Klíčové aspekty dodržování předpisů a zabezpečení pro bankovnictví a kapitálové trhy v USA

  • Článek

Úvod

Instituce finančních služeb v poptávce po přísných kontrolách zabezpečení, dodržování předpisů a zásad správného řízení předčí téměř všechny komerční firmy. Ochrana dat, identit, zařízení a aplikací není důležitá jenom pro jejich podnikání, ale podléhá požadavkům na dodržování předpisů a pokynům od regulačních orgánů, jako je například Komise pro cenné papíry a burzy (U.S. Securities and Exchange Commission), FinRA (Financial Industry Regulatory Authority), Federal Financial Institutions Examination Council (FFIEC) a Komise pro obchodování s komoditními futures (CFTC). Kromě toho se na finanční instituce vztahují zákony, jako je Dodd-Frank a zákon o Sarbanes-Oxley z roku 2002.

V dnešní atmosféře zvýšené bezpečnostní bdělosti, obav insiderských rizik a narušení veřejných dat zákazníci také vyžadují vysokou úroveň zabezpečení od svých finančních institucí, aby jim mohli důvěřovat svým osobním datům a bankovním aktivům.

V minulosti potřeba komplexních kontrol přímo ovlivnila a omezovala IT systémy a platformy, které finanční instituce používají k tomu, aby umožňovaly spolupráci interně i externě. Zaměstnanci finančních služeb dnes potřebují moderní platformu pro spolupráci, která je snadno použitelná a snadno použitelná. Finanční služby ale nemůžou vyměnit flexibilitu spolupráce mezi uživateli, týmy a odděleními s kontrolními mechanismy zabezpečení a dodržování předpisů, které vynucují zásady ochrany uživatelů a IT systémů před hrozbami.

V sektoru finančních služeb je potřeba pečlivě zvážit konfiguraci a nasazení nástrojů pro spolupráci a kontrolních mechanismů zabezpečení, včetně:

  • Posouzení rizik běžných scénářů spolupráce organizace a obchodních procesů
  • Požadavky na ochranu informací a zásady správného řízení dat
  • Kybernetické zabezpečení a vnitřní hrozby
  • Požadavky na dodržování právních předpisů
  • Další provozní rizika

Microsoft 365 je moderní cloudové prostředí na pracovišti, které dokáže řešit současné výzvy, kterým čelí organizace v oblasti finančních služeb. Zabezpečená a flexibilní spolupráce v rámci celého podniku se kombinuje s kontrolními mechanismy a vynucováním zásad, aby se dodržovaly přísné rámce dodržování právních předpisů. Tento článek popisuje, jak platforma Microsoft 365 pomáhá finančním službám přejít na moderní platformu pro spolupráci a zároveň pomáhá udržovat data a systémy zabezpečené a v souladu s předpisy:

  • Zajištění produktivity organizace a zaměstnanců pomocí Microsoft 365 a Microsoft Teams
  • Ochrana moderní spolupráce pomocí Microsoftu 365
  • Identifikace citlivých dat a prevence ztráty dat
  • Obrana pevnosti
  • Řízení dat a dodržování předpisů efektivní správou záznamů
  • Vytvoření etických zdí s informačními bariérami
  • Ochrana před exfiltrací dat a insiderským rizikem

Jako partner Microsoftu přispěla protiviti k tomuto článku a poskytla k tomuto článku materiálnou zpětnou vazbu.

Následující ilustrace ke stažení doplňují tento článek. Společnost Woodgrove Bank a Contoso se používají k předvedení možností popsaných v tomto článku při řešení běžných zákonných požadavků na finanční služby. Nebojte se přizpůsobit tyto ilustrace pro vlastní použití.

Ilustrace ochrany informací a dodržování předpisů v Microsoftu 365

Položka Popis
Plakát modelu: Funkce ochrany informací a dodržování předpisů v Microsoftu 365
Angličtina: Stáhnout jako PDF | Stáhnout jako Visio
Japonština: Stáhnout jako PDF | Stáhnout jako Visio
Aktualizováno v listopadu 2020		 Zahrnuje:
  • Microsoft Purview Information Protection a Ochrana před únikem informací Microsoft Purview
  • Zásady uchovávání informací a popisky uchovávání informací
  • Informační bariéry
  • Dodržování předpisů při komunikaci
  • Insider risk
  • Příjem dat třetích stran

Zvýšení produktivity organizace a zaměstnanců pomocí Microsoftu 365 a Teams

Spolupráce obvykle vyžaduje různé formy komunikace, schopnost ukládat dokumenty a data a přistupovat k nim a podle potřeby integrovat další aplikace. Zaměstnanci finančních služeb obvykle potřebují spolupracovat a komunikovat s členy jiných oddělení nebo týmů a někdy i s externími entitami. Proto je použití systémů, které vytvářejí sila nebo ztěžují sdílení informací, nežádoucí. Místo toho je vhodnější používat platformy a aplikace, které zaměstnancům umožňují komunikovat, spolupracovat a sdílet informace bezpečně a v souladu s firemními zásadami.

Když zaměstnancům poskytnete moderní cloudovou platformu pro spolupráci, budou moct vybírat a integrovat nástroje, které jim umožní vyšší produktivitu a umožní jim najít agilní způsoby práce. Použití Teams ve spojení s kontrolními mechanismy zabezpečení a zásadami správného řízení informací, které chrání organizaci, může vašim pracovníkům pomoct efektivně komunikovat a spolupracovat.

Teams poskytuje centrum pro spolupráci pro organizaci. Pomáhá spojovat lidi, aby mohli produktivně pracovat na společných iniciativách a projektech. Teams umožňuje členům týmu vést konverzace 1:1 a chatové konverzace s více stranami, spolupracovat a spoluvytvářet dokumenty a ukládat a sdílet soubory. Teams také usnadňuje online schůzky prostřednictvím integrovaného podnikového hlasu a videa. Teams je také možné přizpůsobit pomocí aplikací Microsoftu, jako jsou Microsoft Planner, Microsoft Dynamics 365, Power Apps, Power BI a obchodní aplikace třetích stran. Aplikace Teams je navržená pro použití interními členy týmu i povolenými externími uživateli, kteří se můžou připojovat k týmových kanálům, účastnit se chatových konverzací, přistupovat k uloženým souborům a používat jiné aplikace.

Každý tým Microsoftu má podporu skupiny Microsoft 365. Tato skupina se považuje za členskou službu pro řadu Office 365 služeb, včetně Teams. Skupiny Microsoft 365 slouží k bezpečnému rozlišení mezi "vlastníky" a "členy" a k řízení přístupu k různým funkcím v rámci Teams. V kombinaci s vhodnými ovládacími prvky zásad správného řízení a pravidelně spravovanými kontrolami přístupu aplikace Teams umožňuje využívat autorizované kanály a funkce pouze členům a vlastníkům.

