Seguridad para ESET LiveGuard Advanced
Introducción
La finalidad de este documento es resumir los controles y prácticas de seguridad que se aplican en ESET LiveGuard Advanced. Los controles y prácticas de seguridad están diseñados para proteger la confidencialidad, integridad y disponibilidad de la información del cliente. Tenga en cuenta que los controles y prácticas de seguridad pueden cambiar.
Alcance
En este documento se resumen los controles y prácticas de seguridad para la infraestructura, organización, personal y procesos operativos de ESET LiveGuard Advanced. Entre los controles y prácticas de seguridad se incluyen los siguientes:
- Políticas de seguridad de la información
- Organización de la seguridad de la información
- Seguridad de recursos humanos
- Administración de activos
- Control de acceso
- Cifrado
- Seguridad física y ambiental
- Seguridad de las operaciones
- Seguridad de la comunicación
- Adquisición, desarrollo y mantenimiento de sistemas
- Relación con proveedores
- Gestión de incidentes de seguridad de la información
- Aspectos de seguridad de la información de la gestión de la continuidad de la actividad
- Cumplimiento
Concepto de seguridad
La empresa ESET, spol. s r.o. cuenta con la certificación ISO 27001:2013, con un alcance del sistema de administración integrado que abarca explícitamente los servicios de ESET LiveGuard Advanced.
Por lo tanto, el concepto de seguridad de la información utiliza el marco de ISO 27001 para implementar una estrategia de seguridad por capas al aplicar controles de seguridad en las capas de red, sistemas operativos, bases de datos, aplicaciones, personal y procesos operativos. El objetivo de los controles y las prácticas de seguridad aplicables es superponerse y complementarse entre sí.
Controles y prácticas de seguridad
1. Políticas de seguridad de la información
ESET utiliza políticas de seguridad de la información para cumplir todos los aspectos de la norma ISO 27001, incluidos los controles y prácticas de seguridad, así como la gobernanza de la seguridad de la información. Las políticas se revisan anualmente y se actualizan tras cambios importantes para garantizar su conveniencia, adecuación y eficacia continuas.
ESET efectúa revisiones anuales de esta política y comprobaciones de seguridad interna para garantizar la coherencia con esta. El incumplimiento de las políticas de seguridad de la información puede acarrear medidas disciplinarias para los empleados de ESET y sanciones contractuales, incluida la rescisión del contrato, en el caso de los proveedores.
2. Organización de la seguridad de la información
La organización de la seguridad de la información de ESET LiveGuard Advanced se compone de varios equipos y personas implicados en la seguridad de la información y la TI, entre otros los siguientes:
- Administración ejecutiva de ESET
- Equipos de seguridad interna de ESET
- Equipos de TI de aplicaciones empresariales
- Otros equipos de apoyo
Las responsabilidades de seguridad de la información se asignan de acuerdo con las políticas de seguridad de la información establecidas. Los procesos internos se identifican y evalúan para determinar si hay riesgo de uso indebido o modificación no autorizada o involuntaria de los activos de ESET. Las actividades riesgosas o delicadas de los procesos internos adoptan el principio de segregación de controles para mitigar el riesgo.
El equipo jurídico de ESET es responsable de la comunicación con las autoridades gubernamentales, incluidas las entidades reguladoras eslovacas dedicadas a la seguridad informática y la protección de datos personales. El equipo de seguridad interna de ESET es responsable de la comunicación con grupos de interés especiales, como ISACA. El equipo del laboratorio de investigación de ESET es responsable de la comunicación con otras empresas de seguridad y la comunidad de seguridad informática en general.
La seguridad de la información se integra en la gestión de proyectos mediante el marco de gestión de proyectos aplicado desde la concepción hasta la finalización del proyecto.
El teletrabajo se asegura mediante una política implementada en los dispositivos móviles que incluye protección de datos mediante cifrado seguro al atravesar redes que no son de confianza. Los controles de seguridad de los dispositivos móviles están diseñados para funcionar independientemente de los sistemas internos y las redes internas de ESET.
