Seguridad para ESET PROTECT
Introducción
La finalidad de este documento es resumir las prácticas de seguridad y los controles de seguridad que se aplican en ESET PROTECT. Las prácticas y los controles de seguridad están diseñados para proteger la confidencialidad, la integridad y la disponibilidad de la información del cliente. Tenga en cuenta que las prácticas y los controles de seguridad pueden cambiar.
Alcance
El alcance de este documento es resumir las prácticas y controles de seguridad de infraestructura de ESET PROTECT, ESET Business Account (en adelante, "EBA") y la infraestructura ESET MSP Administrator (en adelante, "EMA"), la organización, el personal y los procesos operativos. Entre las prácticas y controles de seguridad se incluyen:
- Políticas de seguridad de la información
- Organización de la seguridad de la información
- Seguridad de los recursos humanos
- Administración de recursos
- Control de acceso
- Criptografía
- Seguridad física y ambiental
- Seguridad de operaciones
- Seguridad de las comunicaciones
- Adquisición, desarrollo y mantenimiento del sistema
- Relación con el proveedor
- Administración de incidentes de seguridad de la información
- Aspectos de seguridad de la información de la administración de la continuidad empresarial
- Cumplimiento
Concepto de seguridad
La empresa ESET s.r.o. cuenta con la certificación ISO 27001:2013 con un alcance integrado en el sistema de administración, que abarca explícitamente ESET PROTECT, los servicios de EBA y EMA.
Por lo tanto, el concepto de seguridad de la información usa el marco de la norma ISO 27001 con el fin de implementar una estrategia de seguridad de defensa escalonada al momento de aplicar los controles de seguridad en la capa de la red, sistemas operativos, bases de datos, aplicaciones, personal y procesos operativos. Las prácticas y controles de seguridad aplicados tienen por objetivo superponerse y complementarse entre sí.
Prácticas y controles de seguridad
1. Políticas de seguridad de la información
ESET usa políticas de seguridad de la información para abarcar todos los aspectos de la norma ISO 27001, incluidos los controles y prácticas de seguridad, y la gestión de seguridad de la información. Las políticas se revisan de forma anual y se actualizan tras cambios importantes para garantizar su ideoneidad, adecuación y eficacia continuas.
ESET realiza revisiones anuales de esta política y de comprobaciones de seguridad internas para garantizar la coherencia con esta política. El incumplimiento de las políticas de seguridad de la información está sujeto a medidas disciplinarias para los empleados de ESET o sanciones contractuales hasta la terminación del contrato para los proveedores.
2. Organización de la seguridad de la información
La organización de seguridad de la información de ESET PROTECT consta de varios equipos e individuos implicados en la seguridad de la información y TI, lo que incluye:
- Administración ejecutiva de ESET
- Equipos de seguridad interna de ESET
- Equipos de TI de aplicaciones empresariales
- Otros elementos de apoyo
Las responsabilidades de seguridad de la información se asignan de acuerdo con las políticas de seguridad de la información implementadas. Los procesos internos se identifican y evalúan para determinar si existe cualquier riesgo de modificación no autorizada o no intencional, o un mal uso del producto de ESET. Las actividades riesgosas o delicadas de los procesos internos adoptan el principio de repartición de tareas para mitigar el riesgo.
El equipo jurídico de ESET es responsable de los contactos con las autoridades gubernamentales, incluidos los organismos reguladores eslovacos sobre seguridad informática y protección de datos personales. El equipo de seguridad interna de ESET es responsable de ponerse en contacto con grupos de interés especiales, como ISACA. El equipo del laboratorio de investigación de ESET es responsable de la comunicación con otras empresas de seguridad y la gran comunidad de seguridad informática.
La seguridad de la información se explica en la administración de proyectos con el marco de administración de proyectos aplicado, desde el proceso de concepción hasta la finalización del proyecto.
El trabajo remoto y el transporte se cubren mediante el uso de una política implementada en dispositivos móviles que incluye el uso de una potente protección de datos criptográficos en dispositivos móviles cuando se desplaza a través de redes no confiables. Los controles de seguridad de los dispositivos móviles están diseñados para funcionar de forma independiente de las redes internas de ESET y los sistemas internos.