Běžným scénářem, kdy Teams zvýhodní finanční služby, je při spouštění interních projektů nebo programů. Například mnoho finančních institucí, včetně bank, firem pro správu majetku, úvěrových záložek a poskytovatelů pojištění, musí mít zavedeny programy proti praní peněz a další programy dodržování předpisů. K tomu, aby mezi sebou sdílel data a komunikovat o programu nebo konkrétních vyšetřováních, může být potřeba tým pro různé funkce, který se skládá z IT, obchodních odvětví, jako je maloobchod a správa majetku, a jednotka finanční kriminality. Tyto programy tradičně používaly sdílené síťové jednotky, ale tento přístup může představovat řadu výzev, mezi které patří:

  • Dokument může současně upravovat jenom jedna osoba.
  • Správa zabezpečení je časově náročná, protože přidávání nebo odebírání jednotlivců obvykle zahrnuje ODDĚLENÍ IT.
  • Data zůstávají na sdílených síťových jednotkách mnohem déle, než je potřeba nebo chcete.

Týmy můžou poskytnout prostor pro spolupráci pro bezpečné ukládání citlivých klientských dat a vedení konverzací mezi členy týmu, kde se mohou diskutovat o citlivých tématech. Několik členů týmu může upravovat jeden dokument nebo spolupracovat na jednom dokumentu současně. Vlastníka nebo koordinátora programu můžete nakonfigurovat jako vlastníka týmu a pak můžete přidávat a odebírat členy podle potřeby.

Dalším běžným scénářem je použití Teams jako "virtuální datové místnosti" pro zabezpečenou spolupráci, včetně ukládání a správy dokumentů. Členové týmu a syndikáty v investičním bankovnictví, správě aktiv nebo soukromých kapitálových společnostech mohou na dohodě nebo investici bezpečně spolupracovat. Do plánování a plnění takových dohod se často zapojují různé funkční týmy a schopnost bezpečně sdílet data a vést konverzace je základním požadavkem. Klíčovým požadavkem je také bezpečné sdílení souvisejících dokumentů s externími investory. Teams poskytuje bezpečné a plně auditovatelné umístění, ze kterého můžete centrálně ukládat, chránit a sdílet investiční data.

Skupina kancelářských pracovníků na schůzce diskutuje o obrázcích na velké suťi.

Týmy: Zlepšení spolupráce a snížení rizika dodržování předpisů

Microsoft 365 poskytuje další společné možnosti zásad pro Teams tím, že používá skupiny Microsoft 365 jako základní členskou službu. Tyto zásady vám můžou pomoct zlepšit spolupráci a splnit požadavky na dodržování předpisů.

Zásady pojmenování skupin Microsoft 365 pomáhají zajistit, aby se skupiny Microsoft 365, a tedy i týmy, jmenovaly podle firemních zásad. Názvy můžou být problematické, pokud nejsou vhodné. Zaměstnanci například nemusí vědět, se kterými týmy mají pracovat nebo s nimi sdílet informace, pokud nejsou správně použita jména. Zásady pojmenování skupin (včetně podpory zásad založených na předponách a příponách a vlastních blokovaných slov) můžou vynutit správnou hygienu a zabránit použití určitých slov, jako jsou vyhrazená slova nebo nevhodná terminologie.

Zásady vypršení platnosti skupiny Microsoft 365 pomáhají zajistit, aby se skupiny Microsoft 365 a tedy i týmy neuchovávají po delší dobu, než organizace chce nebo potřebuje. Tato funkce pomáhá zabránit dvěma klíčovým problémům se správou informací:

  • Nárůst počtu týmů, které nejsou nutné nebo používané.
  • Nadměrné uchovávání dat, která už organizace nevyžaduje nebo nepoužívá (s výjimkou případů blokování nebo uchovávání z právních důvodů).

Správci můžou určit dobu vypršení platnosti pro skupiny Microsoft 365, například 90, 180 nebo 365 dnů. Pokud je služba podporovaná skupinou Microsoftu 365 po dobu vypršení platnosti neaktivní, budou upozorněni vlastníci skupin. Pokud se neuskuteční žádná akce, skupina Microsoft 365 a všechny související služby, včetně Teams, se odstraní.

Nadměrné uchovávání dat uložených v Teams a dalších skupinových službách může představovat riziko pro organizace poskytující finanční služby. Zásady vypršení platnosti skupiny Microsoft 365 představují doporučený způsob, jak zabránit uchovávání dat, která už nejsou potřeba. V kombinaci s integrovanými popisky uchovávání informací a zásadami pomáhá Microsoft 365 zajistit, že organizace uchovávají jenom data, která jsou potřebná ke splnění podnikových zásad a dodržování právních předpisů.

Teams: Snadná integrace vlastních požadavků

Teams ve výchozím nastavení umožňuje samoobslužné vytváření týmů. Mnoho regulovaných organizací ale chce řídit a pochopit, které kanály pro spolupráci aktuálně používají jejich zaměstnanci, které kanály můžou obsahovat citlivá data a vlastnictví kanálů organizace. Microsoft 365 umožňuje organizacím zakázat samoobslužné vytváření týmů, aby tyto ovládací prvky zásad správného řízení usnadnily. Pomocí nástrojů pro automatizaci obchodních procesů, jako jsou Microsoft Power Apps a Power Automate, můžou organizace vytvářet a nasazovat jednoduché formuláře a schvalovací procesy pro zaměstnance, aby mohli požádat o vytvoření nového týmu. Po schválení může být tým automaticky zřízen a žadateli se odešle odkaz. Organizace tak můžou navrhovat a integrovat své ovládací prvky dodržování předpisů a vlastní požadavky do procesu vytváření týmu.

Přijatelné kanály digitální komunikace

FINRA zdůrazňuje, že digitální komunikace regulovaných firem splňuje požadavky na vedení záznamů podle pravidel 17a-3 a 17a-4, jakož i pravidel FINRA řady 4510. FINRA vydává výroční zprávu, která obsahuje klíčová zjištění, pozorování a efektivní postupy, které organizacím pomáhají zlepšit dodržování předpisů a řízení rizik. Ve své zprávě o výsledcích a pozorováních z roku 2019 identifikovala společnost FINRA digitální komunikaci jako klíčovou oblast, kde se podniky potýkají s problémy při plnění požadavků na dohled a vedení záznamů.

Pokud organizace povolí svým zaměstnancům používat konkrétní aplikaci, jako je služba zasílání zpráv založená na aplikaci nebo platforma pro spolupráci, musí firma archivovat obchodní záznamy a dohlížet na aktivity a komunikaci těchto zaměstnanců v této aplikaci. Organizace jsou odpovědné za provádění náležité péče, aby byly v souladu s pravidly FINRA a zákony o cenných papírech, a za sledování potenciálních porušení těchto pravidel souvisejících s používáním takových aplikací zaměstnanci.

K efektivním postupům doporučeným společností FINRA patří:

  • Vytvořit komplexní program zásad správného řízení pro digitální komunikační kanály. Spravovat rozhodnutí organizace o tom, které digitální komunikační kanály jsou povolené, a definovat procesy dodržování předpisů pro každý digitální kanál. Pečlivě sledujte rychle se měnící prostředí digitálních komunikačních kanálů a udržujte procesy dodržování předpisů aktuální.
  • Jasně definovat a řídit povolené digitální kanály. Definujte schválené i zakázané digitální kanály. Blokovat nebo omezit používání zakázaných digitálních kanálů nebo zakázaných funkcí v rámci digitálních kanálů, které omezují schopnost organizace dodržovat požadavky na správu záznamů a dohled.
  • Poskytovat školení pro digitální komunikaci. Než registrovaným zástupcům udělíte přístup ke schváleným digitálním kanálům, implementujte povinné školicí programy. Školení pomáhá vyjasnit očekávání organizace v oblasti obchodní a osobní digitální komunikace a provede zaměstnance používáním povolených funkcí jednotlivých kanálů odpovídajícím způsobem.

