Compartilhar via


Principais considerações de conformidade e segurança para o setor de energia

Metáfora de ilustração de uma visão global de várias indústrias utilizando a nuvem.

Introdução

O setor de energia fornece à sociedade combustível e infraestruturas essenciais que as pessoas contam todos os dias. A fim de garantir a confiabilidade da infraestrutura relacionada aos Sistemas Elétricos em Massa, as autoridades reguladoras impõem padrões rigorosos às organizações de energia. Esses padrões regulatórios se relacionam não apenas à geração e transmissão de energia, mas também aos dados e comunicados que são essenciais para as operações rotineiras das empresas de energia.

As organizações do setor de energia trabalham e trocam muitos tipos de informações como parte de suas operações regulares. Estas informações incluem dados de clientes, documentação de design de engenharia de capital, mapas de localização de recursos, artefactos de gestão de projetos, métricas de desempenho, relatórios de serviços de campo, dados ambientais e métricas de desempenho. À medida que estas organizações procuram transformar as suas operações e sistemas de colaboração em plataformas digitais modernas, procuram a Microsoft como um Fornecedor de Serviços Cloud (CSP) de confiança e o Microsoft 365 como a sua plataforma de colaboração de melhor raça. Como o Microsoft 365 é desenvolvido na plataforma Microsoft Azure, as organizações precisam examinar as duas plataformas ao avaliar seus controles de conformidade e segurança durante a migração para a nuvem.

Na América do Norte, a Corporação de Confiabilidade Elétrica da América do Norte (NERC) aplica padrões de confiabilidade chamados de Padrões de proteção de infraestrutura crítica (CIP) da NERC. A NERC está sujeita à supervisão da Comissão Federal de Regulamentação de Energia dos EUA (FERC) e das autoridades governamentais do Canadá. Todos os proprietários, operadores e usuários dos Sistemas Elétricos em Massa devem se registrar na NERC e cumprir os padrões de CIP da NERC. Os Fornecedores de Serviços Cloud e fornecedores de terceiros, como a Microsoft, não estão sujeitos às normas CIP da NERC. No entanto, os padrões de CIP incluem objetivos que devem ser levados em conta quando Entidades Registradas utilizam fornecedores para operar seu Sistema Elétrico em Massa (BES). Os clientes da Microsoft que operam Sistemas Elétricos em Massa são inteiramente responsáveis por garantir sua própria conformidade com os padrões de CIP da NERC.

Para obter informações sobre os serviços de nuvem da Microsoft e da NERC, consulte os seguintes recursos:

Os padrões regulamentares recomendados a serem considerados pelas organizações de energia incluem o FedRAMP (Programa Federal de Gerenciamento de Riscos e Autorizações dos EUA), que se baseia e aumenta o padrão NIST SP 800-53 Rev 4 (Instituto Nacional de Padrões e Tecnologia).

  • O Microsoft Office 365 e o Office 365 do Governo dos Estados Unidos receberam um ATO FedRAMP (Autorização de Operação) no Nível de Impacto Moderado.
  • O Azure e o Azure Governamental receberam, cada um, uma Autoridade Provisória para Funcionar (P-ATO) do FedRAMP High, que representa o nível mais alto de autorização do FedRAMP.

Para obter mais informações sobre os serviços de nuvem da Microsoft e do FedRAMP, consulte os seguintes recursos:

Essas realizações são significativas para o setor de energia, porque uma comparação entre o conjunto de controles do FedRAMP Moderate e os padrões de CIP da NERC mostra que os controles do FedRAMP Moderate abrangem todos os requisitos de CIP da NERC. Para obter informações adicionais, a Microsoft desenvolveu um Guia de Implementação na Nuvem para Auditorias da NERC, que inclui um mapeamento de controle entre o conjunto atual de padrões de CIP da NERC e o conjunto de controles do FedRAMP Moderate, conforme documentado no NIST 800-53 Rev 4.

Como o setor de energia procura modernizar suas plataformas de colaboração, é necessária uma consideração cuidadosa para configurar e implantar as ferramentas de colaboração e controles de segurança, incluindo:

  • Avaliação de cenários comuns de colaboração
  • Acesso aos dados exigidos pelos funcionários para serem produtivos
  • Requerimentos de conformidade regulamentar
  • Riscos associados a dados, clientes e organização

O Microsoft 365 é um moderno ambiente de nuvem no local de trabalho que proporciona uma colaboração segura e flexível em toda a empresa, incluindo os controles e a implementação de políticas no sentido de aderir às mais rigorosas estruturas de conformidade regulatória. Através dos seguintes artigos, este artigo explora a forma como o Microsoft 365 ajuda a indústria energética a mudar para uma plataforma de colaboração moderna, ao mesmo tempo que ajuda a manter os dados e os sistemas seguros e em conformidade com os regulamentos:

  • Forneça uma plataforma de colaboração global com o Microsoft Teams
  • Forneça colaboração segura e compatível com o setor de energia
  • Identifique dados confidenciais e evite a perda de dados
  • Controle os dados gerenciando os registros de forma eficaz
  • Cumpra as regulamentações FERC e FTC dos mercados de energia
  • Proteja-se contra exfiltração de dados e riscos internos

Como parceiro da Microsoft, a Protiviti contribuiu e forneceu comentário material para este artigo.

Forneça uma plataforma de colaboração global com o Microsoft Teams

Normalmente, a colaboração requer várias formas de comunicação, capacidade de armazenar e acessar documentos e a capacidade de integrar outros aplicativos, conforme necessário. Quer sejam empresas globais ou empresas locais, os colaboradores do setor energético normalmente precisam de colaborar e comunicar com membros de outros departamentos ou entre equipas. Normalmente, eles também precisam se comunicar com parceiros, fornecedores ou clientes externos. Como resultado, o uso de sistemas que criam silos ou dificultam o compartilhamento de informações não costuma ser recomendado. Dito isso, ainda queremos garantir que os funcionários estejam compartilhando informações de forma segura e de acordo com a política.

