Politika bezpečnej komunikácie a viacfaktorovej autentifikácie

Politika bezpečnej komunikácie a viacfaktorovej autentifikácie (MFA) stanovuje komplexné kontrolné opatrenia na ochranu komunikácie organizácie a prístupu používateľov v súlade s prísnymi regulačnými a odvetvovými normami. Jej hlavným účelom je zabezpečiť dôvernosť a integritu informácií prenášaných cez všetky komunikačné kanály vrátane hlasu, videa, textu a núdzových systémov, a to nariadením pokročilých autentifikačných procesov v súlade s NIS2, článok 21 ods. 2 písm. j). Politika sa vzťahuje na všetkých zamestnancov, dodávateľov a externé strany a vyžaduje výhradné používanie organizáciou schválených a šifrovaných komunikačných nástrojov pre dôverné alebo prevádzkové informácie. Tieto požiadavky sa rozširujú aj na systémy núdzového oznamovania, čím sa zabezpečí, že aj počas kríz zostane komunikácia bezpečná, odolná a dostupná. Koordinátori núdzovej reakcie majú priamo pridelenú úlohu pri pravidelnom testovaní týchto systémov aj pri školení personálu na ich správne a bezpečné používanie. Kľúčovým cieľom politiky je vynucovanie viacfaktorovej autentifikácie (MFA) pre všetok prístup do sietí a systémov, najmä pre privilegované a vzdialené účty. Držitelia privilegovaných účtov musia používať oddelené unikátne prihlasovacie údaje, ktoré vždy vynucujú viacfaktorovú autentifikáciu (MFA) alebo nepretržitú autentifikáciu, a akékoľvek zvýšenie prístupu je prísne časovo obmedzené a monitorované. Ak technické obmedzenia bránia okamžitej implementácii viacfaktorovej autentifikácie (MFA) alebo šifrovania, napríklad obmedzenia zastaraných systémov alebo prevádzkové výpadky, vyžadujú sa kompenzačné kontroly, ako je zvýšené monitorovanie systémov alebo dočasné obmedzenia prístupu, pričom všetky výnimky musia byť formálne schválené riaditeľom informačnej bezpečnosti (CISO) a podliehajú štvrťročnému preskúmaniu. Politika tiež nariaďuje prísne programy školení a zvyšovania povedomia pre všetkých používateľov, a to pri procese nástupu a následne každoročne. Tieto školenia, so zvýšeným dôrazom pre vysokorizikové roly, ako sú IT administrátori a vrcholové vedenie, zabezpečujú, že personál dokáže rozlišovať bezpečné a nezabezpečené kanály, rozumie phishingovým útokom a sociálnemu inžinierstvu a správne používa nástroje bezpečnej komunikácie. Okrem vstupného školenia sa poskytuje cielené školenie pre používateľov so zvýšenou úrovňou rizika so zameraním na pokročilé autentifikačné metódy a osobitné riziká spojené s núdzovou komunikáciou. Na zabezpečenie priebežného súladu sa vykonáva nepretržité monitorovanie a každoročné audity všetkých autentifikačných a komunikačných systémov. Každý používateľ, ktorý sa pokúsi obchádzať politiky alebo používať neoprávnené či nezabezpečené komunikačné metódy, čelí disciplinárnym opatreniam vrátane možného ukončenia pracovného pomeru. Tím informačnej bezpečnosti nesie zodpovednosť za monitorovanie záznamov a vynucovanie bezpečných predvolených konfiguračných nastavení, zatiaľ čo auditné procesy overujú nepretržité zosúladenie s povinnosťami súladu. Táto politika tak poskytuje vrstvený, komplexný prístup k ochrane informačných aktív organizácie prostredníctvom úzkej integrácie kontrol pre bezpečnú komunikáciu aj autentifikáciu prístupu, v plnom súlade so smernicami, ako sú NIS2, ISO/IEC 27001:2022 a súvisiace rámce.