Zjištění a pozorování společnosti FINRA týkající se digitálních komunikací se přímo týkají schopnosti organizace dodržovat pravidla SEC 17a-4 pro zachování všech obchodních komunikací, pravidel FINRA 3110 a 3120 pro dohled a kontrolu komunikace a pravidel řady 4510 pro uchovávání záznamů. Komise pro obchodování komoditních futures (CFTC) vyhlašuje podobné požadavky podle 17 CFR 131. Tyto předpisy jsou podrobně popsány dále v tomto článku.

Teams společně s komplexní sadou nabídek microsoftu 365 pro zabezpečení a dodržování předpisů poskytuje firemní digitální komunikační kanál pro finanční instituce, které ho starají o efektivní obchodní činnost a dodržování předpisů. Zbývající část tohoto článku popisuje, jak integrované funkce Microsoftu 365 pro správu záznamů, ochranu informací, informační bariéry a kontrolu nad dohledem poskytují teams robustní sadu nástrojů, která pomůže splnit tyto zákonné povinnosti.

Ochrana moderní spolupráce pomocí Microsoftu 365

Zabezpečení identit uživatelů a řízení přístupu

Ochrana přístupu k informacím o zákaznících, finančním dokumentům a aplikacím začíná silným zabezpečením identit uživatelů. To vyžaduje zabezpečenou platformu pro ukládání a správu identit, která poskytuje důvěryhodné prostředky ověřování a dynamicky řídí přístup k těmto aplikacím.

Když zaměstnanci pracují, můžou přecházet z aplikace do aplikace nebo mezi několika umístěními a zařízeními. Přístup k datům se musí ověřovat v každém kroku na cestě. Proces ověřování musí podporovat silný protokol a několik faktorů ověřování (jako je jednorázový kód SMS, ověřovací aplikace a certifikát), aby se zajistilo, že identity nebudou ohroženy. Vynucení zásad přístupu na základě rizik je důležité pro ochranu finančních dat a aplikací před vnitřními hrozbami, neúmyslným únikem dat a exfiltrací dat.

Microsoft 365 poskytuje zabezpečenou platformu identit v Microsoft Entra ID, kde se identity centrálně ukládají a bezpečně spravují. Microsoft Entra ID společně s řadou souvisejících bezpečnostních služeb Microsoft 365 tvoří základ pro poskytování přístupu zaměstnanců, který potřebují k bezpečné práci, a zároveň chrání organizaci před hrozbami.

Microsoft Entra vícefaktorové ověřování (MFA) je součástí platformy a poskytuje další doklad o ověřování, který pomáhá ověřit identitu uživatelů při přístupu k citlivým finančním datům a aplikacím. Azure MFA vyžaduje alespoň dvě formy ověřování, například heslo a známé mobilní zařízení. Podporuje několik možností dvojúrovňového ověřování, mezi které patří:

  • Aplikace Microsoft Authenticator
  • Jednorázový přístupový kód doručený prostřednictvím SMS
  • Telefonní hovor, ve kterém musí uživatel zadat PIN kód

Pokud je heslo nějak ohroženo, potenciální hacker by stále potřeboval telefon uživatele, aby získal přístup k datům organizace. Microsoft 365 navíc používá moderní ověřování jako klíčový protokol, který přináší stejně silné a bohaté možnosti ověřování z webových prohlížečů do nástrojů pro spolupráci, které zaměstnanci používají každej den, včetně Microsoft Outlooku a dalších aplikací Microsoft Office.

Bez hesla

Hesla jsou nejslabším článkem v řetězu zabezpečení. Pokud není k dispozici žádné další ověření, můžou být kritickým bodem selhání. Microsoft podporuje širokou škálu možností ověřování, které odpovídají potřebám finančních institucí.

Metody bez hesla usnadňují uživatelům vícefaktorové ověřování. I když ne všechna vícefaktorová ověřování jsou bez hesla, technologie bez hesla využívají vícefaktorové ověřování. Microsoft, Google a další vedoucí pracovníci v oboru vyvinuli standardy, které umožňují jednodušší a silnější prostředí ověřování na webu a mobilních zařízeních ve skupině s názvem FAST IDentity Online (FIDO). Nedávno vyvinutý standard FIDO2 umožňuje uživatelům snadné a bezpečné ověřování bez nutnosti hesla k odstranění útoků phishing.

Mezi metody Microsoft MFA, které jsou bez hesla, patří:

  • Microsoft Authenticator: Pro flexibilitu, pohodlí a náklady doporučujeme používat mobilní aplikaci Microsoft Authenticator. Microsoft Authenticator podporuje biometriku, nabízená oznámení a jednorázová hesla pro všechny Microsoft Entra připojené aplikace. Je k dispozici v obchodech s aplikacemi Apple a Android.
  • Windows Hello: Pro integrované prostředí na počítači doporučujeme používat Windows Hello. K automatickému přihlášení používá biometrické informace (například obličej nebo otisk prstu).
  • Klíče zabezpečení FIDO2 jsou nyní k dispozici od několika partnerů Microsoftu: Yubico, Feitian Technologies a HID Global v odznáčku USB nebo biometrickém klíči s podporou NFC.

Microsoft Entra podmíněný přístup poskytuje robustní řešení pro automatizaci rozhodování o řízení přístupu a vynucování zásad organizace za účelem ochrany prostředků společnosti. Klasickým příkladem je, když finanční plánovač chce získat přístup k aplikaci, která obsahuje citlivá zákaznická data. Pro konkrétní přístup k aplikaci se automaticky vyžaduje vícefaktorové ověřování a přístup musí být ze zařízení spravovaného společností. Podmíněný přístup Azure spojuje signály týkající se žádosti uživatele o přístup, jako jsou vlastnosti uživatele, zařízení, umístění a sítě a aplikace, ke které se uživatel pokouší získat přístup. Dynamicky vyhodnocuje pokusy o přístup k aplikaci podle nakonfigurovaných zásad. Pokud je riziko uživatele nebo zařízení zvýšené nebo pokud nejsou splněny jiné podmínky, Microsoft Entra ID může automaticky vynucovat zásady, jako je vyžadování vícefaktorového ověřování, vyžadování zabezpečeného resetování hesla nebo omezení nebo blokování přístupu. To pomáhá zajistit ochranu citlivých prostředků organizace v dynamicky se měnících prostředích.

Microsoft Entra ID a související služby zabezpečení Microsoft 365 poskytují základ, na kterém je možné pro finanční instituce nasadit moderní cloudovou platformu pro spolupráci, aby bylo možné zabezpečit přístup k datům a aplikacím a splnit povinnosti dodržování předpisů regulačními orgány. Tyto nástroje poskytují následující klíčové funkce:

  • Centrálně ukládejte a bezpečně spravujte identity uživatelů.
  • Použijte protokol silného ověřování, včetně vícefaktorového ověřování, k ověřování uživatelů v žádostech o přístup a k zajištění konzistentního a robustního prostředí ověřování ve všech aplikacích.
  • Dynamicky ověřovat zásady u všech žádostí o přístup a začlenit do procesu rozhodování o zásadách několik signálů, včetně identity, členství uživatelů nebo skupin, aplikací, zařízení, sítě, umístění a rizikového skóre v reálném čase.
  • Ověřte podrobné zásady na základě chování uživatelů a vlastností souborů a v případě potřeby dynamicky vynucujte další bezpečnostní opatření.
  • Identifikujte "stínové IT" v organizaci a umožněte týmům InfoSec schvalovat nebo blokovat cloudové aplikace.
  • Monitorování a řízení přístupu ke cloudovým aplikacím microsoftu a jiných společností než Microsoft
  • Proaktivně chránit před e-mailovými útoky phishing a ransomwarem.

