שיקולי תאימות ואבטחה עיקריים עבור בנקאות ארה"ב ושווקי הון

  • מאמר

מבוא

מוסדות שירותים פיננסיים חלים כמעט על כל העסקים המסחריים לפי דרישתם לפיקוח על אבטחה, תאימות ופיקוח. ההגנה על נתונים, זהויות, מכשירים ואפליקציות אינה חיונית רק לעסק שלהם, היא כפופה לדרישות התאימות ולקווים המנחים של גופי רגולטוריות כגון רשות המסחר של ניירות ערך ו- Exchange Commission (SEC) של ארצות הברית, רשות הרגולציה של התעשייה הפיננסית (FINRA), מועצת הבחינות למוסדות פיננסיים פדרליים (FFIEC) וועדת המסחר העתידית על סחורות (CFTC). בנוסף, מוסדות פיננסיים כפופים לחוקים כגון Dodd-Frank וחוקים Sarbanes-Oxley 2002.

האקלים של כיום לגבי ערנות אבטחה מוגברת, חששות לגבי סיכונים פנימיים והפרות נתונים ציבוריים, הלקוחות דורשים גם רמות אבטחה גבוהה מהמוסדות הפיננסיים שלהם כדי לסמוך עליהם עם הנתונים האישיים שלהם ונכסיהם הבנקיים.

מבחינה היסטורית, הצורך בפקדים מקיפים המושפעים באופן ישיר ומגביל את מערכות ה- IT והפלטפורמות שמוסדות פיננסיים משתמשים בהן כדי לאפשר שיתוף פעולה באופן פנימי ומ חיצוני. כיום, עובדי השירותים הפיננסיים זקוקים לפלטפורמות שיתוף פעולה מודרניות שניתן לאמץ בקלות וקלה לשימוש. עם זאת, שירותים פיננסיים אינם יכולים לסחור בגמישות לשתף פעולה בין משתמשים, צוותים ומחלקות עם בקרות אבטחה ותאימות האוכפות מדיניות כדי להגן על משתמשים ומערכות IT מפני איומים.

במגזר השירותים הפיננסיים, נדרש שיקולים זהירים עבור קביעת התצורה והפריסה של כלי שיתוף פעולה ופקדי אבטחה, כולל:

  • הערכת סיכונים של תרחישים נפוצים של שיתוף פעולה ארגוני ותהליך עסקי
  • דרישות הגנה על מידע ופיקוח על נתונים
  • אבטחת סייבר ואיומים פנימיים
  • דרישות תאימות לתקנות
  • סיכונים תפעוליים אחרים

Microsoft 365 היא סביבת ענן של מקום עבודה מודרני, ה יכולה להתמודד עם האתגרים העכשוויים שארגונים לשירותים פיננסיים משתתפים בהם. שיתוף פעולה מאובטח וגמיש ברחבי הארגון משולב עם פקדים ומדיניות אכיפה כדי לדבוק במסגרות תאימות רגולטוריות מחרוזות. מאמר זה מתאר כיצד פלטפורמת Microsoft 365 מסייעת לשירותים פיננסיים לעבור לפלטפורמת שיתוף פעולה מודרנית, תוך שמירה על אבטחת הנתונים והמערכות וציות לתקנות:

  • הפיכת פרודוקטיביות ארגונית ופרודוקטיבית לעובדים לזמינה באמצעות Microsoft 365 ו- Microsoft Teams
  • הגנה על שיתוף פעולה מודרני באמצעות Microsoft 365
  • זיהוי נתונים רגישים ומניעת אובדן נתונים
  • להגן על המבצר
  • פיקוח על נתונים ועמידה בתקנות על-ידי ניהול רשומות ביעילות
  • הגדירו קירות אתיים באמצעות מחסומי מידע
  • הגנה מפני סינון נתונים וסיכון פנימי

כשותף של Microsoft, Protiviti תרם למאמר זה ותן לו משוב מהותי.

האיורים הבאים הניתנים להורדה משלימים מאמר זה. Woodgrove Bank ו- Contoso משמשים להדגמת האופן שבו ניתן להשתמש ביכולות המתוארות במאמר זה כדי לטפל בדרישות תקינה נפוצות של שירותים פיננסיים. הרגש חופשי להתאים איורים אלה לשימושך האישי.

איורים של הגנה על מידע ותאימות של Microsoft 365

פריט תיאור
פוסטר של מודל: יכולות הגנה על מידע ותאימות של Microsoft 365.
אנגלית: הורדה כהורדת PDF | כ- Visio
יפנית: הורדה כהורדת PDF | כ- Visio
03/02/10 עודכן		 כולל:
  • הגנה על מידע ב- Microsoft Purview ו- מניעת אובדן נתונים ב- Microsoft Purview
  • מדיניות שמירה ותוויות שמירה
  • מחסומי מידע
  • תאימות תקשורת
  • סיכון Insider
  • אחסון נתונים של ספקים חיצוניים

העצם את הפרודוקטיביות הארגונית והפרודוקטיביות של העובדים באמצעות Microsoft 365 ו- Teams

שיתוף פעולה דורש בדרך כלל צורות תקשורת שונות, את היכולת לאחסן מסמכים/נתונים ולגשת אליהם ואת היכולת לשלב יישומים אחרים לפי הצורך. עובדים בשירותים פיננסיים בדרך כלל צריכים לשתף פעולה ולקיים תקשורת עם חברים במחלקות או צוותים אחרים ולעתים עם ישויות חיצוניות. לכן, לא רצוי להשתמש במערכות יוצרות מאגרי ידע או מקשות על שיתוף מידע. במקום זאת, עדיף להשתמש בפלטפורמות ובאפליקציות המאפשרות לעובדים לקיים תקשורת, לשתף פעולה ולשתף מידע בצורה מאובטחת ובהתאם למדיניות הארגונית.

אספקת עובדים באמצעות פלטפורמת שיתוף פעולה מודרנית מבוססת ענן מאפשרת להם לבחור ולשלב כלים שהו להפוך אותם לפרודוקטיביים יותר ולהעצים אותם למצוא דרכים זריזות וגמישות לעבודה. שימוש ב- Teams בשילוב עם פקדי אבטחה ומדיניות פיקוח על מידע המגנים על הארגון יכול לעזור לצוות העבודה שלך לקיים תקשורת ולשתף פעולה ביעילות.

Teams מספק מרכז שיתוף פעולה עבור הארגון. היא עוזרת לאחד אנשים כדי לעבוד בצורה פרודוקטיבית על יוזמות ופרוייקטים נפוצים. Teams מאפשר לחברי הצוות לנהל שיחות צ'אט אחד על אחד ומשתתפים מרובים, לשתף פעולה ולערוך מסמכים במשותף, ולאחסן ולשתף קבצים. Teams גם מקל על פגישות מקוונות באמצעות קול ווידאו ארגוניים משולבים. ניתן גם להתאים אישית את Teams עם אפליקציות Microsoft כגון Microsoft Planner, Microsoft Dynamics 365, Power Apps, Power BI ויישומים קו פעולה עסקי של ספקים חיצוניים. Teams מיועד לשימוש של חברי צוות פנימיים ומשתמשים חיצוניים מורשים שיכולים להצטרף לערוצים של הצוות, להשתתף בשיחות צ'אט, לגשת לקבצים מאוחסנים ולהשתמש ביישומים אחרים

כל צוות של Microsoft מוזמן על-ידי קבוצה של Microsoft 365. קבוצה זו נחשבת לשירות החברות עבור שירותי Office 365 רבים, כולל Teams. קבוצות Microsoft 365 משמשות להבחנה מאובטחת בין "בעלים" ו"חברים" ולשלוט בגישה ליכולות שונות בתוך Teams. כאשר Teams בשילוב עם בקרות פיקוח מתאימות וביקורות גישה המנוהחות באופן קבוע, Teams מאפשר רק לחברים ולבעלים להשתמש בערוצים וביכולות מורשים.

תרחיש נפוץ שבו Teams יתרונות שירותים פיננסיים הוא בעת הפעלת פרוייקטים או תוכניות פנימיים. לדוגמה, מוסדות פיננסיים רבים, כולל בנקים, חברות ניהול עושר, איגודי אשראי וספקי ביטוח, נדרשים התקנה של הלבנת כספים ותוכניות תאימות אחרות. צוות חוצה ארגון המורכב מ- IT, קווי פעולה עסקיים כגון ניהול קמעונאות ועושר, ויחידת פשעים פיננסיים עשויה להידרש כדי לשתף נתונים זה עם זה ולנהל תקשורת לגבי התוכנית או חקירות ספציפיות. באופן מסורתי, תוכניות אלה השתמשו בכוננים משותפים ברשת, אך גישה זו יכולה להציג אתגרים רבים, כולל:

  • רק אדם אחד יכול לערוך מסמך בכל פעם.
  • ניהול האבטחה דורש זמן רב משום שהוספת/הסרה של אנשים כרוכה בדרך כלל ב- IT.
  • הנתונים נשארים קיימים בכוננים של רשת משותפת זמן רב יותר מהצורך או מהצורך.

