Vigtige overvejelser i forbindelse med overholdelse af angivne standarder og sikkerhed i energibranchen

Indførelsen

Energibranchen forsyner samfundet med brændstof og kritisk infrastruktur, som folk er afhængige af hver dag. For at sikre pålideligheden af infrastruktur relateret til massekraftsystemer pålægger de regulerende myndigheder strenge standarder for energiindustriorganisationer. Disse lovgivningsmæssige standarder vedrører ikke kun generering og transmission af strøm, men også de data og kommunikation, der er afgørende for energiselskabernes daglige drift.

Organisationer i energibranchen arbejder med og udveksler mange typer oplysninger som en del af deres regelmæssige drift. Disse oplysninger omfatter kundedata, dokumentation til kapitalkonstruktionsdesign, ressourceplaceringskort, projektstyringsartefakter, ydeevnemålepunkter, rapporter over servicetjenester, miljødata og metrikværdier for ydeevne. Da disse organisationer vil transformere deres drifts- og samarbejdssystemer til moderne digitale platforme, ser de på Microsoft som en pålidelig CSP (Cloud Service Provider) og Microsoft 365 som deres bedste samarbejdsplatform. Da Microsoft 365 er bygget på Microsoft Azure-platformen, bør organisationer undersøge begge platforme, når de overvejer deres kontrol af overholdelse af angivne standarder og sikkerhed, når de flytter til Cloud.

I Nordamerika håndhæver NERC (Nordamerika Electric Reliability Corporation) pålidelighedsstandarder, der kaldes CIP-standarder (Critical Infrastructure Protection). NERC er underlagt tilsyn fra USA's Federal Energy Regulatory Commission (FERC) og statslige myndigheder i Canada. Alle massekraftsystemejere, -operatører og -brugere skal registreres hos NERC og overholde NERC CIP-standarderne. Cloudtjenesteudbydere og tredjepartsleverandører, f.eks. Microsoft, er ikke underlagt NERC CIP-standarder. CIP-standarderne omfatter dog mål, der bør tages i betragtning, når registrerede enheder bruger leverandører i driften af BULK Electric System (BES). Microsoft-kunder, der driver Bulk Electric Systems, er fuldt ud ansvarlige for at sikre deres egen overholdelse af NERC CIP-standarder.

Du kan få oplysninger om Microsoft-cloudtjenester og NERC i følgende ressourcer:

• NERC CIP-standarder og cloudcomputing
• Vejledning til cloudimplementering for NERC Audits

Lovgivningsmæssige standarder, der anbefales til overvejelse af energiorganisationer, omfatter FedRAMP (US Federal Risk and Authorization Management Program), som er baseret på NIST SP 800-53 Rev 4-standarden (National Institute of Standards and Technology).

• Microsoft Office 365 og Office 365 amerikanske regering har hver fået tildelt en FedRAMP ATO (Authorization to Operate) på niveauet Moderat indvirkning.
• Azure og Azure Government er hver især blevet tildelt en FedRAMP High P-ATO (Provisional Authorization to Operate), som repræsenterer det højeste niveau af FedRAMP-godkendelse.

Du kan få oplysninger om Microsoft-cloudtjenester og FedRAMP i følgende ressourcer:

• Oversigt over Microsoft FedRAMP
• Office 365 FedRAMP-rapporter

Disse resultater er vigtige for energiindustrien, fordi en sammenligning mellem FedRAMP Moderate-kontrolsættet og NERC CIP-kravene viser, at FedRAMP Moderate-kontroller omfatter alle NERC CIP-kravene. For yderligere oplysninger udviklede Microsoft en cloudimplementeringsvejledning til NERC Audits , der indeholder en kontroltilknytning mellem det aktuelle sæt NERC CIP-standarder og FedRAMP Moderate-kontrolsæt som dokumenteret i NIST 800-53 Rev 4.

I takt med at energibranchen ser ud til at modernisere deres samarbejdsplatforme, er det nødvendigt at være opmærksom på konfigurationen og udrulningen af samarbejdsværktøjer og sikkerhedskontroller, herunder:

• Vurdering af almindelige samarbejdsscenarier
• Adgang til data, der kræves af medarbejdere for at være produktive
• Lovmæssige krav til overholdelse af angivne standarder
• Tilknyttede risici for data, kunder og organisationen

Microsoft 365 er et moderne cloudmiljø på arbejdspladsen. Det sikrer et sikkert og fleksibelt samarbejde på tværs af virksomheden, herunder kontroller og håndhævelse af politikker, for at overholde de strengeste lovoverholdelsesrammer. I følgende artikler udforskes det i dette dokument, hvordan Microsoft 365 hjælper energibranchen med at flytte til en moderne samarbejdsplatform, samtidig med at data og systemer er sikre og overholder reglerne:

• Angiv en omfattende samarbejdsplatform med Microsoft Teams
• Levér sikkert og kompatibelt samarbejde i energibranchen
• Identificer følsomme data, og undgå tab af data
• Styr data ved effektivt at administrere poster
• Overhold FERC- og FTC-reglerne for energimarkeder
• Beskyt mod dataudfiltrering og insiderrisiko

Som Microsoft-partner har Protiviti bidraget til og leveret materialefeedback til denne artikel.

Angiv en omfattende samarbejdsplatform med Microsoft Teams

Samarbejde kræver typisk flere former for kommunikation, muligheden for at gemme og få adgang til dokumenter og muligheden for at integrere andre programmer efter behov. Uanset om de er globale virksomheder eller lokale virksomheder, har medarbejdere i energisektoren typisk brug for at samarbejde og kommunikere med medlemmer af andre afdelinger eller på tværs af teams. De har også ofte brug for at kommunikere med eksterne partnere, leverandører eller klienter. Derfor anbefales det normalt ikke at bruge systemer, der skaber siloer eller gør det vanskeligt at dele oplysninger. Når det er sagt, ønsker vi stadig at sikre, at medarbejderne deler oplysninger sikkert og i henhold til politik.

At give medarbejderne en moderne og cloudbaseret samarbejdsplatform, der gør det muligt for dem at vælge og nemt integrere de værktøjer, der gør dem mest produktive, giver dem mulighed for at finde de bedste måder at arbejde og samarbejde på. Hvis du bruger Microsoft Teams sammen med sikkerhedskontroller og styringspolitikker til at beskytte organisationen, kan det hjælpe din arbejdsstyrke med nemt at samarbejde i cloudmiljøet.