Fornecer aos colaboradores uma plataforma de colaboração moderna e baseada na cloud que lhes permite escolher e integrar facilmente as ferramentas que os tornam mais produtivos permite-lhes encontrar as melhores formas de trabalhar e colaborar. O uso do Microsoft Teams, juntamente com controles de segurança e políticas de governança para proteger a organização, pode ajudar sua equipe de funcionários a colaborar na nuvem com facilidade.

O Microsoft Teams fornece um hub de colaboração para que sua organização permita às pessoas trabalharem juntas e colaborarem em iniciativas ou projetos comuns. Permite que os membros da equipa realizem conversações, colaborem e cocriem documentos. Ele permite que as pessoas armazenem e compartilhem arquivos com membros da equipe ou de fora da equipe. Também permite que eles realizem reuniões ao vivo com voz e vídeo corporativos integrados. O Microsoft Teams pode ser personalizado com fácil acesso aos aplicativos da Microsoft, como Planner, Dynamics 365, Power BI e outros aplicativos de linha de negócios de terceiros. As equipes simplificam o acesso aos serviços do Office 365 e a aplicativos de terceiros para centralizar as necessidades de colaboração e comunicação da organização.

Cada Microsoft Team tem suporte de um grupo do Office 365. Um Grupo do Office 365 é considerado o provedor de afiliação para os serviços do Office 365, incluindo o Microsoft Teams. Os Grupos do Office 365 são usados para controlar com segurança quais usuários são considerados membros associados e quem são os proprietários do grupo. Este design permite-nos controlar facilmente quais os utilizadores que têm acesso a diferentes capacidades no Teams. Como resultado, os membros e proprietários da Equipa só podem aceder às capacidades que têm permissão para utilizar.

Uma situação comum na qual o Microsoft Teams pode beneficiar as organizações de energia é a colaboração com prestadores de serviços ou empresas externas como parte de um programa de serviço de campo, como o gerenciamento da vegetação. As empresas costumam contratar prestadores de serviços para gerenciar a vegetação ou remover árvores ao redor das instalações do sistema de energia elétrica. Muitas vezes, precisam de receber instruções de trabalho, comunicar com despachantes e outros funcionários do serviço de campo, tirar e partilhar fotografias de ambientes externos, terminar sessão quando o trabalho estiver concluído e partilhar dados com a sede. Tradicionalmente, estes programas são executados através de telefone, texto, encomendas de trabalho em papel ou aplicações personalizadas. Este método pode apresentar muitos desafios. Por exemplo:

  • Os processos são manuais ou analógicos, dificultando o rastreamento das métricas
  • As comunicações não são capturadas num único local
  • Os dados são isolados e não são necessariamente compartilhados com todos os funcionários que precisam deles
  • O trabalho pode não ser realizado de forma consistente ou eficiente
  • As aplicações personalizadas não estão integradas com ferramentas de colaboração, o que dificulta a extração e a partilha de dados ou a medição do desempenho

O Microsoft Teams pode fornecer um espaço de colaboração fácil de usar para compartilhar informações com segurança e conduzir conversas entre membros da equipe e prestadores de serviços dos campo externos. O Teams pode ser usado para realizar reuniões, fazer chamadas de voz, armazenar ordens de serviço centralmente e compartilhá-las, coletar dados de campo, carregar fotos, integrar-se com soluções de processos comerciais (criadas com o Power Apps e o Power Automate) e integrar aplicativos do ramo de atividade. Este tipo de dados de serviço de campo pode ser considerado de baixo impacto; No entanto, as eficiências podem ser obtidas ao centralizar as comunicações e os dados de acesso entre funcionários e pessoal de serviço de campo nestes cenários.

Outro exemplo em que o Microsoft Teams pode beneficiar o setor de energia é quando o pessoal de serviço de campo está trabalhando para restaurar o serviço durante uma interrupção. A equipe de campo costuma precisar de um acesso rápido a dados esquemáticos das subestações, estações geradoras ou projetos para os ativos no campo. Esses dados são considerados de alto impacto e devem ser protegidos de acordo com os padrões CIP da NERC. O trabalho de serviço de campo durante as interrupções requer comunicação entre a equipe de campo e os funcionários do escritório e, por sua vez, com os clientes finais. A centralização das comunicações e do compartilhamento de dados no Microsoft Teams fornece à equipe de campo um método fácil para acessar dados críticos e comunicar informações ou status de volta à matriz. Por exemplo, o Microsoft Teams permite que a equipe de campo participe de chamadas em conferência enquanto estiver no caminho de uma interrupção. Os funcionários de campo também podem tirar fotografias ou vídeos do seu ambiente e partilhá-los com a sede, o que é particularmente importante quando o equipamento de campo não corresponde a esquemas. Os dados e o status coletados em campo podem ser apresentados aos funcionários e à liderança do escritório através de ferramentas de visualização de dados, como o Power BI. Por fim, as equipes da Microsoft podem tornar a equipe de campo mais eficiente e produtiva nessas situações essenciais.

Teams: melhore a colaboração e reduza o risco de conformidade

O Microsoft 365 fornece recursos de políticas comuns ao Microsoft Teams por meio do uso dos Grupos do Office 365 como um provedor de afiliação subjacente. Essas políticas podem ajudar a melhorar a colaboração e a atender às necessidades de conformidade.

As Políticas de Nomenclatura dos Grupos do Office 365 ajudam a garantir que os Grupos do Office 365 e, consequentemente, o Microsoft Teams sejam nomeados de acordo com a política corporativa. O nome de uma equipe pode apresentar dificuldades caso a nomenclatura não seja adequada. Por exemplo, os funcionários poderão não saber em que equipas trabalhar ou partilhar informações se tiverem um nome incorreto. As políticas de nomenclatura de grupos ajudam a impor uma boa higiene e também podem impedir a utilização de palavras específicas, como palavras reservadas ou terminologia inadequada.

