Kluczowe zagadnienia dotyczące zgodności i zabezpieczeń dla amerykańskich rynków bankowych i kapitałowych

  • Artykuł

Wprowadzenie

Instytucje usług finansowych przewyższają niemal wszystkie przedsiębiorstwa komercyjne, które wymagają rygorystycznych kontroli bezpieczeństwa, zgodności i ładu. Ochrona danych, tożsamości, urządzeń i aplikacji jest nie tylko krytyczna dla ich działalności, ale podlega wymogom i wytycznym dotyczącym zgodności ze strony organów regulacyjnych, takich jak Amerykańska Komisja Papierów Wartościowych i Giełd (SEC), Financial Industry Regulatory Authority (FINRA), Federal Financial Institutions Examination Council (FFIEC) i Commodity Futures Trading Commission (CFTC). Ponadto instytucje finansowe podlegają przepisom takim jak Dodd-Frank i ustawa o Sarbanes-Oxley z 2002 r.

W dzisiejszym klimacie zwiększonej czujności w zakresie bezpieczeństwa, obaw związanych z ryzykiem wewnętrznym i naruszeń danych publicznych klienci domagają się również wysokiego poziomu bezpieczeństwa ze strony swoich instytucji finansowych, aby zaufać im swoim danymi osobowymi i aktywami bankowymi.

W przeszłości konieczność kompleksowych kontroli bezpośrednio wpływała i ograniczała systemy i platformy INFORMATYCZNE używane przez instytucje finansowe do umożliwienia współpracy wewnętrznej i zewnętrznej. Obecnie pracownicy usług finansowych potrzebują nowoczesnej platformy współpracy, która jest łatwa do wdrożenia i łatwa w użyciu. Jednak usługi finansowe nie mogą zapewnić elastyczności współpracy między użytkownikami, zespołami i działami przy użyciu mechanizmów kontroli zabezpieczeń i zgodności, które wymuszają zasady ochrony użytkowników i systemów INFORMATYCZNych przed zagrożeniami.

W sektorze usług finansowych należy dokładnie rozważyć konfigurację i wdrożenie narzędzi współpracy i mechanizmów kontroli zabezpieczeń, w tym:

  • Ocena ryzyka typowych scenariuszy współpracy organizacyjnej i procesów biznesowych
  • Wymagania dotyczące ochrony informacji i ładu danych
  • Cyberbezpieczeństwo i zagrożenia wewnętrzne
  • Wymagania dotyczące zgodności z przepisami
  • Inne zagrożenia operacyjne

Microsoft 365 to nowoczesne środowisko chmury w miejscu pracy, które może sprostać współczesnym wyzwaniom, przed którymi stoją organizacje usług finansowych. Bezpieczna i elastyczna współpraca w całym przedsiębiorstwie jest połączona z mechanizmami kontroli i wymuszaniem zasad w celu przestrzegania rygorystycznych ram zgodności z przepisami. W tym artykule opisano, w jaki sposób platforma Microsoft 365 pomaga usługom finansowym przejść na nowoczesną platformę współpracy, jednocześnie pomagając zapewnić bezpieczeństwo danych i systemów oraz zapewnić zgodność z przepisami:

  • Zapewnianie produktywności pracowników i organizacji przy użyciu platformy Microsoft 365 i usługi Microsoft Teams
  • Ochrona nowoczesnej współpracy przy użyciu platformy Microsoft 365
  • Identyfikowanie poufnych danych i zapobieganie utracie danych
  • Bronić twierdzy
  • Zarządzanie danymi i przestrzeganie przepisów przez efektywne zarządzanie rekordami
  • Ustanawianie etycznych murów z barierami informacyjnymi
  • Ochrona przed eksfiltracją danych i ryzykiem wewnętrznym

Jako partner firmy Microsoft firma Protiviti przyczyniła się do tego artykułu i przekazała do tego artykułu istotne opinie.

Poniższe ilustracje do pobrania uzupełniają ten artykuł. Woodgrove Bank i Contoso służą do zademonstrowania możliwości opisanych w tym artykule w celu spełnienia typowych wymagań prawnych dotyczących usług finansowych. Możesz dostosować te ilustracje do własnych potrzeb.

Ilustracje dotyczące ochrony informacji i zgodności platformy Microsoft 365

Element Opis
Plakat modelu: Funkcje ochrony i zgodności informacji platformy Microsoft 365.
Angielski: pobieranie w formacie PDF | jako program Visio
Japoński: pobieranie w formacie PDF | jako program Visio
Zaktualizowano listopad 2020 r.		 Zawiera:
  • Microsoft Purview Information Protection i Ochrona przed utratą danych w Microsoft Purview
  • Zasady przechowywania i etykiety przechowywania
  • Bariery informacyjne
  • Zgodność w komunikacji
  • Ryzyko związane z wewnętrznymi testerami
  • Pozyskiwanie danych innych firm

Zwiększanie produktywności pracowników i organizacji przy użyciu platformy Microsoft 365 i usługi Teams

Współpraca zwykle wymaga różnych form komunikacji, możliwości przechowywania i uzyskiwania dostępu do dokumentów/danych oraz możliwości integracji innych aplikacji w razie potrzeby. Pracownicy usług finansowych zazwyczaj muszą współpracować i komunikować się z członkami innych działów lub zespołów, a czasami z jednostkami zewnętrznymi. W związku z tym korzystanie z systemów, które tworzą silosy lub utrudniają udostępnianie informacji, jest niepożądane. Zamiast tego lepiej jest używać platform i aplikacji, które umożliwiają pracownikom bezpieczne komunikowanie się, współpracę i udostępnianie informacji zgodnie z zasadami firmy.

Zapewnienie pracownikom nowoczesnej, opartej na chmurze platformy współpracy pozwala im wybierać i integrować narzędzia, które czynią ich bardziej produktywnymi i umożliwiają im znalezienie zwinnych sposobów pracy. Korzystanie z usługi Teams w połączeniu z mechanizmami kontroli zabezpieczeń i zasadami zarządzania informacjami, które chronią organizację, może pomóc pracownikom w efektywnej komunikacji i współpracy.

Usługa Teams udostępnia centrum współpracy dla organizacji. Pomaga zebrać ludzi, aby wydajnie pracować nad wspólnymi inicjatywami i projektami. Usługa Teams umożliwia członkom zespołu prowadzenie konwersacji na czacie 1:1 i wielu firm, współpracę i współtworzynie dokumentów oraz przechowywanie i udostępnianie plików. Usługa Teams ułatwia również spotkania online za pośrednictwem zintegrowanego głosu i wideo w przedsiębiorstwie. Usługi Teams można również dostosowywać za pomocą aplikacji firmy Microsoft, takich jak Microsoft Planner, Microsoft Dynamics 365, Power Apps, Power BI i aplikacje biznesowe innych firm. Aplikacja Teams jest przeznaczona do użytku zarówno przez członków zespołu wewnętrznego, jak i dozwolonych użytkowników zewnętrznych, którzy mogą dołączać do kanałów zespołu, uczestniczyć w konwersacjach czatów, uzyskiwać dostęp do przechowywanych plików i korzystać z innych aplikacji

Każdy zespół firmy Microsoft jest wspierany przez grupę platformy Microsoft 365. Ta grupa jest uważana za usługę członkostwa dla wielu usług Office 365, w tym teams. Grupy platformy Microsoft 365 służą do bezpiecznego rozróżniania "właścicieli" i "członków" oraz do kontrolowania dostępu do różnych możliwości w usłudze Teams. W połączeniu z odpowiednimi kontrolami ładu i regularnie administrowanym przeglądami dostępu usługa Teams umożliwia tylko członkom i właścicielom korzystanie z autoryzowanych kanałów i możliwości.

Typowy scenariusz, w którym usługa Teams korzysta z usług finansowych, to uruchamianie wewnętrznych projektów lub programów. Na przykład wiele instytucji finansowych, w tym banki, firmy zarządzające majątkiem, unii kredytowe i dostawcy ubezpieczeń, musi dysponować programami przeciwdziałania praniu pieniędzy i innym programom zgodności. Do udostępniania danych i komunikowania się o programie lub konkretnych dochodzeniach może być wymagany zespół ds. działalności informatycznej, takich jak zarządzanie sprzedażą detaliczną i majątkiem oraz jednostka ds. przestępczości finansowej. Tradycyjnie te programy korzystały z udostępnionych dysków sieciowych, ale takie podejście może stanowić wiele wyzwań, w tym:

  • Tylko jedna osoba może edytować dokument jednocześnie.
  • Zarządzanie zabezpieczeniami jest czasochłonne, ponieważ dodawanie/usuwanie osób zwykle obejmuje it.
  • Dane pozostają przechowywane na udostępnionych dyskach sieciowych znacznie dłużej niż jest to wymagane lub pożądane.