Microsoft Teams indeholder et samarbejdshub, som din organisation kan bruge til at samle personer, så de kan arbejde og samarbejde om fælles initiativer eller projekter. Det giver teammedlemmerne mulighed for at føre samtaler, samarbejde og medforfattere af dokumenter. Det gør det muligt for personer at gemme og dele filer med teammedlemmer eller personer uden for teamet. Det giver dem også mulighed for at holde live-møder med integreret virksomhedsstemme og video. Microsoft Teams kan tilpasses med nem adgang til Microsoft-apps, f.eks. Planner, Dynamics 365, Power BI og andre line of business-programmer fra tredjepart. Teams forenkler adgangen til Office 365-tjenester og tredjepartsapps for at centralisere organisationens behov for samarbejde og kommunikation.

Alle Microsoft-team understøttes af en Office 365 gruppe. En Office 365 gruppe anses for at være medlemskabsprovider for Office 365 tjenester, herunder Microsoft Teams. Office 365 Grupper bruges til sikkert at styre, hvilke brugere der betragtes som medlemmer, og hvilke der er ejere af gruppen. Dette design giver os mulighed for nemt at styre, hvilke brugere der har adgang til forskellige funktioner i Teams. Derfor kan teammedlemmer og ejere kun få adgang til de funktioner, de har tilladelse til at bruge.

Et almindeligt scenarie, hvor Microsoft Teams kan være til gavn for energiorganisationer, er at samarbejde med entreprenører eller eksterne firmaer som en del af et field service-program, f.eks. vegetationsstyring. Entreprenører er typisk engageret i at administrere vegetation eller fjerne træer omkring elsysteminstallationer. De har ofte brug for at modtage arbejdsinstruktioner, kommunikere med afsendere og andre medarbejdere i marken, tage og dele billeder af eksterne omgivelser, logge af, når arbejdet er fuldført, og dele data med hovedkontoret. Disse programmer kører traditionelt ved hjælp af telefon, tekst, papirarbejdsordrer eller brugerdefinerede programmer. Denne metode kan give mange udfordringer. Det kan f.eks. være:

• Processer er manuelle eller analoge, hvilket gør det svært at spore målepunkter
• Kommunikation er ikke alle registreret på ét sted
• Data er siloed og deles ikke nødvendigvis med alle medarbejdere, der har brug for dem
• Arbejdet udføres muligvis ikke konsekvent eller effektivt
• Brugerdefinerede programmer er ikke integreret med samarbejdsværktøjer, hvilket gør det svært at udtrække og dele data eller måle ydeevnen

Microsoft Teams kan levere et brugervenligt samarbejdsområde til sikker deling af oplysninger og føre samtaler mellem teammedlemmer og eksterne servicepartnere. Teams kan bruges til at afholde møder, foretage taleopkald, gemme og dele arbejdsordrer centralt, indsamle feltdata, uploade fotos, integrere med forretningsprocesløsninger (bygget med Power Apps og Power Automate) og integrere line of business-apps. Denne type field service-data kan anses for at have en lav indvirkning. Effektivitetsgevinster kan dog opnås ved at centralisere kommunikation og få adgang til data mellem medarbejdere og medarbejdere i marken i disse scenarier.

Et andet eksempel, hvor Microsoft Teams kan drage fordel af energibranchen, er, når medarbejdere i kundeservice arbejder på at gendanne tjenesten under et udfald. Feltpersonalet kræver ofte hurtig adgang til skematiske data for understationer, kraftværkskraftværker eller blå tryk for aktiver i marken. Disse data anses for at have stor indvirkning og skal beskyttes i henhold til NERC CIP-forskrifterne. Servicearbejde under afbrydelser kræver kommunikation mellem medarbejdere i marken og kontormedarbejdere og til gengæld med slutkunder. Centralisering af kommunikation og datadeling i Microsoft Teams giver medarbejderne i marken en nem metode til både at få adgang til vigtige data og kommunikere oplysninger eller status tilbage til hovedkontoret. Microsoft Teams gør det f.eks. muligt for medarbejdere i marken at deltage i telefonmøder, mens de er på vej til et udfald. Feltpersonalet kan også tage billeder eller video af deres miljø og dele dem med hovedkontoret, hvilket er særligt vigtigt, når udstyr i marken ikke stemmer overens med skemaerne. Data og status, der indsamles fra feltet, kan derefter vises til kontormedarbejdere og ledelse via datavisualiseringsværktøjer som Power BI. I sidste ende kan Microsoft Teams gøre medarbejderne i marken mere effektive og produktive i disse kritiske situationer.

Teams: Gør samarbejdet bedre, og reducer risikoen for overholdelse af angivne standarder

Microsoft 365 indeholder fælles politikfunktioner til Microsoft Teams ved hjælp af Office 365 Grupper som en underliggende medlemskabsudbyder. Disse politikker kan hjælpe med at forbedre samarbejdet og opfylde behovet for overholdelse af angivne standarder.

Office 365 politikker for navngivning af grupper er med til at sikre, at Office 365 grupper og derfor Microsoft Teams navngives i henhold til virksomhedens politik. Navnet på et team kan præsentere udfordringer, hvis de ikke navngives korrekt. Medarbejderne ved måske ikke, hvilke teams de skal arbejde eller dele oplysninger i, hvis de er navngivet forkert. Politikker for navngivning af grupper hjælper med at håndhæve god hygiejne og kan også forhindre brug af bestemte ord, f.eks. reserverede ord eller upassende terminologi.

Office 365 politikker for udløb af gruppe hjælper med at sikre, at Office 365 Grupper og derfor Microsoft Teams ikke bevares i længere tid end det, der kræves af organisationen. Denne funktion hjælper med at forhindre to vigtige problemer med administration af oplysninger:

• Spredning af Microsoft Teams, der ikke er nødvendige eller bruges
• Overopbevaring af data, der ikke længere kræves af organisationen

Administratorer kan angive en udløbsperiode i dage for Office 365 grupper (f.eks. 90, 180 eller 365 dage). Hvis en tjeneste, der understøttes af en Office 365 gruppe, er inaktiv i udløbsperioden, får gruppeejere besked. Hvis der ikke udføres nogen handling, slettes den Office 365 gruppe og alle dens relaterede tjenester, herunder Microsoft Teams.