Office 365 Políticas de Expiração do Grupo ajudam a garantir que Office 365 Grupos e, por conseguinte, o Microsoft Teams, não são retidos por períodos de tempo mais longos do que o exigido pela organização. Esse recurso ajuda a evitar dois problemas principais de gerenciamento de informações:

  • A proliferação do Microsoft Teams que não são necessárias ou utilizadas
  • A retenção excessiva de dados que não são mais necessários para a organização

Os administradores podem especificar um período de validade contado em dias para os Grupos do Office 365 (como, por exemplo, 90, 180 ou 365 dias). Se um serviço respaldado por um Grupo do Office 365 estiver inativo durante o período de validade, os proprietários do grupo serão notificados. Se nenhuma providência for tomada, o Grupo do Office 365 e todos os serviços a ele relacionados, incluindo o Microsoft Teams, serão excluídos.

A retenção de dados por um tempo excessivo em uma Equipe da Microsoft pode representar um risco de ação judicial para as organizações. O uso de políticas de validade é um método recomendado para a proteção da organização. Combinado com rótulos e políticas de retenção incorporados, o Microsoft 365 ajuda a garantir que as organizações estejam retendo apenas os dados necessários para atender às obrigações de conformidade regulamentar.

Teams: integre requisitos personalizados com facilidade

O Microsoft Teams permite a criação autônoma de equipes por padrão. No entanto, muitas organizações regulamentadas querem controlar e entender quais espaços de colaboração estão atualmente em uso pelos funcionários, quais espaços contêm dados confidenciais e quem são os proprietários dos espaços em toda a organização. Para facilitar esses controles, o Microsoft 365 permite que as organizações desabilitem a criação de equipes por autoatendimento. Além disso, o uso de ferramentas de automação de processos comerciais integradas do Microsoft 365, como o Power Apps e o Power Automate, permite que as organizações desenvolvam processos simples para solicitar uma nova equipe. Ao concluir um formulário fácil de ser usado, uma aprovação pode ser solicitada automaticamente por um gerente. Depois de aprovada, a equipe pode ser provisionada automaticamente e o solicitante recebe um link para sua nova equipe. Ao criar esses processos, as organizações também podem integrar requisitos personalizados para facilitar outros processos comerciais.

Forneça colaboração segura e compatível com o setor de energia

Como mencionamos, o Microsoft Office 365 e o Office 365 do governo dos EUA conseguiram uma Autorização para Funcionar (ATO) do Programa Federal de Gerenciamento de Riscos e Autorização (FedRAMP) ao Nível de Impacto Moderado. O Azure e o Azure Governamental conseguiram uma Autoridade Provisória para Funcionar (P-ATO) do FedRAMP High, que representa o nível mais alto de autorização do FedRAMP. Além disso, o conjunto de controles do FedRAMP Moderate abrange todos os requisitos CIP da NERC, permitindo que as organizações do setor de energia ("entidades registradas") usem autorizações do FedRAMP existentes como uma abordagem dimensionável e eficiente ao endereçamento dos requisitos de auditoria da NERC . No entanto, é importante ter em atenção que o FedRAMP não é uma certificação para um ponto anterior no tempo, mas sim um programa de avaliação e autorização que inclui disposições para monitorização contínua. Embora essa disposição se aplique principalmente ao CSP, os clientes da Microsoft que operam Sistemas Elétricos em Massa são responsáveis por garantir sua própria conformidade com os padrões de CIP da NERC. Geralmente, é uma prática recomendada monitorizar continuamente a postura de conformidade da organização para ajudar a garantir a conformidade contínua com os regulamentos.

A Microsoft oferece uma ferramenta fundamental que ajuda a monitorar a conformidade com as regulamentações ao longo do tempo:

  • O Gerenciador de Conformidade do Microsoft Purview ajuda a organização a entender sua postura de conformidade atual e as ações que ela pode tomar para ajudar a melhorar essa postura. O Gerenciador de Conformidade calcula um progresso de medição de pontuação com base no risco em concluir ações que ajudam a reduzir os riscos relacionados à proteção de dados e aos padrões normativos. O Gerenciador de Conformidade fornece uma pontuação inicial baseada na base de referência da proteção de dados do Microsoft 365. Essa base de referência é um conjunto de controles que inclui as regras e padrões comuns do setor. Enquanto essa pontuação for um bom ponto de partida, o Gerenciador de Conformidade fica mais poderoso sempre que uma organização adiciona avaliações mais relevantes ao setor. O Gerenciador de Conformidade oferece suporte a vários padrões regulatórios que são relevantes às obrigações de conformidade CIP da NERC, incluindo o Conjunto de controles do FedRAMP Moderate, NIST 800-53 Rev. 4e AICPA SOC 2. As organizações do setor energético também podem criar ou importar conjuntos de controlo personalizados, se necessário.

Os recursos de fluxo de trabalho integrados no Gerenciador de Conformidade permitem que as organizações de energia transformem e digitalizem seus processos de conformidade regulatória. Tradicionalmente, as equipes de conformidade no setor de energia enfrentam os seguintes desafios:

  • Relatórios inconsistentes ou rastreamento do progresso em ações de correção
  • Processos ineficientes ou ineficazes
  • Recursos insuficientes ou falta de propriedade
  • Falta de informações em tempo real e erro humano

Ao automatizar aspectos dos processos de conformidade regulamentar através do uso do Gerenciador de Conformidade, as organizações podem reduzir a carga administrativa das funções legais e de conformidade. Esse arsenal de ferramentas pode ajudar a abordar esses desafios fornecendo mais informações atualizadas sobre ações de correção, relatórios mais consistentes e uma responsabilidade documentada com relação às ações (vinculada à implementação das ações). As organizações podem controlar automaticamente as ações de correção ao mesmo tempo e consultar os ganhos de eficiência gerais. Esta funcionalidade permite que os colaboradores se concentrem mais na obtenção de informações e no desenvolvimento de estratégias para ajudar a navegar no risco de forma mais eficaz.

O Gestor de Conformidade não expressa uma medida absoluta de conformidade organizacional com qualquer norma ou regulamentação específica. Ela expressa até que ponto você adotou controles que podem reduzir os riscos para os dados pessoais e a privacidade individual. As recomendações do Gestor de Conformidade não devem ser interpretadas como uma garantia de conformidade. As ações do cliente fornecidas no Gerenciador de Conformidade são recomendações. Cabe a cada organização avaliar a eficácia destas recomendações para cumprir as suas obrigações regulamentares antes da implementação. As recomendações encontradas no Gestor de Conformidade não devem ser interpretadas como uma garantia de conformidade.

