärningsmodeller för att identifiera känsliga data baserat på vad innehållet är, i motsats till bara genom mönstermatchning eller av elementen i innehållet. En klassificerare får reda på hur du identifierar en typ av innehåll genom att titta på flera exempel på innehållet som ska klassificeras. Utbildning av en klassificerare börjar med att tillhandahålla exempelinnehåll inom en viss kategori. När du har bearbetat de här exemplen testas modellen genom att tillhandahålla en blandning av båda exemplen för matchning och icke matchning. Klassificeraren förutsäger om ett visst exempel är i kategorin eller inte. En person bekräftar sedan resultaten, sorterar positiva, negativa, falska positiva och falska negativa för att öka noggrannheten i klassificerarens förutsägelser. När den tränade klassificeraren publiceras bearbetas och klassificeras innehåll automatiskt i SharePoint Online, Exchange Online och OneDrive.

Genom att tillämpa känslighetsetiketter på dokument och e-postmeddelanden bäddas metadata in i objektet som identifierar den valda känsligheten, vilket gör att känsligheten kan färdas med data. Det innebär att även om ett etiketterat dokument lagras på en användares skrivbord eller i ett lokalt system är det fortfarande skyddat. Den här designen gör det möjligt för andra Microsoft 365-lösningar, till exempel Microsoft Defender for Cloud Apps eller nätverksgränsenheter, att identifiera känsliga data och automatiskt framtvinga säkerhetskontroller. Känslighetsetiketter har den extra fördelen med att anställda läggs till och vilka data inom en organisation som anses vara känsliga och hur de ska hanteras.

Dataförlustskydd i Microsoft Purview (DLP) identifierar automatiskt dokument, e-postmeddelanden och konversationer som innehåller känsliga data genom att söka igenom dessa objekt efter känsliga datatyper och sedan tillämpa principer på dessa objekt. Principer upprätthålls på dokument i SharePoint och OneDrive för företag. Principer upprätthålls också när användare skickar e-post och i chatt- och kanalkonversationer i Microsoft Teams. Principer kan konfigureras för att söka efter nyckelord, känsliga datatyper, lagringsetiketter och om data delas i organisationen eller externt. Kontroller tillhandahålls för att hjälpa organisationer att finjustera DLP-policyer för att minska falska positiva. När känsliga data hittas kan anpassningsbara principtips visas för användare i Microsoft 365 program. Principtips informerar användarna om att deras innehåll innehåller känsliga data och kan föreslå korrigerande åtgärder. Principer kan också hindra användare från att komma åt dokument, dela dokument eller skicka e-postmeddelanden som innehåller vissa typer av känslig information. Microsoft 365 stöder över 100 inbyggda känsliga datatyper. Organisationer kan konfigurera egna känsliga datatyper så att de uppfyller sina principer.

Att distribuera principer för Microsoft Purview Information Protection och DLP-principer till organisationer kräver noggrann planering. Det kräver också användarutbildning så att anställda förstår organisationens dataklassificeringsschema och vilka typer av data som är känsliga. Att tillhandahålla anställda med verktyg och utbildningsprogram som hjälper dem att identifiera känsliga data och förstå hur de hanteras gör dem till en del av lösningen för att minska risker med informationssäkerhet.

Styra data genom att effektivt hantera poster

Föreskrifter kräver många organisationer för att hantera bevarande av viktiga organisationsdokument enligt ett hanterat bevarandeschema för företaget. Organisationer möter reglerande och efterlevnadsrisker om data tas bort för tidigt eller juridiska risker om data behålls för länge. Med hjälp av strategier för effektiv hantering kan du se till att organisations dokument bevaras enligt förutbestämda bevarandeperioder som är utformade för att minimera riskerna för organisationen. Kvarhållningsperioder anges i ett centralt hanterat kvarhållningsschema för organisationsposter. Bevarandetiderna baseras på de olika typerna av dokument, efterlevnadskrav för att behålla vissa typer av data och organisationens definierade principer.

Att tilldela kvarhållningsperioder för arkivhandlingar korrekt i organisationsdokument kan kräva en detaljerad process som tilldelar kvarhållningsperioder unikt till enskilda dokument. Det kan vara svårt att tillämpa principer för arkivlagring i stor skala av många anledningar. Dessa orsaker omfattar det stora antalet dokument inom energibranschorganisationer tillsammans med det faktum att kvarhållningsperioder i många fall kan utlösas av organisationshändelser (till exempel kontrakt som upphör att gälla eller en anställd som lämnar organisationen).

