ABD bankacılık ve sermaye piyasaları için temel uyumluluk ve güvenlik konuları
Giriş
Finansal hizmet kurumları sıkı güvenlik, uyumluluk ve idare denetimleri taleplerinde neredeyse tüm ticari işletmeleri aşıyor. Verilerin, kimliklerin, cihazların ve uygulamaların korunması yalnızca işletmeleri için kritik öneme sahip değildir, ABD Menkul Kıymetler ve Değişim Komisyonu (SEC), Finansal Endüstri Düzenleme Kurumu (FINRA), Federal Finansal Kurumlar Sınav Konseyi (FFIEC) ve Emtia Vadeli İşlemler Ticaret Komisyonu (CFTC) gibi düzenleyici kuruluşların uyumluluk gereksinimlerine ve yönergelerine tabidir. Ayrıca, finansal kurumlar Dodd-Frank ve 2002 Sarbanes-Oxley Yasası gibi yasalara tabidir.
Günümüzün artan güvenlik ihtiyat, içeriden risk endişeleri ve kamu veri ihlalleri ikliminde müşteriler, kişisel verileri ve bankacılık varlıkları konusunda onlara güvenmek için finans kuruluşlarından yüksek düzeyde güvenlik de talep ediyor.
Tarihsel olarak, kapsamlı denetimlere duyulan ihtiyaç, finans kurumlarının iç ve dış işbirliği sağlamak için kullandığı BT sistemlerini ve platformlarını doğrudan etkileyip kısıtlamıştı. Günümüzde finansal hizmetler çalışanlarının benimsemesi ve kullanımı kolay modern bir işbirliği platformuna ihtiyacı vardır. Ancak finansal hizmetler, kullanıcıları ve BT sistemlerini tehditlere karşı korumak için ilkeler uygulayan güvenlik ve uyumluluk denetimleriyle kullanıcılar, ekipler ve departmanlar arasında işbirliği yapma esnekliğini değiştiremez.
Finansal hizmetler sektöründe aşağıdakiler dahil olmak üzere işbirliği araçlarının ve güvenlik denetimlerinin yapılandırılması ve dağıtımı için dikkatli bir şekilde dikkat edilmesi gerekir:
- Ortak kurumsal işbirliği ve iş süreci senaryolarının risk değerlendirmesi
- Bilgi koruma ve veri idaresi gereksinimleri
- Siber güvenlik ve içeriden tehditler
- Mevzuat uyumluluğu gereksinimleri
- Diğer operasyonel riskler
Microsoft 365, finansal hizmetler kuruluşlarının karşılaştığı çağdaş zorlukları giderebilen modern bir çalışma alanı bulut ortamıdır. Kuruluş genelinde güvenli ve esnek işbirliği, sıkı mevzuat uyumluluğu çerçevelerine uymak için denetimler ve ilke uygulama ile birleştirilir. Bu makalede, Microsoft 365 platformunun finansal hizmetlerin modern bir işbirliği platformuna taşınmasına nasıl yardımcı olduğu açıklanırken verilerin ve sistemlerin güvenli ve yönetmeliklerle uyumlu kalmasına nasıl yardımcı olur:
- Microsoft 365 ve Microsoft Teams kullanarak kuruluş ve çalışan üretkenliğini etkinleştirme
- Microsoft 365 kullanarak modern işbirliğini koruma
- Hassas verileri tanımlama ve veri kaybını önleme
- Kaleyi savun
- Kayıtları etkili bir şekilde yöneterek verileri idare etme ve düzenlemelere uyma
- Bilgi engelleri olan etik duvarlar oluşturma
- Veri sızdırma ve şirket içi risklere karşı koruma
Bir Microsoft iş ortağı olarak Protiviti bu makaleye katkıda bulundu ve bu makaleye önemli geri bildirimler sağladı.
Aşağıdaki indirilebilir çizimler bu makaleyi tamamlar. Woodgrove Bank ve Contoso, bu makalede açıklanan özelliklerin finansal hizmetlerin genel mevzuat gereksinimlerini karşılamak için nasıl uygulanabileceğini göstermek için kullanılır. Bu çizimleri kendi kullanımınız için uyarlamaktan çekinmeyin.
Microsoft 365 bilgi koruma ve uyumluluk çizimleri
Öğe | Açıklama |
---|---|
İngilizce: PDF | olarakindirme Visio olarak indirme Japonca: PDF | olarakindirme Visio olarak indirme Kasım 2020'de güncelleştirildi |
Içerir:
|
Microsoft 365 ve Teams'i kullanarak kurumsal ve çalışan üretkenliğini güçlendirme
İşbirliği genellikle çeşitli iletişim biçimlerini, belgeleri/verileri depolamayı ve bu verilere erişmeyi ve gerektiğinde diğer uygulamaları tümleştirmeyi gerektirir. Finansal hizmetlerdeki çalışanların genellikle diğer departmanların veya ekiplerin üyeleriyle ve bazen de dış varlıklarla işbirliği yapıp iletişim kurması gerekir. Bu nedenle silo oluşturan veya bilgi paylaşımını zorlaştıran sistemlerin kullanılması istenmeyen bir durumdur. Bunun yerine, çalışanların güvenli bir şekilde ve şirket ilkesine göre iletişim kurmasını, işbirliği yapmasını ve bilgileri paylaşmasını sağlayan platformlar ve uygulamalar kullanılması tercih edilir.
Çalışanlara modern, bulut tabanlı bir işbirliği platformu sağlamak, daha üretken olmalarını sağlayan araçları seçmelerine ve tümleştirmelerine ve çevik çalışma yolları bulmalarını sağlamalarına olanak tanır. Teams'i güvenlik denetimleri ve kuruluşu koruyan bilgi idare ilkeleriyle birlikte kullanmak, iş gücünüzün etkili bir şekilde iletişim kurmasını ve işbirliği yapmasına yardımcı olabilir.
Teams, kuruluş için bir işbirliği merkezi sağlar. Ortak girişimler ve projeler üzerinde verimli bir şekilde çalışmak için insanların bir araya getirilmesine yardımcı olur. Teams, ekip üyelerinin 1:1 ve çok taraflı sohbet konuşmaları gerçekleştirmelerine, birlikte çalışmalarına ve belgeleri birlikte yazmalarına ve dosyaları depolamalarına ve paylaşmalarına olanak tanır. Teams ayrıca tümleşik kurumsal ses ve video aracılığıyla çevrimiçi toplantıları kolaylaştırır. Teams ayrıca Microsoft Planner, Microsoft Dynamics 365, Power Apps, Power BI ve üçüncü taraf iş kolu uygulamaları gibi Microsoft uygulamalarıyla özelleştirilebilir. Teams hem iç ekip üyeleri hem de ekip kanallarına katılabilen, sohbet konuşmalarına katılabilen, depolanan dosyalara erişebilen ve diğer uygulamaları kullanabilen izin verilen dış kullanıcılar tarafından kullanılmak üzere tasarlanmıştır
Her Microsoft Ekibi bir Microsoft 365 grubu tarafından yedeklenmiştir. Bu grup, Teams de dahil olmak üzere çok sayıda Office 365 hizmeti için üyelik hizmeti olarak kabul edilir. Microsoft 365 grupları, "sahipler" ve "üyeler" arasında güvenli bir şekilde ayrım yapmak ve Teams'in içindeki çeşitli özelliklere erişimi denetlemek için kullanılır. Uygun idare denetimleri ve düzenli olarak yönetilen erişim gözden geçirmeleriyle birleştiğinde, Teams yalnızca üyelerin ve sahiplerin yetkili kanalları ve özellikleri kullanmasına izin verir.
Teams'in şirket içi projeleri veya programları çalıştırırken finansal hizmetlerden yararlandığı yaygın bir senaryodur. Örneğin bankalar, zenginlik yönetimi firmaları, kredi sendikaları ve sigorta sağlayıcıları gibi birçok finans kurumunun kara para aklama ve diğer uyumluluk programlarına sahip olması gerekir. BT'nin, perakende ve zenginlik yönetimi gibi iş hatlarının ve mali suç biriminin birbiriyle veri paylaşması ve program veya belirli soruşturmalar hakkında iletişim kurması için işlevsel bir ekip gerekebilir. Geleneksel olarak, bu programlar paylaşılan ağ sürücülerini kullanır, ancak bu yaklaşım aşağıdakiler de dahil olmak üzere birçok zorluk sunabilir:
- Belgeyi aynı anda yalnızca bir kişi düzenleyebilir.