Overopbevaring af data i et Microsoft-team kan udgøre en risiko for organisationer. Brugen af udløbspolitikker er en anbefalet metode til beskyttelse af organisationen. Kombineret med indbyggede opbevaringsmærkater og politikker hjælper Microsoft 365 med at sikre, at organisationer kun bevarer de data, der kræves for at opfylde lovmæssige overholdelsesforpligtelser.

Teams: Nemt integrere brugerdefinerede krav

Microsoft Teams muliggør som standard selvbetjeningsoprettelse af Teams. Mange regulerede organisationer vil dog gerne styre og forstå, hvilke samarbejdsområder der i øjeblikket bruges af medarbejdere, hvilke rum der indeholder følsomme data, og hvem ejerne er af rum i hele organisationen. For at lette disse kontrolelementer giver Microsoft 365 organisationer mulighed for at deaktivere oprettelse af Teams via selvbetjening. Ved hjælp af indbyggede værktøjer til automatisering af forretningsprocesser i Microsoft 365, f.eks. Power Apps og Power Automate, kan organisationer desuden bygge enkle processer for at anmode om et nyt team. Når du udfylder en formular, der er nem at bruge, kan en leder automatisk anmode om en godkendelse. Når teamet er godkendt, kan det klargøres automatisk, og anmoderen får tilsendt et link til sit nye team. Ved at bygge sådanne processer kan organisationer også integrere brugerdefinerede krav for at facilitere andre forretningsprocesser.

Levér sikkert og kompatibelt samarbejde i energibranchen

Som nævnt har Microsoft Office 365 og Office 365 amerikanske regering hver især opnået FedRAMP ATO på niveauet Moderat indvirkning. Azure og Azure Government har opnået en FedRAMP High P-ATO, som repræsenterer det højeste niveau af FedRAMP-godkendelse. Derudover omfatter FedRAMP-styringssættet et moderat kontrolsæt, der omfatter alle NERC CIP-kravene, hvilket gør det muligt for energiindustriorganisationer ("registrerede enheder") at udnytte eksisterende FedRAMP-godkendelser som en skalerbar og effektiv tilgang til løsning af NERC-revisionskrav. Det er dog vigtigt at bemærke, at FedRAMP ikke er en tidsspecifik certificering, men et vurderings- og autorisationsprogram, der indeholder bestemmelser om løbende overvågning. Selvom denne bestemmelse primært gælder for CSP, er Microsoft-kunder, der driver Bulk Electric Systems, ansvarlige for at sikre deres egen overholdelse af NERC CIP-standarder. Det er generelt en anbefalet praksis løbende at overvåge organisationens overholdelse af angivne standarder for at sikre løbende overholdelse af regler.

Microsoft leverer et vigtigt værktøj til at hjælpe med at overvåge overholdelse af regler over tid:

• Microsoft Purview Compliance Manager hjælper organisationen med at forstå dens aktuelle overholdelse af angivne standarder og de handlinger, den kan udføre for at hjælpe med at forbedre denne holdning. Overholdelsesstyring beregner en risikobaseret scoremåling af status for fuldførelse af handlinger, der hjælper med at reducere risici i forbindelse med databeskyttelse og lovgivningsmæssige standarder. Overholdelsesstyring leverer en indledende score baseret på Microsoft 365-grundlinjen til databeskyttelse. Denne grundlinje er et sæt kontroller, der omfatter fælles brancheregler og -standarder. Selvom denne score er et godt udgangspunkt, bliver Overholdelsesstyring mere effektiv, når en organisation tilføjer vurderinger, der er mere relevante for deres branche. Overholdelsesstyring understøtter en række lovgivningsmæssige standarder, der er relevante for NERC CIP-overholdelsesforpligtelser, herunder FedRAMP Moderate Control Set, NIST 800-53 Rev. 4 og AICPA SOC 2. Energiindustriorganisationer kan også oprette eller importere brugerdefinerede kontrolelementsæt, hvis det er nødvendigt.

De arbejdsprocesfunktioner, der er indbygget i Overholdelsesstyring, gør det muligt for energiorganisationer at transformere og digitalisere deres processer for lovgivningsmæssig overholdelse af angivne standarder. Overholdelsesteams i energibranchen står traditionelt over for følgende udfordringer:

• Inkonsekvent rapportering eller sporing af status for afhjælpningshandlinger
• Ineffektive eller ineffektive processer
• Utilstrækkelige ressourcer eller manglende ejerskab
• Manglende oplysninger i realtid og menneskelige fejl

Ved at automatisere aspekter af lovgivningsmæssige overholdelsesprocesser ved hjælp af Overholdelsesstyring kan organisationer reducere den administrative byrde på juridiske funktioner og funktioner til overholdelse af angivne standarder. Dette værktøj kan hjælpe med at håndtere disse udfordringer ved at levere mere opdaterede oplysninger om afhjælpningshandlinger, mere konsekvent rapportering og dokumenteret ejerskab af handlinger (knyttet til gennemførelsen af handlinger). Organisationer kan automatisk spore afhjælpningshandlinger over tid og se generelle effektivitetsgevinster. Denne funktion giver medarbejderne mulighed for at fokusere mere på at få indsigt og udvikle strategier for at hjælpe med at navigere risikoen mere effektivt.

Overholdelsesstyring udtrykker ikke en absolut måling af organisationens overholdelse af en bestemt standard eller regulering. Det udtrykker i hvor høj grad, du har vedtaget kontroller, som kan reducere risikoen for personlige data og individuel beskyttelse af personlige oplysninger. Anbefalinger fra Overholdelsesstyring skal ikke fortolkes som en garanti for overholdelse af angivne standarder. De kundehandlinger, der er angivet i Overholdelsesstyring, er anbefalinger. Det er op til hver organisation at evaluere effektiviteten af disse anbefalinger for at opfylde deres lovmæssige forpligtelser før implementering. Anbefalinger, der findes i Overholdelsesstyring, bør ikke fortolkes som en garanti for overholdelse af angivne standarder.

