Security for ESET Cloud Office Security
Introducción
La finalidad de este documento es resumir los controles y prácticas de seguridad que se aplican en ESET Cloud Office Security. Los controles y prácticas de seguridad están diseñados para proteger la confidencialidad, integridad y disponibilidad de la información del cliente. Tenga en cuenta que los controles y prácticas de seguridad pueden cambiar.
Alcance
En este documento se resumen los controles y prácticas de seguridad para la infraestructura, organización, personal y procesos operativos de ESET Dynamic Threat Defense, ESET Business Account (en adelante, "EBA"), ESET Data Framework, ESET LiveGrid, las actualizaciones, la protección antispam, y la infraestructura de ESET Cloud Office Security. Entre los controles y prácticas de seguridad se incluyen los siguientes:
- Políticas de seguridad de la información
- Organización de la seguridad de la información
- Seguridad de recursos humanos
- Administración de activos
- Control de acceso
- Cifrado
- Seguridad física y ambiental
- Seguridad de las operaciones
- Seguridad de la comunicación
- Adquisición, desarrollo y mantenimiento de sistemas
- Relación con proveedores
- Gestión de incidentes de seguridad de la información
- Aspectos de seguridad de la información de la gestión de la continuidad de la actividad
- Cumplimiento
Concepto de seguridad
La empresa ESET s.r.o. cuenta con la certificación ISO 27001:2013, con un alcance del sistema de administración integrado que abarca explícitamente los servicios de ESET Cloud Office Security y EBA, entre otros.
Por lo tanto, el concepto de seguridad de la información utiliza el marco de ISO 27001 para implementar una estrategia de seguridad por capas al aplicar controles de seguridad en las capas de red, sistemas operativos, bases de datos, aplicaciones, personal y procesos operativos. El objetivo de los controles y las prácticas de seguridad aplicables es superponerse y complementarse entre sí.
Controles y prácticas de seguridad
1. Políticas de seguridad de la información
ESET utiliza políticas de seguridad de la información para cumplir todos los aspectos de la norma ISO 27001, incluidos los controles y prácticas de seguridad, así como la gobernanza de la seguridad de la información. Las políticas se revisan anualmente y se actualizan tras cambios importantes para garantizar su conveniencia, adecuación y eficacia continuas.
ESET efectúa revisiones anuales de esta política y comprobaciones de seguridad interna para garantizar la coherencia con esta. El incumplimiento de las políticas de seguridad de la información puede acarrear medidas disciplinarias para los empleados de ESET y sanciones contractuales, incluida la rescisión del contrato, en el caso de los proveedores.
2. Organización de la seguridad de la información
La organización de la seguridad de la información de ESET Cloud Office Security se compone de varios equipos y personas implicados en la seguridad de la información y la TI, entre otros los siguientes:
- Administración ejecutiva de ESET
- Equipos de seguridad interna de ESET
- Equipos de TI de aplicaciones empresariales
- Otros equipos de apoyo
Las responsabilidades de seguridad de la información se asignan de acuerdo con las políticas de seguridad de la información establecidas. Los procesos internos se identifican y evalúan para determinar si hay riesgo de uso indebido o modificación no autorizada o involuntaria de los activos de ESET. Las actividades riesgosas o delicadas de los procesos internos adoptan el principio de segregación de controles para mitigar el riesgo.
El equipo jurídico de ESET es responsable de la comunicación con las autoridades gubernamentales, incluidas las entidades reguladoras eslovacas dedicadas a la seguridad informática y la protección de datos personales. El equipo de seguridad interna de ESET es responsable de la comunicación con grupos de interés especiales, como ISACA. El equipo del laboratorio de investigación de ESET es responsable de la comunicación con otras empresas de seguridad y la comunidad de seguridad informática en general.
La seguridad de la información se integra en la gestión de proyectos mediante el marco de gestión de proyectos aplicado desde la concepción hasta la finalización del proyecto.
El teletrabajo se asegura mediante una política implementada en los dispositivos móviles que incluye protección de datos mediante cifrado seguro al atravesar redes que no son de confianza. Los controles de seguridad de los dispositivos móviles están diseñados para funcionar independientemente de los sistemas internos y las redes internas de ESET.
