Viktige hensyn til overholdelse og sikkerhet for amerikanske bank- og kapitalmarkeder

Innledning

Finansinstitusjoner overgår nesten alle kommersielle virksomheter i deres etterspørsel etter strenge sikkerhets-, samsvars- og styringskontroller. Beskyttelse av data, identiteter, enheter og applikasjoner er ikke bare avgjørende for deres virksomhet, det er underlagt samsvarskrav og retningslinjer fra regulatoriske organer som US Securities and Exchange Commission (SEC), Financial Industry Regulatory Authority (FINRA), Federal Financial Institutions Examination Council (FFIEC) og Commodity Futures Trading Commission (CFTC). I tillegg er finansinstitusjoner underlagt lover som Dodd-Frank og Sarbanes-Oxley act av 2002.

I dagens klima med økt sikkerhetsårvåkenhet, bekymringer om innsiderisiko og offentlige databrudd, krever kundene også høye sikkerhetsnivåer fra sine finansinstitusjoner for å stole på dem med sine personlige data og bankeiendeler.

Historisk sett har behovet for omfattende kontroller direkte påvirket og begrenset IT-systemene og plattformene som finansinstitusjoner bruker til å muliggjøre samarbeid internt og eksternt. I dag trenger ansatte i finanstjenester en moderne samarbeidsplattform som er enkel å ta i bruk og enkel å bruke. Men finansielle tjenester kan ikke handle fleksibiliteten til å samarbeide mellom brukere, team og avdelinger med sikkerhets- og samsvarskontroller som håndhever policyer for å beskytte brukere og IT-systemer mot trusler.

I finanssektoren er det nødvendig med nøye vurdering for konfigurasjon og distribusjon av samarbeidsverktøy og sikkerhetskontroller, inkludert:

  • Risikovurdering av vanlige scenarioer for organisasjonssamarbeid og forretningsprosesser
  • Krav til informasjonsbeskyttelse og datastyring
  • Trusler om cybersikkerhet og innside
  • Krav til forskriftssamsvar
  • Andre operasjonelle risikoer

Microsoft 365 er et moderne skymiljø på arbeidsplassen som kan løse de moderne utfordringene finanstjenesteorganisasjoner står overfor. Sikkert og fleksibelt samarbeid på tvers av virksomheten kombineres med kontroller og policyhåndhevelse for å overholde strenge forskriftsmessige samsvarsrammeverk. Denne artikkelen beskriver hvordan Microsoft 365-plattformen hjelper finansielle tjenester med å flytte til en moderne samarbeidsplattform, samtidig som de bidrar til å holde data og systemer sikre og i samsvar med forskrifter:

  • Aktiver produktivitet for organisasjoner og ansatte ved hjelp av Microsoft 365 og Microsoft Teams
  • Beskytt moderne samarbeid ved hjelp av Microsoft 365
  • Identifiser sensitive data og forhindre tap av data
  • Forsvare festningen
  • Styre data og overholde forskrifter ved effektivt å administrere poster
  • Etablere etiske vegger med informasjonsbarrierer
  • Beskytt mot dataeksfiltrering og insider-risiko

Som Microsoft-partner bidro Protiviti til og ga vesentlig tilbakemelding til denne artikkelen.

Følgende nedlastbare illustrasjoner supplerer denne artikkelen. Woodgrove Bank og Contoso brukes til å demonstrere hvordan funksjoner som er beskrevet i denne artikkelen, kan brukes til å håndtere vanlige forskriftsmessige krav til finansielle tjenester. Du kan tilpasse disse illustrasjonene til eget bruk.

Illustrasjoner av Informasjonsbeskyttelse og samsvar for Microsoft 365

Element Beskrivelse
Modellplakat: Informasjonsbeskyttelse og samsvarsfunksjoner for Microsoft 365.
Engelsk: Last ned som en PDF-nedlasting | som visio
Japansk: Last ned som en PDF-nedlasting | som visio
Oppdatert november 2020
Inkluderer:
  • Microsoft Purview informasjonsbeskyttelse og Microsoft Purview hindring av datatap
  • Oppbevaringspolicyer og oppbevaringsetiketter
  • Informasjonsbarrierer
  • Kommunikasjonssamsvar
  • Insider-risiko
  • Tredjeparts datainntak

Styrk produktiviteten til organisasjoner og ansatte ved hjelp av Microsoft 365 og Teams

Samarbeid krever vanligvis ulike former for kommunikasjon, muligheten til å lagre og få tilgang til dokumenter/data, og muligheten til å integrere andre programmer etter behov. Ansatte i finansielle tjenester trenger vanligvis å samarbeide og kommunisere med medlemmer av andre avdelinger eller team og noen ganger med eksterne enheter. Derfor er det uønsket å bruke systemer som oppretter siloer eller gjør deling av informasjon vanskelig. I stedet er det å foretrekke å bruke plattformer og programmer som gjør det mulig for ansatte å kommunisere, samarbeide og dele informasjon sikkert og i henhold til bedriftens retningslinjer.

Ved å gi ansatte en moderne, skybasert samarbeidsplattform kan de velge og integrere verktøy som gjør dem mer produktive og gi dem mulighet til å finne smidige måter å arbeide på. Bruk av Teams sammen med sikkerhetskontroller og policyer for informasjonsstyring som beskytter organisasjonen, kan hjelpe arbeidsstyrken med å kommunisere og samarbeide effektivt.

Teams tilbyr en samarbeidshub for organisasjonen. Det bidrar til å bringe mennesker sammen for å arbeide produktivt på vanlige initiativer og prosjekter. Teams lar gruppemedlemmer gjennomføre 1:1- og flerparts chatsamtaler, samarbeide og redigere dokumenter samtidig, og lagre og dele filer. Teams forenkler også nettmøter gjennom integrert tale og video for organisasjoner. Teams kan også tilpasses med Microsoft-apper som Microsoft Planner, Microsoft Dynamics 365, Power Apps, Power BI og tredjeparts bransjeprogrammer. Teams er utformet for bruk av både interne teammedlemmer og tillatte eksterne brukere som kan bli med i teamkanaler, delta i chatsamtaler, få tilgang til lagrede filer og bruke andre programmer

Alle Microsoft-team støttes av en Microsoft 365-gruppe. Denne gruppen regnes som medlemstjenesten for en rekke Office 365 tjenester, inkludert Teams. Microsoft 365-grupper brukes til å skille mellom «eiere» og «medlemmer» på en sikker måte, og til å kontrollere tilgangen til ulike funksjoner i Teams. Når de er kombinert med aktuelle styringskontroller og regelmessig administrerte tilgangsvurderinger, tillater Teams bare medlemmer og eiere å bruke autoriserte kanaler og funksjoner.

Et vanlig scenario der Teams drar nytte av økonomiske tjenester, er når interne prosjekter eller programmer kjøres. For eksempel er mange finansinstitusjoner, inkludert banker, formuesforvaltningsfirmaer, kredittfagforeninger og forsikringsselskaper, pålagt å ha anti-hvitvasking og andre samsvarsprogrammer på plass. Et tverrfunksjonelt team bestående av IT, bransjelinjer som detaljhandel og formuesforvaltning, og en enhet for økonomisk kriminalitet kan være nødvendig for å dele data med hverandre og kommunisere om programmet eller spesifikke undersøkelser. Disse programmene har tradisjonelt brukt delte nettverksstasjoner, men denne tilnærmingen kan by på mange utfordringer, inkludert:

  • Bare én person kan redigere et dokument om gangen.
  • Administrasjon av sikkerhet er tidkrevende fordi det å legge til/fjerne enkeltpersoner vanligvis involverer IT.
  • Data forblir bosatt på delte nettverksstasjoner mye lenger enn nødvendig eller ønsket.

