Considerazioni chiave su conformità e sicurezza per i mercati bancario e finanziario degli Stati Uniti

  • Articolo

Introduzione

Gli istituti di servizi finanziari sorpassano quasi tutte le aziende commerciali nella loro richiesta di controlli rigorosi di sicurezza, conformità e governance. La protezione di dati, identità, dispositivi e applicazioni non è solo fondamentale per la loro attività, è soggetta ai requisiti di conformità e alle linee guida di organismi normativi come la Securities and Exchange Commission (SEC), la Financial Industry Regulatory Authority (FINRA), il Federal Financial Institutions Examination Council (FFIEC) e la Commodity Futures Trading Commission (CFTC). Gli istituti finanziari sono anche soggetti a leggi come la riforma Dodd-Frank e la Sarbanes-Oxley Act del 2002.

Nel contesto odierno di una maggiore vigilanza della sicurezza, delle problematiche del rischio Insider e delle violazioni dei dati pubblici, i clienti richiedono elevati livelli di sicurezza dai loro istituti finanziari anche per affidare a essi i propri dati personali e gli attivi bancari.

In passato, la necessità di controlli completi ha influenzato direttamente e vincolato i sistemi IT e le piattaforme usati dagli istituti finanziari per la collaborazione interna ed esterna. Oggi, ai dipendenti dei servizi finanziari serve una moderna piattaforma di collaborazione che sia semplice da adottare e facile da usare. I servizi finanziari, tuttavia, non possono rinunciare alla flessibilità necessaria per collaborare tra utenti, team e reparti in nome di controlli di sicurezza e conformità che applicano criteri per proteggere gli utenti e i sistemi IT dalle minacce.

Nel settore dei servizi finanziari è necessaria un'attenta considerazione alla configurazione e alla distribuzione di strumenti di collaborazione e controlli di sicurezza, tra cui:

  • Valutazione dei rischi relativi a scenari di collaborazione organizzativa comune e di processo aziendale
  • Requisiti di protezione delle informazioni e governance dei dati
  • Sicurezza informatica e minacce Insider
  • Requisiti di conformità normativi
  • Altri rischi operativi

Microsoft 365 è un ambiente cloud moderno in grado di affrontare le sfide contemporanee che le organizzazioni di servizi finanziari devono affrontare. La collaborazione sicura e flessibile all'interno dell'azienda è combinata con controlli e imposizione dei criteri per rispettare i rigorosi framework di conformità alle normative. Questo articolo descrive in che modo la piattaforma Microsoft 365 consente ai servizi finanziari di passare a una moderna piattaforma di collaborazione, contribuendo a mantenere i dati e i sistemi sicuri e conformi alle normative:

  • Abilitare la produttività organizzativa e dei dipendenti usando Microsoft 365 e Microsoft Teams
  • Proteggere la collaborazione moderna usando Microsoft 365
  • Identificare i dati sensibili ed evitare la perdita di dati
  • Difendere la fortezza
  • Governare i dati e conformarsi alle normative con la gestione efficace dei record
  • Creare pareti etiche con barriere informative
  • Proteggersi dall'esfiltrazione dei dati e dai rischi Insider

Come partner Microsoft, Protiviti ha contribuito a fornire il proprio feedback su questo articolo.

Le illustrazioni scaricabili di seguito completano questo articolo. Woodgrove Bank e Contoso sono utilizzati per dimostrare come le capacità descritte in questo articolo possano essere applicate per soddisfare i requisiti normativi comuni dei servizi finanziari. Queste illustrazioni possono essere personalizzate.

Illustrazioni della Conformità e protezione delle informazioni di Microsoft 365

Elemento Descrizione
Modello poster: Capacità della Conformità e protezione delle informazioni di Microsoft 365.
Inglese: Scaricare come download PDF | come Visio
Giapponese: scaricare come download PDF | come Visio
Ultimo aggiornamento nel novembre 2020		 Include:
  • Microsoft Purview Information Protection e Prevenzione della perdita dei dati Microsoft Purview
  • Criteri di conservazione ed etichette di conservazione.
  • Barriere informative
  • Conformità delle comunicazioni
  • Rischi Insider
  • Gestione dei dati di terze parti

Supportare la produttività organizzativa e dei dipendenti usando Microsoft 365 e Teams

La collaborazione richiede in genere diverse forme di comunicazione, la possibilità di archiviare e accedere a documenti e dati e la possibilità di integrare altre applicazioni in base alle esigenze. I dipendenti dei servizi finanziari devono in genere collaborare e comunicare con i membri di altri reparti o team e talvolta con entità esterne. Di conseguenza, usare sistemi che creano silos o rendono difficile la condivisione delle informazioni non è auspicabile. Al contrario, è preferibile usare piattaforme e applicazioni che consentono ai dipendenti di comunicare, collaborare e condividere informazioni in modo sicuro e in base ai criteri aziendali.

Offrire ai dipendenti una moderna piattaforma di collaborazione basata sul cloud permette di scegliere e integrare strumenti che li rendono più produttivi e danno loro la possibilità di praticare lo smart working. Grazie all'uso di Teams in combinazione con i controlli di sicurezza e i criteri di governance delle informazioni che proteggono l'organizzazione, la forza lavoro può comunicare e collaborare in modo efficace.

Teams rappresenta un hub di collaborazione per l'organizzazione. Stimola la collaborazione in modo produttivo con iniziative e progetti comuni. Teams consente ai membri del team di condurre conversazioni in chat 1:1 e con più partecipanti, collaborare e creare documenti in modalità condivisa, archiviare e condividere file. Teams facilita anche le riunioni online attraverso VoIP aziendale integrato e video. Teams può anche essere personalizzato con app Microsoft come Microsoft Planner, Microsoft Dynamics 365, Power Apps, Power BI e applicazioni line-of-business di terze parti. Teams è progettato per l'uso da parte dei membri interni del team e degli utenti esterni autorizzati che possono partecipare ai canali del team, partecipare a conversazioni di chat, accedere ai file archiviati e usare altre applicazioni

Ogni team di Microsoft è supportato da un gruppo di Microsoft 365. che viene considerato il servizio di appartenenza a numerosi servizi di Office 365, incluso Teams. I gruppi di Microsoft 365 vengono usati per distinguere in modo sicuro tra "proprietari" e "membri" e per controllare l'accesso a varie funzionalità all'interno di Teams. Se abbinato a opportuni controlli di governance e con le revisioni di accesso regolarmente gestite, Teams consente solo ai membri e ai proprietari di utilizzare canali e funzionalità autorizzati.

Uno scenario comune in cui Teams offre benefici ai servizi finanziari è l'esecuzione di progetti o programmi interni. Ad esempio, molti istituti finanziari, tra cui banche, società di gestione patrimoniale, cooperative di credito e compagnie assicurative, sono tenuti a implementare un programma antiriciclaggio e altri programmi di conformità. Per condividere i dati tra loro e comunicare informazioni sul programma o sulle indagini specifiche, potrebbe essere necessario un team interfunzionale composto da linee di business IT come gestione patrimoniale e vendita al dettaglio e un'unità anticrimine. Tradizionalmente, questi programmi usano unità di rete condivise, ma questo approccio può presentare numerose sfide, tra cui:

  • Solo una persona può modificare un documento alla volta.
  • La gestione della sicurezza richiede tempo perché l'aggiunta o la rimozione di singoli utenti richiede in genere l'intervento dell'IT.
  • I dati rimangono residenti sulle unità di rete condivise più a lungo del necessario o del voluto.

