Belangrijkste overwegingen op het gebied van compliance en beveiliging voor Amerikaanse banken en kapitaalmarkten
Inleiding
Financiële dienstverleners gaan verder dan de meeste commerciële bedrijven wat betreft de vraag naar strenge beveiligings-, compliance- en beheercontroles. De bescherming van gegevens, identiteiten, apparaten en toepassingen is niet alleen essentieel voor hun bedrijf, het is onderhevig aan nalevingsvereisten en richtlijnen van regelgevende instanties zoals de Amerikaanse Securities and Exchange Commission (SEC), de Financial Industry Regulatory Authority (FINRA), de Federal Financial Institutions Examination Council (FFIEC) en de Commodity Futures Trading Commission (CFTC). Daarnaast moeten financiële instellingen zich houden aan wetten zoals Dodd-Frank en de Sarbanes-Oxley Act uit 2002.
In het huidige klimaat van verhoogde waakzaamheid, interne risico's en inbreuken op openbare gegevens, eisen klanten ook een hoog beveiligingsniveau van hun financiële instellingen zodat ze hun persoonlijke gegevens en bankactiva aan hen kunnen toevertrouwen.
Historisch gezien had de behoefte aan uitgebreide controles een directe impact op de IT-systemen en platforms die financiële instellingen gebruiken om intern en extern samen te werken. Tegenwoordig hebben werknemers in de financiële dienstverlening een modern samenwerkingsplatform nodig dat gemakkelijk te gebruiken is. Maar bij financiële services is een flexibele samenwerking moeilijk tussen gebruikers, teams en afdelingen met beveiligings- en compliancecontroles die beleid afdwingen om gebruikers en IT-systemen te beschermen tegen bedreigingen.
In de financiële dienstverlening is zorgvuldige afweging vereist voor de configuratie en implementatie van samenwerkingstools en veiligheidscontroles, waaronder:
- Risicoanalyse voor algemene samenwerking binnen de organisatie en scenario's voor bedrijfsprocessen
- Vereisten voor informatiebescherming en gegevensbeheer
- Cyberbeveiliging en interne bedreigingen
- Wettelijke compliancevereisten
- Andere operationele risico's
Microsoft 365 is een moderne werkplekcloudomgeving die de hedendaagse uitdagingen van financiële dienstverleningsorganisaties kan aanpakken. Veilige en flexibele samenwerking in de hele onderneming wordt gecombineerd met controles en beleidshandhaving om te voldoen aan strikte kaders voor naleving van regelgeving. In dit artikel wordt beschreven hoe u financiële services via het Microsoft 365-platform kunt overzetten naar een modern samenwerkingsplatform, waarbij gegevens en systemen beveiligd blijven conform de regelgeving:
- De productiviteit van organisaties en werknemers mogelijk maken met behulp van Microsoft 365 en Microsoft Teams
- Moderne samenwerking beveiligen met Microsoft 365
- Gevoelige gegevens identificeren en verlies van gegevens voorkomen
- Het bedrijf beschermen
- Gegevens beheren en voldoen aan regelgeving door records effectief te beheren
- Ethische normen met informatiebarrières vaststellen
- Beschermen tegen data-exfiltratie en interne risico's
Als Microsoft-partner heeft Protiviti bijgedragen aan dit artikel door belangrijke feedback te geven.
De volgende downloadbare illustraties vullen dit artikel aan. Woodgrove Bank en Contoso worden gebruikt om aan te tonen hoe de in dit artikel beschreven mogelijkheden kunnen worden toegepast om te voldoen aan algemene regelgevingsvereisten voor financiële services. U kunt deze illustraties aan uw eigen wensen aanpassen.
Illustraties voor informatiebeveiliging en naleving in Microsoft 365
Item | Beschrijving |
---|---|
Engels: Downloaden als EEN PDF | Downloaden als een Visio Japans: Downloaden als PDF | Downloaden als een Visio Laatst bijgewerkt: november 2020 |
Omvat:
|
Versterk de productiviteit van organisaties en medewerkers door Microsoft 365 en Teams te gebruiken
Samenwerking vereist meestal verschillende vormen van communicatie, de mogelijkheid om documenten/gegevens op te slaan en te openen en de mogelijkheid om zo nodig andere toepassingen te integreren. Werknemers in de financiële dienstverlening moeten meestal samenwerken en communiceren met leden van andere afdelingen of teams en soms met externe entiteiten. Daarom kunt u beter geen systemen gebruiken die silo's maken of het delen van informatie bemoeilijken. In plaats daarvan is het beter om platforms en toepassingen te gebruiken waarmee werknemers veilig en volgens bedrijfsbeleid kunnen communiceren, samenwerken en informatie kunnen delen.
Door medewerkers een modern samenwerkingsplatform in de cloud te bieden, kunnen ze tools kiezen en integreren waarmee ze productiever worden en flexibel kunnen werken. Door Teams te gebruiken in combinatie met veiligheidscontroles en beleid voor informatiebeheer die de organisatie beschermen, kunnen uw medewerkers effectief communiceren en samenwerken.
Teams biedt een samenwerkingshub voor de organisatie. Zo kunnen mensen samenwerken aan algemene initiatieven en projecten. Met Teams kunnen teamleden een-op-een en met meerdere partijen chatten, samenwerken aan documenten en bestanden opslaan en delen. Met Teams kunt u ook zakelijke onlinevergaderingen houden via geïntegreerde spraak en video. Teams kan ook worden aangepast met Microsoft-apps, zoals Microsoft Planner, Microsoft Dynamics 365, Power Apps, Power BI en externe line-of-business-toepassingen. Teams is ontworpen voor gebruik door zowel interne teamleden als toegestane externe gebruikers die kunnen deelnemen aan teamkanalen, kunnen deelnemen aan chatgesprekken, toegang hebben tot opgeslagen bestanden en andere toepassingen kunnen gebruiken
Elk Microsoft-team wordt ondersteund door een Microsoft 365-groep. Deze groep wordt beschouwd als de lidmaatschapsservice voor diverse Office 365-services, waaronder Teams. Microsoft 365-groepen worden gebruikt om op een veilige manier onderscheid te maken tussen 'eigenaren' en 'leden' en om de toegang tot verschillende functies binnen Teams te beheren. Als Teams wordt gekoppeld aan de juiste beheerfuncties met regelmatig beheerde toegangscontroles, kunnen alleen leden en eigenaren de geautoriseerde kanalen en functionaliteit gebruiken.
Een veelvoorkomend scenario waarbij Teams financiële services ondersteunt, is bij het uitvoeren van interne projecten of programma's. Veel financiële instellingen, waaronder banken, vermogensbeheerders, kredietverenigingen en verzekeringsmaatschappijen, zijn bijvoorbeeld verplicht om antiwitwas- en andere complianceprogramma's te implementeren. Een multifunctioneel team bestaande uit IT, bedrijfstakken zoals retail- en vermogensbeheer en een eenheid voor financiële misdaadbestrijding, kan nodig zijn om gegevens met elkaar te delen en te communiceren over het programma of specifieke onderzoeken. Vroeger gebruikten deze programma's gedeelde netwerkschijven, maar dit voor diverse uitdagingen zorgen, waaronder:
- Er kan slechts één persoon tegelijk een document bewerken.
- Het beheren van beveiliging is tijdrovend omdat IT meestal moet worden ingeschakeld voor het toevoegen/verwijderen van personen.
- Gegevens blijven veel langer op gedeelde netwerkschijven staan dan nodig of gewenst is.
Teams biedt een samenwerkingsruimte waarin gevoelige klantgegevens veilig kunnen worden opgeslagen en teamleden gevoelige onderwerpen kunnen bespreken. Meerdere leden van het team kunnen één document tegelijk bewerken of hieraan samenwerken. De eigenaar van het programma of de coördinator kan worden geconfigureerd als de teameigenaar en kan vervolgens leden toevoegen en verwijderen.