Teams kan gi et samarbeidsområde for sikker lagring av sensitive klientdata og gjennomføre samtaler mellom gruppemedlemmer der sensitive emner kan diskuteres. Flere medlemmer av teamet kan redigere eller samarbeide på ett enkelt dokument samtidig. Programeieren eller koordinatoren kan konfigureres som teameier og deretter legge til og fjerne medlemmer etter behov.

Et annet vanlig scenario er å bruke Teams som et «virtuelt datarom» for å samarbeide på en sikker måte, inkludert lagring og administrasjon av dokumenter. Teammedlemmer og syndikater innen investeringsbank, kapitalforvaltning eller private equity-selskaper kan sikkert samarbeide om en avtale eller investering. Tverrfunksjonelle team er ofte involvert i planlegging og oppfyllelse av slike avtaler, og muligheten til å dele data og gjennomføre samtaler på en sikker måte er et viktig krav. Sikker deling av relaterte dokumenter med eksterne investorer er også et viktig krav. Teams tilbyr en sikker og fullstendig overvåkbar plassering for å lagre, beskytte og dele investeringsdata sentralt.

En gruppe kontorarbeidere i et møte diskuterer bilder på en stor ur.

Teams: Forbedre samarbeid og redusere samsvarsrisiko

Microsoft 365 tilbyr andre vanlige policyfunksjoner for Teams gjennom bruken av Microsoft 365-grupper som en underliggende medlemskapstjeneste. Disse policyene kan bidra til å forbedre samarbeid og oppfylle samsvarsbehov.

Policyer for navngivning av grupper i Microsoft 365 bidrar til å sikre at Microsoft 365-grupper, og derfor team, navngis i henhold til bedriftens retningslinjer. Navn kan være problematiske hvis de ikke passer. Det kan for eksempel hende at ansatte ikke vet hvilke team de skal arbeide med eller dele informasjon med hvis navn ikke brukes på riktig måte. Policyer for navngivning av grupper (inkludert støtte for prefiks-/suffiksbaserte policyer og egendefinerte blokkerte ord) kan håndheve god «hygiene» og forhindre bruk av bestemte ord, for eksempel reserverte ord eller upassende terminologi.

Utløpspolicyer for Microsoft 365-grupper bidrar til å sikre at Microsoft 365-grupper og derfor team ikke beholdes i lengre perioder enn organisasjonen ønsker eller trenger. Denne funksjonen bidrar til å forhindre to viktige problemer med informasjonsbehandling:

  • Spredning av team som ikke er nødvendige eller brukt.
  • Overoppbevaring av data som ikke lenger kreves eller brukes av organisasjonen (unntatt i tilfeller av rettslig sperring/bevaring).

Administratorer kan angi en utløpsperiode for Microsoft 365-grupper, for eksempel 90, 180 eller 365 dager. Hvis en tjeneste som støttes av en Microsoft 365-gruppe er inaktiv for utløpsperioden, blir gruppeeiere varslet. Hvis ingen handling utføres, slettes Microsoft 365-gruppen og alle relaterte tjenester, inkludert Teams.

Overoppbevaring av data som er lagret i Teams og andre gruppebaserte tjenester, kan utgjøre en risiko for finanstjenesteorganisasjoner. Utløpspolicyer for Microsoft 365-grupper er en anbefalt måte å forhindre oppbevaring av data som ikke lenger er nødvendig. Kombinert med innebygde oppbevaringsetiketter og policyer bidrar Microsoft 365 til å sikre at organisasjoner bare beholder dataene som kreves for å oppfylle bedriftens retningslinjer og forskriftsmessige samsvarsforpliktelser.

Teams: Integrer egendefinerte krav på en enkel måte

Teams muliggjør selvbetjent oppretting av team som standard. Mange regulerte organisasjoner ønsker imidlertid å kontrollere og forstå hvilke samarbeidskanaler som for øyeblikket brukes av de ansatte, hvilke kanaler som kan inneholde sensitive data og eierskap til organisasjonskanaler. Microsoft 365 lar organisasjonen deaktivere selvbetjent teamoppretting for å forenkle disse styringskontrollene. Ved å bruke automatiseringsverktøy for forretningsprosesser, for eksempel Microsoft Power Apps og Power Automate, kan organisasjoner bygge og distribuere enkle skjemaer og godkjenningsprosesser som ansatte kan bruke til å be om opprettelse av et nytt team. Når det godkjennes, kan teamet automatisk klargjøres og en kobling sendes til anmoderen. På denne måten kan organisasjoner utforme og integrere samsvarskontrollene og egendefinerte krav i prosessen for oppretting av team.

Akseptable digitale kommunikasjonskanaler

FINRA understreker at digital kommunikasjon av regulerte bedrifter oppfyller de journalføringskravene i Exchange Act-reglene 17a-3 og 17a-4, samt FINRA Rule Series 4510. FINRA utgir en årlig rapport som inneholder viktige funn, observasjoner og effektive praksiser for å hjelpe organisasjoner med å forbedre samsvars- og risikostyring. I sin rapport fra 2019 om undersøkelsesfunn og observasjoner identifiserte FINRA digital kommunikasjon som et sentralt område der bedrifter møter utfordringer i samsvar med tilsyns- og journalføringskrav.

Hvis en organisasjon tillater sine ansatte å bruke et bestemt program, for eksempel en appbasert meldingstjeneste eller samarbeidsplattform, må firmaet arkivere forretningsoppføringer og overvåke aktivitetene og kommunikasjonen til de ansatte i dette programmet. Organisasjoner er ansvarlige for å gjennomføre due diligence for å overholde FINRA-regler og verdipapirlover, og for å følge opp potensielle brudd på disse reglene knyttet til ansattes bruk av slike apper.

Effektive fremgangsmåter anbefalt av FINRA inkluderer følgende:

  • Etablere et omfattende styringsprogram for digitale kommunikasjonskanaler. Administrer organisasjonens beslutninger om hvilke digitale kommunikasjonskanaler som er tillatt, og definer samsvarsprosesser for hver digitale kanal. Følg nøye med på det raskt skiftende landskapet i digitale kommunikasjonskanaler og hold samsvarsprosesser oppdatert.
  • Definer og kontroller tillatte digitale kanaler tydelig. Definer både godkjente og forbudte digitale kanaler. Blokker eller begrens bruken av forbudte digitale kanaler, eller forbudte funksjoner i digitale kanaler, som begrenser organisasjonens mulighet til å overholde postbehandling og tilsynskrav.
  • Gi opplæring for digital kommunikasjon. Implementer obligatoriske opplæringsprogrammer før du gir registrerte representanter tilgang til godkjente digitale kanaler. Opplæring bidrar til å klargjøre en organisasjons forventninger til forretnings- og personlig digital kommunikasjon, og veileder ansatte gjennom å bruke tillatte funksjoner i hver kanal på en kompatibel måte.

