Ajuda on-line ESET

Selecionar tópico

Segurança para ESET LiveGuard Advanced

Introdução

O objetivo deste documento é controlar as práticas de segurança e os controles de segurança aplicados dentro do ESET LiveGuard Advanced. As práticas e controles de segurança são feitos para proteger a confidencialidade, integridade e disponibilidade das informações do cliente. Observe que as práticas e controles de segurança podem mudar.

Escopo

O escopo deste documento é ampliar as práticas de segurança e controles de segurança para a infraestrutura do ESET LiveGuard Advanced, organização, pessoal e processos operacionais. Práticas e controles de segurança incluem:

  1. Políticas de segurança da informação
  2. Organização da segurança da informação
  3. Segurança de recursos humanos
  4. Gerenciamento de ativos
  5. Controle de Acesso
  6. Criptografia
  7. Segurança física e ambiental
  8. Segurança de operações
  9. Segurança de comunicações
  10. Aquisição, desenvolvimento e manutenção do sistema
  11. Relação de fornecedor
  12. Gerenciamento de incidentes de segurança de informações
  13. Aspectos de segurança de informação do gerenciamento de continuidade dos negócios
  14. Compliance

Conceito de segurança

A empresa ESET, spol. s r.o. é certificada pela ISO 27001:2013 com escopo integrado de sistema de gerenciamento que cobre explicitamente serviços ESET LiveGuard Advanced.

Portanto, o conceito de segurança da informação usa a estrutura ISO 27001 para implementar uma estratégia de defesa de segurança em camadas ao aplicar controles de segurança na camada de rede, sistemas operacionais, bancos de dados, aplicativos, pessoal e processos operacionais. As práticas de segurança aplicadas e controles de segurança têm como objetivo se sobrepor e se complementar.

Práticas e controles de segurança

1. Políticas de segurança da informação

A ESET usa políticas de segurança da informação para cobrir todos os aspectos do padrão ISO 27001, incluindo a governança da segurança da informação e controles e práticas de segurança. As políticas são revisadas anualmente e atualizadas depois de alterações significativas para garantir sua adequação e eficácia contínuas.

A ESET realiza revisões anuais desta política e verificações de segurança internas para garantir a coerência com esta política. A não conformidade com as políticas de segurança da informação está sujeita a ações disciplinares para os funcionários da ESET ou penalidades contratuais até a rescisão do contrato para os fornecedores.

2. Organização da segurança da informação

A organização da segurança da informação para ESET LiveGuard Advanced é composta por várias equipes e pessoas envolvidos na segurança da informação e de TI, incluindo:

  • Gerenciamento executivo da ESET
  • Equipes de segurança interna da ESET
  • Equipes de TI de aplicativos empresariais
  • Outras equipes de apoio

As responsabilidades de segurança da informação são alocadas alinhadas com as políticas de segurança da informação implementadas. Processos internos são identificados e avaliados para qualquer risco de modificação não autorizada ou não intencional ou uso indevido dos ativos ESET. Atividades perigosas ou sensíveis de processos internos adotam o princípio da separação de deveres para mitigar o risco.

A equipe jurídica da ESET é responsável por contatos com autoridades do governo, incluindo reguladores eslovacos sobre cibersegurança e proteção de dados pessoais. A equipe de Segurança Interna da ESET é responsável por entrar em contato com grupos de interesse especiais como ISACA. A equipe do laboratório de pesquisa da ESET é responsável pela comunicação com outras empresas de segurança e pela comunidade de cibersegurança em geral.

A segurança de informações é contada no gerenciamento de projeto usando a estrutura de gerenciamento de projeto aplicada, desde a concepção do projeto até sua conclusão.

O trabalho remoto e a troca de dados são cobertos pelo uso de uma política implementada em dispositivos móveis, que inclui o uso de uma forte proteção criptográfica de dados em dispositivos móveis enquanto viajam por redes não confiáveis. Controles de segurança em dispositivos móveis são projetados para funcionar independentemente das redes internas e dos sistemas internos da ESET.