Een ander algemeen scenario is het gebruik van Teams als 'virtuele gegevensruimte' om veilig samen te werken, waaronder het opslaan en beheren van documenten. Teamleden en syndicaten binnen investeringsbankieren, vermogensbeheer of private-equityfirma's kunnen veilig samenwerken aan een deal of investering. Multifunctionele teams zijn vaak betrokken bij het plannen en uitvoeren van dergelijke deals en de mogelijkheid om veilig gegevens te delen en gesprekken te voeren, is een kernvereiste. Het delen van gerelateerde documenten met externe investeerders is ook een essentiële vereiste. Teams bieden een veilige en volledig controleerbare locatie voor het centraal opslaan, beschermen en delen van investeringsgegevens.
Teams: betere samenwerking en minder compliancerisico
Microsoft 365 biedt andere algemene beleidsmogelijkheden voor Teams door het gebruik van Microsoft 365-groepen als onderliggende lidmaatschapsservice. Met dit beleid kunt u de samenwerking verbeteren en aan de compliancevereisten voldoen.
Het naamgevingsbeleid voor Microsoft 365-groepen zorgt ervoor dat Microsoft 365-groepen, ofwel teams, een naam krijgen volgens het bedrijfsbeleid. Namen kunnen problematisch zijn als ze niet geschikt zijn. Het is bijvoorbeeld mogelijk dat werknemers niet weten voor welke teams ze moeten werken of met welke teams ze informatie kunnen delen als namen niet op de juiste manier worden toegepast. Groepsnaamgevingsbeleid (inclusief ondersteuning voor op voorvoegsel/achtervoegsel gebaseerde beleidsregels en aangepaste geblokkeerde woorden) kan een goede 'hygiëne' afdwingen en het gebruik van specifieke woorden, zoals gereserveerde woorden of ongepaste terminologie, voorkomen.
Het beleid voor het verlopen van Microsoft 365-groepen helpt ervoor te zorgen dat Microsoft 365-groepen, ofwel teams, niet langer worden bewaard dan de organisatie wil of nodig heeft. Met deze functie voorkomt u twee belangrijke problemen met informatiebeheer:
- Wildgroei van teams die niet nodig zijn of niet worden gebruikt.
- Het bewaren van gegevens die niet meer nodig zijn of worden gebruikt door de organisatie (met uitzondering van juridische bewaarplicht/bewaring).
Beheerders kunnen een verloopperiode opgeven voor Microsoft 365-groepen, bijvoorbeeld 90, 180 of 365 dagen. Als een service die wordt ondersteund door een Microsoft 365-groep, inactief is gedurende de vervalperiode, worden groepseigenaren op de hoogte gesteld. Als er geen actie wordt ondernomen, worden de Microsoft 365-groep en alle bijbehorende services, inclusief Teams, verwijderd.
Het bewaren van gegevens die zijn opgeslagen in Teams en andere groepsservices, kan risico's vormen voor financiële dienstverleners. Het verloopbeleid van Microsoft 365-groepen wordt aanbevolen om te voorkomen dat gegevens worden bewaard die niet meer nodig zijn. In combinatie met ingebouwde bewaarlabels en -beleid helpt Microsoft 365 ervoor te zorgen dat organisaties alleen de gegevens bewaren die nodig zijn om te voldoen aan het bedrijfsbeleid en wettelijke complianceverplichtingen.
Teams: eenvoudig aangepaste vereisten integreren
Met Teams kunt u standaard zelf teams maken. Veel gereguleerde organisaties willen echter controleren en begrijpen welke samenwerkingskanalen momenteel door hun werknemers worden gebruikt, welke kanalen mogelijk gevoelige gegevens bevatten en het eigendom van organisatiekanalen zijn. Om deze beheercontroles te vergemakkelijken, kan de organisatie in Microsoft 365 het zelf maken van teams uitschakelen. Door gebruik te maken van automatiseringstools voor bedrijfsprocessen, zoals Microsoft Power Apps en Power Automate, kunnen organisaties eenvoudige formulieren en goedkeuringsprocessen maken en implementeren voor werknemers, zodat ze kunnen aanvragen om een nieuw team te maken. Na goedkeuring kan het team automatisch worden ingericht en een koppeling naar de aanvrager worden gestuurd. Op deze manier kunnen organisaties hun compliancecontroles en aangepaste vereisten ontwerpen en integreren in het teamcreatieproces.
Acceptabele digitale communicatiekanalen
FINRA benadrukt dat de digitale communicatie van gereguleerde bedrijven voldoet aan de archiveringsvereisten van Exchange Act-regels 17a-3 en 17a-4, evenals FINRA-regelserie 4510 . FINRA brengt een jaarverslag uit met belangrijke conclusies, bevindingen en effectieve praktijken op basis waarvan organisaties compliance en risicobeheer kunnen verbeteren. In het rapport over onderzoeksresultaten en bevindingen uit 2019 identificeerde FINRA digitale communicatie als een belangrijk gebied waar bedrijven uitdagingen tegenkomen die voldoen aan de vereisten voor toezicht en archivering.
Als een organisatie haar werknemers toestaat een specifieke toepassing te gebruiken, zoals een app-berichtenservice of samenwerkingsplatform, moet het bedrijf bedrijfsgegevens archiveren en toezicht houden op de activiteiten en communicatie van deze medewerkers in die toepassing. Organisaties zijn verantwoordelijk voor het uitvoeren van due diligence om te voldoen aan de FINRA-regels en effectenwetgeving en voor het opvolgen van mogelijke schendingen van die regels met betrekking tot het gebruik van dergelijke apps door werknemers.
De volgende effectieve praktijken worden onder andere door FINRA aanbevolen:
- Een uitgebreid beheerprogramma opzetten voor digitale communicatiekanalen. De beslissingen van de organisatie beheren over welke digitale communicatiekanalen zijn toegestaan en complianceprocessen voor elk digitaal kanaal definiëren. Het snel veranderende landschap van digitale communicatiekanalen nauwlettend volgen en zorgen dat complianceprocessen up-to-date zijn.
- Toegestane digitale kanalen duidelijk definiëren en controleren. Zowel goedgekeurde als verboden digitale kanalen definiëren. Het gebruik van verboden digitale kanalen of verboden functies binnen digitale kanalen blokkeren of beperken, die de organisatie belemmeren om te voldoen aan archiefbeheer en toezichtvereisten.
- Training geven voor digitale communicatie. Verplichte trainingsprogramma's implementeren voordat u geregistreerde vertegenwoordigers toegang geeft tot goedgekeurde digitale kanalen. Met training kunt u de verwachtingen van een organisatie voor zakelijke en persoonlijke digitale communicatie verduidelijken en IT-medewerkers beter begeleiden bij het gebruik van toegestane functies van elk kanaal.
FINRA's conclusies en bevindingen voor digitale communicatie houden rechtstreeks verband met het vermogen van een organisatie om te voldoen aan SEC-regel 17a-4 voor het bewaren van alle zakelijke communicatie, FINRA-regels 3110 en 3120 voor toezicht op en controle van communicatie en regelserie 4510 voor het bijhouden van gegevens. De Commodity Futures Trading Commission (CFTC) kondigt gelijksoortige vereisten aan onder 17 CFR 131. Deze regelgeving wordt later in dit artikel uitgebreid besproken.
Teams biedt, samen met de uitgebreide suite van Microsoft 365-beveiligings- en nalevingsaanbiedingen, een digitaal communicatiekanaal voor financiële dienstverleners om effectief zaken te doen en te voldoen aan regelgeving. In de rest van dit artikel wordt beschreven hoe de ingebouwde microsoft 365-mogelijkheden voor recordbeheer, informatiebeveiliging, informatiebarrières en toezichtbeheer Teams een robuuste toolset bieden om te voldoen aan deze wettelijke verplichtingen.
