Online-Help van ESET

Zoeken Nederlands
Selecteer het onderwerp

Security for ESET Cloud Office Security

Inleiding

In dit document vindt u een samenvatting van de beveiligingspraktijken en beveiligingscontroles die binnen ESET Cloud Office Security worden toegepast. Beveiligingspraktijken en -controles zijn ontworpen om de vertrouwelijkheid, integriteit en beschikbaarheid van klantgegevens te beschermen. Houd er rekening mee dat beveiligingspraktijken en -controles kunnen veranderen.

Reikwijdte

In dit document vindt u een samenvatting van de beveiligingspraktijken en beveiligingscontroles voor de infrastructuur, de organisatie, het personeel en de operationele processen van ESET Cloud Office Security, ESET Business Account (hierna "EBA" genoemd), ESET Data Framework, ESET LiveGrid, Update, AntiSpam en ESET Dynamic Threat Defense. Beveiligingspraktijken en -controles bestaan uit:

  1. Informatiebeveiligingsbeleid
  2. Organisatie van informatiebeveiliging
  3. Beveiliging van human resources
  4. Beheer van activa
  5. Toegangsbeheer
  6. Cryptografie
  7. Fysieke beveiliging en beveiliging van de omgeving
  8. Operationele beveiliging
  9. Beveiliging van de communicatie
  10. Systeemacquisitie, -ontwikkeling en -onderhoud
  11. Relatie met leverancier
  12. Beheer van IT-incidenten
  13. IT-aspecten van bedrijfscontinuïteitsbeheer
  14. Naleving

Beveiligingsconcept

ESET s.r.o. bedrijf is ISO 27001: 2013 gecertificeerd met een reikwijdte van het geïntegreerd beheersysteem van ESET Cloud Office Security, EBA en andere diensten.

Bij het concept van informatiebeveiliging wordt gebruik gemaakt van het ISO 27001-raamwerk om een gelaagde verdediging als beveiligingsstrategie te implementeren bij het toepassen van beveiligingscontroles bij de laag van het netwerk, de besturingssystemen, databases, toepassingen, het personeel en de bedrijfsprocessen. Toegepaste beveiligingspraktijken en beveiligingscontroles zijn bedoeld om elkaar te overlappen en aan te vullen.

Beveiligingspraktijken en -controles

1. Informatiebeveiligingsbeleid

ESET hanteert informatiebeveiligingsbeleid om alle aspecten van de ISO 27001-standaard te dekken, waaronder informatiebeveiligingsbeheer en beveiligingscontroles en -praktijken. Beleid wordt na belangrijke wijzigingen jaarlijks herzien en bijgewerkt om ervoor te zorgen dat het nog steeds geschikt, adequaat en effectief is.

ESET voert een jaarlijkse beoordeling van dit beleid en interne beveiligingscontroles uit om consistentie met dit beleid te waarborgen. Niet-naleving van het informatiebeveiligingsbeleid is onderworpen aan disciplinaire maatregelen voor ESET-werknemers of contractuele sancties, tot en met beëindiging van het contract met leveranciers.

2. Organisatie van informatiebeveiliging

De organisatie van informatiebeveiliging voor ESET Cloud Office Security bestaat uit meerdere teams en personen die betrokken zijn bij informatiebeveiliging en IT, waaronder:

  • uitvoerend management van ESET
  • interne beveiligingsteams van ESET
  • IT-teams voor bedrijfstoepassingen
  • Andere ondersteunende teams

IT-beveiligingsverantwoordelijkheden worden toegewezen in overeenstemming met het geldende IT-beveiligingsbeleid. Interne processen worden geïdentificeerd en beoordeeld op elk risico van ongeautoriseerde of onbedoelde wijziging of misbruik van ESET-activa. Risicovolle of gevoelige activiteiten van interne processen hanteren het principe van 'functiescheiding' om risico's te beperken.

Het juridische team van ESET is verantwoordelijk voor de contacten met overheidsinstanties, waaronder Slowaakse toezichthouders op het gebied van cyberbeveiliging en de bescherming van persoonsgegevens. Het interne beveiligingsteam van ESET is verantwoordelijk voor contact met speciale belangengroepen zoals ISACA. Het onderzoekslaboratorium van ESET is verantwoordelijk voor de communicatie met andere beveiligingsbedrijven en de grotere cyberbeveiligingsgemeenschap.

Informatiebeveiliging maakt dankzij het toegepaste projectmanagementkader deel uit van projectmanagement, van concept tot oplevering van projecten.

Werken op afstand en telewerken vallen onder beleid dat is geïmplementeerd op mobiele apparaten, waaronder het gebruik van sterke cryptografische gegevensbescherming op mobiele apparaten tijdens de overdracht naar niet-vertrouwde netwerken. Beveiligingscontroles op mobiele apparaten zijn ontworpen om onafhankelijk van de interne netwerken en interne systemen van ESET te werken.