3. Segurança de recursos humanos

A ESET usa práticas padrão de recursos humanos, incluindo políticas projetadas para ajudar na segurança da informação. Essas práticas cobrem todo o ciclo de vida dos funcionários, e são aplicadas a todas as equipes que acessam o ambiente ESET LiveGuard Advanced.

4. Gerenciamento de ativos

A infraestrutura ESET LiveGuard Advanced é incluída nas responsabilidades da ESET com propriedade rígida e regras aplicadas de acordo com o tipo de modelo e sensibilidade. A ESET tem um esquema de classificação interna definido. Todos os dados e configurações do ESET LiveGuard Advanced são classificados como confidenciais.

5. Controle de Acesso

A política de Controle de acesso da ESET governa todos os acessos no ESET LiveGuard Advanced. O controle de acesso é definido na infraestrutura, serviços de rede, sistema operacional, banco de dados e nível de aplicativo. O gerenciamento completo do acesso do usuário no nível do aplicativo é autônomo.

O acesso ao backend da ESET é estritamente limitado a pessoas e funções autorizadas. Processos padrão da ESET para (des)registro de usuário, (de)provisionamento, gerenciamento de privilégios e revisão dos direitos de acesso do usuário são usados para gerenciar o acesso de funcionários da ESET à infraestrutura e às redes do ESET LiveGuard Advanced.

Uma autenticação forte está implementada para proteger o acesso a todos os dados do ESET LiveGuard Advanced.

6. Criptografia

Uma criptografia forte (SSL) está implementada para criptografar dados em segurança para proteger dados ESET LiveGuard Advanced.

7. Segurança física e ambiental

ESET LiveGuard Advanced é baseado em nuvem. A ESET conta com uma nuvem privada e a nuvem Microsoft Azure. A localização física do centro de dados da nuvem privada é exclusivamente na União Europeia (UE). Microsoft Azure não se limita ao território da UE, porém ele é usado apenas para armazenar hashes de via única criados de arquivos enviados sem incluir dados pessoais. Uma criptografia forte está implementada para proteger os dados do cliente durante o transporte.

8. Segurança de operações

O serviço ESET LiveGuard Advanced é operado através de meios automatizados com base em procedimentos operacionais e modelos de configuração estritos. Todas as alterações, incluindo alterações de configuração e nova implantação de pacote, são aprovadas e testadas em um ambiente de teste dedicado antes da implantação para a produção. Ambientes de desenvolvimento, teste e produção são separados um do outro. Os dados ESET LiveGuard Advanced estão localizados apenas no ambiente de produção.

O ambiente ESET LiveGuard Advanced é supervisionado usando o monitoramento operacional para identificar problemas e fornecer capacidade suficiente para todos os serviços na rede e nos níveis de host.

Todos os dados de configuração são armazenados em nossos repositórios de backup regulares para permitir a recuperação automatizada da configuração de um ambiente. Os backups de dados ESET LiveGuard Advanced são armazenados no local e fora do local.

Backups são criptografados e testados regularmente para capacidade de recuperação como parte de testes de negócios.

A auditoria em sistemas é realizada de acordo com padrões e diretrizes internos. Relatórios e eventos da infraestrutura, sistema operacional, banco de dados, servidores de aplicativo e controles de segurança são coletados continuamente. Os relatórios são processados ainda mais por equipes de TI e segurança interna para identificar anomalias operacionais e de segurança e incidentes de segurança de informações.

A ESET usa um processo geral de gerenciamento de vulnerabilidades técnicas para lidar com a ocorrência de vulnerabilidades na infraestrutura ESET, incluindo ESET LiveGuard Advanced e outros produtos ESET. Esse processo inclui o escaneamento proativo de vulnerabilidade e testes repetitivos de segurança de infraestrutura, produtos e aplicativos.

A ESET declara diretrizes internas para a segurança da infraestrutura interna, redes, sistemas operacionais, bancos de dados, servidores de aplicativos e aplicativos. Essas diretrizes são verificadas através do monitoramento de conformidade técnica e do nosso programa interno de auditoria de segurança de informações.