Teams יכול לספק שטח שיתוף פעולה כדי לאחסן באופן מאובטח נתוני לקוח רגישים ולנהל שיחות בין חברי צוות שבהם ניתן לדון בנושאים רגישים. חברים מרובים של הצוות יכולים לערוך או לשתף פעולה במסמך אחד בו-זמנית. ניתן להגדיר את הבעלים של התוכנית או המתאם כבעלים של הצוות ולאחר מכן להוסיף ולהסיר חברים לפי הצורך.

תרחיש נפוץ נוסף הוא להשתמש ב- Teams כ"חדר נתונים וירטואלי" כדי לשתף פעולה באופן מאובטח, כולל אחסון וניהול של מסמכים. חברי צוות וסנדיקאטים בתוך בנקאות השקעות, ניהול נכסים או חברות הון פרטיות יכולים לשתף פעולה באופן מאובטח בעסקה או בהשקעה. צוותים חוצי ארגון מעורבים לעתים קרובות בתכנון ובמימוש של עסקאות כאלה, והיכולת לשתף נתונים וניהול שיחות באופן מאובטח היא דרישה עיקרית. שיתוף מאובטח של מסמכים קשורים עם משקיעים חיצוניים הוא גם דרישה עיקרית. Teams מספק מיקום מאובטח וניתן לביקורת מלא ממנו ניתן לאחסן, להגן ולשתף נתוני השקעה באופן מרכזי.

קבוצה של עובדי משרדים בפגישה דנים בתמונות על צור גדול.

Teams: שיפור שיתוף הפעולה והפחתת סיכון התאימות

Microsoft 365 מספק יכולות מדיניות נפוצות אחרות עבור Teams באמצעות השימוש שלו בקבוצות Microsoft 365 כשירות חברות המשמשת כברירת מחדל. פריטי מדיניות אלה יכולים לסייע בשיפור שיתוף הפעולה ולעמוד בדרישות התאימות.

מדיניות מתן שמות לקבוצה של Microsoft 365 מסייעת להבטיח שקבוצות Microsoft 365, ולכן קבוצות, נקראות בהתאם למדיניות הארגונית. שמות עשויים להיות בעייתיים אם הם אינם מתאימים. לדוגמה, ייתכן שהעובדים לא יוכלו לדעת עם אילו צוותים לעבוד או לשתף מידע אם השמות אינם מוחלים כראוי. מדיניות מתן שמות לקבוצה (כולל תמיכה במדיניות מבוססת קידומת/סיומת ומילים חסומות מותאמות אישית) יכולה לאכוף "היגיינה" טובה ולמנוע שימוש במילים ספציפיות, כגון מילים שמורות או מונחים בלתי הולמים.

מדיניות התפוגה של קבוצות Microsoft 365 מסייעת להבטיח שקבוצות Microsoft 365 ולכן צוותים, לא יישמרו לפרקי זמן ארוכים יותר מהערך שהארגון רוצה או זקוק לו. יכולת זו מסייעת במניעת שתי בעיות עיקריות בניהול מידע:

  • הפצה של צוותים שאינם הכרחיים או לא בשימוש.
  • שמירת נתונים שלא נדרשים עוד או בשימוש על-ידי הארגון (למעט במקרים של החזקה/שימור משפטיים).

מנהלי מערכת יכולים לציין תקופת תפוגה עבור קבוצות Microsoft 365, כגון 90, 180 או 365 ימים. אם שירות המ לגבות על-ידי קבוצה של Microsoft 365 אינו פעיל עבור תקופת התפוגה, הבעלים של הקבוצה יקבל הודעה על כך. אם לא ננקטת כל פעולה, קבוצת Microsoft 365 וכל השירותים הקשורים לה, כולל Teams, נמחקים.

שמירת יתר של נתונים המאוחסנים ב- Teams ושירותים אחרים המבוססים על קבוצה עלולה לגרום לסיכונים לארגונים של שירותים פיננסיים. מדיניות תפוגת תוקף של קבוצות Microsoft 365 היא דרך מומלצת למנוע שמירת נתונים שאינם דרושים עוד. Microsoft 365, בשילוב עם תוויות שמירה ומדיניות מוכללות, עוזר להבטיח שארגונים שומרים רק על הנתונים הנדרשים כדי לעמוד במדיניות הארגונית ובהתחייבויות תאימות לתקנות.

Teams: שילוב דרישות מותאמות אישית בקלות

Teams מאפשר יצירת צוותים בשירות עצמי כברירת מחדל. עם זאת, ארגונים מווסתים רבים רוצים לשלוט ולהבין אילו ערוצי שיתוף פעולה נמצאים כעת בשימוש על-ידי העובדים שלהם, אילו ערוצים עשויים להכיל נתונים רגישים והבעלות על ערוצים ארגוניים. כדי להקל על בקרות פיקוח אלה, Microsoft 365 מאפשר לארגון להפוך יצירת צוותים בשירות עצמי ללא זמינה. על-ידי שימוש בכלי אוטומציה של תהליכים עסקיים כגון Microsoft Power Apps ו- Power Automate, ארגונים יכולים לבנות ולפרוס טפסים ותהליכי אישור פשוטים עבור העובדים כדי לאפשר לעובדים ליצור צוות חדש. לאחר האישור, ניתן להקצות את הצוות באופן אוטומטי וקישור יישלח אל המבקש. באופן זה, ארגונים יכולים לעצב ולשלב את בקרות התאימות והדרישות המותאמות אישית שלהם בתהליך יצירת הצוות.

ערוצי תקשורת דיגיטלית מקובלים

FINRA מדגיש שהתקשורת הדיגיטלית של חברות מוסדרות עומדת בדרישות שמירת הרשומות של כללי החוק של Exchange 17a-3 ו- 17a-4, וכן FINRA Rule Series 4510. FINRA מפיץ דוח שנתי המכיל ממצאים עיקריים, תצפיות ושיטות עבודה יעילות כדי לעזור לארגונים לשפר את התאימות ואת ניהול הסיכונים. בדוח שלה לשנת 2019 בנושא ממצאים ותצפיות בבחינות, FINRA זיהתה תקשורת דיגיטלית כאזור מפתח שבו המשרדים נתקלים באתגרים העומדים בדרישות הפיקוח ושמירה על רשומות.

אם ארגון מתיר לעובדים שלו להשתמש ביישום ספציפי, כגון שירות העברת הודעות מבוסס אפליקציה או פלטפורמת שיתוף פעולה, החברה חייבת לאחסן רשומות עסקיות בארכיון ולפקח על הפעילויות והתקשורת של עובדים אלה ביישום זה. ארגונים אחראים לניהול נאותות נאותות לציות לחוקי FINRA ולחוקים בנושא ניירות ערך, ולעקבות ההפרות הפוטנציאליות של כללים אלה הקשורים לשימוש של עובדים באפליקציות אלה.

להלן שיטות עבודה אפקטיביות המומלצות על-ידי FINRA:

  • הקם תוכנית פיקוח מקיפה עבור ערוצי תקשורת דיגיטלית. נהל את החלטות הארגון לגבי ערוצי התקשורת הדיגיטלית המותרים והגדיר תהליכי תאימות עבור כל ערוץ דיגיטלי. נטר באופן שקול את הנוף המשתנים במהירות של ערוצי תקשורת דיגיטלית ושמור על עדכניות תהליכי התאימות.
  • הגדר ערוצים דיגיטליים דיגיטליים ושלוט בהם בבירור. הגדר הן ערוצים דיגיטליים שאושרו והן ערוצים דיגיטליים אסורים. חסום או הגבל את השימוש בערוצים דיגיטליים אסורים, או בתכונות אסורות בתוך ערוצים דיגיטליים, המגבילים את יכולת הארגון לציית לדרישות ניהול רשומות ופיקוח.
  • ספק הדרכה עבור תקשורת דיגיטלית. יישם תוכניות הדרכה הכרחיות לפני שתן לנציגים רשומים גישה לערוצים דיגיטליים מאושרים. ההדרכה מסייעת להבהיר את הציפיות של ארגון לתקשורת דיגיטלית עסקית ואישית, והיא מנחה את הצוות באמצעות התכונות המותרות של כל ערוץ באופן תואם.