Teams può offrire uno spazio per la collaborazione che consente di archiviare in modo sicuro i dati dei clienti sensibili e di condurre conversazioni tra i membri del team in cui è possibile discutere di argomenti riservati. Più membri del team possono collaborare contemporaneamente a un unico documento o modificarlo. Il proprietario o il responsabile del programma può essere configurato come proprietario del team e quindi può aggiungere e rimuovere membri in base alle esigenze.

Un altro scenario comune consiste nell'usare Teams come "sala dati virtuale" per collaborare in modo sicuro, incluse l'archiviazione e la gestione dei documenti. I membri del team e le associazioni all'interno dei settori di banche d'affari, gestione patrimoniale o società di private equity possono collaborare in modo sicuro a una trattativa o a un investimento. I team interfunzionali sono spesso coinvolti nella pianificazione e nell'esecuzione di tali trattative e la possibilità di condividere in modo sicuro i dati e condurre conversazioni è un requisito fondamentale. Uno dei principali requisiti è anche la condivisione sicura dei documenti correlati con gli investitori esterni. Teams offre una posizione sicura e completamente verificabile dalla quale archiviare, proteggere e condividere i dati di investimento in modo centralizzato.

Un gruppo di impiegati in riunione discute le immagini su un grande schermo.

Teams: migliorare la collaborazione e ridurre i rischi di conformità

Microsoft 365 include altre funzionalità comuni relative ai criteri per Teams, grazie all'uso dei gruppi di Microsoft 365 come servizio di appartenenza sottostante. Questi criteri contribuiscono a migliorare la collaborazione e a soddisfare le esigenze di conformità.

I criteri di denominazione dei gruppi di Microsoft 365 garantiscono che i gruppi di Microsoft 365, e di conseguenza i team, siano denominati in base ai criteri aziendali. I nomi possono essere problematici se non sono appropriati. Ad esempio, i dipendenti potrebbero non sapere con quali team usare o condividere informazioni se i nomi non vengono applicati in modo appropriato. I criteri di denominazione dei gruppi, tra cui il supporto per i criteri basati su prefisso o suffisso e le parole bloccate personalizzate, possono applicare una buona "igiene" ed evitare l'uso di parole specifiche, come parole riservate o terminologia inappropriata.

I criteri di scadenza dei gruppi di Microsoft 365 garantiscono che i gruppi di Microsoft 365, e di conseguenza i team, non vengano conservati per periodi di tempo più lunghi di quanto l'organizzazione desideri o necessiti. Questa funzionalità consente di evitare due problemi principali di gestione delle informazioni:

  • Proliferazione di team non necessari o inutilizzati.
  • Conservazione prolungata dei dati non più necessari o inutilizzati dall'organizzazione, tranne nei casi di conservazione a fini giudiziari o mantenimento.

Gli amministratori possono specificare un periodo di scadenza per i gruppi di Microsoft 365, ad esempio 90, 180 o 365 giorni. Se un servizio supportato da un gruppo di Microsoft 365 non è attivo per il periodo di scadenza, i proprietari del gruppo riceveranno una notifica. Se non viene eseguita alcuna azione, il gruppo di Microsoft 365 e tutti i relativi servizi correlati, inclusi i team, vengono eliminati.

La conservazione prolungata dei dati archiviati in Teams e altri servizi basati su gruppo può rappresentare un rischio per gli istituti di servizi finanziari. È consigliato l'uso dei criteri di scadenza dei gruppi di Microsoft 365 per evitare la conservazione di dati non più necessari. In combinazione con le etichette e i criteri di conservazione predefiniti, Microsoft 365 consente alle organizzazioni di mantenere solo i dati necessari per rispettare criteri aziendali e obblighi di conformità alle normative.

Teams: integrare i requisiti personalizzati con facilità

Per impostazione predefinita, Teams consente la creazione di team in modalità self-service. Tuttavia, molte organizzazioni regolamentate puntano a controllare e capire quali canali di collaborazione sono attualmente in uso da parte dei dipendenti, quali canali possono contenere dati sensibili e la proprietà dei canali aziendali. Per facilitare questi controlli di governance, Microsoft 365 consente all'organizzazione di disabilitare la creazione di team in modalità self-service. Con gli strumenti per l'automazione dei processi aziendali, ad esempio Microsoft Power Apps e Power Automate, le organizzazioni possono creare e distribuire semplici moduli e processi di approvazione che i dipendenti potranno impiegare per richiedere la creazione di un nuovo team. Una volta approvato, è possibile eseguire il provisioning automatico del team e inviare un collegamento al richiedente. In questo modo le organizzazioni possono progettare e integrare i controlli di conformità e i requisiti personalizzati nel processo di creazione del team.

Canali di comunicazione digitali accettabili

L'ente FINRA sottolinea che le comunicazioni digitali delle imprese regolamentate soddisfano i requisiti di archiviazione delle norme Exchange Act 17a-3 e 17a-4, oltre alla serie di regole 4510 dell'ente FINRA. FINRA rilascia un report annuale che contiene risultati chiave, osservazioni e procedure efficaci per aiutare le organizzazioni a migliorare la conformità e la gestione dei rischi. Nel report sui risultati dell'esame e sulle osservazioni del 2019, FINRA ha identificato le comunicazioni digitali come area chiave in cui le aziende riscontrano più problemi nel conformarsi ai requisiti di supervisione e archiviazione.

Se un'organizzazione consente ai dipendenti di usare una specifica applicazione, ad esempio un servizio di messaggistica o una piattaforma di collaborazione basati su app, dovrà archiviare record aziendali e supervisionare le loro attività e le comunicazioni in tale applicazione. Le organizzazioni sono responsabili di esercitare la dovuta diligenza per conformarsi alle regole FINRA e alle normative in materia di titoli nonché di verificare le possibili violazioni di tali regole correlate all'uso di tali app da parte dei dipendenti.

Le procedure efficaci consigliate dall'ente FINRA sono le seguenti:

  • Creare un programma completo di governance per i canali di comunicazione digitali. Gestire le decisioni aziendali relative ai canali di comunicazione digitali consentiti e definire i processi di conformità per ogni canale digitale. Monitorare con attenzione il rapido cambiamento dei canali di comunicazione digitale e mantenere aggiornati i processi di conformità.
  • Definire e controllare chiaramente i canali digitali ammissibili. Definire canali digitali sia approvati che vietati. Bloccare o limitare l'uso di canali digitali vietati o di funzionalità vietate all'interno dei canali digitali, che limitano la possibilità dell'organizzazione di conformarsi ai requisiti di gestione dei record e supervisione.
  • Offrire corsi di formazione per le comunicazioni digitali. Implementare programmi di formazione obbligatoria prima di concedere l'accesso ai rappresentanti registrati ai canali digitali autorizzati. Il corso di formazione aiuta a chiarire le aspettative di un'organizzazione per le comunicazioni digitali aziendali e personali e consente ai membri del personale di usare le funzionalità consentite di ogni canale in modo conforme.

