Politika bezpečné komunikace a vícefaktorové autentizace

Politika bezpečné komunikace a vícefaktorové autentizace (MFA) zavádí komplexní kontroly pro ochranu komunikace organizace a přístupu uživatelů v souladu s přísnými regulačními a oborovými normami. Jejím hlavním účelem je zajistit důvěrnost a integritu informací přenášených napříč všemi komunikačními kanály, včetně hlasu, videa, textu a nouzových systémů, a to prostřednictvím povinných pokročilých autentizačních procesů v souladu s článkem 21(2)(j) NIS2. Politika se vztahuje na všechny zaměstnance, dodavatele a externí strany a vyžaduje výhradní používání organizací schválených a šifrovaných komunikačních nástrojů pro důvěrné nebo provozní informace. Tyto požadavky se rozšiřují i na systémy nouzového oznamování, aby i během krizí zůstala komunikace bezpečná, odolná a dostupná. Koordinátoři reakce na mimořádné události mají přímou roli jak v pravidelném testování těchto systémů, tak ve školení personálu pro jejich správné a bezpečné používání. Klíčovým cílem politiky je vynucování vícefaktorové autentizace pro veškerý přístup k síti a systémům, zejména pro privilegované účty a účty se vzdáleným přístupem. Držitelé privilegovaných účtů musí používat oddělené jedinečné přihlašovací údaje, které vždy vynucují vícefaktorovou autentizaci nebo průběžnou autentizaci, a jakékoli zvýšení přístupu je přísně časově omezené a monitorované. Pokud technická omezení brání okamžité implementaci vícefaktorové autentizace nebo šifrování, například kvůli omezením zastaralých systémů nebo provozním výpadkům, jsou vyžadována kompenzační opatření, jako je zvýšené monitorování systémů nebo dočasná omezení přístupu, přičemž všechny výjimky musí být formálně schváleny ředitelem informační bezpečnosti (CISO) a podléhají čtvrtletnímu přezkumu. Politika dále nařizuje důsledné programy zvyšování povědomí a školení pro všechny uživatele, a to při onboardingu a následně každoročně. Tato školení, se zvýšeným zaměřením na vysoce rizikové role, jako jsou správci a vrcholové vedení, zajišťují, že zaměstnanci dokážou rozlišit zabezpečené a nezabezpečené kanály, rozumí phishingu a sociálnímu inženýrství a správně používají nástroje bezpečné komunikace. Kromě onboardingu je poskytováno cílené školení pro uživatele se zvýšenou úrovní rizika se zaměřením na pokročilé metody autentizace a specifická rizika spojená s nouzovou komunikací. Pro zajištění průběžného souladu se provádí průběžné monitorování a každoroční audit všech autentizačních a komunikačních systémů. Jakýkoli uživatel, který se pokusí obcházet politiky nebo používat neoprávněné/neplánované změny či neautorizované nebo nezabezpečené komunikační metody, čelí disciplinárním opatřením včetně možného ukončení pracovního poměru. Tým informační bezpečnosti nese odpovědnost za monitorování logů a vynucování bezpečných výchozích konfigurací, zatímco auditní procesy ověřují průběžné sladění s povinnostmi v oblasti souladu a regulačními povinnostmi. Tato politika tak poskytuje vrstvený, komplexní přístup k ochraně informačních aktiv organizace prostřednictvím těsné integrace kontrol pro bezpečnou komunikaci i autentizaci přístupu v plném souladu se směrnicemi, jako jsou NIS2, ISO/IEC 27001:2022 a související rámce.