FINRAs funn og observasjoner for digital kommunikasjon er direkte relatert til en organisasjons evne til å overholde SEC-regel 17a-4 for å beholde all forretningsrelatert kommunikasjon, FINRA-regler 3110 og 3120 for tilsyn og gjennomgang av kommunikasjon, og Regelserie 4510 for journalføring. Commodity Futures Trading Commission (CFTC) promulerer lignende krav under 17 CFR 131. Disse forskriftene beskrives i dybden senere i denne artikkelen.

Teams, sammen med den omfattende pakken med Microsoft 365-sikkerhets- og samsvarstilbud, tilbyr en digital kommunikasjonskanal for finanstjenester for finansinstitusjoner for effektivt å drive forretninger og overholde forskrifter. Resten av denne artikkelen beskriver hvordan innebygde Microsoft 365-funksjoner for postbehandling, informasjonsbeskyttelse, informasjonsbarrierer og tilsynskontroll gir Teams et robust verktøysett som bidrar til å oppfylle disse regulatoriske forpliktelsene.

Beskytt moderne samarbeid med Microsoft 365

Sikre brukeridentiteter og kontrollere tilgang

Beskyttelse av tilgang til kundeinformasjon, økonomiske dokumenter og programmer begynner med å sikre brukeridentiteter på det sterkeste. Dette krever en sikker plattform for at virksomheten skal kunne lagre og administrere identiteter, gi et klarert godkjenningsmiddel og dynamisk kontrollere tilgangen til disse programmene.

Etter hvert som de ansatte arbeider, kan de flytte fra program til program eller mellom flere steder og enheter. Tilgang til data må godkjennes i hvert trinn underveis. Godkjenningsprosessen må støtte en sterk protokoll og flere faktorer for godkjenning (for eksempel engangs SMS-passkode, godkjennerapp og sertifikat) for å sikre at identiteter ikke blir kompromittert. Å håndheve risikobaserte tilgangspolicyer er avgjørende for å beskytte økonomiske data og programmer mot innsidetrusler, utilsiktede datalekkasjer og datautfiltrering.

Microsoft 365 tilbyr en sikker identitetsplattform i Microsoft Entra ID, der identiteter lagres sentralt og administreres på en sikker måte. Microsoft Entra ID, sammen med en rekke relaterte Microsoft 365-sikkerhetstjenester, danner grunnlaget for å gi ansatte tilgangen de trenger for å arbeide sikkert, samtidig som de beskytter organisasjonen mot trusler.

Microsoft Entra godkjenning med flere faktorer (MFA) er innebygd i plattformen og gir et ekstra bevis på godkjenning for å bekrefte brukeridentiteten når de får tilgang til sensitive økonomiske data og programmer. Azure MFA krever minst to former for godkjenning, for eksempel et passord pluss en kjent mobil enhet. Den støtter flere andrefaktorautentiseringsalternativer, inkludert:

  • Microsoft Authenticator-appen
  • Et engangspassord levert via SMS
  • En telefonsamtale der en bruker må angi en PIN-kode

Hvis passordet på en eller annen måte er kompromittert, vil en potensiell hacker fortsatt trenge brukerens telefon for å få tilgang til organisasjonsdata. I tillegg bruker Microsoft 365 moderne godkjenning som en nøkkelprotokoll, som gir den samme sterke og rike godkjenningsopplevelsen fra nettlesere til samarbeidsverktøyene som ansatte bruker fra dag til dag, inkludert Microsoft Outlook og de andre Microsoft Office-programmene.

Passordløs

Passord er det svakeste leddet i en sikkerhetskjede. De kan være ett enkelt feilpunkt hvis det ikke er noen ekstra bekreftelse. Microsoft støtter et bredt spekter av godkjenningsalternativer som passer behovene til finansinstitusjoner.

Passordløse metoder bidrar til å gjøre MFA mer praktisk for brukere. Selv om ikke alle MFA er passordløse, bruker passordløse teknologier godkjenning med flere faktorer. Microsoft, Google og andre bransjeledere har utviklet standarder for å muliggjøre en enklere og sterkere godkjenningsopplevelse på nettet og mobile enheter i en gruppe kalt Fast IDentity Online (FIDO). Den nylig utviklede FIDO2-standarden gjør det mulig for brukere å godkjenne enkelt og sikkert uten å kreve et passord for å eliminere phishing.

Microsoft MFA-metoder som er passordløse inkluderer:

  • Microsoft Authenticator: For fleksibilitet, bekvemmelighet og kostnader anbefaler vi at du bruker Microsoft Authenticator-mobilappen. Microsoft Authenticator støtter biometri, push-varslinger og engangspassord for alle Microsoft Entra tilkoblet app. Den er tilgjengelig fra Apple- og Android-appbutikkene.
  • Windows Hello: Hvis du vil ha en innebygd opplevelse på PC-en, anbefaler vi at du bruker Windows Hello. Den bruker biometrisk informasjon (for eksempel ansikt eller fingeravtrykk) til å logge på automatisk.
  • FIDO2 Sikkerhetsnøkler er nå tilgjengelige fra flere Microsoft-partnere: Yubico, Feitian Technologies og HID Global i en USB-, NFC-aktivert indikator eller biometrisk nøkkel.

Microsoft Entra betinget tilgang gir en robust løsning for å automatisere beslutninger om tilgangskontroll og håndheve organisasjonspolicyer for å beskytte firmaets ressurser. Et klassisk eksempel er når en finansplanlegger ønsker tilgang til et program som har sensitive kundedata. De kreves automatisk for å utføre en godkjenning med flere faktorer for å få spesifikk tilgang til programmet, og tilgangen må være fra en bedriftsadministrert enhet. Azure Betinget tilgang samler signaler om en brukers tilgangsforespørsel, for eksempel egenskaper om brukeren, enheten, plasseringen og nettverket, og programmet som brukeren prøver å få tilgang til. Den evaluerer dynamisk forsøk på å få tilgang til programmet mot konfigurerte policyer. Hvis bruker- eller enhetsrisiko er forhøyet eller andre betingelser ikke oppfylles, kan Microsoft Entra ID automatisk håndheve policyer som å kreve MFA, kreve en sikker tilbakestilling av passord eller begrense eller blokkere tilgang. Dette bidrar til å sikre at sensitive organisasjonsressurser beskyttes i dynamisk skiftende miljøer.

Microsoft Entra ID, og de relaterte Microsoft 365-sikkerhetstjenestene, gir grunnlaget for at en moderne plattform for skysamarbeid kan rulles ut til finansinstitusjoner slik at tilgang til data og programmer kan sikres, og forskriftsmessige samsvarsforpliktelser kan oppfylles. Disse verktøyene har følgende viktige funksjoner:

  • Lagre og administrer brukeridentiteter sentralt.
  • Bruk en protokoll for sterk godkjenning, inkludert godkjenning med flere faktorer, til å godkjenne brukere på tilgangsforespørsler og gi en konsekvent og robust godkjenningsopplevelse på tvers av alle programmer.
  • Valider policyer dynamisk på alle tilgangsforespørsler, som omfatter flere signaler i beslutningsprosessen for policyen, inkludert identitet, bruker/gruppemedlemskap, program, enhet, nettverk, plassering og risikopoengsum i sanntid.
  • Valider detaljerte policyer basert på brukeratferd og filegenskaper, og fremtving ytterligere sikkerhetstiltak dynamisk når det er nødvendig.
  • Identifiser «skygge IT» i organisasjonen, og tillat InfoSec-team å sanksjonere eller blokkere skyprogrammer.
  • Overvåk og kontroller tilgang til Microsoft- og ikke-Microsoft-skyprogrammer.
  • Proaktivt beskytte mot e-post phishing og ransomware angrep.