I risultati e le osservazioni dell'ente FINRA per le comunicazioni digitali si riferiscono direttamente alla capacità di un'organizzazione di rispettare la regola SEC 17a-4 per mantenere tutte le comunicazioni aziendali, le regole FINRA 3110 e 3120 per la supervisione e la revisione delle comunicazioni e la serie di regole 4510 per l'archiviazione. La FTC (Commodity Futures Trading Commission) promulga requisiti simili nella regola 17 CFR 131. Queste normative sono descritte in dettaglio più avanti in questo articolo.

Teams, insieme alla suite completa di offerte di sicurezza e conformità di Microsoft 365, fornisce un canale di comunicazione digitale aziendale per gli istituti di servizi finanziari per condurre efficacemente le attività aziendali e rispettare le normative. Il resto di questo articolo descrive in che modo le funzionalità predefinite di Microsoft 365 per la gestione dei record, la protezione delle informazioni, le barriere informative e il controllo di supervisione offrono a Teams un solido set di strumenti per soddisfare questi obblighi normativi.

Proteggere la collaborazione moderna con Microsoft 365

Proteggere le identità degli utenti e controllare l'accesso

La protezione dell'accesso alle informazioni, ai documenti finanziari e alle applicazioni dei clienti inizia con la protezione delle identità utente. A tale scopo, è necessaria una piattaforma sicura per consentire all'azienda di archiviare e gestire le identità, fornendo un mezzo di autenticazione attendibile e controllando dinamicamente l'accesso a tali applicazioni.

Durante la loro attività, i dipendenti possono spostarsi da un'applicazione all'altra o tra più posizioni e dispositivi. L'accesso ai dati deve essere autenticato a ogni passaggio lungo il percorso. Il processo di autenticazione deve supportare un protocollo avanzato e più fattori di autenticazione (ad esempio un passcode monouso via SMS, un'app di autenticazione e un certificato) per assicurare che le identità non vengano compromesse. L'applicazione di criteri di accesso basati sul rischio è cruciale per la protezione di applicazioni e dati finanziari da minacce Insider, perdite di dati accidentali ed esfiltrazione di dati.

Microsoft 365 offre una piattaforma di gestione delle identità sicura in Microsoft Entra ID, in cui le identità vengono archiviate centralmente e gestite in modo sicuro. Microsoft Entra ID, insieme a una serie di servizi di sicurezza di Microsoft 365 correlati, costituisce la base per fornire ai dipendenti l'accesso necessario per lavorare in modo sicuro, proteggendo al tempo stesso l'organizzazione dalle minacce.

Microsoft Entra l'autenticazione a più fattori (MFA) è integrata nella piattaforma e fornisce un'ulteriore prova di autenticazione per confermare l'identità dell'utente quando accede a dati finanziari e applicazioni sensibili. Azure MFA richiede almeno due forme di autenticazione, ad esempio una password più un dispositivo mobile noto. Supporta diverse opzioni di autenticazione a due fattori, tra cui:

  • L'app Microsoft Authenticator
  • Un passcode monouso recapitato via SMS
  • Telefonata in cui un utente deve immettere un PIN

Se la password è in qualche modo compromessa, un potenziale hacker deve comunque avere il telefono dell'utente per accedere ai dati dell'organizzazione. Microsoft 365 usa l'autenticazione moderna anche come protocollo chiave, che offre la stessa esperienza di autenticazione avanzata e complessa dei Web browser agli strumenti di collaborazione che i dipendenti usano giorno per giorno, tra cui Microsoft Outlook e altre applicazioni di Microsoft Office.

Senza password

Le password rappresentano il collegamento più debole di una catena di sicurezza. Se non si effettuano ulteriori verifiche, possono rappresentare un singolo punto di errore. Microsoft supporta un'ampia gamma di opzioni di autenticazione per soddisfare le esigenze degli istituti finanziari.

I metodi senza password contribuiscono rendere l'autenticazione a più fattori più pratica per gli utenti. Anche se non tutte le MFA sono senza password, le tecnologie senza password usano l'autenticazione a più fattori. Microsoft, Google e altri leader del settore hanno sviluppato standard che consentono di eseguire un'autenticazione più semplice e più efficace in tutto il Web e nei dispositivi mobili in un gruppo chiamato Fast IDentity online (FIDO). Lo standard FIDO2 sviluppato di recente consente agli utenti di eseguire l'autenticazione in modo semplice e sicuro senza richiedere una password per eliminare il phishing.

I metodi di autenticazione a più fattori di Microsoft che non richiedono password includono:

  • Microsoft Authenticator: per flessibilità, convenienza e costo, è consigliabile usare l'app Microsoft Authenticator per dispositivi mobili. Microsoft Authenticator supporta la biometria, le notifiche push e i passcode monouso per qualsiasi app connessa Microsoft Entra. È disponibile negli app store Apple e Android.
  • Windows Hello: per un'esperienza integrata nel PC, è consigliabile usare Windows Hello. Usa informazioni biometriche, ad esempio il volto o le impronte digitali, per eseguire l'accesso automatico.
  • Le chiavi di sicurezza di FIDO2 sono ora disponibili presso diversi partner Microsoft: Yubico, Feitian Technologies e HID Global in un badge USB abilitato per NFC o con una chiave biometrica.

Microsoft Entra l'accesso condizionale offre una soluzione affidabile per automatizzare le decisioni di controllo di accesso e applicare criteri organizzativi per proteggere gli asset aziendali. Un esempio classico si ha quando un consulente finanziario vuole accedere a un'applicazione che contiene dati riservati dei clienti. Sono automaticamente necessari per eseguire un'autenticazione a più fattori per accedere in modo specifico all'applicazione e l'accesso deve essere da un dispositivo gestito dall'azienda. L'accesso condizionale di Azure associa i segnali della richiesta di accesso di un utente, ad esempio le proprietà relative all'utente, il dispositivo, la posizione e la rete, all'applicazione a cui l'utente sta provando ad accedere. Valuta in modo dinamico i tentativi di accesso all'applicazione in base ai criteri configurati. Se il rischio utente o dispositivo è elevato o non vengono soddisfatte altre condizioni, Microsoft Entra ID può applicare automaticamente criteri come la richiesta di autenticazione a più fattori, la richiesta di una reimpostazione sicura della password o la limitazione o il blocco dell'accesso. Questo consente di garantire che le risorse aziendali riservate siano protette in ambienti in evoluzione dinamica.

Microsoft Entra ID, e i relativi servizi di sicurezza di Microsoft 365, forniscono le basi su cui è possibile implementare una moderna piattaforma di collaborazione cloud agli istituti finanziari in modo che l'accesso ai dati e alle applicazioni possa essere protetto e gli obblighi di conformità dell'autorità di regolamentazione possano essere soddisfatti. Questi strumenti forniscono le seguenti funzionalità chiave:

  • Archiviare in modo centralizzato e gestire in modo sicuro le identità degli utenti.
  • Usare un protocollo di autenticazione avanzata, inclusa l'autenticazione a più fattori, per autenticare gli utenti nelle richieste di accesso e offrire un'esperienza di autenticazione coerente e affidabile in tutte le applicazioni.
  • Convalidare in modo dinamico i criteri per tutte le richieste di accesso, incorporando più segnali nel processo decisionale dei criteri, tra cui identità, appartenenza a utenti/gruppi, applicazioni, dispositivi, rete, posizione e punteggio di rischio in tempo reale.
  • Convalidare i criteri granulari in base ai comportamenti dell'utente e alle proprietà dei file e applicare in modo dinamico ulteriori misure di sicurezza, se necessario.
  • Identificare "shadow IT" nell'organizzazione e consentire ai team InfoSec di approvare o bloccare le applicazioni cloud.
  • Monitorare e controllare l'accesso alle applicazioni cloud Microsoft e non Microsoft.
  • Proteggere in modo proattivo contro gli attacchi di phishing via posta elettronica e ransomware.

