Partilhar via


Principais Considerações de Conformidade e Segurança para a Indústria Energética

Metáfora ilustração para uma visão global de vários setores que utilizam a cloud.

Introdução

A indústria energética fornece à sociedade combustíveis e infra-estruturas críticas em que as pessoas confiam todos os dias. Para garantir a fiabilidade das infra-estruturas relacionadas com os sistemas de energia em massa, as autoridades reguladoras impõem normas rigorosas às organizações do setor energético. Estas normas regulamentares estão relacionadas não só com a geração e a transmissão de energia, mas também com os dados e comunicações que são fundamentais para as operações diárias das empresas de energia.

As organizações do setor energético trabalham com e trocam muitos tipos de informação como parte das suas operações regulares. Estas informações incluem dados de clientes, documentação de design de engenharia de capital, mapas de localização de recursos, artefactos de gestão de projetos, métricas de desempenho, relatórios de serviços de campo, dados ambientais e métricas de desempenho. À medida que estas organizações procuram transformar as suas operações e sistemas de colaboração em plataformas digitais modernas, procuram a Microsoft como um Fornecedor de Serviços Cloud (CSP) de confiança e o Microsoft 365 como a sua plataforma de colaboração de melhor raça. Uma vez que o Microsoft 365 é criado na plataforma do Microsoft Azure, as organizações devem examinar ambas as plataformas, uma vez que consideram os respetivos controlos de conformidade e segurança durante a mudança para a Cloud.

No América do Norte, a América do Norte Electric Reliability Corporation (NERC) impõe normas de fiabilidade referidas como normas NERC Critical Infrastructure Protection (CIP). A NERC está sujeita à supervisão da Comissão Reguladora Federal da Energia dos EUA (FERC) e das autoridades governamentais no Canadá. Todos os proprietários, operadores e utilizadores do sistema de energia em massa têm de se registar na NERC e têm de estar em conformidade com as normas NERC CIP. Os Fornecedores de Serviços Cloud e fornecedores de terceiros, como a Microsoft, não estão sujeitos às normas CIP da NERC. No entanto, as normas CIP incluem objetivos que devem ser considerados quando as Entidades Registadas utilizam fornecedores no funcionamento do Sistema Elétrico em Massa (BES). Os clientes da Microsoft que operam a Bulk Electric Systems são totalmente responsáveis por garantir a sua própria conformidade com as normas NERC CIP.

Para obter informações sobre os serviços cloud da Microsoft e o NERC, veja os seguintes recursos:

As normas regulamentares recomendadas para consideração pelas organizações de energia incluem o FedRAMP (Programa Federal de Gestão de Risco e Autorização dos EUA), que se baseia e aumenta a norma NIST SP 800-53 Rev 4 (National Institute of Standards and Technology).

  • Microsoft Office 365 e Office 365 Governo dos EUA receberam uma ATO fedRAMP (Autorização para Operar) ao Nível de Impacto Moderado.
  • O Azure e o Azure Government receberam um FedRAMP High P-ATO (Autorização Provisória para Operar), que representa o nível mais elevado de autorização fedRAMP.

Para obter informações sobre os serviços cloud da Microsoft e o FedRAMP, veja os seguintes recursos:

Estas conquistas são significativas para a indústria energética porque uma comparação entre o conjunto de controlo FedRAMP Moderado e os requisitos da NERC CIP mostra que os controlos FedRAMP Moderado abrangem todos os requisitos do NERC CIP. Para obter informações adicionais, a Microsoft desenvolveu um Guia de Implementação da Cloud para Auditorias NERC que inclui um mapeamento de controlo entre o conjunto atual de normas NERC CIP e o conjunto de controlo FedRAMP Moderado, conforme documentado no NIST 800-53 Rev 4.

À medida que a indústria energética procura modernizar as suas plataformas de colaboração, é necessária uma consideração cuidadosa para a configuração e implementação de ferramentas de colaboração e controlos de segurança, incluindo:

  • Avaliação de cenários de colaboração comuns
  • Acesso aos dados necessários para os funcionários serem produtivos
  • Requisitos de conformidade regulamentar
  • Riscos associados a dados, clientes e à organização

O Microsoft 365 é um ambiente de cloud de área de trabalho moderno. Proporciona uma colaboração segura e flexível em toda a empresa, incluindo controlos e aplicação de políticas para cumprir os mais rigorosos quadros de conformidade regulamentar. Através dos seguintes artigos, este artigo explora a forma como o Microsoft 365 ajuda a indústria energética a mudar para uma plataforma de colaboração moderna, ao mesmo tempo que ajuda a manter os dados e os sistemas seguros e em conformidade com os regulamentos:

  • Fornecer uma Plataforma de Colaboração Abrangente com o Microsoft Teams
  • Fornecer Colaboração Segura e Compatível no Setor Energético
  • Identificar Dados Confidenciais e Prevenir a Perda de Dados
  • Governar Dados Através da Gestão Eficaz de Registos
  • Cumprir os Regulamentos DA FERC e FTC para os Mercados de Energia
  • Proteger Contra a Transferência de Dados Não Autorizada e o Risco Interno

Como parceiro da Microsoft, a Protiviti contribuiu e forneceu feedback material para este artigo.

Fornecer uma Plataforma de Colaboração Abrangente com o Microsoft Teams

Normalmente, a colaboração requer várias formas de comunicação, a capacidade de armazenar e aceder a documentos e a capacidade de integrar outras aplicações conforme necessário. Quer sejam empresas globais ou empresas locais, os colaboradores do setor energético normalmente precisam de colaborar e comunicar com membros de outros departamentos ou entre equipas. Muitas vezes, também precisam de comunicar com parceiros externos, fornecedores ou clientes. Como resultado, a utilização de sistemas que criam silos ou dificultam a partilha de informações não é normalmente recomendada. Dito isto, queremos continuar a garantir que os funcionários partilham informações de forma segura e de acordo com a política.