הממצאים והתצפיות של FINRA עבור תקשורת דיגיטלית מתייחסים ישירות ליכולת של ארגון לציית לכלל SEC 17a-4 לשמירה על כל התכתובות הקשורות לעסק, כללי FINRA 3110 ו- 3120 לפיקוח וסקירה של תקשורת, ו- Rule Series 4510 לשמירה על רשומות. עמלת המסחר בחוזים עתידיים על סחורות (CFTC) מפצה על דרישות דומות תחת 17 CFR 131. תקנות אלה מתוארות לעומק בהמשך מאמר זה.

Teams, יחד עם החבילה המקיפה של הצעות האבטחה והתאימות של Microsoft 365, מספק ערוץ תקשורת דיגיטלית ארגוני למוסדות שירותים פיננסיים כדי לנהל עסקים ביעילות ולציית לתקנות. שארית מאמר זה מתארת כיצד יכולות מוכללות של Microsoft 365 עבור ניהול רשומות, הגנה על מידע, מחסומי מידע ובקרה פיקוחית מעניקים ל- Teams ערכת כלים חסינה כדי לסייע בעמידה במחויבויות רגולטוריות אלה.

הגנה על שיתוף פעולה מודרני באמצעות Microsoft 365

אבטחת זהויות משתמשים וגישת שליטה

הגנה על גישה למידע של לקוחות, מסמכים פיננסיים ואפליקציות מתחילה באבטחת זהויות המשתמשים בצורה חזקה. לשם כך נדרשת פלטפורמה מאובטחת עבור הארגון לאחסון וניהול של זהויות, מתן אמצעי אימות מהימן ושליטה דינאמית בגישה ליישומים אלה.

בזמן שהעובדים עובדים, הם עשויים לעבור מיישום לאישום או בין מיקומים ומכשירים מרובים. יש לאמת את הגישה לנתונים בכל שלב לאורך הדרך. תהליך האימות צריך לתמוך בפרוטוקול חזק ובגורמים מרובים של אימות (כגון קוד סיסמה ב- SMS חד-פעמי, אפליקציית מאמת ואישורים) כדי להבטיח שזהויות לא ייחשף לסכנה. אכיפה של מדיניות גישה מבוססת סיכונים היא קריטית להגנה על נתונים פיננסיים ואפליקציות מפני איומים פנימיים, דליפות נתונים שלא במתן סכנה וסריפות נתונים.

Microsoft 365 מספק פלטפורמת זהות מאובטחת ב- Microsoft Entra מזהה, שבה זהויות מאוחסנות באופן מרכזי ומנוהלות באופן מאובטח. Microsoft Entra מזהה, יחד עם מספר שירותי אבטחה קשורים של Microsoft 365, מהווה את הבסיס לאספקת הגישה של העובדים שהם צריכים כדי לעבוד בצורה מאובטחת, תוך הגנה על הארגון מפני איומים.

Microsoft Entra אימות רב גורמי (MFA) מוכלל בפלטפורמה ומספק הוכחת אימות נוספת כדי לסייע באימות זהות המשתמשים כאשר הם ניגשים לנתונים ויישומים פיננסיים רגישים. Azure MFA דורש לפחות שתי צורות אימות, כגון סיסמה וכן מכשיר נייד ידוע. הוא תומך בכמה אפשרויות אימות של גורם שני, כולל:

  • האפליקציה Microsoft Authenticator
  • קוד סיסמה חד-פעמי נמסר באמצעות SMS
  • שיחת טלפון שבה משתמש חייב להזין מספר זיהוי אישי

אם הסיסמה כלשהי נחשפת לסכנה, פורץ מחשבים (האקר) פוטנציאלי עדיין יצטרכו את הטלפון של המשתמש כדי לקבל גישה לנתונים ארגוניים. בנוסף, Microsoft 365 משתמש באימות מודרני כפרוטוקול מפתח, שמביא את אותה חוויית אימות חזקה ועשירה מדפדפני אינטרנט לכלי שיתוף הפעולה שהעובדים משתמשים בהם מיום ליום, כולל Microsoft Outlook ויישומים אחרים של Microsoft Office.

ללא סיסמה

סיסמאות הן הקישור החלש ביותר בשרשרת אבטחה. הם יכולים להיות נקודת כשל אחת אם אין אימות נוסף. Microsoft תומכת במגוון רחב של אפשרויות אימות בהתאם לצרכים של מוסדות פיננסיים.

שיטות ללא סיסמה עוזרות להפוך את MFA לנוחה יותר למשתמשים. למרות שלא כל MFA הוא ללא סיסמה, טכנולוגיות ללא סיסמה משתמשות באימות רב גורמי. Microsoft, Google ומנהיגים אחרים בתעשייה פיתחו סטנדרטים כדי לאפשר חוויית אימות פשוטה וחזקה יותר ברחבי האינטרנט ומכשירים ניידים בקבוצה הנקראת Fast IDentity Online (FIDO). תקן FIDO2 שפותח לאחרונה מאפשר למשתמשים לבצע אימות בקלות ומאובטחת ללא צורך בסיסמה למניעת דיוג.

שיטות MFA של Microsoft ללא סיסמה כוללות:

  • Microsoft Authenticator: לקבלת גמישות, נוחות ועלויות, מומלץ להשתמש באפליקציית Microsoft Authenticator למכשירים ניידים. Microsoft Authenticator תומך בביומטריה, בהודעות דחיפה ובקודי סיסמה חד-פעמיים עבור כל Microsoft Entra מחוברת. הוא זמין בחנויות האפליקציות של Apple ו- Android.
  • Windows Hello: לקבלת חוויה מוכללת במחשב, מומלץ להשתמש ב- Windows Hello. הוא משתמש במידע ביומטרי (כגון פנים או טביעת אצבע) כדי להיכנס באופן אוטומטי.
  • מפתחות אבטחה של FIDO2 זמינים כעת מכמה שותפים של Microsoft: Yubico, Feitian Technologies ו- HID Global בתג USB, תג התותאם ל- NFC או מפתח ביומטרי.

Microsoft Entra מותנה מספק פתרון חסן להפיכת החלטות בקרת גישה לאוטומטיות ולאכוף מדיניות ארגונית כדי להגן על נכסי החברה. דוגמה קלאסית היא כאשר מתכנן פיננסי רוצה לגשת ליישום המכיל נתוני לקוחות רגישים. הם נדרשים באופן אוטומטי כדי לבצע אימות רב גורמי כדי לגשת ליישום זה באופן ספציפי, והגישה חייבת להיות ממכשיר המנוהל על-ידי החברה. Azure Conditional Access מאגד אותות לגבי בקשת הגישה של משתמש, כגון מאפיינים אודות המשתמש, המכשיר, המיקום והרשת, והיישום שהמשתמש מנסה לגשת אליו. הוא מעריך באופן דינאמי ניסיונות לגשת ליישום מול פריטי מדיניות שתצורתם נקבעה. אם סיכון המשתמש או המכשיר גבוה, או אם תנאים אחרים אינם מתקיימים, Microsoft Entra מזהה יכול לאכוף באופן אוטומטי פריטי מדיניות כגון דרישת MFA, דרישת איפוס סיסמה מאובטח או הגבלת גישה או חסימה. פעולה זו עוזרת להבטיח כי נכסים ארגוניים רגישים מוגנים בסביבות משתנות באופן דינאמי.

Microsoft Entra מזהה, ואת שירותי האבטחה הקשורים של Microsoft 365, מספקים את היסודות שבהם ניתן לפרס פלטפורמת שיתוף פעולה מודרנית בענן למוסדות פיננסיים כדי שהגישה לנתונים ולאפליקציות תהיה מאובטחת, ותתמלא במחויבויות תאימות וסתיות. כלים אלה מספקים את היכולות העיקריות הבאות:

  • אחסן זהויות משתמשים ונהל בבטחה.
  • השתמש בפרוטוקול אימות חזק, כולל אימות רב גורמי, כדי לאמת משתמשים לפי בקשות גישה ולספק חוויית אימות עקבית וחזקה בכל היישומים.
  • אמת באופן דינאמי פריטי מדיניות בכל בקשות הגישה, תוך שילוב אותות מרובים בתהליך קבלת ההחלטות במדיניות, כולל זהות, חברות במשתמש/קבוצה, אפליקציה, מכשיר, רשת, מיקום ותוצאות בסיכון בזמן אמת.
  • אמת פריטי מדיניות פרטניים בהתבסס על אופן הפעולה של המשתמשים וממאפיינים של קבצים, ואכוף באופן דינאמי אמצעי אבטחה נוספים לפי הצורך.
  • זהה את "shadow IT" בארגון, ואתר לצוותי InfoSec להפעיל או לחסום יישומי ענן.
  • נטר את הגישה לאפליקציות הענן של Microsoft ואפליקציות שאינן של Microsoft ושלוט בענן.
  • הגן באופן יזום מפני תקיפות דיוג ותוכנות כופר בדואר אלקטרוני.

