Guida online ESET

Ricerca Italiano
Seleziona l'argomento

Protezione per ESET PROTECT

Introduzione

Lo scopo del presente documento è fornire un riepilogo delle procedure e dei controlli di protezione applicati a ESET PROTECT Cloud. Queste misure sono state concepite allo scopo di preservare la riservatezza, l’integrità e la disponibilità delle informazioni dei clienti. Tenere presente che le procedure e i controlli di sicurezza potrebbero subire delle variazioni.

Ambito

Lo scopo del presente documento è fornire un riepilogo delle procedure e dei controlli di sicurezza per l’infrastruttura ESET PROTECT Cloud, ESET Business Account (qui nel prosieguo denominato “EBA”) e per l’infrastruttura, l’organizzazione, il personale e i processi operativi di ESET MSP Administrator (qui nel prosieguo denominato “EMA”). Le procedure e i controlli di sicurezza includono:

  1. Criteri di protezione delle informazioni
  2. Organizzazione della protezione delle informazioni
  3. Protezione delle risorse umane
  4. Gestione delle risorse
  5. Controllo accessi
  6. Crittografia
  7. Protezione fisica e ambientale
  8. Protezione delle operazioni
  9. Protezione delle comunicazioni
  10. Acquisizione, sviluppo e manutenzione del sistema
  11. Relazioni con i fornitori
  12. Gestione degli incidenti di protezione delle informazioni
  13. Aspetti concernenti la protezione delle informazioni relative alla gestione della continuità aziendale
  14. Conformità

Concetto di protezione

L’azienda ESET s.r.o. ha ottenuto la certificazione ISO 27001:2013 in materia di sistemi di gestione integrati che copre esplicitamente i servizi di ESET PROTECT Cloud, EBA ed EMA.

Di conseguenza, il concetto di protezione delle informazioni utilizza lo standard ISO 27001 finalizzato all’implementazione di una strategia di protezione basata su una difesa multilivello nell’applicazione dei controlli di sicurezza in termini di rete, sistemi operativi, database, applicazioni, personale e processi operativi. Le procedure di protezione e i controlli di sicurezza applicati sono concepiti per garantire una sovrapposizione e un’integrazione reciproca degli stessi.

Procedure e controlli di protezione

1. Criteri di protezione delle informazioni

ESET utilizza criteri di protezione delle informazioni per coprire tutti gli aspetti dello standard ISO 27001, compresi la gestione della protezione delle informazioni e i controlli e le procedure di sicurezza. I criteri vengono revisionati annualmente e aggiornati in seguito a modifiche significative allo scopo di garantire costantemente idoneità, adeguatezza ed efficacia.

ESET esegue revisioni annuali di questo criterio e dei controlli di sicurezza interni ai fini di un’impostazione coerente con le disposizioni fornite. La mancata conformità ai criteri di protezione delle informazioni è soggetta alle azioni disciplinari rivolte ai dipendenti ESET o a sanzioni contrattuali fino alla risoluzione del contratto per i fornitori.

2. Organizzazione della protezione delle informazioni

L’organizzazione della protezione delle informazioni per ESET PROTECT Cloud si basa sull’azione combinata di vari team e soggetti interessati alla protezione delle informazioni e agli aspetti informatici, tra cui:

  • Direzione esecutiva di ESET
  • Team per la protezione interna di ESET
  • Team informatici per le applicazioni aziendali
  • Altri team di supporto

Le responsabilità in termini di protezione delle informazioni vengono assegnate in base ai criteri in essere. I processi interni vengono identificati e valutati ai fini dell’individuazione di eventuali rischi di modifiche non autorizzate o non intenzionali o di utilizzi non autorizzati delle risorse di ESET. Le attività rischiose o sensibili dei processi interni adottano il principio di separazione delle funzioni finalizzato alla mitigazione del rischio.

Il team legale di ESET è responsabile dei contatti con le autorità governative, tra cui le autorità di regolamentazione della Slovacchia sulla cybersecurity e sulla protezione dei dati personali. Il team preposto alla sicurezza interna di ESET è tenuto a contattare gruppi di interesse speciali come ISACA. Il team del laboratorio di ricerca di ESET è responsabile delle comunicazioni con altre aziende specializzate nella protezione delle informazioni e con la più ampia comunità di cybersecurity.

La protezione delle informazioni viene garantita a livello della gestione progettuale attraverso l’adozione dell’apposito framework, dalla concezione al completamento del progetto.

Il lavoro da remoto e il telelavoro sono coperti attraverso l’implementazione di un criterio sui dispositivi mobili che prevede l’utilizzo di una protezione dei dati crittografici complessa durante il trasferimento delle informazioni attraverso reti non attendibili. I controlli di sicurezza sui dispositivi mobili sono stati concepiti ai fini di un funzionamento indipendente dalle reti e dai sistemi interni di ESET.