Moderne samenwerking beveiligen met Microsoft 365
Gebruikersidentiteiten beveiligen en toegang beheren
Het beveiligen van toegang tot klantgegevens, financiële documenten en toepassingen begint met het sterk beveiligen van gebruikersidentiteiten. Dit vereist een veilig platform voor de onderneming om identiteiten op te slaan en te beheren, een vertrouwd verificatiemiddel te bieden en de toegang tot deze toepassingen dynamisch te beheren.
Tijdens het werk kunnen medewerkers steeds wisselen van toepassing, locatie en apparaat. De toegang tot gegevens moet bij elke stap worden geverifieerd. Het verificatieproces moet ondersteuning bieden voor een sterk protocol en meerdere verificatiefactoren (zoals eenmalige sms-toegangscode, verificatie-app en certificaat) om ervoor te zorgen dat de identiteit niet wordt aangetast. Het afdwingen van op risico gebaseerd toegangsbeleid is van cruciaal belang voor het beschermen van financiële gegevens en toepassingen tegen interne bedreigingen, onopzettelijke gegevenslekken en gegevensexfiltratie.
Microsoft 365 biedt een beveiligd identiteitsplatform in Microsoft Entra ID, waar identiteiten centraal worden opgeslagen en veilig worden beheerd. Microsoft Entra ID vormt, samen met een groot aantal gerelateerde Microsoft 365-beveiligingsservices, de basis om werknemers de toegang te bieden die ze nodig hebben om veilig te werken en tegelijkertijd de organisatie te beschermen tegen bedreigingen.
Microsoft Entra meervoudige verificatie (MFA) is ingebouwd in het platform en biedt een extra verificatiebewijs om de gebruikersidentiteit te bevestigen wanneer ze toegang krijgen tot gevoelige financiële gegevens en toepassingen. Azure MFA vereist ten minste twee vormen van verificatie, zoals een wachtwoord plus een bekend mobiel apparaat. Er worden verschillende opties voor tweestapsverificatie ondersteund, waaronder:
- De Microsoft Authenticator-app
- Een eenmalige toegangscode via sms
- Een telefoontje waarbij een gebruiker een pincode moet invoeren
Als het wachtwoord wordt aangetast, heeft een potentiële hacker de telefoon van de gebruiker nog steeds nodig om toegang te krijgen tot organisatiegegevens. Bovendien gebruikt Microsoft 365 moderne verificatie als een belangrijk protocol, dat dezelfde sterke en rijke verificatie-ervaring van webbrowsers biedt voor de samenwerkingstools die werknemers dagelijks gebruiken, waaronder Microsoft Outlook en de andere Microsoft Office-toepassingen.
Zonder wachtwoord
Wachtwoorden zijn de zwakste schakel in een beveiligingsketen. Ze kunnen het storingspunt zijn als er geen aanvullende verificatie is. Microsoft ondersteunt een groot aantal verificatieopties om aan de behoeften van financiële instellingen tegemoet te komen.
MFA is handiger voor gebruikers via methoden zonder wachtwoord. Hoewel niet alle MFA wachtwoordloos is, maken technologieën zonder wachtwoord gebruik van meervoudige verificatie. Microsoft, Google en andere toonaangevende bedrijven hebben standaarden ontwikkeld om een eenvoudigere, sterkere verificatie-ervaring mogelijk te maken op het web en mobiele apparaten in de groep Fast IDentity Online (FIDO). Met de onlangs ontwikkelde FIDO2-standaard kunnen gebruikers eenvoudig en veilig verifiëren zonder dat een wachtwoord nodig is om phishing te elimineren.
De volgende Microsoft MFA-methoden zonder wachtwoord zijn onder andere beschikbaar:
- Microsoft Authenticator: vanwege de flexibiliteit, het gebruiksgemak en lage kosten raden we u aan de mobiele Microsoft Authenticator-app te gebruiken. Microsoft Authenticator ondersteunt biometrie, pushmeldingen en eenmalige wachtwoordcodes voor elke Microsoft Entra verbonden app. De app is beschikbaar in de Apple App Store en Android App Store.
- Windows Hello: voor een ingebouwde ervaring op de pc raden we u aan Windows Hello te gebruiken. Hierbij wordt gebruikgemaakt van biometrische informatie (zoals gezicht of vingerafdruk) waarmee u automatisch kunt aanmelden.
- FIDO2-beveiligingssleutels zijn nu verkrijgbaar bij verschillende Microsoft-partners: Yubico, Feitian Technologies en HID Global in een USB-badge met NFC of biometrische sleutel.
Microsoft Entra voorwaardelijke toegang biedt een robuuste oplossing voor het automatiseren van beslissingen over toegangsbeheer en het afdwingen van organisatiebeleid om bedrijfsactiva te beveiligen. Een klassiek voorbeeld is een financiële planner die toegang wil krijgen tot een toepassing met gevoelige klantgegevens. Ze moeten automatisch meervoudige verificatie uitvoeren om specifiek toegang te krijgen tot die toepassing. De toegang moet afkomstig zijn van een door het bedrijf beheerd apparaat. Met voorwaardelijke toegang voor Azure worden de signalen van de toegangsaanvraag van een gebruiker samengevoegd, zoals de eigenschappen van de gebruiker, het apparaat, de locatie en het netwerk en de toepassing waartoe de gebruiker toegang probeert te krijgen. Er worden dynamisch pogingen voor toegang tot de toepassing beoordeeld op basis van het geconfigureerde beleid. Als het gebruikers- of apparaatrisico is verhoogd of als niet aan andere voorwaarden wordt voldaan, kunt Microsoft Entra ID automatisch beleidsregels afdwingen, zoals MFA vereisen, een veilig wachtwoord opnieuw instellen of de toegang beperken of blokkeren. Dit helpt ervoor te zorgen dat gevoelige bedrijfsmiddelen worden beschermd in dynamisch veranderende omgevingen.
Microsoft Entra ID en de bijbehorende Microsoft 365-beveiligingsservices vormen de basis waarop een modern samenwerkingsplatform in de cloud kan worden geïmplementeerd voor financiële instellingen, zodat de toegang tot gegevens en toepassingen kan worden beveiligd en nalevingsverplichtingen van toezichthouders kunnen worden nageleefd. Deze tools bieden de volgende belangrijke mogelijkheden:
- Centraal opslaan en veilig beheren van gebruikersidentiteiten.
- Gebruik een sterk verificatieprotocol, inclusief meervoudige verificatie, om gebruikers te verifiëren bij toegangsaanvragen en een consistente en robuuste verificatie-ervaring te bieden voor alle toepassingen.
- Dynamisch valideren van beleid voor alle toegangsaanvragen, waarbij meerdere signalen worden opgenomen in het besluitvormingsproces van het beleid, waaronder identiteit, lidmaatschap van gebruikers/groepen, toepassing, apparaat, netwerk, locatie en realtime risicoscore.
- Gedetailleerd beleid valideren op basis van gebruikersgedrag en bestandseigenschappen en dynamisch aanvullende beveiligingsmaatregelen afdwingen wanneer dat nodig is.
- 'Schaduw-IT' in de organisatie identificeren en InfoSec-teams toestaan om cloudtoepassingen te accepteren of te blokkeren.
- De toegang tot Microsoft- en niet-Microsoft-cloudtoepassingen bewaken en beheren.
- Proactief beschermen tegen phishing- en ransomwareaanvallen via e-mail.