3. Seguridad de recursos humanos
ESET utiliza prácticas estándar de recursos humanas, como políticas diseñadas para proteger la seguridad de la información. Estas prácticas abarcan todo el ciclo de vida de los empleados y se aplican a todos los equipos que acceden al entorno de ESET LiveGuard Advanced.
4. Administración de activos
La infraestructura de ESET LiveGuard Advanced está incluida en los inventarios de activos de ESET con estrictos controles de propiedad y reglas que se aplican según el tipo y la sensibilidad del activo. ESET tiene un esquema de clasificación interno definido. Todos los datos y configuraciones de ESET LiveGuard Advanced se clasifican como confidenciales.
5. Control de acceso
El acceso a ESET LiveGuard Advanced se rige por la política de control de acceso de ESET. El control de acceso se establece en la infraestructura, los servicios de red, el sistema operativo, la base de datos y el nivel de la aplicación. La administración del acceso total de los usuarios a nivel de la aplicación es autónoma.
El acceso al backend de ESET está estrictamente limitado a las personas y roles autorizados. Los procesos estándar de ESET para el (des)registro, (des)aprovisionamiento, administración de privilegios y revisión de derechos de acceso de los usuarios se utilizan para administrar el acceso de los empleados de ESET a la infraestructura y las redes de ESET LiveGuard Advanced.
Existe una autenticación segura para proteger el acceso a todos los datos de ESET LiveGuard Advanced.
6. Cifrado
Se utiliza un cifrado seguro (SSL) para cifrar los datos en tránsito con el fin de proteger los datos de ESET LiveGuard Advanced.
7. Seguridad física y ambiental
ESET LiveGuard Advanced está basado en la nube. ESET utiliza una nube privada y en la nube de Microsoft Azure. La ubicación física del centro de datos en la nube privada solo está en la Unión Europea (UE). Microsoft Azure no se limita al territorio de la UE; sin embargo, solo se utiliza para almacenar algoritmos hash unidireccionales creados a partir de archivos enviados sin incluir datos personales. Se utiliza un cifrado seguro para proteger los datos de los clientes durante el transporte.
8. Seguridad de las operaciones
El servicio de ESET LiveGuard Advanced se presta por medios automatizados basados en estrictos procedimientos operativos y plantillas de configuración. Todos los cambios, como los cambios de configuración y la implementación de nuevos paquetes, se aprueban y prueban en un entorno de pruebas específico antes de la implementación en producción. Los entornos de desarrollo, pruebas y producción se separan entre sí. Los datos de ESET LiveGuard Advanced se ubican solo en el entorno de producción.
El entorno de ESET LiveGuard Advanced se somete a supervisión operativa para identificar rápidamente los problemas y proporcionar suficiente capacidad a todos los servicios de la red y los niveles de host.
Todos los datos de configuración se almacenan en nuestros repositorios con copia de seguridad periódica para garantizar la recuperación automática de la configuración de un entorno. Las copias de seguridad de los datos de ESET LiveGuard Advanced se almacenan tanto en el sitio como fuera del sitio.
Las copias de seguridad se cifran y se someten a pruebas periódicas de recuperabilidad como parte de las pruebas de continuidad de la actividad.
La auditoría de los sistemas se lleva a cabo de conformidad con las normas y directrices internas. Se recopilan de forma continuada los registros y eventos de la infraestructura, el sistema operativo, la base de datos, los servidores de aplicaciones y los controles de seguridad. Los equipos de TI y seguridad interna procesan los registros para identificar anomalías operativas y de seguridad, e incidentes de seguridad de la información.
ESET utiliza un proceso general de administración de vulnerabilidades técnicas para gestionar la aparición de vulnerabilidades en la infraestructura de ESET, incluida la de ESET LiveGuard Advanced y otros productos de ESET. Este proceso incluye un análisis proactivo de vulnerabilidades y pruebas reiteradas de penetración de la infraestructura, los productos y las aplicaciones.
ESET establece directrices internas para la seguridad de la infraestructura interna, las redes, los sistemas operativos, las bases de datos, los servidores de aplicaciones y las aplicaciones. Estas directrices se verifican mediante la supervisión del cumplimiento técnico y nuestro programa interno de auditoría de seguridad de la información.
