Ayuda en línea de ESET

Seleccionar el tema

Seguridad para ESET LiveGuard Advanced

Introducción

La finalidad de este documento es resumir las prácticas de seguridad y los controles de seguridad que se aplican en ESET LiveGuard Advanced. Las prácticas y los controles de seguridad están diseñados para proteger la confidencialidad, la integridad y la disponibilidad de la información del cliente. Tenga en cuenta que las prácticas y los controles de seguridad pueden cambiar.

Alcance

El alcance de este documento es resumir las prácticas y controles de seguridad de la infraestructura de ESET LiveGuard Advanced, la organización, el personal y los procesos operativos. Entre las prácticas y controles de seguridad se incluyen:

  1. Políticas de seguridad de la información
  2. Organización de la seguridad de la información
  3. Seguridad de los recursos humanos
  4. Administración de recursos
  5. Control de acceso
  6. Criptografía
  7. Seguridad física y ambiental
  8. Seguridad de operaciones
  9. Seguridad de las comunicaciones
  10. Adquisición, desarrollo y mantenimiento del sistema
  11. Relación con el proveedor
  12. Administración de incidentes de seguridad de la información
  13. Aspectos de seguridad de la información de la administración de la continuidad empresarial
  14. Cumplimiento

Concepto de seguridad

La empresa ESET, spol. s r.o. cuenta con la certificación ISO 27001:2013 con un alcance integrado en el sistema de administración que abarca explícitamente los servicios de ESET LiveGuard Advanced.

Por lo tanto, el concepto de seguridad de la información usa el marco de la norma ISO 27001 con el fin de implementar una estrategia de seguridad de defensa escalonada al momento de aplicar los controles de seguridad en la capa de la red, sistemas operativos, bases de datos, aplicaciones, personal y procesos operativos. Las prácticas y controles de seguridad aplicados tienen por objetivo superponerse y complementarse entre sí.

Prácticas y controles de seguridad

1. Políticas de seguridad de la información

ESET usa políticas de seguridad de la información para abarcar todos los aspectos de la norma ISO 27001, incluidos los controles y prácticas de seguridad, y la gestión de seguridad de la información. Las políticas se revisan de forma anual y se actualizan tras cambios importantes para garantizar su ideoneidad, adecuación y eficacia continuas.

ESET realiza revisiones anuales de esta política y de comprobaciones de seguridad internas para garantizar la coherencia con esta política. El incumplimiento de las políticas de seguridad de la información está sujeto a medidas disciplinarias para los empleados de ESET o sanciones contractuales hasta la terminación del contrato para los proveedores.

2. Organización de la seguridad de la información

La organización de seguridad de la información de ESET LiveGuard Advanced consta de varios equipos e individuos implicados en la seguridad de la información y TI, lo que incluye:

  • Administración ejecutiva de ESET
  • Equipos de seguridad interna de ESET
  • Equipos de TI de aplicaciones empresariales
  • Otros elementos de apoyo

Las responsabilidades de seguridad de la información se asignan de acuerdo con las políticas de seguridad de la información implementadas. Los procesos internos se identifican y evalúan para determinar si existe cualquier riesgo de modificación no autorizada o no intencional, o un mal uso del producto de ESET. Las actividades riesgosas o delicadas de los procesos internos adoptan el principio de repartición de tareas para mitigar el riesgo.

El equipo jurídico de ESET es responsable de los contactos con las autoridades gubernamentales, incluidos los organismos reguladores eslovacos sobre seguridad informática y protección de datos personales. El equipo de seguridad interna de ESET es responsable de ponerse en contacto con grupos de interés especiales, como ISACA. El equipo del laboratorio de investigación de ESET es responsable de la comunicación con otras empresas de seguridad y la gran comunidad de seguridad informática.

La seguridad de la información se explica en la administración de proyectos con el marco de administración de proyectos aplicado, desde el proceso de concepción hasta la finalización del proyecto.

El trabajo remoto y el transporte se cubren mediante el uso de una política implementada en dispositivos móviles que incluye el uso de una potente protección de datos criptográficos en dispositivos móviles cuando se desplaza a través de redes no confiables. Los controles de seguridad de los dispositivos móviles están diseñados para funcionar de forma independiente de las redes internas de ESET y los sistemas internos.