3. Seguridad de los recursos humanos
ESET usa prácticas estándar de recursos humanos, incluidas políticas diseñadas para proteger la seguridad de la información. Estas prácticas abarcan todo el proceso de aprendizaje de empleados y se aplican a todos los empleados que acceden al entorno de ESET PROTECT.
4. Administración de recursos
La infraestructura de ESET PROTECT se incluye en los inventarios de recursos de ESET, con propiedad estricta y reglas aplicadas según el tipo de objeto y la sensibilidad. ESET tiene un esquema de clasificación interno definido. Todos los datos y configuraciones de ESET PROTECT se clasifican como confidenciales.
5. Control de acceso
La política de control de acceso de ESET rige todos los accesos de ESET PROTECT. El control de acceso se establece en la infraestructura, los servicios de red, el sistema operativo, la base de datos y el nivel de la aplicación. La administración del acceso completo a los usuarios a nivel de la aplicación es autónoma. El inicio de sesión único de ESET PROTECT y ESET Business Account se rige por un proveedor de identidad central que garantiza que un usuario solo puede acceder al inquilino autorizado. La aplicación usa permisos de ESET PROTECT estándar para aplicar control de acceso basado en roles para el inquilino.
El acceso al backend de ESET está limitado estrictamente a personas y roles autorizados. Los procesos estándar de ESET para el registro de usuarios (o la baja de registro), el aprovisionamiento (o su cancelación), la administración de privilegios y la revisión de los derechos de acceso de los usuarios se usan para administrar el acceso de los empleados de ESET a la infraestructura de ESET PROTECT y las redes.
Existe una autenticación segura para proteger el acceso a todos los datos de ESET PROTECT.
6. Criptografía
Para proteger los datos de ESET PROTECT, se usa una potente criptografía para cifrar los datos en reposo y en tránsito. Por lo general, la autoridad certificadora de confianza se usa para emitir certificados para servicios públicos. La infraestructura de clave pública de ESET interna se usa para administrar las claves de la infraestructura de ESET PROTECT. Los datos almacenados en la base de datos están protegidos por claves de cifrado generadas por la nube. Todos los datos de la copia de seguridad están protegidos por claves administradas de ESET.
7. Seguridad física y ambiental
Dado que ESET PROTECT y ESET Business Account están basados en la nube, dependemos de Microsoft Azure para la seguridad física y ambiental. Microsoft Azure usa centros de datos certificados con medidas sólidas de seguridad física. La ubicación física del centro de datos depende de la selección de la región del cliente. Se usa una potente criptografía para proteger los datos del cliente durante el transporte fuera del sitio desde el entorno de la nube (por ejemplo, en un almacenamiento de datos de copia de seguridad físico).
8. Seguridad de operaciones
El servicio de ESET PROTECT se opera mediante medios automatizados basados en estrictos procedimientos operativos y plantillas de configuración. Todos los cambios, incluidos los cambios de configuración y la nueva implementación del paquete, se aprueban y probarán en un entorno de prueba específico antes de la instalación para la producción. Los entornos de desarrollo, prueba y producción se separan entre sí. Los datos de ESET PROTECT solo se encuentran en el entorno de producción.
El entorno de ESET PROTECT se supervisa con la supervisión operativa para identificar problemas rápidamente y proporcionar suficiente capacidad a todos los servicios de la red y los niveles de host.
Todos los datos de configuración se almacenan en nuestros repositorios de copias de seguridad periódicas para permitir la recuperación automática de la configuración de un entorno. Las copias de seguridad de los datos de ESET PROTECT se almacenan tanto in situ como fuera del sitio.
Las copias de seguridad se cifran y prueban periódicamente para garantizar su recuperación como parte de las pruebas de continuidad empresarial.
La auditoría de los sistemas se realiza de acuerdo con las normas y las directrices internas. Los registros y eventos de la infraestructura, el sistema operativo, la base de datos, los servidores de aplicaciones y los controles de seguridad se recopilan continuamente. El equipo de TI y seguridad interna procesan aún más los registros para identificar anomalías operativas y de seguridad e incidentes de seguridad de la información.
ESET usa un proceso de administración general de vulnerabilidades técnicas para gestionar la aparición de vulnerabilidades en la infraestructura de ESET, incluido ESET PROTECT y otros productos de ESET. Este proceso incluye exploración proactiva de vulnerabilidades y reiteradas pruebas de penetración de infraestructura, productos y aplicaciones.
