Security for ESET Cloud Office Security
Introdução
O objetivo deste documento é controlar as práticas de segurança e os controles de segurança aplicados dentro do ESET Cloud Office Security. As práticas e controles de segurança são feitos para proteger a confidencialidade, integridade e disponibilidade das informações do cliente. Observe que as práticas e controles de segurança podem mudar.
Escopo
O escopo deste documento é ampliar as práticas de segurança e controles de segurança para infraestrutura do ESET Cloud Office Security, ESET Business Account (doravante chamado de "EBA"), ESET Data Framework, ESET LiveGrid, Atualização, AntiSpam, infraestrutura do ESET Dynamic Threat Defense, organização, pessoal e processos operacionais. Práticas e controles de segurança incluem:
- Políticas de segurança da informação
- Organização da segurança da informação
- Segurança de recursos humanos
- Gerenciamento de ativos
- Controle de Acesso
- Criptografia
- Segurança física e ambiental
- Segurança de operações
- Segurança de comunicações
- Aquisição, desenvolvimento e manutenção do sistema
- Relação de fornecedor
- Gerenciamento de incidentes de segurança de informações
- Aspectos de segurança de informação do gerenciamento de continuidade dos negócios
- Compliance
Conceito de segurança
A empresa ESET s.r.o. é certificada pela ISO 27001:2013 com o escopo de sistema de gerenciamento integrado explicitamente cobrindo ESET Cloud Office Security, EBA e outros serviços.
Portanto, o conceito de segurança da informação usa a estrutura ISO 27001 para implementar uma estratégia de defesa de segurança em camadas ao aplicar controles de segurança na camada de rede, sistemas operacionais, bancos de dados, aplicativos, pessoal e processos operacionais. As práticas de segurança aplicadas e controles de segurança têm como objetivo se sobrepor e se complementar.
Práticas e controles de segurança
1. Políticas de segurança da informação
A ESET usa políticas de segurança da informação para cobrir todos os aspectos do padrão ISO 27001, incluindo a governança da segurança da informação e controles e práticas de segurança. As políticas são revisadas anualmente e atualizadas depois de alterações significativas para garantir sua adequação e eficácia contínuas.
A ESET realiza revisões anuais desta política e verificações de segurança internas para garantir a coerência com esta política. A não conformidade com as políticas de segurança da informação está sujeita a ações disciplinares para os funcionários da ESET ou penalidades contratuais até a rescisão do contrato para os fornecedores.
2. Organização da segurança da informação
A organização da segurança da informação para ESET Cloud Office Security é composta por várias equipes e pessoas envolvidos na segurança da informação e de TI, incluindo:
- Gerenciamento executivo da ESET
- Equipes de segurança interna da ESET
- Equipes de TI de aplicativos empresariais
- Outras equipes de apoio
As responsabilidades de segurança da informação são alocadas alinhadas com as políticas de segurança da informação implementadas. Processos internos são identificados e avaliados para qualquer risco de modificação não autorizada ou não intencional ou uso indevido dos ativos ESET. Atividades perigosas ou sensíveis de processos internos adotam o princípio da separação de deveres para mitigar o risco.
A equipe jurídica da ESET é responsável por contatos com autoridades do governo, incluindo reguladores eslovacos sobre cibersegurança e proteção de dados pessoais. A equipe de Segurança Interna da ESET é responsável por entrar em contato com grupos de interesse especiais como ISACA. A equipe do laboratório de pesquisa da ESET é responsável pela comunicação com outras empresas de segurança e pela comunidade de cibersegurança em geral.
A segurança de informações é contada no gerenciamento de projeto usando a estrutura de gerenciamento de projeto aplicada, desde a concepção do projeto até sua conclusão.
O trabalho remoto e a troca de dados são cobertos pelo uso de uma política implementada em dispositivos móveis, que inclui o uso de uma forte proteção criptográfica de dados em dispositivos móveis enquanto viajam por redes não confiáveis. Controles de segurança em dispositivos móveis são projetados para funcionar independentemente das redes internas e dos sistemas internos da ESET.