Microsoft Entra ID Protection

Anche se l'accesso condizionale protegge le risorse da richieste sospette, Identity Protection offre ulteriori possibilità di individuare e correggere i problemi degli account utente sospetti. Identity Protection consente di mantenere informati sugli utenti sospetti e sul comportamento di accesso nel proprio ambiente 24 ore su 24. La risposta automatica evita l'abuso delle identità compromesse.

Identity Protection è uno strumento che consente alle organizzazioni di completare tre attività principali:

  • Automatizzare il rilevamento e la correzione dei rischi basati sull'identità.
  • Esaminare i rischi usando i dati nel portale.
  • Esportare i dati di rilevamento dei rischi in programmi di terze parti per un'ulteriore analisi.

Identity Protection usa le conoscenze acquisite da Microsoft dalla sua posizione nelle organizzazioni con Microsoft Entra ID, nello spazio consumer con account Microsoft e nei giochi con Xbox per proteggere gli utenti. Microsoft analizza 65 trilioni di segnali al giorno per identificare e proteggere i clienti dalle minacce. I segnali generati da e analizzati con Identity Protection possono essere ulteriormente inseriti in strumenti come l'accesso condizionale per prendere decisioni di accesso. Possono anche essere reindirizzati a uno strumento SIEM (Security Information and Event Management) per ulteriori indagini in base ai criteri applicati dall'organizzazione.

Identity Protection consente alle organizzazioni di proteggersi automaticamente dalla compromissione delle identità sfruttando le soluzioni Cloud Intelligence con tecnologia di rilevamento avanzato basate su sistemi euristici basati su euristica, analisi comportamentali di utenti ed entità (UEBA) e apprendimento automatico (ML) nell'ecosistema Microsoft.

Cinque Information Worker osservano un sesto che esegue una presentazione.

Identificare i dati sensibili ed evitare la perdita di dati

Microsoft 365 consente a tutte le organizzazioni di identificare i dati sensibili all'interno dell'organizzazione attraverso una combinazione di funzionalità efficaci, tra cui:

  • Microsoft Information Protection (MIP) sia per la classificazione basata sull'utente che per la classificazione automatica dei dati sensibili.
  • Microsoft Purview prevenzione perdita dei dati (DLP) per l'identificazione automatica dei dati sensibili tramite l’utilizzo di tipi di dati sensibili (ossia espressioni regolari), parole chiave e applicazioni dei criteri.

Microsoft Information Protection (MIP) consente alle organizzazioni di classificare in maniera intelligente documenti e messaggi di posta elettronica usando etichette di riservatezza. Gli utenti possono applicare manualmente le etichette di riservatezza ai documenti nelle applicazioni di Microsoft Office e ai messaggi di posta elettronica in Outlook. Le etichette possono applicare automaticamente i contrassegni di documento, la protezione con crittografia e l'applicazione della gestione dei diritti. È possibile applicare automaticamente le etichette di riservatezza anche configurando criteri che usano parole chiave e tipi di dati riservati, come numeri di carta di credito, numeri di previdenza sociale e numeri di identità, per trovare e classificare automaticamente i dati riservati.

Inoltre, Microsoft fornisce "classificatori sottoponibili a training" che usano modelli di apprendimento automatico per identificare i dati sensibili in base al contenuto, anziché semplicemente attraverso criteri di ricerca o in base agli elementi all'interno del contenuto. Un classificatore apprende come identificare un tipo di contenuto esaminando numerosi esempi del contenuto da classificare. Il training di un classificatore inizia fornendo esempi di contenuto in una determinata categoria. Dopo avere appreso dagli esempi, il modello viene testato fornendogli una combinazione di esempi corrispondenti e non corrispondenti. Il classificatore stima se un determinato esempio rientra nella categoria o meno. Una persona poi conferma i risultati, ordinando i positivi, i negativi, i falsi positivi e i falsi negativi per aumentare l'accuratezza delle previsioni del classificatore. Quando viene pubblicato, il classificatore sottoposto a training elabora il contenuto in Microsoft SharePoint Online, Exchange Online e OneDrive for Business e lo classifica automaticamente.

L'applicazione di etichette di riservatezza ai documenti e ai messaggi di posta elettronica incorpora i metadati che identificano la riservatezza selezionata all'interno dell'oggetto. La riservatezza viaggia quindi con i dati. Quindi, anche se un documento con etichetta è archiviato nel desktop di un utente o in un sistema locale, è comunque protetto. Questa funzionalità consente ad altre soluzioni Microsoft 365, ad esempio Microsoft Defender for Cloud Apps o dispositivi perimetrali di rete, di identificare i dati sensibili e applicare automaticamente i controlli di sicurezza. Le etichette di riservatezza hanno il vantaggio di insegnare ai dipendenti quali dati all'interno di un'organizzazione sono considerati sensibili e come gestirli quando li ricevono.

Microsoft Purview prevenzione perdita dei dati (DLP) identifica automaticamente documenti, messaggi di posta elettronica e conversazioni che contengono dati sensibili, analizzandoli per la ricerca di dati riservati e quindi applicando i criteri a tali oggetti. I criteri vengono applicati ai documenti in SharePoint e in OneDrive for Business. Vengono applicati anche quando gli utenti inviano messaggi di posta elettronica, nelle chat di Teams e nelle conversazioni sui canali. I criteri possono essere configurati in modo da cercare parole chiave, tipi di dati riservati, etichette di conservazione e se i dati vengono condivisi all'interno dell'organizzazione o all'esterno. Sono disponibili controlli che consentono alle organizzazioni di ottimizzare i criteri di prevenzione della perdita dei dati per ridurre i falsi positivi. Se vengono trovati dati sensibili, gli utenti delle applicazioni di Microsoft 365 potranno visualizzare suggerimenti per i criteri personalizzabili che informano che il contenuto include dati sensibili e quindi propongono azioni correttive. I criteri possono anche impedire agli utenti di accedere ai documenti, condividere documenti o inviare messaggi di posta elettronica che contengono alcuni tipi di dati riservati. Microsoft 365 supporta più di 100 tipi di dati riservati predefiniti. Le organizzazioni possono configurare tipi di dati riservati personalizzati in modo da soddisfare i criteri.

L'implementazione dei criteri MIP e DLP nelle organizzazioni richiede un'attenta pianificazione e un programma di formazione degli utenti, in modo che i dipendenti comprendano lo schema di classificazione dei dati dell'organizzazione e quali tipi di dati sono considerati sensibili. Offrire ai dipendenti strumenti e programmi didattici che consentono di identificare i dati sensibili e di comprendere come gestirli li rende parte della soluzione per attenuare i rischi per la sicurezza delle informazioni.

I segnali generati da e analizzati con Identity Protection possono essere inseriti anche in strumenti come l'accesso condizionale per prendere decisioni di accesso o uno strumento di gestione degli eventi e delle informazioni di sicurezza (SIEM) per indagini basate sui criteri applicati dall'organizzazione.

