Guida online ESET

Ricerca Italiano
Seleziona l'argomento

Protezione per ESET PROTECT

Introduzione

Lo scopo del presente documento è fornire un riepilogo delle procedure e dei controlli di protezione applicati a ESET PROTECT. Queste misure sono state concepite allo scopo di preservare la riservatezza, l’integrità e la disponibilità delle informazioni dei clienti. Tenere presente che le procedure e i controlli di sicurezza potrebbero subire delle variazioni.

Ambito

Lo scopo del presente documento è fornire un riepilogo delle procedure e dei controlli di sicurezza per l’infrastruttura ESET PROTECT, ESET Business Account (qui nel prosieguo denominato “EBA”) e per l’infrastruttura, l’organizzazione, il personale e i processi operativi di ESET MSP Administrator (qui nel prosieguo denominato “EMA”). Le procedure e i controlli di sicurezza includono:

  1. Criteri di protezione delle informazioni
  2. Organizzazione della protezione delle informazioni
  3. Protezione delle risorse umane
  4. Gestione delle risorse
  5. Controllo accessi
  6. Crittografia
  7. Protezione fisica e ambientale
  8. Protezione delle operazioni
  9. Protezione delle comunicazioni
  10. Acquisizione, sviluppo e manutenzione del sistema
  11. Relazioni con i fornitori
  12. Gestione degli incidenti di protezione delle informazioni
  13. Aspetti concernenti la protezione delle informazioni relative alla gestione della continuità aziendale
  14. Conformità

Concetto di protezione

L’azienda ESET s.r.o. ha ottenuto la certificazione ISO 27001:2013 in materia di sistemi di gestione integrati che copre esplicitamente i servizi di ESET PROTECT, EBA ed EMA.

Di conseguenza, il concetto di protezione delle informazioni utilizza lo standard ISO 27001 finalizzato all’implementazione di una strategia di protezione basata su una difesa multilivello nell’applicazione dei controlli di sicurezza in termini di rete, sistemi operativi, database, applicazioni, personale e processi operativi. Le procedure di protezione e i controlli di sicurezza applicati sono concepiti per garantire una sovrapposizione e un’integrazione reciproca degli stessi.

Procedure e controlli di protezione

1. Criteri di protezione delle informazioni

ESET utilizza criteri di protezione delle informazioni per coprire tutti gli aspetti dello standard ISO 27001, compresi la gestione della protezione delle informazioni e i controlli e le procedure di sicurezza. I criteri vengono revisionati annualmente e aggiornati in seguito a modifiche significative allo scopo di garantire costantemente idoneità, adeguatezza ed efficacia.

ESET esegue revisioni annuali di questo criterio e dei controlli di sicurezza interni ai fini di un’impostazione coerente con le disposizioni fornite. La mancata conformità ai criteri di protezione delle informazioni è soggetta alle azioni disciplinari rivolte ai dipendenti ESET o a sanzioni contrattuali fino alla risoluzione del contratto per i fornitori.

2. Organizzazione della protezione delle informazioni

L’organizzazione della protezione delle informazioni per ESET PROTECT si basa sull’azione combinata di vari team e soggetti interessati alla protezione delle informazioni e agli aspetti informatici, tra cui:

  • Direzione esecutiva di ESET
  • Team per la protezione interna di ESET
  • Team informatici per le applicazioni aziendali
  • Altri team di supporto

Le responsabilità in termini di protezione delle informazioni vengono assegnate in base ai criteri in essere. I processi interni vengono identificati e valutati ai fini dell’individuazione di eventuali rischi di modifiche non autorizzate o non intenzionali o di utilizzi non autorizzati delle risorse di ESET. Le attività rischiose o sensibili dei processi interni adottano il principio di separazione delle funzioni finalizzato alla mitigazione del rischio.

Il team legale di ESET è responsabile dei contatti con le autorità governative, tra cui le autorità di regolamentazione della Slovacchia sulla cybersecurity e sulla protezione dei dati personali. Il team preposto alla sicurezza interna di ESET è tenuto a contattare gruppi di interesse speciali come ISACA. Il team del laboratorio di ricerca di ESET è responsabile delle comunicazioni con altre aziende specializzate nella protezione delle informazioni e con la più ampia comunità di cybersecurity.

La protezione delle informazioni viene garantita a livello della gestione progettuale attraverso l’adozione dell’apposito framework, dalla concezione al completamento del progetto.

Il lavoro da remoto e il telelavoro sono coperti attraverso l’implementazione di un criterio sui dispositivi mobili che prevede l’utilizzo di una protezione dei dati crittografici complessa durante il trasferimento delle informazioni attraverso reti non attendibili. I controlli di sicurezza sui dispositivi mobili sono stati concepiti ai fini di un funzionamento indipendente dalle reti e dai sistemi interni di ESET.

