Keskeiset vaatimustenmukaisuuteen ja turvallisuuteen liittyvät seikat Yhdysvaltain pankki- ja pääomamarkkinoilla

  • Artikkeli

Johdanto

Rahoituspalvelulaitokset ylittävät lähes kaikki kaupalliset yritykset vaatiessaan tiukkaa turvallisuus-, vaatimustenmukaisuus- ja hallintovalvontaa. Tietojen, käyttäjätietojen, laitteiden ja sovellusten suojaaminen ei ole vain tärkeää niiden liiketoiminnalle, vaan siihen sovelletaan vaatimustenmukaisuusvaatimuksia ja ohjeita sääntelyelimiltä, kuten Yhdysvaltain arvopaperi- ja pörssikomissiolta (SEC), Financial Industry Regulatory Authoritylta (FINRA), Federal Financial Institutions Examination Councililta (FFIEC) ja Commodity Futures Trading Commissionilta (CFTC). Rahoituslaitoksiin sovelletaan lisäksi vuoden 2002 Dodd-Frank ja Sarbanes-Oxley lakia.

Tämän päivän lisääntyneen turvallisuusvalppauden, sisäpiiririskien huolenaiheiden ja julkisten tietomurtojen ilmapiirissä asiakkaat vaativat myös rahoituslaitoksiltaan korkeaa suojaustasoa, jotta he voivat luottaa henkilötietoihinsa ja pankkivaroihinsa.

Aikaisemmin kattavan valvonnan tarve vaikutti suoraan rahoituslaitosten käyttämiin IT-järjestelmiin ja -alustoihin ja rajoitti niitä mahdollistaakseen yhteistyön sisäisesti ja ulkoisesti. Nykyään rahoituspalvelujen työntekijät tarvitsevat modernin yhteistyöalustan, joka on helppo omaksua ja jota on helppo käyttää. Rahoituspalvelut eivät kuitenkaan voi vaihtaa joustavuutta tehdä yhteistyötä käyttäjien, tiimien ja osastojen välillä suojauksen ja vaatimustenmukaisuuden valvonnan avulla, jotka valvovat käytäntöjä käyttäjien ja IT-järjestelmien suojaamiseksi uhkilta.

Rahoituspalvelualalla on huomioitava huolellisesti yhteistyötyökalujen ja suojauksen hallinnan määritys ja käyttöönotto, mukaan lukien:

  • Organisaation yhteistyön ja liiketoimintaprosessien yleisten skenaarioiden riskien arviointi
  • Tietojen suojaamisen ja tiedon hallinnan vaatimukset
  • Kyberturvallisuus ja insider-uhat
  • Lakisääteiset vaatimustenmukaisuusvaatimukset
  • Muut operatiiviset riskit

Microsoft 365 on nykyaikainen työpaikan pilvipalveluympäristö, joka voi vastata rahoituspalveluorganisaatioiden kohtaamiin nykyajan haasteisiin. Turvallinen ja joustava yhteistyö koko yrityksessä yhdistetään valvontaan ja politiikan valvontaan, jotta noudatetaan tiukkoja sääntelyn vaatimustenmukaisuuskehyksiä. Tässä artikkelissa kuvataan, miten Microsoft 365 -ympäristö auttaa rahoituspalveluja siirtymään nykyaikaiseen yhteistyöympäristöön ja samalla pitämään tiedot ja järjestelmät suojattuina ja säädösten mukaisina:

  • Organisaation ja työntekijöiden tuottavuuden ottaminen käyttöön Microsoft 365:n ja Microsoft Teamsin avulla
  • Modernin yhteistyön suojaaminen Microsoft 365:n avulla
  • Tunnista luottamukselliset tiedot ja estä tietojen menettäminen
  • Puolusta linnoitusta
  • Hallitse tietoja ja noudata säädöksiä hallinnoimalla tietueita tehokkaasti
  • Eettisten muurien luominen tietoesteiden avulla
  • Suojautuminen tietojen suodatusta ja insider-riskejä vastaan

Microsoft-kumppanina Protiviti on osallistunut tähän artikkeliin ja antanut siihen materiaalista palautetta.

Seuraavat ladattavat kuvat täydentävät tätä artikkelia. Woodgrove Bankia ja Contoosoa käytetään osoittamaan, miten tässä artikkelissa kuvattuja valmiuksia voidaan soveltaa rahoituspalvelujen yhteisten sääntelyvaatimusten täyttämiseen. Voit mukauttaa näitä kuvia omaan käyttöusi.

Microsoft 365:n tietojen suojauksen ja yhteensopivuuden kuvat

Kohde Kuvaus
Mallijuliste: Microsoft 365:n tietojen suojauksen ja vaatimustenmukaisuuden ominaisuudet.
Englanti: Lataa PDF-tiedostona | Lataa visiona
Japani: Lataa PDF-tiedostona | Lataa visiona
Päivitetty marraskuu 2020		 Sisältää:
  • Microsoft Purview Information Protection ja Microsoft Purview -tuotteen tietojen menetyksen esto
  • Säilytyskäytännöt ja säilytysotsikot
  • Tiedonkulkuesteet
  • Viestinnän vaatimustenmukaisuus
  • Insider-riski
  • Kolmannen osapuolen tietojen käsittely

Organisaation ja työntekijöiden tuottavuuden parantaminen Microsoft 365:n ja Teamsin avulla

Yhteistyö edellyttää yleensä erilaisia viestintämuotoja, mahdollisuutta tallentaa ja käyttää tiedostoja/tietoja sekä mahdollisuutta integroida muita sovelluksia tarpeen mukaan. Rahoituspalvelujen työntekijöiden on yleensä tehtävä yhteistyötä ja kommunikoitava muiden osastojen tai tiimien jäsenten kanssa ja joskus ulkoisten entiteettien kanssa. Siksi on ei-toivottavaa käyttää järjestelmiä, jotka luovat siiloja tai tekevät tiedon jakamisesta vaikeaa. Sen sijaan on suositeltavaa käyttää ympäristöjä ja sovelluksia, joiden avulla työntekijät voivat viestiä, tehdä yhteistyötä ja jakaa tietoja turvallisesti ja yrityskäytännön mukaisesti.

Tarjoamalla työntekijöille modernin pilvipohjaisen yhteistyöympäristön he voivat valita ja integroida työkaluja, jotka tekevät heistä tuottavampia ja antavat heille mahdollisuuden löytää ketteriä toimintatapoja. Teamsin käyttäminen yhdessä suojauksen hallinnan ja tietohallintokäytäntöjen kanssa, jotka suojaavat organisaatiota, voi auttaa työvoimaasi kommunikoimaan ja tekemään yhteistyötä tehokkaasti.

Teams tarjoaa yhteistyökeskuksen organisaatiolle. Se auttaa yhdistämään ihmisiä, jotta he voivat työskennellä tuottavasti yleisten aloitteiden ja projektien parissa. Teamsin avulla tiimin jäsenet voivat käydä 1:1- ja usean osapuolen keskusteluja, tehdä yhteistyötä ja yhteismuokkaa asiakirjoja sekä tallentaa ja jakaa tiedostoja. Teams helpottaa myös verkkokokouksia integroidun yritysäänen ja -videon avulla. Teamsia voidaan mukauttaa myös Microsoft-sovelluksilla, kuten Microsoft Planner, Microsoft Dynamics 365, Power Appsilla, Power BI:llä ja kolmannen osapuolen toimialasovelluksilla. Teams on suunniteltu käytettäväksi sekä sisäisille tiimin jäsenille että sallituille ulkoisille käyttäjille, jotka voivat liittyä ryhmän kanaviin, osallistua keskustelukeskusteluihin, käyttää tallennettuja tiedostoja ja käyttää muita sovelluksia

Jokaista Microsoft Teamia tukee Microsoft 365 -ryhmä. Kyseistä ryhmää pidetään useiden Office 365 palveluiden, kuten Teamsin, jäsenpalveluna. Microsoft 365 -ryhmiä käytetään erottamaan turvallisesti omistajat ja jäsenet sekä hallitsemaan Teamsin erilaisten ominaisuuksien käyttöä. Kun Teamsiin yhdistetään asianmukaiset hallintatoiminnot ja säännöllisesti hallinnoidut käyttöoikeuksien tarkistukset, vain jäsenet ja omistajat voivat käyttää valtuutettuja kanavia ja ominaisuuksia.

Yleinen skenaario, jossa Teams hyötyy rahoituspalveluista, on sisäisten projektien tai ohjelmien suorittaminen. Esimerkiksi monilla rahoituslaitoksilla, kuten pankeilla, varainhoitoyrityksillä, luotto-osuuslaitoksilla ja vakuutustoimittajilla, on oltava rahanpesun ja muiden yhteensopivuusohjelmien oltava käytössä. IT:stä koostunut toimintojen välinen ryhmä, toimialat, kuten vähittäiskaupan ja varainhoito, sekä talousrikollisuusyksikkö voidaan vaatia jakamaan tietoja keskenään ja viestimään ohjelmasta tai erityistutkimuksista. Perinteisesti nämä ohjelmat ovat käyttäneet jaettuja verkkoasemia, mutta tämä lähestymistapa voi aiheuttaa lukuisia haasteita, kuten:

  • Vain yksi henkilö voi muokata asiakirjaa kerrallaan.
  • Suojauksen hallinta on aikaa vievää, koska yksilöiden lisäämiseen tai poistamiseen liittyy yleensä IT-toiminto.
  • Tiedot pysyvät jaettujen verkkojen asukkaina paljon pidempään kuin on tarpeen tai haluttu.