Microsoft Entra ID Protection
Hoewel voorwaardelijke toegang resources beschermt tegen verdachte aanvragen, gaat identiteitsbeveiliging veel verder door het inschakelen van continue risicodetectie en het aanpakken van verdachte gebruikersaccounts. Identity Protection houdt u continu op de hoogte van verdacht gebruikers- en aanmeldingsgedrag in uw omgeving. Via automatische antwoorden voorkomt u proactief misbruik van gecompromitteerde identiteiten.
Identity Protection is een tool waarmee organisaties drie belangrijke taken kunnen uitvoeren:
- Detectie en herstel van op identiteit gebaseerde risico's automatiseren.
- Risico's onderzoeken met behulp van gegevens in de portal.
- Risicodetectiegegevens exporteren naar externe hulpprogramma's voor verdere analyse.
Identity Protection maakt gebruik van de kennis die Microsoft heeft opgedaan vanuit haar positie in organisaties met Microsoft Entra ID, in de consumentenruimte met Microsoft-accounts en in gaming met Xbox om uw gebruikers te beschermen. Microsoft analyseert 65 biljoen signalen per dag om klanten te identificeren en te beschermen tegen bedreigingen. De signalen die worden gegenereerd door en worden ingevoerd in Identity Protection, kunnen verder worden ingevoerd in tools zoals voorwaardelijke toegang om toegangsbeslissingen te nemen. Ze kunnen ook worden teruggekoppeld naar een SIEM-tool (Security Information and Event Management) voor verder onderzoek op basis van het door uw organisatie afgedwongen beleid.
Identity Protection helpt organisaties automatisch te beschermen tegen inbreuk op identiteiten door gebruik te maken van cloudintelligentie met geavanceerde detectie op basis van heuristische functies, gebruikers- en entiteitsgedragsanalyse (UEBA) en machine learning (ML) in het hele Microsoft-ecosysteem.
Gevoelige gegevens identificeren en verlies van gegevens voorkomen
Met Microsoft 365 kunnen alle organisaties gevoelige gegevens binnen de organisatie identificeren door een combinatie van krachtige mogelijkheden, waaronder:
- Microsoft Purview Information Protection voor zowel gebruikersclassificatie als geautomatiseerde classificatie van gevoelige gegevens.
- Microsoft Purview DLP (preventie van gegevensverlies) voor automatische identificatie van gevoelige gegevens met behulp van gevoelige gegevenstypen (met andere woorden, reguliere expressies) en trefwoorden en het afdwingen van beleid.
Met Microsoft Purview Information Protection (MIP) kunnen organisaties documenten en e-mails intelligent classificeren met behulp van gevoeligheidslabels. Gevoeligheidslabels kunnen door gebruikers handmatig worden toegepast op documenten in Microsoft Office-toepassingen en e-mailberichten in Outlook. Met de labels kunnen automatisch documentmarkeringen, bescherming via versleuteling en het afdwingen van rechtenbeheer worden toegepast. U kunt ook automatisch gevoeligheidslabels toepassen door beleid in te stellen waarvoor trefwoorden en gevoelige gegevenstypen worden gebruikt, zoals creditcardnummers, burgerservicenummers en identiteitsnummers, om automatisch gevoelige gegevens te zoeken en te classificeren.
Daarnaast biedt Microsoft 'trainbare classificaties' die gebruikmaken van machine learning modellen om gevoelige gegevens te identificeren op basis van de inhoud, in plaats van eenvoudigweg door patroonvergelijking of door de elementen in de inhoud. Een classificatie leert hoe een inhoudstype moet worden geïdentificeerd door te kijken naar een groot aantal voorbeelden van de inhoud die moet worden geclassificeerd. U kunt een classificatie trainen door voorbeelden van de inhoud van een bepaalde categorie toe te voegen. Nadat het model van deze voorbeelden heeft geleerd, wordt het getest door een combinatie van overeenkomende en niet-overeenkomende voorbeelden in te voeren. De classificatie voorspelt of een bepaald voorbeeld al dan niet in de categorie. Een persoon bevestigt vervolgens de resultaten, waarbij de positieve waarden, negatieve waarden, fout-positieven en fout-negatieven worden gesorteerd om nauwkeurigere voorspellingen te krijgen. Wanneer de getrainde classificatie wordt gepubliceerd, wordt de inhoud van Microsoft SharePoint Online, Exchange Online en OneDrive voor Bedrijven verwerkt en wordt deze automatisch geclassificeerd.
Wanneer u gevoeligheidslabels toepast op documenten en e-mailberichten, worden metagegevens ingesloten waarmee de gekozen gevoeligheid binnen het object wordt geïdentificeerd. Vervolgens wordt de gevoeligheid met de gegevens meeverplaatst. Zelfs als een gelabeld document wordt opgeslagen op de desktop van een gebruiker of in een on-premises systeem, is het nog steeds beveiligd. Met deze functionaliteit kunnen andere Microsoft 365-oplossingen, zoals Microsoft Defender voor Cloud-apps of edge-apparaten voor netwerken, gevoelige gegevens identificeren en automatisch beveiligingscontroles afdwingen. Gevoeligheidslabels hebben het extra voordeel dat medewerkers worden geïnformeerd over welke gegevens binnen een organisatie als gevoelig worden beschouwd en hoe ze met de gegevens moeten omgaan wanneer ze deze ontvangen.
Microsoft Purview DLP (preventie van gegevensverlies) identificeert automatisch documenten, e-mails en gesprekken die gevoelige gegevens bevatten door ze te scannen op gevoelige gegevens en vervolgens beleid af te dwingen voor deze objecten. Beleidsregels worden afgedwongen voor documenten in SharePoint en OneDrive voor Bedrijven. Ze worden ook afgedwongen wanneer gebruikers e-mail verzenden en bij chats en kanaalgesprekken in Teams. Het beleid kan worden geconfigureerd op het zoeken naar trefwoorden, gevoelige gegevenstypen, retentielabels en of gegevens binnen de organisatie of extern worden gedeeld. Met controles kunnen organisaties het DLP-beleid aanpassen om fout-positieven te beperken. Wanneer gevoelige gegevens worden gevonden, kunnen er in Microsoft 365-toepassingen aanpasbare beleidstips worden weergegeven voor gebruikers om hen te laten weten dat hun inhoud gevoelige gegevens bevat, waarna er herstelbewerkingen worden voorgesteld. Met beleid kunt u ook voorkomen dat gebruikers documenten openen of delen of e-mailberichten verzenden die bepaalde typen gevoelige gegevens bevatten. Microsoft 365 biedt ondersteuning voor meer dan 100 ingebouwde gevoelige gegevenstypen. Organisaties kunnen aangepaste gevoelige gegevenstypen configureren om te voldoen aan hun beleid.
Het implementeren van Microsoft Purview Information Protection en DLP-beleid voor organisaties vergt een zorgvuldige planning en een trainingsprogramma voor gebruikers, zodat medewerkers inzicht hebben in het schema voor de gegevensclassificaties van de organisatie en weten welke typen gegevens als gevoelig worden beschouwd. Door werknemers tools en educatieve programma's te bieden waarmee ze gevoelige gegevens kunnen identificeren en begrijpen hoe ze ermee om moeten gaan, maken ze deel uit van de oplossing voor het beperken van informatiebeveiligingsrisico's.
De signalen die worden gegenereerd door en worden ingevoerd in Identity Protection, kunnen ook worden ingevoerd in tools zoals voorwaardelijke toegang om toegangsbeslissingen te nemen of in een tool voor beveiligingsinformatie en gebeurtenisbeheer (SIEM) voor onderzoek op basis van het door de organisatie afgedwongen beleid.
Identity Protection helpt organisaties automatisch te beschermen tegen inbreuk op identiteiten door gebruik te maken van cloudintelligentie met geavanceerde detectie op basis van heuristische functies, gebruikers- en entiteitsgedragsanalyse en machine learning in het hele Microsoft-ecosysteem.
