Politica per le comunicazioni sicure e l'autenticazione a più fattori

La Politica per le comunicazioni sicure e l'autenticazione a più fattori (MFA) stabilisce controlli completi per proteggere le comunicazioni dell'organizzazione e l'accesso degli utenti, in allineamento con rigorosi standard normativi e di settore. Il suo scopo principale è garantire la riservatezza e l'integrità delle informazioni trasmesse su tutti i canali di comunicazione, inclusi voce, video, testo e sistemi di emergenza, imponendo processi di autenticazione avanzati in conformità con l'articolo 21(2)(j) della NIS2. Applicandosi a tutti i dipendenti, i contraenti e le parti esterne, la politica impone l'uso esclusivo di strumenti di comunicazione approvati dall'organizzazione e cifrati per le informazioni sensibili o operative. Questi requisiti si estendono ai sistemi di notifica di emergenza, garantendo che anche durante le crisi la comunicazione rimanga sicura, resiliente e disponibile. Ai coordinatori della risposta alle emergenze viene assegnato un ruolo diretto sia nei test periodici di questi sistemi sia nella formazione del personale per il loro uso corretto e sicuro. Un obiettivo cruciale della politica è applicare l'autenticazione a più fattori (MFA) per tutti gli accessi alla rete e ai sistemi, in particolare per gli account privilegiati e per l'accesso remoto. I titolari di account privilegiati devono utilizzare credenziali univoche separate che applicano sempre l'autenticazione a più fattori (MFA) o l'autenticazione continua, e qualsiasi elevazione dell'accesso è rigorosamente limitata nel tempo e monitorata. Qualora limitazioni tecniche impediscano l'implementazione immediata dell'autenticazione a più fattori (MFA) o della cifratura, come vincoli di sistemi legacy o interruzioni operative, sono richiesti controlli compensativi, quali un monitoraggio dei sistemi rafforzato o restrizioni tecniche temporanee dell'accesso, con tutte le eccezioni formalmente approvate dal Responsabile della sicurezza delle informazioni (CISO) e soggette a riesame trimestrale. La politica impone inoltre programmi rigorosi di formazione e sensibilizzazione per tutti gli utenti, sia in fase di onboarding sia annualmente in seguito. Queste sessioni, con maggiore attenzione per ruoli ad alto rischio come amministratori e dirigenti, garantiscono che il personale sappia distinguere canali sicuri da canali non sicuri, comprenda le tattiche di attacchi di phishing e ingegneria sociale e utilizzi correttamente gli strumenti di comunicazione sicura. Oltre all'onboarding, viene fornita formazione mirata per gli utenti con livelli di rischio elevati, con focus su metodi di autenticazione avanzati e sui rischi specifici associati alle comunicazioni di emergenza. Per garantire la conformità continua, vengono eseguiti monitoraggio continuo della conformità e audit annuali di tutti i sistemi di autenticazione e comunicazione. Qualsiasi utente che tenti di eludere le politiche o di utilizzare metodi di comunicazione non autorizzati o non protetti è soggetto a provvedimenti disciplinari, inclusa la possibile cessazione del rapporto. I team IT e di sicurezza delle informazioni mantengono la responsabilità del monitoraggio dei log e dell'applicazione di configurazioni sicure di default, mentre i processi di audit verificano l'allineamento continuo con gli obblighi della politica e gli obblighi normativi. Questa politica fornisce quindi un approccio stratificato e completo alla protezione dei patrimoni informativi dell'organizzazione, integrando strettamente i controlli per comunicazioni sicure e autenticazione degli accessi, in pieno allineamento con direttive quali NIS2, ISO/IEC 27001:2022 e framework correlati.