3. Seguridad de los recursos humanos

ESET usa prácticas estándar de recursos humanos, incluidas políticas diseñadas para proteger la seguridad de la información. Estas prácticas abarcan todo el proceso de aprendizaje de empleados y se aplican a todos los empleados que acceden al entorno de ESET LiveGuard Advanced.

4. Administración de recursos

La infraestructura de ESET LiveGuard Advanced se incluye en los inventarios de recursos de ESET, con propiedad estricta y reglas aplicadas según el tipo de objeto y la sensibilidad. ESET tiene un esquema de clasificación interno definido. Todos los datos y configuraciones de ESET LiveGuard Advanced se clasifican como confidenciales.

5. Control de acceso

La política de control de acceso de ESET rige todos los accesos de ESET LiveGuard Advanced. El control de acceso se establece en la infraestructura, los servicios de red, el sistema operativo, la base de datos y el nivel de la aplicación. La administración del acceso completo a los usuarios a nivel de la aplicación es autónoma.

El acceso al backend de ESET está limitado estrictamente a personas y roles autorizados. Los procesos estándar de ESET para el registro de usuarios (o la baja de registro), el aprovisionamiento (o su cancelación), la administración de privilegios y la revisión de los derechos de acceso de los usuarios se usan para administrar el acceso de los empleados de ESET a la infraestructura de ESET LiveGuard Advanced y las redes.

Existe una autenticación segura para proteger el acceso a todos los datos de ESET LiveGuard Advanced.

6. Criptografía

Se usa una potente criptografía (SSL) para cifrar los datos en tránsito y proteger los datos de ESET LiveGuard Advanced.

7. Seguridad física y ambiental

ESET LiveGuard Advanced está basado en la nube. ESET confía en una nube privada y en la nube de Microsoft Azure. La ubicación física del centro de datos en la nube privada solo está en la Unión Europea (UE). Microsoft Azure no se limita al territorio de la UE; sin embargo, solo se usa para almacenar hashes de una vía creados a partir de archivos enviados, sin incluir datos personales. Se usa una potente criptografía para proteger los datos de los clientes durante el transporte.

8. Seguridad de operaciones

El servicio de ESET LiveGuard Advanced se opera mediante medios automatizados basados en estrictos procedimientos operativos y plantillas de configuración. Todos los cambios, incluidos los cambios de configuración y la nueva implementación del paquete, se aprueban y probarán en un entorno de prueba específico antes de la instalación para la producción. Los entornos de desarrollo, prueba y producción se separan entre sí. Los datos de ESET LiveGuard Advanced solo se encuentran en el entorno de producción.

El entorno de ESET LiveGuard Advanced se supervisa con la supervisión operativa para identificar problemas rápidamente y proporcionar suficiente capacidad a todos los servicios de la red y los niveles de host.

Todos los datos de configuración se almacenan en nuestros repositorios de copias de seguridad periódicas para permitir la recuperación automática de la configuración de un entorno. Las copias de seguridad de los datos de ESET LiveGuard Advanced se almacenan tanto in situ como fuera del sitio.

Las copias de seguridad se cifran y prueban periódicamente para garantizar su recuperación como parte de las pruebas de continuidad empresarial.

La auditoría de los sistemas se realiza de acuerdo con las normas y las directrices internas. Los registros y eventos de la infraestructura, el sistema operativo, la base de datos, los servidores de aplicaciones y los controles de seguridad se recopilan continuamente. El equipo de TI y seguridad interna procesan aún más los registros para identificar anomalías operativas y de seguridad e incidentes de seguridad de la información.

ESET usa un proceso de administración general de vulnerabilidades técnicas para gestionar la aparición de vulnerabilidades en la infraestructura de ESET, incluido ESET LiveGuard Advanced y otros productos de ESET. Este proceso incluye exploración proactiva de vulnerabilidades y reiteradas pruebas de penetración de infraestructura, productos y aplicaciones.

ESET indica directrices internas para la seguridad de la infraestructura interna, las redes, los sistemas operativos, las bases de datos, los servidores de aplicaciones y las aplicaciones. Estas directrices se verifican mediante la supervisión del cumplimiento técnico y nuestro programa de auditoría de seguridad de la información interna.

