Seguridad para ESET PROTECT Cloud

Introducción

La finalidad de este documento es resumir las prácticas de seguridad y los controles de seguridad que se aplican en ESET PROTECT Cloud. Las prácticas y los controles de seguridad están diseñados para proteger la confidencialidad, la integridad y la disponibilidad de la información del cliente. Tenga en cuenta que las prácticas y los controles de seguridad pueden cambiar.

Alcance

El alcance de este documento es resumir las prácticas y controles de seguridad de infraestructura de ESET PROTECT Cloud, ESET Business Account (en adelante, "EBA") y la infraestructura ESET MSP Administrator (en adelante, "EMA"), la organización, el personal y los procesos operativos. Entre las prácticas y controles de seguridad se incluyen:

  1. Políticas de seguridad de la información
  2. Organización de la seguridad de la información
  3. Seguridad de los recursos humanos
  4. Administración de recursos
  5. Control de acceso
  6. Criptografía
  7. Seguridad física y ambiental
  8. Seguridad de operaciones
  9. Seguridad de las comunicaciones
  10. Adquisición, desarrollo y mantenimiento del sistema
  11. Relación con el proveedor
  12. Administración de incidentes de seguridad de la información
  13. Aspectos de seguridad de la información de la administración de la continuidad empresarial
  14. Cumplimiento

Concepto de seguridad

La empresa ESET s.r.o. cuenta con la certificación ISO 27001:2013 con un alcance integrado en el sistema de administración, que abarca explícitamente ESET PROTECT Cloud, los servicios de EBA y EMA.

Por lo tanto, el concepto de seguridad de la información usa el marco de la norma ISO 27001 con el fin de implementar una estrategia de seguridad de defensa escalonada al momento de aplicar los controles de seguridad en la capa de la red, sistemas operativos, bases de datos, aplicaciones, personal y procesos operativos. Las prácticas y controles de seguridad aplicados tienen por objetivo superponerse y complementarse entre sí.

Prácticas y controles de seguridad

1. Políticas de seguridad de la información

ESET usa políticas de seguridad de la información para abarcar todos los aspectos de la norma ISO 27001, incluidos los controles y prácticas de seguridad, y la gestión de seguridad de la información. Las políticas se revisan de forma anual y se actualizan tras cambios importantes para garantizar su ideoneidad, adecuación y eficacia continuas.

ESET realiza revisiones anuales de esta política y de comprobaciones de seguridad internas para garantizar la coherencia con esta política. El incumplimiento de las políticas de seguridad de la información está sujeto a medidas disciplinarias para los empleados de ESET o sanciones contractuales hasta la terminación del contrato para los proveedores.

2. Organización de la seguridad de la información

La organización de seguridad de la información de ESET PROTECT Cloud consta de varios equipos e individuos implicados en la seguridad de la información y TI, lo que incluye:

  • Administración ejecutiva de ESET
  • Equipos de seguridad interna de ESET
  • Equipos de TI de aplicaciones empresariales
  • Otros elementos de apoyo

Las responsabilidades de seguridad de la información se asignan de acuerdo con las políticas de seguridad de la información implementadas. Los procesos internos se identifican y evalúan para determinar si existe cualquier riesgo de modificación no autorizada o no intencional, o un mal uso del producto de ESET. Las actividades riesgosas o delicadas de los procesos internos adoptan el principio de repartición de tareas para mitigar el riesgo.

El equipo jurídico de ESET es responsable de los contactos con las autoridades gubernamentales, incluidos los organismos reguladores eslovacos sobre seguridad informática y protección de datos personales. El equipo de seguridad interna de ESET es responsable de ponerse en contacto con grupos de interés especiales, como ISACA. El equipo del laboratorio de investigación de ESET es responsable de la comunicación con otras empresas de seguridad y la gran comunidad de seguridad informática.

La seguridad de la información se explica en la administración de proyectos con el marco de administración de proyectos aplicado, desde el proceso de concepción hasta la finalización del proyecto.

El trabajo remoto y el transporte se cubren mediante el uso de una política implementada en dispositivos móviles que incluye el uso de una potente protección de datos criptográficos en dispositivos móviles cuando se desplaza a través de redes no confiables. Los controles de seguridad de los dispositivos móviles están diseñados para funcionar de forma independiente de las redes internas de ESET y los sistemas internos.