Fornecer aos colaboradores uma plataforma de colaboração moderna e baseada na cloud que lhes permite escolher e integrar facilmente as ferramentas que os tornam mais produtivos permite-lhes encontrar as melhores formas de trabalhar e colaborar. A utilização do Microsoft Teams, juntamente com controlos de segurança e políticas de governação para proteger a organização, pode ajudar a sua força de trabalho a colaborar facilmente na cloud.

O Microsoft Teams fornece um hub de colaboração para a sua organização para reunir pessoas para trabalharem e colaborarem em conjunto em iniciativas ou projetos comuns. Permite que os membros da equipa realizem conversações, colaborem e cocriem documentos. Permite que as pessoas armazenem e partilhem ficheiros com membros da equipa ou com pessoas fora da equipa. Também lhes permite realizar reuniões em direto com voz e vídeo empresariais integrados. O Microsoft Teams pode ser personalizado com acesso fácil a aplicações microsoft, como Planner, Dynamics 365, Power BI e outras aplicações de linha de negócio de terceiros. O Teams simplifica o acesso a serviços Office 365 e aplicações de terceiros para centralizar as necessidades de colaboração e comunicação para a organização.

Cada Equipa Microsoft é apoiada por um Grupo Office 365. Um Grupo de Office 365 é considerado o fornecedor de membros para serviços Office 365, incluindo o Microsoft Teams. Office 365 Grupos são utilizadas para controlar de forma segura quais os utilizadores que são considerados membros e que são proprietários do grupo. Este design permite-nos controlar facilmente quais os utilizadores que têm acesso a diferentes capacidades no Teams. Como resultado, os membros e proprietários da Equipa só podem aceder às capacidades que têm permissão para utilizar.

Um cenário comum em que o Microsoft Teams pode beneficiar as organizações de energia é a colaboração com empreiteiros ou empresas externas como parte de um programa de serviços de campo, como a gestão de vegetação. Os empreiteiros estão normalmente empenhados em gerir a vegetação ou remover árvores em torno das instalações do sistema de energia. Muitas vezes, precisam de receber instruções de trabalho, comunicar com despachantes e outros funcionários do serviço de campo, tirar e partilhar fotografias de ambientes externos, terminar sessão quando o trabalho estiver concluído e partilhar dados com a sede. Tradicionalmente, estes programas são executados através de telefone, texto, encomendas de trabalho em papel ou aplicações personalizadas. Este método pode apresentar muitos desafios. Por exemplo:

  • Os processos são manuais ou analógicos, dificultando o controlo das métricas
  • As comunicações não são capturadas num único local
  • Os dados são siloados e não são necessariamente partilhados com todos os colaboradores que precisam dos mesmos
  • O trabalho pode não ser realizado de forma consistente ou eficiente
  • As aplicações personalizadas não estão integradas com ferramentas de colaboração, o que dificulta a extração e a partilha de dados ou a medição do desempenho

O Microsoft Teams pode fornecer um espaço de colaboração fácil de utilizar para partilhar informações de forma segura e realizar conversações entre membros da equipa e empreiteiros de serviços de campo externos. As equipas podem ser utilizadas para realizar reuniões, efetuar chamadas de voz, armazenar e partilhar encomendas de trabalho centralmente, recolher dados de campo, carregar fotografias, integrar com soluções de processo de negócio (criadas com o Power Apps e o Power Automate) e integrar aplicações de linha de negócio. Este tipo de dados de serviço de campo pode ser considerado de baixo impacto; No entanto, as eficiências podem ser obtidas ao centralizar as comunicações e os dados de acesso entre funcionários e pessoal de serviço de campo nestes cenários.

Outro exemplo em que o Microsoft Teams pode beneficiar a indústria energética é quando o pessoal do serviço de campo está a trabalhar para restaurar o serviço durante uma falha. Muitas vezes, a equipa de campo necessita de acesso rápido a dados esquemáticos para subestações, estações de geração ou impressões azuis para elementos no campo. Estes dados são considerados de elevado impacto e têm de ser protegidos de acordo com os regulamentos da NERC CIP. O trabalho de serviço de campo durante as interrupções requer comunicação entre o pessoal de campo e os funcionários do escritório e, por sua vez, com os clientes finais. Centralizar as comunicações e a partilha de dados no Microsoft Teams fornece aos funcionários de campo um método fácil para aceder a dados críticos e comunicar informações ou estado de volta à sede. Por exemplo, o Microsoft Teams permite que a equipa de campo participe em chamadas de conferência durante a rota para uma indisponibilidade. Os funcionários de campo também podem tirar fotografias ou vídeos do seu ambiente e partilhá-los com a sede, o que é particularmente importante quando o equipamento de campo não corresponde a esquemas. Os dados e o estado recolhidos do campo podem, em seguida, ser apresentados aos funcionários do office e à liderança através de ferramentas de visualização de dados, como o Power BI. Em última análise, o Microsoft Teams pode tornar a equipa de campo mais eficiente e produtiva nestas situações críticas.

Teams: Melhorar a colaboração e reduzir o risco de conformidade

O Microsoft 365 fornece capacidades de política comuns para o Microsoft Teams através da utilização de Office 365 Grupos como fornecedor de associação subjacente. Estas políticas podem ajudar a melhorar a colaboração e ajudar a satisfazer as necessidades de conformidade.

Office 365 Políticas de Nomenclatura de Grupos ajudam a garantir que Office 365 Grupos e, por conseguinte, o Microsoft Teams, são nomeados de acordo com a política empresarial. O nome de uma Equipa pode apresentar desafios se não for nomeado adequadamente. Por exemplo, os funcionários poderão não saber em que equipas trabalhar ou partilhar informações se tiverem um nome incorreto. As políticas de nomenclatura de grupos ajudam a impor uma boa higiene e também podem impedir a utilização de palavras específicas, como palavras reservadas ou terminologia inadequada.