9. Seguridad de la comunicación
El entorno de ESET LiveGuard Advanced se somete a segmentación nativa de la nube, con acceso a la red limitado solo a los servicios necesarios entre los segmentos de red. La disponibilidad de los servicios de red se consigue mediante controles nativos de la nube, como zonas de disponibilidad, equilibrio de carga y redundancia. Se implementan componentes específicos de equilibrio de carga a fin de proporcionar equipos concretos para el enrutamiento de instancias de ESET LiveGuard Advanced que exijan la autorización del tráfico y el equilibrio de carga. El tráfico de red se supervisa continuamente para detectar anomalías operativas y de seguridad. Los posibles ataques se pueden resolver mediante controles nativos de la nube o soluciones de seguridad implementadas. Todas las comunicaciones de red se cifran mediante técnicas generalmente disponibles, como IPsec y TLS.
10. Adquisición, desarrollo y mantenimiento de sistemas
El desarrollo de los sistemas de ESET LiveGuard Advanced se realiza de conformidad con la política de desarrollo de software seguro de ESET. Los equipos de seguridad interna se incluyen en el proyecto de desarrollo de ESET LiveGuard Advanced desde la fase inicial y supervisan todas las actividades de desarrollo y mantenimiento. El equipo de seguridad interna define y verifica el cumplimiento de los requisitos de seguridad en diferentes etapas del desarrollo de software. Todos los servicios, incluidos los que se han desarrollado recientemente, se someten a pruebas de seguridad continuas tras su lanzamiento.
11. Relación con proveedores
Las relaciones con proveedores relevantes se desarrollan de conformidad con las directrices válidas de ESET, que abarcan la gestión de toda la relación y los requisitos contractuales desde la perspectiva de la privacidad y la seguridad de la información. La calidad y seguridad de los servicios prestados por el proveedor de servicios críticos se evalúan periódicamente.
Además, ESET utiliza el principio de portabilidad para ESET LiveGuard Advanced a fin de evitar el bloqueo de proveedores.
12. Administración de seguridad de la información
La gestión de incidentes de seguridad de la información en ESET LiveGuard Advanced es similar a la de otras infraestructuras de ESET y se basa en procedimientos de respuesta a incidentes definidos. En la respuesta a incidentes, se definen y asignan funciones en múltiples equipos, como el jurídico, así como los de TI, seguridad, recursos humanos, relaciones públicas y administración ejecutiva. El equipo de respuesta a incidentes se establece función de la clasificación del incidente determinada por el equipo de seguridad interna. Este equipo estará a cargo de la coordinación del resto de equipos que gestionen el incidente. El equipo de seguridad interna también es responsable de la recopilación de pruebas y las lecciones aprendidas. Se notifica a las partes afectadas cuando ocurre el incidente y cuando se resuelve. El equipo jurídico de ESET es responsable de notificar a los organismos normativos en caso necesario de acuerdo con el Regulación General de Protección de Datos (RGPD) y la Ley de seguridad informática, por la que se transpone la Directiva de seguridad de las redes y la información (NIS).
13. Aspectos de seguridad de la información de la gestión de la continuidad de la actividad
La continuidad de la actividad del servicio de ESET LiveGuard Advanced está codificada en la sólida arquitectura utilizada para maximizar la disponibilidad de los servicios proporcionados. Es posible restaurar totalmente componentes de ESET LiveGuard Advanced o el servicio de ESET LiveGuard Advanced a partir de datos de configuración y copia de seguridad fuera del sitio en caso de fallo catastrófico de todos los nodos redundantes. El proceso de restauración se prueba periódicamente.
14. Cumplimiento
El cumplimiento de los requisitos normativos y contractuales de ESET LiveGuard Advanced se evalúa y revisa con regularidad, al igual que otros procesos e infraestructuras de ESET, y se toman las medidas necesarias para garantizar dicho cumplimiento en todo momento. ESET está registrado como proveedor de servicios digitales de informática en la nube y presta múltiples servicios, entre otros, ESET LiveGuard Advanced. Tenga en cuenta que las actividades de cumplimiento de ESET no están destinadas a satisfacer los requisitos generales de cumplimiento de los clientes.