Het bedrijf beschermen
Microsoft heeft onlangs de Microsoft Defender XDR-oplossing gelanceerd, die is ontworpen om de moderne organisatie te beschermen tegen het veranderende bedreigingslandschap. Door gebruik te maken van Intelligent Security Graph, biedt de Threat Protection-oplossing uitgebreide, geïntegreerde beveiliging tegen meerdere aanvalsvectoren.
Intelligent Security Graph
Beveiligingsservices van Microsoft 365 worden mogelijk gemaakt door Intelligent Security Graph. Om cyberbedreigingen te bestrijden, gebruikt Intelligent Security Graph geavanceerde analyses om bedreigingsinformatie en beveiligingssignalen van Microsoft en haar partners te koppelen. Microsoft biedt wereldwijd op grote schaal services aan en verzamelt biljoenen beveiligingssignalen voor alle beschermingslagen. Machine learning-modellen beoordelen deze informatie en de signaal- en dreigingsinzichten worden doorgestuurd naar al onze producten en services. Hierdoor kunnen we snel bedreigingen detecteren en hierop reageren en bruikbare waarschuwingen en informatie naar klanten sturen voor herstelacties. Onze machine learning-modellen worden continu getraind en bijgewerkt met nieuwe inzichten, waardoor we veiligere producten kunnen maken en proactievere beveiliging kunnen bieden.
Microsoft Defender voor Office 365 biedt een geïntegreerde Microsoft 365-service waarmee organisaties worden beschermd tegen schadelijke koppelingen en malware die binnenkomen via e-mail en Office-documenten. Een van de meest voorkomende aanvalsvectoren die momenteel van invloed zijn op gebruikers, is een phishingaanval via e-mail. Deze aanvallen kunnen gericht zijn op specifieke gebruikers en kunnen zeer overtuigend zijn, met een aanroep tot actie die de gebruiker vraagt een schadelijke koppeling te selecteren of een bijlage te openen die malware bevat. Wanneer een computer is geïnfecteerd, kan de kwaadwillende gebruiker de referenties van de gebruiker stelen en ze vervolgens lateraal in de organisatie verplaatsen of kan e-mails en gegevens exfiltreren om te zoeken naar gevoelige informatie. Defender voor Office 365 biedt ondersteuning voor veilige bijlagen en koppelingen door documenten en koppelingen bij het klikken te evalueren op mogelijke schadelijke bedoelingen en de toegang te blokkeren. E-mailbijlagen worden geopend in een beveiligde sandbox voordat ze worden bezorgd in het postvak van een gebruiker. Ook worden koppelingen in Office-documenten geëvalueerd op schadelijke URL's. Defender voor Office 365 biedt bovendien bescherming voor koppelingen en bestanden in SharePoint Online, OneDrive voor Bedrijven en Teams. Als er een schadelijk bestand wordt gedetecteerd, vergrendelt Defender voor Office 365 dat bestand automatisch om mogelijke schade te beperken.
Microsoft Defender voor Eindpunt is een compleet eindpuntbeveiligingsplatform voor preventieve bescherming, detectie van inbreuken, geautomatiseerde onderzoeken en herstelmaatregelen. Defender voor Eindpunt biedt ingebouwde functionaliteit voor ontdekking en bescherming van gevoelige gegevens voor zakelijke eindpunten.
Met Microsoft Defender voor Cloud-apps kunnen organisaties beleid op gedetailleerd niveau afdwingen en gedragsproblemen vaststellen op basis van afzonderlijke gebruikersprofielen die automatisch zijn gedefinieerd via machine learning. Het Defender voor Cloud-apps beleid kan voortbouwen op het Azure-beleid voor voorwaardelijke toegang om gevoelige bedrijfsmiddelen te beschermen door aanvullende signalen te evalueren op gebruikersgedrag en eigenschappen van de documenten waartoe toegang wordt verkregen. Met de tijd leert Defender voor Cloud-apps wat typisch gedrag is voor elke werknemer met betrekking tot de gegevens waartoe ze toegang hebben en de toepassingen die ze gebruiken. Op basis van aangeleerde gedragspatronen kan beleid vervolgens automatisch beveiligingscontroles afdwingen als een medewerker niet volgens dit gedragsprofiel handelt. Als een werknemer bijvoorbeeld meestal van maandag tot en met vrijdag van 9.00 tot 17.00 uur toegang heeft tot een boekhoudtoepassing, maar die toepassing plotseling op zondagavond vaak opent, kan Defender voor Cloud-apps dynamisch een beleid afdwingen, zodat de gebruiker zich opnieuw moet verifiëren. Hierdoor wordt ervoor gezorgd dat de inloggegevens van de gebruiker niet worden aangetast. Defender voor Cloud-apps kan ook helpen bij het identificeren van 'schaduw-IT' in de organisatie. Hierdoor kunnen informatiebeveiligingsteams controleren of medewerkers goedgekeurde hulpprogramma's gebruiken wanneer ze werken met gevoelige gegevens. Ten slotte kan Defender voor Cloud-apps gevoelige gegevens overal in de cloud beveiligen, zelfs buiten het Microsoft 365-platform. Hiermee kunnen organisaties specifieke externe cloud-apps goedkeuren (of weigeren) en de toegang en het gebruik beheren.
Microsoft Defender for Identity is een cloudbeveiligingsoplossing die gebruikmaakt van uw on-premises Active Directory signalen om geavanceerde bedreigingen, gecompromitteerde identiteiten en kwaadwillende acties van binnen uw organisatie te identificeren, te detecteren en te onderzoeken. Met AATP kunnen SecOp-analisten en beveiligingsprofessionals geavanceerde aanvallen in hybride omgevingen detecteren voor het volgende:
- Gebruikers, entiteitsgedrag en activiteiten bewaken met analyses op basis van machine learning.
- Gebruikersidentiteiten en -referenties beveiligen die zijn opgeslagen in Active Directory.
- Verdachte gebruikersactiviteiten en geavanceerde aanvallen in de hele kill chain identificeren en onderzoeken.
- Heldere incidentinformatie verstrekken op een eenvoudige tijdlijn voor snelle sortering.
Gegevens en records beheren
Financiële instellingen moeten hun records en informatie bewaren overeenkomstig hun wettelijke, juridische en zakelijke verplichtingen zoals aangegeven in hun zakelijke bewaarschema. De SEC schrijft bijvoorbeeld een bewaartermijn van drie tot zes jaar voor, gebaseerd op recordtype, met onmiddellijke toegankelijkheid voor de eerste twee jaar. Organisaties lopen risico's op het gebied van naleving van wet- en regelgeving als gegevens niet lang genoeg worden bewaard (te vroeg worden verwijderd) en beheren nu ook regelgeving voor het verwijderen van informatie die niet meer is vereist. Effectieve strategieën voor recordbeheer leggen de nadruk op een praktische en consistente aanpak, zodat informatie op de juiste manier wordt verwijderd en tegelijkertijd de kosten en risico's voor de organisatie worden geminimaliseerd.
Bovendien stellen mandaten van de regelgeving van het New York State Department of Financial Services dat betrokken entiteiten beleidsregels en procedures moeten handhaven voor het verwijderen van niet-openbare informatie. Volgens 23 NYCRR 500, Sectie 500.13, Beperkingen op het bewaren van gegevens moet "Als onderdeel van het cyberveiligheidsprogramma, elke betrokken entiteit beleid en procedures hebben voor de veilige verwijdering op periodieke basis van alle niet-openbare informatie die is aangegeven in sectie 500.01(g)(2)-(3) van dit deel, die niet meer nodig is voor bedrijfsactiviteiten of voor andere wettelijke zakelijke doeleinden van de betrokken entiteit, behalve wanneer dergelijke informatie anderszins wettelijk verplicht moet worden bewaard."