Muitos controles relacionados à segurança cibernética estão incluídos no Conjunto de Controles do FedRAMP Moderate e nos padrões de CIP da NERC. No entanto, os principais controles relacionados à plataforma Microsoft 365 incluem controles de gerenciamento de segurança (CIP-003-6), gerenciamento de contas e acesso/revogação de acesso (CIP-004-6), perímetro de segurança eletrônica (CIP-005-5), monitoramento do evento de segurança e resposta a incidentes (CIP-008-5). As seguintes capacidades fundamentais do Microsoft 365 ajudam a resolver os riscos e requisitos incluídos nestes artigos.

Proteger as identidades dos usuários e controlar o acesso

A proteção do acesso a documentos e aplicativos começa com uma forte proteção da identidade do usuário. Como base, esta ação requer o fornecimento de uma plataforma segura para a empresa armazenar e gerir identidades e fornecer um meio de autenticação fidedigno. Também é necessário controlar dinamicamente o acesso a esses aplicativos. À medida que os funcionários trabalham, podem passar da aplicação para a aplicação ou em várias localizações e dispositivos. Como resultado, o acesso aos dados deve ser autenticado em cada etapa do processo. Além disso, o processo de autenticação tem de suportar um protocolo forte e vários fatores de autenticação (código sms pass único, aplicação de autenticação, certificado, etc.) para garantir que as identidades não foram comprometidas. Por fim, a implementação de políticas de acesso baseadas em risco é uma recomendação essencial para proteger dados e aplicativos contra ameaças internas, vazamentos involuntários de dados e exfiltração dos dados.

O Microsoft 365 fornece uma plataforma de identificação segura com Microsoft Entra ID onde as identidades são armazenadas centralmente e geridas de forma segura. Microsoft Entra ID, juntamente com uma série de serviços de segurança relacionados com o Microsoft 365, constitui a base para fornecer aos funcionários o acesso necessário para trabalharem em segurança, protegendo também a organização contra ameaças.

Microsoft Entra autenticação multifator (MFA) está incorporada na plataforma e fornece uma camada adicional de proteção para ajudar a garantir que os utilizadores são quem dizem ser quando acedem a aplicações e dados confidenciais. Microsoft Entra autenticação multifator requer, pelo menos, duas formas de autenticação, como uma palavra-passe e um dispositivo móvel conhecido. Ele suporta várias opções de autenticação de segundo fator, incluindo: o aplicativo Microsoft Authenticator, uma senha única entregue via SMS, recebimento de uma ligação telefônica em que o usuário deve digitar um PIN e cartões inteligentes ou autenticação com base em certificados. No caso de uma senha ser comprometida, um possível hacker ainda precisará do telefone do usuário para obter acesso aos dados da organização. Além disso, o Microsoft 365 utiliza a Autenticação moderna como um protocolo essencial, proporcionando a mesma comprovada experiência de autenticação, desde navegadores da Web até ferramentas de colaboração, incluindo os aplicativos do Microsoft Outlook e do Microsoft Office.

Microsoft Entra Acesso Condicional fornece uma solução robusta para automatizar as decisões de controlo de acesso e impor políticas para proteger os recursos da empresa. Um exemplo comum é quando um funcionário tenta aceder a uma aplicação que contém dados confidenciais do cliente e é automaticamente necessário efetuar uma autenticação multifator. O Acesso Condicional do Azure reúne sinais do pedido de acesso de um utilizador (por exemplo, propriedades sobre o utilizador, o respetivo dispositivo, localização, rede e a aplicação ou repositório a que está a tentar aceder). e avalia dinamicamente cada tentativa de acessar o aplicativo, confrontando-a com as políticas que você configurar. Se o risco do utilizador ou do dispositivo for elevado ou se não forem cumpridas outras condições, Microsoft Entra ID impõe automaticamente a política (como exigir dinamicamente a MFA, restringir ou até bloquear o acesso). Esta estrutura ajuda a garantir que os recursos confidenciais estão protegidos em ambientes de mudança dinâmica.

O Microsoft Defender para Office 365 fornece um serviço integrado para proteger as organizações de links maliciosos e malware enviados por email. Um dos vetores de ataque mais comuns que afetam os utilizadores atualmente são os ataques de phishing por e-mail. Esses ataques podem ser cuidadosamente direcionados a funcionários de alto nível específicos e podem ser criados para serem muito convincentes. Normalmente, contêm alguma chamada à ação que exige que um utilizador selecione uma ligação maliciosa ou abra um anexo com software maligno. Uma vez infectado, um invasor pode roubar as credenciais de um usuário e se mover lateralmente pela organização. Eles também podem filtrar e-mails e dados em busca de informações confidenciais. Microsoft Defender para Office 365 avalia as ligações em tempo de clique para sites potencialmente maliciosos e bloqueia-os. Os anexos de e-mail são abertos em uma caixa de proteção protegida antes de entregá-los na caixa de correio do usuário.

O Microsoft Defender para Aplicativos de Nuvem fornece às organizações a capacidade de implementar políticas em um nível detalhado. Este design inclui a deteção de anomalias comportamentais com base em perfis de utilizador individuais que são definidos automaticamente com o Machine Learning. O Defender para Aplicativos de Nuvem se baseia nas políticas de Acesso Condicional do Azure ao avaliar sinais adicionais relacionados ao comportamento do usuário e às propriedades dos documentos que estão sendo acessados. Com o tempo, o Defender para Aplicativos de Nuvem aprende o comportamento típico de cada funcionário (os dados que ele acessa e os aplicativos que ele usa). Com base nos padrões comportamentais aprendidos, as políticas podem aplicar automaticamente controles de segurança se um funcionário sair desse perfil comportamental. Por exemplo, se um funcionário normalmente aceder a uma aplicação de contabilidade das 9:00 às 17:00, de segunda a sexta-feira, mas esse mesmo utilizador começar a aceder fortemente a essa aplicação numa noite de domingo, Defender para Aplicativos de Nuvem pode impor dinamicamente políticas para exigir que o utilizador se volte a autenticar. Este requisito ajuda a garantir que as credenciais não foram comprometidas. Além disso, o Defender para Aplicativos de Nuvem pode ajudar a descobrir e identificar a ocorrência de Shadow IT (dispositivos não autorizados) na organização. Esta funcionalidade ajuda as equipas do InfoSec a garantir que os funcionários utilizam ferramentas aprovadas ao trabalhar com dados confidenciais. Por fim, o Defender para Aplicativos de Nuvem pode proteger dados confidenciais em qualquer lugar na nuvem, mesmo fora da plataforma do Microsoft 365. Permite que as organizações sancionem (ou desanctionem) aplicações externas específicas da Cloud, controlando o acesso e a monitorização quando os utilizadores trabalham nessas aplicações.