הגנה למזהה Microsoft Entra

בעוד שגישה מותנית מגנה על משאבים מפני בקשות חשודות, התכונה 'הגנה על זהות' תספק זיהוי סיכונים ותיקון מתמשכת של חשבונות משתמשים חשודים. 'הגנה על זהות' מעדכן אותך לגבי התנהגות משתמש חשודה וכניסה בסביבה שלך מסביב לשעון. תגובתה האוטומטית מונעת שימוש לרעה בזהויות שנחשף לסכנה באופן יזום.

'הגנת זהות' היא כלי המאפשר לארגונים לבצע שלוש משימות עיקריות:

  • הפוך את הזיהוי והתיקון לאוטומטיים של סיכונים מבוססי זהות.
  • בדוק סיכונים באמצעות נתונים בפורטל.
  • יצא נתוני זיהוי סיכונים לכלי שירות של ספקים חיצוניים לצורך ניתוח נוסף.

הגנה על זהות משתמשת בידע ש- Microsoft רכשה מהעמדה שלה בארגונים עם Microsoft Entra מזהה, בשטח הצרכן עם חשבונות Microsoft ובמשחקים עם Xbox כדי להגן על המשתמשים שלך. Microsoft מנתחת 65 טריליון אותות ליום כדי לזהות לקוחות ולהגן על הלקוחות מפני איומים. ניתן להוסיף את האותות שנוצרו על-ידי 'הגנת זהות' ולהאכיל אותם בכלים כגון גישה מותנית כדי לקבל החלטות גישה. ניתן גם להוסיף אותם בחזרה לכלי מידע אבטחה וניהול אירועים (SIEM) לבדיקה נוספת בהתבסס על המדיניות שנאכפת על-ידי הארגון שלך.

התכונה 'הגנה על זהות' עוזרת לארגונים להגן באופן אוטומטי מפני פשרות זהות על-ידי ניצול של בינת ענן המופעלת באמצעות זיהוי מתקדם בהתבסס על נתונים הורטיסטיים, ניתוח התנהגות של משתמשים וישויות (UEBA) ולמידת מכונה (ML) ברחבי המערכת האקולוגית של Microsoft.

חמישה עובדי מידע צפייה כעובדים אחרים מציגים מצגת.

זיהוי נתונים רגישים ומניעת אובדן נתונים

Microsoft 365 מאפשר לכל הארגונים לזהות נתונים רגישים בתוך הארגון באמצעות שילוב של יכולות רבות-עוצמה, כולל:

  • הגנה על מידע ב- Microsoft Purview הן עבור סיווג מבוסס-משתמש והן עבור סיווג אוטומטי של נתונים רגישים.
  • מניעת אובדן נתונים ב- Microsoft Purview (DLP) לזיהוי אוטומטי של נתונים רגישים באמצעות סוגי נתונים רגישים (במילים אחרות, ביטויים רגילים) ומילים מפתח ואכיפת מדיניות.

הגנה על מידע ב- Microsoft Purview לארגונים לסווג מסמכים והודעות דואר אלקטרוני בצורה חכמה באמצעות תוויות רגישות. משתמשים יכולים להחיל תוויות רגישות באופן ידני על מסמכים ביישומי Microsoft Office ועל הודעות דואר אלקטרוני ב- Outlook. התוויות יכולות להחיל באופן אוטומטי סימוני מסמך, הגנה באמצעות הצפנה, ורשויות אכיפת ניהול זכויות. ניתן להחיל תוויות רגישות באופן אוטומטי גם על-ידי קביעת תצורה של פריטי מדיניות המשתמשים במילות מפתח ובסוגי נתונים רגישים (כגון מספרי כרטיסי אשראי, מספרי ביטוח לאומי ומספרי זהות) כדי לאתר ולסווג נתונים רגישים באופן אוטומטי.

בנוסף, Microsoft מספקת "מסווגים ניתנים להתאמה" המשתמשים במודלים של למידת מכונה כדי לזהות נתונים רגישים בהתבסס על התוכן, בניגוד לדפוס התואם לדפוס או לרכיבים בתוך התוכן. מסווג לומד כיצד לזהות סוג תוכן על-ידי התסתכלות בדוגמאות רבות של התוכן לסווג. הכשרת מסווג מתחילה בכך שהיא נותנת לו דוגמאות לתוכן בקטגוריה מסוימת. לאחר שהוא לומד מדוגמאות אלה, המודל נבדק על-ידי מתן שילוב בין דוגמאות תואמות ודוגמאות שאינן תואמות. מסווג מנבא אם דוגמה נתונה תיופל לקטגוריה או לא. לאחר מכן, אדם מאשר את התוצאות, ממיין את התוצאות החיוביות, השליליות, תוצאות החיוביות המוצאות באופן מוטעה ושליליות מוטעית כדי לסייע בהגברת מידת הדיוק של חיזויי המסווג. כאשר מסווג מאומן מתפרסם, הוא מעבד תוכן ב- Microsoft Office SharePoint Online, Exchange Online, OneDrive for Business מסווג באופן אוטומטי את התוכן.

החלת תוויות רגישות על מסמכים והודעות דואר אלקטרוני מטביעה מטה-נתונים המזהה את הרגישות שנבחרה בתוך האובייקט. לאחר מכן הרגישות ת יחד עם הנתונים. לכן, גם אם מסמך עם תווית מאוחסן בשולחן העבודה של משתמש או במערכת מקומית, הוא עדיין מוגן. פונקציונליות זו מאפשרת לפתרונות אחרים של Microsoft 365, כגון יישומי ענן של Microsoft Defender או התקני קצה רשת, לזהות נתונים רגישים ולאכוף באופן אוטומטי פקדי אבטחה. תוויות רגישות כוללות את היתרון הנוספת של חינוך עובדים לגבי הנתונים בתוך הארגון שנחשבים לרגישים וכיצד לטפל בנתונים אלה כשהם מקבלים אותם.

מניעת אובדן נתונים ב- Microsoft Purview (DLP) מזהה באופן אוטומטי מסמכים, הודעות דואר אלקטרוני ושיחות המכילים נתונים רגישים על-ידי סריקתם לאיתור נתונים רגישים ולאחר מכן אכיפת מדיניות באובייקטים אלה. פריטי מדיניות נאכפים על מסמכים ב- SharePoint וב- OneDrive for Business. הם גם נאכפים כאשר משתמשים שולחים דואר אלקטרוני, ובשיחות צ'אטים וערוצים ב- Teams. ניתן להגדיר פריטי מדיניות לחיפוש מילות מפתח, סוגי נתונים רגישים, תוויות שמירה, ואם נתונים משותפים בתוך הארגון או באופן חיצוני. פקדים מסופקים כדי לעזור לארגונים לכוונן מדיניות DLP כדי לצמצם תוצאות חיוביות מוטעות. כאשר נמצאים נתונים רגישים, ניתן להציג עצות מדיניות הניתנות להתאמה אישית למשתמשים ביישומי Microsoft 365 כדי ליידע אותם שהתוכן שלהם מכיל נתונים רגישים ולאחר מכן להציע פעולות מתקן. פריטי מדיניות יכולים גם למנוע ממשתמשים לגשת למסמכים, לשתף מסמכים או לשלוח הודעות דואר אלקטרוני המכילות סוגים מסוימים של נתונים רגישים. Microsoft 365 תומך ביותר מ- 100 סוגי נתונים רגישים מוכללים. ארגונים יכולים לקבוע תצורה של סוגי נתונים רגישים מותאמים אישית בהתאם למדיניות שלהם.

בפריסה של הגנה על מידע ב- Microsoft Purview ומדיניות DLP לארגונים נדרש תכנון קפדני ותוכנית למגזר החינוך על-ידי משתמשים כדי שהעובדים יבינו את סכימת סיווג הנתונים של הארגון ואת סוגי הנתונים שנחשבים לרגישים. מתן כלים ותוכניות חינוכיות שיעזרו להם לזהות נתונים רגישים ולהבין כיצד לטפל בהם הופך אותם לחלק מהפתרון לצמצום סיכוני אבטחת המידע.