Zespoły mogą zapewnić przestrzeń współpracy w celu bezpiecznego przechowywania poufnych danych klienta i prowadzenia konwersacji między członkami zespołu, w których mogą być omawiane poufne tematy. Wielu członków zespołu może jednocześnie edytować lub współpracować nad jednym dokumentem. Właściciel lub koordynator programu można skonfigurować jako właściciela zespołu, a następnie dodać i usunąć członków w razie potrzeby.

Innym typowym scenariuszem jest użycie usługi Teams jako "wirtualnej sali danych" do bezpiecznej współpracy, w tym przechowywania dokumentów i zarządzania nimi. Członkowie zespołu i syndykaty w ramach bankowości inwestycyjnej, zarządzania aktywami lub firm private equity mogą bezpiecznie współpracować nad transakcją lub inwestycją. Zespoły funkcjonalne często biorą udział w planowaniu i realizacji takich transakcji, a możliwość bezpiecznego udostępniania danych i prowadzenia konwersacji jest podstawowym wymaganiem. Kluczowym wymaganiem jest również bezpieczne udostępnianie powiązanych dokumentów inwestorom zewnętrznym. Usługa Teams zapewnia bezpieczną i w pełni poddaną inspekcji lokalizację, z której można centralnie przechowywać, chronić i udostępniać dane inwestycyjne.

Grupa pracowników biurowych na spotkaniu omawia obrazy na dużym pisku.

Zespoły: Zwiększanie współpracy i zmniejszanie ryzyka zgodności

Platforma Microsoft 365 udostępnia inne typowe możliwości zasad dla usługi Teams dzięki użyciu grup platformy Microsoft 365 jako podstawowej usługi członkostwa. Te zasady mogą pomóc usprawnić współpracę i spełnić wymagania dotyczące zgodności.

Zasady nazewnictwa grup platformy Microsoft 365 pomagają zapewnić, że grupy platformy Microsoft 365, a tym samym zespoły, są nazwane zgodnie z zasadami firmy. Nazwy mogą być problematyczne, jeśli nie są odpowiednie. Na przykład pracownicy mogą nie wiedzieć, z którymi zespołami pracować lub udostępniać informacje, jeśli nazwy nie są odpowiednio stosowane. Zasady nazewnictwa grup (w tym obsługa zasad opartych na prefiksach/sufiksach i niestandardowych zablokowanych wyrazów) mogą wymuszać dobrą "higienę" i zapobiegać używaniu określonych słów, takich jak słowa zarezerwowane lub nieodpowiednia terminologia.

Zasady wygasania grup platformy Microsoft 365 pomagają zagwarantować, że grupy platformy Microsoft 365, a tym samym zespoły, nie będą przechowywane przez dłuższy czas, niż chce lub potrzebuje organizacja. Ta funkcja pomaga zapobiegać dwóm kluczowym problemom z zarządzaniem informacjami:

  • Rozprzestrzenianie się zespołów, które nie są konieczne ani używane.
  • Nadmierne przechowywanie danych, które nie są już wymagane lub używane przez organizację (z wyjątkiem przypadków archiwizacji/zachowania ze względów prawnych).

Administratorzy mogą określić okres wygaśnięcia dla grup platformy Microsoft 365, takich jak 90, 180 lub 365 dni. Jeśli usługa wspierana przez grupę platformy Microsoft 365 jest nieaktywna w okresie wygaśnięcia, właściciele grup są powiadamiani. Jeśli nie zostaną podjęte żadne działania, grupa platformy Microsoft 365 i wszystkie powiązane z nią usługi, w tym usługa Teams, zostaną usunięte.

Nadmierne przechowywanie danych przechowywanych w usłudze Teams i innych usługach opartych na grupach może stanowić zagrożenie dla organizacji usług finansowych. Zasady wygasania grup platformy Microsoft 365 to zalecany sposób zapobiegania przechowywaniu danych, które nie są już potrzebne. W połączeniu z wbudowanymi etykietami i zasadami przechowywania platforma Microsoft 365 pomaga zagwarantować, że organizacje przechowują tylko dane wymagane do spełnienia zasad firmy i zobowiązań w zakresie zgodności z przepisami.

Teams: łatwe integrowanie wymagań niestandardowych

Usługa Teams domyślnie umożliwia samoobsługowe tworzenie zespołów. Jednak wiele regulowanych organizacji chce kontrolować i zrozumieć, które kanały współpracy są obecnie używane przez swoich pracowników, które kanały mogą zawierać dane poufne i własność kanałów organizacyjnych. Aby ułatwić te mechanizmy kontroli ładu, platforma Microsoft 365 umożliwia organizacji wyłączenie tworzenia zespołów samoobsługowych. Korzystając z narzędzi do automatyzacji procesów biznesowych, takich jak Microsoft Power Apps i Power Automate, organizacje mogą tworzyć i wdrażać proste formularze i procesy zatwierdzania dla pracowników w celu żądania utworzenia nowego zespołu. Po zatwierdzeniu można automatycznie aprowizować zespół i wysłać link do żądającego. W ten sposób organizacje mogą projektować i integrować swoje mechanizmy kontroli zgodności i wymagania niestandardowe w procesie tworzenia zespołu.

Akceptowalne kanały komunikacji cyfrowej

FINRA podkreśla, że komunikacja cyfrowa firm regulowanych spełnia wymagania dotyczące rejestrowania zasad ustawy Exchange Act 17a-3 i 17a-4, a także finra rule series 4510. FINRA publikuje roczny raport zawierający kluczowe ustalenia, obserwacje i skuteczne praktyki ułatwiające organizacjom poprawę zgodności i zarządzania ryzykiem. W swoim raporcie z 2019 r. dotyczącym wyników badań i obserwacji FINRA określiła komunikację cyfrową jako kluczowy obszar, w którym firmy napotykają wyzwania zgodne z wymogami nadzoru i prowadzenia rejestrów.

Jeśli organizacja zezwala swoim pracownikom na korzystanie z określonej aplikacji, takiej jak usługa obsługi komunikatów oparta na aplikacjach lub platforma współpracy, firma musi archiwizować dokumentację biznesową i nadzorować działania i komunikację tych pracowników w tej aplikacji. Organizacje są odpowiedzialne za przeprowadzenie należytej staranności w celu zachowania zgodności z zasadami FINRA i przepisami dotyczącymi papierów wartościowych oraz za przestrzeganie potencjalnych naruszeń tych zasad związanych z używaniem takich aplikacji przez pracowników.

Obowiązujące praktyki zalecane przez FINRA obejmują następujące kwestie:

  • Ustanowienie kompleksowego programu ładu dla kanałów komunikacji cyfrowej. Zarządzaj decyzjami organizacji dotyczącymi dozwolonych kanałów komunikacji cyfrowej i zdefiniuj procesy zgodności dla każdego kanału cyfrowego. Uważnie monitoruj szybko zmieniający się krajobraz kanałów komunikacji cyfrowej i aktualizuj procesy zgodności.
  • Jasno zdefiniuj i kontroluj dopuszczalne kanały cyfrowe. Zdefiniuj zarówno zatwierdzone, jak i zabronione kanały cyfrowe. Zablokuj lub ogranicz korzystanie z zabronionych kanałów cyfrowych lub zabronionych funkcji w kanałach cyfrowych, które ograniczają zdolność organizacji do spełniania wymagań dotyczących zarządzania rekordami i nadzoru.
  • Zapewnianie szkoleń dotyczących komunikacji cyfrowej. Przed udzieleniem zarejestrowanym przedstawicielom dostępu do zatwierdzonych kanałów cyfrowych zaimplementuj obowiązkowe programy szkoleniowe. Szkolenie pomaga wyjaśnić oczekiwania organizacji dotyczące biznesowej i osobistej komunikacji cyfrowej, a także prowadzi pracowników przez używanie dozwolonych funkcji każdego kanału w zgodny sposób.

Ustalenia i obserwacje FINRA dotyczące komunikacji cyfrowej odnoszą się bezpośrednio do zdolności organizacji do zachowania zgodności z zasadą SEC 17a-4 dotyczącą zachowania całej komunikacji związanej z działalnością biznesową, reguł finra 3110 i 3120 w celu nadzoru i przeglądu komunikacji oraz serii 4510 dla prowadzenia rejestrów. Commodity Futures Trading Commission (CFTC) promuluje podobne wymagania w ramach 17 CFR 131. Te przepisy zostały szczegółowo omówione w dalszej części tego artykułu.