3. Seguridad de recursos humanos
ESET utiliza prácticas estándar de recursos humanas, como políticas diseñadas para proteger la seguridad de la información. Estas prácticas abarcan todo el ciclo de vida de los empleados y se aplican a todos los equipos que acceden al entorno de ESET Cloud Office Security.
4. Administración de activos
La infraestructura de ESET Cloud Office Security está incluida en los inventarios de activos de ESET con estrictos controles de propiedad y reglas que se aplican según el tipo y la sensibilidad del activo. ESET tiene un esquema de clasificación interno definido. Todos los datos y configuraciones de ESET Cloud Office Security se clasifican como confidenciales.
5. Control de acceso
El acceso a ESET Cloud Office Security se rige por la política de control de acceso de ESET. El control de acceso se establece en la infraestructura, los servicios de red, el sistema operativo, la base de datos y el nivel de la aplicación. La administración del acceso total de los usuarios a nivel de la aplicación es autónoma. El inicio de sesión único de ESET Cloud Office Security y ESET Business Account se rige por un proveedor de identidad central, que garantiza que un usuario solo pueda acceder al inquilino autorizado. La aplicación utiliza permisos de ESET Cloud Office Security estándar para aplicar control de acceso basado en roles para el inquilino.
El acceso al backend de ESET está estrictamente limitado a las personas y roles autorizados. Los procesos estándar de ESET para el (des)registro, (des)aprovisionamiento, administración de privilegios y revisión de derechos de acceso de los usuarios se utilizan para administrar el acceso de los empleados de ESET a la infraestructura y las redes de ESET Cloud Office Security.
Existe una autenticación segura para proteger el acceso a todos los datos de ESET Cloud Office Security.
6. Cifrado
Con el fin de proteger los datos de ESET Cloud Office Security, se utiliza un cifrado seguro para cifrar los datos en reposo y en tránsito. Por lo general, la autoridad certificadora de confianza se utiliza para emitir certificados para servicios públicos. La infraestructura de clave pública de ESET interna se utiliza para administrar las claves de la infraestructura de ESET Cloud Office Security. Los datos almacenados en la base de datos están protegidos por claves de cifrado generadas en la nube. Todos los datos de copia de seguridad están protegidos por claves administradas de ESET.
7. Seguridad física y ambiental
Dado que ESET Cloud Office Security y ESET Business Account están basados en la nube, utilizamos Microsoft Azure para la seguridad física y ambiental. Microsoft Azure utiliza centros de datos certificados con estrictas medidas de seguridad física. La ubicación física del centro de datos depende de la región seleccionada por el cliente.
8. Seguridad de las operaciones
El servicio de ESET Cloud Office Security se presta por medios automatizados basados en estrictos procedimientos operativos y plantillas de configuración. Todos los cambios, como los cambios de configuración y la implementación de nuevos paquetes, se aprueban y prueban en un entorno de pruebas específico antes de la implementación en producción. Los entornos de desarrollo, pruebas y producción se separan entre sí. Los datos de ESET Cloud Office Security se ubican solo en el entorno de producción.
El entorno de ESET Cloud Office Security se somete a supervisión operativa para identificar rápidamente los problemas y proporcionar suficiente capacidad a todos los servicios de la red y los niveles de host.
Todos los datos de configuración se almacenan en nuestros repositorios con copia de seguridad periódica para garantizar la recuperación automática de la configuración de un entorno. Las copias de seguridad de los datos de ESET Cloud Office Security se almacenan tanto en el sitio como fuera del sitio.
Las copias de seguridad se cifran y se someten a pruebas periódicas de recuperabilidad como parte de las pruebas de continuidad de la actividad.
La auditoría de los sistemas se lleva a cabo de conformidad con las normas y directrices internas. Se recopilan de forma continuada los registros y eventos de la infraestructura, el sistema operativo, la base de datos, los servidores de aplicaciones y los controles de seguridad. Los equipos de TI y seguridad interna procesan los registros para identificar anomalías operativas y de seguridad, e incidentes de seguridad de la información.
ESET utiliza un proceso general de administración de vulnerabilidades técnicas para gestionar la aparición de vulnerabilidades en la infraestructura de ESET, incluida la de ESET Cloud Office Security y otros productos de ESET. Este proceso incluye un análisis proactivo de vulnerabilidades y pruebas reiteradas de penetración de la infraestructura, los productos y las aplicaciones.
