policy Enterprise

Política de Comunicações Seguras e Autenticação Multifator

Assegure comunicações seguras em toda a organização e aplique autenticação multifator para uma proteção robusta contra acesso não autorizado, em conformidade com a NIS2 e as melhores práticas da indústria.

Visão geral

A Política de Comunicações Seguras e Autenticação multifator define requisitos obrigatórios para utilizar autenticação multifator e canais de comunicação cifrados em toda a organização, para proteger informação sensível, reforçar o controlo de acesso e cumprir a NIS2, ISO/IEC e outras normas regulamentares, assegurando simultaneamente sistemas de emergência seguros e sensibilização contínua dos utilizadores.

Aplica Comunicação Segura

Impõe cifragem e canais seguros aprovados para voz, vídeo e mensagens, protegendo informação sensível contra interceção.

Autenticação multifator obrigatória

Exige autenticação multifator para todo o acesso a sistemas, incluindo utilizadores com privilégios elevados e acesso remoto, para reduzir significativamente o risco de entrada não autorizada.

Salvaguardas de Comunicação de Emergência

Protege sistemas de emergência e exige testes e validação periódicos para garantir que as comunicações em crise permanecem protegidas e disponíveis.

Formação abrangente de utilizadores

Disponibiliza formação regular sobre utilização de canais seguros, melhores práticas de autenticação multifator e identificação de opções inseguras para todos os utilizadores.

Ler visão geral completa
A Política de Comunicações Seguras e Autenticação multifator (MFA) estabelece controlos abrangentes para salvaguardar as comunicações organizacionais e o acesso dos utilizadores, alinhando-se com normas regulamentares e da indústria rigorosas. O seu objetivo principal é assegurar a confidencialidade e integridade da informação transmitida através de todos os canais de comunicação, incluindo voz, vídeo, texto e sistemas de emergência, impondo processos avançados de autenticação de acordo com o Artigo 21(2)(j) da NIS2. Aplicável a todos os trabalhadores, contratados e partes externas, a política impõe a utilização exclusiva de ferramentas de comunicação aprovadas pela organização e de canais cifrados para informação sensível ou operacional. Estes requisitos estendem-se aos sistemas de notificação de emergência, garantindo que, mesmo durante crises, a comunicação permanece segura, resiliente e disponível. Os coordenadores de resposta a emergências têm um papel direto tanto nos testes e validação periódicos destes sistemas como na formação do pessoal para a sua utilização correta e segura. Um objetivo crucial da política é aplicar autenticação multifator para todo o acesso à rede e aos sistemas, em particular para contas privilegiadas e acesso remoto. Os titulares de contas privilegiadas devem utilizar credenciais únicas separadas que imponham sempre autenticação multifator ou autenticação contínua, e qualquer elevação temporária de privilégios é estritamente limitada no tempo e monitorizada. Caso limitações técnicas impeçam a implementação imediata de autenticação multifator ou cifragem, como restrições de sistemas legados ou indisponibilidades operacionais, são exigidos controlos compensatórios, como monitorização de sistemas reforçada ou restrições de acesso temporárias, com todas as exceções formalmente aprovadas pelo Diretor de Segurança da Informação (CISO) e sujeitas a revisão trimestral. A política também exige programas de sensibilização e formação rigorosos para todos os utilizadores, na integração e anualmente depois. Estas sessões, com foco reforçado para funções de alto risco, como administradores de TI e alta direção, asseguram que o pessoal consegue distinguir canais seguros de canais inseguros, compreender táticas de ataques de phishing e engenharia social e utilizar corretamente ferramentas de comunicação segura. Para além da integração, é disponibilizada formação direcionada para utilizadores com níveis de risco elevados, com foco em métodos avançados de autenticação e nos riscos específicos associados às comunicações de emergência. Para assegurar a conformidade contínua, são realizadas monitorização contínua da conformidade e auditorias anuais de todos os sistemas de autenticação e comunicação. Qualquer utilizador que tente contornar políticas ou utilizar métodos de comunicação não autorizados ou não seguros está sujeito a medidas disciplinares, incluindo possível cessação. A Equipa de Segurança da Informação mantém a responsabilidade pela monitorização de registos e pela aplicação de configuração segura por defeito, enquanto os processos de auditoria verificam o alinhamento contínuo com as obrigações das políticas e obrigações regulamentares. Esta política fornece, assim, uma abordagem em camadas e abrangente para proteger os ativos de informação da organização, integrando de forma estreita controlos para comunicações seguras e autenticação de acesso, em total alinhamento com diretivas como a NIS2, ISO/IEC 27001:2022 e quadros relacionados.