Microsoft Entra ID Protection

I když podmíněný přístup chrání prostředky před podezřelými požadavky, Služba Identity Protection jde dál tím, že poskytuje průběžnou detekci rizik a nápravu podezřelých uživatelských účtů. Identity Protection vás nepřetržitě informuje o podezřelém chování uživatelů a přihlašování ve vašem prostředí. Jeho automatická reakce aktivně brání zneužití ohrožených identit.

Identity Protection je nástroj, který organizacím umožňuje provádět tři klíčové úkoly:

  • Automatizujte detekci a nápravu rizik založených na identitách.
  • Zkoumání rizik pomocí dat na portálu
  • Exportujte data detekce rizik do nástrojů třetích stran za účelem další analýzy.

Služba Identity Protection využívá znalosti, které společnost Microsoft získala ze své pozice v organizacích s Microsoft Entra ID, ve spotřebitelském prostoru s účty Microsoft a při hraní her s Xboxem, aby chránila vaše uživatele. Microsoft analyzuje 65 bilionů signálů denně, aby identifikoval a chránil zákazníky před hrozbami. Signály generované službou Identity Protection a předávané do služby Identity Protection je možné dále předávat do nástrojů, jako je podmíněný přístup, a rozhodovat se o přístupu. Dají se také předávat zpět do nástroje pro správu bezpečnostních informací a událostí (SIEM) pro další šetření na základě vynucených zásad vaší organizace.

Identity Protection pomáhá organizacím automaticky chránit před ohrožením identity tím, že využívá cloudovou inteligenci založenou na pokročilé detekci na základě heuristiky, analýzy chování uživatelů a entit (UEBA) a strojového učení (ML) v ekosystému Microsoftu.

Pět informačních pracovníků watch, protože jiný předá prezentaci.

Identifikace citlivých dat a prevence ztráty dat

Microsoft 365 umožňuje všem organizacím identifikovat citlivá data v organizaci prostřednictvím kombinace výkonných funkcí, mezi které patří:

  • Microsoft Purview Information Protection pro klasifikaci založenou na uživatelích i automatizovanou klasifikaci citlivých dat.
  • Ochrana před únikem informací Microsoft Purview (DLP) pro automatizovanou identifikaci citlivých dat pomocí citlivých datových typů (jinými slovy regulárních výrazů) a klíčových slov a vynucování zásad.

Microsoft Purview Information Protection umožňuje organizacím inteligentně klasifikovat dokumenty a e-maily pomocí popisků citlivosti. Popisky citlivosti můžou uživatelé ručně použít u dokumentů v aplikacích Microsoft Office a u e-mailů v Outlooku. Popisky můžou automaticky používat označení dokumentu, ochranu prostřednictvím šifrování a vynucování správy práv. Popisky citlivosti je také možné automaticky použít konfigurací zásad, které k automatickému vyhledání a klasifikaci citlivých dat používají klíčová slova a citlivé datové typy (například čísla platebních karet, čísla sociálního pojištění a čísla identit).

Kromě toho Microsoft poskytuje "vytrénovatelné klasifikátory", které používají modely strojového učení k identifikaci citlivých dat na základě obsahu, na rozdíl od jednoduchých porovnávání vzorů nebo prvků v obsahu. Klasifikátor se naučí identifikovat typ obsahu tím, že se podívá na řadu příkladů obsahu, který se má klasifikovat. Trénování klasifikátoru začíná tím, že mu poskytne příklady obsahu v konkrétní kategorii. Jakmile se z těchto příkladů poučí, model se otestuje tak, že mu poskytne kombinaci shodných a neodpovídajících příkladů. Klasifikátor předpovídá, jestli daný příklad spadá do kategorie nebo ne. Osoba pak potvrdí výsledky a seřadí pozitivní, negativní, falešně pozitivní a falešně negativní výsledky, aby se zvýšila přesnost predikcí klasifikátoru. Když je natrénovaný klasifikátor publikovaný, zpracovává obsah v Microsoft Office SharePoint Online, Exchange Online a OneDrive pro firmy a automaticky klasifikuje obsah.

Použití popisků citlivosti u dokumentů a e-mailů vloží metadata, která identifikují zvolenou citlivost v objektu. Citlivost se pak přesune s daty. Takže i když je dokument s popiskem uložený na ploše uživatele nebo v místním systému, je stále chráněný. Tato funkce umožňuje ostatním řešením Microsoft 365, jako jsou Microsoft Defender for Cloud Apps nebo hraniční síťová zařízení, identifikovat citlivá data a automaticky vynucovat bezpečnostní prvky. Další výhodou popisků citlivosti je vzdělávání zaměstnanců o tom, která data v organizaci jsou považována za citlivá a jak s nimi pracovat, když je obdrží.

Ochrana před únikem informací Microsoft Purview (DLP) automaticky identifikuje dokumenty, e-maily a konverzace obsahující citlivá data tím, že v nich vyhledá citlivá data a pak u těchto objektů vynutí zásady. Zásady se vynucují u dokumentů v SharePointu a OneDrive pro firmy. Vynucují se také, když uživatelé posílají e-maily a v chatech Teams a konverzacích kanálu. Zásady je možné nakonfigurovat tak, aby vyhledávají klíčová slova, citlivé datové typy, popisky uchovávání informací a jestli se data sdílejí v rámci organizace nebo externě. Ovládací prvky pomáhají organizacím vyladit zásady ochrany před únikem informací, aby se snížil počet falešně pozitivních výsledků. Když se najdou citlivá data, můžou se uživatelům v aplikacích Microsoft 365 zobrazovat přizpůsobitelné tipy zásad, které je informují o tom, že jejich obsah obsahuje citlivá data, a pak navrhnout nápravné akce. Zásady můžou také uživatelům bránit v přístupu k dokumentům, sdílení dokumentů nebo odesílání e-mailů, které obsahují určité typy citlivých dat. Microsoft 365 podporuje více než 100 integrovaných citlivých datových typů. Organizace můžou nakonfigurovat vlastní citlivé datové typy tak, aby splňovaly jejich zásady.

Zavádění zásad Microsoft Purview Information Protection a ochrany před únikem informací v organizacích vyžaduje pečlivé plánování a vzdělávací program uživatelů, aby zaměstnanci porozuměli schématu klasifikace dat organizace a typům dat, které jsou považovány za citlivé. Když zaměstnancům poskytnete nástroje a vzdělávací programy, které jim pomůžou identifikovat citlivá data a pochopit, jak s nimi pracovat, jsou součástí řešení pro zmírnění rizik zabezpečení informací.

Signály vygenerované službou Identity Protection a poskytované službě Identity Protection lze také předávat do nástrojů, jako je podmíněný přístup pro rozhodování o přístupu, nebo do nástroje pro správu bezpečnostních informací a událostí (SIEM) pro šetření na základě vynucovaných zásad organizace.