Office 365 Políticas de Expiração do Grupo ajudam a garantir que Office 365 Grupos e, por conseguinte, o Microsoft Teams, não são retidos por períodos de tempo mais longos do que o exigido pela organização. Esta capacidade ajuda a evitar dois problemas principais de gestão de informações:

  • A proliferação do Microsoft Teams que não são necessárias ou utilizadas
  • A retenção excessiva de dados que já não é necessária pela organização

Os administradores podem especificar um período de expiração em dias para Office 365 Grupos (por exemplo, 90, 180 ou 365 dias). Se um serviço apoiado por um grupo de Office 365 estiver inativo durante o período de expiração, os proprietários do grupo serão notificados. Se não for efetuada nenhuma ação, o Grupo Office 365 e todos os serviços relacionados, incluindo o Microsoft Teams, serão eliminados.

A retenção excessiva de dados numa Equipa da Microsoft pode representar riscos de litígio para as organizações. A utilização de políticas de expiração é um método recomendado para proteger a organização. Combinado com políticas e etiquetas de retenção incorporadas, o Microsoft 365 ajuda a garantir que as organizações apenas mantêm os dados necessários para cumprir as obrigações de conformidade regulamentar.

Teams: Integrar requisitos personalizados com facilidade

O Microsoft Teams permite a criação personalizada do Teams por predefinição. No entanto, muitas organizações reguladas querem controlar e compreender que espaços de colaboração estão atualmente a ser utilizados pelos funcionários, que espaços contêm dados confidenciais e quem são os proprietários de espaços em toda a organização. Para facilitar estes controlos, o Microsoft 365 permite que as organizações desativem a criação personalizada do Teams. Além disso, a utilização de ferramentas incorporadas de automatização de processos empresariais do Microsoft 365, como o Power Apps e o Power Automate, permite que as organizações criem processos simples para pedir uma nova Equipa. Ao preencher um formulário fácil de utilizar, uma aprovação pode ser pedida automaticamente por um gestor. Depois de aprovada, a Equipa pode ser aprovisionada automaticamente e o requerente é enviado uma ligação para a nova Equipa. Ao criar estes processos, as organizações também podem integrar requisitos personalizados para facilitar outros processos de negócio.

Fornecer Colaboração Segura e Compatível no Setor Energético

Como mencionado, Microsoft Office 365 e Office 365 Governo dos EUA alcançaram cada um o FedRAMP ATO ao Nível de Impacto Moderado. O Azure e o Azure Government alcançaram um FedRAMP High P-ATO que representa o nível mais elevado de autorização fedRAMP. Além disso, o conjunto de controlo moderado fedRAMP abrange todos os requisitos do CIP NERC, permitindo assim que as organizações do setor energético ("entidades registadas") tirem partido das autorizações fedRAMP existentes como uma abordagem dimensionável e eficiente para abordar os requisitos de auditoria NERC. No entanto, é importante ter em atenção que o FedRAMP não é uma certificação para um ponto anterior no tempo, mas sim um programa de avaliação e autorização que inclui disposições para monitorização contínua. Embora esta disposição se aplique principalmente ao CSP, os clientes da Microsoft que operam a Bulk Electric Systems são responsáveis por garantir a sua própria conformidade com as normas NERC CIP. Geralmente, é uma prática recomendada monitorizar continuamente a postura de conformidade da organização para ajudar a garantir a conformidade contínua com os regulamentos.

A Microsoft fornece uma ferramenta fundamental para ajudar na monitorização da conformidade com os regulamentos ao longo do tempo:

  • O Gestor de Conformidade do Microsoft Purview ajuda a organização a compreender a sua postura de conformidade atual e as ações que pode tomar para ajudar a melhorar essa postura. O Gestor de Conformidade calcula uma classificação baseada no risco que mede o progresso na conclusão de ações que ajudam a reduzir os riscos em torno da proteção de dados e das normas regulamentares. O Gestor de Conformidade fornece uma classificação inicial com base na linha de base de proteção de dados do Microsoft 365. Esta linha base é um conjunto de controlos que incluem normas e regulamentos comuns do setor. Embora esta classificação seja um bom ponto de partida, o Gestor de Conformidade torna-se mais poderoso quando uma organização adiciona avaliações mais relevantes para o setor. O Gestor de Conformidade suporta uma série de normas regulamentares relevantes para as obrigações de conformidade da NERC CIP, incluindo o FedRAMP Moderate Control Set, NIST 800-53 Rev. 4 e AICPA SOC 2. As organizações do setor energético também podem criar ou importar conjuntos de controlo personalizados, se necessário.

As capacidades de fluxo de trabalho incorporadas no Gestor de Conformidade permitem às organizações de energia transformar e digitalizar os respetivos processos de conformidade regulamentar. Tradicionalmente, as equipas de conformidade na indústria energética enfrentam os seguintes desafios:

  • Relatórios inconsistentes ou controlo do progresso nas ações de remediação
  • Processos ineficazes ou ineficazes
  • Recursos insuficientes ou falta de propriedade
  • Falta de informação em tempo real e erro humano

Ao automatizar aspetos dos processos de conformidade regulamentar através da utilização do Gestor de Conformidade, as organizações podem reduzir os encargos administrativos para as funções legais e de conformidade. Estas ferramentas podem ajudar a resolver estes desafios ao fornecer informações mais atualizadas sobre ações de remediação, relatórios mais consistentes e propriedade documentada de ações (associadas à implementação de ações). As organizações podem controlar automaticamente as ações de remediação ao longo do tempo e ver ganhos globais de eficiência. Esta funcionalidade permite que os colaboradores se concentrem mais na obtenção de informações e no desenvolvimento de estratégias para ajudar a navegar no risco de forma mais eficaz.

O Gestor de Conformidade não expressa uma medida absoluta de conformidade organizacional com qualquer norma ou regulamentação específica. Expressa até que ponto adotou controlos que podem reduzir os riscos para os dados pessoais e a privacidade individual. As recomendações do Gestor de Conformidade não devem ser interpretadas como uma garantia de conformidade. As ações do cliente fornecidas no Gestor de Conformidade são recomendações. Cabe a cada organização avaliar a eficácia destas recomendações para cumprir as suas obrigações regulamentares antes da implementação. As recomendações encontradas no Gestor de Conformidade não devem ser interpretadas como uma garantia de conformidade.