3. Seguridad de los recursos humanos

ESET usa prácticas estándar de recursos humanos, incluidas políticas diseñadas para proteger la seguridad de la información. Estas prácticas abarcan todo el proceso de aprendizaje de empleados y se aplican a todos los empleados que acceden al entorno de ESET PROTECT Cloud.

4. Administración de recursos

La infraestructura de ESET PROTECT Cloud se incluye en los inventarios de recursos de ESET, con propiedad estricta y reglas aplicadas según el tipo de objeto y la sensibilidad. ESET tiene un esquema de clasificación interno definido. Todos los datos y configuraciones de ESET PROTECT Cloud se clasifican como confidenciales.

5. Control de acceso

La política de control de acceso de ESET rige todos los accesos de ESET PROTECT Cloud. El control de acceso se establece en la infraestructura, los servicios de red, el sistema operativo, la base de datos y el nivel de la aplicación. La administración del acceso completo a los usuarios a nivel de la aplicación es autónoma. El inicio de sesión único de ESET PROTECT Cloud y ESET Business Account se rige por un proveedor de identidad central que garantiza que un usuario solo puede acceder al inquilino autorizado. La aplicación usa permisos de ESET PROTECT Cloud estándar para aplicar control de acceso basado en roles para el inquilino.

El acceso al backend de ESET está limitado estrictamente a personas y roles autorizados. Los procesos estándar de ESET para el registro de usuarios (o la baja de registro), el aprovisionamiento (o su cancelación), la administración de privilegios y la revisión de los derechos de acceso de los usuarios se usan para administrar el acceso de los empleados de ESET a la infraestructura de ESET PROTECT Cloud y las redes.

Existe una autenticación segura para proteger el acceso a todos los datos de ESET PROTECT Cloud.

6. Criptografía

Para proteger los datos de ESET PROTECT Cloud, se usa una potente criptografía para cifrar los datos en reposo y en tránsito. Por lo general, la autoridad certificadora de confianza se usa para emitir certificados para servicios públicos. La infraestructura de clave pública de ESET interna se usa para administrar las claves de la infraestructura de ESET PROTECT Cloud. Los datos almacenados en la base de datos están protegidos por claves de cifrado generadas por la nube. Todos los datos de la copia de seguridad están protegidos por claves administradas de ESET.

7. Seguridad física y ambiental

Dado que ESET PROTECT Cloud y ESET Business Account están basados en la nube, dependemos de Microsoft Azure para la seguridad física y ambiental. Microsoft Azure usa centros de datos certificados con medidas sólidas de seguridad física. La ubicación física del centro de datos depende de la selección de la región del cliente. Se usa una potente criptografía para proteger los datos del cliente durante el transporte fuera del sitio desde el entorno de la nube (por ejemplo, en un almacenamiento de datos de copia de seguridad físico).

8. Seguridad de operaciones

El servicio de ESET PROTECT Cloud se opera mediante medios automatizados basados en estrictos procedimientos operativos y plantillas de configuración. Todos los cambios, incluidos los cambios de configuración y la nueva implementación del paquete, se aprueban y probarán en un entorno de prueba específico antes de la instalación para la producción. Los entornos de desarrollo, prueba y producción se separan entre sí. Los datos de ESET PROTECT Cloud solo se encuentran en el entorno de producción.

El entorno de ESET PROTECT Cloud se supervisa con la supervisión operativa para identificar problemas rápidamente y proporcionar suficiente capacidad a todos los servicios de la red y los niveles de host.

Todos los datos de configuración se almacenan en nuestros repositorios de copias de seguridad periódicas para permitir la recuperación automática de la configuración de un entorno. Las copias de seguridad de los datos de ESET PROTECT Cloud se almacenan tanto in situ como fuera del sitio.

Las copias de seguridad se cifran y prueban periódicamente para garantizar su recuperación como parte de las pruebas de continuidad empresarial.

La auditoría de los sistemas se realiza de acuerdo con las normas y las directrices internas. Los registros y eventos de la infraestructura, el sistema operativo, la base de datos, los servidores de aplicaciones y los controles de seguridad se recopilan continuamente. El equipo de TI y seguridad interna procesan aún más los registros para identificar anomalías operativas y de seguridad e incidentes de seguridad de la información.

ESET usa un proceso de administración general de vulnerabilidades técnicas para gestionar la aparición de vulnerabilidades en la infraestructura de ESET, incluido ESET PROTECT Cloud y otros productos de ESET. Este proceso incluye exploración proactiva de vulnerabilidades y reiteradas pruebas de penetración de infraestructura, productos y aplicaciones.