ESET establece directrices internas para la seguridad de la infraestructura interna, las redes, los sistemas operativos, las bases de datos, los servidores de aplicaciones y las aplicaciones. Estas directrices se verifican mediante la supervisión del cumplimiento técnico y nuestro programa interno de auditoría de seguridad de la información.
9. Seguridad de la comunicación
El entorno de ESET Cloud Office Security se somete a segmentación nativa de la nube, con acceso a la red limitado solo a los servicios necesarios entre los segmentos de red. La disponibilidad de los servicios de red se consigue mediante controles nativos de la nube, como zonas de disponibilidad, equilibrio de carga y redundancia. Se implementan componentes específicos de equilibrio de carga a fin de proporcionar equipos concretos para el enrutamiento de instancias de ESET Cloud Office Security que exijan la autorización del tráfico y el equilibrio de carga. El tráfico de red se supervisa continuamente para detectar anomalías operativas y de seguridad. Los posibles ataques se pueden resolver mediante controles nativos de la nube o soluciones de seguridad implementadas. Todas las comunicaciones de red se cifran mediante técnicas generalmente disponibles, como IPsec y TLS.
10. Adquisición, desarrollo y mantenimiento de sistemas
El desarrollo de los sistemas de ESET Cloud Office Security se realiza de conformidad con la política de desarrollo de software seguro de ESET. Los equipos de seguridad interna se incluyen en el proyecto de desarrollo de ESET Cloud Office Security desde la fase inicial y supervisan todas las actividades de desarrollo y mantenimiento. El equipo de seguridad interna define y verifica el cumplimiento de los requisitos de seguridad en diferentes etapas del desarrollo de software. Todos los servicios, incluidos los que se han desarrollado recientemente, se someten a pruebas de seguridad continuas tras su lanzamiento.
11. Relación con proveedores
Las relaciones con proveedores relevantes se desarrollan de conformidad con las directrices válidas de ESET, que abarcan la gestión de toda la relación y los requisitos contractuales desde la perspectiva de la privacidad y la seguridad de la información. La calidad y seguridad de los servicios prestados por el proveedor de servicios críticos se evalúan periódicamente.
12. Administración de seguridad de la información
La gestión de incidentes de seguridad de la información en ESET Cloud Office Security es similar a la de otras infraestructuras de ESET y se basa en procedimientos de respuesta a incidentes definidos. En la respuesta a incidentes, se definen y asignan funciones en múltiples equipos, como el jurídico, así como los de TI, seguridad, recursos humanos, relaciones públicas y administración ejecutiva. El equipo de respuesta a incidentes se establece función de la clasificación del incidente determinada por el equipo de seguridad interna. Este equipo estará a cargo de la coordinación del resto de equipos que gestionen el incidente. El equipo de seguridad interna también es responsable de la recopilación de pruebas y las lecciones aprendidas. Se notifica a las partes afectadas cuando ocurre el incidente y cuando se resuelve. El equipo jurídico de ESET es responsable de notificar a los organismos normativos en caso necesario de acuerdo con el Regulación General de Protección de Datos (RGPD) y la Ley de seguridad informática, por la que se transpone la Directiva de seguridad de las redes y la información (NIS).
13. Aspectos de seguridad de la información de la gestión de la continuidad de la actividad
La continuidad de la actividad del servicio de ESET Cloud Office Security está codificada en la sólida arquitectura utilizada para maximizar la disponibilidad de los servicios proporcionados. Es posible restaurar totalmente componentes de ESET Cloud Office Security o el servicio de ESET Cloud Office Security a partir de datos de configuración y copia de seguridad fuera del sitio en caso de fallo catastrófico de todos los nodos redundantes. El proceso de restauración se prueba periódicamente.
14. Cumplimiento
El cumplimiento de los requisitos normativos y contractuales de ESET Cloud Office Security se evalúa y revisa con regularidad, al igual que otros procesos e infraestructuras de ESET, y se toman las medidas necesarias para garantizar dicho cumplimiento en todo momento. ESET está registrado como proveedor de servicios digitales de informática en la nube y presta múltiples servicios, entre otros, ESET Cloud Office Security. Tenga en cuenta que las actividades de cumplimiento de ESET no están destinadas a satisfacer los requisitos generales de cumplimiento de los clientes.