- Kişilerin eklenmesi/kaldırılması genellikle BT'yi içerdiği için güvenliği yönetmek zaman alır.
- Veriler, paylaşılan ağ sürücülerinde gerekenden veya istenenden çok daha uzun süre yerleşik olarak kalır.
Ekipler, hassas istemci verilerini güvenli bir şekilde depolamak ve ekip üyeleri arasında hassas konuların tartışıldığı konuşmalar yürütmek için bir işbirliği alanı sağlayabilir. Ekibin birden çok üyesi aynı anda tek bir belgeyi düzenleyebilir veya üzerinde işbirliği yapabilir. Program sahibi veya koordinatör, ekip sahibi olarak yapılandırılabilir ve ardından gerektiğinde üye ekleyip kaldırabilir.
Bir diğer yaygın senaryo, belgeleri depolama ve yönetme de dahil olmak üzere güvenli bir şekilde işbirliği yapmak için Teams'i "sanal veri odası" olarak kullanmaktır. Yatırım bankacılığı, varlık yönetimi veya özel sermaye firmaları içindeki ekip üyeleri ve sendikalar, bir anlaşma veya yatırım üzerinde güvenli bir şekilde işbirliği yapabilir. İşlevler arası ekipler genellikle bu tür anlaşmaların planlanması ve yerine getirilmesinde görev alır ve verileri güvenli bir şekilde paylaşma ve konuşma yürütme özelliği temel bir gereksinimdir. İlgili belgeleri dış yatırımcılarla güvenli bir şekilde paylaşmak da önemli bir gereksinimdir. Teams, yatırım verilerini merkezi olarak depolamak, korumak ve paylaşmak için güvenli ve tam olarak denetlenebilir bir konum sağlar.
Teams: İşbirliğini geliştirme ve uyumluluk riskini azaltma
Microsoft 365, Microsoft 365 gruplarını temel üyelik hizmeti olarak kullanarak Teams için diğer ortak ilke özelliklerini sağlar. Bu ilkeler işbirliğini iyileştirmeye ve uyumluluk gereksinimlerini karşılamaya yardımcı olabilir.
Microsoft 365 grup adlandırma ilkeleri , Microsoft 365 gruplarının ve dolayısıyla ekiplerin şirket ilkesine göre adlandırılmasını sağlamaya yardımcı olur. Adlar uygun değilse sorunlu olabilir. Örneğin, adlar uygun şekilde uygulanmadıysa çalışanlar hangi ekiplerle çalışacaklarını veya hangi ekiplerle bilgi paylaşacaklarını bilmiyor olabilir. Grup adlandırma ilkeleri (ön ek/sonek tabanlı ilkeler ve özel engellenen sözcükler için destek dahil) iyi bir "hijyen" uygulayabilir ve ayrılmış sözcükler veya uygunsuz terminoloji gibi belirli sözcüklerin kullanımını engelleyebilir.
Microsoft 365 grup süre sonu ilkeleri , Microsoft 365 gruplarının ve dolayısıyla ekiplerin kuruluşun istediğinden veya ihtiyaç duyduğundan daha uzun süre saklanmamasını sağlamaya yardımcı olur. Bu özellik, iki önemli bilgi yönetimi sorununu önlemeye yardımcı olur:
- Gerekli olmayan veya kullanılmayan ekiplerin çoğaltılması.
- Artık gerekli olmayan veya kuruluş tarafından kullanılmayan verilerin fazla tutulması (yasal saklama/koruma durumları hariç).
Yöneticiler Microsoft 365 grupları için 90, 180 veya 365 gün gibi bir süre sonu belirtebilir. Microsoft 365 grubu tarafından yedeklenen bir hizmet süre sonu boyunca etkin değilse, grup sahiplerine bildirim gönderilir. Hiçbir işlem yapılmazsa, Microsoft 365 grubu ve Teams dahil olmak üzere ilgili tüm hizmetler silinir.
Teams'de ve diğer grup tabanlı hizmetlerde depolanan verilerin fazla tutulması finansal hizmet kuruluşları için risk oluşturabilir. Microsoft 365 grup süre sonu ilkeleri, artık gerekmeyen verilerin saklanmasını önlemeye yardımcı olmak için önerilen bir yoldur. Microsoft 365, yerleşik saklama etiketleri ve ilkeleriyle birlikte kuruluşların yalnızca şirket ilkelerini ve mevzuat uyumluluğu yükümlülüklerini karşılamak için gereken verileri saklamasına yardımcı olur.
Teams: Özel gereksinimleri kolayca tümleştirme
Teams, varsayılan olarak ekiplerin self servis oluşturulmasını sağlar. Ancak, düzenlemeye tabi olan birçok kuruluş, çalışanları tarafından şu anda hangi işbirliği kanallarının kullanıldığını, hangi kanalların hassas veriler içerebileceğini ve kuruluş kanallarının sahipliğini denetlemek ve anlamak ister. Microsoft 365, bu idare denetimlerini kolaylaştırmak için kuruluşun self servis ekip oluşturmayı devre dışı bırakmasına olanak tanır. Kuruluşlar, Microsoft Power Apps ve Power Automate gibi iş süreci otomasyon araçlarını kullanarak çalışanların yeni bir ekip oluşturma isteğinde bulunmaları için basit formlar ve onay süreçleri oluşturup dağıtabilir. Onaylandığında ekip otomatik olarak sağlanabilir ve istekte bulunana bir bağlantı gönderilebilir. Bu şekilde kuruluşlar uyumluluk denetimlerini ve özel gereksinimlerini ekip oluşturma süreciyle tasarlayabilir ve tümleştirebilir.
Kabul edilebilir dijital iletişim kanalları
FINRA, düzenlemeye tabi firmaların dijital iletişimlerinin, 17a-3 ve 17a-4 Exchange Yasası kurallarının yanı sıra FINRA Kural Serisi 4510'un kayıt tutma gereksinimlerini karşıladığını vurgular. FINRA, kuruluşların uyumluluk ve risk yönetimini geliştirmesine yardımcı olmak için önemli bulguları, gözlemleri ve etkili uygulamaları içeren yıllık bir rapor yayınlar. FINRA, 2019 Sınav Bulguları ve Gözlemleri Raporu'nda dijital iletişimi firmaların denetim ve kayıt tutma gereksinimlerine uygun zorluklarla karşılaştıkları önemli bir alan olarak tanımladı.
Bir kuruluş çalışanlarının uygulama tabanlı mesajlaşma hizmeti veya işbirliği platformu gibi belirli bir uygulamayı kullanmasına izin verirse, firmanın iş kayıtlarını arşivlemesi ve söz konusu uygulamadaki çalışanların etkinliklerini ve iletişimlerini denetlemesi gerekir. Kuruluşlar, FINRA kurallarına ve menkul kıymet yasalarına uymak ve çalışanların bu uygulamaların kullanımıyla ilgili bu kuralların olası ihlallerini takip etmek için durum tespiti yürütmekle sorumludur.
FINRA tarafından önerilen etkili uygulamalar şunlardır:
- Dijital iletişim kanalları için kapsamlı bir idare programı oluşturun. Kuruluşun hangi dijital iletişim kanallarına izin verildiğine ilişkin kararlarını yönetin ve her dijital kanal için uyumluluk süreçlerini tanımlayın. Dijital iletişim kanallarının hızla değişen ortamını yakından izleyin ve uyumluluk süreçlerini güncel tutun.
- İzin verilen dijital kanalları net bir şekilde tanımlayın ve kontrol edin. Hem onaylanan hem de yasaklanan dijital kanalları tanımlayın. Kuruluşun kayıt yönetimi ve denetim gereksinimlerine uyma becerisini sınırlayan, dijital kanallarda yasaklanmış dijital kanalların veya yasaklanmış özelliklerin kullanımını engelleyin veya kısıtlayın.
- Dijital iletişimler için eğitim sağlayın. Kayıtlı temsilcilere onaylı dijital kanallara erişim vermeden önce zorunlu eğitim programları uygulayın. Eğitim, bir kuruluşun iş ve kişisel dijital iletişim beklentilerinin netleştirilmesine yardımcı olur ve her kanalın izin verilen özelliklerini uyumlu bir şekilde kullanmada personele yol gösterir.
FINRA'nın Dijital İletişim bulguları ve gözlemleri doğrudan bir kuruluşun işle ilgili tüm iletişimleri korumak için SEC Kural 17a-4'e , iletişimlerin denetlenip gözden geçirilmesi için FINRA kuralları 3110 ve 3120'ye ve kayıt tutma için Kural Serisi 4510'a uyma becerisiyle ilgilidir. Emtia Vadeli İşlemLer Ticaret Komisyonu (CFTC), 17 CFR 131'in altında benzer gereksinimleri ilan eder. Bu düzenlemeler bu makalenin ilerleyen bölümlerinde ayrıntılı olarak ele alınmaktadır.