Identity Protection pomáhá organizacím automaticky chránit před ohrožením identity tím, že využívá cloudovou inteligenci založenou na pokročilých detekcích založených na heuristikách, analýze chování uživatelů a entit a strojovém učení v celém ekosystému Microsoftu.

Informační pracovník je na obrázku před velkým polem monitorů.

Obrana pevnosti

Microsoft nedávno spustil řešení Microsoft Defender XDR, které je navržené tak, aby moderní organizaci zabezpečily před vyvíjejícím se prostředím hrozeb. Díky využití služby Intelligent Security Graph nabízí řešení Ochrany před internetovými útoky komplexní a integrované zabezpečení proti více vektorům útoku.

The Intelligent Security Graph

Služby zabezpečení od Microsoftu 365 využívají Inteligentní security Graph. V boji proti kybernetickým hrozbám používá Intelligent Security Graph pokročilé analýzy k propojení analýzy hrozeb a bezpečnostních signálů od Microsoftu a jeho partnerů. Microsoft provozuje globální služby v obrovském měřítku a shromažďuje bilióny signálů zabezpečení, které poháněly vrstvy ochrany v rámci celého zásobníku. Modely strojového učení tuto inteligenci vyhodnocují a poznatky o signálech a hrozbách jsou široce sdíleny napříč našimi produkty a službami. To nám umožňuje rychle detekovat hrozby a reagovat na ně a přinášet zákazníkům výstrahy a informace, na které je možné reagovat, aby je mohli napravit. Naše modely strojového učení se průběžně trénují a aktualizují pomocí nových přehledů, což nám pomáhá vytvářet bezpečnější produkty a poskytovat proaktivní zabezpečení.

Microsoft Defender pro Office 365 poskytuje integrovanou službu Microsoft 365, která chrání organizace před škodlivými odkazy a malwarem doručeným prostřednictvím e-mailu a dokumentů Office. Jedním z nejběžnějších vektorů útoku, které dnes ovlivňují uživatele, jsou e-mailové útoky phishing. Tyto útoky můžou být cílené na konkrétní uživatele a můžou být velmi přesvědčivé, s určitou výzvou k akci, která uživatele vyzve k výběru škodlivého odkazu nebo otevření přílohy obsahující malware. Jakmile je počítač napadený, může útočník buď ukrást přihlašovací údaje uživatele a přesunout se laterálně v organizaci, nebo exfiltrovat e-maily a data a hledat citlivé informace. Defender pro Office 365 podporuje bezpečné přílohy a bezpečné odkazy tím, že při kliknutí vyhodnocuje dokumenty a odkazy z hlediska potenciálně škodlivého záměru a blokuje přístup. Email přílohy se před doručením do poštovní schránky uživatele otevřou v chráněném sandboxu. Vyhodnocuje také odkazy v dokumentech Office na škodlivé adresy URL. Defender pro Office 365 také chrání odkazy a soubory v SharePointu Online, OneDrive pro firmy a Teams. Pokud se zjistí škodlivý soubor, Defender pro Office 365 ho automaticky uzamkne, aby se omezilo možné poškození.

Microsoft Defender for Endpoint je sjednocená platforma zabezpečení koncových bodů pro preventivní ochranu, detekci po porušení zabezpečení a automatizované vyšetřování a reakce. Defender for Endpoint poskytuje integrované funkce pro zjišťování a ochranu citlivých dat v podnikových koncových bodech.

Microsoft Defender for Cloud Apps umožňuje organizacím vynucovat zásady na podrobné úrovni a zjišťovat anomálie chování na základě profilů jednotlivých uživatelů, které se automaticky definují pomocí strojového učení. Zásady Defenderu for Cloud Apps můžou stavět na zásadách podmíněného přístupu Azure a chránit citlivé firemní prostředky vyhodnocením dalších signálů souvisejících s chováním uživatelů a vlastnostmi dokumentů, ke kterým se přistupuje. Defender for Cloud Apps se časem učí, jaké je typické chování jednotlivých zaměstnanců s ohledem na data, ke kterým přistupuje, a aplikací, které používají. Na základě naučených vzorů chování pak můžou zásady automaticky vynucovat bezpečnostní prvky, pokud zaměstnanec jedná mimo tento profil chování. Pokud například zaměstnanec obvykle přistupuje k účetní aplikaci od pondělí do pátku od 9:00 do 17:00, ale najednou k této aplikaci začne ve velkém přistupovat v neděli večer, může Defender for Cloud Apps dynamicky vynucovat zásady, které vyžadují, aby uživatel znovu provedl ověření. To pomáhá zajistit, aby přihlašovací údaje uživatele nebyly ohroženy. Defender for Cloud Apps může také pomoct identifikovat "stínové IT" v organizaci, což pomáhá týmům pro zabezpečení informací zajistit, aby zaměstnanci při práci s citlivými daty používali schválené nástroje. Defender for Cloud Apps navíc dokáže chránit citlivá data kdekoli v cloudu, a to i mimo platformu Microsoft 365. Umožňuje organizacím schvalovat (nebo zrušit schválení) konkrétních externích cloudových aplikací a řídit přístup a monitorovat využití.

Microsoft Defender for Identity je cloudové řešení zabezpečení, které používá vaše místní Active Directory signály k identifikaci, detekci a vyšetřování pokročilých hrozeb, ohrožených identit a škodlivých akcí insiderů zaměřených na vaši organizaci. AATP umožňuje analytikům a odborníkům na zabezpečení secOp detekovat pokročilé útoky v hybridních prostředích a provádět:

  • Monitorujte uživatele, chování entit a aktivity pomocí analýz založených na učení.
  • Ochrana identit uživatelů a přihlašovacích údajů uložených ve službě Active Directory
  • Identifikujte a prošetřujte podezřelé aktivity uživatelů a pokročilé útoky v rámci celého řetězce ukončení.
  • Zadejte jasné informace o incidentech na jednoduché časové ose pro rychlé určení priorit.

Administrativní pracovníci se sejdou v malé konferenční místnosti. Jeden předá prezentaci.

Řízení dat a správa záznamů

Finanční instituce musí uchovávat své záznamy a informace v souladu se svými zákonnými, právními a obchodními povinnostmi, které jsou uvedeny v rámci jejich podnikového plánu uchovávání informací. Komise například nařizuje dobu uchovávání informací v závislosti na typu záznamu tři až šest let s okamžitou přístupností po dobu prvních dvou let. Organizace čelí riziku dodržování právních předpisů v případě, že jsou data nedostatečně zachovaná (zahozena příliš brzy) a nyní také spravují předpisy, které nařizuje likvidaci, když už nejsou informace potřeba. Efektivní strategie správy záznamů zdůrazňují praktický a konzistentní přístup, aby se informace správně zlikvidovaly a současně minimalizovaly náklady a rizika pro organizaci.

Kromě toho regulační mandáty ministerstva finančních služeb státu New York vyžadují, aby kryté subjekty dodržovaly zásady a postupy pro nakládání s neveřejnou informací. 23 NYCRR 500, oddíl 500.13 Omezení uchovávání údajů vyžaduje, aby "V rámci svého programu kybernetické bezpečnosti každý zahrnutý subjekt zahrnuje zásady a postupy pro bezpečné nakládání s veškerými neveřejnou informací identifikovanou v oddílu 500.01(g)(2)-3 této části, které již nejsou nezbytné pro obchodní operace nebo pro jiné legitimní obchodní účely zahrnutého subjektu, s výjimkou případů, kdy tyto informace jinak vyžadují, aby byly uchovávány zákonem nebo nařízením."