Teams voi tarjota yhteistyötilan luottamuksellisten asiakastietojen turvalliseen tallentamiseen ja tiimin jäsenten välisten keskustelujen järjestämiseen siellä, missä arkaluontoisista aiheista voidaan keskustella. Useat tiimin jäsenet voivat muokata yksittäistä asiakirjaa tai työstää sitä yhdessä yhteistyössä samanaikaisesti. Ohjelman omistaja tai koordinaattori voidaan määrittää ryhmän omistajaksi ja lisätä ja poistaa jäseniä tarvittaessa.

Toinen yleinen skenaario on käyttää Teamsia "virtuaalisena tietohuoneena" turvalliseen yhteistyöhön, kuten asiakirjojen tallentamiseen ja hallintaan. Tiimin jäsenet ja syndikaatit investointipankki-, omaisuudenhoito- tai pääomasijoitusyhtiöissä voivat turvallisesti tehdä yhteistyötä sopimuksen tai sijoituksen parissa. Toimintojenväliset tiimit osallistuvat usein tällaisten sopimusten suunnitteluun ja toteuttamiseen, ja mahdollisuus jakaa tietoja turvallisesti ja käydä keskusteluja on keskeinen edellytys. Myös liittyvien asiakirjojen turvallinen jakaminen ulkoisten sijoittajien kanssa on keskeinen vaatimus. Teams tarjoaa turvallisen ja täysin valvottavan sijainnin, josta voit keskitetysti tallentaa, suojata ja jakaa sijoitustietoja.

Ryhmä toimistotyöntekijöitä kokouksessa keskustelee kuvista suurella alueella.

Tiimit: yhteistyön parantaminen ja yhteensopivuusriskin vähentäminen

Microsoft 365 tarjoaa Teamsille muita yleisiä käytäntöominaisuuksia käyttämällä Microsoft 365 -ryhmiä pohjana olevana jäsenyyspalveluna. Nämä käytännöt voivat auttaa parantamaan yhteistyötä ja vastaamaan yhteensopivuustarpeisiin.

Microsoft 365 -ryhmien nimeämiskäytännöt auttavat varmistamaan, että Microsoft 365 -ryhmät ja siten tiimit nimetään yrityskäytännön mukaan. Nimet voivat olla ongelmallisia, jos ne eivät ole sopivia. Työntekijät eivät ehkä esimerkiksi tiedä, mille tiimeille tietoja käsitellään tai jaetaan, jos nimiä ei käytetä oikein. Ryhmän nimeämiskäytännöt (mukaan lukien etuliite- ja jälkiliitepohjaisten käytäntöjen ja mukautettujen estettyjen sanojen tuki) voivat edellyttää hyvää "hygieniaa" ja estää tiettyjen sanojen, kuten varattujen sanojen tai sopimattoman terminologian, käytön.

Microsoft 365 -ryhmän vanhenemiskäytännöt auttavat varmistamaan, että Microsoft 365 -ryhmiä ja siten tiimejä ei säilytetä pidempään kuin organisaatio haluaa tai tarvitsee. Tämä ominaisuus auttaa estämään kaksi keskeistä tiedonhallintaongelmaa:

  • Sellaisten tiimien yleistyminen, jotka eivät ole välttämättömiä tai joita ei käytetä.
  • Niiden tietojen ylisäilytys, joita organisaatio ei enää vaadi tai jota se käyttää (lukuun ottamatta laillisen pidon/säilyttämisen tapauksia).

Järjestelmänvalvojat voivat määrittää Microsoft 365 -ryhmille vanhentumisajan, kuten 90, 180 tai 365 päivää. Jos Microsoft 365 -ryhmän tukema palvelu on passiivinen vanhentumisjakson ajan, ryhmän omistajille ilmoitetaan. Jos mitään toimia ei tehdä, Microsoft 365 -ryhmä ja kaikki siihen liittyvät palvelut, mukaan lukien Teams, poistetaan.

Teamsiin ja muihin ryhmäpohjaisiin palveluihin tallennettujen tietojen ylipidätys voi aiheuttaa riskejä rahoituspalveluorganisaatioille. Microsoft 365 -ryhmän vanhenemiskäytännöt ovat suositeltu tapa estää enää tarvitsemieni tietojen säilyttäminen. Yhdessä valmiiden säilytystunnisteiden ja käytäntöjen kanssa Microsoft 365 auttaa varmistamaan, että organisaatiot säilyttävät vain tiedot, joita tarvitaan yrityksen käytäntöjen ja säädösten noudattamiseen liittyvien velvoitteiden täyttämiseen.

Teams: Mukautettujen vaatimusten integrointi vaivattomasti

Teams mahdollistaa tiimien omatoimisen luomisen oletusarvoisesti. Monet säännellyt organisaatiot haluavat kuitenkin hallita ja ymmärtää, mitkä yhteistyökanavat ovat tällä hetkellä työntekijöiden käytössä, mitkä kanavat voivat sisältää arkaluontoisia tietoja sekä omistajuuden organisaatiokanaville. Näiden hallintatoimintojen helpottamiseksi Microsoft 365 sallii organisaation poistaa omatoimisen tiimien luomisen käytöstä. Käyttämällä liiketoimintaprosessien automaatiotyökaluja, kuten Microsoft Power Appsia ja Power Automatea, organisaatiot voivat luoda ja ottaa käyttöön yksinkertaisia lomakkeita ja hyväksyntäprosesseja työntekijöille pyytääkseen uuden tiimin luomista. Hyväksymisen jälkeen tiimi voidaan valmistella automaattisesti ja pyyntöön lähetetään linkki. Tällä tavalla organisaatiot voivat suunnitella ja integroida vaatimustenmukaisuuden hallinnan ja mukautetut vaatimukset tiimin luontiprosessiin.

Hyväksyttävät digitaaliset viestintäkanavat

FINRA korostaa, että säänneltyjen yritysten digitaalinen viestintä täyttää pörssilain 17a-3 ja 17a-4 sääntöjen sekä FINRA Rule Series 4510:n kirjanpitovaatimukset. FINRA julkaisee vuosikertomuksen, joka sisältää avainhavaintoja, havaintoja ja tehokkaita käytäntöjä, joiden avulla organisaatiot voivat parantaa vaatimustenmukaisuutta ja riskienhallintaa. FINRA totesi vuonna 2019 tutkimustuloksista ja havainnoista antamassaan raportissa, että digitaalinen viestintä on keskeinen osa-alue, jolla yrityksillä on valvonnan ja kirjanpitovaatimusten mukaisia haasteita.

Jos organisaatio sallii työntekijöidensä käyttää tiettyä sovellusta, kuten sovelluspohjaista viestintäpalvelua tai yhteistyöalustaa, yrityksen on arkistoitava liiketoimintatiedot ja valvottava kyseisten työntekijöiden toimintaa ja viestintää kyseisessä sovelluksessa. Organisaatiot ovat vastuussa huolellisuudesta FINRA:n sääntöjen ja arvopaperilakien noudattamiseksi sekä tällaisten sovellusten työntekijöiden käyttöön liittyvien sääntöjen mahdollisista rikkomuksista.

FINRA:n suosittelemia tehokkaita käytäntöjä ovat seuraavat:

  • Perusta kattava hallinto-ohjelma digitaalisia viestintäkanavia varten. Hallitse organisaation päätöksiä siitä, mitkä digitaaliset viestintäkanavat sallitaan, ja määritä kunkin digitaalisen kanavan yhteensopivuusprosessit. Seuraa tarkasti digitaalisten viestintäkanavien nopeasti muuttuvia ympäristöjä ja pidä yhteensopivuusprosessit ajan tasalla.
  • Määritä ja hallitse sallittuja digitaalisia kanavia selkeästi. Määritä sekä hyväksytyt että kielletyt digitaaliset kanavat. Estä tai rajoita kiellettyjen digitaalisten kanavien tai kiellettyjen ominaisuuksien käyttöä digitaalisissa kanavissa, jotka rajoittavat organisaation kykyä noudattaa tietueiden hallinta- ja valvontavaatimuksia.
  • Anna digitaalista viestintäkoulutusta. Toteuta pakollisia koulutusohjelmia, ennen kuin rekisteröidyille edustajille annetaan pääsy hyväksyttyihin digitaalisiin kanaviin. Koulutus auttaa selkeyttämään organisaation liiketoiminnan ja henkilökohtaisen digitaalisen viestinnän odotuksia ja opastaa henkilökuntaa käyttämään kunkin kanavan sallittuja ominaisuuksia yhteensopivalla tavalla.