ניתן גם להוסיף את האותות שנוצרו על-ידי 'הגנת זהות' ולהאכיל אותם בכלים כגון 'גישה מותנית' כדי לקבל החלטות גישה או לכלי אבטחה לניהול אירועים (SIEM) לבדיקה בהתבסס על מדיניות שנאכפת על-ידי ארגון.

התכונה 'הגנה על זהות' עוזרת לארגונים להגן באופן אוטומטי מפני סכנה לזהות על-ידי ניצול של בינת ענן המופעלת באמצעות זיהויים מתקדמים המבוססים על נתונים הורטיסטיים, ניתוח התנהגות של משתמשים וישויות ולמידת מכונה ברחבי המערכת האקולוגית של Microsoft.

עובד מידע מוצג מול מערך גדול של צגים.

להגן על המבצר

Microsoft השקה לאחרונה את Microsoft Defender XDR החדש, שנועד לאבטח את הארגון המודרני מפני נוף האיומים המתפתח. על-ידי מינוף Intelligent Security Graph, פתרון Threat Protection מציע אבטחה מקיפה וממוקדה נגד וקטורי התקפה מרובים.

The Intelligent Security Graph

שירותי אבטחה מ- Microsoft 365 מופעלים על-ידי ה- Intelligent Security Graph. כדי להילחם באיומי סייבר, ה- Intelligent Security Graph משתמש בניתוח מתקדם כדי לקשר בינה לאיומים ואת אותות אבטחה מ- Microsoft ושותפים שלה. Microsoft מפעילה שירותים גלובליים בקנה מידה גדול, ואוספים טריליוני אותות אבטחה ששכבות הגנת החשמל לאורך הערימה. מודלים של למידת מכונה מעריכים בינה זו, והתובנות לגבי אותות ואיומים משותפות באופן נרחב במוצרים ובשירותים שלנו. פעולה זו מאפשרת לנו לזהות איומים ולהגיב לאיומים במהירות ולהחזיר ללקוחות מידע והתראות שניתן לפעול על פיהן לתיקון. המודלים שלנו למידת מכונה מתרגלים ומעודכנים ללא התמדה בתובנות חדשות, עוזרים לנו לבנות מוצרים מאובטחים יותר ולספק אבטחה יזומה יותר.

Microsoft Defender עבור Office 365 מספק שירות משולב של Microsoft 365 המגן על ארגונים מפני קישורים זדוניים ותוכנות זדוניות הנמסרות בדואר אלקטרוני ומסמכי Office. אחד מווקטורי ההתקפה הנפוצים ביותר המשפיעים על המשתמשים כיום הוא תקיפות דיוג בדואר אלקטרוני. תקיפות אלה יכולות להיות ממוקדות אצל משתמשים ספציפיים, והן יכולות להיות משכנעות מאוד, בעזרת קריאה לפעולה המבקשת מהמשתמש לבחור קישור זדוני או לפתוח קובץ מצורף המכיל תוכנות זדוניות. לאחר שהמחשב נגוע, התוקף יכול לגנוב את אישורי המשתמש ולעבור לרוחב הארגון או לחדור להודעות דואר אלקטרוני ולנתונים כדי לחפש מידע רגיש. Defender עבור Office 365 תומך בקבצים מצורפים בטוחים ובקישורים בטוחים על-ידי הערכת מסמכים וקישורים בזמן לחיצה לקבלת כוונה שעלולה להיות זדונית ובלוק גישה. קבצים מצורפים לדואר אלקטרוני נפתחים בארגז חול מוגן לפני העברתם לתיבת דואר של משתמש. בנוסף, הוא בודק קישורים במסמכי Office עבור כתובות URL זדוניות. Defender עבור Office 365 גם מגן על קישורים וקבצים ב- SharePoint Online, OneDrive for Business ו- Teams. אם זוהה קובץ זדוני, Defender עבור Office 365 אוטומטית את הקובץ כדי להפחית נזק פוטנציאלי.

Microsoft Defender עבור נקודת קצה היא פלטפורמת אבטחה מאוחדת של נקודות קצה להגנה מונעת, זיהוי לאחר הפרות וחקירה ותגובה אוטומטיות. Defender for Endpoint מספק יכולות מוכללות לגילוי והגנה על נתונים רגישים ב נקודות קצה ארגוניות.

יישומי ענן של Microsoft Defender לארגונים לאכוף פריטי מדיניות ברמה פרטנית ולאתר חריגות התנהגותיות בהתבסס על פרופילי משתמשים בודדים המוגדרים באופן אוטומטי באמצעות למידת מכונה. פריטי מדיניות של Defender for Cloud Apps יכולים להתוות מדיניות גישה מותנית של Azure כדי להגן על נכסי חברה רגישים על-ידי הערכת אותות נוספים הקשורים לאוהלי התנהגות המשתמשים ולמאפיינים של המסמכים שהגישה אליהם. עם הזמן, Defender for Cloud Apps לומד מהו אופן הפעולה האופייני עבור כל עובד ביחס לנתונים שהם ניגשים אליהם וליישומים שבהם הוא משתמש. בהתבסס על דפוסי התנהגות נלמדים, פריטי מדיניות יכולים לאחר מכן לאכוף באופן אוטומטי פקדי אבטחה אם עובד פועל מחוץ לפרופיל התנהגותי זה. לדוגמה, אם עובד ניגש בדרך כלל ליישום חשבונאות מ- 09:00 עד 17:00 בימים שני עד שישי, אך לפתע מתחיל לגשת לאותה אפליקציה במידה רבה בערב של יום ראשון, Defender for Cloud Apps יכול לאכוף מדיניות באופן דינאמי כדי לדרוש מהמשתמש לבצע אימות מחדש. פעולה זו עוזרת להבטיח ואישורי המשתמש לא נחשפו לסכנה. Defender for Cloud Apps יכול גם לעזור לזהות "shadow IT" בארגון, אשר עוזר לצוותי אבטחת מידע להבטיח שהעובדים משתמשים בכלים זמינים בעת עבודה עם נתונים רגישים. לבסוף, Defender for Cloud Apps יכול להגן על נתונים רגישים בכל מקום בענן, גם מחוץ לפלטפורמות Microsoft 365. היא מאפשרת לארגונים להפעיל (או לבטל את ההסתה) של אפליקציות ענן חיצוניות ספציפיות, ולשלוט בגישה ובניטור של השימוש.

Microsoft Defender עבור זהות הוא פתרון אבטחה מבוסס ענן המשתמש באותות Active Directory מקומי שלך כדי לזהות, לזהות ולחקור איומים מתקדמים, זהויות שנחשף לסכנה ופעולות Insider זדוניות המופנים על הארגון שלך. AATP מאפשר לאנליסטים ומומחי אבטחה של SecOp לזהות התקפות מתקדמות בסביבות היברידיות כדי:

  • נטר משתמשים, אופן פעולה של ישות ופעילויות באמצעות ניתוח מבוסס למידה.
  • הגן על זהויות משתמשים ואישורים המאוחסנים ב- Active Directory.
  • לזהות ולחקור פעילויות משתמש חשודות ומתקפות מתקדמות ברחבי שרשרת ההרוגים.
  • ספק פרטי מקרה ברורים על ציר זמן פשוט עבור קביעת סדר עדיפויות מהיר.

עובדי המשרד נפגשים בחדר ישיבות קטן. אחד מספק מצגת.

פיקוח על נתונים וניהול רשומות

מוסדות פיננסיים חייבים לשמור את הרשומות והמידע שלהם בהתאם למחויבויות הרגולטוריות, המשפטיות והעסקיות שלהם, כפי שמיוצגות במסגרת תזמון השמירה הארגונית שלהם. לדוגמה, SEC מחזקת תקופות שמירה של שלוש עד שש שנים, בהתבסס על סוג רשומה, עם נגישות מיידית בשנתיים הראשונות. ארגונים להתמודד עם סיכוני תאימות משפטיים ותקינים אם הנתונים אינם נשמרים (נמחקים מוקדם מדי), וכעת מנהלים כעת גם תקנות המנהלות סילוק מידע כאשר מידע אינו נדרש עוד. אסטרטגיות ניהול רשומות יעילות מדגישות גישה מעשית ועקבית כך שהמידע מסולקל כראוי תוך מזעור העלות והסיכון לארגון.

בנוסף, הוראות רגולטוריות של מחלקת השירותים הפיננסיים של מדינת ניו יורק דורשות ישויות מכוסות לשמירה על מדיניות ונהלים לסילוק מידע שאינו ציבורי. 23 NYCRR 500, סעיף 500.13, מגבלות על שמירת נתונים מחייבות ש"כחלק מתוכנית אבטחת הסייבר שלה, כל ישות מכוסה תכלול מדיניות ונהלים לסילוק מאובטח על בסיס תקופתי של כל מידע שאינו ציבורי המזוהה בסעיף 500.01(ז)(2)-(3) של חלק זה שאינו נחוץ עוד לפעולות עסקיות או למטרות עסקיות חוקיות אחרות של הישות המכוסה, אלא אם כן מידע זה נדרש בדרך אחרת להישמר על-פי חוק או תקנה."