Microsoft 365 tillhandahåller funktioner för att definiera bevarandeetiketter och principer för att enkelt implementera hanteringskrav för handlingar. En arkivhanterare definierar en lagringsetikett som representerar en "typ av information" i ett traditionellt bevaringsschema. Bevarandet har inställningar som definierar:

• Hur länge en post behålls
• Vad inträffar när den lagringsperioden går ut (ta bort dokumentet, starta en granskning eller vidta ingen åtgärd)
• Vad utlöser den bevarandeperiod som ska startas (skapat den, senast ändrad, datumetikett eller en händelse) och
• Om dokumentet eller e-postmeddelandet är en post (vilket innebär att det inte kan redigeras eller tas bort)

Lagringsetiketterna publiceras sedan på SharePoint- och OneDrive-webbplatser, Exchange-postlådor och Office 365 Grupper. Användarna kan sedan använda kvarhållningsetiketter manuellt för dokument och e-postmeddelanden. Eller så kan posthanterare använda regler för att automatiskt tillämpa kvarhållningsetiketter. Automatiskt tillämpa regler kan baseras på nyckelord eller känslig information som finns i dokument och e-postmeddelanden, t. ex kreditkortsnummer, personnummer eller annan personlig identifierbar information (PII). Regler för automatisk tillämpning kan också baseras på SharePoint-metadata.

FedRAMP för måttlig kontroll och NERC CIP-standarder omfattar även återanvändande och avyttring av tillgångar som krav på nyckelkontroll (CIP-011-2). Kraven gäller återigen specifikt adresserade BES (omfångsrika elsystem) Cybersysteminformation. Andra jurisdiktionsregler kräver dock att energiindustrins organisationer hanterar och tar bort arkivhandlingar effektivt för många typer av information. Denna information innefattar redovisningar, information om kapitalprojekt, budgeten, kunddata osv. I alla fall krävs energiorganisationer för att upprätthålla robusta program för hantering av arkivhandlingar och bevis som rör försvarbar disposition av företagsposter.

Med varje kvarhållningsetikett kan Microsoft 365 göra det möjligt för posthanterare att avgöra om en borttagningsgranskning krävs. När de posttyper som används för förvaring, när de har löpt ut, måste en översyn utföras av de avsedda dispositions förhandsgranskningarna innan innehållet tas bort. När borttagningsgranskningen har godkänts fortsätter innehållsborttagningen. Men bevis för borttagningen (användare som utförde borttagningen och datum/tid då det skedde) kommer att bevaras i flera år som ett certifikat på borttagningen. Om organisationer kräver längre eller permanent kvarhållning av destruktionscertifikat kan de använda Microsoft Sentinel för långsiktig molnbaserad lagring av logg- och granskningsdata. Med Microsoft Sentinel får organisationer fullständig kontroll över långsiktig lagring och bevarande av aktivitetsdata, loggdata och bevarande/dispositionsdata.

Följa föreskrifter för FERC och FTC för energimarknader

Den amerikanska federala energi regleringskommissionen (FERC) överser föreskrifter avseende energimarknader och handeln för elenergi och naturgasmarknader. Den amerikanska federala handelskommissionen överser liknande föreskrifter på petroleummarknaden. I båda fallen anger dessa regleringsorgan regler och vägledning för att förhindra manipulering av energimarknader. Med FERC rekommenderar vi till exempel att energiorganisationer investerar i tekniska resurser för att övervaka handel, näringsidkare, kommunikation med intern kontroll. Regulatorer rekommenderar även att energiorganisationer regelbundet utvärderar hur effektivt organisationens efterlevnadsprogram är.

Traditionellt sett är kommunikationsövervakningslösningar dyra och de kan vara komplicerade att konfigurera och hantera. Organisationer kan också få utmaningar med att övervaka de olika, varierande kommunikationskanaler som finns tillgängliga för anställda. I Microsoft 365 finns flera inbyggda robusta funktioner för övervakning av medarbetarnas kommunikation, övervakning av medarbetarnas aktiviteter och uppfyllande av FERC bestämmelser för energimarknader.

Implementera övervakningskontroll

I Microsoft 365 kan organisationer konfigurera övervakningsprinciper som fångar medarbetarnas kommunikation (utifrån konfigurerade villkor) och tillåta att dessa granskas av utsedda övervakare. Med övervakningsprinciper kan du hämta interna/externa e-postmeddelanden och bilagor, chatt- och kanalkommunikation i Microsoft Teams, chattkommunikation och bilagor med Skype för företag online tillsammans med kommunikation via tjänster från tredje part (till exempel Facebook eller Dropbox).