Zespół, wraz z kompleksowym pakietem ofert zabezpieczeń i zgodności platformy Microsoft 365, udostępnia firmowy kanał komunikacji cyfrowej dla instytucji usług finansowych, aby skutecznie prowadzić działalność i przestrzegać przepisów. W pozostałej części tego artykułu opisano, w jaki sposób wbudowane funkcje platformy Microsoft 365 do zarządzania rekordami, ochrony informacji, barier informacyjnych i kontroli nadzoru dają usłudze Teams niezawodny zestaw narzędzi ułatwiający spełnienie tych zobowiązań regulacyjnych.

Ochrona nowoczesnej współpracy przy użyciu platformy Microsoft 365

Zabezpieczanie tożsamości użytkowników i kontrolowanie dostępu

Ochrona dostępu do informacji o klientach, dokumentów finansowych i aplikacji zaczyna się od silnego zabezpieczania tożsamości użytkowników. Wymaga to bezpiecznej platformy dla przedsiębiorstwa do przechowywania tożsamości i zarządzania nimi, zapewniania zaufanych środków uwierzytelniania oraz dynamicznego kontrolowania dostępu do tych aplikacji.

Gdy pracownicy pracują, mogą przechodzić z aplikacji do aplikacji lub między wieloma lokalizacjami i urządzeniami. Dostęp do danych musi być uwierzytelniony w każdym kroku po drodze. Proces uwierzytelniania musi obsługiwać silny protokół i wiele czynników uwierzytelniania (takich jak jednorazowy kod dostępu SMS, aplikacja wystawcy uwierzytelniania i certyfikat), aby zapewnić, że tożsamości nie zostaną naruszone. Wymuszanie zasad dostępu opartych na ryzyku ma kluczowe znaczenie dla ochrony danych finansowych i aplikacji przed zagrożeniami wewnętrznymi, niezamierzonymi wyciekami danych i eksfiltracją danych.

Platforma Microsoft 365 zapewnia bezpieczną platformę tożsamości w Tożsamość Microsoft Entra, gdzie tożsamości są centralnie przechowywane i bezpiecznie zarządzane. Tożsamość Microsoft Entra wraz z szeregiem powiązanych usług zabezpieczeń platformy Microsoft 365 stanowi podstawę do zapewnienia pracownikom dostępu, którego potrzebują do bezpiecznej pracy, jednocześnie chroniąc organizację przed zagrożeniami.

Microsoft Entra uwierzytelnianie wieloskładnikowe (MFA) jest wbudowane w platformę i zapewnia dodatkowy dowód uwierzytelniania ułatwiający potwierdzenie tożsamości użytkownika podczas uzyskiwania dostępu do poufnych danych finansowych i aplikacji. Usługa Azure MFA wymaga co najmniej dwóch form uwierzytelniania, takich jak hasło i znane urządzenie przenośne. Obsługuje ona kilka opcji uwierzytelniania drugiego czynnika, w tym:

  • Aplikacja Microsoft Authenticator
  • Jednorazowy kod dostępu dostarczany za pośrednictwem wiadomości SMS
  • Połączenie telefoniczne, w którym użytkownik musi wprowadzić numer PIN

Jeśli hasło zostanie w jakiś sposób naruszone, potencjalny haker nadal będzie potrzebował telefonu użytkownika, aby uzyskać dostęp do danych organizacji. Ponadto platforma Microsoft 365 używa nowoczesnego uwierzytelniania jako kluczowego protokołu, który zapewnia takie samo silne i bogate środowisko uwierzytelniania z przeglądarek internetowych do narzędzi do współpracy, z których pracownicy korzystają z dnia na dzień, w tym programu Microsoft Outlook i innych aplikacji pakietu Microsoft Office.

Bez hasła

Hasła to najsłabsze łącze w łańcuchu zabezpieczeń. Mogą to być pojedyncze punkty awarii, jeśli nie ma dodatkowej weryfikacji. Firma Microsoft obsługuje szeroką gamę opcji uwierzytelniania dostosowanych do potrzeb instytucji finansowych.

Metody bez hasła ułatwiają użytkownikom uwierzytelnianie wieloskładnikowe. Chociaż nie wszystkie uwierzytelnianie wieloskładnikowe jest bez hasła, technologie bez hasła wykorzystują uwierzytelnianie wieloskładnikowe. Firma Microsoft, Google i inni liderzy branży opracowali standardy umożliwiające prostsze i silniejsze środowisko uwierzytelniania na urządzeniach internetowych i przenośnych w grupie o nazwie Fast IDentity Online (FIDO). Niedawno opracowana norma FIDO2 umożliwia użytkownikom łatwe i bezpieczne uwierzytelnianie bez konieczności używania hasła w celu wyeliminowania wyłudzania informacji.

Metody uwierzytelniania wieloskładnikowego firmy Microsoft, które są bez hasła, obejmują:

  • Microsoft Authenticator: aby uzyskać elastyczność, wygodę i koszt, zalecamy korzystanie z aplikacji mobilnej Microsoft Authenticator. Program Microsoft Authenticator obsługuje dane biometryczne, powiadomienia wypychane i jednorazowe kody dostępu dla każdej Microsoft Entra połączonej aplikacji. Jest ona dostępna w sklepach z aplikacjami Apple i Android.
  • Windows Hello: W przypadku wbudowanego środowiska na komputerze zalecamy używanie Windows Hello. Używa ona informacji biometrycznych (takich jak twarz lub odcisk palca) do automatycznego logowania.
  • Klucze zabezpieczeń FIDO2 są teraz dostępne od kilku partnerów firmy Microsoft: Yubico, Feitian Technologies i HID Global w wskaźniku USB, wskaźniku z obsługą NFC lub kluczu biometrycznym.

Microsoft Entra dostęp warunkowy zapewnia niezawodne rozwiązanie do automatyzowania decyzji dotyczących kontroli dostępu i wymuszania zasad organizacyjnych w celu ochrony zasobów firmy. Klasycznym przykładem jest to, że planista finansowy chce uzyskać dostęp do aplikacji zawierającej poufne dane klienta. Są one automatycznie wymagane do przeprowadzenia uwierzytelniania wieloskładnikowego w celu uzyskania dostępu do tej aplikacji, a dostęp musi pochodzić z urządzenia zarządzanego przez firmę. Dostęp warunkowy platformy Azure łączy sygnały dotyczące żądania dostępu użytkownika, takie jak właściwości użytkownika, urządzenia, lokalizacji i sieci oraz aplikacji, do których użytkownik próbuje uzyskać dostęp. Dynamicznie ocenia próby uzyskania dostępu do aplikacji w stosunku do skonfigurowanych zasad. Jeśli ryzyko związane z użytkownikiem lub urządzeniem jest podwyższone lub inne warunki nie są spełnione, Tożsamość Microsoft Entra może automatycznie wymuszać zasady, takie jak wymaganie uwierzytelniania wieloskładnikowego, wymaganie bezpiecznego resetowania hasła lub ograniczanie lub blokowanie dostępu. Pomaga to zapewnić ochronę poufnych zasobów organizacyjnych w dynamicznie zmieniających się środowiskach.

Tożsamość Microsoft Entra i powiązane usługi zabezpieczeń platformy Microsoft 365 stanowią podstawę, na której można wdrożyć nowoczesną platformę współpracy w chmurze dla instytucji finansowych, aby można było zabezpieczyć dostęp do danych i aplikacji oraz spełnić obowiązki regulatora zgodności. Te narzędzia zapewniają następujące kluczowe możliwości:

  • Centralnie przechowuj tożsamości użytkowników i zarządzaj nimi.
  • Użyj silnego protokołu uwierzytelniania, w tym uwierzytelniania wieloskładnikowego, aby uwierzytelnić użytkowników na żądaniach dostępu i zapewnić spójne i niezawodne środowisko uwierzytelniania we wszystkich aplikacjach.
  • Dynamiczne weryfikowanie zasad we wszystkich żądaniach dostępu, dołączanie wielu sygnałów do procesu podejmowania decyzji dotyczących zasad, w tym tożsamości, członkostwa użytkowników/grup, aplikacji, urządzenia, sieci, lokalizacji i oceny ryzyka w czasie rzeczywistym.
  • Weryfikuj szczegółowe zasady na podstawie zachowania użytkownika i właściwości pliku oraz w razie potrzeby dynamicznie wymuszaj dodatkowe środki bezpieczeństwa.
  • Zidentyfikuj "shadow IT" w organizacji i zezwól zespołom InfoSec na nakładanie sankcji lub blokowanie aplikacji w chmurze.
  • Monitorowanie i kontrolowanie dostępu do aplikacji w chmurze firmy Microsoft i innych firm.
  • Proaktywna ochrona przed wyłudzaniem informacji za pomocą poczty e-mail i atakami wymuszającym okup.

