Organisaatio parantaa verkon tietoturvaa ottamalla käyttöön 802.1X-verkon pääsynvalvonnan, jolla laitteet todennetaan RADIUS-palvelimen kautta. Organisaatio käyttää varmenteita vankkaan todennukseen ja integroi pääsynvalvonnan käyttäjähakemistoihin johdonmukaisten käyttöoikeuskäytäntöjen luomiseksi. Organisaatio tarjoaa verkon segmentoinnin vieraille ja IoT-laitteille sekä varmistaa, että NAC-käytännöt ja -ohjelmistot päivitetään säännöllisesti.

Organisaatio vahvistaa verkon tietoturvaa ottamalla käyttöön palomuureja segmenttien välille, määrittämällä pääsynvalvontaluetteloita (ACL) liikenteen säätelemiseksi ja ottamalla käyttöön parhaita segmentointikäytäntöjä arkojen järjestelmien eristämiseksi. Tunkeutumisenestojärjestelmiä (IPS) käytetään estämään haitallista liikennettä reaaliajassa.

Organisaatio mukauttaa omaisuusluettelon dokumentointikäytäntöjä siten, että niihin sisällytetään asiaankuuluvat tiedot, kuten osaston omistaja, tarkistuspäivä ja tilin käyttötarkoitus.

Organisaatio tarkistaa säännöllisesti tietojärjestelmien käyttöoikeudet ja varmistaa, että kaikki aktiiviset palvelutilit ovat valtuutettuja. Kullekin palvelutilille nimetään omistaja, joka perustuu tietojärjestelmien omistajien luettelointikäytäntöön, ja näiden tehtävänä on huolehtia tarvittavasta dokumentoinnista ja turvatoimista.

Organisaatio ottaa käyttöön ja ylläpitää nollaluottamusta todennuksessa kaikissa järjestelmissään ja laitteistoissaan. Autentikoinnissa olisi otettava huomioon ainakin nämä kontrollit:

• Käyttäjien, palveluiden ja laitteistojen säännöllinen uudelleentodentaminen riskitasojen ja toimintamallien perusteella.
• Käytetään kontekstisidonnaisia tekijöitä, kuten käyttäjän rooleja, laitteen kuntoa, sijaintia ja käyttötapaa, määritettäessä uudelleen todentamisen tiheyttä ja vaatimuksia.
• Kunkin laitteiston, palvelun ja käyttäjän eheys, identiteetti ja aitous olisi vahvistettava, pääsy olisi evättävä oletusarvoisesti ja pääsy olisi myönnettävä vähimpien oikeuksien perusteella.
• Monitekijätodennuksen (MFA) sisällyttäminen pakolliseksi vaiheeksi todennus- ja uudelleentodennusprosesseihin.

Järjestelmien välinen automaattinen viestintä olisi suojattava digitaalisilla varmenteilla. Digitaalisia varmenteita käytetään yhteyden muodostavan laitteen tunnistamiseen ennen pääsyn myöntöä järjestelmään. Toteutuksessa tulisi huomioida myös turvallinen avain politiikka.

Organisaation verkoille on määritelty omistaja. Omistaja vastaa verkon rakenteen suunnittelusta ja sen dokumentoinnista.

Verkon suunnittelussa käytetään tarpeen mukaan erillisiä verkkoalueita. Verkkoalueet voivat olla määritelty mm.:

• luottamustason (esim. julkinen, työasemat, palvelin)
• organisaatioyksiköiden (esim. HR, taloushallinto)
• tai jonkin yhdistelmän mukaan (esim. palvelimen verkkoalue, joka on yhdistetty useisiin organisaatioyksiköihin)

Eriyttäminen voidaan toteuttaa joko fyysisesti erillisillä verkoilla tai loogisesti erillisillä verkoilla.

Organisaation on kehitettävä ja dokumentoitava selkeät menettelyt verkkojen hallintaa ja valvontaa varten sekä varmistettava johdonmukaisuus kaikissa verkkotoiminnoissa.

Organisaation tulisi ottaa huomioon seuraavat näkökulmat verkon segmentoinnissa:

• Rajoitusten asettaminen tietojärjestelmien liittämiselle verkkoon riskinarviointien perusteella.
• Tietoturvatekniikoiden toteutus, jotka täyttävät organisaation erityiset tietoturvavaatimukset.
• Varmistetaan, että suorituskyky, luottamus, saatavuus, turvallisuus ja suojaus asetetaan etusijalle kaikissa verkonhallintaa koskevissa päätöksissä.
• Määritellään strategiat vaikutusten rajoittamiseksi, jos tietojärjestelmät ovat vaarassa, ja keskitytään nopeaan torjuntaan.
• Integroidaan mekanismeja mahdollisten hyökkäysten ja hyökkääjien lateraalisen liikkumisen havaitsemiseksi verkon eri segmenttien välillä.
• Eri käyttötarkoituksia (esim. testaus/kehitys, toimisto, valmistus) palvelevien verkkojen erottaminen toisistaan ristikkäisten verkkoriskien estämiseksi.
• Puututaan lisääntyneeseen riskiin, joka aiheutuu Internetin kautta saatavilla olevista verkkopalveluista, erityisesti ulkoisiin palveluihin suuntautuvista palveluista.
• Käytetään teknologiakohtaisia erotteluvaihtoehtoja, kun ulkoiset IT-palvelut ovat käytössä riskien vähentämiseksi.
• Varmistetaan omien verkkojen ja asiakasverkkojen riittävä erottelu asiakkaan vaatimusten mukaisesti.
• Toteutetaan toimenpiteitä tietojen katoamisen tai vuotamisen havaitsemiseksi ja estämiseksi sekä varmistetaan arkaluonteisten tietojen suojaus.