Muitos controlos relacionados com a cibersegurança estão incluídos nas normas FedRAMP Moderate Control Set e NERC CIP. No entanto, os principais controlos relacionados com a plataforma do Microsoft 365 incluem controlos de gestão de segurança (CIP-003-6), gestão de contas e acessos/revogação de acesso (CIP-004-6), perímetro de segurança eletrónica (CIP-005-5), monitorização de eventos de segurança e resposta a incidentes (CIP-008-5). As seguintes capacidades fundamentais do Microsoft 365 ajudam a resolver os riscos e requisitos incluídos nestes artigos.

Proteger Identidades de Utilizador e Controlar o Acesso

A proteção do acesso a documentos e aplicações começa por proteger fortemente as identidades dos utilizadores. Como base, esta ação requer o fornecimento de uma plataforma segura para a empresa armazenar e gerir identidades e fornecer um meio de autenticação fidedigno. Também requer um controlo dinâmico do acesso a estas aplicações. À medida que os funcionários trabalham, podem passar da aplicação para a aplicação ou em várias localizações e dispositivos. Como resultado, o acesso aos dados tem de ser autenticado em cada passo do caminho. Além disso, o processo de autenticação tem de suportar um protocolo forte e vários fatores de autenticação (código sms pass único, aplicação de autenticação, certificado, etc.) para garantir que as identidades não foram comprometidas. Por fim, a imposição de políticas de acesso baseadas em riscos é uma recomendação fundamental para proteger dados e aplicações contra ameaças internas, fugas de dados inadvertidas e transferência de dados não autorizada.

O Microsoft 365 fornece uma plataforma de identificação segura com Microsoft Entra ID onde as identidades são armazenadas centralmente e geridas de forma segura. Microsoft Entra ID, juntamente com uma série de serviços de segurança relacionados com o Microsoft 365, constitui a base para fornecer aos funcionários o acesso necessário para trabalharem em segurança, protegendo também a organização contra ameaças.

Microsoft Entra autenticação multifator (MFA) está incorporada na plataforma e fornece uma camada adicional de proteção para ajudar a garantir que os utilizadores são quem dizem ser quando acedem a aplicações e dados confidenciais. Microsoft Entra autenticação multifator requer, pelo menos, duas formas de autenticação, como uma palavra-passe e um dispositivo móvel conhecido. Suporta várias opções de autenticação de segundo fator, incluindo: a aplicação Microsoft Authenticator, um código de acesso único entregue por SMS, receber uma chamada telefónica em que um utilizador tem de introduzir um PIN e smart cards ou autenticação baseada em certificado. Caso uma palavra-passe seja comprometida, um potencial hacker ainda precisa do telemóvel do utilizador para obter acesso aos dados organizacionais. Além disso, o Microsoft 365 utiliza a Autenticação Moderna como um protocolo chave, elevando a mesma experiência de autenticação forte dos browsers para ferramentas de colaboração, incluindo o Microsoft Outlook e as aplicações do Microsoft Office.

Microsoft Entra Acesso Condicional fornece uma solução robusta para automatizar as decisões de controlo de acesso e impor políticas para proteger os recursos da empresa. Um exemplo comum é quando um funcionário tenta aceder a uma aplicação que contém dados confidenciais do cliente e é automaticamente necessário efetuar uma autenticação multifator. O Acesso Condicional do Azure reúne sinais do pedido de acesso de um utilizador (por exemplo, propriedades sobre o utilizador, o respetivo dispositivo, localização, rede e a aplicação ou repositório a que está a tentar aceder). Avalia dinamicamente todas as tentativas de acesso à aplicação em relação às políticas que configurar. Se o risco do utilizador ou do dispositivo for elevado ou se não forem cumpridas outras condições, Microsoft Entra ID impõe automaticamente a política (como exigir dinamicamente a MFA, restringir ou até bloquear o acesso). Esta estrutura ajuda a garantir que os recursos confidenciais estão protegidos em ambientes de mudança dinâmica.

Microsoft Defender para Office 365 fornece um serviço integrado para proteger as organizações contra ligações maliciosas e software maligno fornecido através de e-mail. Um dos vetores de ataque mais comuns que afetam os utilizadores atualmente são os ataques de phishing por e-mail. Estes ataques podem ser cuidadosamente direcionados para funcionários de alto nível específicos e podem ser concebidos para serem muito convincentes. Normalmente, contêm alguma chamada à ação que exige que um utilizador selecione uma ligação maliciosa ou abra um anexo com software maligno. Depois de infetado, um atacante pode roubar as credenciais de um utilizador e mover-se lateralmente pela organização. Também podem exfiltrar e-mails e dados à procura de informações confidenciais. Microsoft Defender para Office 365 avalia as ligações em tempo de clique para sites potencialmente maliciosos e bloqueia-os. Email anexos são abertos num sandbox protegido antes de os entregar na caixa de correio de um utilizador.

Microsoft Defender for Cloud Apps fornece às organizações a capacidade de impor políticas a um nível granular. Este design inclui a deteção de anomalias comportamentais com base em perfis de utilizador individuais que são definidos automaticamente com o Machine Learning. Defender for Cloud Apps baseia-se nas políticas de Acesso Condicional do Azure ao avaliar sinais adicionais relacionados com o comportamento do utilizador e as propriedades dos documentos que estão a ser acedidos. Ao longo do tempo, Defender for Cloud Apps aprende o comportamento típico de cada funcionário (os dados a que acedem e as aplicações que utiliza). Com base nos padrões comportamentais aprendidos, as políticas podem impor automaticamente controlos de segurança se um funcionário sair desse perfil comportamental. Por exemplo, se um funcionário aceder normalmente a uma aplicação de contabilidade das 9:00 às 17:00, de segunda a sexta-feira, mas esse mesmo utilizador começar a aceder fortemente a essa aplicação num domingo à noite, Defender for Cloud Apps pode impor dinamicamente políticas para exigir que o utilizador se volte a autenticar. Este requisito ajuda a garantir que as credenciais não foram comprometidas. Além disso, Defender for Cloud Apps podem ajudar a descobrir e identificar o Shadow IT na organização. Esta funcionalidade ajuda as equipas do InfoSec a garantir que os funcionários utilizam ferramentas aprovadas ao trabalhar com dados confidenciais. Por fim, Defender for Cloud Apps pode proteger dados confidenciais em qualquer parte da Cloud, mesmo fora da plataforma do Microsoft 365. Permite que as organizações sancionem (ou desanctionem) aplicações externas específicas da Cloud, controlando o acesso e a monitorização quando os utilizadores trabalham nessas aplicações.