Den omfattande typen av kommunikation som kan samlas in och granskas inom en organisation och de omfattande villkor som principer kan konfigureras med gör att Microsoft 365-övervakningsprinciper kan hjälpa organisationer att följa FERC-energimarknadsbestämmelser. Övervakningsprinciper kan konfigureras för att granska kommunikationer för individer eller grupper. Dessutom kan övervakare konfigureras för att vara individer eller grupper. Omfattande förhållanden kan konfigureras för att fånga kommunikationer baserade på inkommande eller utgående meddelanden, domäner, lagringsetiketter, nyckelord eller fraser, nyckelordsordlistor, känsliga datatyper, bilagor, meddelandestorlek eller storlek på bilaga. Granskarna får en instrumentpanel där de kan granska flaggade kommunikationer, agera på kommunikationer som potentiellt bryter mot policyer och markera flaggade objekt som lösta. De kan också granska resultatet av tidigare granskningar och objekt som har lösts.

Microsoft 365 tillhandahåller rapporter som gör att granskningsaktiviteter för övervakningsprinciper granskas utifrån principen och granskaren. Tillgängliga rapporter kan användas för att verifiera att övervakningsprinciper fungerar som definieras av organisationens principer för skriftligt övervakning. Rapporter kan också användas för att identifiera kommunikationer som kräver granskning, inklusive kommunikation som inte är kompatibel med företagets princip. Slutligen granskas alla aktiviteter relaterade till konfigurering av övervakningsprinciper och granskning av kommunikationer i den enhetliga Office 365-granskningsloggen.

Microsoft 365-övervakningsprinciper gör att organisationer kan övervaka meddelanden för efterlevnad av företagsprinciper, till exempel mänskliga resurser trakasserier överträdelser och anstötligt språk i företagskommunikation. Det gör också att organisationer kan minska riskerna genom att övervaka kommunikationen när de genomgår känsliga förändringar, t. ex. sammanslagningar och förvärv eller förändringar i ledarskap.

Efterlevnad av kommunikation

Med många kommunikationskanaler tillgängliga för anställda behöver organisationer alltmer effektivare lösningar för Upptäcka och undersöka kommunikationer i reglerade branscher, t. ex. marknader för energihandeln. Dessa utmaningar kan omfatta ett ökande antal kommunikationskanaler och meddelandevolymer och risken för potentiella överträdelser av policyer.

Microsoft Purview Kommunikationsefterlevnad är en efterlevnadslösning som hjälper dig att minimera kommunikationsriskerna genom att hjälpa dig att identifiera, undersöka och agera på olämpliga meddelanden i organisationen. Med fördefinierade och anpassade principer kan du söka igenom intern och extern kommunikation efter principmatchningar så att de kan undersökas av utsedda granskare. Granskare kan undersöka skannad e-post, Microsoft Teams, Viva Engage eller kommunikation från tredje part i din organisation och vidta lämpliga åtgärder för att se till att de är kompatibla med organisationens meddelandestandarder.

Med efterlevnad av kommunikation kan grupper effektivt granska meddelanden för potentiella överträdelser av:

• företagsprinciper, t. ex. acceptabel användning, etiska standarder och företagsspecifika principer
• känslig information om företaget, till exempel samtal om känsliga projekt såsom kommande förvärv, sammanslagningar, vinstresultat, omstruktureringar eller förändringar i ledningsgruppen
• bestämmelser om efterlevnad, t. ex. medarbetarnas kommunikation angående olika typer av verksamheter och transaktioner där en organisation uppkommer med beaktande av FERC bestämmelser för energimarknader

Med kommunikationsefterlevnad tillhandahålls inbyggda klassificerare för hot, trakasserier och svordomar vilket minskar falska positiva vid granskning av kommunikation. Den här klassificeringen sparar granskare tid under undersöknings- och reparationsprocessen. Det hjälper granskare att fokusera på vissa meddelanden i långa trådar som har markerats med principvarningar. Det här resultatet hjälper efterlevnadsteamen att snabbare identifiera och åtgärda risker. Den ger efterlevnadsgrupper med möjligheten att enkelt konfigurera och finjustera principer och justera lösningen till organisationens specifika behov och minska falska positiva. Med kommunikationsefterlevnad kan du även identifiera potentiella risker med användarens beteende under tid och på så sätt markera potentiella mönster för riskfyllda beteenden och policyöverträdelser. Slutligen ger den flexibla inbyggda reparationsarbetsflöden. Dessa arbetsflöden hjälper granskare att snabbt vidta åtgärder för att eskalera till juridiska team eller personalteam enligt definierade företagsprocesser.

Skydd mot dataexfiltration och insiderrisk

Dataexfiltration eller att extrahera data från en organisation är ett vanligt hot mot företag. Den här åtgärden kan vara ett stort problem för energiorganisationer på grund av den känsliga karaktären hos den information som kan nås av anställda eller fälttjänstpersonal dagligen. Dessa data omfattar både BES (omfångsrika elsystem) Cybersysteminformation samt verksamhetsrelaterad information och kunddata. Med ökande metoder för kommunikation tillgängliga och flera verktyg för att flytta data krävs det vanligtvis avancerade verktyg för att minska riskerna med dataläckor, policyöverträdelser och Insider-risker.