Microsoft Entra ID, e os serviços de segurança relacionados com o Microsoft 365, fornecem a base sobre a qual uma plataforma moderna de colaboração na cloud pode ser lançada para organizações do setor energético. Microsoft Entra ID inclui controlos para proteger o acesso a dados e aplicações. Além de fornecer uma segurança reforçada, esses controles ajudam as organizações a cumprirem suas obrigações de conformidade regulatória.

Microsoft Entra ID e serviços do Microsoft 365 e estão profundamente integrados e fornecem as seguintes capacidades importantes:

  • Armazenar e gerenciar de forma segura e centralizada as identidades do usuário
  • Utilizar um protocolo de autenticação forte, incluindo a autenticação multifator, para autenticar os utilizadores em pedidos de acesso
  • Fornecer uma experiência de autenticação consistente e reforçada em qualquer aplicativo.
  • Validar políticas dinamicamente em todas as solicitações de acesso, incorporando vários sinais ao processo de tomada de decisão (incluindo identidade, afiliação do usuário/grupo, aplicativo, dispositivo, rede, local e pontuação de risco em tempo real).
  • Validar políticas granulares com base no comportamento do usuário e nas propriedades do arquivo e aplicar dinamicamente medidas de segurança adicionais quando necessário
  • Identificar ocorrências de Shadow TI na organização e permitir que as equipes do InfoSec sancionem ou bloqueiem aplicativos de nuvem
  • Monitorar e controlar o acesso a aplicativos de nuvem da Microsoft e de terceiros
  • Proteger proativamente contra ataques de phishing e ransomware por e-mail

Identifique dados confidenciais e evite a perda de dados

O Conjunto de Controles do FedRAMP Moderate e as normas CIP da NERC também incluem a proteção de informações como requisito chave de controle (CIP-011-2). Esses requisitos abordam especificamente a necessidade de identificar informações relacionadas às Informações do Sistema Cibernético do BES (Sistema Elétrico em Massa) e à proteção e manuseio seguro dessas informações (incluindo o armazenamento, trânsito e uso). Exemplos específicos de Informações do Sistema Cibernético BES podem incluir procedimentos de segurança ou informações de segurança sobre sistemas fundamentais para o funcionamento do sistema elétrico em massa (Sistemas Cibernéticos BES, Sistemas de Controle de Acesso Físicos e sistemas de monitorização ou Controle de Acesso Eletrónicos) que não estão disponíveis publicamente e podem ser utilizados para permitir acesso não autorizado ou distribuição não autorizada. No entanto, a mesma necessidade existe para identificar e proteger dados do cliente que são críticos para as operações rotineiras das organizações de energia.

O Microsoft 365 permite que dados confidenciais sejam identificados e protegidos dentro da organização por uma combinação de recursos avançados, incluindo:

  • A Proteção de Informações do Microsoft Purview para classificação baseada no usuário e classificação automatizada de dados confidenciais

  • Prevenção Contra Perda de Dados do Microsoft Purview (DLP) para identificação automatizada de dados confidenciais através de tipos de dados confidenciais (ou seja, expressões regulares) e palavras-chave e imposição de políticas

A Proteção de Informações do Microsoft Purview Information Protection permite que os funcionários classifiquem documentos e emails com rótulos de confidencialidade. Os rótulos de confidencialidade podem ser aplicados manualmente pelos usuários aos documentos nos aplicativos do Microsoft Office e nos e-mails no Microsoft Outlook. Os rótulos de confidencialidade podem aplicar marcações em um documento, proteger por meio de criptografia e implementar o gerenciamento de direitos, tudo isso automaticamente. As etiquetas de confidencialidade também podem ser aplicadas automaticamente ao configurar políticas que utilizam palavras-chave e tipos de dados confidenciais (números de card de crédito, números de segurança social, números de identidade, etc.).

A Microsoft também fornece classificadores passíveis de treinamento que usam modelos de aprendizado de máquina para identificar dados confidenciais com base no tipo de conteúdo, em vez de utilizar simplesmente a correspondência de padrões ou elementos dentro do conteúdo. Um classificador aprende a identificar um tipo de conteúdo analisando muitos exemplos do conteúdo a ser classificado. O treinamento de um classificador começa fornecendo exemplos de conteúdo em uma categoria específica. Após processar os exemplos, o modelo é testado ao ser fornecido com uma combinação entre exemplos que correspondem e exemplos que não correspondem. O classificador prevê se um determinado exemplo se enquadra na categoria ou não. Uma pessoa então confirma os resultados, classificando os positivos, negativos, falsos positivos e falsos negativos para ajudar a aumentar a precisão das previsões do classificador. Quando o classificador preparado é publicado, processa e classifica automaticamente os conteúdos no SharePoint Online, no Exchange Online e no OneDrive.

A aplicação de etiquetas de confidencialidade a documentos e e-mails incorpora metadados dentro do objeto que identifica a confidencialidade escolhida, permitindo assim que a sensibilidade seja transferida com os dados. Como resultado, mesmo que um documento etiquetado esteja armazenado no ambiente de trabalho de um utilizador ou num sistema no local, continua protegido. Esta estrutura permite que outras soluções do Microsoft 365, como Microsoft Defender para Aplicativos de Nuvem ou dispositivos edge de rede, identifiquem dados confidenciais e imponham automaticamente controlos de segurança. Os rótulos de confidencialidade têm a vantagem adicional de educar os funcionários no sentido de quais dados dentro de uma organização são considerados confidenciais e como lidar com esses dados.