Microsoft Entra ID, e os serviços de segurança relacionados com o Microsoft 365, fornecem a base sobre a qual uma plataforma moderna de colaboração na cloud pode ser lançada para organizações do setor energético. Microsoft Entra ID inclui controlos para proteger o acesso a dados e aplicações. Além de proporcionar uma segurança forte, estes controlos ajudam as organizações a cumprir as obrigações de conformidade regulamentar.

Microsoft Entra ID e serviços do Microsoft 365 e estão profundamente integrados e fornecem as seguintes capacidades importantes:

  • Armazenar e gerir identidades de utilizador em segurança centralmente
  • Utilizar um protocolo de autenticação forte, incluindo a autenticação multifator, para autenticar os utilizadores em pedidos de acesso
  • Proporcionar uma experiência de autenticação consistente e robusta em qualquer aplicação
  • Validar dinamicamente políticas em todos os pedidos de acesso, incorporando vários sinais no processo de tomada de decisões de políticas (incluindo identidade, associação de utilizador/grupo, aplicação, dispositivo, rede, localização e pontuação de risco em tempo real)
  • Validar políticas granulares com base no comportamento do utilizador e nas propriedades dos ficheiros e impor dinamicamente medidas de segurança adicionais quando necessário
  • Identificar ti sombra na organização e permitir que as equipas do InfoSec sancionem ou bloqueiem aplicações na cloud
  • Monitorizar e controlar o acesso a aplicações na cloud da Microsoft e não microsoft
  • Proteger proativamente contra ataques de phishing e ransomware por e-mail

Identificar Dados Confidenciais e Prevenir a Perda de Dados

As normas FedRAMP Moderate Control Set e NERC CIP também incluem a proteção de informações como um requisito de controlo chave (CIP-011-2). Estes requisitos abordam especificamente a necessidade de identificar informações relacionadas com as Informações do Sistema Cibernético BES (Bulk Electric System) e a proteção e o processamento seguro dessas informações (incluindo armazenamento, trânsito e utilização). Exemplos específicos de Informações do Sistema Cibernético BES podem incluir procedimentos de segurança ou informações de segurança sobre sistemas fundamentais para o funcionamento do sistema elétrico em massa (Sistemas Cibernéticos BES, Sistemas de Controlo de Acesso Físicos e sistemas de monitorização ou Controlo de Acesso Eletrónicos) que não estão disponíveis publicamente e podem ser utilizados para permitir acesso não autorizado ou distribuição não autorizada. No entanto, existe a mesma necessidade de identificar e proteger as informações dos clientes que são essenciais para as operações diárias das organizações de energia.

O Microsoft 365 permite que os dados confidenciais sejam identificados e protegidos na organização através de uma combinação de capacidades avançadas, incluindo:

  • Proteção de Informações do Microsoft Purview para classificação baseada no utilizador e classificação automatizada de dados confidenciais

  • Prevenção de Perda de Dados do Microsoft Purview (DLP) para identificação automatizada de dados confidenciais através de tipos de dados confidenciais (ou seja, expressões regulares) e palavras-chave e imposição de políticas

Proteção de Informações do Microsoft Purview permite que os funcionários classifiquem documentos e e-mails com etiquetas de confidencialidade. As etiquetas de confidencialidade podem ser aplicadas manualmente pelos utilizadores a documentos nas aplicações do Microsoft Office e a e-mails no Microsoft Outlook. As etiquetas de confidencialidade podem aplicar automaticamente marcas de documentos, proteção através da encriptação e impor a gestão de direitos. As etiquetas de confidencialidade também podem ser aplicadas automaticamente ao configurar políticas que utilizam palavras-chave e tipos de dados confidenciais (números de cartões de crédito, números de segurança social, números de identidade, etc.).

A Microsoft também fornece classificadores treináveis. Estes utilizam modelos de machine learning para identificar dados confidenciais com base no conteúdo, em vez de simplesmente através da correspondência de padrões ou dos elementos dentro do conteúdo. Um classificador aprende a identificar um tipo de conteúdo ao observar muitos exemplos dos conteúdos a serem classificados. A preparação de um classificador começa por fornecer-lhe exemplos de conteúdo numa categoria específica. Depois de processar os exemplos, o modelo é testado ao fornecer-lhe uma combinação de exemplos correspondentes e não correspondentes. Em seguida, o classificador prevê se um determinado exemplo se enquadra ou não na categoria. Em seguida, uma pessoa confirma os resultados, ordenando os positivos, os negativos, os falsos positivos e os falsos negativos para ajudar a aumentar a precisão das predições do classificador. Quando o classificador preparado é publicado, processa e classifica automaticamente os conteúdos no SharePoint Online, no Exchange Online e no OneDrive.

A aplicação de etiquetas de confidencialidade a documentos e e-mails incorpora metadados dentro do objeto que identifica a confidencialidade escolhida, permitindo assim que a sensibilidade seja transferida com os dados. Como resultado, mesmo que um documento etiquetado esteja armazenado no ambiente de trabalho de um utilizador ou num sistema no local, continua protegido. Esta estrutura permite que outras soluções do Microsoft 365, como Microsoft Defender for Cloud Apps ou dispositivos edge de rede, identifiquem dados confidenciais e imponham automaticamente controlos de segurança. As etiquetas de confidencialidade têm o benefício adicional de educar os funcionários sobre que dados numa organização são considerados confidenciais e como lidar com esses dados.