ESET indica directrices internas para la seguridad de la infraestructura interna, las redes, los sistemas operativos, las bases de datos, los servidores de aplicaciones y las aplicaciones. Estas directrices se verifican mediante la supervisión del cumplimiento técnico y nuestro programa de auditoría de seguridad de la información interna.

9. Seguridad de las comunicaciones

El entorno de ESET PROTECT Cloud se segmenta a través de la segmentación en la nube nativa, con acceso limitado a la red solo a los servicios necesarios entre los segmentos de red. La disponibilidad de los servicios de red se consigue mediante controles de nube nativa, como zonas de disponibilidad, equilibrio de carga y redundancia. Los componentes de equilibrio de carga especiales se implementan para proporcionar puntos de conexión específicos para el enrutamiento de instancias de ESET PROTECT Cloud que aplican la autorización del tráfico y el equilibrio de carga. El tráfico de red se supervisa continuamente para detectar anomalías operativas y de seguridad. Los posibles ataques se pueden resolver con controles de nube nativa o soluciones de seguridad implementadas. Todas las comunicaciones de red se cifran a través de técnicas disponibles en general, incluidas IPsec y TLS.

10. Adquisición, desarrollo y mantenimiento del sistema

El desarrollo de los sistemas ESET PROTECT Cloud se realiza de conformidad con la política de desarrollo de software seguro de ESET. Los equipos de seguridad interna se incluyen en el proyecto de desarrollo de ESET PROTECT Cloud desde la fase inicial y supervisan todas las actividades de desarrollo y mantenimiento. El equipo de seguridad interna define y comprueba la ejecución de los requisitos de seguridad en varias etapas del desarrollo de software. La seguridad de todos los servicios, incluidos los recién desarrollados, se prueba continuamente tras su lanzamiento.

11. Relación con el proveedor

Las relaciones con proveedores relevantes se realizan de acuerdo con directrices válidas de ESET, que cubren toda la administración de las relaciones y los requisitos contractuales desde la perspectiva de la seguridad y la privacidad de la información. La calidad y seguridad de los servicios prestados por el proveedor de servicios críticos se evalúan periódicamente.

Además, ESET usa el principio de portabilidad para que ESET PROTECT Cloud evite el bloqueo de proveedores.

12. Administración de seguridad de la información

La administración de incidentes de seguridad de la información en ESET PROTECT Cloud se realiza de forma similar a lo que se realiza en otras infraestructuras de ESET, y se basa en procedimientos de respuesta a incidentes definidos. Las funciones dentro de la respuesta a incidentes se definen y asignan a través de varios ámbitos, como el de TI, seguridad, derecho, recursos personales, relaciones públicas y administración ejecutiva. El equipo de respuesta a incidentes se establece en función de la clasificación de incidentes por parte del equipo de seguridad interno. Ese equipo brindará más información sobre el resto de equipos que gestionarán el incidente. El equipo de seguridad interno también es responsable de la recopilación de los conocimientos y las lecciones aprendidas. La ocurrencia y la resolución de los incidentes se comunican a las partes afectadas. El equipo jurídico de ESET es responsable de notificar a los organismos normativos si es necesario de acuerdo con el Reglamento General de Protección de Datos de la Unión Europea (GDPR) y la Ley de seguridad informática, que establece la Directiva de seguridad de la red y la información (NIS).

13. Aspectos de seguridad de la información de la administración de la continuidad empresarial

La continuidad empresarial del servicio de ESET PROTECT Cloud se codifica en la arquitectura sólida usada para maximizar la disponibilidad de los servicios proporcionados. La restauración completa a partir de datos de copia de seguridad y configuración fuera del sitio es posible en caso de falla catastrófica de todos los nodos redundantes de los componentes ESET PROTECT Cloud o el servicio ESET PROTECT Cloud. El proceso de restauración se pone a prueba periódicamente.

14. Cumplimiento

El cumplimiento de los requisitos contractuales y regulatorios de ESET PROTECT Cloud se evalúa y se revisa de manera periódica, al igual que otras infraestructuras y otros procesos de ESET. Además, se toman las medidas necesarias para garantizar el cumplimiento continuo. ESET está registrado como proveedor de servicios digitales para servicios digitales de informática en la nube que cubren varios servicios de ESET, incluido ESET PROTECT Cloud. Tenga en cuenta que las actividades de cumplimiento de ESET no tienen por qué significar que los requisitos generales de cumplimiento de los clientes se cumplan como tales.