Hantering av insiderrisk

Att aktivera anställda med samarbetsverktyg online som kan kommas åt var som helst medför risker för en organisation. Anställda kan oavsiktligt eller skadligt läcka data till angripare eller konkurrenter. Alternativt kan de exfiltera data för personligt bruk eller ta med sig data till en framtida arbetsgivare. I dessa scenarier förekommer allvarliga risker för organisationer från ett säkerhets och efterlevnadsperspektiv. Att identifiera dessa risker när de inträffar och snabbt mildra dem kräver både intelligenta verktyg för datainsamling och samarbete mellan avdelningar som juridik, HR och informationssäkerhet.

Microsoft Purview hantering av interna risker är en efterlevnadslösning som minimerar interna risker genom att du kan identifiera, undersöka och agera på skadliga och oavsiktliga aktiviteter i organisationen. Med principer för intern risk kan du definiera vilka typer av risker som ska identifieras i din organisation, inklusive att agera i ärenden och eskalera ärenden till Microsoft eDiscovery (Premium) om det behövs. Riskanalytiker i din organisation kan snabbt vidta lämpliga åtgärder för att se till att användarna följer organisationens efterlevnadsstandarder.

Exempelvis kan hantering av interna risker korrelera signaler från en användares enheter (till exempel att kopiera filer till en USB-enhet eller skicka e-post till ett personligt e-postkonto) med aktiviteter från onlinetjänster (som Office 365 e-post, SharePoint Online, Microsoft Teams eller OneDrive för företag) för att identifiera mönster för dataexfiltrering. Det kan också korrelera dessa aktiviteter med anställda som lämnar en organisation, vilket är ett vanligt mönster associerade med dataexfiltrering. Den kan identifiera flera potentiellt riskfyllda aktiviteter och beteenden över tid. När vanliga mönster uppstår kan det ge aviseringar och hjälpa granskare att fokusera på nyckelaktiviteter för att verifiera en policyöverträdelse med en hög grad av säkerhet. Hantering av interna risker kan komplicera data från utredare för att uppfylla föreskrifterna för uppgifter om integritet medan det fortfarande dyker upp nyckelaktiviteter som hjälper dem att utföra utredningar effektivt. Det tillåter utredare att paketera och säkert skicka viktig aktivitetsdata till HR och juridiska avdelningar, efter vanliga upptrappning av arbetsflöden för lyfta upp ärenden för saneringsåtgärder.

Hantering av interna risker i Microsoft 365 ökar organisationers kapacitet att övervaka och undersöka interna risker avsevärt samtidigt som organisationer fortfarande kan uppfylla bestämmelserna om dataskydd och följa etablerade eskaleringsvägar när ärenden kräver åtgärder på högre nivå.

Sammanfattning

Microsoft 365 tillhandahåller en integrerad och fullständig lösning som gör att du enkelt kan använda molnbaserade samarbete i hela företaget med Microsoft Teams. Microsoft Teams gör det också enklare att kommunicera och samarbeta med fälttjänstpersonal och energiorganisationer kan vara effektivare och effektivare. Bättre samarbete i hela företaget och med fältpersonalen kan slutligen hjälpa energiorganisationer att bättre tjäna kunderna.

Organisationer för energiindustrin måste följa strikta förordningar som rör hur de lagrar, skyddar, hanterar och bevarar information som rör deras åtgärder och kunder. De måste också följa föreskrifter relaterade till hur de övervakar och förhindra manipulation av energimarknader. Microsoft 365 ger robusta säkerhetskontroller för att skydda data, identiteter, enheter och program från risker och följa strikta föreskrifter för energiindustrin. De inbyggda verktygen tillhandahålls för att hjälpa energiorganisationer att utvärdera att de efterlevs, liksom utföra åtgärder och spåra åtgärder med tiden. Verktygen tillhandahåller lättanvända metoder för övervakning av kommunikation. Microsoft 365-plattformen bygger på grundläggande komponenter som Microsoft Azure och Microsoft Entra ID, vilket hjälper till att skydda den övergripande plattformen och hjälpa organisationen att uppfylla efterlevnadskraven för FedRAMP Moderate och High-kontrolluppsättningar. Den här designen bidrar i sin tur till en energiorganisations förmåga att uppfylla NERC CIP-standarder.

Generellt sett hjälper Microsoft 365 energiorganisationer att bättre skydda organisationen för att få mer robusta program för efterlevnad och för att göra det möjligt för personalen att fokusera på att få bättre insikter och implementera strategier för att bättre minska riskerna.