Prevenção de Perda de Dados do Microsoft Purview (DLP) identifica automaticamente documentos, e-mails e conversações que contêm dados confidenciais ao analisar estes itens relativamente a tipos de dados confidenciais e, em seguida, ao impor políticas nesses objetos. As políticas são impostas em documentos no SharePoint e OneDrive para Empresas. As políticas também são impostas quando os utilizadores enviam e-mails e no Microsoft Teams em conversas de chat e canais. As políticas podem ser configuradas para procurar palavras-chave, tipos de dados confidenciais, etiquetas de retenção e se os dados são partilhados na organização ou externamente. Os controlos são fornecidos para ajudar as organizações a ajustar as políticas DLP para evitar melhor falsos positivos. Quando são encontrados dados confidenciais, as sugestões de política personalizáveis podem ser apresentadas aos utilizadores nas aplicações do Microsoft 365. As sugestões de política informam os utilizadores de que os respetivos conteúdos contêm dados confidenciais e podem propor ações corretivas. As políticas também podem impedir que os utilizadores acedam a documentos, partilhem documentos ou enviem e-mails que contenham determinados tipos de dados confidenciais. O Microsoft 365 suporta mais de 100 tipos de dados confidenciais incorporados. As organizações podem configurar tipos de dados confidenciais personalizados para cumprirem as políticas.

Implementar políticas de Proteção de Informações do Microsoft Purview e DLP para organizações requer um planeamento cuidadoso. Também requer educação dos utilizadores para que os funcionários compreendam o esquema de classificação de dados da organização e que tipos de dados são confidenciais. Fornecer ferramentas e programas de educação aos funcionários que os ajudam a identificar dados confidenciais e a ajudá-los a compreender como lidar com os mesmos faz com que façam parte da solução para mitigar riscos de segurança de informações.

Governar Dados Através da Gestão Eficaz de Registos

Os regulamentos exigem que muitas organizações giram a retenção de documentos organizacionais principais de acordo com um agendamento de retenção empresarial gerido. As organizações enfrentam riscos de conformidade regulamentar se os dados forem sub-retidos (eliminados demasiado cedo) ou riscos legais se os dados forem retidos em excesso (mantidos demasiado tempo). As estratégias de gestão de registos eficazes ajudam a garantir que os documentos da organização são mantidos de acordo com os períodos de retenção pré-definidos, concebidos para minimizar o risco para a organização. Os períodos de retenção são prescritos num agendamento de retenção de registo organizacional gerido centralmente. Os períodos de retenção baseiam-se na natureza de cada tipo de documento, nos requisitos de conformidade regulamentar para reter tipos específicos de dados e nas políticas definidas da organização.

Atribuir períodos de retenção de registos com precisão em documentos organizacionais pode exigir um processo granular que atribui períodos de retenção exclusivamente a documentos individuais. A aplicação de políticas de retenção de registos em escala pode ser um desafio por vários motivos. Estas razões incluem o vasto número de documentos nas organizações do setor energético, juntamente com o facto de, em muitos casos, os períodos de retenção poderem ser acionados por eventos organizacionais (como contratos que expiram ou um funcionário sair da organização).

O Microsoft 365 fornece capacidades para definir etiquetas e políticas de retenção para implementar facilmente requisitos de gestão de registos. Um gestor de registos define uma etiqueta de retenção, que representa um "tipo de registo" numa agenda de retenção tradicional. A etiqueta de retenção contém definições que definem:

  • Durante quanto tempo um registo é retido
  • Os requisitos de simultaneidade ou o que ocorre quando o período de retenção expira (elimine o documento, inicie uma revisão de eliminação ou não tome nenhuma ação)
  • O que aciona o período de retenção a iniciar (data de criação, data da última modificação, data etiquetada ou evento) e
  • Se o documento ou e-mail for um registo (o que significa que não pode ser editado ou eliminado)

Em seguida, as etiquetas de retenção são publicadas em sites do SharePoint ou do OneDrive, caixas de correio do Exchange e Office 365 Grupos. Em seguida, os utilizadores podem aplicar manualmente etiquetas de retenção a documentos e e-mails. Em alternativa, os gestores de registos podem utilizar regras para aplicar etiquetas de retenção automaticamente. As regras de aplicação automática podem basear-se em palavras-chave ou dados confidenciais encontrados em documentos ou e-mails, como números de cartões de crédito, números de segurança social ou outras informações pessoais (PII). As regras de aplicação automática também podem ser baseadas em metadados do SharePoint.

As normas FedRAMP Moderate Control Set e NERC CIP também incluem a Reutilização e Eliminação de Recursos como requisito de controlo chave (CIP-011-2). Estes requisitos abordam mais uma vez especificamente as Informações do Sistema Cibernético BES (Bulk Electric System). No entanto, outros regulamentos jurisdicionais exigem que as organizações do setor energético giram e eliminem eficazmente os registos para muitos tipos de informação. Estas informações incluem demonstrações financeiras, informações de projetos de capital, orçamentos, dados do cliente, etc. Em todos os casos, as organizações de energia são obrigadas a manter programas de gestão de registos robustos e provas relacionadas com a eliminação defensável dos registos empresariais.

Com cada etiqueta de retenção, o Microsoft 365 permite que os gestores de registos determinem se é necessária uma revisão de eliminação. Em seguida, quando esses tipos de registo forem eliminados, após o período de retenção expirar, tem de ser feita uma revisão pelos revisores de disposição designados antes de o conteúdo ser eliminado. Assim que a revisão da eliminação for aprovada, a eliminação de conteúdos continua. No entanto, as provas da eliminação (o utilizador que efetuou a eliminação e data/hora em que ocorreu) continuam a ser mantidas durante vários anos como certificado de destruição. Se as organizações exigirem uma retenção mais longa ou permanente de certificados de destruição, podem utilizar Microsoft Sentinel para armazenamento de dados de auditoria e registos baseado na cloud a longo prazo. Microsoft Sentinel dá às organizações controlo total sobre o armazenamento a longo prazo e a retenção de dados de atividade, dados de registo e dados de retenção/eliminação.