Mange cybersikkerhedsrelaterede kontrolelementer er inkluderet i FedRAMP Moderate Control Set og NERC CIP-standarderne. Nøglekontrolelementer, der er relateret til Microsoft 365-platformen, omfatter dog sikkerhedsstyringskontroller (CIP-003-6), konto- og adgangsstyring/adgangstilbagekaldelse (CIP-004-6), elektronisk sikkerhedsperimeter (CIP-005-5), overvågning af sikkerhedshændelser og svar på hændelser (CIP-008-5). Følgende grundlæggende funktioner i Microsoft 365 hjælper med at håndtere de risici og krav, der er inkluderet i disse artikler.

Sikker brugeridentitet og kontroladgang

Beskyttelse af adgang til dokumenter og programmer begynder med en stærk sikring af brugeridentiteter. Som grundlag kræver denne handling, at der angives en sikker platform, så virksomheden kan gemme og administrere identiteter og levere en pålidelig godkendelsesmetode. Det kræver også dynamisk styring af adgangen til disse programmer. Når medarbejderne arbejder, kan de flytte fra program til program eller på tværs af flere placeringer og enheder. Adgangen til data skal derfor godkendes på hvert trin på vejen. Desuden skal godkendelsesprocessen understøtte en stærk protokol og flere godkendelsesfaktorer (engangs-SMS-adgangskode, godkenderapp, certifikat osv.) for at sikre, at identiteter ikke er blevet kompromitteret. Endelig er gennemtvingelse af risikobaserede adgangspolitikker en vigtig anbefaling til at beskytte data og programmer mod insidertrusler, utilsigtede datalækager og dataudfiltrering.

Microsoft 365 indeholder en sikker identificeringsplatform med Microsoft Entra ID, hvor identiteter gemmes centralt og administreres sikkert. Microsoft Entra ID danner sammen med et væld af relaterede Microsoft 365-sikkerhedstjenester grundlaget for at give medarbejderne den adgang, de har brug for til at arbejde sikkert, samtidig med at organisationen beskyttes mod trusler.

Microsoft Entra multifaktorgodkendelse er indbygget i platformen og giver et ekstra beskyttelseslag, der hjælper med at sikre, at brugerne er dem, de siger, de er, når de tilgår følsomme data og programmer. Microsoft Entra multifaktorgodkendelse kræver mindst to former for godkendelse, f.eks. en adgangskode og en kendt mobilenhed. Den understøtter flere indstillinger for anden faktorgodkendelse, herunder: Microsoft Authenticator-appen, en engangsadgangskode, der leveres via sms, modtagelse af et telefonopkald, hvor en bruger skal angive en pinkode, og chipkort eller certifikatbaseret godkendelse. I tilfælde af at en adgangskode kompromitteres, har en potentiel hacker stadig brug for brugerens telefon for at få adgang til organisationsdata. Derudover bruger Microsoft 365 moderne godkendelse som en nøgleprotokol, hvilket giver den samme stærke godkendelsesoplevelse fra webbrowsere til samarbejdsværktøjer, herunder Microsoft Outlook og Microsoft Office-apps.

Microsoft Entra Betinget adgang er en robust løsning til automatisering af beslutninger om adgangskontrol og håndhævelse af politikker for at beskytte virksomhedens aktiver. Et almindeligt eksempel er, når en medarbejder forsøger at få adgang til et program, der indeholder følsomme kundedata, og de automatisk skal udføre en multifaktorgodkendelse. Betinget adgang i Azure samler signaler fra en brugers anmodning om adgang (f.eks. egenskaber for brugeren, brugerens enhed, placering, netværk og den app eller det lager, brugeren forsøger at få adgang til). Den evaluerer dynamisk hvert forsøg på at få adgang til programmet i forhold til de politikker, du konfigurerer. Hvis bruger- eller enhedsrisikoen er øget, eller hvis andre betingelser ikke er opfyldt, gennemtvinger Microsoft Entra ID automatisk politikken (f.eks. dynamisk kræver MFA, begrænser eller endda blokerer adgang). Dette design hjælper med at sikre, at følsomme aktiver beskyttes i miljøer, der ændrer sig dynamisk.

Microsoft Defender for Office 365 leverer en integreret tjeneste til at beskytte organisationer mod skadelige links og malware, der leveres via mail. En af de mest almindelige angrebsvektorer, der påvirker brugerne i dag, er mail phishing-angreb. Disse angreb kan omhyggeligt målrettes mod specifikke højt profilerede medarbejdere og kan udformes til at være meget overbevisende. De indeholder typisk nogle opfordringer til handling, der kræver, at en bruger vælger et skadeligt link eller åbner en vedhæftet fil med malware. Når en person er inficeret, kan vedkommende stjæle en brugers legitimationsoplysninger og flytte dem side om side på tværs af organisationen. De kan også exfiltrate mails og data på udkig efter følsomme oplysninger. Microsoft Defender for Office 365 evaluerer links på kliktidspunktet for potentielt skadelige websteder og blokerer dem. Vedhæftede filer i mails åbnes i en beskyttet sandkasse, før de leveres til en brugers postkasse.

Microsoft Defender for Cloud Apps giver organisationer mulighed for at gennemtvinge politikker på et detaljeret niveau. Dette design omfatter registrering af funktionsmådeuregelmæssigheder baseret på individuelle brugerprofiler, der automatisk defineres ved hjælp af Machine Learning. Defender for Cloud Apps bygger på politikker for betinget adgang i Azure ved at evaluere yderligere signaler, der er relateret til brugeradfærd og egenskaber for de dokumenter, der åbnes. Med tiden lærer Defender for Cloud Apps den typiske funktionsmåde for hver medarbejder (de data, de får adgang til, og de programmer, de bruger). Baseret på lærte adfærdsmønstre kan politikker automatisk gennemtvinge sikkerhedskontroller, hvis en medarbejder går uden for den pågældende adfærdsprofil. Hvis en medarbejder f.eks. typisk tilgår en regnskabsapp fra kl. 9:00 til 17:00, mandag til fredag, men den samme bruger begynder at få adgang til programmet kraftigt en søndag aften, kan Defender for Cloud Apps gennemtvinge politikker dynamisk for at kræve, at brugeren godkendes igen. Dette krav hjælper med at sikre, at legitimationsoplysningerne ikke er blevet kompromitteret. Derudover kan Defender for Cloud Apps hjælpe med at finde og identificere Shadow IT i organisationen. Denne funktion hjælper InfoSec-teams med at sikre, at medarbejdere bruger sanktionerede værktøjer, når de arbejder med følsomme data. Til sidst kan Defender for Cloud Apps beskytte følsomme data overalt i clouden, selv uden for Microsoft 365-platformen. Det giver organisationer mulighed for at sanktionere (eller fjernesanktioner) bestemte eksterne Cloud-apps, styre adgang og overvågning, når brugerne arbejder i disse programmer.