מוסדות פיננסיים מנהלים כמויות עצומות של נתונים. ותקופות שמירה מסוימות מופעלות על-ידי אירועים, כגון תוקף חוזה שתוקפו פג או עובד עוזב את הארגון. באווירה זו, עשוי להיות מאתגר להחיל מדיניות שמירת רשומות. גישות להקצאת תקופות שמירת רשומות באופן מדויק בין מסמכים ארגוניים עשויות להשתנות. יש להחיל מדיניות שמירה באופן נרחב או להשתמש בטכניקות של סיווג אוטומטי ולמידת מכונה. משתמשים אחרים מזהים גישה הדורשת תהליך פרטני יותר המקצה תקופות שמירה באופן ייחודי למסמכים בודדים.

Microsoft 365 מספק יכולות גמישות להגדרת תוויות שמירה ומדיניות להטמעה חכמה של דרישות ניהול רשומות. מנהל רשומות מגדיר תווית שמירה, המייצגת "סוג רשומה" בלוח זמנים מסורתי לשמירה. תווית השמירה מכילה הגדרות שמגדירות פרטים אלה:

  • משך הזמן שבו רשומה נשמרת
  • מה קורה כאשר תוקף תקופת השמירה פג (מחיקת המסמך, התחלת סקירת מחיקה או ללא פעולה)
  • מה גורם לתחילת תקופת השמירה (תאריך יצירה, תאריך שינוי אחרון, תאריך עם תווית או אירוע) ומסמן את המסמך או הדואר האלקטרוני בתור רשומה (כלומר, לא ניתן לערוך או למחוק אותם)

לאחר מכן, תוויות השמירה יפורסמו באתרי SharePoint או OneDrive, בתיבות דואר של Exchange ובקבוצות Microsoft 365. המשתמשים יכולים להחיל את תוויות השמירה באופן ידני על מסמכים והודעות דואר אלקטרוני. מנהלי רשומות יכולים להשתמש בבינה כדי להחיל באופן אוטומטי את התוויות. יכולות חכמות יכולות להיות מבוססות על סוגי מידע רגיש מוכללים של תשעים בתוספת (כגון מספר יציאה של ABA, מספר חשבון בנק אמריקאי או מספר תעודת זהות אמריקאי). הן ניתנות להתאמה אישית גם בהתבסס על מילות מפתח או נתונים רגישים שנמצאים במסמכים או בהודעות דואר אלקטרוני, כגון מספרי כרטיסי אשראי או מידע המאפשר זיהוי אישי אחר או בהתבסס על מטה-נתונים של SharePoint. עבור נתונים שלא ניתן לזהות בקלות באמצעות התאמת דפוסים ידניים או אוטומטיים, ניתן להשתמש מסווגים ניתנים להתאמה כדי לסווג מסמכים בצורה חכמה בהתבסס על טכניקות של למידת מכונה.

Securities and Exchange Commission (SEC) requires broker-broker-brokers and other financial institutions to retain all business-related communications. דרישות אלה חלות על סוגים רבים של תקשורת ונתונים, כולל הודעות דואר אלקטרוני, מסמכים, הודעות מיידיות, פקסים ועוד. כלל SEC 17a-4 מגדיר את הקריטריונים שארגונים אלה חייבים לעמוד בהם כדי לאחסן רשומות במערכת אחסון נתונים אלקטרונית. ב-2003 פרסמה הרשות לניירות ערך מהדורה שהבהירה דרישות אלה. הוא כלל את הקריטריונים הבאים:

  • הנתונים שנשמרו על-ידי מערכת אחסון אלקטרונית חייבים להיות לא ניתנים לשכתוב ולא ניתן למחוק אותם. פעולה זו נקראת דרישת WORM (כתוב פעם אחת, קרא רבים).
  • מערכת האחסון חייבת להיות היכולת לאחסן נתונים מעבר לת תקופת השמירה הנדרשת על-ידי הכלל, במקרה של זימון או סדר משפטי אחר.
  • ארגון לא היה מפר את הדרישה בפיסקה (f)(2)(ii)(A) של הכלל אם הוא השתמש במערכת אחסון אלקטרונית שמונעת מחיקה, מחיקה או שינוי אחר של רשומה במהלך תקופת השמירה הנדרשת שלו באמצעות קודי בקרה משולבים של חומרה ותוכנה.
  • מערכות אחסון אלקטרוניות שרק "מקלות" את הסיכון שרשומה מוחלפת או נמחקת, לדוגמה על-ידי התכתבות בפקד גישה, אינן עומדות בדרישות הכלל.

כדי לעזור למוסדות פיננסיים לעמוד בדרישות של כלל SEC 17a-4, Microsoft 365 מספק שילוב של יכולות הקשורות לאופן השמירה של נתונים, תצורת המדיניות והנתונים מאוחסנים בשירות. אלה כוללים:

  • שימור נתונים (כלל 17a-4(a), (b)(4)) – תוויות ומדיניות שמירה גמישות כדי לעמוד בצרכים ארגוניים וייתכן שיחלו באופן אוטומטי או ידני על סוגי נתונים, מסמכים ומידע שונים. מגוון רחב של סוגי נתונים ותקשורת נתמכים, כולל מסמכים ב- SharePoint וב- OneDrive for Business, נתונים בתוך תיבות Exchange Online ונתונים ב- Teams.

  • תבנית שאינה ניתנת לכתיבה, שאינה ניתנת לכתיבה (כלל 17a-4(f)(2)(ii)(A)) – יכולת נעילת שימור עבור מדיניות שמירה מאפשרת למנהלי רשומות ולמנהלי מערכת לקבוע את תצורת מדיניות השמירה כך שלא תהיה עוד אפשרות לשנותם. פעולה זו אוסרת על כל אחד להסיר, לבטל או לשנות את מדיניות השמירה בכל דרך. משמעות הדבר היא כי ברגע שנעילת השימור מופעלת, לא ניתן להפוך אותה ללא זמינה, ולא קיימת שיטה שבה ניתן להחליף, לשנות או למחוק נתונים שבהם מדיניות השמירה הוחלה במהלך תקופת השמירה. בנוסף, לא ניתן לקצר את תקופת השמירה. עם זאת, ניתן לקצר את תקופת השמירה, כאשר קיימת דרישה משפטית להמשיך בשמיירת נתונים.

    כאשר נעילת שימור מוחלת על מדיניות שמירה, הפעולות הבאות מוגבלות:

    • ניתן להגדיל את תקופת השמירה של המדיניות בלבד. לא ניתן לקצר אותו.
    • ניתן להוסיף משתמשים למדיניות, אך לא ניתן להסיר משתמשים קיימים שתצורתם נקבעה במדיניות.
    • אף מנהל מערכת בארגון לא יכול למחוק את מדיניות השמירה.

    נעילת שימור עוזרת להבטיח שלא יהיה אף משתמש, אפילו לא מנהלי מערכת בעלי רמות גישה הרשאה הגבוהות ביותר, יוכלו לשנות את ההגדרות, לשנות, להחליף או למחוק את הנתונים המאוחסנים, ולאפשר אחסון בארכיון ב- Microsoft 365 בשורה עם ההנחיות שסופקו בהפצה של SEC 2003.

  • איכות, דיוק ואימות של אחסון/עריכה בסידרה ויצירת אינדקס של נתונים (כלל 17a-4(f)(2) (ii)(B) ו- (C)) – כל עומסי עבודה של Office 365 מכילים יכולות לאימות אוטומטי של האיכות והדיוק של התהליך להקלטה של נתונים על מדיית אחסון. בנוסף, הנתונים מאוחסנים על-ידי שימוש במטה-נתונים ובחותמות זמן כדי להבטיח יצירת אינדקס מספיקה כדי לאפשר חיפוש ולאחזור יעילים של נתונים.

  • הפרד אחסון עבור עותקים כפולים (Rule 17a-4(f)(3(iii)) – שירות הענן של Office 365 מאחסן עותקים כפולים של נתונים כהיבט מרכזי של הזמינות העליונה שלו. פעולה זו מושגת על-ידי יישום יתירות בכל רמות השירות, כולל ברמה הפיזית בכל השרתים, ברמת השרת בתוך מרכז הנתונים וברמת השירות עבור מרכזי נתונים המנופצים מבחינה גיאוגרפית.