3. Segurança de recursos humanos
A ESET usa práticas padrão de recursos humanos, incluindo políticas projetadas para ajudar na segurança da informação. Essas práticas cobrem todo o ciclo de vida dos funcionários, e são aplicadas a todas as equipes que acessam o ambiente ESET Cloud Office Security.
4. Gerenciamento de ativos
A infraestrutura ESET Cloud Office Security é incluída nas responsabilidades da ESET com propriedade rígida e regras aplicadas de acordo com o tipo de modelo e sensibilidade. A ESET tem um esquema de classificação interna definido. Todos os dados e configurações do ESET Cloud Office Security são classificados como confidenciais.
5. Controle de Acesso
A política de Controle de acesso da ESET governa todos os acessos no ESET Cloud Office Security. O controle de acesso é definido na infraestrutura, serviços de rede, sistema operacional, banco de dados e nível de aplicativo. O gerenciamento completo do acesso do usuário no nível do aplicativo é autônomo. O login único do ESET Cloud Office Security e ESET Business Account é governado por um provedor de identidade central, que garante que o usuário possa acessar apenas o locatário autorizado. O aplicativo usa permissões padrão do ESET Cloud Office Security para aplicar o controle de acesso baseado em função para o locatário.
O acesso ao backend da ESET é estritamente limitado a pessoas e funções autorizadas. Processos padrão da ESET para (des)registro de usuário, (de)provisionamento, gerenciamento de privilégios e revisão dos direitos de acesso do usuário são usados para gerenciar o acesso de funcionários da ESET à infraestrutura e às redes do ESET Cloud Office Security.
Uma autenticação forte está implementada para proteger o acesso a todos os dados do ESET Cloud Office Security.
6. Criptografia
Para proteger os dados do ESET Cloud Office Security, uma criptografia forte é usada para criptografar dados em descanso e em trânsito. Uma autoridade de certificação geralmente confiável é usada para emitir certificados para serviços públicos. A infraestrutura interna de chave pública ESET é usada para gerenciar chaves dentro da infraestrutura do ESET Cloud Office Security. Os dados armazenados no banco de dados são protegidos por chaves de criptografia geradas pela nuvem. Todos os dados de backup são protegidos por chaves gerenciadas pela ESET.
7. Segurança física e ambiental
Como o ESET Cloud Office Security e o ESET Business Account são baseados na nuvem, contamos com o Microsoft Azure para a segurança física e ambiental. O Microsoft Azure usa centros de dados certificados com medidas robustas de segurança física. A localização física do centro de dados depende da escolha da região do cliente.
8. Segurança de operações
O serviço ESET Cloud Office Security é operado através de meios automatizados com base em procedimentos operacionais e modelos de configuração estritos. Todas as alterações, incluindo alterações de configuração e nova implantação de pacote, são aprovadas e testadas em um ambiente de teste dedicado antes da implantação para a produção. Ambientes de desenvolvimento, teste e produção são separados um do outro. Os dados ESET Cloud Office Security estão localizados apenas no ambiente de produção.
O ambiente ESET Cloud Office Security é supervisionado usando o monitoramento operacional para identificar problemas e fornecer capacidade suficiente para todos os serviços na rede e nos níveis de host.
Todos os dados de configuração são armazenados em nossos repositórios de backup regulares para permitir a recuperação automatizada da configuração de um ambiente. Os backups de dados ESET Cloud Office Security são armazenados no local e fora do local.
Backups são criptografados e testados regularmente para capacidade de recuperação como parte de testes de negócios.
A auditoria em sistemas é realizada de acordo com padrões e diretrizes internos. Relatórios e eventos da infraestrutura, sistema operacional, banco de dados, servidores de aplicativo e controles de segurança são coletados continuamente. Os relatórios são processados ainda mais por equipes de TI e segurança interna para identificar anomalias operacionais e de segurança e incidentes de segurança de informações.
A ESET usa um processo geral de gerenciamento de vulnerabilidades técnicas para lidar com a ocorrência de vulnerabilidades na infraestrutura ESET, incluindo ESET Cloud Office Security e outros produtos ESET. Esse processo inclui o escaneamento proativo de vulnerabilidade e testes repetitivos de segurança de infraestrutura, produtos e aplicativos.