Finanční instituce spravují obrovské objemy dat. A některé doby uchovávání aktivují události, jako je vypršení platnosti smlouvy nebo odchod zaměstnance z organizace. V této atmosféře může být náročné použít zásady uchovávání záznamů. Přístupy k přesnému přiřazení doby uchovávání záznamů napříč dokumenty organizace se můžou lišit. Některé zásady uchovávání informací používají široce nebo používají techniky automatické klasifikace a strojového učení. Jiní identifikují přístup, který vyžaduje podrobnější proces, který přiřazuje dobu uchovávání jedinečným způsobem jednotlivým dokumentům.

Microsoft 365 poskytuje flexibilní funkce pro definování popisků uchovávání informací a zásad pro inteligentní implementaci požadavků na správu záznamů. Správce záznamů definuje popisek uchovávání informací, který představuje "typ záznamu" v tradičním plánu uchovávání informací. Popisek uchovávání informací obsahuje nastavení, která definují tyto podrobnosti:

  • Jak dlouho se záznam uchovává
  • Co se stane, když vyprší doba uchovávání (odstraňte dokument, spusťte kontrolu dispozice nebo neprovedejte žádnou akci)
  • Co aktivuje začátek doby uchovávání (datum vytvoření, datum poslední změny, datum označené jako datum nebo událost) a označí dokument nebo e-mail jako záznam (to znamená, že se nedá upravit ani odstranit)

Popisky uchovávání informací se pak publikují na weby SharePointu nebo OneDrivu, do poštovních schránek Exchange a do skupin Microsoftu 365. Uživatelé můžou popisky uchovávání informací použít u dokumentů a e-mailů ručně. Správci záznamů můžou používat inteligentní funkce k automatickému použití popisků. Inteligentní funkce můžou být založené na devadesáti integrovaných typech citlivých informací (jako je číslo outingu ABA, číslo bankovního účtu v USA nebo číslo sociálního pojištění USA). Dají se také přizpůsobit na základě klíčových slov nebo citlivých dat nalezených v dokumentech nebo e-mailech, jako jsou čísla platebních karet nebo jiné identifikovatelné osobní údaje, nebo na základě metadat SharePointu. U dat, která se nedají snadno identifikovat pomocí ručního nebo automatizovaného porovnávání vzorů, je možné použít vytrénovatelné klasifikátory k inteligentní klasifikaci dokumentů na základě technik strojového učení.

Komise pro cenné papíry a burzy (SEC) vyžaduje, aby makléři a další regulované finanční instituce zachovali veškerou komunikaci související s podnikáním. Tyto požadavky platí pro mnoho typů komunikace a dat, včetně e-mailů, dokumentů, rychlých zpráv, faxů a dalších. Pravidlo SEC 17a-4 definuje kritéria, která musí tyto organizace splňovat, aby ukládaly záznamy v systému elektronického úložiště dat. V roce 2003 vydala SEC verzi, která tyto požadavky objasnila. Zahrnovala následující kritéria:

  • Data zachovaná systémem elektronického úložiště musí být nepřepsatelná a nesmí být vymazatelná. To se označuje jako požadavek WORM (zapsat jednou, přečíst mnoho).
  • Systém úložiště musí být schopen ukládat data nad rámec doby uchovávání vyžadované pravidlem v případě předvolání nebo jiného právního řádu.
  • Organizace by neporušila požadavek v odstavci (f)(2)(ii)(A) pravidla, pokud použila systém elektronického úložiště, který brání přepsání, vymazání nebo jiné změně záznamu během požadované doby uchovávání pomocí integrovaných hardwarových a softwarových kontrolních kódů.
  • Systémy elektronického úložiště, které pouze "zmírňují" riziko přepsání nebo vymazání záznamu, například tím, že se spoléhají na řízení přístupu, nesplňují požadavky pravidla.

Microsoft 365 pomáhá finančním institucím splnit požadavky pravidla SEC 17a-4, a proto nabízí kombinaci funkcí souvisejících se způsobem uchovávání dat, konfigurací zásad a ukládáním dat v rámci služby. Patří mezi ně:

  • Uchovávání dat (pravidlo 17a-4(a), (b)(4)) – Popisky a zásady uchovávání informací jsou flexibilní, aby vyhovovaly potřebám organizace, a můžou se automaticky nebo ručně aplikovat na různé typy dat, dokumentů a informací. Podporuje se široká škála datových typů a komunikace, včetně dokumentů v SharePointu a OneDrive pro firmy, dat v rámci Exchange Online poštovních schránek a dat v Teams.

  • Nepřepsatelný a ne erasovatelný formát (pravidlo 17a-4(f)(2)(ii)(A)) – Funkce zámku zachování pro zásady uchovávání informací umožňuje správcům záznamů a správcům nakonfigurovat zásady uchovávání informací tak, aby je už nešlo upravovat. To všem uživatelům zakazuje jakýmkoli způsobem odebírat, zakazovat nebo upravovat zásady uchovávání informací. To znamená, že jakmile je zámek uchování povolený, nejde ho zakázat a neexistuje žádná metoda, pomocí které by bylo možné během doby uchovávání přepsat, upravit nebo odstranit data, na která se zásady uchovávání informací použily. Kromě toho není možné zkrátit dobu uchovávání. Pokud ale existuje zákonný požadavek na další uchovávání dat, může se doba uchovávání prodloužit.

    Při použití zámku zachování na zásady uchovávání informací jsou omezeny následující akce:

    • Dobu uchovávání zásad je možné pouze prodloužit. Nedá se zkrátit.
    • Uživatele je možné do zásad přidat, ale stávající uživatele nakonfigurované v zásadách nejde odebrat.
    • Zásady uchovávání informací nemůže odstranit žádný správce v rámci organizace.

    Zámek zachování pomáhá zajistit, aby žádný uživatel, ani správci s nejvyšší úrovní privilegovaného přístupu, nemohl změnit nastavení, upravit, přepsat nebo odstranit uložená data, a zajistit tak archivaci v Microsoftu 365 v souladu s pokyny ve verzi SEC 2003.

  • Kvalita, přesnost a ověření úložiště/serializace a indexování dat (pravidlo 17a-4(f)(2) (ii)(B) a (C)) – Office 365 úlohy obsahují funkce pro automatické ověřování kvality a přesnosti procesu záznamu dat na úložném médiu. Data se navíc ukládají pomocí metadat a časových razítek, aby se zajistilo dostatečné indexování umožňující efektivní vyhledávání a načítání dat.

  • Samostatné úložiště pro duplicitní kopie (pravidlo 17a-4(f)(3(iii)) – cloudová služba Office 365 ukládá duplicitní kopie dat jako základní aspekt své vysoké dostupnosti. Toho se dosahuje implementací redundance na všech úrovních služby, včetně fyzické úrovně na všech serverech, na úrovni serveru v rámci datového centra a na úrovni služby pro geograficky rozptýlená datacentra.