Microsoft Entra ID og de relaterede Microsoft 365-sikkerhedstjenester udgør grundlaget for, hvordan en moderne platform til cloudsamarbejde kan udrulles til organisationer inden for energibranchen. Microsoft Entra ID omfatter kontrolelementer til beskyttelse af adgang til data og programmer. Ud over at levere stærk sikkerhed hjælper disse kontroller organisationer med at overholde lovmæssige overholdelsesforpligtelser.

Microsoft Entra ID- og Microsoft 365-tjenester og er dybt integreret og indeholder følgende vigtige funktioner:

• Gem og administrer brugeridentiteter centralt og sikkert
• Brug en stærk godkendelsesprotokol, herunder multifaktorgodkendelse, til at godkende brugere ved adgangsanmodninger
• Giv en ensartet og robust godkendelsesoplevelse på tværs af alle programmer
• Valider dynamisk politikker for alle adgangsanmodninger, så der inkorporeres flere signaler i politikbeslutningsprocessen (herunder identitet, medlemskab af bruger/gruppe, program, enhed, netværk, placering og risikoscore i realtid)
• Valider detaljerede politikker baseret på brugerfunktionsmåde og filegenskaber, og gennemtving yderligere sikkerhedsforanstaltninger dynamisk, når det er nødvendigt
• Identificer skygge-it i organisationen, og giv InfoSec-teams tilladelse til at sanktionere eller blokere cloudprogrammer
• Overvåg og styr adgangen til Microsoft- og ikke-Microsoft-cloudprogrammer
• Proaktivt beskytte mod phishing- og ransomware-angreb via mail

Identificer følsomme data, og undgå tab af data

FedRAMP Moderate Control Set- og NERC CIP-standarderne omfatter også information protection som et centralt kontrolkrav (CIP-011-2). Disse krav omhandler specifikt behovet for at identificere oplysninger relateret til BES (Bulk Electric System) Cyber System Information og beskyttelse og sikker håndtering af disse oplysninger (herunder opbevaring, transit og brug). Specifikke eksempler på BES Cyber System Information kan omfatte sikkerhedsprocedurer eller sikkerhedsoplysninger om systemer, der er grundlæggende for driften af masseelektriske systemer (BES Cyber Systems, Physical Access Control Systems og Electronic Access Control eller overvågningssystemer), som ikke er offentligt tilgængelige og kan bruges til at tillade uautoriseret adgang eller uautoriseret distribution. Der er dog det samme behov for at identificere og beskytte kundeoplysninger, der er vigtige for energiorganisationernes daglige drift.

Microsoft 365 gør det muligt at identificere og beskytte følsomme data i organisationen via en kombination af effektive funktioner, herunder:

• Microsoft Purview Information Protection til både brugerbaseret klassificering og automatiseret klassificering af følsomme data

• Microsoft Purview Forebyggelse af datatab (DLP) til automatisk identifikation af følsomme data ved hjælp af følsomme datatyper (dvs. regulære udtryk) og nøgleord samt håndhævelse af politikker

Microsoft Purview Information Protection giver medarbejderne mulighed for at klassificere dokumenter og mails med følsomhedsmærkater. Brugerne kan anvende følsomhedsmærkater manuelt på dokumenter i Microsoft Office-apps og på mails i Microsoft Outlook. Følsomhedsmærkater kan automatisk anvende dokumentmarkeringer, beskyttelse via kryptering og gennemtvinge rettighedsstyring. Følsomhedsmærkater kan også anvendes automatisk ved at konfigurere politikker, der bruger nøgleord og følsomme datatyper (kreditkortnumre, cpr-numre, identitetsnumre osv.).

Microsoft leverer også klassificeringer, der kan oplæres. Disse bruger modeller til maskinel indlæring til at identificere følsomme data baseret på, hvad indholdet er, i modsætning til blot gennem mønstermatch eller af elementerne i indholdet. En klassificering lærer, hvordan du identificerer en type indhold ved at se på mange eksempler på det indhold, der skal klassificeres. Oplæring af en klassificering starter med at give den eksempler på indhold inden for en bestemt kategori. Når den behandler eksemplerne, testes modellen ved at give den en blanding af både matchende og ikke-matchende eksempler. Klassificeringen forudsiger derefter, om et givet eksempel falder ind under kategorien eller ej. En person bekræfter derefter resultaterne og sorterer positive, negativer, falske positiver og falske negative for at øge nøjagtigheden af klassificeringens forudsigelser. Når den oplærte klassificering er publiceret, behandles og klassificeres indhold automatisk i SharePoint Online, Exchange Online og OneDrive.

Anvendelse af følsomhedsmærkater på dokumenter og mails integrerer metadata i det objekt, der identificerer den valgte følsomhed, hvilket gør det muligt for følsomheden at rejse med dataene. Selvom et dokument, der er forsynet med mærkater, er gemt på en brugers skrivebord eller i et lokalt system, er det derfor stadig beskyttet. Dette design gør det muligt for andre Microsoft 365-løsninger, f.eks. Microsoft Defender for Cloud Apps- eller netværksenheder, at identificere følsomme data og automatisk gennemtvinge sikkerhedskontroller. Følsomhedsmærkater har den ekstra fordel, at medarbejderne uddannes i, hvilke data i en organisation der betragtes som følsomme, og hvordan de skal håndtere disse data.