Identity Protection consente alle organizzazioni di proteggersi automaticamente dalla compromissione delle identità sfruttando le soluzioni Cloud Intelligence con tecnologia di rilevamento avanzato basate su sistemi euristici basati su euristica, analisi comportamentali di utenti ed entità e apprendimento automatico nell'ecosistema Microsoft.

Un Information Worker raffigurato davanti a una vasta fila di monitor.

Difendere la fortezza

Microsoft ha recentemente lanciato la soluzione Microsoft Defender XDR, progettata per proteggere l'organizzazione moderna dall'evoluzione del panorama delle minacce. Sfruttando il grafico Intelligent Security Graph, la soluzione Threat Protection offre un livello di sicurezza integrato e completo rispetto ai vettori di attacco più diversi.

Intelligent Security Graph

I servizi di sicurezza di Microsoft 365 sono basati sul grafico Intelligent Security Graph. Per combattere le minacce informatiche, Intelligent Security Graph usa analisi avanzate per collegare la Threat Intelligence ai segnali di sicurezza di Microsoft e dei relativi partner. Microsoft gestisce i servizi globali su vasta scala, raccogliendo trilioni di segnali di sicurezza per implementano livelli di protezione nell'intero stack. I modelli di apprendimento automatico valutano l’intelligence e le informazioni dettagliate sui segnali e le minacce vengono ampiamente condivise tra i nostri prodotti e servizi. Questo consente di rilevare e rispondere rapidamente alle minacce e di fornire ai clienti avvisi e informazioni per procedere alla correzione. I modelli di apprendimento automatico vengono continuamente formati e aggiornati con nuovi approfondimenti, contribuendo a creare prodotti più sicuri e a offrire una maggiore sicurezza proattiva.

Microsoft Defender per Office 365 rappresenta un servizio Microsoft 365 integrato che protegge le organizzazioni da collegamenti dannosi e malware recapitati via posta elettronica e documenti di Office. Uno dei più comuni vettori di attacco che influisce sugli utenti oggi sono gli attacchi di phishing via posta elettronica. Questi attacchi possono essere mirati a utenti specifici e possono essere molto convincenti, con una chiamata all'azione che richiede all'utente di selezionare un collegamento dannoso o aprire un allegato che contiene malware. Dopo il contagio di un computer, l'utente malintenzionato può rubare le credenziali dell'utente e spostarsi in modo invisibile nell'organizzazione o esfiltrare i messaggi di posta elettronica e i dati per cercare informazioni riservate. Defender per Office 365 supporta allegati e collegamenti sicuri valutando i documenti e i collegamenti in tempo reale alla ricerca di utenti malintenzionati e ne blocca l'accesso. Gli allegati di posta elettronica vengono aperti in una sandbox protetta prima di essere recapitati nella cassetta postale di un utente. Valuta anche i collegamenti nei documenti di Office per cercare URL dannosi. Defender per Office 365 protegge anche i collegamenti e i file in SharePoint Online, OneDrive for Business e Teams. Se viene rilevato un file dannoso, Defender per Office 365 blocca automaticamente tale file per ridurre i potenziali danni.

Microsoft Defender per endpoint è una piattaforma di sicurezza degli endpoint unificata per la protezione preventiva, il rilevamento post-violazione, l'indagine automatizzata e la risposta. Microsoft Defender per endpoint include funzionalità incorporate per l'individuazione e la protezione dei dati sensibili negli endpoint aziendali.

Microsoft Defender for Cloud Apps consente alle organizzazioni di applicare criteri a livello granulare e di rilevare anomalie comportamentali basate su singoli profili utente definiti automaticamente tramite machine learning. I criteri di Defender for Cloud Apps possono basarsi sui criteri di accesso condizionale di Azure per proteggere gli asset aziendali sensibili valutando ulteriori segnali relativi al comportamento degli utenti e alle proprietà dei documenti a cui si accede. Nel corso del tempo, Defender for Cloud Apps impara il comportamento tipico di ogni dipendente per quanto riguarda i dati a cui accedono e le applicazioni che usano. In base ai modelli di comportamento appreso, i criteri possono applicare automaticamente i controlli di sicurezza se un dipendente agisce all'esterno di tale profilo comportamentale. Ad esempio, se un dipendente accede solitamente a un'applicazione contabile dalle 9.00 alle 17.00 dal lunedì al venerdì, ma improvvisamente inizia ad accedere a tale applicazione di domenica sera, Defender for Cloud Apps può applicare in modo dinamico i criteri per richiedere all'utente di eseguire nuovamente l'autenticazione. Questo fa in modo che le credenziali dell'utente non vengano compromesse. Defender for Cloud Apps può anche aiutare a identificare "shadow IT" nell'organizzazione, che aiuta i team di sicurezza delle informazioni a garantire che i dipendenti utilizzino strumenti sanzionati quando lavorano con dati sensibili. Infine, Defender for Cloud Apps può proteggere i dati sensibili ovunque nel cloud, anche all'esterno della piattaforma Microsoft 365. Consente alle organizzazioni di approvare o annullare l'approvazione di specifiche app cloud esterne, controllando l'accesso e monitorando l'utilizzo.

Microsoft Defender per identità è una soluzione di sicurezza basata sul cloud che usa i segnali di Active Directory locale per identificare, rilevare e analizzare minacce avanzate, identità compromesse e azioni insider dannose dirette all'organizzazione. AATP consente agli analisti di SecOp e ai professionisti della sicurezza di rilevare attacchi avanzati in ambienti ibridi per:

  • Monitorare utenti, comportamenti entità e attività con analisi basate sull'apprendimento.
  • Proteggere le identità utente e le credenziali archiviate in Active Directory.
  • Identificare e analizzare le attività utente sospette e gli attacchi avanzati per tutta la kill chain.
  • Fornire informazioni chiare sull'incidente in una sequenza temporale semplice per la valutazione veloce.

Impiegati si incontrano in una piccola sala riunioni. Uno di essi esegue una presentazione.

Governare i dati e gestire i record

Gli istituti finanziari devono conservare i record e le informazioni in base ai propri obblighi normativi, legali e commerciali, come rappresentato nella pianificazione di conservazione aziendale. Ad esempio, l'ente SEC obbliga a periodi di conservazione da tre a sei anni, in base al tipo di record, con accessibilità immediata per i primi due anni. Le organizzazioni affrontano rischi di conformità legale e normativa se i dati vengono eliminati troppo presto, e ora gestiscono anche normative che obbligano allo smaltimento delle informazioni quando non sono più necessarie. Le strategie efficaci di gestione dei record enfatizzano un approccio pratico e coerente in modo che le informazioni siano eliminate in modo appropriato riducendo al minimo i costi e i rischi per l'organizzazione.

Gli obblighi normativi del Dipartimento dei servizi finanziari dello Stato di New York impongono alle entità coperte anche di assicurare criteri e procedure per l'eliminazione di informazioni non pubbliche. La normativa 23 NYCRR 500, sezione 500.13, relativa alle limitazioni per la conservazione dei dati, prescrive che: "Nell'ambito del proprio programma di sicurezza informatica, ogni entità coperta dovrà includere criteri e procedure per l'eliminazione sicura su base periodica delle informazioni non pubbliche identificate alla sezione 500.01(g)(2)-(3) di questa parte che non siano più necessarie per le operazioni commerciali o per altri scopi commerciali legittimi dell'entità coperta, a meno che non sia altrimenti obbligatorio conservare tali informazioni per legge o regolamento".