Microsoft Entra ID-beskyttelse

Selv om betinget tilgang beskytter ressurser mot mistenkelige forespørsler, går Identitetsbeskyttelse videre ved å gi kontinuerlig risikoregistrering og utbedring av mistenkelige brukerkontoer. Identitetsbeskyttelse holder deg informert om mistenkelig bruker og påloggingsatferd i miljøet ditt døgnet rundt. Den automatiske responsen hindrer proaktivt kompromitterte identiteter fra å bli misbrukt.

Identitetsbeskyttelse er et verktøy som gjør det mulig for organisasjoner å utføre tre viktige oppgaver:

  • Automatiser gjenkjenning og utbedring av identitetsbaserte risikoer.
  • Undersøk risikoer ved å bruke data i portalen.
  • Eksporter data for risikoregistrering til tredjepartsverktøy for videre analyse.

Identitetsbeskyttelse bruker kunnskap som Microsoft har anskaffet fra sin posisjon i organisasjoner med Microsoft Entra ID, i forbrukerområdet med Microsoft-kontoer, og i spill med Xbox for å beskytte brukerne dine. Microsoft analyserer 65 billioner signaler per dag for å identifisere og beskytte kunder mot trusler. Signalene generert av og matet til Identity Protection kan videre mates inn i verktøy som betinget tilgang for å ta tilgangsbeslutninger. De kan også mates tilbake til et siem-verktøy (Security Information and Event Management) for videre undersøkelser basert på organisasjonens håndhevede policyer.

Identity Protection hjelper organisasjoner med å beskytte seg automatisk mot identitetskompromisser ved å dra nytte av skyintelligens drevet av avansert gjenkjenning basert på heuristikk, analyse av bruker- og enhetsatferd (UEBA) og maskinlæring (ML) på tvers av Microsoft-økosystemet.

Fem informasjonsarbeidere ser på mens en annen holder en presentasjon.

Identifiser sensitive data og forhindre tap av data

Microsoft 365 gjør det mulig for alle organisasjoner å identifisere sensitive data i organisasjonen gjennom en kombinasjon av kraftige funksjoner, inkludert:

  • Microsoft Purview informasjonsbeskyttelse for både brukerbasert klassifisering og automatisert klassifisering av sensitive data.
  • Microsoft Purview hindring av datatap (DLP) for automatisert identifisering av sensitive data ved hjelp av sensitive datatyper (med andre ord vanlige uttrykk) og nøkkelord og policyhåndhevelse.

Microsoft Purview informasjonsbeskyttelse gjør det mulig for organisasjoner å klassifisere dokumenter og e-postmeldinger intelligent ved hjelp av følsomhetsetiketter. Følsomhetsetiketter kan brukes manuelt av brukere på dokumenter i Microsoft Office-programmer og e-postmeldinger i Outlook. Etikettene kan automatisk bruke dokumentmerkinger, beskyttelse gjennom kryptering og håndhevelse av rettighetsadministrasjon. Følsomhetsetiketter kan også brukes automatisk ved å konfigurere policyer som bruker nøkkelord og sensitive datatyper (for eksempel kredittkortnumre, personnummer og identitetsnumre) til automatisk å finne og klassifisere sensitive data.

I tillegg tilbyr Microsoft «kalibrerbare klassifiere» som bruker maskinlæringsmodeller til å identifisere sensitive data basert på innholdet, i motsetning til bare gjennom mønstersamsvar eller av elementene i innholdet. En klassifier lærer hvordan man identifiserer en type innhold ved å se på en rekke eksempler på innholdet som skal klassifiseres. Opplæring av en klassifier begynner med å gi den eksempler på innhold i en bestemt kategori. Etter at den har lært av disse eksemplene, testes modellen ved å gi den en blanding av samsvarende og ikke-samsvarende eksempler. Klassifieren forutser om et gitt eksempel faller inn under kategorien eller ikke. En person bekrefter deretter resultatene, sorterer positiver, negativer, falske positiver og falske negativer for å øke nøyaktigheten til klassifierens prognoser. Når kalibrert klassifier publiseres, behandles innholdet i Microsoft Office SharePoint Online, Exchange Online og OneDrive for Business og klassifiserer innholdet automatisk.

Bruk av følsomhetsetiketter på dokumenter og e-postmeldinger bygger inn metadata som identifiserer den valgte følsomheten i objektet. Følsomheten beveger seg deretter med dataene. Så selv om et merket dokument er lagret på en brukers skrivebord eller i et lokalt system, er det fortsatt beskyttet. Denne funksjonaliteten gjør det mulig for andre Microsoft 365-løsninger, for eksempel Microsoft Defender for Cloud Apps eller enheter med nettverkskanter, å identifisere sensitive data og automatisk håndheve sikkerhetskontroller. Følsomhetsetiketter har den ekstra fordelen av å utdanne ansatte om hvilke data i en organisasjon som anses som sensitive og hvordan de skal håndtere disse dataene når de mottar dem.

Microsoft Purview hindring av datatap (DLP) identifiserer automatisk dokumenter, e-postmeldinger og samtaler som inneholder sensitive data, ved å skanne dem for sensitive data og deretter håndheve policyer på disse objektene. Policyer håndheves på dokumenter i SharePoint og OneDrive for Business. De håndheves også når brukere sender e-post og i Teams-chatter og kanalsamtaler. Policyer kan konfigureres til å se etter nøkkelord, sensitive datatyper, oppbevaringsetiketter og om data deles i organisasjonen eller eksternt. Kontroller gis for å hjelpe organisasjoner med å finjustere DLP-policyer for å redusere falske positiver. Når sensitive data blir funnet, kan policytips som kan tilpasses, vises for brukere i Microsoft 365-programmer for å informere dem om at innholdet inneholder sensitive data og deretter foreslå korrigerende handlinger. Policyer kan også hindre brukere i å få tilgang til dokumenter, dele dokumenter eller sende e-postmeldinger som inneholder visse typer sensitive data. Microsoft 365 støtter mer enn 100 innebygde sensitive datatyper. Organisasjoner kan konfigurere egendefinerte sensitive datatyper for å oppfylle policyene sine.

Utrulling av Microsoft Purview informasjonsbeskyttelse- og DLP-policyer til organisasjoner krever nøye planlegging og et brukerutdanningsprogram, slik at ansatte forstår organisasjonens dataklassifiseringsskjema og hvilke typer data som anses som sensitive. Å gi ansatte verktøy og utdanningsprogrammer som hjelper dem med å identifisere sensitive data og forstå hvordan de skal håndtere dem, gjør dem til en del av løsningen for å redusere sikkerhetsrisikoer for informasjon.

Signalene som genereres av og mates til Identity Protection, kan også mates inn i verktøy som betinget tilgang for å ta tilgangsbeslutninger eller til et siem-verktøy (security information and event management) for undersøkelse basert på organisasjonens håndhevede policyer.