Ochrona tożsamości Microsoft Entra

Chociaż dostęp warunkowy chroni zasoby przed podejrzanymi żądaniami, usługa Identity Protection idzie dalej, zapewniając ciągłe wykrywanie ryzyka i korygowanie podejrzanych kont użytkowników. Usługa Identity Protection informuje o podejrzanym zachowaniu użytkownika i logowania w środowisku przez całą dobę. Jego automatyczna reakcja proaktywnie zapobiega nadużywaniu naruszeń tożsamości.

Identity Protection to narzędzie, które umożliwia organizacjom wykonywanie trzech kluczowych zadań:

  • Automatyzowanie wykrywania i korygowania zagrożeń opartych na tożsamościach.
  • Badanie ryzyka przy użyciu danych w portalu.
  • Eksportuj dane wykrywania ryzyka do narzędzi innych firm w celu dalszej analizy.

Usługa Identity Protection korzysta z wiedzy uzyskanej przez firmę Microsoft z jej pozycji w organizacjach z Tożsamość Microsoft Entra, w przestrzeni konsumentów przy użyciu kont Microsoft oraz w grach z konsolą Xbox, aby chronić użytkowników. Firma Microsoft analizuje 65 bilionów sygnałów dziennie, aby identyfikować i chronić klientów przed zagrożeniami. Sygnały generowane przez usługę Identity Protection i przekazywane do niej mogą być dodatkowo przekazywane do narzędzi, takich jak dostęp warunkowy w celu podejmowania decyzji dotyczących dostępu. Mogą one również zostać przekazane z powrotem do narzędzia do zarządzania informacjami o zabezpieczeniach i zdarzeniami (SIEM) w celu dalszego zbadania na podstawie wymuszonych zasad organizacji.

Usługa Identity Protection pomaga organizacjom automatycznie chronić przed naruszeniami tożsamości dzięki wykorzystaniu analizy w chmurze opartej na zaawansowanym wykrywaniu opartym na heurystyce, analizie zachowań użytkowników i jednostek (UEBA) oraz uczeniu maszynowym (ML) w ekosystemie firmy Microsoft.

Pięć pracowników przetwarzający informacje watch jako inny daje prezentację.

Identyfikowanie poufnych danych i zapobieganie utracie danych

Platforma Microsoft 365 umożliwia wszystkim organizacjom identyfikowanie poufnych danych w organizacji za pomocą kombinacji zaawansowanych możliwości, w tym:

  • Microsoft Purview Information Protection klasyfikacji opartej na użytkownikach i zautomatyzowanej klasyfikacji danych poufnych.
  • Ochrona przed utratą danych w Microsoft Purview (DLP) do automatycznej identyfikacji danych poufnych przy użyciu poufnych typów danych (innymi słowy wyrażeń regularnych) oraz słów kluczowych i wymuszania zasad.

Microsoft Purview Information Protection umożliwia organizacjom inteligentne klasyfikowanie dokumentów i wiadomości e-mail przy użyciu etykiet poufności. Etykiety poufności mogą być stosowane ręcznie przez użytkowników do dokumentów w aplikacjach pakietu Microsoft Office i do wiadomości e-mail w programie Outlook. Etykiety mogą automatycznie stosować oznaczenia dokumentów, ochronę za pomocą szyfrowania i wymuszanie zarządzania prawami. Etykiety poufności można również stosować automatycznie, konfigurując zasady, które używają słów kluczowych i poufnych typów danych (takich jak numery kart kredytowych, numery ubezpieczenia społecznego i numery tożsamości), aby automatycznie znajdować i klasyfikować dane poufne.

Ponadto firma Microsoft udostępnia "klasyfikatory z możliwością trenowania", które używają modeli uczenia maszynowego do identyfikowania poufnych danych na podstawie zawartości, w przeciwieństwie do po prostu dopasowania wzorca lub elementów w zawartości. Klasyfikator uczy się, jak zidentyfikować typ zawartości, przeglądając wiele przykładów zawartości do sklasyfikowania. Trenowanie klasyfikatora rozpoczyna się od podania przykładów zawartości w określonej kategorii. Po zapoznaniu się z tymi przykładami model jest testowany przez nadanie mu kombinacji zgodnych i niezgodnych przykładów. Klasyfikator przewiduje, czy dany przykład należy do kategorii, czy nie. Następnie osoba potwierdza wyniki, sortując wyniki dodatnie, ujemne, fałszywie dodatnie i fałszywie ujemne, aby zwiększyć dokładność przewidywań klasyfikatora. Po opublikowaniu wytrenowanego klasyfikatora przetwarza zawartość w Microsoft Office SharePoint Online, Exchange Online i OneDrive dla Firm oraz automatycznie klasyfikuje zawartość.

Zastosowanie etykiet poufności do dokumentów i wiadomości e-mail osadza metadane identyfikujące wybraną czułość w obiekcie. Następnie czułość jest przenoszona wraz z danymi. Dlatego nawet jeśli dokument z etykietą jest przechowywany na pulpicie użytkownika lub w systemie lokalnym, nadal jest chroniony. Ta funkcja umożliwia innym rozwiązaniu platformy Microsoft 365, takim jak Microsoft Defender for Cloud Apps lub urządzenia brzegowe sieci, identyfikowanie poufnych danych i automatyczne wymuszanie mechanizmów kontroli zabezpieczeń. Etykiety poufności mają dodatkową zaletę informowania pracowników o tym, które dane w organizacji są uważane za poufne i jak obsługiwać te dane po ich otrzymaniu.

Ochrona przed utratą danych w Microsoft Purview (DLP) automatycznie identyfikuje dokumenty, wiadomości e-mail i konwersacje zawierające dane poufne, skanując je pod kątem danych poufnych, a następnie wymuszając zasady dotyczące tych obiektów. Zasady są wymuszane w dokumentach w programie SharePoint i OneDrive dla Firm. Są one również wymuszane, gdy użytkownicy wysyłają wiadomości e-mail, a także w czatach i konwersacjach na kanale w usłudze Teams. Zasady można skonfigurować do wyszukiwania słów kluczowych, poufnych typów danych, etykiet przechowywania oraz tego, czy dane są współużytkowane w organizacji, czy na zewnątrz. Dostępne są mechanizmy kontroli ułatwiające organizacjom dostosowywanie zasad DLP w celu zmniejszenia liczby wyników fałszywie dodatnich. Po znalezieniu poufnych danych można wyświetlić użytkownikom w aplikacjach platformy Microsoft 365 wskazówki dotyczące konfigurowalnych zasad, aby poinformować ich, że ich zawartość zawiera dane poufne, a następnie zaproponować działania naprawcze. Zasady mogą również uniemożliwiać użytkownikom dostęp do dokumentów, udostępnianie dokumentów lub wysyłanie wiadomości e-mail zawierających określone typy danych poufnych. Platforma Microsoft 365 obsługuje ponad 100 wbudowanych poufnych typów danych. Organizacje mogą konfigurować niestandardowe typy danych poufnych w celu spełnienia ich zasad.

Wprowadzenie zasad Microsoft Purview Information Protection i DLP dla organizacji wymaga starannego planowania i programu edukacji użytkowników, aby pracownicy zrozumieli schemat klasyfikacji danych organizacji i typy danych uważane za poufne. Zapewnienie pracownikom narzędzi i programów edukacyjnych, które pomagają im identyfikować poufne dane i zrozumieć, jak sobie z nimi radzić, czyni je częścią rozwiązania w celu ograniczenia zagrożeń bezpieczeństwa informacji.

Sygnały generowane przez usługę Identity Protection i przekazywane do niej mogą być również przekazywane do narzędzi, takich jak dostęp warunkowy do podejmowania decyzji dotyczących dostępu, lub do narzędzia do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) na potrzeby badania na podstawie wymuszonych zasad organizacji.