  • Data ke stažení a přístupná (pravidlo 17a-4(f)(2)(ii)(D)) – Office 365 obecně umožňuje vyhledávat, používat a stahovat data, která jsou označená k uchovávání. Umožňuje také prohledávat data v Exchange Online Archives pomocí integrovaných funkcí eDiscovery. Data je pak možné podle potřeby stáhnout ve standardních formátech, včetně EDRML a PST.

  • Požadavky na audit (pravidlo 17a-4(f)(3)(v)) – Office 365 poskytuje protokolování auditu pro každou akci správce a uživatele, která upravuje datové objekty, konfiguruje nebo upravuje zásady uchovávání informací, provádí vyhledávání eDiscovery nebo upravuje přístupová oprávnění. Office 365 udržuje komplexní záznam auditu, včetně údajů o tom, kdo akci provedl, kdy byla provedena, podrobnosti o akci a příkazy, které byly provedeny. Protokol auditu pak může být výstupem a podle potřeby je možné ho zahrnout jako součást formálních procesů auditu.

Nakonec pravidlo 17a-4 vyžaduje, aby organizace uchovávali záznamy pro mnoho typů transakcí, aby byly okamžitě přístupné po dobu dvou let. Záznamy musí být dále uchovávány po dobu tří až šesti let bez okamžitého přístupu. Duplicitní záznamy musí být také uchovávány po stejnou dobu v umístění mimo lokalitu. Funkce správy záznamů Microsoftu 365 umožňují uchovávat záznamy tak, aby je nebylo možné upravovat ani odstraňovat, ale bylo k nim možné snadno přistupovat po dobu, kterou řídí správce záznamů. Tato období můžou zahrnovat dny, měsíce nebo roky v závislosti na povinnostech organizace v oblasti dodržování právních předpisů.

Microsoft na požádání poskytne osvědčení o dodržování předpisů se sec 17a-4, pokud to organizace vyžaduje.

Kromě toho tyto funkce také pomáhají Microsoftu 365 splnit požadavky na úložiště pro pravidlo CFTC 1.31(c)-(d) od americké komise pro obchodování komoditních futures a pravidel FINRA řady 4510 od regulačního úřadu pro finanční odvětví. Souhrnně tato pravidla představují globálně nejpřísnější pokyny pro uchovávání záznamů finančními institucemi.

Další podrobnosti o tom, jak Microsoft 365 dodržuje pravidlo SEC 17a-4 a další předpisy, najdete v dokumentu ke stažení Office 365 – Cohasset Assessment – Pravidlo SEC 17a-4(f) – Neměnné úložiště pro SharePoint, OneDrive, Exchange, Teams a Viva Engage (2022).

Vytvoření etických zdí s informačními bariérami

Finanční instituce můžou podléhat předpisům, které zaměstnancům v určitých rolích brání v výměně informací nebo spolupráci s jinými rolemi. Například finra zveřejnila pravidla 2241(b)(2)(G), 2242(b)(2) (D), (b)(2)(H)(ii) a (b)(2)(H)(iii), která vyžadují, aby členové:

"G) stanovit informační překážky nebo jiné institucionální záruky přiměřeně navržené tak, aby zajistily, že výzkumní analytici budou izolováni od přezkumu, tlaku nebo dohledu osob zapojených do činností investičních bankovních služeb nebo jiných osob, včetně obchodních pracovníků, které mohou být při rozhodování nebo dohledu zaujaté;" a "H) stanovit informační překážky nebo jiné institucionální záruky přiměřeně navržené tak, aby zajistily izolaci analytiků dluhového výzkumu od přezkum, tlak nebo dohled osob, které se zabývají: i) investičními bankovními službami; ii) hlavní obchodní nebo prodejní a obchodní činnosti; a (iii) jiné osoby, které mohou být při rozhodování nebo dohledu zaujaté;"

V konečném důsledku tato pravidla vyžadují, aby organizace zavedly zásady a implementovaly informační bariéry mezi rolemi, které jsou součástí bankovních služeb, prodeje nebo obchodování, a aby si vyměňovaly informace a komunikace s analytiky.

Informační bariéry umožňují vytvořit ve vašem Office 365 prostředí etické zdi a umožňují správcům dodržování předpisů nebo jiným autorizovaným správcům definovat zásady, které povolují nebo brání komunikaci mezi skupinami uživatelů v Teams. Informační bariéry provádějí kontroly konkrétních akcí, aby se zabránilo neoprávněné komunikaci. Informační bariéry mohou také omezit komunikaci ve scénářích, kdy interní týmy pracují na fúzech, akvizicích nebo citlivých dohodách nebo pracují s citlivými interními informacemi, které musí být výrazně omezeny.

Informační bariéry podporují konverzace a soubory v Teams. Můžou zabránit následujícím typům akcí souvisejících s komunikací, které pomáhají dodržovat předpisy FINRA:

  • Vyhledání uživatele
  • Přidání člena do týmu nebo pokračování v účasti s jiným členem týmu
  • Zahájení nebo pokračování relace chatu
  • Zahájení nebo pokračování skupinového chatu
  • Pozvat někoho, aby se připojil ke schůzce
  • Sdílení obrazovky
  • Volání

Implementace dohledové kontroly

Finanční instituce obvykle musí ve svých organizacích zřídit a udržovat funkci dohledu, která bude monitorovat činnost zaměstnanců a pomáhat jí dosahovat souladu s platnými zákony o cenných papírech. Konkrétně finra řídila tyto požadavky na dohled:

  • Pravidlo FINRA 3110 (Dohled) vyžaduje, aby podniky měly písemné postupy dohledu nad činnostmi svých zaměstnanců a typů podniků, ve kterých jsou zapojeny. Kromě dalších požadavků musí postupy zahrnovat:

    • Dohled nad pracovníky dohledu
    • Přezkum investičního bankovnictví, obchodování s cennými papíry, interní komunikace a interní šetření
    • Kontrola transakcí pro insider trading
    • Kontrola korespondence a stížností

    Postupy musí popisovat osoby odpovědné za přezkumy, dohledovou činnost, kterou bude každá osoba provádět, četnost kontrol a typy dokumentace nebo komunikace, které jsou kontrolovány.

  • Pravidlo FINRA 3120 (systém dohledu nad kontrolou) vyžaduje, aby podniky měly systém zásad a postupů kontroly dohledu, který ověřuje jejich písemné postupy dohledu definované v pravidle 3110. Firmy musí mít nejen wsps, ale také zásady, které tyto postupy každoročně testují, aby ověřily jejich schopnost zajistit dodržování platných zákonů a předpisů o cenných papírech. K definování rozsahu testování lze použít metodologie založené na rizicích a vzorkování. Kromě dalších požadavků toto pravidlo vyžaduje, aby podniky poskytovaly vyšší vedení výroční zprávu, která bude obsahovat souhrn výsledků testů a případných významných výjimek nebo změněných postupů v reakci na výsledky testů.

Kancelářský pracovník vidí graf a tabulky na obrazovce, zatímco ostatní se setkávají na pozadí.

Dodržování předpisů při komunikaci

Dodržování předpisů při komunikaci Microsoft Purview je řešení dodržování předpisů, které pomáhá minimalizovat komunikační rizika tím, že vám pomáhá zjišťovat, prošetřovat a řešit nevhodné zprávy ve vaší organizaci. Předdefinované a vlastní zásady umožňují kontrolovat shody zásad v interní a externí komunikaci, aby je mohli prozkoumat určení revidující. Revidující můžou prošetřit naskenované e-maily, Microsoft Teams, Viva Engage nebo komunikaci třetích stran ve vaší organizaci a provést příslušná opatření, aby se ujistili, že jsou v souladu se standardy zpráv vaší organizace.