FINRA:n havainnot ja havainnot digitaalisesta viestinnästä liittyvät suoraan organisaation kykyyn noudattaa SEC:n sääntöä 17a-4 kaiken liiketoimintaan liittyvän viestinnän säilyttämisestä, FINRA:n säännöistä 3110 ja 3120 viestinnän valvonnasta ja tarkastelusta sekä sääntösarjasta 4510 tietojen säilyttämisestä. Commodity Futures Trading Commission (CFTC) promultoituja vastaavia vaatimuksia kohdassa 17 CFR 131. Näitä asetuksia käsitellään perusteellisesti jäljempänä tässä artikkelissa.

Teams sekä Microsoft 365:n tietoturva- ja yhteensopivuustarjonnan kattava ohjelmistopaketti tarjoavat rahoituspalvelulaitoksille yrityksen digitaalisen viestintäkanavan, jonka avulla ne voivat harjoittaa liiketoimintaa tehokkaasti ja noudattaa säädöksiä. Tämän artikkelin loppuosassa kuvataan, miten Microsoft 365:n sisäiset ominaisuudet tietueiden hallintaan, tietojen suojaamiseen, tietoesteisiin ja valvontavalvontaan antavat Teamsille vankan työkalujoukon, joka auttaa täyttämään nämä sääntelyvelvoitteet.

Modernin yhteistyön suojaaminen Microsoft 365:llä

Turvalliset käyttäjätiedot ja käyttöoikeuksien hallinta

Asiakastietojen, talousasiakirjojen ja sovellusten käytön suojaaminen alkaa vahvalla käyttäjätietojen suojaamisella. Tämä edellyttää, että yritys voi tallentaa ja hallita käyttäjätietoja suojatulla alustalla, tarjota luotettavan todentamisen ja hallita dynaamisesti kyseisten sovellusten käyttöoikeuksia.

Kun työntekijät työskentelevät, he voivat siirtyä sovelluksesta sovellukseen tai useiden sijaintien ja laitteiden välillä. Tietojen käyttöoikeus on todennettava jokaisessa vaiheessa. Todennusprosessin on tuettava vahvaa protokollaa ja useita todentamisen tekijöitä (kuten kertaus sms-pass-koodia, todentajasovellusta ja varmennetta) sen varmistamiseksi, että käyttäjätietoja ei vaaranneta. Riskipohjaisten käyttöoikeuskäytäntöjen pakottaminen on ratkaisevan tärkeää taloudellisten tietojen ja sovellusten suojaamiseksi insider-uhilta, tahattomilta tietovuodoilta ja tietojen suodattimelta.

Microsoft 365 tarjoaa suojatun käyttäjätietoympäristön Microsoft Entra ID, johon käyttäjätiedot tallennetaan keskitetysti ja jossa niitä hallitaan turvallisesti. Microsoft Entra ID yhdessä palveluihin liittyvien Microsoft 365 -suojauspalveluiden kanssa muodostaa perustan sille, että työntekijöille tarjotaan heidän tarvitsemansa käyttöoikeudet turvalliseen työskentelyyn ja samalla suojataan organisaatiota uhkilta.

Microsoft Entra monimenetelmäinen todentaminen on sisäänrakennettu ympäristöön, ja se tarjoaa lisätodennuksen todentamisesta, joka auttaa vahvistamaan käyttäjätiedot, kun he käyttävät arkaluonteisia taloustietoja ja sovelluksia. Azure MFA edellyttää vähintään kahta todennusmuotoa, kuten salasanaa ja tunnettua mobiililaitetta. Se tukee useita toisen tekijän todennusvaihtoehtoja, kuten:

  • Microsoft Authenticator -sovellus
  • Tekstiviestillä toimitettu kertakohtainen tunnuskoodi
  • Puhelu, jossa käyttäjän on annettava PIN-koodi

Jos salasana on jotenkin vaarantunut, mahdollinen hakkeri tarvitsee silti käyttäjän puhelimen päästäkseen käsiksi organisaation tietoihin. Lisäksi Microsoft 365 käyttää modernia todennusta keskeisenä protokollana, mikä tuo saman vahvan ja monipuolisen todennuskokemuksen selaimista yhteistyötyökaluihin, joita työntekijät käyttävät päivittäin, mukaan lukien Microsoft Outlook ja muut Microsoft Office -sovellukset.

Salasanaton

Salasanat ovat suojausketjun heikoin linkki. Ne voivat olla yksittäinen vikapiste, jos lisävahvistusta ei ole. Microsoft tukee monia eri todennusvaihtoehtoja, jotka vastaavat rahoituslaitosten tarpeita.

Salasanattomien menetelmien avulla monimenetelmäinen todentaminen on helpompaa käyttäjille. Vaikka kaikki MFA ei ole salasanattomia, salasanattomat teknologiat käyttävät monimenetelmäistä todentamista. Microsoft, Google ja muut alan johtajat ovat kehittäneet standardeja yksinkertaisemman ja vahvemman todennuskokemuksen mahdollistamiseksi verkossa ja mobiililaitteissa Fast IDentity Online (FIDO) -nimisessä ryhmässä. Äskettäin kehitetyn FIDO2-standardin avulla käyttäjät voivat todentaa helposti ja turvallisesti ilman salasanaa tietojenkalastelun poistamiseksi.

Microsoft MFA -menetelmiä, jotka ovat salasanattomia, ovat seuraavat:

  • Microsoft Authenticator: Microsoft Authenticator -mobiilisovelluksen käyttäminen on suositeltavaa joustavuuden, kätevyyden ja kustannusten vuoksi. Microsoft Authenticator tukee biometriatietoja, palveluilmoituksia ja kertakoodia kaikissa Microsoft Entra yhdistetyissä sovellukseissa. Se on saatavilla Apple- ja Android-sovelluskaupoista.
  • Windows Hello: Suosittelemme käyttämään Windows Hello, jotta tietokoneen sisäinen käyttökokemus on valmis. Se käyttää biometrisiä tietoja (kuten kasvoja tai sormenjälkiä) kirjautuakseen sisään automaattisesti.
  • FIDO2-suojausavaimet ovat nyt saatavilla useilta Microsoftin kumppaneilta: Yubico, Feitian Technologies ja HID Global USB-, NFC-yhteensopivassa merkissä tai biometrisessa avaimessa.

Microsoft Entra Ehdollinen käyttö tarjoaa vankan ratkaisun käyttöoikeuksien valvontapäätösten automatisoinniin ja organisaation käytäntöjen pakottamiseen yrityksen resurssien suojaamiseksi. Perinteinen esimerkki on se, kun taloussuunnittelija haluaa käyttää sovellusta, jossa on arkaluonteisia asiakastietoja. Ne vaaditaan automaattisesti suorittamaan monimenetelmäinen todennus, jotta he voivat erityisesti käyttää kyseistä sovellusta, ja käyttöoikeuden on oltava peräisin yrityksen hallitsemasta laitteesta. Azuren ehdollinen käyttö tuo yhteen käyttäjän käyttöoikeuspyyntöä koskevia signaaleja, kuten käyttäjän ominaisuuksia, laitetta, sijaintia ja verkkoa sekä sovellusta, jota käyttäjä yrittää käyttää. Se arvioi dynaamisesti yrityksiä käyttää sovellusta määritettyjen käytäntöjen perusteella. Jos käyttäjä- tai laiteriski on kohonnut tai muut ehdot eivät täyty, Microsoft Entra ID voi ottaa automaattisesti käyttöön käytäntöjä, kuten monimenetelmäisen todentamisen edellyttämistä, suojatun salasanan palauttamisen edellyttämistä tai käyttöoikeuksien rajoittamista tai estämistä. Tämä auttaa varmistamaan, että luottamukselliset organisaatioresurssit suojataan dynaamisesti muuttuvissa ympäristöissä.

Microsoft Entra ID ja siihen liittyvät Microsoft 365 -tietoturvapalvelut luovat perustan modernille pilviyhteistyöalustalle rahoituslaitoksille, jotta tietojen ja sovellusten käyttö voidaan suojata ja sääntelyviranomaisten vaatimustenmukaisuusvelvoitteet voidaan täyttää. Nämä työkalut tarjoavat seuraavat tärkeimmät ominaisuudet:

  • Tallenna ja hallitse käyttäjätietoja keskitetysti.
  • Käytä vahvaa todennusprotokollaa, mukaan lukien monimenetelmäinen todentaminen, käyttäjien todentamiseen käyttöoikeuspyynnöissä ja yhdenmukaisen ja vankan todennuskokemuksen tarjoamiseen kaikissa sovelluksissa.
  • Vahvista dynaamisesti kaikkien käyttöoikeuspyyntöjen käytännöt sisällyttäen useita signaaleja käytännön päätöksentekoprosessiin, mukaan lukien käyttäjätiedot, käyttäjän/ryhmän jäsenyys, sovellus, laite, verkko, sijainti ja reaaliaikaiset riskipisteet.
  • Vahvista eriytetyt käytännöt käyttäjän toiminnan ja tiedostojen ominaisuuksien perusteella ja pakota tarvittaessa dynaamisesti lisäsuojaustoimenpiteitä.
  • Tunnista "varjo-IT" organisaatiossa ja salli InfoSec-tiimien hyväksyä tai estää pilvipalvelusovelluksia.
  • Microsoftin ja muiden kuin Microsoftin pilvisovellusten käytön valvonta ja hallinta.
  • Suojaa ennakoivasti sähköpostin tietojenkalastelulta ja kiristyshaittaohjelmahyökkäyksiltä.