Diagrama da Política

Diagrama da política a ilustrar fluxos de autenticação e comunicação, com aplicação baseada em funções para autenticação multifator, canais cifrados, comunicações de emergência e etapas de revisão de auditoria.

Clique no diagrama para visualizar em tamanho completo

Conteúdo

Âmbito e Regras de Interação

Requisitos de Implementação de MFA

Controlos de Canais de Comunicação Segura

Segurança de Contas Privilegiadas

Salvaguardas de Comunicação de Emergência

Requisitos de Sensibilização e Formação de Utilizadores

Conformidade com frameworks

🛡️ Padrões e frameworks suportados

Este produto está alinhado com os seguintes frameworks de conformidade, com mapeamentos detalhados de cláusulas e controles.

Framework Cláusulas / Controles cobertos
ISO/IEC 27001:2022
5.305.318.24
ISO/IEC 27002:2022
5.155.175.188.248.28
NIST SP 800-53 Rev.5
IA-2IA-3IA-5IA-8SC-12SC-13SC-31
EU GDPR
Art. 32(1)(b)
EU NIS2
Art. 21(2)(j)
EU DORA
Art. 9(2)(d)Art. 11
COBIT 2019
DSS05.04DSS05.05DSS05

Políticas relacionadas

Política de segurança da informação

Impõe salvaguardas de autenticação e comunicações em toda a empresa.

Política de controlo de acesso

Estabelece governação de acessos que a autenticação multifator na P38 aplica.

Política de Gestão de Contas de Utilizador e Privilégios

Relaciona autenticação multifator com o ciclo de vida do acesso privilegiado.

Política de Controlos Criptográficos

Fornece criptografia aprovada/gestão de chaves para comunicações seguras.

Política de Segurança de Rede

Protege canais de transporte utilizados por voz/vídeo/mensagens.

Política de Registo e Monitorização

Monitoriza eventos de autenticação e utilização de canais seguros.

Política de Continuidade de Negócio e Recuperação em Caso de Desastre

Protege comunicações de emergência durante crises.

Política de sensibilização e formação em segurança da informação

Forma utilizadores sobre autenticação multifator e higiene de canais.

Sobre as Políticas Clarysec - Política de Comunicações Seguras e Autenticação Multifator

Uma governação da segurança eficaz exige mais do que palavras; exige clareza, responsabilização e uma estrutura que escala com a sua organização. Modelos genéricos falham frequentemente, criando ambiguidade com parágrafos longos e papéis indefinidos. Esta política foi concebida para ser a espinha dorsal operacional do seu programa de segurança. Atribuímos responsabilidades aos papéis específicos encontrados numa empresa moderna, incluindo o Diretor de Segurança da Informação (CISO), as Equipas de TI e de Segurança da Informação e os comités relevantes, garantindo responsabilização clara. Cada requisito é uma cláusula numerada de forma única (por exemplo, 5.1.1, 5.1.2). Esta estrutura atómica torna a política fácil de implementar, de auditar face a controlos específicos e de personalizar com segurança sem afetar a integridade do documento, transformando-a de um documento estático num quadro dinâmico e acionável.

Alinhamento regulamentar fortemente integrado

Cumpre NIS2, RGPD, DORA e normas ISO/IEC para autenticação e segurança das comunicações, colmatando lacunas de conformidade para empresas.

Responsabilização definida para cada papel

Atribui responsabilidades explícitas ao Diretor de Segurança da Informação (CISO), TI e coordenadores de resposta, assegurando processos de segurança claros e aplicáveis.

Controlos de canais de emergência para colmatar lacunas

Estende controlos às comunicações de emergência, exigindo exercícios periódicos e acesso seguro, colmatando uma fragilidade tradicional de políticas.

Perguntas frequentes

Criado para Líderes, por Líderes

Esta política foi elaborada por um líder de segurança com mais de 25 anos de experiência na implementação e auditoria de frameworks ISMS em organizações globais. Foi concebida não apenas como um documento, mas como um framework defensável que resiste ao escrutínio de auditores.

Elaborado por um especialista com as seguintes qualificações:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura e tópicos

🏢 Departamentos alvo

TI Segurança Conformidade Auditoria e Conformidade Alta direção

🏷️ Cobertura temática

Controlo de acesso Gestão de Autenticação Centro de operações de segurança (SOC) Segurança de Rede Segurança do correio eletrónico
€79

Compra única

Download instantâneo
Atualizações vitalícias

Esta política é 1 de 37 no Pacote Enterprise completo

Poupe 67%

Obtenha todas as 37 políticas Enterprise por €599, em vez de €1.813 individualmente.

Ver Pacote Enterprise completo →
Secure Communications and Multi-Factor Authentication Policy

Detalhes do produto

Tipo: policy
Categoria: Enterprise
Padrões: 7