Financiële instellingen beheren grote hoeveelheden gegevens. En sommige bewaarperioden worden geactiveerd door gebeurtenissen, zoals het verlopen van een contract of een medewerker die de organisatie verlaat. In deze gevallen kan het lastig zijn om een bewaarbeleid voor records toe te passen. Methoden voor het nauwkeurig toewijzen van bewaarperioden voor alle organisatiedocumenten kunnen variëren. Sommigen passen bewaarbeleid breed toe of gebruiken technieken voor automatische classificatie en machine learning. Anderen gebruiken een methode waarvoor een gedetailleerder proces nodig is en waarbij een unieke bewaartermijn wordt toegekend aan afzonderlijke documenten.
Microsoft 365 biedt flexibele mogelijkheden voor het definiëren van retentielabels en -beleid om vereisten voor recordbeheer op intelligente wijze te implementeren. Een recordmanager definieert een retentielabel, dat een 'recordtype' vertegenwoordigt in een traditioneel bewaarschema. Het retentielabel bevat instellingen waarmee deze details worden gedefinieerd:
- Hoelang een record wordt bewaard
- Wat er gebeurt wanneer de bewaarperiode is verlopen (het document verwijderen, een verwijderingsbeoordeling starten of geen actie ondernemen)
- Waardoor de bewaarperiode wordt geactiveerd (aanmaakdatum, datum laatst gewijzigd, datum gelabeld of een gebeurtenis) en het document of de e-mail als record wordt gemarkeerd (wat betekent dat het niet kan worden bewerkt of verwijderd)
De retentielabels worden vervolgens gepubliceerd naar SharePoint- en OneDrive-sites, Exchange-postvakken en Microsoft 365-groepen. Gebruikers kunnen de retentielabels handmatig toepassen op documenten en e-mails. Recordbeheerders kunnen intelligentie gebruiken om de labels automatisch toe te passen. Intelligente functionaliteit kan worden gebaseerd op meer dan 90 ingebouwde typen gevoelige informatie (zoals het ABA Outing-nummer, het Amerikaanse bankrekeningnummer of Amerikaanse burgerservicenummer). Deze functionaliteit kan ook worden aangepast op basis van trefwoorden of gevoelige gegevens in documenten of e-mailberichten, zoals creditcardnummers of andere persoonsgegevens die zijn gebaseerd op SharePoint-metagegevens. Voor gegevens die niet gemakkelijk kunnen worden geïdentificeerd door handmatige of geautomatiseerde patroonvergelijking, kunnen trainbare classificaties worden gebruikt om documenten intelligent te classificeren op basis van technieken voor machine learning.
De Securities and Exchange Commission (SEC) vereist dat brokerdealers en andere gereguleerde financiële instellingen alle zakelijke communicatie bewaren. Deze vereisten zijn van toepassing op veel typen communicatie en gegevens, waaronder e-mailberichten, documenten, chatberichten en faxberichten en meer. SEC-regel 17a-4 definieert de criteria waaraan deze organisaties moeten voldoen om records op te slaan in een elektronisch gegevensopslagsysteem. In 2003 bracht de SEC een release uit waarin deze vereisten werden toegelicht. Deze bevat de volgende criteria:
- Gegevens die door een elektronisch opslagsysteem worden bewaard, moeten niet-herschrijfbaar en niet-uitwisbaar zijn. Dit wordt een WORM-vereiste genoemd (één keer schrijven, veel lezen).
- Het opslagsysteem moet gegevens langer kunnen opslaan dan de door de regel vereiste bewaartermijn, in geval van een dagvaarding of een ander gerechtelijk bevel.
- Een organisatie zou de vereiste in paragraaf (f) (2) (ii) (A) van de regel niet overtreden als ze een elektronisch opslagsysteem zou gebruiken dat het overschrijven, wissen of anderszins wijzigen van een record tijdens de vereiste bewaarperiode voorkomt door het gebruik van geïntegreerde hardware- en softwarecontrolecodes.
- Elektronische opslagsystemen die slechts het risico dat een record wordt overschreven of gewist, 'verkleinen', bijvoorbeeld door te vertrouwen op toegangscontrole, voldoen niet aan de vereisten van de regel.
Om financiële instellingen te helpen voldoen aan de vereisten van SEC-regel 17a-4, biedt Microsoft 365 een combinatie van mogelijkheden met betrekking tot het bewaren van gegevens, het configureren van beleid en het opslaan van gegevens binnen de service. Dit zijn onder andere:
Bewaring van gegevens (Regel 17a-4(a), (b)(4)) - retentielabels en bewaarbeleid zijn flexibel om te kunnen voldoen aan de behoeften van de organisatie en kunnen automatisch of handmatig worden toegepast op verschillende typen gegevens, documenten en informatie. Er wordt een groot aantal gegevenstypen en communicaties ondersteund, waaronder documenten in SharePoint en OneDrive voor Bedrijven, gegevens in Exchange Online-postvakken en gegevens in Teams.
Niet-herschrijfbare, niet-wisbare indeling (Regel 17a-4 (f) (2) (II)) - met de functie Behoudvergrendeling voor bewaarbeleidsregels kunnen recordmanagers en -beheerders het bewaarbeleid zo configureren dat het beperkend is, zodat het niet meer kan worden gewijzigd. Hierdoor kan niemand het bewaarbeleid op welke manier dan ook verwijderen, uitschakelen of wijzigen. Dit betekent dat zodra Behoudvergrendeling is ingeschakeld, deze niet kan worden uitgeschakeld en er geen methode is waarmee gegevens waarop het bewaarbeleid is toegepast, tijdens de bewaarperiode kunnen worden overschreven, gewijzigd of verwijderd. Bovendien kan de bewaarperiode niet worden ingekort. De bewaarperiode kan echter wel worden verlengd wanneer er sprake is van wettelijke vereisten om de gegevens te blijven bewaren.
Wanneer een Behoudvergrendeling wordt toegepast op een bewaarbeleid, zijn de volgende acties beperkt:- De bewaarperiode van het beleid kan alleen worden verlengd. Deze kan niet worden ingekort.
- Gebruikers kunnen worden toegevoegd aan het beleid, maar bestaande gebruikers die in het beleid zijn geconfigureerd, kunnen niet worden verwijderd.
- Het bewaarbeleid kan niet worden verwijderd door een beheerder in de organisatie.
Behoudvergrendeling zorgt ervoor dat geen enkele gebruiker, zelfs geen beheerders met de hoogste niveaus van bevoegde toegang, de instellingen kunnen wijzigen of de opgeslagen gegevens kunnen wijzigen, overschrijven of verwijderen, waardoor de archivering in Microsoft 365 in overeenstemming wordt gebracht met de richtlijnen in de SEC 2003-release.
Kwaliteit, nauwkeurigheid en verificatie van opslag/serialisatie en indexering van gegevens (Regel 17a-4(f)(2) (ii)(B) en (C)) - Office 365-workloads bevatten elk functies voor het automatisch verifiëren van de kwaliteit en nauwkeurigheid van het proces voor het vastleggen van gegevens op opslagmedia. Bovendien worden gegevens opgeslagen met metagegevens en tijdstempels om te zorgen voor voldoende indexering, zodat gegevens effectief kunnen worden opgezocht en opgehaald.
Afzonderlijke opslag voor dubbele kopieën (Regel 17a-4(f)(3(III)) - in de Office 365-cloudservice worden dubbele kopieën van gegevens opgeslagen als een kernaspect van de hoge beschikbaarheid. Dit wordt bereikt door redundantie te implementeren op alle niveaus van de service, inclusief het fysieke niveau op alle servers, op serverniveau in het datacenter en op serviceniveau voor geografisch verspreide datacenters.