Microsoft Entra ID -tunnuksien suojaus

Ehdollinen käyttö suojaa resursseja epäilyttäviltä pyynnöiltä, mutta käyttäjätietojen suojaus menee pidemmälle tarjoamalla jatkuvan riskintunnistuksen ja epäilyttävien käyttäjätilien korjaamisen. Käyttäjätietojen suojaus pitää sinut ajan tasalla epäilyttävästä käyttäjästä ja kirjautumistoiminnasta ympäristössäsi kellon ympäri. Sen automaattinen reagointi estää ennakoivasti vaarantuneita käyttäjätietoja käyttämästä väärin.

Käyttäjätietojen suojaus on työkalu, jonka avulla organisaatiot voivat suorittaa kolme tärkeää tehtävää:

  • Automatisoi käyttäjätietoon perustuvien riskien tunnistaminen ja korjaaminen.
  • Tutki riskejä käyttämällä portaalin tietoja.
  • Vie riskintunnistustiedot kolmannen osapuolen apuohjelmiin lisäanalyyseja varten.

Identity Protection käyttää tietoja, jotka Microsoft on hankkinut asemastaan organisaatioissa, joissa on Microsoft Entra ID, kuluttajatilassa Microsoft-tilien avulla ja pelaamassa Xboxilla käyttäjien suojaamiseksi. Microsoft analysoi 65 biljoonaa signaalia päivässä tunnistaakseen ja suojatakseen asiakkaita uhkilta. Käyttäjätietojen suojauksen luomia ja käyttäjätietojen suojaamiseen syötettyjä signaaleja voidaan syöttää edelleen työkaluihin, kuten ehdolliseen käyttöön, käyttöoikeuspäätösten tekemiseksi. Ne voidaan myös syöttää takaisin suojaustietoihin ja tapahtumienhallintatyökaluun tarkempaa tutkimusta varten organisaatiosi pakotettujen käytäntöjen perusteella.

Käyttäjätietojen suojauksen avulla organisaatiot voivat automaattisesti suojautua käyttäjätietojen vaarantumiselta hyödyntämällä pilvitietoja, jotka perustuvat heuristiikkaan, käyttäjien ja entiteettien käyttäytymisanalytiikkaan (UEBA) sekä koneoppimiseen (ML) koko Microsoftin ekosysteemissä.

Viisi tietotyöntekijää katsoo, kun toinen pitää esityksen.

Tunnista luottamukselliset tiedot ja estä tietojen menettäminen

Microsoft 365:n avulla kaikki organisaatiot voivat tunnistaa luottamuksellisia tietoja organisaatiossa tehokkaiden ominaisuuksien yhdistelmän avulla, mukaan lukien:

  • Microsoft Purview Information Protection sekä käyttäjäpohjaiselle luokitukselle että luottamuksellisten tietojen automaattiselle luokitukselle.
  • Microsoft Purview -tuotteen tietojen menetyksen esto (DLP) luottamuksellisten tietojen automaattiseen tunnistamiseen luottamuksellisten tietotyyppien (eli säännöllisten lausekkeiden) ja avainsanojen sekä käytäntöjen täytäntöönpanon avulla.

Microsoft Purview Information Protection avulla organisaatiot voivat luokitella asiakirjoja ja sähköpostiviestejä älykkäästi luottamuksellisuustunnisteiden avulla. Käyttäjät voivat käyttää luottamuksellisuustunnisteita manuaalisesti Microsoft Office -sovellusten asiakirjoissa ja outlookin sähköposteissa. Tunnisteet voivat ottaa automaattisesti käyttöön asiakirjan merkinnät, suojauksen salauksen ja oikeuksien hallinnan täytäntöönpanon kautta. Luottamuksellisuustunnisteita voidaan ottaa käyttöön automaattisesti myös määrittämällä käytännöt, jotka käyttävät avainsanoja ja luottamuksellisia tietotyyppejä (kuten luottokorttinumeroita, sosiaaliturvatunnuksia ja käyttäjätietoja) luottamuksellisten tietojen etsimiseksi ja luokittelemiseksi automaattisesti.

Lisäksi Microsoft tarjoaa "koulutettavia luokittajia", jotka käyttävät koneoppimismalleja tunnistamaan luottamuksellisia tietoja sisällön perusteella sen sijaan, että ne yksinkertaisesti täsmäytetään kuviin tai sisällön sisältämiin elementteihin. Luokittelutoiminto oppii tunnistamaan sisältötyypin katsomalla lukuisia esimerkkejä luokiteltavasta sisällöstä. Luokittelun harjoittaminen alkaa antamalla sille esimerkkejä tietyn luokan sisällöstä. Kun malli on oppinut näistä esimerkeistä, se testataan lisäämällä siihen vastaavia ja vastaamattomia esimerkkejä. Luokittelutoiminto ennustaa, kuuluuko tietty esimerkki luokkaan vai ei. Tämän jälkeen henkilö vahvistaa tulokset lajittelemalla positiiviset, negatiiviset, false-positiiviset ja false-negatiiviset parantaakseen luokittelun ennusteiden tarkkuutta. Kun koulutettu luokitus julkaistaan, se käsittelee sisältöä Microsoft Office SharePoint Online, Exchange Online ja OneDrive for Business ja luokittelee sisällön automaattisesti.

Luottamuksellisuustunnisteiden käyttäminen asiakirjoihin ja sähköposteihin upottaa metatietoja, jotka tunnistavat valitun luottamuksellisuustunnisteen objektissa. Luottamuksellisuus kulkee sitten tietojen mukana. Vaikka nimetty asiakirja olisi tallennettu käyttäjän työpöydälle tai paikalliseen järjestelmään, se on silti suojattu. Tämän toiminnon avulla muut Microsoft 365 -ratkaisut, kuten Microsoft Defender for Cloud Apps tai verkon reunalaitteet, voivat tunnistaa luottamuksellisia tietoja ja ottaa automaattisesti käyttöön suojauksen hallintatoimia. Luottamuksellisuustunnisteiden etuna on myös se, että työntekijöille kerrotaan, mitä tietoja organisaatiossa pidetään luottamuksellisina ja miten näitä tietoja käsitellään, kun he saavat ne.

Microsoft Purview -tuotteen tietojen menetyksen esto (DLP) tunnistaa automaattisesti luottamuksellisia tietoja sisältävät asiakirjat, sähköpostiviestit ja keskustelut skannaamalla ne luottamuksellisten tietojen osalta ja valvomalla sitten kyseisten objektien käytäntöä. SharePointin ja OneDrive for Business asiakirjoissa käytetään käytäntöjä. Ne pakotetaan myös silloin, kun käyttäjät lähettävät sähköpostia, sekä Teams-keskusteluissa ja kanavakeskusteluissa. Käytännöt voidaan määrittää etsimään avainsanoja, luottamuksellisia tietotyyppejä, säilytysotsikoita ja sitä, jaetaanko tietoja organisaatiossa vai ulkoisesti. Ohjausobjektit auttavat organisaatioita hienosäätämään DLP-käytäntöjä false-positiivisten vähentämiseksi. Kun luottamuksellisia tietoja löytyy, microsoft 365 -sovellusten käyttäjille voidaan näyttää mukautettavia käytäntövihjeitä, joiden avulla he voivat ilmoittaa, että heidän sisältönsä sisältää luottamuksellisia tietoja, ja ehdottaa sitten korjaavia toimia. Käytännöt voivat myös estää käyttäjiä käyttämästä asiakirjoja, jakamasta asiakirjoja tai lähettämästä tietyntyyppisiä arkaluonteisia tietoja sisältäviä sähköpostiviestejä. Microsoft 365 tukee yli 100:aa sisäistä luottamuksellista tietotyyppiä. Organisaatiot voivat määrittää mukautettuja luottamuksellisia tietotyyppejä käytäntöjensä mukaisesti.

Microsoft Purview Information Protection- ja DLP-käytäntöjen käyttöönotto organisaatioissa edellyttää huolellista suunnittelua ja käyttäjän koulutusohjelmaa, jotta työntekijät ymmärtävät organisaation tietojen luokitusrakenteen ja sen, minkä tyyppisiä tietoja pidetään luottamuksellisina. Tarjoamalla työntekijöille työkaluja ja koulutusohjelmia, joiden avulla he tunnistavat arkaluonteisia tietoja ja ymmärtävät, miten he voivat käsitellä niitä, he ovat osa ratkaisua tietoturvariskien lieventämiseksi.