Usługa Identity Protection pomaga organizacjom automatycznie chronić przed naruszeniami tożsamości dzięki wykorzystaniu analizy w chmurze opartej na zaawansowanych wykrywaniach opartych na heurystyce, analizie zachowań użytkowników i jednostek oraz uczeniu maszynowym w ekosystemie firmy Microsoft.

Pracownik informacyjny jest na zdjęciu przed dużą tablicą monitorów.

Bronić twierdzy

Firma Microsoft niedawno uruchomiła rozwiązanie Microsoft Defender XDR, które ma na celu zabezpieczenie nowoczesnej organizacji przed ewoluującym krajobrazem zagrożeń. Dzięki wykorzystaniu funkcji Intelligent Security Graph rozwiązanie Do ochrony przed zagrożeniami oferuje kompleksowe, zintegrowane zabezpieczenia przed wieloma wektorami ataków.

Graf inteligentnych zabezpieczeń

Usługi zabezpieczeń z platformy Microsoft 365 są obsługiwane przez program Intelligent Security Graph. Aby zwalczać cyberoszerość, program Intelligent Security Graph wykorzystuje zaawansowaną analizę do łączenia analizy zagrożeń i sygnałów bezpieczeństwa od firmy Microsoft i jej partnerów. Firma Microsoft obsługuje globalne usługi na masową skalę, zbierając biliony sygnałów bezpieczeństwa, które zapewniają ochronę przed energią w stosie. Modele uczenia maszynowego oceniają tę analizę, a szczegółowe informacje o sygnałach i zagrożeniach są szeroko udostępniane w naszych produktach i usługach. Dzięki temu możemy szybko wykrywać zagrożenia i reagować na nie oraz wysyłać klientom alerty i informacje umożliwiające podjęcie działań w celu ich korygowania. Nasze modele uczenia maszynowego są stale wytrenowane i aktualizowane przy użyciu nowych szczegółowych informacji, co pomaga nam tworzyć bezpieczniejsze produkty i zapewniać bardziej proaktywne zabezpieczenia.

Ochrona usługi Office 365 w usłudze Microsoft Defender udostępnia zintegrowaną usługę platformy Microsoft 365, która chroni organizacje przed złośliwymi linkami i złośliwym oprogramowaniem dostarczanym za pośrednictwem poczty e-mail i dokumentów pakietu Office. Jednym z najczęstszych wektorów ataków, który ma obecnie wpływ na użytkowników, są ataki wyłudzające informacje za pomocą poczty e-mail. Te ataki mogą być skierowane do konkretnych użytkowników i mogą być bardzo przekonujące, z pewnym wywołaniem działania, które monituje użytkownika o wybranie złośliwego linku lub otwarcie załącznika zawierającego złośliwe oprogramowanie. Po zainfekowaniu komputera osoba atakująca może ukraść poświadczenia użytkownika i przenieść się później w całej organizacji lub eksfiltrować wiadomości e-mail i dane w celu wyszukania poufnych informacji. Ochrona usługi Office 365 w usłudze Defender obsługuje bezpieczne załączniki i bezpieczne linki, oceniając dokumenty i linki po kliknięciu pod kątem potencjalnie złośliwych intencji i blokując dostęp. Email załączniki są otwierane w chronionej piaskownicy przed ich dostarczeniem do skrzynki pocztowej użytkownika. Ocenia również linki w dokumentach pakietu Office pod kątem złośliwych adresów URL. Ochrona usługi Office 365 w usłudze Defender chroni również linki i pliki w usługach SharePoint Online, OneDrive dla Firm i Teams. Jeśli zostanie wykryty złośliwy plik, Ochrona usługi Office 365 w usłudze Defender automatycznie blokuje ten plik w celu zmniejszenia potencjalnych uszkodzeń.

Ochrona punktu końcowego w usłudze Microsoft Defender jest ujednoliconą platformą zabezpieczeń punktu końcowego do ochrony zapobiegawczej, wykrywania po naruszeniu zabezpieczeń oraz zautomatyzowanego badania i reagowania. Usługa Defender for Endpoint zapewnia wbudowane możliwości odnajdywania i ochrony poufnych danych w punktach końcowych przedsiębiorstwa.

Microsoft Defender for Cloud Apps umożliwia organizacjom wymuszanie zasad na poziomie szczegółowym i wykrywanie anomalii behawioralnych na podstawie profilów poszczególnych użytkowników, które są automatycznie definiowane przy użyciu uczenia maszynowego. Zasady usługi Defender for Cloud Apps mogą opierać się na zasadach dostępu warunkowego platformy Azure, aby chronić poufne zasoby firmy, oceniając dodatkowe sygnały związane z zachowaniem użytkowników i właściwościami dokumentów, do których uzyskuje się dostęp. Z biegiem czasu usługa Defender for Cloud Apps uczy się, jakie jest typowe zachowanie każdego pracownika w odniesieniu do danych, do których uzyskuje dostęp, i używanych przez niego aplikacji. Na podstawie wzorców poznanych zachowań zasady mogą następnie automatycznie wymuszać mechanizmy kontroli zabezpieczeń, jeśli pracownik działa poza tym profilem behawioralnym. Jeśli na przykład pracownik zwykle uzyskuje dostęp do aplikacji księgowej od 9:00 do 17:00 od poniedziałku do piątku, ale nagle zaczyna intensywnie uzyskiwać dostęp do tej aplikacji w niedzielę wieczorem, usługa Defender for Cloud Apps może dynamicznie wymuszać zasady, aby wymagać od użytkownika ponownego uwierzytelnienia. Pomaga to zapewnić, że poświadczenia użytkownika nie zostały naruszone. Usługa Defender for Cloud Apps może również pomóc w identyfikacji "w tle it" w organizacji, co pomaga zespołom ds. zabezpieczeń informacji zapewnić, że pracownicy korzystają z zaakceptowanych narzędzi podczas pracy z poufnymi danymi. Na koniec usługa Defender for Cloud Apps może chronić poufne dane w dowolnym miejscu w chmurze, nawet poza platformą Microsoft 365. Umożliwia to organizacjom nakładanie sankcji (lub niesankcjonowanie) określonych zewnętrznych aplikacji w chmurze, kontrolowanie dostępu i monitorowanie użycia.

Microsoft Defender for Identity to oparte na chmurze rozwiązanie zabezpieczeń, które używa sygnałów lokalna usługa Active Directory do identyfikowania, wykrywania i badania zaawansowanych zagrożeń, tożsamości z naruszeniem zabezpieczeń i złośliwych akcji wewnętrznych skierowanych do organizacji. Usługa AATP umożliwia analitykom secop i specjalistom ds. zabezpieczeń wykrywanie zaawansowanych ataków w środowiskach hybrydowych w celu:

  • Monitorowanie użytkowników, zachowania jednostek i działań przy użyciu analizy opartej na uczeniu się.
  • Ochrona tożsamości użytkowników i poświadczeń przechowywanych w usłudze Active Directory.
  • Identyfikowanie i badanie podejrzanych działań użytkowników i zaawansowanych ataków w całym łańcuchu zabijania.
  • Podaj jasne informacje o zdarzeniach na prostej osi czasu w celu szybkiego klasyfikowania.

Pracownicy biurowi spotykają się w małej sali konferencyjnej. Jeden daje prezentację.

Zarządzanie danymi i zarządzanie rekordami

Instytucje finansowe muszą przechowywać swoje rejestry i informacje zgodnie ze swoimi zobowiązaniami regulacyjnymi, prawnymi i biznesowymi, zgodnie z harmonogramem przechowywania przedsiębiorstw. Na przykład sec nakazuje okresy przechowywania od trzech do sześciu lat, w oparciu o typ rekordu, z natychmiastową dostępnością przez pierwsze dwa lata. Organizacje stoją w obliczu ryzyka zgodności z przepisami i prawnymi, jeśli dane są zaniżone (zbyt wcześnie odrzucone), a teraz zarządzają również przepisami, które nakazują usuwanie, gdy informacje nie są już wymagane. Efektywne strategie zarządzania rekordami podkreślają praktyczne i spójne podejście, dzięki czemu informacje są odpowiednio usuwane przy jednoczesnym zminimalizowaniu kosztów i ryzyka dla organizacji.