ESET indica directrices internas para la seguridad de la infraestructura interna, las redes, los sistemas operativos, las bases de datos, los servidores de aplicaciones y las aplicaciones. Estas directrices se verifican mediante la supervisión del cumplimiento técnico y nuestro programa de auditoría de seguridad de la información interna.
9. Seguridad de las comunicaciones
El entorno de ESET PROTECT se segmenta a través de la segmentación en la nube nativa, con acceso limitado a la red solo a los servicios necesarios entre los segmentos de red. La disponibilidad de los servicios de red se consigue mediante controles de nube nativa, como zonas de disponibilidad, equilibrio de carga y redundancia. Los componentes de equilibrio de carga especiales se implementan para proporcionar puntos de conexión específicos para el enrutamiento de instancias de ESET PROTECT que aplican la autorización del tráfico y el equilibrio de carga. El tráfico de red se supervisa continuamente para detectar anomalías operativas y de seguridad. Los posibles ataques se pueden resolver con controles de nube nativa o soluciones de seguridad implementadas. Todas las comunicaciones de red se cifran a través de técnicas disponibles en general, incluidas IPsec y TLS.
10. Adquisición, desarrollo y mantenimiento del sistema
El desarrollo de los sistemas ESET PROTECT se realiza de conformidad con la política de desarrollo de software seguro de ESET. Los equipos de seguridad interna se incluyen en el proyecto de desarrollo de ESET PROTECT desde la fase inicial y supervisan todas las actividades de desarrollo y mantenimiento. El equipo de seguridad interna define y comprueba la ejecución de los requisitos de seguridad en varias etapas del desarrollo de software. La seguridad de todos los servicios, incluidos los recién desarrollados, se prueba continuamente tras su lanzamiento.
11. Relación con el proveedor
Las relaciones con proveedores relevantes se realizan de acuerdo con directrices válidas de ESET, que cubren toda la administración de las relaciones y los requisitos contractuales desde la perspectiva de la seguridad y la privacidad de la información. La calidad y seguridad de los servicios prestados por el proveedor de servicios críticos se evalúan periódicamente.
Además, ESET usa el principio de portabilidad para que ESET PROTECT evite el bloqueo de proveedores.
12. Administración de seguridad de la información
La administración de incidentes de seguridad de la información en ESET PROTECT se realiza de forma similar a lo que se realiza en otras infraestructuras de ESET, y se basa en procedimientos de respuesta a incidentes definidos. Las funciones dentro de la respuesta a incidentes se definen y asignan a través de varios ámbitos, como el de TI, seguridad, derecho, recursos personales, relaciones públicas y administración ejecutiva. El equipo de respuesta a incidentes se establece en función de la clasificación de incidentes por parte del equipo de seguridad interno. Ese equipo brindará más información sobre el resto de equipos que gestionarán el incidente. El equipo de seguridad interno también es responsable de la recopilación de los conocimientos y las lecciones aprendidas. La ocurrencia y la resolución de los incidentes se comunican a las partes afectadas. El equipo jurídico de ESET es responsable de notificar a los organismos normativos si es necesario de acuerdo con el Reglamento General de Protección de Datos de la Unión Europea (GDPR) y la Ley de seguridad informática, que establece la Directiva de seguridad de la red y la información (NIS).
13. Aspectos de seguridad de la información de la administración de la continuidad empresarial
La continuidad empresarial del servicio de ESET PROTECT se codifica en la arquitectura sólida usada para maximizar la disponibilidad de los servicios proporcionados. La restauración completa a partir de datos de copia de seguridad y configuración fuera del sitio es posible en caso de falla catastrófica de todos los nodos redundantes de los componentes ESET PROTECT o el servicio ESET PROTECT. El proceso de restauración se pone a prueba periódicamente.
14. Cumplimiento
El cumplimiento de los requisitos contractuales y regulatorios de ESET PROTECT se evalúa y se revisa de manera periódica, al igual que otras infraestructuras y otros procesos de ESET. Además, se toman las medidas necesarias para garantizar el cumplimiento continuo. ESET está registrado como proveedor de servicios digitales para servicios digitales de informática en la nube que cubren varios servicios de ESET, incluido ESET PROTECT. Tenga en cuenta que las actividades de cumplimiento de ESET no tienen por qué significar que los requisitos generales de cumplimiento de los clientes se cumplan como tales.