Käyttäjätietojen suojauksen luomia ja käyttäjätietojen suojaamiseen syötettyjä signaaleja voidaan syöttää myös työkaluihin, kuten ehdolliseen käyttöön käyttöoikeuspäätösten tekemiseksi, tai suojaustietoihin ja tapahtumienhallintatyökaluun (SIEM) organisaation pakotettujen käytäntöjen perusteella.

Käyttäjätietojen suojauksen avulla organisaatiot voivat automaattisesti suojautua käyttäjätietojen vaarantumiselta hyödyntämällä pilvitietoja, jotka perustuvat heuristiikkaan, käyttäjien ja entiteettien käyttäytymisanalytiikkaan sekä koneoppimiseen koko Microsoft-ekosysteemissä.

Tietotyöntekijä on kuvattu suuren näyttövalikoiman edessä.

Puolusta linnoitusta

Microsoft lanseerasi hiljattain Microsoft Defender XDR-ratkaisun, joka on suunniteltu suojaamaan nykyaikainen organisaatio kehittyvältä uhkamaisemalta. Hyödyntämällä älykästä suojauskaaviota Threat Protection -ratkaisu tarjoaa kattavan ja integroidun suojauksen useita hyökkäysvektoreita vastaan.

Älykäs suojauskaavio

Microsoft 365:n suojauspalvelut käyttävät älykästä suojauskaaviota. Älykkään suojauksen kaavio käyttää edistynyttä analytiikkaa, jonka avulla se linkittää Microsoftin ja sen kumppaneiden uhkatieto- ja tietoturvasignaaleja kyberuhkien torjumiseksi. Microsoft käyttää globaaleja palveluita valtavassa mittakaavassa keräten biljoonia suojaussignaaleja, jotka tehostavat suojauskerroksia pinon yli. Koneoppimismallit arvioivat tätä älykkyyttä, ja signaalien ja uhkien merkitykselliset tiedot jaetaan laajasti tuotteissamme ja palveluissamme. Tämän avulla voimme havaita uhat ja vastata niihin nopeasti ja tuoda toiminnallisia ilmoituksia ja tietoja asiakkaille korjattavaksi. Koneoppimismallejamme harjoitetaan jatkuvasti ja päivitetään uusilla merkityksellisillä tiedoilla, mikä auttaa meitä kehittämään entistä turvallisempia tuotteita ja tarjoamaan ennakoivampaa suojausta.

Microsoft Defender for Office 365 tarjoaa integroidun Microsoft 365 -palvelun, joka suojaa organisaatioita sähköpostin ja Office-asiakirjojen kautta toimitetuilta haitallisilta linkeiltä ja haittaohjelmilta. Yksi yleisimmistä hyökkäysvektoreista, joka vaikuttaa käyttäjiin nykyään, on sähköpostin tietojenkalasteluhyökkäykset. Nämä hyökkäykset voidaan kohdistaa tietyille käyttäjille, ja ne voivat olla erittäin vakuuttavia, ja ne voivat sisältää toimintokutsun, joka kehottaa käyttäjää valitsemaan haitallisen linkin tai avaamaan liitteen, joka sisältää haittaohjelmia. Kun tietokone on tartutettu, hyökkääjä voi joko varastaa käyttäjän tunnistetiedot ja siirtyä sivuttain koko organisaatioon tai suodattaa sähköpostiviestit ja tiedot luottamuksellisten tietojen etsimistä varten. Defender for Office 365 tukee turvallisia liitteitä ja turvallisia linkkejä arvioimalla tiedostoja ja linkkejä napsautushetkellä mahdollisesti haitallisia aikomuksia varten ja estää käytön. Sähköpostiliitteet avataan suojatussa eristyksessä, ennen kuin ne toimitetaan käyttäjän postilaatikkoon. Se arvioi myös Office-asiakirjojen linkit haitallisia URL-osoitteita varten. Defender for Office 365 suojaa myös SharePoint Onlinen, OneDrive for Business ja Teamsin linkit ja tiedostot. Jos haitallinen tiedosto havaitaan, Defender for Office 365 lukitsee tiedoston automaattisesti mahdollisten vahinkojen vähentämiseksi.

Microsoft Defender for Endpoint on yhdistetty päätepisteen suojausympäristö ennaltaehkäisevää suojausta, murron jälkeistä tunnistusta sekä automatisoitua tutkintaa ja reagointia varten. Defender for Endpoint tarjoaa valmiita ominaisuuksia luottamuksellisten tietojen etsimiseen ja suojaamiseen yrityksen päätepisteissä.

Microsoft Defender for Cloud Apps avulla organisaatiot voivat ottaa käyttöön eriytettyjä käytäntöjä ja tunnistaa yksittäisiin käyttäjäprofiileihin perustuvia käyttäytymispoikkeamia, jotka määritetään automaattisesti koneoppimisen avulla. Defender for Cloud Apps -käytännöt voivat käyttää Azuren ehdollisten käyttöoikeuksien käytäntöjä luottamuksellisten yritysresurssien suojaamiseksi arvioimalla muita signaaleja, jotka liittyvät käyttäjien toimintaan ja käytettävien asiakirjojen ominaisuuksiin. Ajan mittaan Defender for Cloud Apps oppii, mikä on tyypillistä kullekin työntekijälle heidän käyttämiensä tietojen ja heidän käyttämiensä sovellusten suhteen. Opittuihin toimintatapoihin perustuvien käytäntöjen avulla käytännöt voivat sitten automaattisesti pakottaa suojauksen hallinnan, jos työntekijä toimii kyseisen toimintaprofiilin ulkopuolella. Jos työntekijä esimerkiksi tavallisesti käyttää kirjanpitosovellusta maanantaista perjantaihin klo 9.00-17.00, mutta alkaa yhtäkkiä käyttää kyseistä sovellusta voimakkaasti sunnuntai-iltana, Defender for Cloud Apps voi dynaamisesti valvoa käytäntöjä, jotka edellyttävät käyttäjän todennusta uudelleen. Tämä auttaa varmistamaan, että käyttäjän tunnistetietoja ei ole vaarantunut. Defender for Cloud Apps voi myös auttaa tunnistamaan "varjo-IT:n" organisaatiossa, mikä auttaa tietoturvatiimejä varmistamaan, että työntekijät käyttävät hyväksyttyjä työkaluja käsitellessaan luottamuksellisia tietoja. Lopuksi Defender for Cloud Apps voi suojata luottamuksellisia tietoja missä tahansa pilvipalvelussa jopa Microsoft 365 -ympäristön ulkopuolella. Sen avulla organisaatiot voivat hyväksyä (tai olla hyväksymättä) tiettyjä ulkoisia pilvipalvelusovelluksia, hallita käyttöoikeuksia ja valvoa käyttöä.

Microsoft Defender for Identity on pilvipohjainen suojausratkaisu, joka käyttää paikallinen Active Directory-signaalejasi kehittyneiden uhkien, vaarantuneiden käyttäjätietojen ja organisaatioosi suunnattujen haitallisten insider-toimien tunnistamiseen, havaitsemiseen ja tutkimiseen. AATP:n avulla SecOp-analyytikot ja tietoturva-ammattilaiset voivat havaita kehittyneitä hyökkäyksiä hybridiympäristöissä:

  • Valvo käyttäjiä, entiteetin toimintaa ja toimintoja oppimispohjaisen analytiikan avulla.
  • Suojaa Active Directoryyn tallennetut käyttäjätiedot ja tunnistetiedot.
  • Tunnista ja tutki epäilyttäviä käyttäjän toimia ja kehittyneitä hyökkäyksiä koko tappoketjussa.
  • Anna selkeät tapaustiedot yksinkertaisella aikajanalla nopeaa triagea varten.

Toimistotyöntekijät tapaavat pienessä neuvotteluhuoneessa. Yksi pitää esityksen.

Hallitse tietoja ja tietueita

Rahoituslaitosten on säilytettävä kirjanpitonsa ja tietonsa lakisääteisten, oikeudellisten ja liiketoimintavelvoitteidensa mukaisesti, sellaisina kuin ne ovat edustettuina yritysten säilytysaikataulussa. Esimerkiksi SEC valtuuttaa 3–6 vuoden säilytysajat tietuetyypin perusteella ja on heti käytettävissä kahden ensimmäisen vuoden ajan. Organisaatioihin kohdistuu lainmukaisten ja säädösten noudattamiseen liittyviä riskejä, jos tietoja säilytetään liian vähän (ne hylätään liian aikaisin) ja ne hallinnoivat nyt myös määräyksiä, jotka valtuuttavat luovutuksen, kun tietoja ei enää tarvita. Tehokkaassa tietueiden hallintastrategiassa korostetaan käytännöllistä ja johdonmukaista lähestymistapaa, jotta tiedot hävitetään asianmukaisesti ja samalla minimoidaan kustannukset ja riskit organisaatiolle.