Identitetsbeskyttelse hjelper organisasjoner med å beskytte seg automatisk mot identitetskompromiss ved å dra nytte av skyintelligens drevet av avanserte oppdagelser basert på heuristikk, analyse av bruker- og enhetsatferd og maskinlæring på tvers av Microsoft-økosystemet.

En informasjonsmedarbeider er avbildet foran en stor rekke skjermer.

Forsvare festningen

Microsoft lanserte nylig den Microsoft Defender XDR løsningen, som er utformet for å sikre den moderne organisasjonen fra trussellandskapet som utvikler seg. Ved å benytte Intelligent Security Graph tilbyr Trusselbeskyttelse-løsningen omfattende, integrert sikkerhet mot flere angrepsvektorer.

Den intelligente sikkerhetsgrafen

Sikkerhetstjenester fra Microsoft 365 drives av Intelligent Security Graph. For å bekjempe cybertrusler bruker Intelligent Security Graph avansert analyse til å koble trusselintelligens og sikkerhetssignaler fra Microsoft og dets partnere. Microsoft opererer globale tjenester i massiv skala, og samler billioner av sikkerhetssignaler om at kraftbeskyttelse lag på tvers av stabelen. Maskinlæringsmodeller vurderer denne intelligensen, og signalet og trusselinnsikten deles mye på tvers av produktene og tjenestene våre. Dette gjør det mulig for oss å oppdage og reagere på trusler raskt og bringe handlingsbare varsler og informasjon til kunder for utbedring. Maskinlæringsmodellene våre er kontinuerlig opplært og oppdatert med ny innsikt, noe som hjelper oss med å bygge sikrere produkter og gi mer proaktiv sikkerhet.

Microsoft Defender for Office 365 tilbyr en integrert Microsoft 365-tjeneste som beskytter organisasjoner mot skadelige koblinger og skadelig programvare levert via e-post og Office-dokumenter. En av de vanligste angrepsvektorene som påvirker brukere i dag, er e-post-phishing-angrep. Disse angrepene kan rettes mot bestemte brukere og kan være svært overbevisende, med noen handlingsopplysninger som ber brukeren om å velge en ondsinnet kobling eller åpne et vedlegg som inneholder skadelig programvare. Når en datamaskin er infisert, kan angriperen enten stjele brukerens legitimasjon og flytte sidelengs på tvers av organisasjonen, eller eksfiltrere e-postmeldinger og data for å se etter sensitiv informasjon. Defender for Office 365 støtter klarerte vedlegg og klarerte koblinger ved å evaluere dokumenter og koblinger ved klikktid for potensielt ondsinnede hensikter og blokkere tilgang. E-postvedlegg åpnes i en beskyttet sandkasse før de leveres til en brukers postboks. Den evaluerer også koblinger i Office-dokumenter for skadelige nettadresser. Defender for Office 365 beskytter også koblinger og filer i SharePoint Online, OneDrive for Business og Teams. Hvis det oppdages en skadelig fil, låser Defender for Office 365 filen automatisk for å redusere potensiell skade.

Microsoft Defender for endepunkt er en enhetlig sikkerhetsplattform for endepunkt for forebyggende beskyttelse, oppdagelse etter brudd og automatisert undersøkelse og respons. Defender for Endpoint gir innebygde funksjoner for oppdagelse og beskyttelse av sensitive data på virksomhetsendepunkter.

Microsoft Defender for Cloud Apps gjør det mulig for organisasjoner å håndheve policyer på et detaljert nivå og oppdage atferdsavvik basert på individuelle brukerprofiler som automatisk defineres ved hjelp av maskinlæring. Defender for Cloud Apps-policyer kan bygge på Azure Conditional Access-policyer for å beskytte sensitive firmaressurser ved å evaluere flere signaler relatert til brukeratferd og egenskaper for dokumentene som er tilgjengelige. Over tid lærer Defender for Cloud Apps hva som er typisk virkemåte for hver ansatt med hensyn til dataene de får tilgang til og programmene de bruker. Basert på mønstre for lært atferd, kan policyer deretter automatisk håndheve sikkerhetskontroller hvis en ansatt opptrer utenfor denne atferdsprofilen. Hvis for eksempel en ansatt vanligvis har tilgang til et regnskapsprogram fra kl. 09.00 til 17.00 mandag til fredag, men plutselig begynner å få tilgang til programmet mye på en søndag kveld, kan Defender for Cloud Apps dynamisk håndheve policyer for å kreve at brukeren godkjenner på nytt. Dette bidrar til å sikre at brukerens legitimasjon ikke er kompromittert. Defender for Cloud Apps kan også bidra til å identifisere «skygge IT» i organisasjonen, noe som hjelper informasjonssikkerhetsteam med å sikre at ansatte bruker sanksjonerte verktøy når de arbeider med sensitive data. Til slutt kan Defender for Cloud Apps beskytte sensitive data hvor som helst i skyen, selv utenfor Microsoft 365-plattformen. Det gjør det mulig for organisasjoner å sanksjonere (eller oppheve helliggjøring) spesifikke eksterne skyapper, kontrollere tilgang og overvåke bruk.

Microsoft Defender for identitet er en skybasert sikkerhetsløsning som bruker lokal Active Directory signaler til å identifisere, oppdage og undersøke avanserte trusler, kompromitterte identiteter og ondsinnede insiderhandlinger rettet mot organisasjonen. AATP gjør det mulig for SecOp-analytikere og sikkerhetseksperter å oppdage avanserte angrep i hybridmiljøer for å:

  • Overvåk brukere, enhetsatferd og aktiviteter ved hjelp av læringsbasert analyse.
  • Beskytt brukeridentiteter og legitimasjon som er lagret i Active Directory.
  • Identifiser og undersøk mistenkelige brukeraktiviteter og avanserte angrep i hele drapskjeden.
  • Gi tydelig hendelsesinformasjon på en enkel tidslinje for rask triage.

Kontorarbeiderne møtes i et lite konferanserom. Man holder en presentasjon.

Styre data og behandle poster

Finansinstitusjoner må beholde sine poster og informasjon i henhold til deres regulatoriske, juridiske og forretningsmessige forpliktelser som representert i bedriftens oppbevaringsplan. Sec mandater for eksempel oppbevaringsperioder på tre til seks år, basert på posttype, med umiddelbar tilgjengelighet for de to første årene. Organisasjoner står overfor juridiske og regulatoriske samsvarsrisikoer hvis data beholdes (forkastes for tidlig), og nå også administrerer forskrifter som mandat avhending når informasjon ikke lenger er nødvendig. Effektive strategier for postbehandling legger vekt på en praktisk og konsekvent tilnærming, slik at informasjonen fjernes på riktig måte, samtidig som kostnader og risikoer reduseres for organisasjonen.

I tillegg krever regulatoriske mandater fra New York State Department of Financial Services dekkede enheter for å opprettholde retningslinjer og prosedyrer for avhending av ikke-offentlig informasjon. 23 NYCRR 500, Del 500.13, Begrensninger på dataoppbevaring krever at "Som en del av sitt cybersikkerhetsprogram skal hver dekket enhet inkludere policyer og prosedyrer for sikker deponering med jevne mellomrom for all ikke-offentlig informasjon identifisert i avsnitt 500.01(g)(2)-(3) av denne delen som ikke lenger er nødvendig for forretningsoperasjoner eller for andre legitime forretningsformål for den dekkede enheten, unntatt der slik informasjon ellers kreves for å beholdes ved lov eller forskrift.»