Ponadto mandaty regulacyjne Departamentu Usług Finansowych Stanu Nowy Jork wymagają podmiotów objętych obsługą zasad i procedur usuwania informacji niepublicznych. 23 NYCRR 500, sekcja 500.13, Ograniczenia dotyczące przechowywania danych wymagają, aby "W ramach programu cyberbezpieczeństwa każdy podmiot objęty ochroną bezpieczeństwa powinien zawierać zasady i procedury dotyczące bezpiecznego usuwania na podstawie okresowych informacji niepublicznych określonych w sekcji 500.01(g)(2)-(3) tej części, która nie jest już niezbędna dla działalności gospodarczej lub dla innych uzasadnionych celów biznesowych podmiotu objętego ochroną, z wyjątkiem przypadków, gdy takie informacje są w inny sposób wymagane do zachowania przez prawo lub rozporządzenie".

Instytucje finansowe zarządzają ogromnymi ilościami danych. Niektóre okresy przechowywania są wyzwalane przez zdarzenia, takie jak wygaśnięcie umowy lub opuszczenie organizacji przez pracownika. W tej atmosferze stosowanie zasad przechowywania rekordów może być trudne. Podejścia do dokładnego przypisywania okresów przechowywania rekordów w dokumentach organizacyjnych mogą się różnić. Niektóre z nich stosują zasady przechowywania szeroko lub używają technik autoklasyfikacji i uczenia maszynowego. Inne identyfikują podejście, które wymaga bardziej szczegółowego procesu, który jednoznacznie przypisuje okresy przechowywania do poszczególnych dokumentów.

Platforma Microsoft 365 oferuje elastyczne możliwości definiowania etykiet i zasad przechowywania w celu inteligentnego wdrażania wymagań dotyczących zarządzania rekordami. Menedżer rekordów definiuje etykietę przechowywania, która reprezentuje "typ rekordu" w tradycyjnym harmonogramie przechowywania. Etykieta przechowywania zawiera ustawienia definiujące następujące szczegóły:

  • Jak długo rekord jest zachowywany
  • Co się dzieje, gdy okres przechowywania wygaśnie (usuń dokument, rozpocznij przegląd dyspozycji lub nie podejmij żadnych działań)
  • Co wyzwala rozpoczęcie okresu przechowywania (data utworzenia, data ostatniej modyfikacji, data oznaczona etykietą lub zdarzenie) i oznacza dokument lub wiadomość e-mail jako rekord (co oznacza, że nie można go edytować ani usunąć)

Etykiety przechowywania są następnie publikowane w witrynach programu SharePoint lub OneDrive, skrzynkach pocztowych programu Exchange i grupach platformy Microsoft 365. Użytkownicy mogą ręcznie stosować etykiety przechowywania do dokumentów i wiadomości e-mail. Menedżerowie rekordów mogą używać analizy do automatycznego stosowania etykiet. Inteligentne możliwości mogą opierać się na dziewięćdziesiąt plus wbudowane typy informacji poufnych (takich jak numer wyjścia ABA, numer konta bankowego USA lub numer ubezpieczenia społecznego USA). Można je również dostosowywać na podstawie słów kluczowych lub poufnych danych znalezionych w dokumentach lub wiadomościach e-mail, takich jak numery kart kredytowych lub inne dane osobowe lub na podstawie metadanych programu SharePoint. W przypadku danych, które nie są łatwo identyfikowane za pomocą ręcznego lub zautomatyzowanego dopasowywania wzorców, klasyfikatory z możliwością trenowania mogą służyć do inteligentnego klasyfikowania dokumentów w oparciu o techniki uczenia maszynowego.

Komisja Papierów Wartościowych i Giełd (SEC) wymaga, aby broker-dealerzy i inne regulowane instytucje finansowe zachowały całą komunikację związaną z działalnością gospodarczą. Te wymagania dotyczą wielu typów komunikacji i danych, w tym wiadomości e-mail, dokumentów, wiadomości błyskawicznych, faksów i innych. Reguła SEC 17a-4 definiuje kryteria, które te organizacje muszą spełnić, aby przechowywać rekordy w elektronicznym systemie przechowywania danych. W 2003 r. SEC wydało wydanie, które wyjaśniło te wymagania. Zawierała ona następujące kryteria:

  • Dane zachowane przez elektroniczny system magazynowania muszą być nie do ponownego zapisywania i nie można ich wymazywać. Jest to określane jako wymaganie WORM (zapisuj raz, odczytuj wiele).
  • System przechowywania musi mieć możliwość przechowywania danych poza okresem przechowywania wymaganym przez regułę, w przypadku wezwania sądowego lub innego porządku prawnego.
  • Organizacja nie naruszyłaby wymogu określonego w akapicie (f)(2)(ii)(A) reguły, jeśli korzystała z elektronicznego systemu magazynowania, który uniemożliwia zastępowanie, wymazywanie lub w inny sposób zmienianie rekordu w wymaganym okresie przechowywania za pomocą zintegrowanych kodów kontroli sprzętu i oprogramowania.
  • Elektroniczne systemy magazynowania, które jedynie "eliminują" ryzyko zastąpienia lub usunięcia rekordu, na przykład przez poleganie na kontroli dostępu, nie spełniają wymagań reguły.

Aby ułatwić instytucjom finansowym spełnienie wymagań reguły SEC 17a-4, platforma Microsoft 365 oferuje kombinację możliwości związanych ze sposobem przechowywania danych, konfigurowania zasad i przechowywania danych w ramach usługi. Obejmują one:

  • Przechowywanie danych (reguła 17a-4(a), (b)(4)) — etykiety i zasady przechowywania są elastyczne w celu spełnienia potrzeb organizacji i mogą być automatycznie lub ręcznie stosowane do różnych typów danych, dokumentów i informacji. Obsługiwane są różne typy danych i komunikacja, w tym dokumenty w programie SharePoint i OneDrive dla Firm, dane w Exchange Online skrzynkach pocztowych i dane w usłudze Teams.

  • Format nienadający się do ponownego zapisywania, niezdatny do wymazywania (reguła 17a-4(f)(2)(ii)(A)) — funkcja blokady zachowania dla zasad przechowywania umożliwia menedżerom rekordów i administratorom konfigurowanie zasad przechowywania w taki sposób, aby nie można było ich już modyfikować. Uniemożliwia to innym osobom usuwanie, wyłączanie lub modyfikowanie zasad przechowywania w jakikolwiek sposób. Oznacza to, że po włączeniu blokady zachowania nie można jej wyłączyć i nie ma metody, za pomocą której wszelkie dane, do których zostały zastosowane zasady przechowywania, mogą zostać zastąpione, zmodyfikowane lub usunięte w okresie przechowywania. Ponadto nie można skrócić okresu przechowywania. Jednak okres przechowywania można wydłużyć, gdy istnieje wymóg prawny, aby kontynuować przechowywanie danych.

    Gdy blokada zachowania jest stosowana do zasad przechowywania, następujące akcje są ograniczone:

    • Okres przechowywania zasad można tylko zwiększyć. Nie można go skrócić.
    • Użytkowników można dodać do zasad, ale nie można usunąć istniejących użytkowników skonfigurowanych w zasadach.
    • Zasady przechowywania nie mogą zostać usunięte przez żadnego administratora w organizacji.

    Blokada zachowania pomaga zagwarantować, że żaden użytkownik, nawet administratorzy z najwyższym poziomem dostępu uprzywilejowanego, nie może zmieniać ustawień, modyfikować, zastępować ani usuwać przechowywanych danych, zapewniając archiwizowanie w usłudze Microsoft 365 zgodnie ze wskazówkami podanymi w wersji SEC 2003.

  • Jakość, dokładność i weryfikacja magazynu/serializacji i indeksowania danych (reguła 17a-4(f)(2) (ii)(B) i (C)) — Office 365 obciążenia zawierają możliwości automatycznego weryfikowania jakości i dokładności procesu rejestrowania danych na nośnikach magazynu. Ponadto dane są przechowywane przez użycie metadanych i znaczników czasu, aby zapewnić wystarczające indeksowanie, aby umożliwić skuteczne wyszukiwanie i pobieranie danych.

  • Oddzielny magazyn dla zduplikowanych kopii (reguła 17a-4(f)(3(iii)) — usługa Office 365 w chmurze przechowuje zduplikowane kopie danych jako podstawowy aspekt wysokiej dostępności. Jest to realizowane przez implementację nadmiarowości na wszystkich poziomach usługi, w tym na poziomie fizycznym na wszystkich serwerach, na poziomie serwera w centrum danych i na poziomie usługi dla geograficznie rozproszonych centrów danych.