Lisäksi New Yorkin ulkoministeriön lakisääteiset valtuudet edellyttävät, että katetut yksiköt säilyttävät ei-julkista tietoa koskevat käytännöt ja menettelyt. 23 NYCRR 500, osio 500.13, Tietojen säilytystä koskevat rajoitukset edellyttävät, että "osana kyberturvallisuusohjelmaan kunkin katetun yksikön on sisällettävä suojatun luovutuksen käytännöt ja menettelyt säännöllisin väliajoin kaikkien tämän osan 500.01(g)(2)-(3) kohdassa määritettyjen ei-julkisiin tarkoituksiin, jotka eivät ole enää tarpeen liiketoimintatoiminnassa tai muissa katetun yksikön laillisissa liiketoimintatarkoituksessa, paitsi, jos nämä tiedot on muutoin säilytettävä laissa tai asetuksessa."

Rahoituslaitokset hallinnoivat valtavia tietomääriä. Jotkin säilytysajat käynnistyvät tapahtumista, kuten sopimuksen päättymisestä tai organisaatiosta poistumisesta. Tässä ilmapiirissä tietueiden säilytyskäytäntöjen käyttöönotto voi olla haastavaa. Tavat, joilla tietueiden säilytysjaksot määritetään tarkasti organisaation asiakirjojen välillä, voivat vaihdella. Jotkin soveltavat säilytyskäytäntöjä laajasti tai käyttävät automaattista luokittelua ja koneoppimistekniikoita. Toiset tunnistavat lähestymistavan, joka edellyttää tarkempia prosesseja, jotka määrittävät säilytysajat yksilöllisesti yksittäisille asiakirjoille.

Microsoft 365 tarjoaa joustavat ominaisuudet säilytystunnisteiden ja käytäntöjen määrittämiseen tietueiden hallintavaatimusten älykkääseen toteuttamiseen. Tietueiden hallinta määrittää säilytysotsikon, joka edustaa "tietuetyyppiä" perinteisessä säilytysaikataulussa. Säilytysotsikko sisältää asetukset, jotka määrittävät seuraavat tiedot:

  • Kuinka kauan tietuetta säilytetään
  • Mitä tapahtuu, kun säilytysaika päättyy (poista asiakirja, aloita poistaminen tai älä tee mitään)
  • Mikä käynnistää säilytysajan alkamispäivän (luontipäivämäärä, viimeisin muokkauspäivä, nimetty päivämäärä tai tapahtuma) ja merkitsee asiakirjan tai sähköpostin tietueeksi (eli sitä ei voi muokata tai poistaa)

Säilytysotsikot julkaistaan sitten SharePoint- tai OneDrive-sivustoihin, Exchange-postilaatikoihin ja Microsoft 365 -ryhmiin. Käyttäjät voivat käyttää säilytystunnisteita manuaalisesti asiakirjoissa ja sähköposteissa. Tietuepäälliköt voivat käyttää älykkyyttä ottaakseen tunnisteet automaattisesti käyttöön. Älykkäät toiminnot voivat perustua yli 90 sisäiseen luottamukselliseen tietotyyppiin (kuten ABA-retken numeroon, Yhdysvaltalaisen pankkitilin numeroon tai Yhdysvaltain sosiaaliturvatunnukseen). Niitä voi myös mukauttaa asiakirjojen tai sähköpostiviestien avainsanojen tai luottamuksellisten tietojen, kuten luottokorttinumeroiden tai muiden tunnistustietojen, tai SharePoint-metatietojen perusteella. Tiedoille, joita ei ole helppo tunnistaa manuaalisen tai automatisoidun kuviovastaavuuden avulla, harjoittelijaluokittajia voidaan käyttää asiakirjojen älykkääseen luokitteluun koneoppimistekniikoiden perusteella.

Arvopaperi- ja pörssikomissio (SEC) edellyttää, että meklari-jälleenmyyjät ja muut säännellyt rahoituslaitokset säilyttävät kaiken liiketoimintaan liittyvän viestinnän. Nämä vaatimukset koskevat monenlaisia viestejä ja tietoja, kuten sähköpostiviestejä, asiakirjoja, pikaviestejä, fakseja ja paljon muuta. SEC-sääntö 17a-4 määrittää kriteerit, jotka näiden organisaatioiden on täytettävä tietueiden tallentamiseksi sähköiseen tietojen tallennusjärjestelmään. Vuonna 2003 SEC julkaisi julkaisun, joka selvensi näitä vaatimuksia. Se sisälsi seuraavat ehdot:

  • Sähköisessä tallennusjärjestelmässä säilytettävien tietojen on oltava uudelleenkirjoitettavissa ja ei-hävitettäviä. Tätä kutsutaan WORM-vaatimukseksi (kirjoita kerran, lue monta).
  • Tallennusjärjestelmän on voitava tallentaa tietoja, jotka ylittävät säännön vaatiman säilytysajan, jos kyseessä on haaste tai muu oikeusjärjestys.
  • Organisaatio ei rikkoisi säännön kohdan (f)(2)(ii)(A) vaatimusta, jos se käyttäisi sähköistä tallennusjärjestelmää, joka estää tietueen korvaamisen, poistamisen tai muulla tavoin muuttamisen sen vaaditun säilytysajan aikana käyttämällä integroituja laitteisto- ja ohjelmistovalvontakoodeja.
  • Sähköiset tallennusjärjestelmät, jotka vain lieventävät riskiä siitä, että tietue korvataan tai poistetaan esimerkiksi käyttöoikeuksien valvonnan avulla, eivät täytä säännön vaatimuksia.

Auttaakseen rahoituslaitoksia täyttämään SEC-säännön 17a-4 vaatimukset Microsoft 365 tarjoaa yhdistelmän ominaisuuksia, jotka liittyvät siihen, miten tiedot säilytetään, käytäntöihin määritetään ja tiedot tallennetaan palveluun. Näitä ovat esimerkiksi seuraavat:

  • Tietojen säilyttäminen (sääntö 17a-4(a), (b)(4)) – Säilytystunnisteet ja -käytännöt ovat joustavia organisaation tarpeiden täyttämiseksi, ja niitä voidaan soveltaa automaattisesti tai manuaalisesti erityyppisiin tietoihin, asiakirjoihin ja tietoihin. Tuettuja tietotyyppejä ja viestintää tuetaan, mukaan lukien Tiedostot SharePointissa ja OneDrive for Business, Exchange Online postilaatikoiden tiedot ja Teamsin tiedot.

  • Muotoa ei voi kirjoittaa uudelleen, eikä sitä voi poistaa (sääntö 17a-4(f)(2)(ii)(A)) – Säilytyskäytäntöjen säilyttämisen lukitusominaisuus antaa tietueiden ylläpitäjille ja järjestelmänvalvojille mahdollisuuden määrittää säilytyskäytännöt rajoittaviksi siten, että niitä ei voi enää muokata. Tämä estää kaikkia poistamasta, poistamasta käytöstä tai muokkaamasta säilytyskäytäntöä millään tavalla. Tämä tarkoittaa sitä, että kun säilyttämislukko on otettu käyttöön, sitä ei voi poistaa käytöstä eikä mitään menetelmää, jolla säilytyskäytäntöä olisi käytetty, voida korvata, muokata tai poistaa säilytysjakson aikana. Lisäksi säilytysaikaa ei voi lyhentää. Säilytysaikaa voidaan kuitenkin pidentää, kun tietojen säilyttämisen jatkamiseen on lakisanallinen vaatimus.

    Kun säilytyskäytäntöön sovelletaan säilyttämislukitusta, seuraavat toimet ovat rajoitettuja:

    • Käytännön säilytysaikaa voidaan vain nostaa. Sitä ei voi lyhentää.
    • Käyttäjiä voidaan lisätä käytäntöön, mutta käytännön nykyisiä käyttäjiä ei voi poistaa.
    • Organisaation järjestelmänvalvoja ei voi poistaa säilytyskäytäntöä.

    Preservation Lock auttaa varmistamaan, että kukaan käyttäjä, ei edes järjestelmänvalvoja, jolla on korkein käyttöoikeustaso, ei voi muuttaa asetuksia, muokata, korvata tai poistaa tallennettuja tietoja, jolloin arkistointi Microsoft 365:ssä vastaa SEC 2003 -julkaisussa annettuja ohjeita.

  • Tallennustilan/sarjoituksen ja tietojen indeksoinnin laatu, tarkkuus ja vahvistus (sääntö 17a-4(f)(2) (ii)(B) ja (C)) – Office 365 kuormitukset sisältävät kaikki ominaisuudet, joilla tarkistetaan automaattisesti tallennusvälineisiin tallennettavan prosessin laatu ja tarkkuus. Lisäksi tiedot tallennetaan käyttämällä metatietoja ja aikaleimaa, jotta varmistetaan riittävä indeksointi, jotta tietoja voidaan hakea tehokkaasti.

  • Kopioiden kaksoiskappaleiden erillinen tallennustila (sääntö 17a-4(f)(3(iii)) – Office 365 pilvipalvelu tallentaa kopioiden kopiot tiedoista korkean käytettävyyden keskeisenä osana. Tämä toteutetaan ottamalla redundanssi käyttöön kaikilla palvelun tasoilla, myös fyysisellä tasolla kaikissa palvelimilla, palvelintasolla palvelinkeskuksessa ja palvelutasolla maantieteellisesti hajallaan olevia palvelinkeskuksia varten.

