Organisaatio suojaa langattomat yhteydet suojaamalla verkon vahvoilla salausavaimilla ja käyttämällä WPA2 Enterprise -protokollan kaltaisia protokollia, joilla varmistetaan salattu liikenne verkon reitittimille.

Turvallisessa pääsynvalvonnassa vaaditaan 802.1X:ää käyttävien päätelaitteiden tekninen tunnistaminen ennen verkkoon pääsyä, mikä estää luvattomat yhteydet, ellei niitä ole fyysisesti rajoitettu.

Turvallista konfigurointia varten on määritelty vakiomallit, jotka ylläpitävät suojausominaisuuksia, kuten pääsynvalvontaa, koko laitteen ja verkon elinkaaren ajan ja tukevat siten 802.1X:n ja WPA2 Enterprisen kaltaisten turvallisten protokollien käyttöönottoa.

Organisaatio ottaa käyttöön ja ylläpitää nollaluottamusta todennuksessa kaikissa järjestelmissään ja laitteistoissaan. Autentikoinnissa olisi otettava huomioon ainakin nämä kontrollit:

• Käyttäjien, palveluiden ja laitteistojen säännöllinen uudelleentodentaminen riskitasojen ja toimintamallien perusteella.
• Käytetään kontekstisidonnaisia tekijöitä, kuten käyttäjän rooleja, laitteen kuntoa, sijaintia ja käyttötapaa, määritettäessä uudelleen todentamisen tiheyttä ja vaatimuksia.
• Kunkin laitteiston, palvelun ja käyttäjän eheys, identiteetti ja aitous olisi vahvistettava, pääsy olisi evättävä oletusarvoisesti ja pääsy olisi myönnettävä vähimpien oikeuksien perusteella.
• Monitekijätodennuksen (MFA) sisällyttäminen pakolliseksi vaiheeksi todennus- ja uudelleentodennusprosesseihin.

Järjestelmien välinen automaattinen viestintä olisi suojattava digitaalisilla varmenteilla. Digitaalisia varmenteita käytetään yhteyden muodostavan laitteen tunnistamiseen ennen pääsyn myöntöä järjestelmään. Toteutuksessa tulisi huomioida myös turvallinen avain politiikka.

Organisaation on huolehdittava, että etäyhteyksien valvonta ja hallinta on automatisoitu, etäyhteydet on suojattu salauksella niiden eheyden ja luotettavuuden varmistamiseksi ja etäyhteydet kulkevat vain hyväksyttyjen ja hallittujen NAC (Network access control) kautta.

Organisaation on myös mahdollistettava etäyhteyksien sulkeminen määritellyssä ajassa.

Organisaation on kehitettävä ja dokumentoitava selkeät menettelyt verkkojen hallintaa ja valvontaa varten sekä varmistettava johdonmukaisuus kaikissa verkkotoiminnoissa.

Organisaation tulisi ottaa huomioon seuraavat näkökulmat verkon segmentoinnissa:

• Rajoitusten asettaminen tietojärjestelmien liittämiselle verkkoon riskinarviointien perusteella.
• Tietoturvatekniikoiden toteutus, jotka täyttävät organisaation erityiset tietoturvavaatimukset.
• Varmistetaan, että suorituskyky, luottamus, saatavuus, turvallisuus ja suojaus asetetaan etusijalle kaikissa verkonhallintaa koskevissa päätöksissä.
• Määritellään strategiat vaikutusten rajoittamiseksi, jos tietojärjestelmät ovat vaarassa, ja keskitytään nopeaan torjuntaan.
• Integroidaan mekanismeja mahdollisten hyökkäysten ja hyökkääjien lateraalisen liikkumisen havaitsemiseksi verkon eri segmenttien välillä.
• Eri käyttötarkoituksia (esim. testaus/kehitys, toimisto, valmistus) palvelevien verkkojen erottaminen toisistaan ristikkäisten verkkoriskien estämiseksi.
• Puututaan lisääntyneeseen riskiin, joka aiheutuu Internetin kautta saatavilla olevista verkkopalveluista, erityisesti ulkoisiin palveluihin suuntautuvista palveluista.
• Käytetään teknologiakohtaisia erotteluvaihtoehtoja, kun ulkoiset IT-palvelut ovat käytössä riskien vähentämiseksi.
• Varmistetaan omien verkkojen ja asiakasverkkojen riittävä erottelu asiakkaan vaatimusten mukaisesti.
• Toteutetaan toimenpiteitä tietojen katoamisen tai vuotamisen havaitsemiseksi ja estämiseksi sekä varmistetaan arkaluonteisten tietojen suojaus.