Cumprir os Regulamentos DA FERC e FTC para os Mercados de Energia

A Comissão Reguladora Federal da Energia (FERC) dos EUA supervisiona os regulamentos relacionados com os mercados de energia e o comércio dos mercados de energia elétrica e gás natural. A Comissão Federal do Comércio dos EUA (FTC) supervisiona regulamentos semelhantes no mercado petrolífero. Em ambos os casos, estes organismos reguladores estabeleceram regras e orientações para proibir a manipulação dos mercados energéticos. A FERC, por exemplo, recomenda que as organizações de energia invistam em recursos tecnológicos para monitorizar o comércio, as comunicações comerciais e a conformidade com os controlos internos. Os reguladores também recomendam que as organizações de energia avaliem regularmente a eficácia contínua do programa de conformidade da organização.

Tradicionalmente, as soluções de monitorização de comunicações são dispendiosas e podem ser complexas de configurar e gerir. Além disso, as organizações podem experienciar desafios com a monitorização de vários canais de comunicação diferentes disponíveis para os funcionários. O Microsoft 365 fornece várias capacidades robustas incorporadas para monitorizar as comunicações dos colaboradores, supervisionar as atividades dos colaboradores e ajudar a cumprir os regulamentos da FERC para os mercados de energia.

Implementar Controlo de Supervisão

O Microsoft 365 permite às organizações configurar políticas de supervisão que capturam as comunicações dos funcionários (com base nas condições configuradas) e permitem que sejam revistas por supervisores designados. As políticas de supervisão podem capturar e-mails e anexos internos/externos, chat do Microsoft Teams e comunicações de canais, Skype para Empresas comunicações e anexos de chat online e comunicações através de serviços de terceiros (como Facebook ou Dropbox).

A natureza abrangente das comunicações que podem ser capturadas e revistas numa organização e as extensas condições com as quais as políticas podem ser configuradas permitem que as Políticas de Supervisão do Microsoft 365 ajudem as organizações a cumprir os regulamentos do mercado de energia FERC. As políticas de supervisão podem ser configuradas para rever as comunicações de indivíduos ou grupos. Além disso, os supervisores podem ser configurados para serem indivíduos ou grupos. Podem ser configuradas condições abrangentes para capturar comunicações com base em mensagens de entrada ou saída, domínios, etiquetas de retenção, palavras-chave ou expressões, dicionários de palavras-chave, tipos de dados confidenciais, anexos, tamanho da mensagem ou tamanho do anexo. Os revisores são fornecidos com um dashboard onde podem rever comunicações sinalizadas, agir sobre comunicações que potencialmente violam políticas ou marcar itens sinalizados como resolvidos. Também podem rever os resultados de revisões e itens anteriores que foram resolvidos.

O Microsoft 365 fornece relatórios que permitem que as atividades de revisão da política de supervisão sejam auditadas com base na política e no revisor. Os relatórios disponíveis podem ser utilizados para validar que as políticas de supervisão estão a funcionar conforme definido pelas políticas de supervisão escritas pelas organizações. Os relatórios também podem ser utilizados para identificar comunicações que requerem revisão, incluindo comunicações que não estão em conformidade com a política empresarial. Por fim, todas as atividades relacionadas com a configuração de políticas de supervisão e a revisão das comunicações são auditadas no Office 365 registo de auditoria unificado.

As Políticas de Supervisão do Microsoft 365 permitem que as organizações monitorizem as comunicações para conformidade com as políticas empresariais, tais como violações de assédio de recursos humanos e linguagem ofensiva nas comunicações da empresa. Também permite que as organizações reduzam os riscos, monitorizando as comunicações quando as organizações estão a sofrer alterações organizacionais confidenciais, como fusões e aquisições, ou mudanças de liderança.

Conformidade de comunicações

Com muitos canais de comunicação disponíveis para os colaboradores, as organizações exigem cada vez mais soluções eficazes para detetar e investigar comunicações em indústrias reguladas, como os mercados de comércio de energia. Estes desafios podem incluir o aumento do número de canais de comunicação e o volume de mensagens e o risco de potenciais multas por violações de políticas.

Conformidade de comunicações do Microsoft Purview é uma solução de conformidade que ajuda a minimizar os riscos de comunicação ao ajudá-lo a detetar, investigar e agir sobre mensagens inadequadas na sua organização. As políticas predefinidas e personalizadas permitem-lhe analisar as comunicações internas e externas para que possam ser examinadas pelos revisores designados. Os revisores podem investigar e-mails digitalizados, Microsoft Teams, Viva Engage ou comunicações de terceiros na sua organização e tomar as medidas adequadas para garantir que estão em conformidade com os padrões de mensagens da sua organização.

A Conformidade de Comunicações ajuda as equipas de conformidade a rever de forma eficaz e eficiente as mensagens relativas a possíveis violações de:

  • Políticas empresariais, como utilização aceitável, padrões éticos e políticas específicas da empresa
  • confidencialidade ou divulgações comerciais confidenciais, tais como comunicações não autorizadas sobre projetos confidenciais, como aquisições futuras, fusões, divulgações de ganhos, reorganizações ou alterações da equipa de liderança
  • requisitos de conformidade regulamentar, tais como comunicações dos colaboradores relativamente aos tipos de negócios ou transações em que uma organização cumpre os regulamentos da FERC para os mercados de energia

A conformidade de comunicação fornece classificadores incorporados de ameaças, assédio e palavras ofensivas para ajudar a reduzir os falsos positivos ao rever as comunicações. Esta classificação poupa tempo aos revisores durante o processo de investigação e remediação. Ajuda os revisores a concentrarem-se em mensagens específicas em threads longos que foram realçados por alertas de política. Este resultado ajuda as equipas de conformidade a identificar e remediar riscos mais rapidamente. Fornece às equipas de conformidade a capacidade de configurar e ajustar facilmente políticas, ajustando a solução às necessidades específicas da organização e reduzindo falsos positivos. A conformidade de comunicação também pode ajudar a identificar comportamentos de utilizador potencialmente arriscados ao longo do tempo, realçando potenciais padrões em comportamentos de risco ou violações de políticas. Por fim, fornece fluxos de trabalho de remediação incorporados flexíveis. Estes fluxos de trabalho ajudam os revisores a tomar rapidamente medidas para escalar para equipas de recursos legais ou humanos de acordo com processos empresariais definidos.