Downloadbare en toegankelijke gegevens (Regel 17a-4(f)(2)(ii)(D)) - Office 365 staat over het algemeen toe dat gegevens die zijn gelabeld voor bewaring, worden gezocht, geopend en gedownload. Bovendien kan er worden gezocht naar gegevens in Exchange Online-archieven met behulp van ingebouwde eDiscovery-functies. De gegevens kunnen vervolgens zo nodig worden gedownload in standaardindelingen, waaronder EDRML en PST.
Auditvereisten (Regel 17a-4(f)(3)(v)) - Office 365 biedt auditregistratie voor elke beheerders- en gebruikersactie waarbij gegevensobjecten worden gewijzigd, bewaarbeleid wordt geconfigureerd of gewijzigd, eDiscovery-zoekopdrachten worden uitgevoerd of toegangsrechten worden gewijzigd. Office 365 houdt een uitgebreid audittraject bij, inclusief gegevens over wie een actie heeft uitgevoerd, wanneer deze is uitgevoerd, details over de actie en de uitgevoerde opdrachten. Het auditlogboek kan vervolgens worden uitgevoerd en zo nodig worden opgenomen als onderdeel van officiële auditprocessen.
Ten slotte vereist Regel 17a-4 dat organisaties records bewaren voor veel typen transacties, zodat ze onmiddellijk toegankelijk zijn gedurende twee jaar. Records moeten daarna drie tot zes jaar worden bewaard zonder onmiddellijke toegang. Dubbele records moeten ook gedurende deze periode worden bewaard op een externe locatie. Met microsoft 365-mogelijkheden voor recordbeheer kunnen records zodanig worden bewaard dat ze niet kunnen worden gewijzigd of verwijderd, maar eenvoudig toegankelijk zijn gedurende een periode die wordt beheerd door de recordbeheerder. Deze perioden kunnen dagen, maanden of jaren beslaan, afhankelijk van de verplichtingen op het gebied van naleving van de regelgeving voor de organisatie.
Op verzoek zal Microsoft, indien vereist door een organisatie, een attestverklaring van compliance overleggen die voldoet aan SEC 17a-4.
Bovendien helpen deze mogelijkheden Microsoft 365 ook om te voldoen aan de opslagvereisten voor CFTC-regel 1.31(c)-(d) van de U.S. Commodity Futures Trading Commission en FINRA-regel serie 4510 van de Financial Industry Regulatory Authority. Samen vormen deze regels wereldwijd de meest voorschrijvende richtlijn voor financiële instellingen om gegevens te bewaren.
Aanvullende informatie over hoe Microsoft 365 voldoet aan DE SEC-regel 17a-4 en andere regelgeving is beschikbaar in het Office 365 - Cohasset Assessment - SEC-regel 17a-4(f) - Onveranderbare opslag voor SharePoint, OneDrive, Exchange, Teams en Viva Engage (2022).
Ethische normen met informatiebarrières vaststellen
Financiële instellingen kunnen worden onderworpen aan regels die voorkomen dat medewerkers in bepaalde functies informatie uitwisselen of samenwerken met andere functies. FINRA heeft bijvoorbeeld de regels 2241(b)(2)(G), 2242(b)(2) (D), (b)(2)(H)(ii) en (b)(2)(H)(iii) gepubliceerd waarvoor leden het volgende moeten:
"(G) informatieblokkades of andere institutionele waarborgen op te zetten die redelijkerwijs zijn ontworpen om ervoor te zorgen dat onderzoeksanalisten worden geïsoleerd van de toetsing, druk of het toezicht door personen die zich bezighouden met activiteiten op het gebied van investeringsbankservices of andere personen, met inbegrip van verkoop- en handelspersoneel, die vooringenomen kunnen zijn in hun oordeel of toezicht;" en "(H) informatieblokkades of andere institutionele waarborgen vaststellen die redelijkerwijs zijn ontworpen om ervoor te zorgen dat analisten voor schuldonderzoek worden geïsoleerd van de toetsing, druk of het toezicht door personen die zich bezighouden met: (i) investeringsbankdiensten; (ii) belangrijke handel of verkoop en handelsactiviteiten, en (iii) andere personen die vooringenomen kunnen zijn in hun oordeel of toezicht; "
Uiteindelijk vereisen deze regels dat organisaties beleid opstellen en informatiebarrières implementeren tussen functies die zijn betrokken bij bankservices, verkoop of handel door informatie uit te wisselen en te communiceren met analisten.
Met Informatieblokkades kunt u ethische muren creëren binnen uw Office 365-omgeving, waardoor compliancebeheerders of andere geautoriseerde beheerders beleidsregels kunnen definiëren die communicatie tussen groepen gebruikers in Teams toestaan of voorkomen. Met Informatieblokkades wordt gecontroleerd op specifieke acties om niet-geautoriseerde communicatie te voorkomen. Met Informatieblokkades kan ook de communicatie worden beperkt in scenario's waarin interne teams samenwerken aan fusies/overnames of vertrouwelijke deals of werken met gevoelige interne informatie die sterk moet worden beperkt.
Informatieblokkades ondersteunt gesprekken en bestanden in Teams. Hiermee kunnen de volgende typen communicatieactiviteiten worden voorkomen om te voldoen aan de FINRA-regelgeving:
- Een gebruiker zoeken
- Een lid toevoegen aan een team of blijven deelnemen in een team met een ander lid
- Een chatsessie starten of voortzetten
- Een groepschat starten of voortzetten
- Iemand uitnodigen om deel te nemen aan een vergadering
- Een scherm delen
- Een gesprek starten
Toezichtscontrole implementeren
Financiële instellingen moeten doorgaans een toezichthoudende functie binnen hun organisatie tot stand brengen en onderhouden om de activiteiten van medewerkers te bewaken en compliance met toepasselijke effectenwetgeving te realiseren. FINRA heeft met name de volgende toezichtsvereisten ingesteld:
FINRA-regel 3110 (toezicht) vereist dat bedrijven over schriftelijke toezichtprocedures (WSP's) beschikken om toezicht te houden op de activiteiten van hun medewerkers en de typen bedrijven waarmee ze werken. Naast andere vereisten, moeten procedures het volgende omvatten:
- Toezicht op het toezichtspersoneel
- Beoordeling van investeringsbankieren, effectenactiviteiten, interne communicatie en interne onderzoeken van een bedrijf
- Beoordeling van transacties voor handel met voorkennis
- Beoordeling van correspondentie en klachten
Procedures moeten de personen beschrijven die verantwoordelijk zijn voor beoordelingen, samen met de toezichtactiviteiten die elke persoon uitvoert, de beoordelingsfrequentie en de typen documentatie of communicatie die worden beoordeeld.
FINRA-regel 3120 (controlesysteem voor toezicht) vereist dat bedrijven beschikken over een systeem van controlebeleid en procedures voor toezicht (SCP's) waarmee hun schriftelijke toezichtprocedures worden gevalideerd, zoals gedefinieerd door Regel 3110. Bedrijven moeten niet alleen WSP's hebben, maar ook beleidsregels waarmee deze procedures jaarlijks worden getest om te valideren dat de toepasselijke effectenwetgeving en -regelgeving worden nageleefd. Op risico gebaseerde methoden en steekproeven kunnen worden gebruikt om de omvang van de tests te definiëren. Deze regel vereist onder andere dat bedrijven een jaarverslag verstrekken aan hoger management met een overzicht van de testresultaten en belangrijke uitzonderingen of gewijzigde procedures als gevolg van de testresultaten.
Communicatiecompliance
Microsoft Purview Communicatiecompliance is een nalevingsoplossing waarmee communicatierisico's worden geminimaliseerd door je te helpen ongepaste berichten in je organisatie te detecteren, onderzoeken en erop te reageren. Met vooraf gedefinieerd en aangepast beleid kun je interne en externe communicatie scannen op beleidsovereenkomsten, zodat deze kunnen worden gecontroleerd door aangewezen revisoren. Revisoren kunnen gescande e-mail, Microsoft Teams, Viva Engage of communicatie van derden in uw organisatie onderzoeken en de juiste acties ondernemen om ervoor te zorgen dat ze voldoen aan de berichtstandaarden van uw organisatie.