  • נתונים הניתנים להורדה ונגישים (כלל 17a-4(f)(2)(ii)(D)) – Office 365 בדרך כלל מאפשר חיפוש, גישה והורדה של נתונים עם תוויות לשמירה. בנוסף, הוא מאפשר חיפוש Exchange Online בארכיונים מרובים באמצעות תכונות גילוי אלקטרוני מוכללות. לאחר מכן ניתן להוריד נתונים לפי הצורך בתבניות רגילות, כולל EDRML ו- PST.

  • דרישות ביקורת (כלל 17a-4(f)(3)(v)) – Office 365 מספק רישום ביקורת עבור כל פעולת ניהול ומשתמש שמבצעת שינוי של אובייקטי נתונים, קובעת או משנה מדיניות שמירה, מבצעת חיפושי גילוי אלקטרוני או משנה הרשאות גישה. Office 365 שומרת נתיב ביקורת מקיף, כולל נתונים על מי שביצע פעולה, מתי בוצעה פעולה זו, פרטים על הפעולה והפקודות שבוצעו. לאחר מכן, יומן הביקורת יכול להיות פלט ולכלול אותו כחלק מתהליכים רשמיים של ביקורת, לפי הצורך.

לבסוף, כלל 17a-4 דורש שארגונים יישמרו רשומות עבור סוגים רבים של עסקאות כך שהם יהיו נגישים באופן מיידי למשך שנתיים. יש לשמור רשומות עוד יותר למשך שלוש עד שש שנים עם גישה לא מיידית. יש לשמור רשומות כפולות גם עבור אותה תקופה במיקום מחוץ לאתר. יכולות ניהול רשומות של Microsoft 365 מאפשרות לשמור רשומות כך שלא ניתן לשנות או למחוק הרשומות, אך ניתן לגשת שמאלה בקלות לפרק זמן הנשלט על-ידי מנהל הרשומות. תקופות אלה יכולות לכלול ימים, חודשים או שנים, בהתאם למחויבויות התאימות לתקנות של הארגון.

על פי בקשה, Microsoft תספק מכתב אימות של תאימות עם SEC 17a-4, אם הארגון יתבקש לעשות זאת.

בנוסף, יכולות אלה גם עוזרות ל- Microsoft 365 לעמוד בדרישות האחסון עבור CFTC Rule 1.31(c)-(d) עמלת המסחר בחוזים עתידיים של ארה"ב ו- FINRA Rule Series 4510 מרשות הרגולטוריה של התעשייה הפיננסית. באופן קולקטיבי, כללים אלה מייצגים את ההדרכה הכי תיאורית ברחבי העולם למוסדות פיננסיים לשמור רשומות.

פרטים נוספים לגבי האופן שבו Microsoft 365 מציית לכלל SEC 17a-4 ולתקנות אחרות זמין ב- Office 365 - הערכת Cohasset - SEC Rule 17a-4(f) - אחסון שאינו ניתן לשינוי עבור SharePoint, OneDrive, Exchange, Teams ו- Viva Engage (2022).

הגדירו קירות אתיים באמצעות מחסומי מידע

מוסדות פיננסיים יכולים להיות כפופים לתקנות שמונעות מהעובדים בתפקידים מסוימים להחליף מידע או לשתף פעולה עם תפקידים אחרים. לדוגמה, FINRA פרסמה כללים 2241(b)(2)(G), 2242(b)(2) (D), (b)(2)(H)(ii) ו- (b)(2)(H)(iii) הדורשים לחברים:

"(ז) להקים מחסומי מידע או אמצעי הגנה מוסדיים אחרים שנועדו באופן סביר להבטיח כי אנליסטי מחקר מבודדים מהסקירה, הלחץ או הפיקוח על-ידי אנשים העוסקים בפעילויות של שירותי בנקאות להשקעות או אנשים אחרים, כולל צוותי מכירות וסחר, שעלולים להיות מוטים בשיפוט או בפיקוח שלהם;" ו- "(H) להקים מחסומי מידע או אמצעי הגנה מוסדיים אחרים שנועדו באופן סביר כדי להבטיח כי מנתחי מחקר החובות אינם מיוחסים הביקורת, הלחץ או הפיקוח של אנשים העוסקים ב: (i) שירותי בנקאות להשקעות; (ii) פעילויות ראשיות למסחר או למכירות ולסחר; ו- (iii) אנשים אחרים שעשויים להיות מוטים בשיקול דעתם או בפיקוח שלהם;"

בסופו של דבר, כללים אלה דורשים מארגונים ליצור קווי מדיניות וליישם מחסומי מידע בין תפקידים המעורבים בשירותים בנקאיים, במכירות או במסחר מחילופי מידע ותקשורת עם אנליסטים.

מחסומי מידע מאפשרים ליצור קירות אתיים בתוך סביבת Office 365 שלך, ומאפשרים למנהלי תאימות או למנהלי מערכת מורשים אחרים להגדיר פריטי מדיניות המאפשרים או מונעים תקשורת בין קבוצות של משתמשים ב- Teams. מחסומי מידע מבצעים בדיקות על פעולות ספציפיות כדי למנוע תקשורת בלתי מורשית. מחסומי מידע יכולים גם להגביל תקשורת בתרחישים שבהם צוותים פנימיים עובדים על מיזוגים/רכישות או עסקאות רגישות, או עובדים עם מידע פנימי רגיש, אשר חייב להיות מוגבל במידה רבה.

מחסומי מידע תומכים בשיחות ובקבצים ב- Teams. הם יכולים למנוע את הסוגים הבאים של פעולות הקשורות לתקשורת כדי לסייע בעמידה בתקנות FINRA:

  • חיפוש משתמש
  • הוספת חבר לצוות, או המשך להשתתף עם חבר אחר בצוות
  • הפעלה או המשך של הפעלת צ'אט
  • התחלה או המשך של צ'אט קבוצתי
  • הזמן מישהו להצטרף לפגישה
  • שיתוף מסך
  • ביצוע שיחה

יישום בקרת פיקוח

מוסדות פיננסיים נדרשים בדרך כלל לבסס ולתחזק תפקיד פיקוחי בארגונים שלהם כדי לנטר את הפעילויות של העובדים ולעזור לו להשיג ציות לחוקי ניירות הערך הרלוונטיים. באופן ספציפי, FINRA קבעה את דרישות הפיקוח הבאות:

  • FINRA Rule 3110 (פיקוח) מחייב חברות לכלול הליכים פיקוחיים כתובים (WSPs) כדי לפקח על פעילויות של העובדים שלה וסוגי העסקים שבהם הוא עוסק. בנוסף לדרישות אחרות, ההליכים חייבים לכלול:

    • פיקוח על צוות הפיקוח
    • סקירה של בנקאות השקעות, עסק ניירות ערך, תקשורת פנימית וחקירות פנימיות
    • סקירת עסקאות למסחר פנימי
    • סקירת התכתבויות ותלונות

    ההליכים חייבים לתאר את האנשים האחראים לביקורות, פעילות פיקוח שכל אדם יבצע, יעיין בתדירות ואת סוגי התיעוד או התקשורת הנכללים בסקירה.

  • FINRA Rule 3120 (מערכת בקרה פיקוחית) דורש המשרדים להיות מערכת של מדיניות פיקוח והליכים (SCPs) שמאמתים את נהלי הפיקוח הכתובים שלהם, כפי שהוגדרו על-ידי כלל 3110. חברות נדרשות לא רק להתקין WSPs, אלא גם פריטי מדיניות הבדיקות הליכים אלה מדי שנה כדי לאמת את יכולתם להבטיח תאימות לחוקים ולתקנות של ניירות ערך ישימים. ניתן להשתמש בדגימה ומתודולוגיות מבוססות סיכונים להגדרת טווח הבדיקה. בין שאר הדרישות, כלל זה דורש מחברות לספק דוח שנתי לניהול בכיר הכולל סיכום של תוצאות בדיקה וכל חריגה משמעותית או הליכים מיונזים בתגובה לתוצאות הבדיקה.

עובד במשרד מציג תרשים וטבלאות על מסך בזמן שאחרים נפגשים ברקע.

תאימות תקשורת

תאימות תקשורת ב- Microsoft Purview הוא פתרון תאימות שעוזר למזער את סיכוני התקשורת בכך שהוא מסייע לך לזהות, לחקור הודעות בלתי הולמות בארגון שלך ופעל לפיהן. מדיניות מוגדרת מראש ומדיניות מותאמת אישית מאפשרת לך לסרוק תקשורת פנימית ותקשורת חיצונית לצורך התאמות מדיניות כדי שניתן יהיה לבחון אותם על-ידי בודקים ייעודיים. בודקים יכולים לבדוק דואר אלקטרוני שנסרק, Microsoft Teams, Viva Engage תקשורת של ספקים חיצוניים בארגון שלך ולבצע פעולות מתאימות כדי לוודא שהם תואמים לתקני ההודעות של הארגון שלך.

