En este artículo describiremos el requisito del Artículo 21(2)(j) del NIS2, que exige que tu organización implante sistemas de autenticación multifactor y de comunicación de emergencia.
Autenticación multifactor
El objetivo de este requisito es reforzar el control de acceso y reducir el riesgo de acceso no autorizado utilizando múltiples factores de autenticación y comprobando continuamente el comportamiento del usuario y el contexto de una sesión.
Requisito
Cuando los usuarios, componentes informáticos u otros activos acceden a las redes y sistemas de información de tu organización, deben autenticarse con autenticación multifactor o autenticación continua. Los requisitos específicos deben seguir tu evaluación de riesgos y cumplir las políticas de control de acceso de tu organización.
Debe aplicarse la autenticación multifactor al acceder:
- activos a distancia,
- sistemas administrativos,
- datos sensibles o confidenciales,
- sistemas críticos,
La autenticación continua puede utilizarse para controlar y verificar la identidad de un usuario durante una sesión activa, basándose en factores de comportamiento y contextuales, como intentos de inicio de sesión desde una ubicación desconocida, un dispositivo desconocido o recién registrado, a horas inusuales o con patrones anormales.
Documentación
Debes revisar tu política de control de acceso, incluida la autenticación multifactor y la autenticación continua, a intervalos regulares o después de cambios importantes e incidentes de seguridad. La revisión debe documentarse.
Sistemas de comunicación de emergencia
Debes asegurarte de que la comunicación por voz, vídeo y texto esté siempre disponible, incluso en situaciones de emergencia. Estos canales de comunicación deben proteger la confidencialidad, integridad y disponibilidad dentro de la organización.
Requisito
Debes evaluar la necesidad de canales de comunicación, incluidos los requisitos de protección de la confidencialidad mediante encriptación y de redundancia para garantizar opciones alternativas. Estas necesidades deben incluirse en las evaluaciones de riesgos y en los procedimientos de continuidad de la actividad, gestión de incidentes y gestión de crisis.
Esto podría hacerse de las siguientes maneras:
- Prepara planes para una comunicación segura durante un incidente grave, incluyendo procedimientos de escalada e información a socios, autoridades y CSIRT,
- Describir qué canales de comunicación internos y externos existen, cómo se activan, se utilizan y se restablecen en caso de fallo,
- Garantizar la disponibilidad estableciendo redundancia, para que siempre haya canales alternativos disponibles,
- establecer procesos de gestión de crisis que incluyan la comunicación con los servicios de seguridad, las autoridades sectoriales, los CSIRT y otras partes interesadas,
- Permiten la comunicación entre distintos sistemas a través de canales fiables, separados lógica, criptográfica o físicamente de otros canales, para proteger los flujos de datos de su alteración o divulgación.
Algunos ejemplos de canales de comunicación son las soluciones alternativas de Voz sobre Protocolo de Internet, los servicios de mensajería cifrada, las radios, los teléfonos por satélite o los SMS. Los canales seleccionados deben apoyar la confidencialidad y estar disponibles independientemente de los sistemas primarios. Una política debe especificar qué nivel de clasificación de los datos puede compartirse a través de cada canal.
Documentación
Los sistemas de comunicación de emergencia deben probarse periódicamente y pueden formar parte de un ejercicio anual de gestión de crisis. Los resultados de las pruebas y ejercicios deben documentarse para garantizar que se aprenden lecciones y se introducen mejoras.