Prevenção Contra Perda de Dados do Microsoft Purview (DLP) identifica automaticamente documentos, e-mails e conversações que contêm dados confidenciais ao analisar estes itens relativamente a tipos de dados confidenciais e, em seguida, ao impor políticas nesses objetos. As políticas são aplicadas aos documentos dentro do SharePoint e do OneDrive for Business. As políticas também são aplicadas sempre que os usuários enviam e-mails e, no Microsoft Teams, nas conversas no chat e nos canais. As políticas podem ser configuradas para procurar palavras-chave, tipos de dados confidenciais, rótulos de retenção e se os dados são compartilhados dentro da organização ou externamente. São fornecidos controles para ajudar as organizações a justar as políticas de DLP para reduzir falsos positivos. Quando dados confidenciais são encontrados, a política pode exibir dicas personalizáveis para os usuários dentro dos aplicativos do Microsoft 365. As dicas da política informam aos usuários que seu conteúdo contém dados confidenciais e podem propor ações corretivas. As políticas também podem impedir que os usuários acessem documentos, compartilhem documentos ou enviem emails que contenham certos tipos de dados confidenciais. O Microsoft 365 é compatível com mais de 100 tipos de dados confidenciais integrados. As organizações podem configurar tipos de dados confidenciais personalizados para atender às suas políticas.

A implementação de políticas de DLP e Proteção de Informações do Microsoft Purview para organizações requer um planejamento cuidadoso. Também requer a educação do usuário para que os funcionários entendam o esquema de classificação de dados da organização e quais tipos de dados são confidenciais. Forneça aos funcionários ferramentas e programas educacionais que os ajudem a identificar dados confidenciais e a entender como lidar com eles os tornar parte da solução para mitigar os riscos à segurança das informações.

Controle os dados gerenciando os registros de forma eficaz

Os regulamentos exigem que muitas organizações gerenciem a retenção dos principais documentos organizacionais de acordo com um cronograma de retenção corporativa gerenciado. As organizações enfrentam riscos de conformidade regulamentar se os dados forem mantidos em baixa (excluídos muito cedo) ou riscos legais se os dados forem mantidos em excesso (mantidos por muito tempo). Estratégias eficazes de gerenciamento de registros ajudam a garantir que os documentos da organização sejam retidos de acordo com períodos de retenção predeterminados que foram projetados para minimizar os riscos da organização. Os períodos de retenção são prescritos em uma tabela de retenção de registros organizacionais gerenciada centralmente. Os períodos de retenção se baseiam na natureza de cada tipo de documento, nos requisitos de conformidade regulatória para a retenção de tipos específicos de dados e nas políticas definidas pela organização.

Atribuir períodos de retenção de registos com precisão em documentos organizacionais pode exigir um processo granular que atribui períodos de retenção exclusivamente a documentos individuais. A aplicação de políticas de retenção de registros em grande escala pode constituir um desafio por diversas razões, entre elas o grande número de documentos dentro das organizações do setor de energia, juntamente com o fato de que, em muitos casos, os períodos de retenção podem ser disparados por eventos organizacionais (como contratos prestes a vencer ou um funcionário que esteja saindo da organização).

O Microsoft 365 fornece recursos flexíveis para definir rótulos e políticas de retenção para implementar de forma inteligente os requisitos de gerenciamento de registros. Um gerenciador de registros define um rótulo de retenção, que representa um "tipo de registro" em uma programação de retenção tradicional. O rótulo de retenção contém configurações que definem esses detalhes:

  • Por quanto tempo um registro é mantido
  • Os requisitos de simultaneidade ou o que ocorre quando o período de retenção expira (exclua o documento, inicie uma revisão de disposição ou não tome nenhuma ação)
  • O que dispara o período de retenção para começar (data da criação, data da última modificação, data rotulada ou um evento) e
  • Se o documento ou e-mail for um registo (o que significa que não pode ser editado ou eliminado)

Os rótulos de retenção são publicados nos sites do SharePoint ou OneDrive, caixas de correio do Exchange e grupos do Office 365. Em seguida, os utilizadores podem aplicar manualmente etiquetas de retenção a documentos e e-mails. Alternativamente, os gerentes de registros podem usar regras para aplicar os rótulos de retenção automaticamente. As regras de aplicação automática podem ser baseadas em palavras-chave ou dados confidenciais encontrados nos documentos ou e-mails, como números de cartão de crédito, CPF ou outras Informações de Identificação Pessoal (PII). As regras de aplicação automática também podem ser baseadas em metadados do SharePoint.

O Conjunto de Controles do FedRAMP Moderate e as normas de CIP da NERC também incluem a proteção de informações como requisito chave de controle (CIP-011-2). Mais uma vez, esses requisitos tratam especificamente das Informações do Sistema Cibernético do BES (Sistema Elétrico em Massa). No entanto, outros regulamentos jurisdicionais exigem que as organizações do setor energético giram e eliminem eficazmente os registos para muitos tipos de informação. Essas informações incluem demonstrações financeiras, dados de projetos de capital, orçamentos, dados de clientes etc. Em todos os casos, as organizações de energia são solicitadas a manter programas consistentes de gerenciamento de registros e evidências relacionadas ao descarte adequado dos registros corporativos.

Com cada rótulo de retenção, o Microsoft 365 permite que os gerentes de registro determinem se uma revisão de disposição é necessária. Assim, quando esses tipos de registro surgirem para serem descartados após o término do período de retenção, uma revisão deverá ser realizada pelos revisores de descarte designados antes que o conteúdo seja excluído. Assim que a revisão da eliminação for aprovada, a eliminação de conteúdos continua. No entanto, as evidências da exclusão (o usuário que realizou a exclusão e a data/hora em que a exclusão ocorreu) ainda precisam ser retidas por vários anos como um certificado de destruição. Se as organizações exigirem uma retenção mais longa ou permanente de certificados de destruição, podem utilizar Microsoft Sentinel para armazenamento de dados de auditoria e registos baseado na cloud a longo prazo. O Microsoft Sentinel fornece às organizações um controle total sobre o armazenamento e retenção de longo prazo dos dados de atividades, dados de logs e dados de retenção/descarte.