Teams, Microsoft 365 güvenlik ve uyumluluk tekliflerinden oluşan kapsamlı paketin yanı sıra, finansal hizmet kurumlarının etkin bir şekilde iş yürütmesi ve düzenlemelere uyması için kurumsal bir dijital iletişim kanalı sağlar. Bu makalenin geri kalanında kayıt yönetimi, bilgi koruması, bilgi engelleri ve denetim denetimi için Microsoft 365'in yerleşik özelliklerinin Teams'e bu mevzuat yükümlülüklerini karşılamaya yardımcı olacak güçlü bir araç takımı sağladığı açıklanmaktadır.
Microsoft 365 ile modern işbirliğini koruma
Kullanıcı kimliklerinin güvenliğini sağlama ve erişimi denetleme
Müşteri bilgilerine, finansal belgelere ve uygulamalara erişimi koruma, kullanıcı kimliklerinin güvenliğini güçlü bir şekilde sağlamakla başlar. Bu, kuruluşun kimlikleri depolaması ve yönetmesi, güvenilir bir kimlik doğrulama aracı sağlaması ve bu uygulamalara erişimi dinamik olarak denetlemesi için güvenli bir platform gerektirir.
Çalışanlar çalışırken, uygulamadan uygulamaya veya birden çok konum ve cihaz arasında geçiş yapabilir. Yol boyunca her adımda verilere erişimin kimliği doğrulanmalıdır. Kimlik doğrulama işleminin kimliklerin tehlikeye atılmasını sağlamak için güçlü bir protokolü ve birden çok kimlik doğrulama faktörünün (tek seferlik SMS geçiş kodu, kimlik doğrulayıcı uygulaması ve sertifika gibi) desteklemesi gerekir. Risk tabanlı erişim ilkelerini zorunlu tutma, finansal verileri ve uygulamaları içeriden gelen tehditlere, yanlışlıkla veri sızıntılarına ve veri sızdırmaya karşı korumak için kritik öneme sahiptir.
Microsoft 365, kimliklerin merkezi olarak depolandığı ve güvenli bir şekilde yönetildiği Microsoft Entra ID güvenli bir kimlik platformu sağlar. Microsoft Entra ID, bir çok ilgili Microsoft 365 güvenlik hizmetiyle birlikte, çalışanlara güvenli bir şekilde çalışması için gereken erişimi sağlamanın yanı sıra kuruluşu tehditlere karşı korumanın temelini oluşturur.
Microsoft Entra çok faktörlü kimlik doğrulaması (MFA) platformda yerleşiktir ve hassas finansal verilere ve uygulamalara erişirken kullanıcı kimliğini onaylamaya yardımcı olmak için ek bir kimlik doğrulaması kanıtı sağlar. Azure MFA için parola ve bilinen mobil cihaz gibi en az iki kimlik doğrulaması biçimi gerekir. Aşağıdakiler dahil olmak üzere birkaç ikinci faktörlü kimlik doğrulama seçeneğini destekler:
- Microsoft Authenticator uygulaması
- SMS ile teslim edilen tek seferlik geçiş kodu
- Kullanıcının PIN girmesi gereken telefon araması
Parola bir şekilde ele geçirilirse, potansiyel bir bilgisayar korsanı kuruluş verilerine erişmek için kullanıcının telefonuna ihtiyaç duymaya devam eder. Buna ek olarak, Microsoft 365 modern kimlik doğrulamasını önemli bir protokol olarak kullanır. Bu protokol, aynı güçlü ve zengin kimlik doğrulama deneyimini web tarayıcılarından çalışanların Microsoft Outlook ve diğer Microsoft Office uygulamaları da dahil olmak üzere her gün kullandıkları işbirliği araçlarına getirir.
Parolasız
Parolalar, güvenlik zincirindeki en zayıf bağlantıdır. Ek doğrulama yapılmazsa tek bir hata noktası olabilir. Microsoft, finans kurumlarının gereksinimlerine uygun çok çeşitli kimlik doğrulama seçeneklerini destekler.
Parolasız yöntemler, MFA'nın kullanıcılar için daha kullanışlı hale getirmesini sağlar. Tüm MFA parolasız olmasa da, parolasız teknolojiler çok faktörlü kimlik doğrulamasını devreye alır. Microsoft, Google ve diğer sektör liderleri, Fast IDentity Online (FIDO) adlı bir grupta web ve mobil cihazlarda daha basit, daha güçlü bir kimlik doğrulama deneyimi sağlamak için standartlar geliştirmiştir. Yakın zamanda geliştirilen FIDO2 standardı, kullanıcıların kimlik avının ortadan kaldırılması için parola gerektirmeden kolayca ve güvenli bir şekilde kimlik doğrulamasına olanak tanır.
Parolasız Microsoft MFA yöntemleri şunlardır:
- Microsoft Authenticator: Esneklik, kolaylık ve maliyet için Microsoft Authenticator mobil uygulamasını kullanmanızı öneririz. Microsoft Authenticator, bağlı Microsoft Entra uygulamalar için biyometriyi, anında iletme bildirimlerini ve tek seferlik geçiş kodlarını destekler. Apple ve Android uygulama mağazalarından edinilebilir.
- Windows Hello: Bilgisayarda yerleşik bir deneyim için Windows Hello kullanmanızı öneririz. Otomatik olarak oturum açmak için biyometrik bilgileri (yüz veya parmak izi gibi) kullanır.
- FIDO2 Güvenlik anahtarları artık birkaç Microsoft iş ortağı tarafından kullanılabilir: USB, NFC özellikli rozet veya biyometrik anahtarda Yubico, Feitian Technologies ve HID Global.
Microsoft Entra Koşullu Erişim, erişim denetimi kararlarını otomatikleştirmek ve şirket varlıklarını korumak için kuruluş ilkelerini zorlamak için sağlam bir çözüm sağlar. Klasik bir örnek, finansal planlayıcının hassas müşteri verilerine sahip bir uygulamaya erişmek istemesidir. Uygulamaya özel olarak erişmek için çok faktörlü kimlik doğrulaması gerçekleştirmek için otomatik olarak gereklidir ve erişim şirket tarafından yönetilen bir cihazdan yapılmalıdır. Azure Koşullu Erişim, kullanıcının erişim isteğiyle ilgili kullanıcı, cihaz, konum ve ağ özellikleri ve kullanıcının erişmeye çalıştığı uygulama gibi sinyalleri bir araya getirir. Yapılandırılan ilkelere göre uygulamaya erişme girişimlerini dinamik olarak değerlendirir. Kullanıcı veya cihaz riski yükseltilmişse veya başka koşullar karşılanmazsa, Microsoft Entra ID MFA gerektirme, güvenli parola sıfırlama gerektirme veya erişimi kısıtlama veya engelleme gibi ilkeleri otomatik olarak zorunlu kılabilir. Bu, hassas kuruluş varlıklarının dinamik olarak değişen ortamlarda korunmasına yardımcı olur.
Microsoft Entra ID ve ilgili Microsoft 365 güvenlik hizmetleri, verilere ve uygulamalara erişimin güvence altına alınabilmesi ve mevzuat uyumluluğu yükümlülüklerinin karşılanabilmesi için finansal kurumlara modern bir bulut işbirliği platformunun dağıtılacağı temeli sağlar. Bu araçlar aşağıdaki temel özellikleri sağlar:
- Kullanıcı kimliklerini merkezi olarak depolayın ve güvenli bir şekilde yönetin.
- Erişim isteklerinde kullanıcıların kimliğini doğrulamak ve tüm uygulamalarda tutarlı ve sağlam bir kimlik doğrulaması deneyimi sağlamak için çok faktörlü kimlik doğrulaması da dahil olmak üzere güçlü bir kimlik doğrulama protokolü kullanın.
- Kimlik, kullanıcı/grup üyeliği, uygulama, cihaz, ağ, konum ve gerçek zamanlı risk puanı dahil olmak üzere ilke karar alma sürecine birden çok sinyal ekleyerek tüm erişim isteklerinde ilkeleri dinamik olarak doğrulayın.
- Kullanıcı davranışına ve dosya özelliklerine göre ayrıntılı ilkeleri doğrulayın ve gerektiğinde ek güvenlik önlemlerini dinamik olarak zorunlu kılın.