Gli istituti finanziari gestiscono grandi quantità di dati. Alcuni periodi di conservazione sono generati dagli eventi, ad esempio un contratto che scade o un dipendente che lascia l'organizzazione. In questa atmosfera può essere difficile applicare i criteri di conservazione dei record. Gli approcci all'assegnazione accurata dei periodi di conservazione dei record tra i documenti dell'organizzazione possono variare. Alcuni applicano criteri di conservazione su larga scala o usano tecniche di autoclassificazione e machine learning. altri identificano un approccio che richiede un processo più granulare che assegna un periodo di conservazione univoco ai singoli documenti.

Microsoft 365 offre funzionalità flessibili per definire etichette e criteri di conservazione per implementare in modo intelligente i requisiti di gestione dei record. Un gestore di record definisce un'etichetta di conservazione, che rappresenta un "tipo di record" in una pianificazione di conservazione tradizionale. L'etichetta di conservazione contiene impostazioni che definiscono i dettagli seguenti:

  • Il periodo di conservazione di un record
  • Cosa succede quando scade il periodo di conservazione (eliminare il documento, avviare una revisione della disposizione o non eseguire alcuna azione)
  • Cosa attiva l'avvio del periodo di conservazione (data di creazione, data dell'ultima modifica, data di etichettatura o evento) e contrassegna il documento o il messaggio di posta elettronica come record, in modo che non sia possibile modificarlo o eliminarlo

Le etichette di conservazione vengono quindi pubblicate nei siti di SharePoint o OneDrive, nelle cassette postali di Exchange e nei gruppi di Microsoft 365. Gli utenti possono applicare manualmente le etichette di conservazione ai documenti e ai messaggi di posta elettronica. I responsabili dei record possono usare l'intelligence per applicare automaticamente le etichette. Le funzionalità intelligenti possono basarsi su oltre 90 tipi di informazioni riservate predefinite, come il codice ABA, il numero di conto corrente bancario statunitense o il codice di previdenza sociale degli Stati Uniti. Sono anche personalizzabili in base a parole chiave o a dati sensibili presenti in documenti o messaggi di posta elettronica, ad esempio numeri di carta di credito o altre informazioni personali o basate su metadati di SharePoint. Per i dati che non sono facilmente identificabili con la corrispondenza manuale o automatica dei criteri, i classificatori sottoponibili a training possono essere usati per classificare i documenti in modo intelligente in base alle tecniche di apprendimento automatico.

Secondo la Securities and Exchange Commission (SEC), i commercianti e gli altri istituti finanziari sono tenuti a conservare tutte le comunicazioni connesse all'azienda. Questi requisiti si applicano a molti tipi di comunicazioni e dati, tra cui messaggi di posta elettronica, documenti, messaggi istantanei, fax e così via. La regola 17a-4 della SEC definisce i criteri che devono essere soddisfatti per conservare i record in un sistema di archiviazione elettronica dei dati. Nel 2003, la SEC ha rilasciato una dichiarazione che ha chiarito tali requisiti. Includeva i criteri seguenti:

  • I dati conservati da un sistema di archiviazione elettronico devono essere non riscrivibili e non cancellabili. Si tratta di un requisito WORM (write once, read many).
  • Il sistema di archiviazione deve poter archiviare i dati oltre il periodo di conservazione richiesto dalla regola, nel caso di un mandato di comparizione o di altri ordini legali.
  • Un'organizzazione non violerebbe i requisiti al paragrafo (f)(2)(ii)(A) della regola se usa un sistema di archiviazione elettronica che impedisce la sovrascrittura, la cancellazione o altrimenti la modifica di un record durante il periodo di conservazione necessario, con l'uso di codici di controllo hardware e software integrati.
  • I sistemi di archiviazione elettronica che si limitano a "mitigare" il rischio che un record venga sovrascritto o cancellato, ad esempio basandosi sul controllo di accesso, non rispettano i requisiti della regola.

Per consentire agli istituti finanziari di soddisfare i requisiti della regola 17a-4 della SEC, Microsoft 365 offre una combinazione di funzionalità correlate al modo in cui i dati vengono conservati, i criteri vengono configurati e i dati vengono archiviati all'interno del servizio. Ad esempio:

  • Conservazione dei dati (regola 17a-4 (a), (b) (4)): le etichette e i criteri di conservazione sono flessibili per soddisfare le esigenze dell'organizzazione e possono essere applicati automaticamente o manualmente a diversi tipi di dati, documenti e informazioni. È supportata un'ampia varietà di tipi di dati e comunicazioni, tra cui documenti in SharePoint e OneDrive for Business, dati nelle cassette postali di Exchange Online e dati in Teams.

  • Formato non riscrivibile e non cancellabile (regola 17a-4 (f)(2)(ii)(A)): la funzionalità di protezione dell'archiviazione per i criteri di conservazione consente ai responsabili e agli amministratori dei record di configurare i criteri di conservazione come restrittivi, in modo che non possano più essere modificati. Ciò impedisce agli utenti di rimuovere, disabilitare o modificare i criteri di conservazione in qualsiasi modo. Ciò significa che, una volta abilitato, il blocco di conservazione non può essere disabilitato e non esiste alcun metodo in base al quale i dati a cui sono stati applicati i criteri di conservazione possono essere sovrascritti, modificati o eliminati durante il periodo di conservazione. Non è neanche possibile abbreviare il periodo di conservazione. Il periodo di conservazione può tuttavia essere allungato, quando esiste un requisito legale per prorogare la conservazione dei dati.

    Quando viene applicata la protezione dell'archiviazione a un criterio di conservazione, le azioni seguenti sono limitate:

    • Il periodo di conservazione dei criteri può essere solo aumentato, ma non ridotto.
    • Gli utenti possono essere aggiunti ai criteri, ma non è possibile rimuovere gli attuali utenti configurati nel criterio.
    • Il criterio di conservazione non può essere eliminato da nessun amministratore dell'organizzazione.

    La protezione dell'archiviazione garantisce che nessun utente, neanche gli amministratori con i livelli più alti di accesso privilegiato, possa cambiare le impostazioni, modificare, sovrascrivere o eliminare i dati archiviati, portando l'archiviazione in Microsoft 365 in linea con le indicazioni fornite nella dichiarazione SEC 2003.

  • Qualità, accuratezza e verifica dell'archiviazione/serializzazione e dell'indicizzazione dei dati (regola 17a-4 (f)(2) (ii)(B) e (C)): i carichi di lavoro di Office 365 contengono funzionalità per la verifica automatica della qualità e dell'accuratezza del processo di registrazione dei dati nei supporti di archiviazione. I dati vengono poi archiviati utilizzando metadati e timestamp che assicurano una sufficiente indicizzazione per consentire la ricerca e il recupero efficaci dei dati.

  • Spazio di archiviazione distinto per le copie duplicate (regola 17a-4(f)(3 (iii)): il servizio cloud di Office 365 archivia copie duplicate dei dati come aspetto principale della disponibilità elevata. Questa operazione viene eseguita implementando la ridondanza a tutti i livelli del servizio, ad esempio a livello fisico in tutti i server, a livello di server all'interno del data center e a livello di servizio per i data center dislocati geograficamente.