תאימות תקשורת מספקת דוחות המאפשרים ביקורת של פעילויות סקירת מדיניות בהתבסס על המדיניות והסוגי. דוחות זמינים לאימות שמדיניות פועלת כפי שהוגדרה על-ידי פריטי מדיניות כתובים של ארגון. ניתן להשתמש בהן גם לזיהוי תקשורת הדורשות סקירה ותקשורת שאינה תואמת למדיניות הארגונית. לבסוף, כל הפעילויות הקשורות לקביעת התצורה של פריטי מדיניות ולסידורת תקשורת מביקורות ביומן Office 365 הביקורת המאוחד. כתוצאה מכך, תאימות תקשורת גם מסייעת למוסדות פיננסיים לציית ל- FINRA Rule 3120.

בנוסף לעמידה בכללי FINRA, תאימות תקשורת מאפשרת לארגונים לזהות פריטי תקשורת שעשויים להיות מושפעים מדרישות משפטיות אחרות, ממדיניות החברה ולתקנים אתיים ולבצע פעולות אלה. תאימות תקשורת מספקת מסווגים מוכללים של איום, הטרדה ותקינות אשר עוזרים להפחית תוצאות חיוביות מוטעות בעת סקירת תקשורת, תוך חיסכון בזמן הבודקים במהלך החקירה והתיקון. היא גם מאפשרת לארגונים להפחית את הסיכון על-ידי זיהוי תקשורת כאשר הם עוברים שינויים ארגוניים רגישים, כגון מיזוגים ורכישות או שינויי מנהיגות.

עובד מידע מתמקד במסך.

הגנה מפני סינון נתונים וסיכון פנימי

איום נפוץ לארגונים הוא סינון נתונים, או פעולה של חילוץ נתונים מארגון. סיכון זה עשוי להיות חשש משמעותי למוסדות פיננסיים בשל אופיו הרגיש של המידע שניתן לגשת אליו מיום ליום. עם מספר הולך וגדל של ערוצי תקשורת זמינים והפצה של כלים להעברת נתונים, יכולות מתקדמות נדרשות בדרך כלל כדי לצמצם את הסיכונים של דליפות נתונים, הפרות מדיניות וסיכון פנימי.

ניהול סיכונים פנימיים

מתן אפשרות לעובדים באמצעות כלי שיתוף פעולה מקוונים שניתן לגשת אליהם בכל מקום שהוא מביא סיכון לארגון. עובדים עלולים לדלוף בשוגג או בזדון נתונים לתוקפים או למתחרים. לחלופין, הם עשויים לחדור לנתונים לשימוש אישי או לקחת איתם נתונים למעסיק עתידי. תרחישים אלה מציגים סיכונים חמורים למוסדות שירותים פיננסיים הן מבחינת אבטחה והן ממעמד תאימות. זיהוי סיכונים אלה כאשר הם מתרחשים ומצמצם אותם במהירות דורש שני כלים חכמים לאיסוף נתונים ולשיתוף פעולה בין מחלקות, כגון משפטי, משאבי אנוש ואבטחה של מידע.

ניהול סיכונים פנימיים ב- Microsoft Purview הוא פתרון תאימות שמסייע למזער את הסיכונים הפנימיים בכך שהוא מאפשר לך לזהות, לחקור פעילויות זדוניות ולא מכוונת בארגון שלך ולבצע בחירות. פריטי מדיניות של סיכונים פנימיים מאפשרים לך להגדיר את סוגי הסיכונים לזיהוי ולזיהוי בארגון שלך, כולל ביצוע מקרים והסלמה של אירועים לגילוי אלקטרוני של Microsoft (Premium) במידת הצורך. אנליסטי סיכונים בארגון שלך יכולים לבצע במהירות פעולות מתאימות כדי לוודא שהמשתמשים תואמים לתקני התאימות של הארגון שלך.

לדוגמה, ניהול סיכונים פנימיים יכול לתאם אותות ממכשירים של משתמש, כגון העתקת קבצים לכונן USB או שליחת דואר אלקטרוני לחשבון דואר אלקטרוני אישי, עם פעילויות מ- שירותים מקוונים כגון דואר אלקטרוני של Office 365, SharePoint Online, Microsoft Teams או OneDrive for Business, כדי לזהות דפוסי סינון נתונים. הוא יכול גם לתאם פעילויות אלה עם עובדים עזיבתך מהארגון, שהוא תבנית נפוצה של סינון נתונים. הוא יכול לזהות פעילויות וה אופני פעולה מרובים שעלולים להיות מסיכונים לאורך זמן. כאשר מתפתחים דפוסים נפוצים, הוא יכול להעלות התראות ולעזור לחוקרים להתמקד בפעילויות עיקריות כדי לאמת הפרת מדיניות ברמת ביטחון גבוהה. ניהול סיכונים של Insider יכול לבצע מדומה נתונים של חוקרים כדי לעזור בדרישות של תקנות פרטיות נתונים, תוך החשפת פעילויות מרכזיות שיעזרו להם לבצע חקירות ביעילות. היא מאפשרת לחוקרים לארוז ולשלוח באופן מאובטח נתוני פעילות עיקריים אל מחלקת משאבי אנוש והמחלקה המשפטית, ועקב אחר זרימות עבודה נפוצות של הסלמה להגדלת מקרים לפעולות תיקון.

ניהול סיכונים פנימיים מגדיל באופן משמעותי את היכולות של ארגונים לזהות ולחקור סיכוני Insider, תוך מתן אפשרות לארגונים לעמוד בתקנות פרטיות הנתונים ולעקוב אחר נתיבי הסלמה נקבעים כאשר מקרים דורשים פעולה ברמה גבוהה יותר.

עובד של מרכז שיחה בתא מסוגים שונים בעת הצגת מסך.

הגבלות דיירים

ארגונים הטפלים בנתונים רגישים ומדגישים בצורה קפדנית את האבטחה, בדרך כלל רוצים לשלוט במשאבים המקוונים שאליהם המשתמשים יכולים לגשת. בו-זמנית, הם רוצים לאפשר שיתוף פעולה מאובטח באמצעות שירותים מקוונים כגון Office 365. כתוצאה מכך, השליטה בסביבות Office 365 שמשתמשים יכולים לגשת אליו הופכת לאתגר מכיוון שסביבות Office 365 שאינן חברותיות יכולות לשמש לצורך הרחבה של נתונים ממכשירים ארגוניים, בזדון או בשוגג. באופן מסורתי, ארגונים מגבילים את התחומים או כתובות ה- IP שמשתמשים יכולים לגשת אליהם ממכשירים ארגוניים. אך פעולה זו אינה פועלת בעולם הראשון בענן, שבו המשתמשים צריכים לגשת באופן חוקי Office 365 שלך.

Microsoft 365 מספק לדייר את מגבלות היכולת לטפל באתגר זה. ניתן לקבוע את התצורה של הגבלות דיירים כדי להגביל את הגישה של העובדים לדיירים חיצוניים של Office 365 ארגונים באמצעות זהויות מתחזות (זהויות שאינן חלק ממדריך הכתובות של החברה שלך). כיום, הגבלות דיירים חלות על פני הדייר, ומאפשרות גישה רק לדיירים המופיעים ברשימה שאתה קובע את תצורתם. Microsoft ממשיכה לפתח פתרון זה כדי להגביר את הצפיפות של השליטה ולשפר את הגנות שהיא מספקת.

גרפי.

מסקנה

Microsoft 365 ו- Teams מספקים פתרון משולב ומקיף לחברות שירותים פיננסיים, ומאפשרים יכולות שיתוף פעולה ותקשורת פשוטות וחזקות בענן ברחבי הארגון. על-ידי שימוש בטכנולוגיות אבטחה ותאימות של Microsoft 365, מוסדות יכולים לפעול בצורה מאובטחת ותואם יותר עם בקרות אבטחה חזקות כדי להגן על נתונים, זהויות, מכשירים ואפליקציות מפני סיכונים תפעוליים שונים, כולל אבטחת סייבר וסיכוני Insider. Microsoft 365 מספק פלטפורמה מאובטחת באופן מהותי שבה ארגוני שירותים פיננסיים יכולים להשיג יותר תוך הגנה על החברה, העובדים והלקוחות שלהם.