- Kuruluştaki "gölge BT"yi belirleyin ve InfoSec ekiplerinin bulut uygulamalarını tasdik etmelerine veya engellemelerine izin verin.
- Microsoft ve Microsoft dışı bulut uygulamalarına erişimi izleme ve denetleme.
- E-posta kimlik avı ve fidye yazılımı saldırılarına karşı proaktif olarak koruma.
Microsoft Entra ID Koruması
Koşullu Erişim kaynakları şüpheli isteklerden korurken, Kimlik Koruması şüpheli kullanıcı hesaplarının sürekli risk algılama ve düzeltmesini sağlayarak daha da ileri gider. Kimlik Koruması, ortamınızdaki şüpheli kullanıcı ve oturum açma davranışı hakkında 24 saat bilgi sahibi olmanıza neden olur. Otomatik yanıtı, güvenliği aşılmış kimliklerin kötüye kullanılmasına proaktif olarak engel olur.
Kimlik Koruması, kuruluşların üç temel görevi yerine getirmesine olanak tanıyan bir araçtır:
- Kimlik tabanlı risklerin algılanması ve düzeltilmesi için otomatikleştirme.
- Portaldaki verileri kullanarak riskleri araştırın.
- Daha fazla analiz için risk algılama verilerini üçüncü taraf yardımcı programlara aktarın.
Kimlik Koruması, Microsoft'un kullanıcılarınızı korumak için Microsoft Entra ID olan kuruluşlarda, Microsoft Hesapları ile tüketici alanında ve Xbox ile oyun oynamadaki konumundan edindiği bilgileri kullanır. Microsoft, müşterileri belirlemek ve tehditlere karşı korumak için günde 65 trilyon sinyal analiz eder. Tarafından oluşturulan ve Kimlik Koruması'na beslenen sinyaller, erişim kararları almak için Koşullu Erişim gibi araçlara daha fazla aktarılabilir. Ayrıca kuruluşunuzun zorlanan ilkelerine göre daha fazla araştırma yapmak için bir güvenlik bilgileri ve olay yönetimi (SIEM) aracına geri beslenebilirler.
Kimlik Koruması, kuruluşların Microsoft ekosistemi genelinde buluşsal yöntemler, kullanıcı ve varlık davranışı analizi (UEBA) ve makine öğrenmesi (ML) temelinde gelişmiş algılama ile desteklenen bulut zekasının avantajlarından yararlanarak kimlik güvenliğinin aşılmasına karşı otomatik olarak korunmasına yardımcı olur.
Hassas verileri tanımlama ve veri kaybını önleme
Microsoft 365, aşağıdakiler dahil olmak üzere güçlü özelliklerin bir birleşimiyle tüm kuruluşların kuruluş içindeki hassas verileri tanımlamasına olanak tanır:
- Hem kullanıcı tabanlı sınıflandırma hem de hassas verilerin otomatik sınıflandırması için Microsoft Purview Bilgi Koruması.
- Microsoft Purview Veri Kaybı Önleme (DLP), hassas veri türleri (diğer bir deyişle normal ifadeler) ve anahtar sözcükler ve ilke zorlaması kullanılarak hassas verilerin otomatik olarak tanımlanmasına yöneliktir.
Microsoft Purview Bilgi Koruması kuruluşların duyarlılık etiketlerini kullanarak belgeleri ve e-postaları akıllı bir şekilde sınıflandırmasına olanak tanır. Duyarlılık etiketleri, kullanıcılar tarafından Microsoft Office uygulamalarındaki belgelere ve Outlook'taki e-postalara el ile uygulanabilir. Etiketler belge işaretlerini, şifreleme yoluyla korumayı ve hak yönetimi zorlamasını otomatik olarak uygulayabilir. Hassas verileri otomatik olarak bulmak ve sınıflandırmak için anahtar sözcükleri ve hassas veri türlerini (kredi kartı numaraları, sosyal sigorta numaraları ve kimlik numaraları gibi) kullanan ilkeler yapılandırılarak duyarlılık etiketleri de otomatik olarak uygulanabilir.
Ayrıca Microsoft, yalnızca desen eşleştirmesi veya içerik içindeki öğelerle değil, içeriğe dayalı hassas verileri tanımlamak için makine öğrenmesi modellerini kullanan "eğitilebilir sınıflandırıcılar" sağlar. Sınıflandırıcı, sınıflandırılacak içeriğin çok sayıda örneğine bakarak bir içerik türünü tanımlamayı öğrenir. Sınıflandırıcıyı eğiterek, belirli bir kategorideki içerik örneklerini vererek başlar. Bu örneklerden öğrendikten sonra model, eşleşen ve eşleşmeyen örneklerin bir karışımı verilerek test edilir. Sınıflandırıcı, belirli bir örneğin kategoriye girip girmediğini tahmin eder. Ardından bir kişi sonuçları doğrular, sınıflandırıcının tahminlerinin doğruluğunu artırmaya yardımcı olmak için pozitifleri, negatifleri, hatalı pozitifleri ve hatalı negatifleri sıralar. Eğitilen sınıflandırıcı yayımlandığında içeriği Microsoft Office SharePoint Online, Exchange Online ve OneDrive İş işler ve içeriği otomatik olarak sınıflandırır.
Belgelere ve e-postalara duyarlılık etiketleri uygulamak, nesne içinde seçilen duyarlılığı tanımlayan meta verileri ekler. Duyarlılık daha sonra verilerle birlikte hareket eder. Bu nedenle, etiketli bir belge kullanıcının masaüstünde veya şirket içi bir sistemde depolanmış olsa bile, yine de korunur. Bu işlevsellik, Microsoft Defender for Cloud Apps veya ağ uç cihazları gibi diğer Microsoft 365 çözümlerinin hassas verileri tanımlamasını ve güvenlik denetimlerini otomatik olarak zorunlu kılmasını sağlar. Duyarlılık etiketleri, çalışanları bir kuruluştaki hangi verilerin hassas olarak kabul edildiği ve verileri aldığında nasıl işleyecekleri konusunda eğitmek için ek avantaj sağlar.
Microsoft Purview Veri Kaybı Önleme (DLP), hassas veriler içeren belgeleri, e-postaları ve konuşmaları hassas veriler için tarayarak ve ardından bu nesnelere ilkeyi zorunlu kılarak otomatik olarak tanımlar. İlkeler SharePoint ve OneDrive İş belgelerde uygulanır. Kullanıcılar e-posta gönderdiğinde ve Teams sohbetlerinde ve kanal konuşmalarında da zorunlu tutulurlar. İlkeler anahtar sözcükleri, hassas veri türlerini, bekletme etiketlerini ve verilerin kuruluş içinde mi yoksa dışarıdan mı paylaşıldığını aramak için yapılandırılabilir. Kuruluşların hatalı pozitif sonuçları azaltmak için DLP ilkelerine ince ayar yapmalarına yardımcı olmak için denetimler sağlanır. Hassas veriler bulunduğunda, Microsoft 365 uygulamalarındaki kullanıcılara içeriklerinin hassas veriler içerdiğini bildirmek ve ardından düzeltici eylemler önermek için özelleştirilebilir ilke ipuçları görüntülenebilir. İlkeler ayrıca kullanıcıların belgelere erişmesini, belgeleri paylaşmasını veya belirli türde hassas veri içeren e-postalar göndermesini engelleyebilir. Microsoft 365, 100'den fazla yerleşik hassas veri türünü destekler. Kuruluşlar özel hassas veri türlerini ilkelerine uyacak şekilde yapılandırabilir.
kuruluşlara Microsoft Purview Bilgi Koruması ve DLP ilkelerinin dağıtlanması, çalışanların kuruluşun veri sınıflandırma şemasını ve hangi veri türlerinin hassas olarak kabul edildiğini anlaması için dikkatli bir planlama ve kullanıcı eğitim programı gerektirir. Çalışanlara hassas verileri tanımlamalarına ve bunların nasıl işlendiğini anlamalarına yardımcı olacak araçlar ve eğitim programları sağlamak, onları bilgi güvenliği risklerini azaltmaya yönelik çözümün bir parçası haline getirir.
Tarafından oluşturulan ve Kimlik Koruması'na beslenen sinyaller, erişim kararları almak için Koşullu Erişim gibi araçlara veya kuruluşun zorunlu ilkelerine göre araştırma için bir güvenlik bilgileri ve olay yönetimi (SIEM) aracına da beslenebilir.
