Politika dwar Komunikazzjonijiet Siguri u Awtentikazzjoni b’Diversi Fatturi

Il-Politika dwar Komunikazzjonijiet Siguri u awtentikazzjoni b’diversi fatturi (MFA) tistabbilixxi kontrolli komprensivi biex tissalvagwardja l-komunikazzjonijiet organizzattivi u l-aċċess tal-utenti, f’allinjament ma’ standards regolatorji u tal-industrija rigorużi. L-iskop primarju tagħha huwa li tiżgura l-kunfidenzjalità u l-integrità tal-informazzjoni trażmessa fuq il-kanali kollha ta’ komunikazzjoni, inkluż vuċi, vidjo, test, u sistemi ta’ emerġenza, billi tobbliga proċessi avvanzati ta’ awtentikazzjoni skont l-Artikolu 21(2)(j) tan-NIS2. Tapplika għall-impjegati kollha, kuntratturi, u partijiet esterni, il-politika tobbliga l-użu esklussiv ta’ għodod ta’ komunikazzjoni approvati mill-organizzazzjoni u kanali iċċifrati għal informazzjoni sensittiva jew operazzjonali. Dawn ir-rekwiżiti jestendu wkoll għas-sistemi ta’ notifika ta’ emerġenza, u jiżguraw li anke waqt kriżijiet, il-komunikazzjoni tibqa’ sigura, reżiljenti, u disponibbli. Koordinaturi tar-rispons għall-emerġenza jiġu assenjati rwol dirett kemm fl-ittestjar perjodiku ta’ dawn is-sistemi kif ukoll fit-taħriġ tal-persunal għall-użu korrett u sigur tagħhom. Objettiv kruċjali tal-politika huwa li tinforza awtentikazzjoni b’diversi fatturi għall-aċċess kollu għan-netwerks u s-sistemi, b’mod partikolari għal kontijiet privileġġjati u aċċess remot. Id-detenturi ta’ kontijiet privileġġjati jridu jużaw kredenzjali uniċi separati li dejjem jinfurzaw awtentikazzjoni b’diversi fatturi jew awtentikazzjoni kontinwa, u kwalunkwe eskalazzjoni tal-privileġġi tas-sistema hija strettament limitata fiż-żmien u soġġetta għal monitoraġġ. Jekk limitazzjonijiet tekniċi jipprevjenu l-implimentazzjoni immedjata ta’ awtentikazzjoni b’diversi fatturi jew iċċifrar, bħal restrizzjonijiet ta’ sistemi legati jew qtugħ operazzjonali, huma meħtieġa kontrolli kumpensatorji, bħal monitoraġġ tas-sistemi ta’ sigurtà msaħħaħ jew restrizzjonijiet tekniċi temporanji fuq l-aċċess, b’kull eċċezzjoni approvata formalment mill-Uffiċjal Kap tas-Sigurtà tal-Informazzjoni (CISO) u soġġetta għal rieżami trimestrali. Il-politika tobbliga wkoll programmi rigorużi ta’ sensibilizzazzjoni u taħriġ għall-utenti kollha, kemm waqt integrazzjoni inizjali kif ukoll taħriġ ta’ aġġornament annwali. Dawn is-sessjonijiet, b’enfasi akbar għal rwoli ta’ riskju għoli bħal amministraturi tas-sistema u tmexxija għolja, jiżguraw li l-persunal jista’ jiddistingwi bejn kanali siguri u mhux siguri, jifhem tattiki ta’ phishing u inġinerija soċjali, u juża b’mod korrett għodod ta’ komunikazzjoni siguri. Lil hinn mill-integrazzjoni inizjali, taħriġ immirat jiġi pprovdut għal utenti f’livelli ta’ riskju elevati, b’enfasi fuq mekkaniżmi avvanzati ta’ awtentikazzjoni u r-riskji partikolari assoċjati mal-komunikazzjonijiet ta’ emerġenza. Biex tiġi żgurata konformità kontinwa, jitwettaq monitoraġġ kontinwu tal-konformità u awditjar annwali tas-sistemi kollha ta’ awtentikazzjoni u komunikazzjoni. Kwalunkwe utent li jipprova jevita l-politiki, jew juża metodi ta’ komunikazzjoni mhux awtorizzati jew mhux siguri, jiffaċċja azzjonijiet dixxiplinarji, inkluż terminazzjoni possibbli. It-tim tas-Sigurtà tal-Informazzjoni jżomm responsabbiltà għall-monitoraġġ tal-logs u l-infurzar ta’ konfigurazzjoni sigura bħala default, filwaqt li l-proċessi ta’ awditjar jivverifikaw allinjament kontinwu mal-obbligi tal-politika u obbligi regolatorji. Din il-politika għalhekk tipprovdi approċċ f’saffi u komprensiv biex tipproteġi l-assi tal-informazzjoni tal-organizzazzjoni billi tintegra b’mod strett kontrolli kemm għal komunikazzjonijiet siguri kif ukoll għal awtentikazzjoni tal-aċċess, f’allinjament sħiħ ma’ direttivi bħan-NIS2, ISO/IEC 27001:2022, u oqfsa relatati.