3. Beveiliging van human resources

ESET hanteert standaard humanresourcepraktijken, waaronder beleidsregels die zijn ontworpen om de informatiebeveiliging te handhaven. Deze praktijken bestrijken de hele levenscyclus van medewerkers en zijn van toepassing op alle teams die toegang tot de ESET Cloud Office Security-omgeving hebben.

4. Beheer van activa

De ESET Cloud Office Security-infrastructuur is opgenomen in ESET-activa-inventarissen met strikte eigendom en regels die worden toegepast op basis van het type en de gevoeligheid van de activa. ESET hanteert een intern classificatieschema. Alle ESET Cloud Office Security-gegevens en configuraties worden als vertrouwelijk geclassificeerd.

5. Toegangsbeheer

Het toegangsbeheerbeleid van ESET regelt alle toegang in ESET Cloud Office Security. Toegangsbeheer wordt ingesteld op het niveau van de infrastructuur, netwerkservices, het besturingssysteem, de database en de toepassing. Volledig gebruikerstoegangsbeheer op toepassingsniveau vindt autonoom plaats. Eenmalige aanmelding bij ESET Cloud Office Security en ESET Business Account wordt beheerd door een centrale identiteitsprovider die ervoor zorgt dat een gebruiker alleen toegang tot de geautoriseerde tenant heeft. De toepassing maakt gebruik van standaardmachtigingen van ESET Cloud Office Security om op rollen gebaseerd toegangsbeheer voor de tenant af te dwingen.

ESET-backend-toegang is strikt beperkt tot geautoriseerde personen en rollen. Er worden standaard-ESET-processen voor gebruikersregistratie, (de)provisioning, beheer van bevoegdheden en beoordeling van gebruikerstoegangsrechten gehanteerd om de toegang van ESET-medewerkers tot de infrastructuur en netwerken van ESET Cloud Office Security te beheren.

Er is sterke verificatie aanwezig om de toegang tot alle ESET Cloud Office Security-gegevens te beveiligen.

6. Cryptografie

Om de ESET Cloud Office Security-gegevens te beveiligen, wordt sterke cryptografie gebruikt om gegevens in rust en tijdens overdracht te versleutelen. Er wordt een algemeen vertrouwde certificeringsinstantie gebruikt om certificaten voor openbare diensten uit te geven. Er wordt een interne openbare-sleutelinfrastructuur van ESET gebruikt om sleutels binnen de infrastructuur van ESET Cloud Office Security te beheren. Gegevens die in de database zijn opgeslagen, worden beveiligd met versleutelingssleutels die in de cloud worden gegenereerd. Alle back-upgegevens worden beveiligd met door ESET beheerde sleutels.

7. Fysieke beveiliging en beveiliging van de omgeving

Omdat ESET Cloud Office Security en ESET Business Account gebaseerd zijn op de cloud, vertrouwen we op Microsoft Azure voor de fysieke beveiliging en beveiliging van de omgeving. Microsoft Azure maakt gebruik van gecertificeerde datacenters met robuuste fysieke beveiligingsmaatregelen. De fysieke locatie van het datacenter is afhankelijk van de keuze die voor de klantregio wordt gemaakt.

8. Operationele beveiliging

De ESET Cloud Office Security-service wordt uitgevoerd via geautomatiseerde middelen op basis van strikte operationele procedures en configuratiesjablonen. Alle wijzigingen, waaronder configuratiewijzigingen en de implementatie van nieuwe pakketten, worden goedgekeurd en getest in een speciale testomgeving voordat deze in productie worden genomen. Ontwikkelings-, test- en productieomgevingen zijn van elkaar gescheiden. ESET Cloud Office Security-gegevens bevinden zich alleen in de productieomgeving.

De ESET Cloud Office Security-omgeving wordt bewaakt met behulp van operationele monitoring om problemen snel te identificeren en alle services op netwerk- en hostniveau voldoende capaciteit te bieden.

Alle configuratiegegevens worden opgeslagen in opslagplaatsen waarvan regelmatig back-ups worden gemaakt om geautomatiseerd herstel van de configuratie van een omgeving mogelijk te maken. Gegevensback-ups van ESET Cloud Office Security worden zowel onsite als offsite opgeslagen.

Back-ups worden als onderdeel van het testen van de bedrijfscontinuïteit versleuteld en regelmatig getest op herstelbaarheid.

Audits op systemen worden uitgevoerd volgens interne normen en richtlijnen. Logboeken en gebeurtenissen in de infrastructuur, het besturingssysteem, de database, toepassingsservers en beveiligingscontroles worden continu verzameld. De logboeken worden verder verwerkt door IT- en interne beveiligingsteams om operationele afwijkingen, beveiligingsafwijkingen en informatiebeveiligingsincidenten te identificeren.