3. Protezione delle risorse umane

ESET utilizza pratiche standard relative alle risorse umane, compresi criteri concepiti allo scopo di preservare la protezione delle informazioni. Queste procedure coprono l’intero ciclo di vita dei dipendenti e si applicano a tutti i team che accedono all’ambiente di ESET PROTECT.

4. Gestione delle risorse

L’infrastruttura di ESET PROTECT è inclusa negli inventari delle risorse ESET con l’applicazione di un rigido criterio di regole e di proprietà in base al tipo e alla sensibilità delle risorse. ESET presenta uno schema di classificazione interno definito. Tutti i dati e le configurazioni di ESET PROTECT sono classificati come riservati.

5. Controllo accessi

Il criterio di controllo degli accessi di ESET regola ogni accesso in ESET PROTECT. È impostato sull’infrastruttura, sui servizi di rete, sul sistema operativo, sul database e sul livello dell’applicazione. La gestione completa degli accessi degli utenti a livello di applicazione è autonoma. L’autenticazione Single Sign-On di ESET PROTECT e di ESET Business Account è regolamentata da un fornitore di identità centrale che consente agli utenti di accedere esclusivamente al tenant autorizzato. L’applicazione utilizza autorizzazioni standard ESET PROTECT ai fini dell’implementazione del controllo degli accessi basato sui ruoli per il tenant.

L’accesso backend di ESET è strettamente limitato a utenti e ruoli autorizzati. I processi standard di ESET per la (de)registrazione dell’utente, il (de)provisioning, la gestione dei privilegi e la revisione dei diritti di accesso dell’utente vengono utilizzati per gestire l’accesso dei dipendenti di ESET all’infrastruttura e alle reti di ESET PROTECT.

È stato implementato un sistema di autenticazione complesso finalizzato alla protezione dell’accesso a tutti i dati di ESET PROTECT.

6. Crittografia

Ai fini della protezione dei dati di ESET PROTECT, è stato implementato un sistema di crittografia complesso per i dati in stato di inattività e di transito. L’autorità di certificazione generalmente attendibile viene utilizzata per il rilascio di certificati destinati ai servizi pubblici. L’infrastruttura a chiave pubblica interna di ESET gestisce le chiavi all’interno dell’infrastruttura di ESET PROTECT. I dati archiviati nel database sono protetti dalle chiavi crittografiche generate dal cloud. Tutti i dati di backup sono protetti dalle chiavi gestite da ESET.

7. Protezione fisica e ambientale

Poiché le applicazioni ESET PROTECT ed ESET Business Account sono basate sul cloud, ai fini della protezione fisica e ambientale, viene impiegato Microsoft Azure. Microsoft Azure si avvale di centri dati certificati con misure di protezione fisica avanzate. La posizione fisica del centro dati dipende dalla scelta dell’area del cliente. Il sistema di crittografia complessa viene utilizzato ai fini della protezione dei dati dei clienti durante il trasporto offsite dall’ambiente cloud (ad esempio, informazioni in transito verso un archivio di dati di backup fisico).

8. Protezione delle operazioni

Il servizio di ESET PROTECT è gestito tramite strumenti automatici basati su procedure operative e modelli di configurazione rigorosi. Tutti i cambiamenti, comprese le modifiche di configurazione e la distribuzione di nuovi pacchetti, vengono approvati e testati in un ambiente di testing dedicato prima della distribuzione all’ambiente di produzione. Gli ambienti di sviluppo, di testing e di produzione costituiscono realtà separate. I dati di ESET PROTECT sono ubicati esclusivamente nell’ambiente di produzione.

L’ambiente di ESET PROTECT viene supervisionato mediante l’utilizzo di strumenti di monitoraggio operativo finalizzati a una rapida identificazione dei problemi e all’offerta di una capacità sufficiente per tutti i servizi a livello di rete e di host.

Tutti i dati di configurazione vengono riposti in archivi di backup periodici per consentire un ripristino automatico della configurazione di un ambiente. I backup dei dati di ESET PROTECT vengono archiviati sia in modalità onsite che in modalità offsite.

I file di backup sono crittografati e testati periodicamente ai fini della recuperabilità nell’ambito delle attività di testing della continuità aziendale.

Il controllo dei sistemi viene eseguito in base a standard e linee guida interni. I rapporti e gli eventi provenienti dall’infrastruttura, dal sistema operativo, dal database, dai server delle applicazioni e dai controlli di sicurezza vengono raccolti in modo continuativo. I rapporti vengono ulteriormente elaborati dai team informatici e da quelli addetti alla sicurezza interna ai fini dell’identificazione delle anomalie operative e di protezione e degli incidenti in materia di protezione delle informazioni.