  • Dati scaricabili e accessibili (regola 17a-4(f)(2)(ii)(D)): Office 365 consente in genere di cercare, accedere e scaricare i dati che sono stati etichettati per la conservazione. Consente anche di cercare i dati negli archivi di Exchange Online usando le funzionalità predefinite di eDiscovery. È possibile scaricare i dati in base alle esigenze in formati standard, tra cui EDRML e PST.

  • Requisiti di controllo (regola 17a-4(f)(3)(v)): Office 365 consente di eseguire la registrazione di controllo per ogni azione amministrativa e utente che modifica gli oggetti dati, configura o modifica i criteri di conservazione, esegue ricerche di eDiscovery o modifica le autorizzazioni di accesso. Office 365 gestisce un audit trail completo, con i dati relativi all'esecuzione di un'azione, al momento dell'esecuzione, ai dettagli sull'azione e ai comandi eseguiti. Il log di controllo può quindi essere generato e incluso nell'ambito dei processi di controllo formale, come richiesto.

Infine, la regola 17a-4 richiede alle organizzazioni di conservare i record per molti tipi di transazioni in modo che siano immediatamente accessibili per due anni. I record devono essere conservati in seguito per tre o sei anni con accesso non immediato. Anche i record duplicati devono essere conservati per lo stesso periodo in una posizione fuori sede. Le funzionalità di gestione dei record di Microsoft 365 consentono di conservare i record in modo che non possano essere modificati o eliminati, ma siano facilmente accessibili per un periodo di tempo controllato dal gestore dei record. Questi periodi possono comprendere giorni, mesi o anni, a seconda dei requisiti di conformità alle normative dell'organizzazione.

Su richiesta dell'organizzazione, Microsoft fornirà una lettera di attestazione di conformità con la SEC 17a-4.

Queste funzionalità consentono a Microsoft 365 anche di soddisfare i requisiti di archiviazione della regola CFTC 1.31(c)-(d) promulgata dalla U.S. Commodity Futures Trading Commission e la serie di regole FINRA 4510 emanate dalla Financial Industry Regulatory Authority. Complessivamente, queste regole rappresentano le linee guida a livello globale per la conservazione dei record da parte degli istituti finanziari.

Altri dettagli sul modo in cui Microsoft 365 è conforme alla regola SEC 17a-4 e ad altre normative sono disponibili con il documento di download Office 365 - Cohasset Assessment - SEC Rule 17a-4(f) - Immutable Storage for SharePoint, OneDrive, Exchange, Teams e Viva Engage (2022).

Creare pareti etiche con barriere informative

Gli istituti finanziari possono essere soggetti a normative che impediscono ai dipendenti in alcuni ruoli di scambiarsi informazioni o di collaborare con altri ruoli. Ad esempio, FINRA ha pubblicato le regole 2241(b)(2)(G), 2242(b)(2) (D), (b)(2)(H)(ii) e (b)(2)(H)(iii), che richiedono ai membri di:

"(G) stabilire barriere di informazione o altre garanzie istituzionali ragionevolmente concepite per garantire che gli analisti di ricerca siano isolati dalla revisione, da pressioni o dalla supervisione da parte di persone coinvolte nelle attività di investment banking o altre persone, tra cui personale di vendite e trading, che potrebbero essere influenzate nel proprio giudizio o nella supervisione" e "(H) stabilire barriere informative o altre garanzie istituzionali ragionevolmente concepite per assicurare che gli analisti preposti alla ricerca del debito siano isolati dalla revisione, da pressioni o dalla supervisione da parte di persone coinvolte in: (i) servizi di investment banking; (ii) attività di trading oppure di vendita e trading; e (iii) altre persone che potrebbero essere influenzate nel proprio giudizio o nella supervisione".

In ultima analisi, queste regole richiedono alle organizzazioni di stabilire criteri e implementare barriere informative tra i ruoli coinvolti in servizi bancari, vendite o trading perché non scambino informazioni e comunicazioni con gli analisti.

Le barriere informative offrono la possibilità di creare pareti etiche nell'ambiente di Office 365, permettendo agli amministratori di conformità o ad altri amministratori autorizzati di definire criteri che consentono o impediscono le comunicazioni tra gruppi di utenti in Teams. Le barriere informative eseguono verifiche su azioni specifiche per impedire le comunicazioni non autorizzate. Le barriere informative possono anche limitare la comunicazione negli scenari in cui i team interni stanno lavorando su fusioni/acquisizioni o trattative riservate oppure stanno usano informazioni interne riservate a cui occorre limitare rigorosamente l'accesso.

Le barriere informative supportano le conversazioni e i file in Teams. Questo può impedire i tipi di azioni correlate alle comunicazioni seguenti, per favorire la conformità alle normative FINRA:

  • Cercare un utente
  • Aggiungere un membro a un team o continuare a partecipare con altri membri del team
  • Avviare o proseguire una sessione di chat
  • Avviare o proseguire una chat di gruppo
  • Invitare altri utenti a partecipare a una riunione
  • Condividere una schermata
  • Effettuare una chiamata

Implementare il controllo di supervisione

Agli istituti finanziari è in genere richiesto di predisporre e mantenere una funzione di supervisione all'interno dell'organizzazione, per monitorare le attività dei dipendenti e conformarsi alle normative in materia di titoli. In particolare, FINRA ha stabilito questi requisiti di supervisione:

  • La regola FINRA 3110 (supervisione) richiede alle aziende di avere procedure scritte per la supervisione delle attività dei dipendenti e dei tipi di attività che svolgono. Oltre ad altri requisiti, le procedure devono includere:

    • Supervisione del personale di vigilanza
    • Revisione delle attività di investment banking, delle operazioni in titoli, delle comunicazioni interne e delle indagini interne
    • Revisione delle transazioni per identificare l'insider trading
    • Revisione della corrispondenza e dei reclami

    Le procedure devono descrivere le persone responsabili delle revisioni, l'attività di supervisione svolta da ogni persona, la frequenza di revisione e i tipi di documentazione o comunicazioni oggetto di revisione.

  • La regola FINRA 3120 (sistema di controllo della supervisione) richiede alle aziende di avere un sistema di criteri e procedure per il controllo della supervisione, che convalidi le procedure di supervisione scritte come definite dalla regola 3110. Le aziende sono obbligate non solo ad avere procedure di supervisione scritte, ma anche a testarle annualmente per convalidarne la capacità di garantire la conformità alle leggi e alle normative applicabili in materia di titoli. Per definire l'ambito dei test è possibile usare metodologie basate sul rischio e campionamento. Tra gli altri requisiti, questa regola richiede alle aziende di fornire all'alta dirigenza un report annuale che includa un riepilogo dei risultati dei test e le eventuali eccezioni significative o le procedure modificate in risposta ai risultati del test.

Un impiegato visualizza un grafico e tabelle su uno schermo mentre altri si radunano sullo sfondo.

Conformità delle comunicazioni

Conformità delle comunicazioni di Microsoft Purview è una soluzione per la conformità che contribuisce a ridurre i rischi correlati alle comunicazioni aiutando a rilevare, indagare e attuare misure correttive per i messaggi inappropriati dell'organizzazione. I criteri predefiniti e personalizzati consentono di scansionare le comunicazioni interne ed esterne per trovare corrispondenze con i criteri, in modo che siano esaminate dai revisori designati. I revisori possono analizzare i messaggi di posta elettronica analizzati, Microsoft Teams, Viva Engage o comunicazioni di terze parti nell'organizzazione e intraprendere le azioni appropriate per assicurarsi che siano conformi agli standard dei messaggi dell'organizzazione.

