Neste artigo, descreveremos o requisito da alínea j) do n.º 2 do artigo 21.º da NIS2, que exige que a tua organização implemente sistemas de autenticação multifactor e de comunicação de emergência.
Autenticação multi-fator
O objetivo deste requisito é reforçar o controlo do acesso e reduzir o risco de acesso não autorizado, utilizando múltiplos factores de autenticação e verificando continuamente o comportamento do utilizador e o contexto de uma sessão.
Requisito
Quando os utilizadores, componentes de TI ou outros activos acedem às redes e sistemas de informação da sua organização, têm de ser autenticados com autenticação multifactor ou autenticação contínua. Os requisitos específicos devem seguir a tua avaliação de risco e estar em conformidade com as políticas de controlo de acesso da tua organização.
Deve ser aplicada a autenticação multi-fator ao acederes:
- activos à distância,
- sistemas administrativos,
- dados sensíveis ou confidenciais,
- sistemas críticos,
A autenticação contínua pode ser utilizada para monitorizar e verificar a identidade de um utilizador durante uma sessão ativa, com base em factores comportamentais e contextuais, tais como tentativas de início de sessão a partir de um local desconhecido, de um dispositivo desconhecido ou recentemente registado, em alturas invulgares ou com padrões anormais.
Documentação
Deves rever a tua política de controlo de acesso, incluindo a autenticação multi-fator e a autenticação contínua, a intervalos regulares ou após grandes alterações e incidentes de segurança. A revisão deve ser documentada.
Sistemas de comunicação de emergência
Tens de garantir que a comunicação por voz, vídeo e texto está sempre disponível, incluindo em situações de emergência. Estes canais de comunicação devem proteger a confidencialidade, a integridade e a disponibilidade dentro da organização.
Requisito
Deves avaliar a necessidade de canais de comunicação, incluindo os requisitos de proteção da confidencialidade através de encriptação e de redundância para garantir opções alternativas. Estas necessidades devem ser incluídas nas avaliações de risco e nos procedimentos de continuidade do negócio, tratamento de incidentes e gestão de crises.
Para o efeito, poderás proceder das seguintes formas:
- Prepara planos para uma comunicação segura durante um incidente grave, incluindo procedimentos de escalonamento e comunicação aos parceiros, autoridades e CSIRT,
- descreve quais os canais de comunicação internos e externos existentes, como são activados, utilizados e restaurados em caso de falha,
- assegura a disponibilidade estabelecendo redundância, para que haja sempre canais alternativos disponíveis,
- estabelecer tratamentos de gestão de crises que incluam a comunicação com os serviços de segurança, as autoridades do sector, as CSIRT e outras partes interessadas,
- permitir a comunicação entre sistemas diferentes através de canais fiáveis, lógica, criptográfica ou fisicamente separados de outros canais para proteger os fluxos de dados contra alterações ou divulgação.
Exemplos de canais de comunicação incluem soluções alternativas de Voz sobre Protocolo Internet, serviços de mensagens encriptadas, rádios, telefones por satélite ou SMS. Os canais selecionados devem garantir a confidencialidade e estar disponíveis independentemente dos sistemas primários. Uma política deve especificar o nível de classificação dos dados que podem ser partilhados através de cada canal.
Documentação
Os sistemas de comunicação de emergência devem ser testados regularmente e podem fazer parte de um exercício anual de gestão de crises. Os resultados dos testes e exercícios devem ser documentados para garantir que as lições sejam aprendidas e que sejam feitas melhorias.
