Policy för säker kommunikation och flerfaktorsautentisering

Policy för säker kommunikation och flerfaktorsautentisering (MFA) fastställer omfattande kontroller för att skydda organisationens kommunikation och användaråtkomst, i linje med strikta regulatoriska och branschstandarder. Det primära syftet är att säkerställa konfidentialitet och riktighet för information som överförs via alla kommunikationskanaler, inklusive röst, video, text och nödsystem, genom att kräva avancerade autentiseringsprocesser i enlighet med NIS2 artikel 21(2)(j). Policyn gäller för alla anställda och uppdragstagare samt externa parter och kräver exklusiv användning av organisationsgodkända och krypterade kanaler för konfidentiell eller operativ information. Dessa krav utökas till nödsystem för aviseringar, vilket säkerställer att kommunikationen även under kriser förblir säker, motståndskraftig och tillgänglig. Samordnare för incidentrespons tilldelas en direkt roll i både periodisk testning av dessa system och utbildning av personal i korrekt och säker användning. Ett centralt mål är att genomdriva flerfaktorsautentisering (MFA) för all åtkomst till nätverk och system, särskilt för privilegierade konton och fjärråtkomst. Innehavare av privilegierade konton måste använda separata autentiseringsuppgifter som alltid genomdriver flerfaktorsautentisering (MFA) eller kontinuerlig autentisering, och all eskalering av systemprivilegier är strikt tidsbegränsad privilegiehöjning och övervakas. Om tekniska begränsningar förhindrar omedelbart införande av flerfaktorsautentisering (MFA) eller kryptering, såsom begränsningar i äldre system eller driftavbrott, krävs kompenserande kontroller, såsom förhöjd övervakning av säkerhetssystem eller tillfälliga åtkomstbegränsningar. Alla undantag ska formellt godkännas av informationssäkerhetschef (CISO) och genomgå kvartalsvis granskning. Policyn kräver även rigorösa medvetenhetsprogram och utbildning för alla användare, både vid introduktion och därefter årlig repetitionsutbildning. Dessa sessioner, med förhöjt fokus för högriskroller såsom IT-administratörer och verkställande ledning, säkerställer att personal kan skilja säkra från osäkra kanaler, förstå phishingattacker och social manipulation samt använda säkra kommunikationsverktyg korrekt. Utöver introduktion tillhandahålls riktad utbildning för användare med förhöjda risknivåer, med fokus på avancerade autentiseringsmetoder och de särskilda risker som är kopplade till nödsituationers kommunikation. För att säkerställa löpande regelefterlevnad genomförs kontinuerlig efterlevnadsövervakning och årlig revision av alla autentiserings- och kommunikationssystem. Alla användare som försöker kringgå säkerhetskontroller eller använder otillåtna eller osäkrade kommunikationsmetoder kan bli föremål för disciplinära åtgärder, inklusive möjlig uppsägning. IT- och informationssäkerhetsteam ansvarar för att övervaka loggar och genomdriva säkra standardkonfigurationer, medan revisionsprocesser verifierar kontinuerlig anpassning till policyförpliktelser och regulatoriska skyldigheter. Policyn levererar därmed ett lagerbaserat och heltäckande angreppssätt för att skydda organisationens informationstillgångar genom att tätt integrera kontroller för både säker kommunikation och autentisering, i full överensstämmelse med direktiv såsom NIS2, ISO/IEC 27001:2022 och relaterade ramverk.