Finansinstitusjoner administrerer store mengder data. Og noen oppbevaringsperioder utløses av hendelser, for eksempel en kontrakt som utløper eller en ansatt forlater organisasjonen. I denne atmosfæren kan det være utfordrende å bruke policyer for postoppbevaring. Fremgangsmåter for å tilordne postoppbevaringsperioder nøyaktig på tvers av organisasjonsdokumenter kan variere. Noen bruker oppbevaringspolicyer generelt, eller bruker autoklassifisering og maskinlæringsteknikker. Andre identifiserer en tilnærming som krever en mer detaljert prosess som tilordner oppbevaringsperioder unikt til individuelle dokumenter.

Microsoft 365 har fleksible funksjoner for å definere oppbevaringsetiketter og policyer for å implementere krav til postbehandling på en intelligent måte. En postbehandling definerer en oppbevaringsetikett, som representerer en «posttype» i en tradisjonell tidsplan for oppbevaring. Oppbevaringsetiketten inneholder innstillinger som definerer disse detaljene:

  • Hvor lenge en post beholdes
  • Hva skjer når oppbevaringsperioden utløper (slett dokumentet, start en gjennomgang av fjerning eller ikke gjør noe)
  • Hva utløser oppbevaringsperioden til å starte (opprettelsesdato, dato for siste endring, merket dato eller en hendelse) og merker dokumentet eller e-postmeldingen som en post (noe som betyr at den ikke kan redigeres eller slettes)

Oppbevaringsetikettene publiseres deretter til SharePoint- eller OneDrive-nettsteder, Exchange-postbokser og Microsoft 365-grupper. Brukere kan bruke oppbevaringsetikettene manuelt på dokumenter og e-postmeldinger. Postansvarlige kan bruke intelligens til å bruke etikettene automatisk. Intelligente funksjoner kan være basert på 90 pluss innebygde sensitive informasjonstyper (for eksempel ABA-nummer, amerikansk bankkontonummer eller amerikansk personnummer). De kan også tilpasses basert på nøkkelord eller sensitive data som finnes i dokumenter eller e-postmeldinger, for eksempel kredittkortnumre eller annen personlig identifiserbar informasjon eller basert på SharePoint-metadata. For data som ikke er lett å identifisere gjennom manuell eller automatisert mønstersamsvar, kan kalibrerbare klassifiere brukes til å klassifisere dokumenter intelligent basert på maskinlæringsteknikker.

Securities and Exchange Commission (SEC) krever meglerforhandlere og andre regulerte finansinstitusjoner for å beholde all forretningsrelatert kommunikasjon. Disse kravene gjelder for mange typer kommunikasjon og data, inkludert e-postmeldinger, dokumenter, direktemeldinger, fakser og mer. SEC-regel 17a-4 definerer kriteriene som disse organisasjonene må oppfylle for å lagre poster i et elektronisk datalagringssystem. I 2003 utstedte SEC en utgivelse som klargjorde disse kravene. Det inkluderte følgende vilkår:

  • Data som bevares av et elektronisk lagringssystem, må være ikke-omskrivbare og kan ikke slettes. Dette kalles et ORM-krav (skriv én gang, les mange).
  • Lagringssystemet må kunne lagre data utover oppbevaringsperioden som kreves av regelen, i tilfelle en stevning eller annen juridisk orden.
  • En organisasjon bryter ikke kravet i avsnitt (f)(2)(ii)(A) av regelen hvis den brukte et elektronisk lagringssystem som hindrer overskriving, sletting eller på annen måte endring av en post i løpet av den nødvendige oppbevaringsperioden gjennom bruk av integrerte maskinvare- og programvarekontrollkoder.
  • Elektroniske lagringssystemer som bare "reduserer" risikoen for at en post blir overskrevet eller slettet, for eksempel ved å stole på tilgangskontroll, oppfyller ikke kravene i regelen.

For å hjelpe finansinstitusjoner med å oppfylle kravene til SEC-regel 17a-4, gir Microsoft 365 en kombinasjon av funksjoner knyttet til hvordan data beholdes, policyer konfigureres og data lagres i tjenesten. Disse inkluderer:

  • Bevaring av data (regel 17a-4(a), (b)(4)) – oppbevaringsetiketter og policyer er fleksible for å dekke organisasjonens behov og kan brukes automatisk eller manuelt på ulike typer data, dokumenter og informasjon. En rekke datatyper og kommunikasjon støttes, inkludert dokumenter i SharePoint og OneDrive for Business, data i Exchange Online postbokser og data i Teams.

  • Ikke-omskrivbart, ikke-slettbart format (regel 17a-4(f)(2)(ii)(A)) – bevaringslåsfunksjonalitet for oppbevaringspolicyer gjør det mulig for postbehandlere og administratorer å konfigurere oppbevaringspolicyer til å være restriktive, slik at de ikke lenger kan endres. Dette hindrer alle i å fjerne, deaktivere eller endre oppbevaringspolicyen på noen måte. Dette betyr at når Bevaringslås er aktivert, kan den ikke deaktiveres, og det finnes ingen metode der data som oppbevaringspolicyen er brukt på, kan overskrives, endres eller slettes i løpet av oppbevaringsperioden. I tillegg kan ikke oppbevaringsperioden forkortes. Oppbevaringsperioden kan imidlertid forlenges når det er et juridisk krav om å fortsette oppbevaringen av data.

    Når en bevaringslås brukes på en oppbevaringspolicy, er følgende handlinger begrenset:

    • Oppbevaringsperioden for policyen kan bare økes. Det kan ikke forkortes.
    • Brukere kan legges til i policyen, men eksisterende brukere som er konfigurert i policyen, kan ikke fjernes.
    • Oppbevaringspolicyen kan ikke slettes av en administrator i organisasjonen.

    Bevaringslås bidrar til å sikre at ingen brukere, ikke engang administratorer med høyest tilgangsnivå, kan endre innstillingene, endre, overskrive eller slette dataene som er lagret, og bringe arkivering i Microsoft 365 i tråd med veiledningen i SEC 2003-utgivelsen.

  • Kvalitet, nøyaktighet og verifisering av lagring/serialisering og indeksering av data (regel 17a-4(f)(2) (ii)(B) og (C)) – Office 365 arbeidsbelastninger hver inneholder funksjoner for automatisk å verifisere kvaliteten og nøyaktigheten til prosessen for registrering av data på lagringsmedier. I tillegg lagres data ved å bruke metadata og tidsstempler for å sikre tilstrekkelig indeksering for effektiv søking og henting av data.

  • Separat lagring for dupliserte kopier (regel 17a-4(f)(3(iii)) – den Office 365 skytjenesten lagrer dupliserte kopier av data som et viktig aspekt ved den høye tilgjengeligheten. Dette oppnås ved å implementere redundans på alle nivåer i tjenesten, inkludert på fysisk nivå på alle servere, på servernivå i datasenteret og på tjenestenivå for geografisk spredte datasentre.

  • Nedlastbare og tilgjengelige data (regel 17a-4(f)(2)(ii)(D)) – Office 365 tillater vanligvis data som er merket for oppbevaring som skal søkes etter, åpnes og lastes ned på plass. Og det gjør at data i Exchange Online Archives kan søkes ved hjelp av innebygde eDiscovery-funksjoner. Data kan deretter lastes ned etter behov i standardformater, inkludert EDRML og PST.

