Política de comunicaciones seguras y autenticación multifactor

La Política de comunicaciones seguras y autenticación multifactor (MFA) establece controles integrales para salvaguardar las comunicaciones de la organización y el acceso de los usuarios, en alineación con rigurosas normas regulatorias y del sector. Su propósito principal es garantizar la confidencialidad e integridad de la información transmitida a través de todos los canales de comunicación, incluidos voz, vídeo, texto y sistemas de emergencia, mediante la exigencia de procesos avanzados de autenticación de acuerdo con el Artículo 21(2)(j) de NIS2. Aplicable a todos los empleados, contratistas y partes externas, la política obliga al uso exclusivo de herramientas de comunicación aprobadas por la organización y canales cifrados para información sensible u operativa. Estos requisitos se extienden a los sistemas de notificación de emergencia, garantizando que, incluso durante crisis, la comunicación permanezca segura, resiliente y disponible. Se asigna a los coordinadores de respuesta ante emergencias un rol directo tanto en las pruebas y validación periódicas de estos sistemas como en la formación del personal para su uso correcto y seguro. Un objetivo crucial de la política es aplicar autenticación multifactor para todo acceso a la red y a los sistemas, en particular para cuentas privilegiadas y acceso remoto. Los titulares de cuentas privilegiadas deben utilizar credenciales separadas que siempre apliquen autenticación multifactor o autenticación continua, y cualquier elevación temporal de privilegios se limita estrictamente en el tiempo y se monitoriza. Si limitaciones técnicas impiden la implementación inmediata de autenticación multifactor o cifrado, como restricciones de sistemas heredados o interrupciones operativas, se requieren controles compensatorios, como una mayor monitorización activa del sistema o restricciones técnicas temporales de acceso, con todas las excepciones aprobadas formalmente por el Director de Seguridad de la Información (CISO) y sometidas a revisión trimestral. La política también exige programas de concienciación y formación rigurosos para todos los usuarios, tanto en la incorporación como anualmente a partir de entonces. Estas sesiones, con un enfoque reforzado para roles de alto riesgo como administradores de TI y alta dirección, garantizan que el personal pueda distinguir canales seguros de canales inseguros, comprender tácticas de ataques de phishing e ingeniería social y utilizar correctamente herramientas de comunicación segura. Más allá de la incorporación, se proporciona formación específica a usuarios con niveles de riesgo elevados, centrada en métodos avanzados de autenticación y en los riesgos particulares asociados a las comunicaciones de emergencia. Para asegurar el cumplimiento continuo, se realiza monitorización continua del cumplimiento y auditoría anual de todos los sistemas de autenticación y comunicación. Cualquier usuario que intente eludir las políticas o utilizar métodos de comunicación no autorizados o no seguros se enfrenta a medidas disciplinarias, incluida la posible terminación. Seguridad de TI mantiene la responsabilidad de revisar archivos de registro y aplicar configuraciones seguras por defecto, mientras que los procesos de auditoría verifican la alineación continua con las obligaciones de la política y las obligaciones reglamentarias. Esta política ofrece así un enfoque por capas e integral para proteger los activos de información de la organización mediante la integración estrecha de controles tanto para comunicaciones seguras como para autenticación de acceso, en plena alineación con directivas como NIS2, ISO/IEC 27001:2022 y marcos relacionados.