Kimlik Koruması, kuruluşların buluşsal yöntemler, kullanıcı ve varlık davranışı analizi ve Microsoft ekosistemi genelinde makine öğrenmesi tabanlı gelişmiş algılamalar tarafından desteklenen bulut zekasının avantajlarından yararlanarak kimlik güvenliğinin aşılmasına karşı otomatik olarak korunmasına yardımcı olur.
Kaleyi savun
Microsoft kısa süre önce modern kuruluşun gelişen tehdit manzarasından güvenliğini sağlamak için tasarlanan Microsoft Defender XDR çözümünü kullanıma sundu. Tehdit Koruması çözümü, Akıllı Güvenlik Grafı'nı kullanarak birden çok saldırı vektörlerine karşı kapsamlı, tümleşik güvenlik sunar.
Akıllı Güvenlik Grafı
Microsoft 365'in güvenlik hizmetleri Akıllı Güvenlik Grafı tarafından desteklenir. Akıllı Güvenlik Grafı, siber tehditlerle mücadele etmek için Microsoft ve iş ortaklarından gelen tehdit bilgileri ve güvenlik sinyallerini bağlamak için gelişmiş analiz kullanır. Microsoft, yığın genelinde güç koruma katmanları oluşturan trilyonlarca güvenlik sinyali toplayarak büyük ölçekte küresel hizmetler yürütmektedir. Makine öğrenmesi modelleri bu zekayı değerlendirir ve sinyal ve tehdit içgörüleri ürünlerimiz ve hizmetlerimiz arasında yaygın olarak paylaşılır. Bu, tehditleri hızla algılamamıza ve yanıtlamamıza ve müşterilere düzeltme için eyleme dönüştürülebilir uyarılar ve bilgiler getirmemize olanak tanır. Makine öğrenmesi modellerimiz sürekli olarak eğitilir ve yeni içgörülerle güncelleştirilerek daha güvenli ürünler oluşturmamıza ve daha proaktif güvenlik sağlamamıza yardımcı olur.
Office 365 için Microsoft Defender, kuruluşları e-posta ve Office belgeleri aracılığıyla gönderilen kötü amaçlı bağlantılara ve kötü amaçlı yazılımlara karşı koruyan tümleşik bir Microsoft 365 hizmeti sağlar. Kullanıcıları etkileyen en yaygın saldırı vektörlerinden biri e-posta kimlik avı saldırılarıdır. Bu saldırılar belirli kullanıcıları hedef alabilir ve kullanıcıdan kötü amaçlı bir bağlantı seçmesini veya kötü amaçlı yazılım içeren bir eki açmasını isteyen bir eylem çağrısı ile çok ikna edici olabilir. Bilgisayara bulaştıktan sonra, saldırgan kullanıcının kimlik bilgilerini çalabilir ve kuruluş genelinde ya da hassas bilgileri aramak için e-postaları ve verileri dışarı çıkarabilir. Office 365 için Defender, kötü amaçlı olabilecek belgeler ve bağlantıları tıklayarak değerlendirerek güvenli ekleri ve güvenli bağlantıları destekler ve erişimi engeller. Email ekler, kullanıcının posta kutusuna teslim etmeden önce korumalı bir korumalı alanda açılır. Ayrıca, Office belgelerindeki bağlantıları kötü amaçlı URL'ler için değerlendirir. Office 365 için Defender ayrıca SharePoint Online, OneDrive İş ve Teams'deki bağlantıları ve dosyaları korur. Kötü amaçlı bir dosya algılanırsa, Office 365 için Defender olası hasarı azaltmak için bu dosyayı otomatik olarak kilitler.
Uç Nokta için Microsoft Defender önleyici koruma, ihlal sonrası algılama ve otomatik araştırma ve yanıt için birleşik bir uç nokta güvenlik platformudur. Uç Nokta için Defender, kurumsal uç noktalarda hassas verilerin bulunması ve korunması için yerleşik özellikler sağlar.
Microsoft Defender for Cloud Apps kuruluşların ilkeleri ayrıntılı düzeyde zorlamasına ve makine öğrenmesi kullanılarak otomatik olarak tanımlanan bireysel kullanıcı profillerine dayalı davranış anomalilerini algılamasına olanak tanır. Cloud Apps için Defender ilkeleri, erişilen belgelerin kullanıcı davranışı ve özellikleriyle ilgili ek sinyalleri değerlendirerek hassas şirket varlıklarını korumak için Azure Koşullu Erişim ilkeleri oluşturabilir. Zaman içinde Bulut Uygulamaları için Defender, her çalışan için erişecekleri veriler ve kullandıkları uygulamalarla ilgili tipik davranışları öğrenir. Öğrenilen davranış desenlerine bağlı olarak, bir çalışan bu davranış profilinin dışında hareket ederse ilkeler güvenlik denetimlerini otomatik olarak zorunlu kılabilir. Örneğin, bir çalışan genellikle pazartesiden cumaya kadar 09:00 ile 17:00 arasında bir muhasebe uygulamasına erişiyorsa ancak pazar akşamı bu uygulamaya yoğun bir şekilde erişmeye başlarsa, Bulut için Defender Uygulamaları kullanıcının yeniden kimlik doğrulamasını zorunlu kılmak için ilkeleri dinamik olarak zorunlu kılabilir. Bu, kullanıcının kimlik bilgilerinin gizliliğinin tehlikeye atılmasını sağlamaya yardımcı olur. Bulut Uygulamaları için Defender, kuruluşta "gölge BT" tanımlamaya da yardımcı olabilir ve bu da bilgi güvenliği ekiplerinin çalışanların hassas verilerle çalışırken tasdikli araçlar kullanmasını sağlamasına yardımcı olur. Son olarak, Cloud Apps için Defender, Hassas verileri Microsoft 365 platformunun dışında bile Bulut'un herhangi bir yerinde koruyabilir. Kuruluşların erişimi denetleyerek ve kullanımı izleyerek belirli dış Bulut uygulamalarını tasdik etmesine (veya tasdikini kaldırmasına) olanak tanır.
Kimlik için Microsoft Defender gelişmiş tehditleri, güvenliği aşılmış kimlikleri ve kuruluşunuza yönelik kötü amaçlı insider eylemlerini tanımlamak, algılamak ve araştırmak için şirket içi Active Directory sinyallerinizi kullanan bulut tabanlı bir güvenlik çözümüdür. AATP, SecOp analistlerinin ve güvenlik uzmanlarının hibrit ortamlardaki gelişmiş saldırıları algılamasını sağlar:
- Öğrenme tabanlı analiz kullanarak kullanıcıları, varlık davranışını ve etkinlikleri izleyin.
- Active Directory'de depolanan kullanıcı kimliklerini ve kimlik bilgilerini koruma.
- Sonlandırma zinciri boyunca şüpheli kullanıcı etkinliklerini ve gelişmiş saldırıları belirleyin ve araştırın.
- Hızlı önceliklendirme için basit bir zaman çizelgesinde net olay bilgileri sağlayın.
Verileri yönetme ve kayıtları yönetme
Finansal kurumlar, kurumsal saklama zamanlamalarında temsil edilen mevzuat, yasal ve iş yükümlülüklerine göre kayıt ve bilgilerini saklamalıdır. Örneğin SEC, kayıt türüne göre ilk iki yıl için hemen erişilebilir olacak şekilde üç ile altı yıllık saklama sürelerini zorunlu tutun . Kuruluşlar, veriler yetersiz tutulursa (çok erken atılırsa) yasal ve mevzuat uyumluluğu riskleriyle karşı karşıya kalır ve artık bilgi gerekmediğinde bertaraf edilmesini zorunlu hale getiren düzenlemeleri de yönetir. Etkili kayıt yönetimi stratejileri, bilgilerin uygun şekilde atılması ve kuruluş için maliyet ve risk en aza indirilmesi için pratik ve tutarlı bir yaklaşımı vurgular.
Buna ek olarak, New York Dışişleri Mali Hizmetler Bakanlığı'ndan gelen yasal düzenlemeler, kapsanan varlıkların, nonpublic olmayan bilgilerin elden çıkarılmasına yönelik politika ve yordamları sürdürmesini gerektirir. 23 NYCRR 500, Bölüm 500.13, Veri Saklamaya İlişkin Sınırlamalar, "Siber güvenlik programının bir parçası olarak, kapsanan her Varlık, iş operasyonları için veya Kapsanan Varlığın diğer meşru iş amaçları için artık gerekli olmayan bu Bölümün 500.01(g)(2)-(3) bölümünde tanımlanan herhangi bir Abonelik Dışı Bilgi temelinde düzenli aralıklarla güvenli elden çıkarma ilkeleri ve yordamları içermelidir, aksi takdirde bu bilgilerin yasa veya düzenlemeyle saklanması gerekmesi dışında."