A ESET declara diretrizes internas para a segurança da infraestrutura interna, redes, sistemas operacionais, bancos de dados, servidores de aplicativos e aplicativos. Essas diretrizes são verificadas através do monitoramento de conformidade técnica e do nosso programa interno de auditoria de segurança de informações.
9. Segurança de comunicações
O ambiente ESET Cloud Office Security é segmentado através da segmentação de nuvem nativa com acesso de rede limitado apenas aos serviços necessários entre os segmentos de rede. A disponibilidade de serviços de rede é realizada através de controles nativos da nuvem como zonas de disponibilidade, balanceamento de carga e redundância. Componentes dedicados de balanceamento de carga são implantados para fornecer endpoints específicos para roteamento de instância do ESET Cloud Office Security que aplicam a autorização de tráfego e balanceamento de carga. O tráfego da rede é monitorado continuamente em busca de anomalias operacionais e de segurança. Os potenciais ataques podem ser resolvidos usando controles nativos de nuvem ou soluções de segurança implantadas. Toda a comunicação de rede é criptografada através de técnicas geralmente disponíveis, incluindo IPsec e TLS.
10. Aquisição, desenvolvimento e manutenção do sistema
O desenvolvimento de sistemas ESET Cloud Office Security é realizado de acordo com a política de desenvolvimento de software seguro da ESET. Equipes de segurança interna são incluídas no projeto de desenvolvimento do ESET Cloud Office Security desde a fase inicial e supervisionam todas as atividades de desenvolvimento e manutenção. A equipe de segurança interna define e verifica o cumprimento dos requisitos de segurança em diversos momentos do desenvolvimento do software. A segurança de todos os serviços, incluindo os recentemente desenvolvidos, é testada continuamente depois do lançamento.
11. Relação de fornecedor
Uma relação de fornecedor relevante é conduzida de acordo com diretrizes válidas da ESET, que cobrem o gerenciamento de relacionamento por completo e os requisitos contratuais da perspectiva de segurança da informação e privacidade. A qualidade e a segurança dos serviços prestados pelo provedor de serviço crítico são avaliados regularmente.
12. Gerenciamento de segurança de informações
O gerenciamento de incidentes de segurança de informações no ESET Cloud Office Security é realizado de forma similar a outras infraestruturas da ESET e conta com procedimentos de resposta a incidentes definidos. As funções dentro da resposta a incidentes são definidas e alocadas em várias equipes, incluindo TI, segurança, jurídico, recursos humanos, relações públicas e gerenciamento executivo. A equipe de resposta a incidentes para um incidente é estabelecida com base na triagem de incidentes pela equipe de segurança interna. Essa equipe fornecerá ainda mais informações sobre outras equipes lidando com o incidente. A equipe de segurança interna também é responsável pela coleta de provas e por lições aprendidas. A ocorrência e a resolução de incidentes são comunicadas às partes afetadas. A equipe jurídica da ESET é responsável por notificar os corpos regulatórios se necessário, de acordo com o Regulamento Geral de Proteção de Dados (GDPR) e com a Lei de Cibersegurança que transpõe a Diretiva de Segurança da Informação e Rede (NIS).
13. Aspectos de segurança de informação do gerenciamento de continuidade dos negócios
A continuidade de negócios do serviço ESET Cloud Office Security é codificada na arquitetura robusta usada para aumentar ao máximo a disponibilidade dos serviços fornecidos. A restauração completa de dados de backup e configuração fora do local é possível no caso de uma falha total de todos os nós redundantes para componentes do ESET Cloud Office Security ou o serviço ESET Cloud Office Security. O processo de restauração é testado regularmente.
14. Compliance
A conformidade com os requisitos regulatórios e contratuais do ESET Cloud Office Security é regularmente avaliada e revisada de maneira semelhante a outras infraestruturas e processos da ESET, e as medidas necessárias são realizadas continuamente para garantir a conformidade. A ESET está registrada como um provedor de serviço digital para o serviço digital de Computação em nuvem, que cobre vários serviços ESET, inclusive o ESET Cloud Office Security. Observe que as atividades de conformidade da ESET não necessariamente significam que os requisitos gerais de conformidade dos clientes estão cumpridos como tal.