  • Overvåkingskrav (regel 17a-4(f)(3)(v)) – Office 365 gir overvåkingslogging for alle administrative handlinger og brukerhandlinger som endrer dataobjekter, konfigurerer eller endrer oppbevaringspolicyer, utfører eDiscovery-søk eller endrer tilgangstillatelser. Office 365 opprettholder et omfattende revisjonsspor, inkludert data om hvem som utførte en handling, når den ble utført, detaljer om handlingen og kommandoene som ble utført. Overvåkingsloggen kan deretter sendes og inkluderes som en del av formelle revisjonsprosesser etter behov.

Regel 17a-4 krever at organisasjoner beholder poster for mange typer transaksjoner, slik at de er umiddelbart tilgjengelige i to år. Poster må beholdes ytterligere i tre til seks år med ikke-umiddelbar tilgang. Dupliserte poster må også beholdes i samme periode på en plassering utenfor området. Funksjoner for postbehandling i Microsoft 365 gjør at poster kan beholdes slik at de ikke kan endres eller slettes, men det er enkelt å få tilgang til dem i en tidsperiode som kontrolleres av postbehandlingen. Disse periodene kan strekke seg over dager, måneder eller år, avhengig av organisasjonens forpliktelser til forskriftssamsvar.

Ved forespørsel vil Microsoft gi et attestbrev om samsvar med SEC 17a-4 hvis det kreves av en organisasjon.

I tillegg hjelper disse funksjonene også Microsoft 365 med å oppfylle lagringskravene for CFTC-regel 1.31(c)-(d) fra US Commodity Futures Trading Commission og FINRA Rule Series 4510 fra Financial Industry Regulatory Authority. Samlet representerer disse reglene den mest beskrivende veiledningen globalt for finansinstitusjoner å beholde poster.

Ytterligere detaljer om hvordan Microsoft 365 overholder SEC-regel 17a-4 og andre forskrifter er tilgjengelig med Office 365 - Cohasset Assessment - SEC Rule 17a-4(f) - Uforanderlig lagring for SharePoint, OneDrive, Exchange, Teams og Viva Engage (2022) nedlastingsdokument.

Etablere etiske vegger med informasjonsbarrierer

Finansinstitusjoner kan være underlagt forskrifter som hindrer ansatte i enkelte roller i å utveksle informasjon eller samarbeide med andre roller. FINRA har for eksempel publisert regler 2241(b)(2)(G), 2242(b)(2) (D), (b)(2)(H)(ii) og (b)(2)(H)(iii) som krever medlemmer for å:

"(G) etablere informasjonsbarrierer eller andre institusjonelle sikkerhetstiltak rimelig utformet for å sikre at forskningsanalytikere er isolert fra gjennomgang, press eller tilsyn av personer som er engasjert i investeringsbanktjenester eller andre personer, inkludert salgs- og handelspersonell, som kan være partisk i sin dom eller tilsyn;" og "(H) etablere informasjonsbarrierer eller andre institusjonelle sikkerhetstiltak rimelig utformet for å sikre at gjeldsundersøkelser analytikere er isolert fra gjennomgang, press eller tilsyn av personer engasjert i: (i) investeringsbanktjenester; (ii) hovedhandel eller salgs- og handelsaktiviteter; og (iii) andre personer som kan være partisk i sin dom eller tilsyn;"

Til syvende og sist krever disse reglene at organisasjoner etablerer retningslinjer og implementerer informasjonsbarrierer mellom roller som er involvert i banktjenester, salg eller handel fra utveksling av informasjon og kommunikasjon med analytikere.

Informasjonsbarrierer gir muligheten til å etablere etiske vegger i ditt Office 365 miljø, slik at samsvarsadministratorer eller andre autoriserte administratorer kan definere policyer som tillater eller forhindrer kommunikasjon mellom grupper av brukere i Teams. Informasjonsbarrierer utfører kontroller av bestemte handlinger for å forhindre uautorisert kommunikasjon. Informasjonsbarrierer kan også begrense kommunikasjonen i scenarioer der interne team arbeider med fusjoner/anskaffelser eller sensitive avtaler, eller arbeide med sensitiv intern informasjon som må være sterkt begrenset.

Informasjonsbarrierer støtter samtaler og filer i Teams. De kan forhindre følgende typer kommunikasjonsrelaterte handlinger for å bidra til å overholde FINRA-forskrifter:

  • Søk etter en bruker
  • Legg til et medlem i et team, eller fortsett å delta med et annet medlem i et team
  • Starte eller fortsette en chatøkt
  • Starte eller fortsette en gruppechat
  • Invitere noen til å bli med i et møte
  • Dele en skjerm
  • Sett inn et anrop

Implementer tilsynskontroll

Finansinstitusjoner er vanligvis pålagt å etablere og opprettholde en tilsynsfunksjon i sine organisasjoner for å overvåke aktivitetene til ansatte og for å hjelpe den med å oppnå samsvar med gjeldende verdipapirlover. Nærmere bestemt har FINRA etablert disse tilsynskravene:

  • FINRA Regel 3110 (Tilsyn) krever at bedrifter har skriftlige tilsynsprosedyrer (WSP) for å overvåke aktiviteter for sine ansatte og hvilke typer bedrifter det engasjerer seg i. I tillegg til andre krav må prosedyrene omfatte:

    • Tilsyn av tilsynspersonell
    • Gjennomgang av firmaets investeringsbank, verdipapirvirksomhet, intern kommunikasjon og interne undersøkelser
    • Gjennomgang av transaksjoner for innsidehandel
    • Gjennomgang av korrespondanse og klager

    Prosedyrer må beskrive personene som er ansvarlige for gjennomganger, tilsynsaktivitet hver person utfører, gjennomgår frekvens og hvilke typer dokumentasjon eller kommunikasjon som gjennomgås.

  • FINRA-regel 3120 (tilsynskontrollsystem) krever at firmaer har et system med kontrollpolicyer og prosedyrer for tilsynskontroll som validerer deres skriftlige tilsynsprosedyrer som definert av regel 3110. Bedrifter er pålagt ikke bare å ha WSPs, men også å ha retningslinjer som tester disse prosedyrene årlig for å validere deres evne til å sikre overholdelse av gjeldende verdipapirlover og -forskrifter. Risikobaserte metoder og sampling kan brukes til å definere omfanget av testingen. Denne regelen krever blant annet at bedrifter gir en årsrapport til toppledelsen som inkluderer et sammendrag av testresultater og eventuelle betydelige unntak eller endrede prosedyrer som svar på testresultater.

En kontorarbeider viser et diagram og tabeller på en skjerm mens andre møtes i bakgrunnen.

Kommunikasjonssamsvar

Microsoft Purview kommunikasjonssamsvar er en samsvarsløsning som bidrar til å minimere kommunikasjonsrisiko ved å hjelpe deg med å oppdage, undersøke og handle på upassende meldinger i organisasjonen. Forhåndsdefinerte og egendefinerte policyer lar deg skanne intern og ekstern kommunikasjon etter policysamsvar, slik at de kan undersøkes av utpekte korrekturlesere. Korrekturlesere kan undersøke skannet e-post, Microsoft Teams, Viva Engage eller tredjepartskommunikasjon i organisasjonen og iverksette nødvendige tiltak for å sikre at de samsvarer med organisasjonens meldingsstandarder.