Microsoft Purview Forebyggelse af datatab (DLP) identificerer automatisk dokumenter, mails og samtaler, der indeholder følsomme data, ved at scanne disse elementer efter følsomme datatyper og derefter gennemtvinge politikker for disse objekter. Politikker gennemtvinges på dokumenter i SharePoint og OneDrive for Business. Politikker gennemtvinges også, når brugerne sender mail og i Microsoft Teams i chat- og kanalsamtaler. Politikker kan konfigureres til at søge efter nøgleord, følsomme datatyper, opbevaringsmærkater, og om data deles i organisationen eller eksternt. Der leveres kontrolelementer, der hjælper organisationer med at finjustere DLP-politikker for bedre at undgå falske positiver. Når der findes følsomme data, kan politiktip, der kan tilpasses, vises for brugere i Microsoft 365-programmer. Politiktips informerer brugerne om, at deres indhold indeholder følsomme data, og kan foreslå afhjælpende handlinger. Politikker kan også forhindre brugerne i at få adgang til dokumenter, dele dokumenter eller sende mails, der indeholder visse typer følsomme data. Microsoft 365 understøtter mere end 100 indbyggede følsomme datatyper. Organisationer kan konfigurere brugerdefinerede følsomme datatyper, så de opfylder deres politikker.

Udrulning af Microsoft Purview Information Protection- og DLP-politikker til organisationer kræver omhyggelig planlægning. Det kræver også brugeruddannelse, så medarbejderne forstår organisationens dataklassificeringsskema, og hvilke typer data der er følsomme. At give medarbejderne værktøjer og uddannelsesprogrammer, der hjælper dem med at identificere følsomme data og hjælpe dem med at forstå, hvordan de håndterer dem, gør dem til en del af løsningen til afhjælpning af risici i forbindelse med informationssikkerhed.

Styr data ved effektivt at administrere poster

Regler kræver, at mange organisationer administrerer opbevaringen af vigtige organisationsdokumenter i henhold til en administreret virksomhedsopbevaringsplan. Organisationer står over for lovgivningsmæssige risici for overholdelse af angivne standarder, hvis data opbevares for længe (slettet for tidligt), eller juridiske risici, hvis dataene bevares for længe. Effektive datastyringsstrategier hjælper med at sikre, at organisationsdokumenter opbevares i henhold til forud fastsatte opbevaringsperioder, som er designet til at minimere risikoen for organisationen. Opbevaringsperioder er foreskrevet i en centralt administreret opbevaringsplan for organisationsposter. Opbevaringsperioder er baseret på arten af hver type dokument, de lovmæssige krav til overholdelse af angivne standarder for opbevaring af bestemte typer data og organisationens definerede politikker.

Tildeling af opbevaringsperioder for poster nøjagtigt på tværs af organisationsdokumenter kan kræve en detaljeret proces, der tildeler opbevaringsperioder entydigt til individuelle dokumenter. Det kan af mange årsager være en udfordring at anvende politikker for opbevaring af poster i stor skala. Disse årsager omfatter det store antal dokumenter i energibranchens organisationer sammen med det faktum, at opbevaringsperioder i mange tilfælde kan udløses af organisatoriske hændelser (f.eks. udløb af kontrakter eller en medarbejder, der forlader organisationen).

Microsoft 365 indeholder funktioner til definition af opbevaringsmærkater og politikker, så du nemt kan implementere krav til datastyring. En postadministrator definerer en opbevaringsmærkat, som repræsenterer en "posttype" i en traditionel opbevaringsplan. Opbevaringsmærkaten indeholder indstillinger, der definerer:

• Hvor længe en post bevares i
• Samtidighedskravene, eller hvad der sker, når opbevaringsperioden udløber (slet dokumentet, start en gennemgang af dispositionen, eller udfør ingen handling)
• Det, der udløser, at opbevaringsperioden starter (oprettelsesdato, dato for seneste ændring, markeret dato eller en hændelse), og
• Hvis dokumentet eller mailen er en post (hvilket betyder, at det ikke kan redigeres eller slettes)

Opbevaringsmærkater publiceres derefter på SharePoint- eller OneDrive-websteder, Exchange-postkasser og Office 365 grupper. Brugerne kan derefter anvende opbevaringsmærkater manuelt på dokumenter og mails. Eller postadministratorer kan bruge regler til automatisk at anvende opbevaringsmærkater. Regler for automatisk anvendelse kan være baseret på nøgleord eller følsomme data, der findes i dokumenter eller mails, f.eks. kreditkortnumre, cpr-numre eller andre personidentificerbare oplysninger. Regler for automatisk anvendelse kan også være baseret på SharePoint-metadata.

FedRAMP Moderate Control Set- og NERC CIP-standarderne omfatter også genbrug og bortskaffelse af aktiver som et centralt kontrolkrav (CIP-011-2). Disse krav omhandler igen specifikt BES (Bulk Electric System) Cyber System Information. Andre jurisdiktionsforskrifter kræver dog, at energiindustriorganisationer administrerer og bortskaffer poster effektivt for mange typer oplysninger. Disse oplysninger omfatter årsregnskaber, kapitalprojektoplysninger, budgetter, kundedata osv. I alle tilfælde er energiorganisationer forpligtet til at opretholde robuste programmer til datastyring og dokumentation relateret til den forsvarlige fordeling af virksomhedsposter.

Med hver opbevaringsmærkat giver Microsoft 365 postadministratorer mulighed for at afgøre, om en dispositionsgennemgang er påkrævet. Når disse posttyper derefter vises til disposition, efter at opbevaringsperioden er udløbet, skal de udpegede dispositionsgennemgange foretage en gennemgang, før indholdet slettes. Når gennemgangen af fordeling er godkendt, fortsætter sletningen af indhold. Dokumentation for sletningen (den bruger, der udførte sletningen og den dato/det klokkeslæt, hvor den forekom) bevares dog i flere år som et destruktionscertifikat. Hvis organisationer kræver længere eller permanent opbevaring af destruktionscertifikater, kan de bruge Microsoft Sentinel til langsigtet skybaseret lagring af log- og overvågningsdata. Microsoft Sentinel giver organisationer fuld kontrol over langsigtet lagring og opbevaring af aktivitetsdata, logdata og opbevarings-/fordelingsdata.