3. Protezione delle risorse umane

ESET utilizza pratiche standard relative alle risorse umane, compresi criteri concepiti allo scopo di preservare la protezione delle informazioni. Queste procedure coprono l’intero ciclo di vita dei dipendenti e si applicano a tutti i team che accedono all’ambiente di ESET PROTECT Cloud.

4. Gestione delle risorse

L’infrastruttura di ESET PROTECT Cloud è inclusa negli inventari delle risorse ESET con l’applicazione di un rigido criterio di regole e di proprietà in base al tipo e alla sensibilità delle risorse. ESET presenta uno schema di classificazione interno definito. Tutti i dati e le configurazioni di ESET PROTECT Cloud sono classificati come riservati.

5. Controllo accessi

Il criterio di controllo degli accessi di ESET regola ogni accesso in ESET PROTECT Cloud. È impostato sull’infrastruttura, sui servizi di rete, sul sistema operativo, sul database e sul livello dell’applicazione. La gestione completa degli accessi degli utenti a livello di applicazione è autonoma. L’autenticazione Single Sign-On di ESET PROTECT Cloud e di ESET Business Account è regolamentata da un fornitore di identità centrale che consente agli utenti di accedere esclusivamente al tenant autorizzato. L’applicazione utilizza autorizzazioni standard ESET PROTECT Cloud ai fini dell’implementazione del controllo degli accessi basato sui ruoli per il tenant.

L’accesso backend di ESET è strettamente limitato a utenti e ruoli autorizzati. I processi standard di ESET per la (de)registrazione dell’utente, il (de)provisioning, la gestione dei privilegi e la revisione dei diritti di accesso dell’utente vengono utilizzati per gestire l’accesso dei dipendenti di ESET all’infrastruttura e alle reti di ESET PROTECT Cloud.

È stato implementato un sistema di autenticazione complesso finalizzato alla protezione dell’accesso a tutti i dati di ESET PROTECT Cloud.

6. Crittografia

Ai fini della protezione dei dati di ESET PROTECT Cloud, è stato implementato un sistema di crittografia complesso per i dati in stato di inattività e di transito. L’autorità di certificazione generalmente attendibile viene utilizzata per il rilascio di certificati destinati ai servizi pubblici. L’infrastruttura a chiave pubblica interna di ESET gestisce le chiavi all’interno dell’infrastruttura di ESET PROTECT Cloud. I dati archiviati nel database sono protetti dalle chiavi crittografiche generate dal cloud. Tutti i dati di backup sono protetti dalle chiavi gestite da ESET.

7. Protezione fisica e ambientale

Poiché le applicazioni ESET PROTECT Cloud ed ESET Business Account sono basate sul cloud, ai fini della protezione fisica e ambientale, viene impiegato Microsoft Azure. Microsoft Azure si avvale di centri dati certificati con misure di protezione fisica avanzate. La posizione fisica del centro dati dipende dalla scelta dell’area del cliente. Il sistema di crittografia complessa viene utilizzato ai fini della protezione dei dati dei clienti durante il trasporto offsite dall’ambiente cloud (ad esempio, informazioni in transito verso un archivio di dati di backup fisico).

8. Protezione delle operazioni

Il servizio di ESET PROTECT Cloud è gestito tramite strumenti automatici basati su procedure operative e modelli di configurazione rigorosi. Tutti i cambiamenti, comprese le modifiche di configurazione e la distribuzione di nuovi pacchetti, vengono approvati e testati in un ambiente di testing dedicato prima della distribuzione all’ambiente di produzione. Gli ambienti di sviluppo, di testing e di produzione costituiscono realtà separate. I dati di ESET PROTECT Cloud sono ubicati esclusivamente nell’ambiente di produzione.

L’ambiente di ESET PROTECT Cloud viene supervisionato mediante l’utilizzo di strumenti di monitoraggio operativo finalizzati a una rapida identificazione dei problemi e all’offerta di una capacità sufficiente per tutti i servizi a livello di rete e di host.

Tutti i dati di configurazione vengono riposti in archivi di backup periodici per consentire un ripristino automatico della configurazione di un ambiente. I backup dei dati di ESET PROTECT Cloud vengono archiviati sia in modalità onsite che in modalità offsite.

I file di backup sono crittografati e testati periodicamente ai fini della recuperabilità nell’ambito delle attività di testing della continuità aziendale.

Il controllo dei sistemi viene eseguito in base a standard e linee guida interni. I rapporti e gli eventi provenienti dall’infrastruttura, dal sistema operativo, dal database, dai server delle applicazioni e dai controlli di sicurezza vengono raccolti in modo continuativo. I rapporti vengono ulteriormente elaborati dai team informatici e da quelli addetti alla sicurezza interna ai fini dell’identificazione delle anomalie operative e di protezione e degli incidenti in materia di protezione delle informazioni.

ESET utilizza un processo generale di gestione delle vulnerabilità tecniche che riguardano l’infrastruttura ESET, inclusi ESET PROTECT Cloud e altri prodotti ESET. Questo processo prevede un controllo proattivo delle vulnerabilità e un’attività di testing della penetrazione ripetuta concernente l’infrastruttura, i prodotti e le applicazioni.