  • Dane do pobrania i dostępne do pobrania (reguła 17a-4(f)(2)(ii)(D)) — Office 365 ogólnie zezwala na wyszukiwanie i pobieranie danych oznaczonych etykietą przechowywania, uzyskiwanie do nich dostępu i pobieranie. Umożliwia ona wyszukiwanie danych w archiwach Exchange Online przy użyciu wbudowanych funkcji zbierania elektronicznych materiałów dowodowych. Dane można następnie pobrać zgodnie z potrzebami w formatach standardowych, w tym EDRML i PST.

  • Wymagania dotyczące inspekcji (reguła 17a-4(f)(3)(v)) — Office 365 zapewnia rejestrowanie inspekcji dla każdej akcji administracyjnej i użytkownika, która modyfikuje obiekty danych, konfiguruje lub modyfikuje zasady przechowywania, przeprowadza wyszukiwanie zbierania elektronicznych materiałów dowodowych lub modyfikuje uprawnienia dostępu. Office 365 prowadzi kompleksowy dziennik inspekcji, w tym dane dotyczące tego, kto wykonał akcję, kiedy została wykonana, szczegóły dotyczące akcji i wykonane polecenia. Dziennik inspekcji może być następnie wyprowadzony i uwzględniony w ramach formalnych procesów inspekcji zgodnie z wymaganiami.

Na koniec reguła 17a-4 wymaga od organizacji przechowywania rekordów dla wielu typów transakcji, tak aby były natychmiast dostępne przez dwa lata. Rekordy muszą być dalej przechowywane przez trzy do sześciu lat z dostępem bez natychmiastowego dostępu. Zduplikowane rekordy muszą być również przechowywane przez ten sam okres w lokalizacji poza lokacją. Funkcje zarządzania rekordami platformy Microsoft 365 umożliwiają przechowywanie rekordów w taki sposób, że nie można ich modyfikować ani usuwać, ale można do nich łatwo uzyskać dostęp przez okres kontrolowany przez menedżera rekordów. Okresy te mogą obejmować dni, miesiące lub lata, w zależności od obowiązków organizacji w zakresie zgodności z przepisami.

Na żądanie firma Microsoft dostarczy zaświadczenie o zgodności z normą SEC 17a-4, jeśli jest to wymagane przez organizację.

Ponadto te możliwości pomagają również firmie Microsoft 365 spełnić wymagania dotyczące magazynowania dla reguły CFTC 1.31(c)-(d) amerykańskiej Komisji Handlu Kontraktami Terminowymi na towary i reguł finra serii 4510 od Financial Industry Regulatory Authority. Łącznie te reguły stanowią najbardziej nakazowe wskazówki na całym świecie dla instytucji finansowych w celu przechowywania dokumentacji.

Dodatkowe szczegóły dotyczące zgodności usługi Microsoft 365 z regułą SEC 17a-4 i innymi przepisami są dostępne w Office 365 — Cohasset Assessment — SEC Rule 17a-4(f) — Immutable Storage for SharePoint, OneDrive, Exchange, Teams i Viva Engage (2022) download document (2022).

Ustanawianie etycznych murów z barierami informacyjnymi

Instytucje finansowe mogą podlegać przepisom, które uniemożliwiają pracownikom na określonych stanowiskach wymianę informacji lub współpracę z innymi rolami. Na przykład funkcja FINRA opublikowała reguły 2241(b)(2)(G), 2242(b)(2) (D), (b)(2)(H)(ii) i (b)(2)(H)(iii), które wymagają od członków:

"G) ustanawia bariery informacyjne lub inne zabezpieczenia instytucjonalne w sposób racjonalny mające na celu zapewnienie, że analitycy badawczi są odizolowani od przeglądu, presji lub nadzoru ze strony osób zaangażowanych w działalność usług bankowości inwestycyjnej lub innych osób, w tym pracowników ds. sprzedaży i handlu, którzy mogą być stronniczy w ocenie lub nadzorze;" i "(H) ustanawiają bariery informacyjne lub inne środki instytucjonalne racjonalnie zaprojektowane w celu zapewnienia, że analitycy badania długu są odizolowani od przegląd, nacisk lub nadzór osób zaangażowanych w: (i) usługi bankowości inwestycyjnej; ii) działalność handlową lub handlową podmiotów zabezpieczeń lub transakcji handlowych; oraz (iii) inne osoby, które mogą być stronnicze w ocenie lub nadzorze;"

Ostatecznie te reguły wymagają od organizacji ustanowienia zasad i wdrożenia barier informacyjnych między rolami zaangażowanymi w usługi bankowe, sprzedaż lub handel z wymiany informacji i komunikacji z analitykami.

Bariery informacyjne umożliwiają ustanawianie etycznych murów w środowisku Office 365, dzięki czemu administratorzy zgodności lub inni autoryzowani administratorzy mogą definiować zasady, które zezwalają na komunikację między grupami użytkowników lub uniemożliwiają komunikację między grupami użytkowników w usłudze Teams. Bariery informacyjne przeprowadzają kontrole określonych akcji, aby zapobiec nieautoryzowanej komunikacji. Bariery informacyjne mogą również ograniczać komunikację w scenariuszach, w których zespoły wewnętrzne pracują nad fuzjami/przejęciami lub poufnymi transakcjami lub pracują z poufnymi informacjami wewnętrznymi, które muszą być mocno ograniczone.

Bariery informacyjne obsługują konwersacje i pliki w usłudze Teams. Mogą one zapobiegać następującym typom akcji związanych z komunikacją, aby pomóc w przestrzeganiu przepisów FINRA:

  • Wyszukiwanie użytkownika
  • Dodawanie członka do zespołu lub dalsze uczestnictwo z innym członkiem w zespole
  • Rozpoczynanie lub kontynuowanie sesji czatu
  • Rozpoczynanie lub kontynuowanie czatu grupowego
  • Zapraszanie kogoś do dołączenia do spotkania
  • Udostępnianie ekranu
  • Umieść połączenie

Implementowanie kontroli nadzoru

Instytucje finansowe są zwykle zobowiązane do ustanowienia i utrzymania funkcji nadzorczej w swoich organizacjach w celu monitorowania działalności pracowników i ułatwienia jej osiągnięcia zgodności z obowiązującymi przepisami dotyczącymi papierów wartościowych. W szczególności FINRA ustanowiła następujące wymagania dotyczące nadzoru:

  • Zasada 3110 FINRA (Nadzór) wymaga od przedsiębiorstw posiadania pisemnych procedur nadzoru w celu nadzorowania działalności swoich pracowników oraz rodzajów przedsiębiorstw, w które się angażuje. Oprócz innych wymagań procedury muszą obejmować:

    • Nadzór nad personelem nadzorczym
    • Przegląd bankowości inwestycyjnej, działalności papierów wartościowych, komunikacji wewnętrznej i dochodzeń wewnętrznych
    • Przegląd transakcji na potrzeby handlu poufnymi informacjami
    • Przegląd korespondencji i skarg

    Procedury muszą opisywać osoby odpowiedzialne za przeglądy, działania nadzorcze wykonywane przez każdą osobę, częstotliwość przeglądania oraz typy dokumentacji lub komunikacji w trakcie przeglądu.

  • Zasada 3120 FINRA (System kontroli nadzoru) wymaga od przedsiębiorstw posiadania systemu zasad i procedur kontroli nadzoru, który weryfikuje ich pisemne procedury nadzoru zgodnie z art. Firmy muszą nie tylko dysponować programami WSP, ale także mieć politykę, która co roku testuje te procedury, aby zweryfikować ich zdolność do zapewnienia zgodności z obowiązującymi przepisami i regulacjami dotyczącymi papierów wartościowych. Metodologie i próbkowanie oparte na ryzyku mogą służyć do definiowania zakresu testowania. Między innymi zasada ta wymaga od firm przedstawienia kierownictwu wyższego szczebla rocznego sprawozdania, które zawiera podsumowanie wyników testów oraz wszelkie istotne wyjątki lub zmienione procedury w odpowiedzi na wyniki testów.

Pracownik biurowy wyświetla wykres i tabele na ekranie, podczas gdy inne osoby spotykają się w tle.

Zgodność w komunikacji

Zgodność w komunikacji w Microsoft Purview jest rozwiązaniem do zapewniania zgodności, które pomaga zminimalizować ryzyko związane z komunikacją, pomagając wykrywać, badać i działać na nieodpowiednich komunikatach w organizacji. Wstępnie zdefiniowane i niestandardowe zasady umożliwiają skanowanie komunikacji wewnętrznej i zewnętrznej pod kątem dopasowań zasad, aby mogły zostać zbadane przez wyznaczonych recenzentów. Recenzenci mogą badać zeskanowaną pocztę e-mail, usługę Microsoft Teams, Viva Engage lub komunikację innych firm w organizacji i podejmować odpowiednie działania, aby upewnić się, że są one zgodne ze standardami wiadomości organizacji.