Finansal kurumlar büyük miktarlarda veriyi yönetir. Ayrıca sözleşmenin süresi dolan veya kuruluştan ayrılan bir çalışan gibi bazı saklama süreleri olaylar tarafından tetiklenir. Bu atmosferde kayıt saklama ilkelerini uygulamak zor olabilir. Kuruluş belgeleri arasında kayıt saklama dönemlerini doğru bir şekilde atama yaklaşımları farklılık gösterebilir. Bazıları saklama ilkelerini geniş bir şekilde uygular veya otomatik sınıflandırma ve makine öğrenmesi tekniklerini kullanır. Diğerleri, tek tek belgelere benzersiz olarak saklama dönemleri atayan daha ayrıntılı bir işlem gerektiren bir yaklaşımı tanımlar.
Microsoft 365, kayıt yönetimi gereksinimlerini akıllı bir şekilde uygulamak için bekletme etiketleri ve ilkeleri tanımlamak için esnek özellikler sağlar. Kayıt yöneticisi, geleneksel bekletme zamanlamasında "kayıt türünü" temsil eden bir bekletme etiketi tanımlar. Bekletme etiketi şu ayrıntıları tanımlayan ayarları içerir:
- Kaydın ne kadar süreyle tutuldu
- Saklama süresi dolduğunda ne olur (belgeyi silin, bir değerlendirme gözden geçirmesi başlatın veya hiçbir işlem gerçekleştirmeyin)
- Bekletme süresinin başlatılmasını tetikleyen (oluşturulma tarihi, son değiştirme tarihi, etiketli tarih veya olay) ve belgeyi veya e-postayı kayıt olarak işaretler (yani düzenlenemez veya silinemez)
Bekletme etiketleri daha sonra SharePoint veya OneDrive sitelerinde, Exchange posta kutularında ve Microsoft 365 gruplarında yayımlanır. Kullanıcılar bekletme etiketlerini belgelere ve e-postalara el ile uygulayabilir. Kayıt yöneticileri, etiketleri otomatik olarak uygulamak için zekayı kullanabilir. Akıllı özellikler doksan artı yerleşik hassas bilgi türlerini (ABA çıkış numarası, ABD banka hesap numarası veya ABD Sosyal Güvenlik Numarası gibi) temel alabilir. Ayrıca, kredi kartı numaraları veya diğer kişisel bilgiler gibi belgelerde veya e-postalarda bulunan anahtar sözcüklere veya hassas verilere ya da SharePoint meta verilerine göre özelleştirilebilir. El ile veya otomatik desen eşleştirme yoluyla kolayca tanımlanamayan veriler için eğitilebilir sınıflandırıcılar, belgeleri makine öğrenmesi tekniklerine göre akıllı bir şekilde sınıflandırmak için kullanılabilir.
Menkul Kıymetler ve Borsa Komisyonu (SEC), aracı satıcıların ve diğer düzenlemeye tabi finansal kuruluşların işle ilgili tüm iletişimleri tutmasını gerektirir. Bu gereksinimler e-postalar, belgeler, anlık iletiler, fakslar ve daha fazlası gibi birçok iletişim ve veri türü için geçerlidir. SEC kuralı 17a-4 , bu kuruluşların kayıtları elektronik veri depolama sisteminde depolamak için karşılaması gereken ölçütleri tanımlar. 2003 yılında SEC, bu gereksinimleri açıklığa kavuşturan bir yayın yayınladı. Aşağıdaki ölçütleri içeriyor:
- Elektronik depolama sistemi tarafından korunan veriler yeniden yazılamaz ve silinemez olmalıdır. Bu, WORM gereksinimi olarak adlandırılır (bir kez yazın, birçoğunu okuyun).
- Depolama sistemi, bir celp veya başka bir yasal emir olması durumunda verileri kuralın gerektirdiği saklama süresinin ötesinde depolayabilmelidir.
- Bir kuruluş, tümleşik donanım ve yazılım denetim kodlarını kullanarak gerekli saklama süresi boyunca kaydın üzerine yazılmasını, silinmesini veya başka bir şekilde değiştirilmesini engelleyen bir elektronik depolama sistemi kullandıysa kuralın (f)(2)(ii)(A) paragrafında yer alan gereksinimi ihlal etmez.
- Bir kaydın üzerine yazılması veya silinmesi riskini yalnızca "azaltan" elektronik depolama sistemleri, örneğin erişim denetimine bağlı olarak kuralın gereksinimlerini karşılamaz.
Microsoft 365, finans kurumlarının SEC kuralı 17a-4'ün gereksinimlerini karşılamasına yardımcı olmak için verilerin nasıl saklandığı, ilkelerin yapılandırıldığı ve verilerin hizmet içinde depolandığıyla ilgili özelliklerin bir bileşimini sağlar. Şunlar dahildir:
Verilerin korunması (Kural 17a-4(a), (b)(4)) – Bekletme etiketleri ve ilkeleri kuruluş gereksinimlerini karşılayacak şekilde esnektir ve farklı veri, belge ve bilgi türlerine otomatik olarak veya el ile uygulanabilir. SharePoint ve OneDrive İş belgeleri, Exchange Online posta kutuları içindeki veriler ve Teams'deki veriler de dahil olmak üzere çok çeşitli veri türleri ve iletişimler desteklenir.
Yeniden yazılamaz, silinemez biçim (Kural 17a-4(f)(2)(ii)(A)) – Saklama ilkeleri için Koruma Kilidi özelliği, kayıt yöneticilerinin ve yöneticilerin artık değiştirilemeyecekleri şekilde bekletme ilkelerini kısıtlayıcı olacak şekilde yapılandırmalarına olanak tanır. Bu, herkesin bekletme ilkesini herhangi bir şekilde kaldırmasını, devre dışı bırakmasını veya değiştirmesini engeller. Başka bir deyişle, Koruma Kilidi etkinleştirildikten sonra devre dışı bırakılamaz ve bekletme ilkesinin uygulandığı herhangi bir verinin saklama süresi boyunca üzerine yazılabilmesi, değiştirilebileceği veya silinebileceği bir yöntem yoktur. Ayrıca saklama süresi kısaltılamaz. Ancak, verilerin saklamaya devam etmesi için yasal bir gereksinim olduğunda saklama süresi uzatılabilir.
Saklama ilkesine Koruma Kilidi uygulandığında, aşağıdaki eylemler kısıtlanır:- İlkenin saklama süresi yalnızca artırılabilir. Kısaltılamaz.
- Kullanıcılar ilkeye eklenebilir, ancak ilkede yapılandırılan mevcut kullanıcılar kaldırılamaz.
- Bekletme ilkesi, kuruluştaki herhangi bir yönetici tarafından silinemez.
Koruma Kilidi, en yüksek ayrıcalıklı erişim düzeyine sahip yöneticiler bile olmayan hiçbir kullanıcının ayarları değiştirebilmesini, değiştirebilmesini, üzerine yazabilmesini veya silebilmesine yardımcı olur ve Microsoft 365'te arşivleme işlemini SEC 2003 Sürümünde sağlanan yönergelere uygun hale getirir.
Verilerin depolanması/seri hale getirilmesi ve dizinlenmesi (Kural 17a-4(f)(2) (ii)(B) ve (C)) – Office 365 iş yüklerinin her biri depolama ortamında veri kaydetme işleminin kalitesini ve doğruluğunu otomatik olarak doğrulamaya yönelik özellikler içerir. Ayrıca veriler, verilerin etkili bir şekilde aranmasına ve alınmasına olanak sağlamak için yeterli dizin oluşturmayı sağlamak için meta veriler ve zaman damgaları kullanılarak depolanır.
Yinelenen kopyalar için ayrı depolama alanı (Kural 17a-4(f)(3(iii)) – Office 365 bulut hizmeti, verilerin yinelenen kopyalarını yüksek kullanılabilirliğinin temel bir yönü olarak depolar. Bu, tüm sunucularda fiziksel düzeyde, veri merkezi içindeki sunucu düzeyinde ve coğrafi olarak dağınık veri merkezleri için hizmet düzeyinde de dahil olmak üzere hizmetin tüm düzeylerinde yedeklilik uygulanarak gerçekleştirilir.