  • Ladattavat ja käytettävissä olevat tiedot (sääntö 17a-4(f)(2)(ii)(D)) – Office 365 yleensä sallii tietojen, jotka on merkitty säilytykseen, etsimisen, käyttämisen ja lataamisen paikallaan. Sen avulla Exchange Online arkistojen tietoja voidaan hakea käyttämällä sisäisiä eDiscovery-ominaisuuksia. Tiedot voidaan sitten ladata tarpeen mukaan vakiomuodoissa, kuten EDRML ja PST.

  • Valvontavaatimukset (sääntö 17a-4(f)(3)(v)) – Office 365 tarjoaa valvontalokin jokaiselle järjestelmänvalvojan ja käyttäjän toiminnolle, joka muokkaa tieto-objekteja, määrittää tai muokkaa säilytyskäytäntöjä, suorittaa eDiscovery-hakuja tai muokkaa käyttöoikeuksia. Office 365 ylläpitää kattavaa kirjausketjua, mukaan lukien tietoja siitä, kuka suoritti toiminnon, milloin se suoritettiin, tietoja toiminnosta ja suoritetuista komennoista. Valvontaloki voidaan sitten tulostaa ja sisällyttää osana virallisia valvontaprosesseja tarpeen mukaan.

Lopuksi sääntö 17a-4 edellyttää, että organisaatiot säilyttävät tietueita monentyyppisille tapahtumille, jotta ne ovat heti käytettävissä kahden vuoden ajan. Tietueita on säilytettävä edelleen 3–6 vuotta ilman välitöntä käyttöoikeutta. Päällekkäisiä tietueita on säilytettävä myös saman ajan toimipaikan ulkopuolella. Microsoft 365 -tietueiden hallintaominaisuuksien avulla tietueita voidaan säilyttää siten, että niitä ei voi muokata tai poistaa, mutta niitä voi käyttää helposti tietueiden hallinnan hallitsemana ajanjaksona. Nämä jaksot voivat kestää päiviä, kuukausia tai vuosia organisaation vaatimustenmukaisuusvelvoitteiden mukaan.

Microsoft toimittaa pyydettäessä todentamiskirjeen SEC 17a-4:n noudattamisesta, jos organisaatio sitä vaatii.

Lisäksi nämä ominaisuudet auttavat Microsoft 365:tä täyttämään CFTC-säännön 1.31(c)-(d) tallennusvaatimukset Yhdysvaltain hyödykefutuurien kauppakomissiolta ja FINRA Rule Series 4510:ltä Financial Industry Regulatory Authoritylta. Yhdessä nämä säännöt edustavat kaikkein ohjailevinta ohjeistusta maailmanlaajuisesti, jotta rahoituslaitokset voivat säilyttää kirjanpitoa.

Lisätietoja siitä, miten Microsoft 365 noudattaa SEC-sääntöä 17a-4 ja muita säännöksiä, on saatavilla Office 365 - Cohasset Assessment - SEC Rule 17a-4(f) - Immutable Storage for SharePoint, OneDrive, Exchange, Teams ja Viva Engage (2022) -latausasiakirjassa.

Eettisten muurien luominen tietoesteiden avulla

Rahoituslaitoksiin voidaan soveltaa säädöksiä, jotka estävät tietyissä tehtävissä olevia työntekijöitä vaihtamasta tietoja tai tekemästä yhteistyötä muiden tehtävien kanssa. Esimerkiksi FINRA on julkaissut säännöt 2241(b)(2)(G), 2242(b)(2) (D), (b)(2)(H)(ii) ja (b)(2)(H)(iii), jotka vaativat jäseniä:

"G) vahvistetaan tietoesteet tai muut institutionaaliset suojatoimet, joiden kohtuudella tarkoituksena on varmistaa, että tutkimusanalyytikot ovat eristyneitä investointipankkitoimintaan osallistuvien henkilöiden tai muiden henkilöiden, myös myynti- ja kauppahenkilöstön, tarkastelusta, painostamisesta tai valvonnasta ja että "H) luovat tietoesteitä tai muita institutionaalisia suojatoimia, joiden tarkoituksena on kohtuudella varmistaa, että velkatutkimusanalyytikot eristetään velkatutkimusanalyytikoista" sellaisten henkilöiden tarkastelu, painostus tai valvonta, jotka harjoittavat: i) investointipankkipalveluja; ii) pääasiallinen kaupankäynti tai myynti ja kaupankäynti; ja iii) muut henkilöt, jotka saattavat olla puolueellisia tuomiossaan tai valvonnassaan;"

Viime kädessä nämä säännöt edellyttävät, että organisaatiot laativat politiikkoja ja toteuttavat tietoesteitä pankkipalveluihin, myyntiin tai kaupankäyntiin osallistuvien roolien välillä vaihtamalla tietoa ja viestintää analyytikoiden kanssa.

Tietoesteet mahdollistavat eettisten seinien muodostamisen Office 365 ympäristöön, jolloin vaatimustenmukaisuuden järjestelmänvalvojat tai muut valtuutetut järjestelmänvalvojat voivat määrittää käytäntöjä, jotka mahdollistavat teams-käyttäjäryhmien välisen viestinnän tai estävät sen. Tietoesteet tekevät tarkastuksia tietyissä toimissa luvattoman viestinnän estämiseksi. Tietoesteet voivat myös rajoittaa viestintää tilanteissa, joissa sisäiset tiimit työstävät fuusioita/yritysostoja tai arkaluonteisia sopimuksia tai työskentelevät arkaluontoisten sisäisten tietojen parissa, joita on rajoitettava voimakkaasti.

Tietoesteet tukevat keskusteluja ja tiedostoja Teamsissa. Ne voivat estää seuraavanlaiset viestintään liittyvät toimet FINRA:n säädösten noudattamisen helpottamiseksi:

  • Hae käyttäjää
  • Lisää jäsen ryhmään tai jatka osallistumista toisen ryhmän jäsenen kanssa
  • Aloita tai jatka keskusteluistuntoa
  • Aloita ryhmäkeskustelu tai jatka sitä
  • Kutsu joku kokoukseen
  • Näytön jakaminen
  • Soita puhelu

Valvontavalvonnan toteuttaminen

Rahoituslaitosten on yleensä luotava organisaatiossaan valvontatoiminto ja ylläpidettävä sitä työntekijöiden toiminnan seuraamiseksi ja sen auttamiseksi sovellettavien arvopaperilakien noudattamisen varmistamiseksi. FINRA on erityisesti todennut seuraavat valvontavaatimukset:

  • FINRA:n säännössä 3110 (valvonta) säädetään, että yrityksillä on kirjallinen valvontamenettely työntekijöidensä toiminnan ja sen toimintaan osallistuvan yrityksen toiminnan valvomiseksi. Muiden vaatimusten lisäksi menettelyissä on oltava seuraavat:

    • Valvontahenkilöstön valvonta
    • Katsaus yrityksen investointipankkitoimintaan, arvopaperiliiketoimintaan, sisäiseen viestintään ja sisäisiin tutkimuksiin
    • Insider-kaupankäyntiin liittyvien liiketoimien tarkastelu
    • Kirjeenvaihdon ja valitusten tarkastelu

    Menettelyissä on kuvattava henkilöt, jotka vastaavat tarkistuksista, valvontatoimista, joita kukin henkilö suorittaa, tarkastelutiheys sekä tarkasteltavien asiakirjojen tai viestinnän tyypit.

  • FINRA:n sääntöjen 3120 (valvontajärjestelmä) mukaan yrityksillä on oltava valvontakäytäntöjen ja -menettelyjen järjestelmä, joka vahvistaa niiden 3110 artiklan mukaiset kirjalliset valvontamenettelyt. Yrityksillä on oltava paitsi WSP:t myös politiikka, joka testaa näitä menettelyjä vuosittain vahvistaakseen kykynsä varmistaa sovellettavien arvopaperilakien ja -säännösten noudattaminen. Riskipohjaisia menetelmiä ja näytteenottoa voidaan käyttää testauksen laajuuden määrittämiseen. Tämä sääntö edellyttää muun muassa sitä, että yritykset antavat ylimmälle johdolle vuosikertomuksen, joka sisältää yhteenvedon testituloksista ja merkittävistä poikkeuksista tai muutetuista menettelyistä testitulosten johdosta.

Toimistotyöntekijä tarkastelee kaaviota ja taulukoita näytössä, kun taas muut tapaavat taustalla.

Viestinnän vaatimustenmukaisuus

Microsoft Purview -tuotteen viestinnän vaatimustenmukaisuus on yhteensopivuusratkaisu, joka auttaa minimoimaan viestintäriskejä auttamalla havaitsemaan, tutkimaan ja toimimaan sopimatonten viestien varalta organisaatiossasi. Ennalta määritettyjen ja mukautettujen käytäntöjen avulla voit tarkistaa sisäisen ja ulkoisen viestinnän käytäntövastaavuuksien osalta, jotta nimetyt tarkistajat voivat tarkastella niitä. Tarkistajat voivat tutkia skannattuja sähköpostiviestejä, Microsoft Teamsia, Viva Engage tai kolmannen osapuolen viestintää organisaatiossasi ja ryhtyä asianmukaisiin toimiin varmistaakseen, että ne täyttävät organisaatiosi viestistandardit.