9. Segurança de comunicações

O ambiente ESET LiveGuard Advanced é segmentado através da segmentação de nuvem nativa com acesso de rede limitado apenas aos serviços necessários entre os segmentos de rede. A disponibilidade de serviços de rede é realizada através de controles nativos da nuvem como zonas de disponibilidade, balanceamento de carga e redundância. Componentes dedicados de balanceamento de carga são implantados para fornecer endpoints específicos para roteamento de instância do ESET LiveGuard Advanced que aplicam a autorização de tráfego e balanceamento de carga. O tráfego da rede é monitorado continuamente em busca de anomalias operacionais e de segurança. Os potenciais ataques podem ser resolvidos usando controles nativos de nuvem ou soluções de segurança implantadas. Toda a comunicação de rede é criptografada através de técnicas geralmente disponíveis, incluindo IPsec e TLS.

10. Aquisição, desenvolvimento e manutenção do sistema

O desenvolvimento de sistemas ESET LiveGuard Advanced é realizado de acordo com a política de desenvolvimento de software seguro da ESET. Equipes de segurança interna são incluídas no projeto de desenvolvimento do ESET LiveGuard Advanced desde a fase inicial e supervisionam todas as atividades de desenvolvimento e manutenção. A equipe de segurança interna define e verifica o cumprimento dos requisitos de segurança em diversos momentos do desenvolvimento do software. A segurança de todos os serviços, incluindo os recentemente desenvolvidos, é testada continuamente depois do lançamento.

11. Relação de fornecedor

Uma relação de fornecedor relevante é conduzida de acordo com diretrizes válidas da ESET, que cobrem o gerenciamento de relacionamento por completo e os requisitos contratuais da perspectiva de segurança da informação e privacidade. A qualidade e a segurança dos serviços prestados pelo provedor de serviço crítico são avaliados regularmente.

Além disso, a ESET utiliza o princípio de portabilidade para o ESET LiveGuard Advanced para evitar o bloqueio do fornecedor.

12. Gerenciamento de segurança de informações

O gerenciamento de incidentes de segurança de informações no ESET LiveGuard Advanced é realizado de forma similar a outras infraestruturas da ESET e conta com procedimentos de resposta a incidentes definidos. As funções dentro da resposta a incidentes são definidas e alocadas em várias equipes, incluindo TI, segurança, jurídico, recursos humanos, relações públicas e gerenciamento executivo. A equipe de resposta a incidentes para um incidente é estabelecida com base na triagem de incidentes pela equipe de segurança interna. Essa equipe fornecerá ainda mais informações sobre outras equipes lidando com o incidente. A equipe de segurança interna também é responsável pela coleta de provas e por lições aprendidas. A ocorrência e a resolução de incidentes são comunicadas às partes afetadas. A equipe jurídica da ESET é responsável por notificar os corpos regulatórios se necessário, de acordo com o Regulamento Geral de Proteção de Dados (GDPR) e com a Lei de Cibersegurança que transpõe a Diretiva de Segurança da Informação e Rede (NIS).

13. Aspectos de segurança de informação do gerenciamento de continuidade dos negócios

A continuidade de negócios do serviço ESET LiveGuard Advanced é codificada na arquitetura robusta usada para aumentar ao máximo a disponibilidade dos serviços fornecidos. A restauração completa de dados de backup e configuração fora do local é possível no caso de uma falha total de todos os nós redundantes para componentes do ESET LiveGuard Advanced ou o serviço ESET LiveGuard Advanced. O processo de restauração é testado regularmente.

14. Compliance

A conformidade com os requisitos regulatórios e contratuais do ESET LiveGuard Advanced é regularmente avaliada e revisada de maneira semelhante a outras infraestruturas e processos da ESET, e as medidas necessárias são realizadas continuamente para garantir a conformidade. A ESET está registrada como um provedor de serviço digital para o serviço digital de Computação em nuvem, que cobre vários serviços ESET, inclusive o ESET LiveGuard Advanced. Observe que as atividades de conformidade da ESET não necessariamente significam que os requisitos gerais de conformidade dos clientes estão cumpridos como tal.