Communicatiecompliance biedt rapporten waarmee activiteiten voor beleidsbeoordeling kunnen worden gecontroleerd op basis van het beleid en de beoordelaar. Rapporten zijn beschikbaar om te controleren of het beleid functioneert zoals is bepaald in het schriftelijke toezichtbeleid van de organisatie. Ze kunnen ook worden gebruikt om communicatie te identificeren die moet worden beoordeeld en communicatie die niet compatibel is met het bedrijfsbeleid. Ten slotte worden alle activiteiten met betrekking tot het configureren van beleid en het beoordelen van communicatie gecontroleerd in het geïntegreerde Office 365 auditlogboek. Hierdoor helpt Communicatiecompliance financiële instellingen ook om te voldoen aan FINRA-regel 3120.
Naast het naleven van FINRA-regels, kunnen organisaties met communicatiecompliance communicatie detecteren en erop reageren die mogelijk wordt beïnvloed door andere wettelijke vereisten, bedrijfsbeleid en ethische normen. Communicatiecompliance biedt ingebouwde classificaties voor bedreiging, intimidatie en scheldwoorden die helpen bij het beperken van fout-positieven tijdens de beoordeling van communicatie, waardoor beoordelaars tijd besparen tijdens het onderzoeks- en herstelproces. Daarnaast kunnen organisaties hiermee risico's verminderen door communicatie te detecteren wanneer ze gevoelige veranderingen ondergaan, zoals fusies en overnames of veranderingen in het leiderschap.
Beschermen tegen data-exfiltratie en interne risico's
Een veelvoorkomende bedreiging voor ondernemingen is de exfiltratie van gegevens of het extraheren van gegevens van een organisatie. Dit risico kan een grote zorg zijn voor financiële instellingen vanwege de gevoelige aard van de informatie die dagelijks toegankelijk is. Met het toenemende aantal beschikbare communicatiekanalen en de wildgroei van tools voor het verplaatsen van gegevens, zijn doorgaans geavanceerde mogelijkheden nodig om de risico's van gegevenslekken, beleidsschendingen en interne risico's te beperken.
Intern risicobeheer
Als medewerkers beschikken over online samenwerkingstools die overal toegankelijk zijn, brengt dit risico's met zich mee voor de organisatie. Medewerkers kunnen gegevens per ongeluk of opzettelijk lekken naar aanvallers of concurrenten. Ze kunnen ook gegevens exfiltreren voor persoonlijk gebruik of gegevens meenemen naar een toekomstige werkgever. Deze scenario's vormen ernstige risico's voor financiële instellingen wat betreft beveiliging en compliance. Het identificeren van deze risico's wanneer ze zich voordoen en het snel beperken hiervan, vereist zowel intelligente tools voor gegevensverzameling als samenwerking tussen verschillende afdelingen, zoals juridisch, human resources en gegevensbeveiliging.
Microsoft Purview Intern risicobeheer is een nalevingsoplossing waarmee interne risico's worden geminimaliseerd door je in staat te stellen schadelijke en onbedoelde activiteiten in je organisatie te detecteren, onderzoeken en erop te reageren. Met intern risicobeleid kun je de typen risico's definiëren die je in je organisatie kunt identificeren en detecteren, inclusief het reageren op problemen en indien nodig escaleren van cases naar Microsoft eDiscovery (Premium). Risicoanalisten in je organisatie kunnen snel de juiste acties ondernemen om ervoor te zorgen dat gebruikers voldoen aan de nalevingsstandaarden van je organisatie.
Met intern risicobeheer kunnen bijvoorbeeld signalen van de apparaten van een gebruiker, zoals het kopiëren van bestanden naar een USB-station of het sturen van een e-mail naar een persoonlijk e-mailaccount, worden gecorreleerd met activiteiten van onlineservices, zoals Office 365-e-mail, SharePoint Online, Microsoft Teams of OneDrive voor Bedrijven om patronen voor gegevensexfiltratie te identificeren. Deze activiteiten kunnen ook worden gecorreleerd met medewerkers die een organisatie verlaten, wat een veelvoorkomend gegevensexfiltratiepatroon is. Er kunnen meerdere activiteiten en gedragspatronen in de loop van de tijd worden gedetecteerd. Wanneer veelvoorkomende patronen zichtbaar worden, kunnen er waarschuwingen worden gegenereerd, waardoor onderzoekers zich beter kunnen richten op belangrijke activiteiten om een beleidsschending met een hoge mate van vertrouwelijkheid te verifiëren. Met intern risicobeheer kunnen gegevens van onderzoekers pseudo-anoniem worden gemaakt, zodat aan de regelgeving voor gegevensprivacy kan worden voldaan, terwijl ze toch belangrijke activiteiten kunnen ontdekken waarmee ze een onderzoek efficiënt kunnen uitvoeren. Hiermee kunnen onderzoekers de gegevens van belangrijke activiteiten inpakken en veilig verzenden naar de afdeling HR en de juridische afdeling volgens de algemene escalatiewerkstromen voor het melden van zaken voor herstelactie.
Met intern risicobeheer kunnen organisaties beter interne risico's detecteren en onderzoeken, terwijl organisaties nog steeds kunnen voldoen aan de regelgeving voor gegevensprivacy en de vastgelegde escalatiepaden kunnen volgen wanneer actie op een hoger niveau is vereist.
Tenantbeperkingen
Organisaties die te maken hebben met gevoelige gegevens en beveiliging heel belangrijk vinden, willen meestal de online resources beheren waartoe gebruikers toegang hebben. Tegelijkertijd willen ze veilige samenwerking mogelijk maken via onlineservices zoals Office 365. Hierdoor valt het niet mee om de Office 365-omgevingen te beheren waartoe gebruikers toegang hebben, omdat niet-zakelijke Office 365-omgevingen kunnen worden gebruikt om kwaadwillig of onbedoeld gegevens van bedrijfsapparaten te exfiltreren. Normaal gesproken beperken organisaties de domeinen of IP-adressen waartoe gebruikers toegang hebben vanaf bedrijfsapparaten. Maar dit werkt niet in een cloudomgeving, waarin gebruikers legitiem toegang moeten hebben tot Office 365-services.
Microsoft 365 biedt tenantbeperkingen, waarmee dit probleem kan worden opgelost. U kunt tenantbeperkingen configureren om de toegang van medewerkers tot externe Office 365 Enterprise-tenants met frauduleuze identiteiten (identiteiten die geen deel uitmaken van uw zakelijke adresboek) te beperken. Tegenwoordig zijn tenantbeperkingen van toepassing op de hele tenant, waardoor toegang wordt verleend aan alleen de tenants die voorkomen op de lijst die u configureert. Microsoft blijft aan deze oplossing werken om de controle te verfijnen en de bescherming te verbeteren.
Conclusie
Microsoft 365 en Teams bieden een geïntegreerde en allesomvattende oplossing voor financiële instellingen, die eenvoudige maar krachtige functionaliteit voor samenwerking en communicatie in de cloud mogelijk maakt binnen de onderneming. Door beveiligings- en nalevingstechnologieën van Microsoft 365 te gebruiken, kunnen instellingen veiliger en compatibeler werken met robuuste beveiligingscontroles om gegevens, identiteiten, apparaten en toepassingen te beschermen tegen verschillende operationele risico's, waaronder cyberbeveiliging en interne risico's. Microsoft 365 biedt een fundamenteel veilig platform waarop financiële dienstverleners meer kunnen bereiken terwijl ze hun bedrijf, medewerkers en klanten beschermen.