Viestinnän vaatimustenmukaisuus tarjoaa raportteja, joiden avulla käytäntöjen tarkistustoimia voidaan valvoa käytännön ja tarkistajan perusteella. Raportit ovat käytettävissä sen vahvistamiseksi, että käytännöt toimivat organisaation kirjallisten käytäntöjen mukaisesti. Niiden avulla voidaan myös tunnistaa viestintä, joka edellyttää tarkistusta, ja viestit, jotka eivät ole yhteensopivia yrityskäytännön kanssa. Lopuksi kaikki käytäntöjen määrittämiseen ja viestinnän tarkistamiseen liittyvät toiminnot valvotaan Office 365 yhtenäisessä valvontalokissa. Näin ollen tiedonannon noudattaminen auttaa myös rahoituslaitoksia noudattamaan FINRA 3120 sääntöä.

FINRA-sääntöjen noudattamisen lisäksi viestinnän vaatimustenmukaisuus antaa organisaatioille mahdollisuuden havaita ja toimia viestinnässä, johon muut oikeudelliset vaatimukset, yrityskäytännöt ja eettiset standardit voivat vaikuttaa. Viestinnän yhteensopivuus tarjoaa sisäisiä uhkia, häirintää ja hävyttömyysluokitteluja, jotka auttavat vähentämään vääriä positiivisia asioita viestintää tarkasteltaessa, mikä säästää tarkistajien aikaa tutkimus- ja korjausprosessin aikana. Sen avulla organisaatiot voivat myös vähentää riskejä havaitsemalla viestinnän, kun niihin tehdään arkaluonteisia organisaatiomuutoksia, kuten fuusioita ja yritysostoja tai johtajuusmuutoksia.

Tietotyöntekijä keskittyy näyttöön.

Suojautuminen tietojen suodatusta ja insider-riskejä vastaan

Yleinen uhka yrityksille on tietojen suodatus tai tietojen poimiminen organisaatiolta. Tämä riski voi olla rahoituslaitoksille merkittävä huolenaihe, koska tiedot, joita voidaan käyttää päivittäin, ovat arkaluonteisia. Käytettävissä olevien viestintäkanavien määrän lisääntyessä ja tietojen siirtotyökalujen lisääntyessä tarvitaan tyypillisesti kehittyneitä ominaisuuksia tietovuotojen, poliittisten rikkomusten ja insider-riskin riskien vähentämiseksi.

Sisäisten käyttäjien riskin hallinta

Se, että työntekijöille otetaan käyttöön online-yhteistyötyökaluja, joita voi käyttää missä tahansa, aiheuttaa organisaatiolle riskejä. Työntekijät saattavat tahattomasti tai haitallisesti vuotaa tietoja hyökkääjille tai kilpailijoille. Vaihtoehtoisesti hän voi suodattaa tietoja henkilökohtaiseen käyttöön tai viedä tietoja mukanaan tulevalle työnantajalle. Nämä skenaariot aiheuttavat vakavia riskejä rahoituspalvelulaitoksille sekä turvallisuuden että vaatimustenmukaisuuden kannalta. Näiden riskien tunnistaminen niiden tapahtuessa ja niiden nopea lieventäminen edellyttää sekä älykkäitä työkaluja tiedonkeruuseen että yhteistyöhön eri osastojen välillä, kuten juridiset resurssit, henkilöstöhallinto ja tietoturva.

Microsoft Purview -tuotteen sisäisten käyttäjien riskin hallinta on yhteensopivuusratkaisu, joka auttaa minimoimaan sisäisiä riskejä, jotta voit tunnistaa, tutkia ja toimia organisaation haitallisiin ja tahattomiin toimiin. Insider-riskikäytäntöjen avulla voit määrittää riskityypit, jotka tunnistetaan ja havaita organisaatiossasi, mukaan lukien tarvittaessa toimiminen tapauksissa ja tapausten kärjistyminen Microsoft eDiscoveryyn (Premiumiin). Organisaatiosi riskianalyytikot voivat nopeasti ryhtyä asianmukaisiin toimiin varmistaakseen, että käyttäjät noudattavat organisaatiosi yhteensopivuusstandardeja.

Insider-riskinhallinta voi esimerkiksi korreloida käyttäjän laitteista peräisin olevia signaaleja, kuten tiedostojen kopioimista USB-asemaan tai henkilökohtaisen sähköpostitilin lähettämistä sähköpostitse, online-palvelut toimintoja, kuten Office 365 sähköpostiviestiä, SharePoint Onlinea, Microsoft Teamsia tai OneDrive for Business, tietojen suodatusmallien tunnistamiseksi. Se voi myös korreloida nämä toimet työntekijöiden kanssa, jotka lähtevät organisaatiosta, mikä on yleinen tietojen suodatusmalli. Se voi havaita useita mahdollisesti riskialttiita toimintoja ja toimintaa ajan mittaan. Kun yleisiä malleja ilmenee, se voi herättää hälytyksiä ja auttaa tutkijoita keskittymään keskeisiin toimiin, joilla varmistetaan käytäntörikkomus, jolla on suuri luottamus. Insider-riskinhallinta voi anonymisoida tutkijoiden tietoja tietosuojamääräysten täyttämiseksi ja samalla hyödyntää keskeisiä toimia, jotka auttavat heitä suorittamaan tutkimuksia tehokkaasti. Sen avulla tutkijat voivat pakata ja lähettää turvallisesti keskeisiä toimintatietoja henkilöstöhallintoon ja oikeudellisiin osastoihin yleisten eskalointityönkulkujen jälkeen tapausten nostamiseksi korjaustoimia varten.

Insider-riskinhallinta parantaa merkittävästi organisaatioiden ominaisuuksia havaita ja tutkia insider-riskejä, samalla kun organisaatiot voivat edelleen noudattaa tietosuojamääräyksiä ja seurata vakiintuneita eskalointipolkuja, kun tapaukset edellyttävät ylemmän tason toimia.

Puhelinkeskuksen työntekijä työpistetyypeissä näyttöä tarkastellessa.

Vuokraajarajoitukset

Organisaatiot, jotka käsittelevät luottamuksellisia tietoja ja korostavat tiukasti suojausta, haluavat yleensä hallita verkkoresursseja, joita käyttäjät voivat käyttää. Samalla he haluavat mahdollistaa suojatun yhteistyön esimerkiksi Office 365 online-palvelut avulla. Tämän seurauksena käyttäjien käytettävissä olevien Office 365 ympäristöjen hallitsemisesta tulee haaste, koska yrityksen laitteiden tietoja voidaan suodattaa joko haitallisesti tai tahattomasti ei-yhtiömäisten Office 365 ympäristöjen avulla. Organisaatiot rajoittavat perinteisesti toimialueita tai IP-osoitteita, joita käyttäjät voivat käyttää yrityksen laitteista. Tämä ei kuitenkaan toimi pilvien ensisijaisessa maailmassa, jossa käyttäjien on laillisesti käytettävä Office 365 palveluita.

Microsoft 365 tarjoaa vuokraajarajoitukset tämän haasteen käsittelemiseen. Vuokraajarajoitukset voidaan määrittää rajoittamaan työntekijöiden pääsyä ulkoisiin Office 365 yrityksen vuokraajiin käyttämällä konnaidentiteettejä (käyttäjätietoja, jotka eivät kuulu yrityshakemistoosi). Tällä hetkellä vuokraajan rajoitukset koskevat koko vuokraajaa, joten käyttöoikeus koskee vain niitä vuokraajia, jotka näkyvät määrittämässäsi luettelossa. Microsoft kehittää edelleen tätä ratkaisua parantaakseen hallinnan askelväliä ja parantaakseen sen tarjoamia suojauksia.

GRAAFINEN.

Päätelmä

Microsoft 365 ja Teams tarjoavat rahoituspalveluyrityksille integroidun ja kattavan ratkaisun, joka mahdollistaa yksinkertaiset mutta tehokkaat pilvipohjaisen yhteistyön ja viestinnän ominaisuudet koko yrityksessä. Käyttämällä Microsoft 365:n suojaus- ja yhteensopivuustekniikoita oppilaitokset voivat toimia turvallisemmalla ja vaatimustenmukaisempia suojauksen valvontatoiminnoilla, jotka suojaavat tietoja, käyttäjätietoja, laitteita ja sovelluksia erilaisilta toiminnallisilta riskeiltä, mukaan lukien kyberturvallisuus ja insider-riskit. Microsoft 365 tarjoaa perustavaa laatua olevan suojatun ympäristön, jolla rahoituspalvelujen organisaatiot voivat saavuttaa enemmän suojaamalla yritystään, työntekijöitään ja asiakkaitaan.