Overhold FERC- og FTC-reglerne for energimarkeder

Den amerikanske FERC (Federal Energy Regulatory Commission) kontrollerer regler, der er relateret til energimarkeder og handel med el- og naturgasmarkederne. Den amerikanske Federal Trade Commission (FTC) fører tilsyn med lignende regler på oliemarkedet. I begge tilfælde fastsætter disse tilsynsorganer regler og retningslinjer for forbud mod manipulation af energimarkeder. FERC anbefaler f.eks., at energiorganisationer investerer i teknologiressourcer til at overvåge handel, erhvervsdrivendes kommunikation og overholdelse af interne kontroller. Regulatorer anbefaler også, at energiorganisationer regelmæssigt evaluerer den løbende effektivitet af organisationens overholdelsesprogram.

Kommunikationsovervågningsløsninger er traditionelt dyre, og de kan være komplekse at konfigurere og administrere. Organisationer kan også opleve udfordringer med at overvåge de mange forskellige kommunikationskanaler, der er tilgængelige for medarbejderne. Microsoft 365 indeholder flere indbyggede robuste funktioner til overvågning af medarbejderkommunikation, overvågning af medarbejderaktiviteter og hjælp til at overholde FERC-regler for energimarkeder.

Implementer tilsynskontrol

Microsoft 365 giver organisationer mulighed for at konfigurere overvågningspolitikker, der registrerer medarbejderkommunikation (baseret på konfigurerede betingelser) og tillader, at disse gennemses af udpegede vejledere. Overvågningspolitikker kan registrere interne/eksterne mails og vedhæftede filer, Microsoft Teams-chat og -kanalkommunikation, Skype for Business Onlinechatkommunikation og vedhæftede filer samt kommunikation via tredjepartstjenester (f.eks. Facebook eller Dropbox).

Den omfattende karakter af kommunikation, der kan registreres og gennemses i en organisation, og de omfattende betingelser, som politikker kan konfigureres med, gør det muligt for Microsoft 365-tilsynspolitikker at hjælpe organisationer med at overholde FERC-reglerne på energimarkedet. Overvågningspolitikker kan konfigureres til at gennemgå meddelelser for enkeltpersoner eller grupper. Desuden kan vejledere konfigureres til at være enkeltpersoner eller grupper. Omfattende betingelser kan konfigureres til at registrere kommunikation baseret på indgående eller udgående meddelelser, domæner, opbevaringsmærkater, nøgleord eller udtryk, nøgleordsordbøger, følsomme datatyper, vedhæftede filer, meddelelsesstørrelse eller størrelse på vedhæftede filer. Korrekturlæsere får et dashboard, hvor de kan gennemse meddelelser, der er markeret med flag, reagere på kommunikation, der potentielt overtræder politikker, eller markere elementer, der er markeret som løst. De kan også gennemse resultaterne af tidligere korrekturer og elementer, der er blevet løst.

Microsoft 365 indeholder rapporter, der gør det muligt at overvåge aktiviteter til gennemgang af overvågningspolitik baseret på politikken og korrekturlæseren. De tilgængelige rapporter kan bruges til at validere, at overvågningspolitikker fungerer som defineret af organisationers skriftlige overvågningspolitikker. Rapporter kan også bruges til at identificere kommunikation, der kræver gennemsyn, herunder kommunikation, der ikke overholder virksomhedens politik. Endelig overvåges alle aktiviteter i forbindelse med konfiguration af overvågningspolitikker og gennemgang af kommunikation i Office 365 samlede overvågningslog.

Overvågningspolitikker i Microsoft 365 gør det muligt for organisationer at overvåge kommunikation for overholdelse af virksomhedens politikker, f.eks. krænkelser af hr-ressourcer og stødende sprog i virksomhedens kommunikation. Det giver også organisationer mulighed for at reducere risikoen ved at overvåge kommunikation, når organisationer gennemgår følsomme organisatoriske ændringer, f.eks. fusioner og opkøb eller lederændringer.

Kommunikationsoverholdelse

Med mange tilgængelige kommunikationskanaler for medarbejdere kræver organisationer i stigende grad effektive løsninger til registrering og undersøgelse af kommunikation i regulerede industrier som energihandelsmarkeder. Disse udfordringer kan omfatte et stigende antal kommunikationskanaler og meddelelsesvolumen og risikoen for potentielle bøder for politikovertrædelser.

Microsoft Purview Kommunikationsoverholdelse er en løsning til overholdelse af angivne standarder, der hjælper dig med at minimere kommunikationsrisici ved at hjælpe dig med at registrere, undersøge og reagere på upassende meddelelser i din organisation. Foruddefinerede og brugerdefinerede politikker giver dig mulighed for at scanne intern og ekstern kommunikation for politikkampe, så de kan undersøges af udpegede korrekturlæsere. Korrekturlæsere kan undersøge scannede mails, Microsoft Teams, Viva Engage eller tredjepartskommunikation i din organisation og udføre de nødvendige handlinger for at sikre, at de overholder organisationens meddelelsesstandarder.

Kommunikation med overholdelse af angivne standarder hjælper overholdelsesteams med effektivt at gennemse meddelelser for potentielle overtrædelser af:

• virksomhedspolitikker, f.eks. acceptabel brug, etiske standarder og
• følsomhed eller følsomme forretningsoplysninger, f.eks. uautoriseret kommunikation om følsomme projekter, f.eks. kommende opkøb, fusioner, afsløringer af indtjening, omorganiseringer eller ændringer i ledelsesteamet
• lovmæssige krav til overholdelse af angivne standarder, f.eks. medarbejderkommunikation vedrørende de typer virksomheder eller transaktioner, hvor en organisation overholder FERC-reglerne for energimarkeder

Kommunikation med overholdelse af angivne standarder giver indbyggede trusler, chikane og bandeord for at hjælpe med at reducere falske positiver ved gennemgang af kommunikation. Denne klassificering sparer korrekturlæsere tid under undersøgelses- og afhjælpningsprocessen. Det hjælper korrekturlæsere med at fokusere på bestemte meddelelser i lange tråde, der er blevet fremhævet af politikbeskeder. Dette resultat hjælper overholdelsesteams med hurtigere at identificere og afhjælpe risici. Det giver overholdelsesteams mulighed for nemt at konfigurere og finjustere politikker, justere løsningen efter organisationens specifikke behov og reducere falske positiver. Overholdelse af angivne standarder for kommunikation kan også hjælpe med at identificere potentielt risikable brugeradfærd over tid og fremhæve potentielle mønstre i risiko for adfærd eller politikovertrædelser. Endelig giver den fleksible indbyggede afhjælpningsarbejdsprocesser. Disse arbejdsprocesser hjælper korrekturlæsere med hurtigt at eskalere til juridiske teams eller personaleteams i henhold til definerede virksomhedsprocesser.