İndirilebilir ve erişilebilir veriler (Kural 17a-4(f)(2)(ii)(D)) – Office 365 genellikle saklama için etiketlenmiş verilerin yerinde aranıp erişilmesine ve indirilmesine izin verir. Ayrıca yerleşik eBulma özellikleri kullanılarak Exchange Online Arşivlerindeki verilerin aranabilir olmasını sağlar. Daha sonra veriler EDRML ve PST gibi standart biçimlerde gerektiğinde indirilebilir.
Denetim gereksinimleri (Kural 17a-4(f)(3)(v)) – Office 365 veri nesnelerini değiştiren, bekletme ilkelerini yapılandıran veya değiştiren, eBulma aramaları yapan veya erişim izinlerini değiştiren her yönetim ve kullanıcı eylemi için denetim günlüğü sağlar. Office 365, bir eylemi kimin gerçekleştirdiği, ne zaman gerçekleştirildiği, eylemle ilgili ayrıntılar ve gerçekleştirilen komutlar gibi kapsamlı bir denetim kaydı tutar. Denetim günlüğü daha sonra çıktı olarak kullanılabilir ve gerektiğinde resmi denetim işlemlerinin bir parçası olarak dahil edilebilir.
Son olarak Kural 17a-4, kuruluşların iki yıl boyunca hemen erişilebilir olmaları için birçok işlem türünün kayıtlarını tutmasını gerektirir. Kayıtlar, hemen erişim olmadan üç-altı yıl daha saklanmalıdır. Yinelenen kayıtlar da aynı süre boyunca site dışında bir konumda tutulmalıdır. Microsoft 365 kayıt yönetimi özellikleri, kayıtların değiştirilmeyecek veya silinmeyecek ancak kayıt yöneticisi tarafından denetlenen bir süre boyunca kolayca erişilebilecek şekilde korunmasını sağlar. Bu dönemler, kuruluşun mevzuat uyumluluğu yükümlülüklerine bağlı olarak gün, ay veya yıllara yayılabilir.
Talep üzerine Microsoft, bir kuruluş tarafından gerekirse SEC 17a-4 ile uyumluluk kanıtlama mektubu sağlayacaktır.
Ayrıca, bu özellikler Microsoft 365'in CFTC Kural 1.31(c)-(d) için ABD Emtia Vadeli İşlemleri Ticaret Komisyonu ve FINANS Sektörü DüzenlemeKurumu'ndan FINRA Kural Serisi 4510'a yönelik depolama gereksinimlerini karşılamalarına da yardımcı olur. Bu kurallar, finansal kurumların kayıtları tutması için genel olarak en açıklayıcı rehberi temsil eder.
Microsoft 365'in SEC kuralı 17a-4'e ve diğer düzenlemelere nasıl uyduğ hakkında ek ayrıntılar Office 365 - Cohasset Değerlendirmesi - SEC Kuralı 17a-4(f) - SharePoint, OneDrive, Exchange, Teams ve Viva Engage (2022) için Sabit Depolama belgesiyle sağlanır.
Bilgi engelleri olan etik duvarlar oluşturma
Finansal kurumlar, belirli rollerdeki çalışanların bilgi alışverişinde veya diğer rollerle işbirliği yapmasını engelleyen düzenlemelere tabi olabilir. Örneğin, FINRA'nın 2241(b)(2)(G), 2242(b)(2) (D), (b)(2)(H)(ii) ve (b)(2)(H)(iii) kurallarını yayımlayarak üyelerin şunları zorunlu kıldığını varsayalım:
"(G) araştırma analistlerinin, yatırım bankacılığı hizmetleri faaliyetlerinde bulunan kişiler veya satış ve ticaret personeli dahil olmak üzere, kendi kararlarına veya denetimlerine yanlı olabilecek diğer kişiler tarafından gözden geçirme, baskı veya gözetimden yalıtılmasını sağlamak için makul şekilde tasarlanmış bilgi engelleri veya diğer kurumsal korumalar oluşturun;" ve "(H) borç araştırma analistlerinin yalıtılmasını sağlamak için makul bir şekilde tasarlanmış bilgi engelleri veya diğer kurumsal korumalar oluşturun (i) yatırım bankacılığı hizmetlerinde faaliyette bulunan kişilerin gözden geçirmesi, baskısı veya gözetimi; (ii) ana ticaret veya satış ve ticaret faaliyetleri; ve (iii) kararlarında veya denetimlerinde yanlı olabilecek diğer kişiler;"
Sonuç olarak, bu kurallar kuruluşların politikalar oluşturmasını ve bankacılık hizmetleri, satış veya analistlerle bilgi ve iletişim alışverişinde bulunan roller arasında bilgi engelleri uygulamalarını gerektirir.
Bilgi engelleri, Office 365 ortamınızda etik duvarlar oluşturarak uyumluluk yöneticilerinin veya diğer yetkili yöneticilerin Teams'deki kullanıcı grupları arasında iletişime izin veren veya bunları engelleyen ilkeler tanımlamasına olanak tanır. Bilgi engelleri, yetkisiz iletişimi önlemek için belirli eylemler üzerinde denetimler gerçekleştirir. Bilgi engelleri ayrıca şirket içi ekiplerin birleştirmeler/devralmalar veya hassas anlaşmalar üzerinde çalıştığı ya da yoğun şekilde kısıtlanması gereken hassas iç bilgilerle çalıştığı senaryolarda iletişimi kısıtlayabilir.
Bilgi engelleri Teams'de konuşmaları ve dosyaları destekler. FINRA düzenlemelerine uymaya yardımcı olmak için aşağıdaki iletişimle ilgili eylem türlerini önleyebilirler:
- Kullanıcı arama
- Ekiliğe üye ekleme veya ekipteki başka bir üyeyle katılmaya devam etme
- Sohbet oturumu başlatma veya devam edin
- Grup sohbeti başlatma veya devam edin
- Bir kişiyi toplantıya katılmaya davet etme
- Ekran paylaşma
- Arama gerçekleştirin
Denetim denetimi uygulama
Finansal kurumlar genellikle kuruluşların içinde çalışanların etkinliklerini izlemek ve ilgili menkul kıymet yasalarına uyum sağlamasına yardımcı olmak için bir denetim işlevi kurmak ve sürdürmek için gereklidir. Özellikle, FINRA şu denetim gereksinimlerini belirlemiştir:
FINRA Kural 3110 (Denetim), firmaların çalışanlarının ve faaliyette bulunduğu işletme türlerinin faaliyetlerini denetlemek için yazılı denetim prosedürlerine (WSP) sahip olmasını gerektirir. Diğer gereksinimlere ek olarak, yordamlar şunları içermelidir:
- Denetim personelinin denetimi
- Bir firmanın yatırım bankacılığı, menkul kıymetler işletmesi, iç iletişim ve iç soruşturmalarının gözden geçirilmesi
- Insider ticareti için işlemlerin gözden geçirilmesi
- Yazışmaların ve şikayetlerin gözden geçirilmesi
Yordamlar incelemelerden, her bir kişinin gerçekleştireceği denetim etkinliğinden, gözden geçirme sıklığından ve gözden geçirilecek belge veya iletişim türlerinden sorumlu olan bireyleri açıklamalıdır.
FINRA Kural 3120 (Gözetmen Denetim Sistemi), firmaların, Kural 3110 tarafından tanımlanan yazılı denetim prosedürlerini doğrulayan bir denetim denetim ilkeleri ve prosedürleri sistemine (SCP) sahip olmasını gerektirir. Firmaların yalnızca WSP'lere sahip olmaları değil, aynı zamanda geçerli menkul kıymet yasalarına ve düzenlemelerine uyum sağlama becerilerini doğrulamak için bu prosedürleri yıllık olarak test eden politikalara sahip olmaları gerekir. Test kapsamını tanımlamak için risk tabanlı yöntemler ve örnekleme kullanılabilir. Bu kural, diğer gereksinimlerin yanı sıra, firmaların üst yönetime test sonuçlarının özetini ve test sonuçlarına yanıt olarak önemli istisnaları veya değiştirilmiş yordamları içeren yıllık bir rapor sağlamasını gerektirir.
İletişim uyumluluğu
Microsoft Purview İletişim Uyumluluğu, kuruluşunuzdaki uygunsuz iletileri algılamanıza, araştırmanıza ve üzerinde işlem yapmanıza yardımcı olarak iletişim risklerini en aza indirmenize yardımcı olan bir uyumluluk çözümüdür. Önceden tanımlanmış ve özel ilkeler, belirlenen gözden geçirenler tarafından incelenebilmeleri için ilke eşleşmeleri için iç ve dış iletişimleri taramanıza olanak sağlar. Gözden geçirenler kuruluşunuzdaki taranmış e-posta, Microsoft Teams, Viva Engage veya üçüncü taraf iletişimlerini araştırabilir ve kuruluşunuzun ileti standartlarıyla uyumlu olduklarından emin olmak için uygun eylemleri gerçekleştirebilir.