La conformità delle comunicazioni fornisce report che consentono di controllare le attività di revisione dei criteri in base al criterio e al revisore. Sono disponibili report per verificare che i criteri funzionino come definito dai criteri scritti di un'organizzazione. Possono anche essere usati per identificare le comunicazioni che richiedono la revisione e quelle che non sono conformi ai criteri aziendali. Infine, tutte le attività relative alla configurazione dei criteri e alla revisione delle comunicazioni vengono controllate nel log di controllo unificato di Office 365. Di conseguenza, la conformità delle comunicazioni in è utile agli istituti finanziari anche per ottemperare ai requisiti della regola FINRA 3120.

Oltre a rispettare le regole FINRA, la conformità delle comunicazioni consente alle organizzazioni di rilevare e agire sulle comunicazioni che potrebbero essere interessate da altri requisiti legali, criteri aziendali e standard etici. La conformità delle comunicazioni include classificatori predefiniti per l'identificazione di minacce, linguaggio volgare e molestie, che consentono di ridurre i falsi positivi durante l'esame delle comunicazioni facendo risparmiare tempo ai revisori durante il processo di indagine e correzione. Consente inoltre alle organizzazioni di ridurre i rischi esaminando le comunicazioni quando affrontano mutamenti di natura particolarmente sensibile, come fusioni e acquisizioni o avvicendamenti della dirigenza.

Information Worker concentrato sullo schermo.

Proteggersi dall'esfiltrazione dei dati e dai rischi Insider

Una minaccia comune per le aziende è l'esfiltrazione dei dati, ossia l'atto di estrarre dati da un'organizzazione. Questo rischio può rappresentare un problema rilevante per gli istituti finanziari, a causa della natura sensibile delle informazioni a cui è possibile accedere ogni giorno. Con il numero crescente di canali di comunicazione disponibili e la proliferazione di strumenti per lo spostamento dei dati, in genere per attenuare i rischi di perdite di dati, le violazioni dei criteri e i rischi Insider sono necessarie funzionalità avanzate.

Gestione dei rischi Insider

Rendere disponibili ai dipendenti strumenti di collaborazione online accessibili ovunque comporta un rischio per l'organizzazione. I dipendenti potrebbero, involontariamente o in modo doloso, divulgare dati a utenti malintenzionati o concorrenti. Possono anche esfiltrare dati per uso personale o portarli con sé dopo un cambio di lavoro. Questi scenari rappresentano un rischio grave per le società di servizi finanziari, sia dal punto di vista della sicurezza che da quello della conformità. Per identificare questi rischi quando si presentano e attenuarli rapidamente sono necessari strumenti intelligenti per la raccolta dei dati e la collaborazione tra i reparti, ad esempio tra ufficio legale, Risorse Umane e Information Security.

Gestione dei rischi Insider Microsoft Purview è una soluzione per la conformità che contribuisce a ridurre al minimo i rischi interni, consentendo di rilevare, analizzare e agire sulle attività dolose e involontarie nell'organizzazione. I criteri relativi al rischio insider consentono di definire i tipi di rischio da identificare e rilevare nell'organizzazione, compreso l'intervento sui casi e l'escalation dei casi a Microsoft eDiscovery (Premium), se necessario. Gli analisti del rischio nell'organizzazione possono intraprendere rapidamente le azioni appropriate per assicurarsi che gli utenti rispettino gli standard di conformità dell'organizzazione.

Ad esempio, la gestione dei rischi Insider può correlare segnali provenienti dai dispositivi di un utente, ad esempio la copia di file in un'unità USB o l'invio di messaggi di posta elettronica a un account personale, con attività provenienti da servizi online quali l'email di Office 365, SharePoint Online, Microsoft Teams o OneDrive for Business, per identificare modelli di esfiltrazione di dati. Può anche correlare queste attività con i dipendenti che lasciano l'organizzazione, una situazione tipica di esfiltrazione dei dati. Può rilevare più attività e comportamenti potenzialmente rischiosi nel tempo. Se emergono schemi comuni, può generare avvisi e aiutare gli investigatori a concentrarsi su attività chiave per identificare un'eventuale violazione dei criteri con un grado elevato di attendibilità. La gestione dei rischi Insider consente la pseudo-anonimizzazione dei dati provenienti dagli investigatori, per rispettare le normative sulla privacy dei dati portando comunque alla luce attività chiave utili per svolgere le indagini in modo efficiente. Consente agli investigatori di inserire in pacchetti e inviare in modo sicuro i dati sulle attività chiave all'ufficio legale e al reparto Risorse Umane, seguendo i flussi di lavoro di escalation comuni per la raccolta di casi e l'applicazione di misure correttive.

La gestione dei rischi Insider aumenta significativamente la capacità delle organizzazioni di rilevare e analizzare i rischi Insider, consentendo allo stesso tempo di rispettare le normative sulla privacy dei dati e di seguire percorsi di escalation prestabiliti nei casi in cui sia necessaria un'azione di livello superiore.

Operatore di call center in un cubicolo che digita osservando uno schermo.

Restrizioni del tenant

Le organizzazioni che gestiscono i dati riservati e pongono particolare attenzione sulla sicurezza, in genere vogliono controllare le risorse online a cui gli utenti possono accedere. Allo stesso tempo, vogliono rendere possibile la collaborazione sicura con i servizi online come Office 365. Di conseguenza, controllare gli ambienti di Office 365 a cui gli utenti possono accedere diventa una sfida, perché gli ambienti non aziendali di Office 365 possono essere usati per esfiltrare dati dai dispositivi aziendali, in modo intenzionale o accidentale. Tradizionalmente, le organizzazioni limitano i domini o gli indirizzi IP a cui gli utenti possono accedere dai dispositivi aziendali. Questo approccio però non funziona in un mondo basato sul cloud, dove gli utenti devono accedere legittimamente ai servizi di Office 365.

Per risolvere il problema, Microsoft 365 include una funzionalità per applicare restrizioni del tenant. Le restrizioni del tenant possono essere configurate in modo da limitare l'accesso dei dipendenti a tenant aziendali di Office 365 esterni con identità non autorizzate, ossia identità che non fanno parte della directory aziendale. Oggi le restrizioni del tenant si applicano all'intero tenant, consentendo l'accesso solo ai tenant presenti nell'elenco configurato. Microsoft sta continuando a sviluppare la soluzione per aumentare la granularità dei controlli e il livello di protezione.

IMMAGINE.

Conclusione

Microsoft 365 e Teams forniscono una soluzione integrata e completa dedicata alle società di servizi finanziari, che offre funzionalità semplici ed efficaci per la collaborazione e la comunicazione basate sul cloud in tutta l'azienda. Usando le tecnologie di sicurezza e conformità di Microsoft 365, gli istituti possono operare in modo più sicuro e conforme con controlli di sicurezza affidabili per proteggere dati, identità, dispositivi e applicazioni da vari rischi operativi, tra cui la sicurezza informatica e i rischi insider. Microsoft 365 offre una piattaforma fondamentalmente sicura, in cui le società di servizi finanziari possono fare di più e allo stesso tempo proteggere se stesse, i dipendenti e i clienti.