Cumprimento dos regulamentos da FERC e da FTC para Mercados de Energia

A Comissão Federal de Regulamentação de Energia dos EUA (FERC) supervisiona os regulamentos relacionados aos mercados de energia e ao comércio dos mercados de energia elétrica e gás natural. A Federal Trade Commission (FTC) dos EUA supervisiona regulamentações semelhantes no mercado de petróleo. Em ambos os casos, esses órgãos regulatórios estabelecem regras e diretrizes para proibir a manipulação de mercados de energia. A FERC, por exemplo, recomenda que as organizações de energia invistam em recursos de tecnologia para monitorar negociações, comunicações com traders e conformidade com os controles internos. Os reguladores também recomendam que as organizações de energia avaliem regularmente a eficácia contínua do programa de conformidade da organização.

Tradicionalmente, as soluções de monitoramento de comunicações são caras e podem ser complexas de se configurar e gerenciar. Além disso, as organizações podem enfrentar desafios relativos ao monitoramento dos vários canais de comunicação disponíveis para os funcionários. O Microsoft 365 fornece vários recursos robustos incorporados para monitorar as comunicações dos funcionários, supervisionar as atividades dos funcionários e ajudar a cumprir os regulamentos da FERC para os mercados de energia.

Implementar controle de supervisão

O Microsoft 365 permite que as organizações configurem políticas de supervisão que capturam as comunicações dos funcionários (com base nas condições configuradas) e permitem que elas sejam revisadas pelos supervisores designados. As políticas de supervisão podem capturar e-mails e anexos internos/externos, comunicações por chat e por canais do Microsoft Teams, anexos e comunicações por chat do Skype for Business Online e comunicações por meio de serviços de terceiros (como o Facebook ou o Dropbox).

A natureza abrangente das comunicações que podem ser capturadas e revistas numa organização e as extensas condições com as quais as políticas podem ser configuradas permitem que as Políticas de Supervisão do Microsoft 365 ajudem as organizações a cumprir os regulamentos do mercado de energia FERC. As políticas de supervisão podem ser configuradas para revisar as comunicações entre pessoas ou grupos. Além disso, os supervisores podem ser configurados para serem indivíduos ou grupos. É possível configurar condições abrangentes para capturar comunicações com base em mensagens de entrada ou saída, domínios, rótulos de retenção, palavras-chave ou frases, dicionários de palavras-chave, tipos de dados confidenciais, anexos, tamanho da mensagem ou tamanho do anexo. Os revisores recebem um painel em que podem revisar comunicações sinalizadas, tomar providências relativas a comunicações que possivelmente violem políticas ou marcar itens sinalizados como resolvidos. Também podem rever os resultados de revisões e itens anteriores que foram resolvidos.

O Microsoft 365 fornece relatórios que permitem que as atividades de revisão da política de supervisão sejam auditadas com base na política e no revisor. Os relatórios disponíveis podem ser usados para validar o funcionamento das políticas de supervisão conforme definido pelas políticas de supervisão escritas pelas organizações. Os relatórios também podem ser utilizados para identificar comunicações que requerem revisão, incluindo comunicações que não estão em conformidade com a política empresarial. Por fim, todas as atividades relacionadas à configuração de políticas de supervisão e revisão de comunicações são auditadas no log de auditoria unificado do Office 365.

As Políticas de Supervisão do Microsoft 365 permitem que as organizações monitorem as comunicações quanto à conformidade com as políticas corporativas, como violações de assédio de recursos humanos e linguagem ofensiva nas comunicações da empresa. Também permite que as organizações reduzam o risco, monitorando as comunicações quando as organizações estão passando por mudanças organizacionais sensíveis, como fusões e aquisições ou mudanças de liderança.

Conformidade em comunicações

Com muitos canais de comunicação disponíveis para os funcionários, as organizações exigem cada vez mais soluções eficazes para monitorar ou supervisionar as comunicações nos setores regulamentados, como mercados de comércio de energia. Esses desafios podem incluir o crescente número de canais de comunicação e volume de mensagens e o risco de possíveis multas por violações da política.

A Conformidade de Comunicação do Microsoft Purview é uma solução de conformidade que ajuda a minimizar os riscos de comunicação, ajudando você a detectar, investigar e agir em mensagens inadequadas em sua organização. Políticas predefinidas e personalizadas permitem que você verifique as comunicações internas e externas em busca de correspondências de políticas, para que possam ser examinadas por revisores designados. Os revisores podem investigar e-mails digitalizados, Microsoft Teams, Viva Engage ou comunicações de terceiros na sua organização e tomar as medidas adequadas para garantir que estão em conformidade com os padrões de mensagens da sua organização.

A Conformidade de comunicação ajuda as equipes de conformidade a analisarem de maneira eficaz e eficiente as mensagens quanto a possíveis violações de:

  • Políticas corporativas, como uso aceitável, padrões éticos e políticas específicas corporativas
  • Confidencialidade ou divulgação de negócios confidenciais, como comunicações não autorizadas de projetos confidenciais relativos a aquisições futuras, fusões, divulgação de lucros, reorganizações ou alterações na equipe executiva.
  • requisitos de conformidade regulatória, como comunicações dos funcionários sobre os tipos de negócios ou transações dos quais uma organização participa em conformidade com os regulamentos da FERC para mercados de energia

A Conformidade de comunicações fornece classificadores integrados de ameaças, assédio e linguagem chula para ajudar a reduzir falsos positivos durante a revisão das comunicações. Esta classificação poupa tempo aos revisores durante o processo de investigação e remediação. Ajuda os revisores a se concentrarem em mensagens específicas em segmentos longos, destacados por alertas de política. Este resultado ajuda as equipas de conformidade a identificar e remediar riscos mais rapidamente. Fornece às equipes de conformidade a capacidade de configurar e ajustar políticas facilmente, ajustando a solução às necessidades específicas da organização e reduzindo os falsos positivos. A Conformidade de comunicações também pode rastrear o comportamento do usuário ao longo do tempo, destacando possíveis padrões em comportamentos de risco ou violações de políticas. Por fim, fornece fluxos de trabalho de correção flexíveis e integrados. Esses fluxos de trabalho ajudam os revisores a tomarem providências rapidamente e escalonar os problemas para as equipes jurídicas ou de recursos humanos de acordo com processos corporativos definidos.