ESET gebruikt een algemeen technisch proces voor het beheer van beveiligingsproblemen om het optreden van beveiligingsproblemen in de ESET-infrastructuur, waaronder ESET Cloud Office Security en andere ESET-producten, aan te pakken. Dit proces bestaat uit proactieve scans op beveiligingsproblemen en herhaalde penetratietests van de infrastructuur, producten en toepassingen.

ESET hanteert interne richtlijnen voor de beveiliging van interne infrastructuur, netwerken, besturingssystemen, databases, toepassingsservers en toepassingen. Deze richtlijnen worden gecontroleerd met behulp van technische monitoring op de naleving en ons interne auditprogramma voor informatiebeveiliging.

9. Beveiliging van de communicatie

De ESET Cloud Office Security-omgeving is gesegmenteerd op basis van native cloudsegmentatie met netwerktoegang die beperkt is tot noodzakelijke services tussen netwerksegmenten. De beschikbaarheid van netwerkservices wordt gerealiseerd op basis van native cloudbesturingselementen zoals beschikbaarheidszones, load-balancing en redundantie. Er worden speciale load-balancing-componenten geïmplementeerd om specifieke endpoints mogelijk te maken, bijvoorbeeld voor ESET Cloud Office Security-routering die autorisatie van verkeer en load-balancing afdwingt. Het netwerkverkeer wordt continu bewaakt op afwijkingen in de werking en beveiliging. Potentiële aanvallen kunnen worden opgelost met behulp van native cloudcontroles of geïmplementeerde beveiligingsoplossingen. Alle netwerkcommunicatie wordt versleuteld via algemeen beschikbare technieken, waaronder IPsec en TLS.

10. Systeemacquisitie, -ontwikkeling en -onderhoud

De ontwikkeling van ESET Cloud Office Security-systemen wordt uitgevoerd in overeenstemming met het ESET-beleid voor de ontwikkeling van veilige software. Interne beveiligingsteams worden vanaf de beginfase in het ESET Cloud Office Security-ontwikkelingsproject opgenomen en houden toezicht op alle ontwikkelings- en onderhoudsactiviteiten. Het interne beveiligingsteam definieert en controleert de naleving van beveiligingsvereisten tijdens verschillende stadia van de ontwikkeling van de software. De beveiliging van alle services, waaronder nieuw ontwikkelde services, wordt na release continu getest.

11. Relatie met leverancier

Een relevante relatie met de leverancier is gebaseerd op geldende ESET-richtlijnen, die betrekking hebben op volledig relatiebeheer en contractuele vereisten vanuit het oogpunt van informatiebeveiliging en privacy. De kwaliteit en veiligheid van de dienstverlening van de kritische dienstverlener worden regelmatig beoordeeld.

12. Informatiebeveiligingsbeheer

Informatiebeveiligingsbeheer in ESET Cloud Office Security wordt op dezelfde manier uitgevoerd als in andere ESET-infrastructuren en is afhankelijk van gedefinieerde procedures voor incidentrespons. Rollen binnen incidentrespons worden gedefinieerd en toegewezen aan meerdere teams, waaronder IT, beveiliging, juridisch, human resources, public relations en uitvoerend management. Het incidentresponseteam voor incidenten wordt samengesteld op basis van de triage van incidenten door het interne beveiligingsteam. Dat team zorgt voor verdere coördinatie van andere teams die het incident afhandelen. Het interne beveiligingsteam is ook verantwoordelijk voor het verzamelen van bewijsmateriaal en het leren van lessen om soortgelijke incidenten in de toekomst te voorkomen. Incident en oplossing worden naar de betrokken partijen gecommuniceerd. Het juridische team van ESET is volgens de Algemene Verordening Gegevensbescherming (AVG) en de Cybersecurity Act Transposing Network and Information Security Directive (NIS) verantwoordelijk voor het indien nodig op de hoogte stellen van regelgevende instanties.

13. Informatiebeveiligingsaspecten ten aanzien van bedrijfscontinuïteitsbeheer

De bedrijfscontinuïteit van de ESET Cloud Office Security-service ligt besloten in de robuuste architectuur die wordt gehanteerd om de beschikbaarheid van de geleverde services te maximaliseren. Voor ESET Cloud Office Security-componenten of de ESET Cloud Office Security is volledig herstel van offsite back-up- en configuratiegegevens mogelijk na een catastrofale storing van alle redundante knooppunten -service. Het herstelproces wordt regelmatig getest.

14. Naleving

Naleving van de reglementaire en contractuele vereisten van ESET Cloud Office Security wordt regelmatig bekeken en beoordeeld, net als andere infrastructuur en processen van ESET, en de nodige stappen worden genomen om naleving ervan op een continue basis te waarborgen. ESET is geregistreerd als digitale serviceprovider voor digitale cloudcomputingservices voor meerdere ESET-services, waaronder ESET Cloud Office Security. Houd er rekening mee dat ESET-nalevingsactiviteiten niet noodzakelijkerwijs betekent dat als zodanig aan de algemene nalevingsvereisten van klanten wordt voldaan.