ESET mette a disposizione una serie di linee guida interne per la protezione dell’infrastruttura, delle reti, dei sistemi operativi, dei database, dei server delle applicazioni e delle applicazioni interni. Questi documenti vengono controllati mediante il monitoraggio della conformità tecnica e il programma aziendale interno di controllo della sicurezza delle informazioni.

9. Protezione delle comunicazioni

L’ambiente di ESET PROTECT Cloud viene segmentato mediante il sistema di segmentazione del cloud nativo con accesso alla rete limitato ai servizi necessari tra i segmenti di rete. La disponibilità dei servizi di rete viene ottenuta mediante controlli del cloud nativo come aree di disponibilità, bilanciamento del carico e ridondanza. I componenti dedicati per il bilanciamento del carico vengono distribuiti allo scopo di fornire endpoint specifici per il routing dell’istanza di ESET PROTECT Cloud, che concede l’autorizzazione del traffico e del bilanciamento del carico. Il traffico di rete viene continuamente monitorato alla ricerca di anomalie operative e di protezione. I potenziali attacchi possono essere risolti attraverso l’utilizzo di controlli del cloud nativo o di soluzioni di protezione distribuite. Tutte le comunicazioni di rete sono crittografate mediante tecniche generalmente disponibili, tra cui IPsec e TLS.

10. Acquisizione, sviluppo e manutenzione del sistema

Lo sviluppo di sistemi ESET PROTECT Cloud viene eseguito nel rispetto del criterio di sviluppo dei software di protezione di ESET. I team addetti alla sicurezza interna sono inclusi nel progetto di sviluppo di ESET PROTECT Cloud, a partire dalla fase iniziale, e si occupano di tutte le attività di sviluppo e di manutenzione. Definiscono e verificano l’adempimento dei requisiti di protezione nelle varie fasi dello sviluppo del software. La protezione di tutti i servizi, compresi quelli di nuova concezione, viene sottoposta a continui test in seguito al rilascio.

11. Relazioni con i fornitori

Le relazioni con i fornitori vengono impostate in base a quanto riportato nelle linee guida applicabili di ESET, che coprono l’intera gestione delle relazioni e i requisiti contrattuali dal punto di vista della protezione delle informazioni e della privacy. La qualità e la protezione dei servizi forniti dai fornitori di servizi critici vengono sottoposte a valutazioni periodiche.

ESET si avvale inoltre del principio di portabilità per ESET PROTECT Cloud al fine di evitare il blocco del fornitore.

12. Gestione della protezione delle informazioni

La gestione degli incidenti di protezione delle informazioni in ESET PROTECT Cloud viene eseguita in modo analogo ad altre infrastrutture ESET e si basa su procedure di risposta agli incidenti definite. I ruoli nell’ambito della risposta agli incidenti sono definiti e assegnati tra più team, tra cui il team informatico e i team addetti alla protezione, alle questioni legali, alle risorse umane, alle pubbliche relazioni e alla gestione esecutiva. Il team di risposta agli incidenti viene creato in base alla valutazione degli incidenti da parte del team addetto alla sicurezza interna. Questo team fornirà un ulteriore coordinamento degli altri team che si occupano dell’incidente. Il team addetto alla sicurezza interna è altresì responsabile della raccolta di prove e di informazioni apprese. L’occorrenza e la risoluzione degli incidenti vengono comunicate alle parti interessate. Se necessario, il team legale di ESET sarà responsabile delle comunicazioni con gli enti normativi, in conformità del Regolamento generale sulla protezione dei dati (GEneral Data Protection Regulation, GDPR) e del Cybersecurity Act che recepisce la Network and Information Security Directive (NIS).

13. Aspetti concernenti la protezione delle informazioni relative alla gestione della continuità aziendale

La continuità aziendale del servizio ESET PROTECT Cloud è codificata nella complessa architettura utilizzata ai fini dell’ottimizzazione della disponibilità dei servizi forniti. Il ripristino completo dai dati di backup e di configurazione offsite è possibile in caso di errore irreversibile di tutti i nodi ridondanti per i componenti di ESET PROTECT Cloud o il servizio di ESET PROTECT Cloud. Il processo di ripristino viene sottoposto a test periodici.

14. Conformità

La conformità ai requisiti normativi e contrattuali di ESET PROTECT Cloud viene periodicamente valutata e revisionata in modo analogo ad altre infrastrutture e processi di ESET. Vengono inoltre adottate misure atte a garantire la conformità su base continuativa. ESET è un’azienda registrata come fornitore di servizi digitali per il Cloud Computing che copre vari servizi di ESET, tra cui ESET PROTECT Cloud. Si tenga presente che le attività di conformità di ESET non implicano necessariamente il soddisfacimento dei requisiti di conformità generali dei clienti.