Kommunikasjonssamsvar inneholder rapporter som gjør det mulig å overvåke policygjennomgangsaktiviteter basert på policyen og kontrolløren. Rapporter er tilgjengelige for å validere at policyer fungerer som definert av en organisasjons skriftlige policyer. De kan også brukes til å identifisere kommunikasjon som krever gjennomgang og de som ikke samsvarer med bedriftens retningslinjer. Til slutt overvåkes alle aktiviteter knyttet til konfigurering av policyer og gjennomgang av kommunikasjon i Office 365 enhetlig overvåkingslogg. Som et resultat hjelper kommunikasjonssamsvar også finansinstitusjoner til å overholde FINRA-regel 3120.

I tillegg til å overholde FINRA-regler, tillater kommunikasjonssamsvar organisasjoner å oppdage og handle på kommunikasjon som kan påvirkes av andre juridiske krav, bedriftspolicyer og etiske standarder. Kommunikasjonssamsvar gir innebygde klassifiere for trussel, trakassering og banning som bidrar til å redusere falske positiver ved gjennomgang av kommunikasjon, noe som sparer kontrollører tid under undersøkelses- og utbedringsprosessen. Det gjør det også mulig for organisasjoner å redusere risikoen ved å oppdage kommunikasjon når de gjennomgår sensitive organisatoriske endringer, for eksempel fusjoner og oppkjøp eller lederendringer.

En informasjonsmedarbeider fokuserer på en skjerm.

Beskytt mot dataeksfiltrering og insider-risiko

En vanlig trussel mot virksomheter er datautfiltrering eller å trekke ut data fra en organisasjon. Denne risikoen kan være en betydelig bekymring for finansinstitusjoner på grunn av den sensitive karakteren av informasjonen som kan nås fra dag til dag. Med det økende antallet kommunikasjonskanaler som er tilgjengelige og spredning av verktøy for å flytte data, er avanserte funksjoner vanligvis nødvendig for å redusere risikoen for datalekkasjer, brudd på retningslinjene og innsiderisiko.

Administrasjon av intern risiko

Aktivering av ansatte med nettbaserte samarbeidsverktøy som kan nås hvor som helst, medfører risiko for organisasjonen. Ansatte kan utilsiktet eller ondsinnet lekke data til angripere eller konkurrenter. Alternativt kan de eksfiltrere data for personlig bruk eller ta data med seg til en fremtidig arbeidsgiver. Disse scenariene utgjør alvorlige risikoer for finansinstitusjoner fra både sikkerhets- og samsvarssynspunkter. Identifisering av disse risikoene når de oppstår og raskt redusere dem krever både intelligente verktøy for datainnsamling og samarbeid på tvers av avdelinger som juridiske, menneskelige ressurser og informasjonssikkerhet.

Microsoft Purview administrasjon av intern risiko er en samsvarsløsning som bidrar til å minimere interne risikoer ved å gjøre det mulig for deg å oppdage, undersøke og handle på skadelige og utilsiktede aktiviteter i organisasjonen. Med insider-risikopolicyer kan du definere risikotypene for å identifisere og oppdage i organisasjonen, inkludert å handle i saker og eskalerende saker til Microsoft eDiscovery (Premium) om nødvendig. Risikoanalytikere i organisasjonen kan raskt utføre nødvendige tiltak for å sikre at brukerne samsvarer med organisasjonens samsvarsstandarder.

Insider Risk Management kan for eksempel koordinere signaler fra en brukers enheter, for eksempel kopiere filer til en USB-stasjon eller sende en personlig e-postkonto via e-post, med aktiviteter fra onlinetjenester for eksempel Office 365 e-post, SharePoint Online, Microsoft Teams eller OneDrive for Business, for å identifisere dataeksfiltreringsmønstre. Det kan også koordinere disse aktivitetene med ansatte som forlater en organisasjon, som er et vanlig dataeksfiltreringsmønster. Den kan oppdage flere potensielt risikable aktiviteter og virkemåter over tid. Når vanlige mønstre dukker opp, kan det øke varsler og hjelpe etterforskerne med å fokusere på viktige aktiviteter for å verifisere et brudd på retningslinjene med høy grad av tillit. Insider risk management kan pseudo-anonymisere data fra etterforskere for å bidra til å oppfylle personvernforskrifter, samtidig som de viser viktige aktiviteter som hjelper dem med å utføre undersøkelser effektivt. Det gjør det mulig for etterforskerne å pakke og sikkert sende viktige aktivitetsdata til HR og juridiske avdelinger, etter vanlige eskaleringsarbeidsflyter for å ta opp saker for utbedringstiltak.

Insider Risk Management øker mulighetene til organisasjoner betydelig for å oppdage og undersøke insider-risikoer, samtidig som organisasjoner fortsatt kan oppfylle personvernforskriftene og følge etablerte videresendingsbaner når saker krever handling på høyere nivå.

En telefonsenterarbeider i en avlukketype mens du viser en skjerm.

Leierbegrensninger

Organisasjoner som håndterer sensitive data og legger streng vekt på sikkerhet, ønsker vanligvis å kontrollere de nettbaserte ressursene som brukere har tilgang til. Samtidig ønsker de å muliggjøre sikkert samarbeid gjennom onlinetjenester for eksempel Office 365. Som et resultat av dette blir det en utfordring å kontrollere Office 365 miljøer som brukere kan få tilgang til, fordi miljøer med manglende skorpioner Office 365 kan brukes til å eksfiltrere data fra bedriftsenheter enten ondsinnet eller utilsiktet. Organisasjoner begrenser tradisjonelt domenene eller IP-adressene som brukere kan få tilgang til fra firmaenheter. Men dette fungerer ikke i en sky-første verden, der brukerne må legitimt få tilgang til Office 365 tjenester.

Microsoft 365 gir leierbegrensningene muligheten til å løse denne utfordringen. Leierbegrensninger kan konfigureres for å begrense ansattes tilgang til eksterne Office 365 bedriftsleietakere ved hjelp av useriøse identiteter (identiteter som ikke er en del av firmakatalogen). I dag gjelder leierbegrensninger på tvers av leieren, slik at bare de tenantene som vises på listen du konfigurerer, får tilgang. Microsoft fortsetter å utvikle denne løsningen for å øke detaljnivået til kontrollen og forbedre beskyttelsen den gir.

GRAFISK.

Konklusjon

Microsoft 365 og Teams tilbyr en integrert og omfattende løsning for finansielle tjenesteselskaper, noe som muliggjør enkle, men likevel kraftige skybaserte samarbeids- og kommunikasjonsfunksjoner på tvers av virksomheten. Ved å bruke sikkerhets- og samsvarsteknologier fra Microsoft 365 kan institusjoner operere på en sikrere og mer kompatibel måte med robuste sikkerhetskontroller for å beskytte data, identiteter, enheter og programmer mot ulike operasjonelle risikoer, inkludert cybersikkerhet og innsiderisiko. Microsoft 365 tilbyr en fundamentalt sikker plattform der finanstjenesteorganisasjoner kan oppnå mer samtidig som de beskytter firmaet, de ansatte og kundene.