ESET utilizza un processo generale di gestione delle vulnerabilità tecniche che riguardano l’infrastruttura ESET, inclusi ESET PROTECT e altri prodotti ESET. Questo processo prevede un controllo proattivo delle vulnerabilità e un’attività di testing della penetrazione ripetuta concernente l’infrastruttura, i prodotti e le applicazioni.

ESET mette a disposizione una serie di linee guida interne per la protezione dell’infrastruttura, delle reti, dei sistemi operativi, dei database, dei server delle applicazioni e delle applicazioni interni. Questi documenti vengono controllati mediante il monitoraggio della conformità tecnica e il programma aziendale interno di controllo della sicurezza delle informazioni.

9. Protezione delle comunicazioni

L’ambiente di ESET PROTECT viene segmentato mediante il sistema di segmentazione del cloud nativo con accesso alla rete limitato ai servizi necessari tra i segmenti di rete. La disponibilità dei servizi di rete viene ottenuta mediante controlli del cloud nativo come aree di disponibilità, bilanciamento del carico e ridondanza. I componenti dedicati per il bilanciamento del carico vengono distribuiti allo scopo di fornire endpoint specifici per il routing dell’istanza di ESET PROTECT, che concede l’autorizzazione del traffico e del bilanciamento del carico. Il traffico di rete viene continuamente monitorato alla ricerca di anomalie operative e di protezione. I potenziali attacchi possono essere risolti attraverso l’utilizzo di controlli del cloud nativo o di soluzioni di protezione distribuite. Tutte le comunicazioni di rete sono crittografate mediante tecniche generalmente disponibili, tra cui IPsec e TLS.

10. Acquisizione, sviluppo e manutenzione del sistema

Lo sviluppo di sistemi ESET PROTECT viene eseguito nel rispetto del criterio di sviluppo dei software di protezione di ESET. I team addetti alla sicurezza interna sono inclusi nel progetto di sviluppo di ESET PROTECT, a partire dalla fase iniziale, e si occupano di tutte le attività di sviluppo e di manutenzione. Definiscono e verificano l’adempimento dei requisiti di protezione nelle varie fasi dello sviluppo del software. La protezione di tutti i servizi, compresi quelli di nuova concezione, viene sottoposta a continui test in seguito al rilascio.

11. Relazioni con i fornitori

Le relazioni con i fornitori vengono impostate in base a quanto riportato nelle linee guida applicabili di ESET, che coprono l’intera gestione delle relazioni e i requisiti contrattuali dal punto di vista della protezione delle informazioni e della privacy. La qualità e la protezione dei servizi forniti dai fornitori di servizi critici vengono sottoposte a valutazioni periodiche.

ESET si avvale inoltre del principio di portabilità per ESET PROTECT al fine di evitare il blocco del fornitore.

12. Gestione della protezione delle informazioni

La gestione degli incidenti di protezione delle informazioni in ESET PROTECT viene eseguita in modo analogo ad altre infrastrutture ESET e si basa su procedure di risposta agli incidenti definite. I ruoli nell’ambito della risposta agli incidenti sono definiti e assegnati tra più team, tra cui il team informatico e i team addetti alla protezione, alle questioni legali, alle risorse umane, alle pubbliche relazioni e alla gestione esecutiva. Il team di risposta agli incidenti viene creato in base alla valutazione degli incidenti da parte del team addetto alla sicurezza interna. Questo team fornirà un ulteriore coordinamento degli altri team che si occupano dell’incidente. Il team addetto alla sicurezza interna è altresì responsabile della raccolta di prove e di informazioni apprese. L’occorrenza e la risoluzione degli incidenti vengono comunicate alle parti interessate. Se necessario, il team legale di ESET sarà responsabile delle comunicazioni con gli enti normativi, in conformità del Regolamento generale sulla protezione dei dati (GEneral Data Protection Regulation, GDPR) e del Cybersecurity Act che recepisce la Network and Information Security Directive (NIS).

13. Aspetti concernenti la protezione delle informazioni relative alla gestione della continuità aziendale

La continuità aziendale del servizio ESET PROTECT è codificata nella complessa architettura utilizzata ai fini dell’ottimizzazione della disponibilità dei servizi forniti. Il ripristino completo dai dati di backup e di configurazione offsite è possibile in caso di errore irreversibile di tutti i nodi ridondanti per i componenti di ESET PROTECT o il servizio di ESET PROTECT. Il processo di ripristino viene sottoposto a test periodici.

14. Conformità

La conformità ai requisiti normativi e contrattuali di ESET PROTECT viene periodicamente valutata e revisionata in modo analogo ad altre infrastrutture e processi di ESET. Vengono inoltre adottate misure atte a garantire la conformità su base continuativa. ESET è un’azienda registrata come fornitore di servizi digitali per il Cloud Computing che copre vari servizi di ESET, tra cui ESET PROTECT. Si tenga presente che le attività di conformità di ESET non implicano necessariamente il soddisfacimento dei requisiti di conformità generali dei clienti.