Politik for sikker kommunikation og flerfaktorautentificering

Politik for sikker kommunikation og flerfaktorautentificering (MFA) etablerer omfattende kontroller til at beskytte organisatorisk kommunikation og brugeradgang i overensstemmelse med strenge reguleringsmæssige og branchemæssige standarder. Dens primære formål er at sikre fortrolighed og integritet for information, der overføres på tværs af alle kommunikationskanaler, herunder tale, video, tekst og nødsystemer, ved at pålægge avancerede autentifikationsprocesser i overensstemmelse med NIS2 artikel 21(2)(j). Politikken gælder for alle medarbejdere, kontrahenter og eksterne parter og kræver eksklusiv brug af organisationsgodkendte og krypterede kanaler til fortrolig eller driftsmæssig information. Disse krav udvides til nødunderretningssystemer, så kommunikation også under kriser forbliver sikker, robust og tilgængelig. Nødberedskabskoordinatorer tildeles en direkte rolle i både periodisk test af disse systemer og træning af personale i korrekt og sikker brug. Et centralt mål i politikken er at håndhæve flerfaktorautentificering (MFA) for al adgang til netværk og systemer, særligt for privilegerede konti og fjernadgang. Indehavere af privilegerede konti skal anvende unikke legitimationsoplysninger, der altid håndhæver flerfaktorautentificering (MFA) eller kontinuerlig autentifikation, og enhver eskalering af adgang er strengt tidsbegrænset og overvåges. Hvis tekniske begrænsninger forhindrer øjeblikkelig implementering af flerfaktorautentificering (MFA) eller kryptering, såsom begrænsninger i udtjente enheder eller driftsafbrydelser, kræves kompenserende kontroller, såsom forhøjet overvågning eller midlertidige adgangsrestriktioner, hvor alle undtagelser formelt godkendes af informationssikkerhedschefen (CISO) og gennemgår kvartalsvis gennemgang. Politikken pålægger også en ramme for bevidstgørelse og uddannelse med træning og bevidstgørelsesprogrammer for alle brugere, både ved onboarding og årlig genopfriskning. Disse sessioner, med øget fokus for højrisikoroller såsom IT-administratorer og direktion, sikrer, at medarbejdere kan skelne sikre fra usikre kanaler, forstår phishing-angreb og social engineering-taktikker og anvender sikre kommunikationsværktøjer korrekt. Ud over onboarding leveres målrettet uddannelse til brugere med forhøjet risikoniveau med fokus på avancerede autentifikationsmetoder og de særlige risici forbundet med nødkommunikation. For at sikre løbende overholdelse udføres løbende overvågning af overholdelse og årlig revision af alle autentifikations- og kommunikationssystemer. Enhver bruger, der forsøger at omgå politikker eller anvende uautoriserede eller usikrede kommunikationsmetoder, mødes med disciplinære foranstaltninger, herunder mulig opsigelse. IT- og informationssikkerhedsteams har ansvar for at overvåge logfiler og håndhæve sikre standardkonfigurationer, mens revisionsprocesser verificerer løbende overensstemmelse med politik- og reguleringsmæssige forpligtelser. Denne politik leverer dermed en lagdelt, omfattende tilgang til beskyttelse af organisationens informationsaktiver ved tæt at integrere kontroller for både sikker kommunikation og autentifikation i fuld overensstemmelse med direktiver såsom NIS2, ISO/IEC 27001:2022 og relaterede rammeværk.