Beleid inzake beveiligde communicatie en multifactorauthenticatie

Het Beleid inzake beveiligde communicatie en multifactorauthenticatie (MFA) stelt uitgebreide beheersmaatregelen vast om organisatiecommunicatie en gebruikerstoegang te beschermen, in lijn met strenge wettelijke verplichtingen en beste praktijken van de sector. Het primaire doel is het waarborgen van de vertrouwelijkheid en integriteit van informatie die via alle communicatiekanalen wordt verzonden, waaronder spraak, video, tekst en noodsystemen, door geavanceerde authenticatieprocessen te verplichten overeenkomstig NIS2 artikel 21(2)(j). Van toepassing op al het personeel, contractanten en externe partijen, verplicht het beleid het exclusieve gebruik van door de organisatie goedgekeurde en versleutelde communicatiemiddelen voor gevoelige of operationele informatie. Deze eisen worden uitgebreid naar noodmeldingssystemen, zodat communicatie ook tijdens crises beveiligd, veerkrachtig en beschikbaar blijft. Coördinatoren voor noodrespons krijgen een directe rol toegewezen in zowel het periodiek testen van deze systemen als in de training van personeel voor correct en veilig gebruik. Een cruciale doelstelling van het beleid is het handhaven van multifactorauthenticatie (MFA) voor alle netwerk- en systeemtoegang, met name voor geprivilegieerde accounts en toegang op afstand. Houders van geprivilegieerde accounts moeten afzonderlijke unieke inloggegevens gebruiken die altijd multifactorauthenticatie (MFA) of continue authenticatie afdwingen, en elke privilegeverhoging is strikt tijdbeperkt en wordt gemonitord. Wanneer technische beperkingen de onmiddellijke implementatie van multifactorauthenticatie (MFA) of encryptie verhinderen, zoals beperkingen van verouderde systemen of operationele uitval, zijn compenserende maatregelen vereist, zoals verhoogde monitoring van systemen of tijdelijke toegangsbeperkingen. Alle uitzonderingen moeten formeel door de Chief Information Security Officer (CISO) worden goedgekeurd en worden onderworpen aan een kwartaalbeoordeling. Het beleid verplicht ook strikte trainings- en bewustwordingsprogramma's voor alle gebruikers, zowel bij onboarding als jaarlijks daarna. Deze sessies, met extra focus voor risicovolle functies zoals systeembeheerders en topmanagement, zorgen ervoor dat medewerkers beveiligde en onveilige kanalen kunnen onderscheiden, phishingaanvallen en social engineering-tactieken begrijpen en beveiligde communicatiemiddelen correct gebruiken. Naast onboarding wordt gerichte training aangeboden voor gebruikers met verhoogde risiconiveaus, met focus op geavanceerde authenticatiemethoden en de specifieke risico's die samenhangen met noodcommunicatie. Om voortdurende naleving te waarborgen, worden continue nalevingsmonitoring en jaarlijkse audits van alle authenticatie- en communicatiesystemen uitgevoerd. Elke gebruiker die probeert beleid te omzeilen of ongeautoriseerde of onbeveiligde communicatiemethoden te gebruiken, krijgt te maken met disciplinaire maatregelen, waaronder mogelijke beëindiging. IT- en informatiebeveiligingsteams blijven verantwoordelijk voor het monitoren van logs en het afdwingen van beveiligde configuratie als standaard, terwijl auditprocessen de voortdurende afstemming met beleids- en nalevingsverplichtingen verifiëren. Dit beleid levert daarmee een gelaagde, integrale aanpak voor de bescherming van informatieactiva van de organisatie door beheersmaatregelen voor zowel beveiligde communicatie als toegangsautenticatie nauw te integreren, volledig in lijn met richtlijnen zoals NIS2, ISO/IEC 27001:2022 en gerelateerde kaders.