Proteger contra a transferência de dados não autorizada e o risco interno

Uma ameaça comum para as empresas é a transferência de dados não autorizada ou o ato de extrair dados de uma organização. Esta ação pode ser uma preocupação significativa para as organizações de energia devido à natureza sensível das informações que podem ser acedidas por funcionários ou funcionários do serviço de campo no dia-a-dia. Estes dados incluem informações do Sistema Cibernético BES (Bulk Electric System), bem como informações relacionadas com a empresa e dados do cliente. Com os métodos crescentes de comunicações disponíveis e muitas ferramentas para mover dados, são normalmente necessárias ferramentas avançadas para mitigar os riscos de fugas de dados, violações de políticas e riscos internos.

Gestão de riscos internos

Permitir aos colaboradores ferramentas de colaboração online que possam ser acedidas em qualquer lugar inerentemente traz riscos para uma organização. Os funcionários podem, inadvertidamente ou maliciosamente, divulgar dados a atacantes ou a concorrentes. Em alternativa, podem exfiltrar dados para uso pessoal ou levar dados com eles para um futuro empregador. Estes cenários apresentam sérios riscos para as organizações do ponto de vista da segurança e da conformidade. Identificar estes riscos quando ocorrem e mitiga-los rapidamente requer ferramentas inteligentes para recolha de dados e colaboração em departamentos como legal, recursos humanos e segurança de informações.

Gestão do risco interno do Microsoft Purview é uma solução de conformidade que ajuda a minimizar os riscos internos ao permitir-lhe detetar, investigar e agir sobre atividades maliciosas e inadvertidas na sua organização. As políticas de risco interno permitem-lhe definir os tipos de riscos a identificar e detetar na sua organização, incluindo agir em casos e escalar casos para a Deteção de Dados Eletrónicos da Microsoft (Premium), se necessário. Os analistas de risco na sua organização podem tomar rapidamente as medidas adequadas para garantir que os utilizadores estão em conformidade com as normas de conformidade da sua organização.

Por exemplo, a gestão de riscos internos pode correlacionar sinais dos dispositivos de um utilizador (como copiar ficheiros para uma pen USB ou enviar por e-mail uma conta de e-mail pessoal) com atividades de serviços online (como Office 365 e-mail, SharePoint Online, Microsoft Teams, OneDrive para Empresas) para identificar padrões de exfiltração de dados. Também pode correlacionar estas atividades com os funcionários que saem de uma organização, que é um padrão comportamental comum associado à transferência de dados não autorizada. Pode detetar várias atividades e comportamentos potencialmente arriscados ao longo do tempo. Quando surgem padrões comuns, pode levantar alertas e ajudar os investigadores a concentrarem-se em atividades-chave para verificar uma violação de política com um elevado grau de confiança. A gestão de riscos internos também pode ocultar dados dos investigadores para ajudar a cumprir os regulamentos de privacidade dos dados, ao mesmo tempo que apresenta atividades-chave que os ajudam a realizar investigações de forma eficiente. Quando estiver pronto, permite que os investigadores empacotem e enviem de forma segura dados de atividade chave para recursos humanos e departamentos legais, na sequência de fluxos de trabalho de escalamento comuns para criar casos de ação de remediação.

A gestão de riscos internos é um aumento significativo das capacidades no Microsoft 365 para detetar e investigar riscos internos, ao mesmo tempo que permite que as organizações cumpram os regulamentos de privacidade dos dados e sigam caminhos de escalamento estabelecidos quando os casos requerem uma ação de nível superior.

Conclusão

O Microsoft 365 fornece uma solução integrada e abrangente que permite uma colaboração baseada na cloud fácil de utilizar em toda a empresa com o Microsoft Teams. O Microsoft Teams também permite uma melhor comunicação e colaboração com a equipa de serviços de campo, ajudando as organizações de energia a serem mais eficientes e eficazes. Uma melhor colaboração em toda a empresa e com pessoal de campo pode, em última análise, ajudar as organizações de energia a servir melhor os clientes.

As organizações do setor energético têm de cumprir regulamentos rigorosos relacionados com a forma como armazenam, protegem, gerem e retêm informações relacionadas com as suas operações e clientes. Devem igualmente cumprir os regulamentos relacionados com a forma como monitorizam e impedem a manipulação dos mercados energéticos. O Microsoft 365 fornece controlos de segurança robustos para proteger dados, identidades, dispositivos e aplicações contra riscos e cumprir regulamentos rigorosos da indústria energética. As ferramentas incorporadas são fornecidas para ajudar as organizações de energia a avaliar a conformidade, bem como tomar medidas e monitorizar atividades de remediação ao longo do tempo. Estas ferramentas também fornecem métodos fáceis de utilizar para monitorizar e supervisionar comunicações. A plataforma do Microsoft 365 baseia-se em componentes fundamentais, como o Microsoft Azure e o Microsoft Entra ID, ajudando a proteger a plataforma global e a ajudar a organização a cumprir os requisitos de conformidade dos conjuntos de controlo FedRAMP Moderado e Alto. Este design, por sua vez, contribui para a capacidade de uma organização de energia cumprir as normas CIP da NERC.

No geral, o Microsoft 365 ajuda as organizações de energia a proteger melhor a organização, a ter programas de conformidade mais robustos e a permitir que os colaboradores se concentrem em obter melhores informações e implementar estratégias para reduzir melhor os riscos.