Politika varnih komunikacij in večfaktorske avtentikacije

Politika varnih komunikacij in večfaktorske avtentikacije (MFA) vzpostavlja celovite kontrole za zaščito organizacijskih komunikacij in uporabniškega dostopa ter je usklajena s strogimi regulativnimi in industrijskimi standardi. Njen primarni namen je zagotoviti zaupnost in celovitost informacij, ki se prenašajo prek vseh komunikacijskih kanalov, vključno z glasom, videom, besedilom in sistemi za komunikacije v sili, z zahtevo po naprednih postopkih avtentikacije v skladu z NIS2, člen 21(2)(j). Politika velja za vse zaposlene, pogodbene izvajalce in zunanje osebe ter zahteva izključno uporabo komunikacijskih orodij, ki jih odobri organizacija, in šifriranih kanalov za občutljive ali operativne informacije. Te zahteve se razširijo tudi na sisteme obveščanja v sili, s čimer se zagotovi, da komunikacija tudi med krizami ostane varna, odporna in razpoložljiva. Koordinatorji odziva v sili imajo neposredno vlogo pri periodičnem testiranju teh sistemov in usposabljanju osebja za njihovo pravilno in varno uporabo. Ključni cilj politike je uveljavitev večfaktorske avtentikacije (MFA) za ves dostop do omrežja in sistemov, zlasti za privilegirane račune in oddaljeni dostop. Imetniki privilegiranih računov morajo uporabljati ločene edinstvene poverilnice, ki vedno uveljavljajo večfaktorsko avtentikacijo (MFA) ali stalno avtentikacijo, vsako povišanje sistemskih pravic pa je strogo časovno omejeno in spremljano. Če tehnične omejitve preprečujejo takojšnjo uvedbo večfaktorske avtentikacije (MFA) ali šifriranja, na primer zaradi omejitev zastarelih sistemov ali operativnih izpadov, so zahtevane nadomestne kontrole, kot so okrepljeno spremljanje sistemov ali začasne omejitve dostopa, pri čemer morajo biti vse izjeme formalno odobrene s strani vodje informacijske varnosti (CISO) in predmet četrtletnega pregleda. Politika zahteva tudi stroge programe usposabljanja in ozaveščanja za vse uporabnike, tako ob uvajanju kot letno. Te seje, s povečanim poudarkom za visoko tvegane vloge, kot so administratorji in izvršno vodstvo, zagotavljajo, da osebje zna razlikovati varne in nezavarovane kanale, razume taktike napadov z lažnim predstavljanjem in socialnega inženiringa ter pravilno uporablja orodja za varne komunikacije. Poleg uvodnega usposabljanja se zagotavlja ciljno usposabljanje za uporabnike z višjimi ravnmi tveganja, s poudarkom na naprednih metodah avtentikacije in posebnih tveganjih, povezanih s komunikacijami v sili. Za zagotavljanje stalne skladnosti se izvajata stalno spremljanje skladnosti ter letna presoja vseh sistemov avtentikacije in komunikacij. Vsak uporabnik, ki poskuša obiti politike ali uporabljati nepooblaščene ali nezavarovane komunikacijske metode, se sooči z disciplinskimi ukrepi, vključno z morebitnim prenehanjem delovnega razmerja. Ekipa za informacijsko varnost ohranja odgovornost za spremljanje dnevnikov in uveljavljanje varnih privzetih konfiguracij, medtem ko revizijski procesi preverjajo stalno usklajenost s politiko in regulativnimi obveznostmi. Ta politika tako zagotavlja večplastni, celovit pristop k zaščiti informacijskih sredstev organizacije s tesno integracijo kontrol za varne komunikacije in avtentikacijo dostopa, v popolni usklajenosti z direktivami, kot so NIS2, ISO/IEC 27001:2022, in sorodnimi okviri.