İletişim uyumluluğu, ilke gözden geçirme etkinliklerinin ilkeye ve gözden geçirene göre denetlenebilmesini sağlayan raporlar sağlar. İlkelerin bir kuruluşun yazılı ilkeleri tarafından tanımlandığı şekilde çalıştığını doğrulamak için raporlar kullanılabilir. Bunlar ayrıca gözden geçirme gerektiren ve şirket ilkesiyle uyumlu olmayan iletişimleri tanımlamak için de kullanılabilir. Son olarak, ilkeleri yapılandırma ve iletişimleri gözden geçirmeyle ilgili tüm etkinlikler birleşik Office 365 denetim günlüğünde denetlenir. Sonuç olarak, iletişim uyumluluğu finans kurumlarının FINRA Kural 3120'ye uymasına da yardımcı olur.
İletişim uyumluluğu, FINRA kurallarına uymanın yanı sıra kuruluşların diğer yasal gereksinimlerden, şirket politikalarından ve etik standartlarından etkilenebilecek iletişimleri algılamasına ve bunlara göre hareket etmesine olanak tanır. İletişim uyumluluğu, iletişimleri gözden geçirirken hatalı pozitif sonuçları azaltmaya yardımcı olan yerleşik tehdit, taciz ve küfür sınıflandırıcıları sağlar ve inceleme ve düzeltme işlemi sırasında gözden geçirenlere zaman kazandırır. Ayrıca kuruluşların, şirket birleşmeleri ve devralmalar veya liderlik değişiklikleri gibi hassas kurumsal değişikliklere uğradıklarında iletişimleri algılayarak riski azaltmalarına da olanak tanır.
Veri sızdırma ve şirket içi risklere karşı koruma
Kuruluşlar için yaygın bir tehdit, veri sızdırma veya bir kuruluştan veri ayıklama eylemidir. Bu risk, her gün erişilebilen bilgilerin hassas doğası nedeniyle finansal kurumlar için önemli bir endişe kaynağı olabilir. Kullanılabilir iletişim kanalı sayısının artması ve verilerin taşınmasına yönelik araçların yaygınlaşmasıyla birlikte, veri sızıntıları, ilke ihlalleri ve iç risk risklerinin risklerini azaltmak için genellikle gelişmiş özellikler gerekir.
İçeriden risk yönetimi
Çalışanların doğası gereği her yerden erişilebilen çevrimiçi işbirliği araçlarıyla etkinleştirilmesi kuruluşa risk getirir. Çalışanlar yanlışlıkla veya kötü amaçlı olarak saldırganlara veya rakiplere veri sızdırabilir. Alternatif olarak, kişisel kullanım için verileri dışarı aktarabilir veya verileri gelecekteki bir işverene götürebilirler. Bu senaryolar, finansal hizmet kurumları için hem güvenlik hem de uyumluluk açısından ciddi riskler sunar. Bu riskleri ortaya çıktığında belirlemek ve bunları hızla azaltmak için hem veri toplamaya yönelik akıllı araçlar hem de yasal, insan kaynakları ve bilgi güvenliği gibi departmanlar arasında işbirliği gerekir.
Microsoft Purview İçeriden Risk Yönetimi, kuruluşunuzdaki kötü amaçlı ve yanlışlıkla etkinlikleri algılamanıza, araştırmanıza ve eyleme geçirmenize olanak tanıyarak iç riskleri en aza indirmenize yardımcı olan bir uyumluluk çözümüdür. Insider risk ilkeleri, kuruluşunuzda tanımlanması ve algılanması gereken risk türlerini tanımlamanıza olanak sağlar. Örneğin, olaylar üzerinde işlem yapmak ve gerekirse servis taleplerini Microsoft eKeşif'e (Premium) yükseltmek de buna dahildir. Kuruluşunuzdaki risk analistleri, kullanıcıların kuruluşunuzun uyumluluk standartlarıyla uyumlu olduğundan emin olmak için hızlı bir şekilde uygun eylemler gerçekleştirebilir.
Örneğin, insider risk yönetimi kullanıcının cihazlarından gelen, dosyaları USB sürücüsüne kopyalama veya kişisel e-posta hesabına e-posta gönderme gibi sinyalleri, veri sızdırma desenlerini tanımlamak için çevrimiçi hizmetler Office 365 e-posta, SharePoint Online, Microsoft Teams veya OneDrive İş gibi etkinliklerle ilişkilendirebilir. Ayrıca bu etkinlikleri, ortak bir veri sızdırma düzeni olan bir kuruluşta çalışanlarla ilişkilendirebilir. Zaman içinde riskli olabilecek birden çok etkinliği ve davranışı algılayabilir. Yaygın desenler ortaya çıktığında uyarılar oluşturabilir ve araştırmacıların ilke ihlalini yüksek düzeyde güvenle doğrulamak için önemli etkinliklere odaklanmasına yardımcı olabilir. Insider risk yönetimi, veri gizliliği düzenlemelerini karşılamaya yardımcı olmak için araştırmacılardan gelen verileri anonim hale getirirken, araştırmalarını verimli bir şekilde gerçekleştirmelerine yardımcı olan önemli etkinlikleri yine de üstlenebilir. Araştırmacıların önemli etkinlik verilerini İk ve hukuk departmanlarına paketlemesine ve güvenli bir şekilde göndermesine olanak tanır ve düzeltme eylemine yönelik vakaların oluşturulmasına yönelik yaygın yükseltme iş akışlarını takip eder.
Insider risk yönetimi, kuruluşların iç riskleri algılama ve araştırma özelliklerini önemli ölçüde artırırken, kuruluşların veri gizliliği düzenlemelerini karşılamasına ve vakalar daha üst düzey eylem gerektirdiğinde yerleşik yükseltme yollarını izlemesine izin verir.
Kiracı kısıtlamaları
Hassas verilerle ilgilenen ve güvenliğe sıkı bir önem veren kuruluşlar genellikle kullanıcıların erişebileceği çevrimiçi kaynakları denetlemek ister. Aynı zamanda, Office 365 gibi çevrimiçi hizmetler aracılığıyla güvenli işbirliği sağlamak istiyorlar. Sonuç olarak, şirket dışındaki Office 365 ortamları şirket cihazlarından kötü amaçlı veya yanlışlıkla veri sızdırmak için kullanılabildiğinden, kullanıcıların erişebileceği Office 365 ortamlarını denetlemek zor bir durum haline gelir. Geleneksel olarak kuruluşlar, kullanıcıların kurumsal cihazlardan erişebileceği etki alanlarını veya IP adreslerini kısıtlar. Ancak bu, kullanıcıların Office 365 hizmetlerine yasal olarak erişmesi gereken bulut öncelikli bir dünyada çalışmaz.
Microsoft 365, kiracı kısıtlamalarına bu sınamayı giderme olanağı sağlar. Kiracı kısıtlamaları, dolandırıcı kimlikler (şirket dizininizin parçası olmayan kimlikler) kullanarak çalışanların dış Office 365 kurumsal kiracılara erişimini kısıtlamak için yapılandırılabilir. Bugün kiracı kısıtlamaları kiracı genelinde geçerli olur ve bu sayede yalnızca yapılandırdığınız listede görünen kiracılara erişim sağlanır. Microsoft, denetimin ayrıntı düzeyini artırmak ve sağladığı korumaları geliştirmek için bu çözümü geliştirmeye devam etmektedir.
Sonuç
Microsoft 365 ve Teams, finansal hizmetler şirketleri için tümleşik ve kapsamlı bir çözüm sunarak kuruluş genelinde basit ama güçlü bulut tabanlı işbirliği ve iletişim özellikleri sağlar. Kurumlar, Microsoft 365'in güvenlik ve uyumluluk teknolojilerini kullanarak verileri, kimlikleri, cihazları ve uygulamaları siber güvenlik ve iç riskler gibi çeşitli operasyonel risklerden korumak için sağlam güvenlik denetimleriyle daha güvenli ve uyumlu bir şekilde çalışabilir. Microsoft 365, finansal hizmet kuruluşlarının şirketlerini, çalışanlarını ve müşterilerini korurken daha fazlasını başarabilecekleri temelden güvenli bir platform sağlar.