Dodržování předpisů při komunikaci poskytuje sestavy, které umožňují audit aktivit kontroly zásad na základě zásad a kontrolora. K dispozici jsou sestavy, které ověřují, že zásady fungují tak, jak jsou definovány zásadami napsanými v organizaci. Dají se také použít k identifikaci komunikace, která vyžaduje kontrolu, a těch, které nejsou v souladu s firemními zásadami. Nakonec se všechny aktivity související s konfigurací zásad a kontrolou komunikace auditují v Office 365 sjednoceného protokolu auditu. V důsledku toho dodržování předpisů komunikace také pomáhá finančním institucím dodržovat pravidlo FINRA 3120.

Kromě dodržování pravidel FINRA umožňuje dodržování předpisů v komunikaci organizacím detekovat a reagovat na komunikaci, která může být ovlivněna dalšími právními požadavky, firemními zásadami a etickými standardy. Dodržování předpisů pro komunikaci poskytuje integrované klasifikátory hrozeb, obtěžování a vulgárních výrazů, které pomáhají omezit falešně pozitivní výsledky při kontrole komunikace a šetří kontrolorům čas během vyšetřování a nápravy. Umožňuje také organizacím snížit riziko tím, že detekuje komunikaci, když procházejí citlivými organizačními změnami, jako jsou fúze a akvizice nebo změny vedení.

Informační pracovník se zaměřuje na obrazovku.

Ochrana před exfiltrací dat a insiderským rizikem

Běžnou hrozbou pro podniky je exfiltrace dat nebo extrahování dat z organizace. Toto riziko může být pro finanční instituce významným problémem vzhledem k citlivé povaze informací, ke kterým lze přistupovat k každodennímu dni. S rostoucím počtem dostupných komunikačních kanálů a rostoucím počtem nástrojů pro přesun dat se obvykle vyžadují pokročilé funkce ke zmírnění rizik úniků dat, porušení zásad a insiderského rizika.

Správa insiderských rizik

Povolení zaměstnanců pomocí nástrojů pro online spolupráci, ke kterým je možné přistupovat odkudkoli, představuje riziko pro organizaci. Zaměstnanci můžou neúmyslně nebo zle prozrazovat data útočníkům nebo konkurentům. Případně mohou data exfiltrovat pro osobní použití nebo si je mohou vzít s sebou k budoucímu zaměstnavateli. Tyto scénáře představují vážná rizika pro instituce finančních služeb z hlediska zabezpečení i dodržování předpisů. Identifikace těchto rizik, když k nim dojde, a jejich rychlé zmírnění vyžaduje inteligentní nástroje pro shromažďování dat a spolupráci napříč odděleními, jako jsou právní oddělení, lidské zdroje a zabezpečení informací.

Správa insiderských rizik Microsoft Purview je řešení dodržování předpisů, které pomáhá minimalizovat interní rizika tím, že umožňuje detekovat, prošetřovat a reagovat na škodlivé a neúmyslné aktivity ve vaší organizaci. Zásady insiderských rizik umožňují definovat typy rizik, které se mají ve vaší organizaci identifikovat a detekovat, včetně řešení případů a eskalace případů do Microsoft eDiscovery (Premium) v případě potřeby. Analytici rizik ve vaší organizaci můžou rychle přijmout vhodná opatření, která zajistí, aby uživatelé dodržovali standardy dodržování předpisů vaší organizace.

Například správa insiderských rizik může korelovat signály ze zařízení uživatele, jako je kopírování souborů na USB disk nebo odeslání e-mailu na osobní e-mailový účet, s aktivitami z online služby, jako je Office 365 e-mail, SharePoint Online, Microsoft Teams nebo OneDrive pro firmy, a identifikovat vzory exfiltrace dat. Může také tyto aktivity korelovat se zaměstnanci opouštějící organizaci, což je běžný vzor exfiltrace dat. Dokáže detekovat několik potenciálně rizikových aktivit a chování v průběhu času. Když se objeví běžné vzory, může to vyvolat výstrahy a pomoct vyšetřovatelům zaměřit se na klíčové aktivity a ověřit porušení zásad s vysokou mírou spolehlivosti. Řízení insiderských rizik může pseudoanonymizovat data od vyšetřovatelů, aby bylo možné splnit předpisy o ochraně osobních údajů, a přitom stále zobrazovat klíčové aktivity, které jim pomáhají efektivně provádět šetření. Umožňuje vyšetřovatelům zabalit a bezpečně odesílat data o klíčových aktivitách do personálního a právního oddělení podle běžných pracovních postupů eskalace pro vyvolání případů pro nápravu.

Řízení insiderských rizik výrazně zvyšuje možnosti organizací zjišťovat a prošetřovat rizika insiderů a zároveň organizacím umožňuje stále splňovat předpisy o ochraně osobních údajů a dodržovat stanovené cesty eskalace, když případy vyžadují akci na vyšší úrovni.

Pracovník call centra v kóji typů při prohlížení obrazovky.

Omezení tenanta

Organizace, které pracují s citlivými daty a kladou striktní důraz na zabezpečení, obvykle chtějí řídit online prostředky, ke kterým mají uživatelé přístup. Zároveň chtějí umožnit zabezpečenou spolupráci prostřednictvím online služby, jako je Office 365. V důsledku toho se řízení Office 365 prostředí, ke kterým mají uživatelé přístup, stává výzvou, protože nekalou Office 365 prostředí je možné použít k exfiltraci dat z podnikových zařízení, ať už úmyslně, nebo neúmyslně. Organizace tradičně omezují domény nebo IP adresy, ke kterým mají uživatelé přístup z podnikových zařízení. To ale nefunguje v cloudovém světě, kde uživatelé potřebují legitimní přístup ke službám Office 365.

Microsoft 365 poskytuje omezení tenanta, aby se tento problém vyřešil. Omezení tenanta je možné nakonfigurovat tak, aby omezila přístup zaměstnanců k externím Office 365 podnikovým tenantům pomocí podvodných identit (identit, které nejsou součástí podnikového adresáře). Omezení tenanta dnes platí pro celého tenanta a umožňují přístup jenom k těm tenantům, kteří se zobrazí v seznamu, který nakonfigurujete. Společnost Microsoft pokračuje ve vývoji tohoto řešení, aby zvýšila úroveň kontroly a zlepšila ochranu, která poskytuje.

GRAFICKÉ.

Závěr

Microsoft 365 a Teams poskytují integrované a komplexní řešení pro společnosti poskytující finanční služby, které umožňuje jednoduché, ale výkonné cloudové možnosti spolupráce a komunikace v rámci celého podniku. Díky technologiím zabezpečení a dodržování předpisů z Microsoftu 365 můžou instituce pracovat bezpečnějším a kompatibilním způsobem s robustními bezpečnostními prvky, které chrání data, identity, zařízení a aplikace před různými provozními riziky, včetně kybernetických a insiderských rizik. Microsoft 365 poskytuje zásadně zabezpečenou platformu, na které můžou organizace poskytující finanční služby dosáhnout vyšších výsledků a současně chránit své společnosti, zaměstnance a zákazníky.