Zgodność z komunikacją udostępnia raporty, które umożliwiają inspekcję działań przeglądu zasad na podstawie zasad i recenzenta. Dostępne są raporty umożliwiające sprawdzenie, czy zasady działają zgodnie z definicją zasad napisanych w organizacji. Mogą one również służyć do identyfikowania komunikacji wymagającej przeglądu i tych, które nie są zgodne z zasadami firmy. Na koniec wszystkie działania związane z konfigurowaniem zasad i przeglądaniem komunikacji są poddawane inspekcji w Office 365 ujednoliconego dziennika inspekcji. W związku z tym zgodność z komunikatem pomaga również instytucjom finansowym w przestrzeganie reguły FINRA 3120.

Oprócz zgodności z regułami FINRA, zgodność z komunikacją umożliwia organizacjom wykrywanie i działanie w komunikacji, na którą mogą mieć wpływ inne wymagania prawne, zasady firmowe i standardy etyczne. Zgodność z komunikacją zapewnia wbudowane klasyfikatory zagrożeń, nękania i wulgaryzmów, które pomagają zmniejszyć liczbę wyników fałszywie dodatnich podczas przeglądania komunikacji, oszczędzając czas recenzentom podczas procesu badania i korygowania. Umożliwia również organizacjom zmniejszenie ryzyka poprzez wykrywanie komunikacji po przejściu wrażliwych zmian organizacyjnych, takich jak fuzje i przejęcia lub zmiany przywództwa.

Proces roboczy informacji koncentruje się na ekranie.

Ochrona przed eksfiltracją danych i ryzykiem wewnętrznym

Typowym zagrożeniem dla przedsiębiorstw jest eksfiltracja danych lub działanie wyodrębniania danych z organizacji. To ryzyko może być istotnym problemem dla instytucji finansowych ze względu na poufny charakter informacji, do których można uzyskiwać dostęp z dnia na dzień. Wraz z rosnącą liczbą dostępnych kanałów komunikacyjnych i rozprzestrzenianiem się narzędzi do przenoszenia danych, zaawansowane możliwości są zwykle wymagane w celu ograniczenia ryzyka związanego z wyciekami danych, naruszeniami zasad i ryzykiem wewnętrznym.

Zarządzanie ryzykiem wewnętrznym

Włączenie pracowników za pomocą narzędzi do współpracy online, do których można uzyskać dostęp w dowolnym miejscu, z natury niesie ze sobą ryzyko dla organizacji. Pracownicy mogą przypadkowo lub złośliwie wyciekać dane do osób atakujących lub konkurentów. Alternatywnie mogą eksfiltrować dane do użytku osobistego lub pobierać dane z nimi do przyszłego pracodawcy. Scenariusze te stanowią poważne zagrożenie dla instytucji usług finansowych zarówno z punktu widzenia bezpieczeństwa, jak i zgodności. Zidentyfikowanie tych zagrożeń w przypadku ich wystąpienia i ich szybkie ograniczenie wymaga zarówno inteligentnych narzędzi do zbierania danych, jak i współpracy między działami, takimi jak działy prawne, kadrowe i bezpieczeństwo informacji.

Zarządzanie ryzykiem wewnętrznym w Microsoft Purview to rozwiązanie do zapewniania zgodności, które pomaga zminimalizować ryzyko wewnętrzne, umożliwiając wykrywanie, badanie i działanie na złośliwych i niezamierzonych działaniach w organizacji. Zasady ryzyka dotyczącego informacji poufnych umożliwiają definiowanie typów zagrożeń do identyfikowania i wykrywania w organizacji, w tym działania w sprawach i eskalowanie spraw do usługi Microsoft eDiscovery (Premium) w razie potrzeby. Analitycy ryzyka w organizacji mogą szybko podjąć odpowiednie działania, aby upewnić się, że użytkownicy są zgodni ze standardami zgodności organizacji.

Na przykład zarządzanie ryzykiem wewnętrznym może skorelować sygnały z urządzeń użytkownika, takie jak kopiowanie plików na dysk USB lub wysyłanie wiadomości e-mail do osobistego konta e-mail, z działaniami z Usługi online, takimi jak Office 365 e-mail, SharePoint Online, Microsoft Teams lub OneDrive dla Firm, w celu zidentyfikowania wzorców eksfiltracji danych. Może również skorelować te działania z pracownikami opuszczającym organizację, co jest typowym wzorcem eksfiltracji danych. Może wykrywać wiele potencjalnie ryzykownych działań i zachowań w czasie. Gdy pojawiają się typowe wzorce, może ono zgłaszać alerty i pomagać badaczom skupić się na kluczowych działaniach w celu zweryfikowania naruszenia zasad z wysokim poziomem zaufania. Zarządzanie ryzykiem wewnętrznym może pseudo-anonimizować dane od badaczy, aby pomóc w spełnieniu przepisów dotyczących prywatności danych, przy jednoczesnym zachowaniu kluczowych działań, które pomagają im skutecznie przeprowadzić badania. Umożliwia ona badaczom pakowanie i bezpieczne wysyłanie kluczowych danych dotyczących działań do działów kadr i prawnych, zgodnie z typowymi przepływami pracy eskalacji w celu zgłaszania spraw dotyczących działań naprawczych.

Zarządzanie ryzykiem wewnętrznym znacznie zwiększa możliwości organizacji w zakresie wykrywania i badania ryzyka związanego z wewnętrznymi informacjami, jednocześnie umożliwiając organizacjom zachowanie zgodności z przepisami dotyczącymi prywatności danych i podążanie ustalonymi ścieżkami eskalacji, gdy przypadki wymagają działania wyższego poziomu.

Proces roboczy call center w kabinie typów podczas wyświetlania ekranu.

Ograniczenia dzierżawy

Organizacje, które zajmują się danymi poufnymi i kładą ścisły nacisk na zabezpieczenia, zazwyczaj chcą kontrolować zasoby online, do których użytkownicy mogą uzyskiwać dostęp. Jednocześnie chcą włączyć bezpieczną współpracę za pośrednictwem Usługi online, takich jak Office 365. W związku z tym kontrolowanie środowisk Office 365, do których użytkownicy mogą uzyskiwać dostęp, staje się wyzwaniem, ponieważ środowiska Office 365 niezarejestrowanych mogą służyć do eksfiltrowania danych z urządzeń firmowych złośliwie lub nieumyślnie. Tradycyjnie organizacje ograniczają domeny lub adresy IP, do których użytkownicy mogą uzyskiwać dostęp z urządzeń firmowych. Nie działa to jednak w świecie chmury, w którym użytkownicy muszą legalnie uzyskiwać dostęp do usług Office 365.

Platforma Microsoft 365 zapewnia ograniczenia dzierżawy umożliwiające rozwiązanie tego problemu. Ograniczenia dzierżawy można skonfigurować tak, aby ograniczały dostęp pracowników do zewnętrznych dzierżaw Office 365 przedsiębiorstw przy użyciu nieautoryzowanych tożsamości (tożsamości, które nie są częścią katalogu firmowego). Obecnie ograniczenia dzierżawy mają zastosowanie w całej dzierżawie, umożliwiając dostęp tylko do tych dzierżaw, które są wyświetlane na skonfigurowanej liście. Firma Microsoft nadal opracowuje to rozwiązanie, aby zwiększyć stopień szczegółowości kontroli i zwiększyć zapewnianą przez nią ochronę.

GRAFICZNY.

Wniosku

Rozwiązania Microsoft 365 i Teams zapewniają zintegrowane i kompleksowe rozwiązanie dla firm świadczących usługi finansowe, umożliwiając proste, ale zaawansowane funkcje współpracy i komunikacji opartej na chmurze w całym przedsiębiorstwie. Korzystając z technologii zabezpieczeń i zgodności firmy Microsoft 365, instytucje mogą działać w sposób bezpieczniejszy i zgodny z niezawodnymi mechanizmami kontroli zabezpieczeń, aby chronić dane, tożsamości, urządzenia i aplikacje przed różnymi zagrożeniami operacyjnymi, w tym cyberbezpieczeństwem i zagrożeniami wewnętrznymi. Platforma Microsoft 365 zapewnia zasadniczo bezpieczną platformę, na której organizacje usług finansowych mogą osiągnąć więcej, jednocześnie chroniąc swoją firmę, pracowników i klientów.