Proteger-se contra exfiltração de dados e riscos internos

Uma ameaça comum para as empresas é a exfiltração de dados ou o ato de extrair dados de uma organização. Esta ação pode ser uma preocupação significativa para as organizações de energia devido à natureza sensível das informações que podem ser acedidas por funcionários ou funcionários do serviço de campo no dia-a-dia. Esses dados incluem tanto informações do Sistema Cibernético do BES (Sistema Elétrico em Massa), quanto informações relacionadas a empresas e dados do cliente. Com o número crescente de métodos de comunicações disponíveis e muitas ferramentas para movimentar dados, geralmente são necessárias ferramentas avançadas para reduzir os riscos de vazamento de dados, violações de política e uso de informações privilegiadas.

Gerenciamento de risco interno

Permitir aos colaboradores ferramentas de colaboração online que possam ser acedidas em qualquer lugar inerentemente traz riscos para uma organização. Os funcionários podem, inadvertidamente ou maliciosamente, divulgar dados a atacantes ou a concorrentes. Em alternativa, podem exfiltrar dados para uso pessoal ou levar dados com eles para um futuro empregador. Esses cenários representam riscos graves para as organizações do ponto de vista de segurança e conformidade. Identificar esses riscos quando eles ocorrem e mitigá-los rapidamente requer ferramentas inteligentes para coleta e colaboração de dados em departamentos como jurídico, recursos humanos e segurança da informação.

O Gerenciamento de Risco Interno do Microsoft Purviewé uma solução de conformidade que ajuda a minimizar os riscos internos, permitindo que você detecte, investigue e atue em atividades mal-intencionadas e inadvertidas em sua organização. As políticas de risco interno permitem que você defina os tipos de riscos a serem identificados e detectados em sua organização, incluindo a ação em casos e o escalonamento de casos para a Descoberta Eletrônica da Microsoft (Premium), se necessário. Os analistas de risco em sua organização podem executar rapidamente as ações apropriadas para garantir que os usuários estejam em conformidade com os padrões de conformidade da sua organização.

Por exemplo, o gerenciamento de risco interno pode correlacionar sinais de dispositivos de um usuário (como cópia de arquivos para uma unidade USB ou envio de e-mails para uma conta de e-mail pessoal) com atividades de serviços online (como o e-mail do Office 365, SharePoint Online, Microsoft Teams, OneDrive for Business) para identificar padrões de exfiltração de dados. Também pode correlacionar essas atividades com funcionários que saem de uma organização, que constitui um padrão comum de exfiltração de dados. Ele pode detectar várias atividades potencialmente arriscadas e comportamento ao longo do tempo. Quando surgem padrões comuns, ele pode gerar alertas e ajudar os investigadores a se concentrarem nas atividades principais para verificar, com um alto grau de confiança, se há uma violação de política. O gerenciamento de risco interno também pode ocultar dados dos investigadores para ajudar a cumprir as regulamentações de privacidade de dados e, ao mesmo tempo, continuar a revelar atividades essenciais que os ajudem a realizar suas investigações com eficiência. Quando o serviço estiver pronto, permite que os investigadores empacotem e enviem com segurança os dados das atividades essenciais para os departamentos jurídicos e de recursos humanos, seguindo fluxos de trabalho comuns de escalonamento para encaminhar casos para ações de correção.

O gerenciamento de risco interno representa um aumento significativo dos recursos do Microsoft 365 para detectar e investigar riscos de uso de informações privilegiadas, permitindo que as organizações continuem cumprindo os regulamentos de privacidade de dados e sigam os caminhos de escalonamento estabelecidos para casos que requeiram providências de nível superior.

Conclusão

O Microsoft 365 fornece uma solução integrada e abrangente que permite uma colaboração baseada em nuvem fácil de usar em toda a empresa com o Microsoft Teams. O Microsoft Teams também permite uma melhor comunicação e colaboração com a equipe de campo, ajudando as organizações de energia a serem mais eficientes e eficazes. Uma melhor colaboração em toda a empresa e com a equipe de campo pode ajudar as organizações de energia a atender melhor os clientes.

As organizações do setor de energia devem obedecer a regulamentos estritos relacionados à forma como armazenam, protegem, gerenciam e retêm informações relacionadas a suas operações e clientes. Também devem cumprir os regulamentos relacionados à forma como monitoram e impedem a manipulação dos mercados de energia. O Microsoft 365 oferece controles de segurança eficientes para proteger dados, identidades, dispositivos e aplicativos contra riscos e em conformidade com os rígidos regulamentos do setor da energia. Ferramentas integradas são fornecidas para ajudar as organizações de energia a avaliar sua conformidade, bem como tomar medidas e acompanhar as atividades de correção ao longo do tempo. Essas ferramentas também fornecem métodos fáceis de usar para monitorar e supervisionar as comunicações. A plataforma do Microsoft 365 baseia-se em componentes fundamentais, como o Microsoft Azure e o Microsoft Entra ID, ajudando a proteger a plataforma global e a ajudar a organização a cumprir os requisitos de conformidade dos conjuntos de controlo FedRAMP Moderado e Alto. Este design, por sua vez, contribui para a capacidade de uma organização de energia cumprir as normas CIP da NERC.

De modo geral, o Microsoft 365 ajuda as organizações de energia a proteger melhor a organização, implementar programas de conformidade mais eficientes e permitir que a equipe se concentre em obter insights melhores e implementar estratégias para melhor reduzir os riscos.