Suojatun viestinnän ja monivaiheisen todennuksen politiikka

Suojatun viestinnän ja monivaiheisen todennuksen (MFA) politiikka määrittää kattavat hallintakeinot organisaation viestinnän ja käyttäjien pääsyn suojaamiseksi tiukkojen sääntely- ja alan standardien mukaisesti. Sen ensisijainen tarkoitus on varmistaa luottamuksellisuus ja eheys kaikissa viestintäkanavissa siirrettävälle tiedolle, mukaan lukien puhe, video, teksti ja hätäjärjestelmät, edellyttämällä kehittyneitä todennusprosesseja NIS2:n artiklan 21(2)(j) mukaisesti. Politiikka koskee kaikkia työntekijöitä, urakoitsijoita ja ulkoisia osapuolia, ja se edellyttää yksinomaan organisaation hyväksymien ja Salatut kanavat -viestintätyökalujen käyttöä luottamukselliselle tai operatiiviselle tiedolle. Vaatimukset ulotetaan myös hätäilmoitusjärjestelmiin, jotta viestintä pysyy kriiseissäkin suojattuna, resilienttinä ja saatavuus varmistettuna. Hätätilanteiden vastekoordinaattoreille osoitetaan suora rooli sekä näiden järjestelmien säännöllisessä testauksessa että henkilöstön koulutuksessa niiden asianmukaiseen ja turvalliseen käyttöön. Politiikan keskeinen tavoite on monivaiheisen todennuksen vaatimuksen täytäntöönpano kaikkeen verkko- ja järjestelmäpääsyyn, erityisesti etuoikeutettuihin tileihin ja etäkäyttöön. Etuoikeutettujen tilien haltijoiden on käytettävä erillisiä todennustietoja, jotka aina pakottavat monivaiheisen todennuksen tai jatkuvan todennuksen, ja kaikki käyttöoikeuksien korotus on tiukasti aikarajoitettu ja valvottu. Mikäli tekniset rajoitteet estävät monivaiheisen todennuksen tai salausvaatimusten välittömän käyttöönoton, kuten legacy- tai resurssirajoitteisten laitteiden rajoitteet tai operatiiviset käyttökatkot, on otettava käyttöön kompensoivat hallintakeinot, kuten tehostettu järjestelmien seuranta tai väliaikaiset käyttöoikeusrajoitukset. Kaikki poikkeukset on hyväksytettävä muodollisesti tietoturvajohtajalla (CISO), ja ne on katselmoitava neljännesvuosittain. Politiikka edellyttää myös tiukkoja tietoisuusohjelmia ja koulutusohjelmia kaikille käyttäjille sekä käyttöönotto-vaiheessa että vuosittain sen jälkeen. Näissä istunnoissa, joissa painotus on korostettu korkean riskin rooleille, kuten IT-järjestelmänvalvojille ja ylimmälle johdolle, varmistetaan, että henkilöstö osaa erottaa turvalliset ja turvattomat kanavat, ymmärtää tietojenkalasteluhyökkäykset ja sosiaalisen manipuloinnin taktiikat sekä käyttää suojattuja viestintätyökaluja oikein. Perehdytyksen lisäksi kohdennettua koulutusta tarjotaan käyttäjille, joilla on kohonnut riskitaso, keskittyen kehittyneisiin todennusmenetelmiin ja hätäviestintään liittyviin erityisriskeihin. Jatkuvan vaatimustenmukaisuuden varmistamiseksi suoritetaan vaatimustenmukaisuuden jatkuvaa seurantaa sekä vuosittainen auditointi kaikille todennus- ja viestintäjärjestelmille. Käyttäjät, jotka yrittävät kiertää politiikkoja tai käyttää luvattomia tai suojaamattomia viestintämenetelmiä, voivat joutua kurinpitotoimenpiteisiin, mukaan lukien mahdollinen työsuhteen päättäminen. IT- ja tietoturvatiimit vastaavat lokitietojen valvonnasta ja Turvallinen konfigurointi -oletusasetusten täytäntöönpanosta, kun taas auditointiprosessit varmistavat jatkuvan yhdenmukaisuuden politiikkavelvoitteiden ja sääntelyvelvoitteiden kanssa. Politiikka tarjoaa siten kerroksellisen ja kattavan lähestymistavan organisaation tietovarallisuuden suojaamiseen integroimalla tiiviisti sekä suojatun viestinnän että käyttäjän todentamisen kontrollit NIS2:n, ISO/IEC 27001:2022:n ja muiden viitekehysten mukaisesti.