9. Seguridad de las comunicaciones

El entorno de ESET LiveGuard Advanced se segmenta a través de la segmentación en la nube nativa, con acceso limitado a la red solo a los servicios necesarios entre los segmentos de red. La disponibilidad de los servicios de red se consigue mediante controles de nube nativa, como zonas de disponibilidad, equilibrio de carga y redundancia. Los componentes de equilibrio de carga especiales se implementan para proporcionar puntos de conexión específicos para el enrutamiento de instancias de ESET LiveGuard Advanced que aplican la autorización del tráfico y el equilibrio de carga. El tráfico de red se supervisa continuamente para detectar anomalías operativas y de seguridad. Los posibles ataques se pueden resolver con controles de nube nativa o soluciones de seguridad implementadas. Todas las comunicaciones de red se cifran a través de técnicas disponibles en general, incluidas IPsec y TLS.

10. Adquisición, desarrollo y mantenimiento del sistema

El desarrollo de los sistemas ESET LiveGuard Advanced se realiza de conformidad con la política de desarrollo de software seguro de ESET. Los equipos de seguridad interna se incluyen en el proyecto de desarrollo de ESET LiveGuard Advanced desde la fase inicial y supervisan todas las actividades de desarrollo y mantenimiento. El equipo de seguridad interna define y comprueba la ejecución de los requisitos de seguridad en varias etapas del desarrollo de software. La seguridad de todos los servicios, incluidos los recién desarrollados, se prueba continuamente tras su lanzamiento.

11. Relación con el proveedor

Las relaciones con proveedores relevantes se realizan de acuerdo con directrices válidas de ESET, que cubren toda la administración de las relaciones y los requisitos contractuales desde la perspectiva de la seguridad y la privacidad de la información. La calidad y seguridad de los servicios prestados por el proveedor de servicios críticos se evalúan periódicamente.

Además, ESET usa el principio de portabilidad para que ESET LiveGuard Advanced evite el bloqueo de proveedores.

12. Administración de seguridad de la información

La administración de incidentes de seguridad de la información en ESET LiveGuard Advanced se realiza de forma similar a lo que se realiza en otras infraestructuras de ESET, y se basa en procedimientos de respuesta a incidentes definidos. Las funciones dentro de la respuesta a incidentes se definen y asignan a través de varios ámbitos, como el de TI, seguridad, derecho, recursos personales, relaciones públicas y administración ejecutiva. El equipo de respuesta a incidentes se establece en función de la clasificación de incidentes por parte del equipo de seguridad interno. Ese equipo brindará más información sobre el resto de equipos que gestionarán el incidente. El equipo de seguridad interno también es responsable de la recopilación de los conocimientos y las lecciones aprendidas. La ocurrencia y la resolución de los incidentes se comunican a las partes afectadas. El equipo jurídico de ESET es responsable de notificar a los organismos normativos si es necesario de acuerdo con el Reglamento General de Protección de Datos de la Unión Europea (GDPR) y la Ley de seguridad informática, que establece la Directiva de seguridad de la red y la información (NIS).

13. Aspectos de seguridad de la información de la administración de la continuidad empresarial

La continuidad empresarial del servicio de ESET LiveGuard Advanced se codifica en la arquitectura sólida usada para maximizar la disponibilidad de los servicios proporcionados. La restauración completa a partir de datos de copia de seguridad y configuración fuera del sitio es posible en caso de falla catastrófica de todos los nodos redundantes de los componentes ESET LiveGuard Advanced o el servicio ESET LiveGuard Advanced. El proceso de restauración se pone a prueba periódicamente.

14. Cumplimiento

El cumplimiento de los requisitos contractuales y regulatorios de ESET LiveGuard Advanced se evalúa y se revisa de manera periódica, al igual que otras infraestructuras y otros procesos de ESET. Además, se toman las medidas necesarias para garantizar el cumplimiento continuo. ESET está registrado como proveedor de servicios digitales para servicios digitales de informática en la nube que cubren varios servicios de ESET, incluido ESET LiveGuard Advanced. Tenga en cuenta que las actividades de cumplimiento de ESET no tienen por qué significar que los requisitos generales de cumplimiento de los clientes se cumplan como tales.