Beskyt mod dataudfiltrering og insiderrisiko

En almindelig trussel mod virksomheder er dataudfiltrering eller udtrækning af data fra en organisation. Denne handling kan være et vigtigt problem for energiorganisationer på grund af den følsomme karakter af de oplysninger, der kan tilgås af medarbejdere eller medarbejdere i marken dag-til-dag. Disse data omfatter både OPLYSNINGER om BES (Bulk Electric System) Cyber System samt forretningsrelaterede oplysninger og kundedata. Med de stigende tilgængelige kommunikationsmetoder og mange værktøjer til flytning af data er avancerede værktøjer typisk nødvendige for at afhjælpe risikoen for datalækager, politikovertrædelser og insiderrisiko.

Styring af insider-risiko

Aktivering af medarbejdere med værktøjer til onlinesamarbejde, der kan tilgås overalt i sagens natur, udgør en risiko for en organisation. Medarbejdere kan utilsigtet eller ondsindet lække data til personer med ondsindede hensigter eller til konkurrenter. Alternativt kan de exfiltrate data til personlig brug eller tage data med dem til en fremtidig arbejdsgiver. Disse scenarier udgør alvorlige risici for organisationer ud fra et sikkerheds- og overholdelsesscenarie. Identificering af disse risici, når de opstår, og hurtig afhjælpning af dem kræver både intelligente værktøjer til dataindsamling og samarbejde på tværs af afdelinger, f.eks. juridiske, personale og informationssikkerhed.

Microsoft Purview Styring af insider-risiko er en løsning til overholdelse af angivne standarder, der hjælper med at minimere interne risici ved at gøre det muligt for dig at registrere, undersøge og reagere på skadelige og utilsigtede aktiviteter i din organisation. Politikker for insiderrisiko giver dig mulighed for at definere de typer risici, der skal identificeres og registreres i din organisation, herunder at reagere på sager og eskalere sager til Microsoft eDiscovery (Premium), hvis det er nødvendigt. Risikoanalytikere i din organisation kan hurtigt udføre de nødvendige handlinger for at sikre, at brugerne overholder organisationens standarder for overholdelse af angivne standarder.

Styring af insiderrisiko kan f.eks. korrelere signaler fra en brugers enheder (f.eks. kopiering af filer til et USB-drev eller mailing af en personlig mailkonto) med aktiviteter fra onlinetjenester (f.eks. Office 365 mail, SharePoint Online, Microsoft Teams OneDrive for Business) for at identificere dataeksfiltrationsmønstre. Det kan også korrelere disse aktiviteter med medarbejdere, der forlader en organisation, hvilket er et almindeligt adfærdsmønster, der er knyttet til dataudfiltrering. Det kan registrere flere potentielt risikable aktiviteter og funktionsmåde over tid. Når der opstår almindelige mønstre, kan det udløse beskeder og hjælpe efterforskerne med at fokusere på vigtige aktiviteter for at bekræfte en politikovertrædelse med en høj grad af tillid. Styring af insiderrisiko kan også tilsløre data fra efterforskere for at hjælpe med at overholde reglerne om beskyttelse af personlige oplysninger, samtidig med at de stadig indeholder vigtige aktiviteter, der hjælper dem med at udføre undersøgelser effektivt. Når den er klar, giver den efterforskerne mulighed for at pakke og sikkert sende vigtige aktivitetsdata til hr-ressourcer og juridiske afdelinger efter almindelige eskaleringsarbejdsprocesser til behandling af sager med henblik på afhjælpning.

Styring af insiderrisiko er en betydelig forøgelse af funktioner i Microsoft 365 til registrering og undersøgelse af insiderrisici, samtidig med at organisationer stadig kan overholde reglerne for beskyttelse af personlige oplysninger og følge etablerede eskaleringsstier, når sager kræver handling på højere niveau.

Konklusion

Microsoft 365 indeholder en integreret og omfattende løsning, der muliggør brugervenligt skybaseret samarbejde på tværs af virksomheden med Microsoft Teams. Microsoft Teams muliggør også bedre kommunikation og samarbejde med medarbejdere i marken, hvilket hjælper energiorganisationer med at blive mere effektive. Bedre samarbejde på tværs af virksomheden og med personale i marken kan i sidste ende hjælpe energiorganisationer til bedre at betjene kunderne.

Organisationer inden for energibranchen skal overholde strenge regler, der er relateret til, hvordan de lagrer, sikrer, administrerer og opbevarer oplysninger, der er relateret til deres drift og kunder. De skal også overholde bestemmelser om, hvordan de overvåger og forhindrer manipulation af energimarkederne. Microsoft 365 leverer robuste sikkerhedskontroller til beskyttelse af data, identiteter, enheder og programmer mod risici og overholdelse af strenge regler for energibranchen. Indbyggede værktøjer leveres for at hjælpe energiorganisationer med at vurdere deres overholdelse af angivne standarder samt træffe foranstaltninger og spore afhjælpningsaktiviteter over tid. Disse værktøjer giver også brugervenlige metoder til overvågning og overvågning af kommunikation. Microsoft 365-platformen er bygget på grundlæggende komponenter som Microsoft Azure og Microsoft Entra ID, hvilket hjælper med at sikre den overordnede platform og hjælpe organisationen med at overholde kravene til overholdelse af angivne standarder for FedRAMP Moderate- og High-kontrolsæt. Dette design bidrager til en energiorganisations evne til at opfylde NERC CIP-standarder.

Samlet set hjælper Microsoft 365 energiorganisationer med bedre at beskytte organisationen, at have mere robuste programmer til overholdelse af angivne standarder og gøre det muligt for medarbejderne at fokusere på at få bedre indsigt og implementere strategier for bedre at reducere risikoen.