Ayuda en línea de ESET

Seleccionar la categoría
Seleccionar el tema

Seguridad para ESET PROTECT Hub

Introducción

La finalidad de este documento es resumir las prácticas de seguridad y los controles de seguridad que se aplican en ESET PROTECT Hub. Las prácticas y los controles de seguridad están diseñados para proteger la confidencialidad, la integridad y la disponibilidad de la información del cliente. Tenga en cuenta que las prácticas y los controles de seguridad pueden cambiar.

Alcance

El alcance de este documento es resumir las prácticas y controles de seguridad de la infraestructura, la organización, el personal y los procesos operativos de ESET PROTECT Hub. Entre las prácticas y controles de seguridad se incluyen:

  1. Políticas de seguridad de la información
  2. Organización de la seguridad de la información
  3. Seguridad de los recursos humanos
  4. Administración de recursos
  5. Control de acceso
  6. Criptografía
  7. Seguridad física y ambiental
  8. Seguridad de operaciones
  9. Seguridad de las comunicaciones
  10. Adquisición, desarrollo y mantenimiento del sistema
  11. Relación con el proveedor
  12. Administración de incidentes de seguridad de la información
  13. Aspectos de seguridad de la información de la administración de la continuidad empresarial
  14. Cumplimiento

Concepto de seguridad

La empresa ESET s.r.o. cuenta con la certificación ISO 27001:2013 con un alcance integrado en el sistema de administración que abarca explícitamente ESET PROTECT Hub.

Por lo tanto, el concepto de seguridad de la información usa el marco de la norma ISO 27001 con el fin de implementar una estrategia de seguridad de defensa escalonada al momento de aplicar los controles de seguridad en la capa de la red, sistemas operativos, bases de datos, aplicaciones, personal y procesos operativos. Las prácticas y controles de seguridad aplicados tienen por objetivo superponerse y complementarse entre sí.

Prácticas y controles de seguridad

1. Políticas de seguridad de la información

ESET usa políticas de seguridad de la información para abarcar todos los aspectos de la norma ISO 27001, incluidos los controles y prácticas de seguridad, y la gestión de seguridad de la información. Las políticas se revisan de forma anual y se actualizan tras cambios importantes para garantizar su ideoneidad, adecuación y eficacia continuas.

ESET realiza revisiones anuales de esta política y de comprobaciones de seguridad internas para garantizar la coherencia con esta política. El incumplimiento de las políticas de seguridad de la información está sujeto a medidas disciplinarias para los empleados de ESET o sanciones contractuales hasta la terminación del contrato para los proveedores.

2. Organización de la seguridad de la información

La organización de seguridad de la información de ESET PROTECT Hub consta de varios equipos e individuos implicados en la seguridad de la información y TI, lo que incluye:

  • Administración ejecutiva de ESET
  • Equipos de seguridad interna de ESET
  • Equipos de TI de aplicaciones empresariales
  • Otros elementos de apoyo

Las responsabilidades de seguridad de la información se asignan de acuerdo con las políticas de seguridad de la información implementadas. Los procesos internos se identifican y evalúan para determinar si existe cualquier riesgo de modificación no autorizada o no intencional, o un mal uso del producto de ESET. Las actividades riesgosas o delicadas de los procesos internos adoptan el principio de repartición de tareas para mitigar el riesgo.

El equipo jurídico de ESET es responsable de los contactos con las autoridades gubernamentales, incluidos los organismos reguladores eslovacos sobre seguridad informática y protección de datos personales. El equipo de seguridad interna de ESET es responsable de ponerse en contacto con grupos de interés especiales, como ISACA. El equipo del laboratorio de investigación de ESET es responsable de la comunicación con otras empresas de seguridad y la gran comunidad de seguridad informática.

La seguridad de la información se explica en la administración de proyectos con el marco de administración de proyectos aplicado, desde el proceso de concepción hasta la finalización del proyecto.

El trabajo remoto y el transporte se cubren mediante el uso de una política implementada en dispositivos móviles que incluye el uso de una potente protección de datos criptográficos en dispositivos móviles cuando se desplaza a través de redes no confiables. Los controles de seguridad de los dispositivos móviles están diseñados para funcionar de forma independiente de las redes internas de ESET y los sistemas internos.

3. Seguridad de los recursos humanos

ESET usa prácticas estándar de recursos humanos, incluidas políticas diseñadas para proteger la seguridad de la información. Estas prácticas abarcan todo el proceso de aprendizaje de empleados y se aplican a todos los empleados que acceden al entorno de ESET PROTECT Hub.

4. Administración de recursos

La infraestructura de ESET PROTECT Hub se incluye en los inventarios de recursos de ESET, con propiedad estricta y reglas aplicadas según el tipo de objeto y la sensibilidad. ESET tiene un esquema de clasificación interno definido. Todos los datos y configuraciones de ESET PROTECT Hub se clasifican como confidenciales.

5. Control de acceso

La política de control de acceso de ESET rige todos los accesos de ESET PROTECT Hub. El control de acceso se establece en la infraestructura, los servicios de red, el sistema operativo, la base de datos y el nivel de la aplicación. La administración del acceso completo a los usuarios a nivel de la aplicación es autónoma y usa el control de acceso basado en roles de Microsoft Azure.

El acceso al backend de ESET está limitado estrictamente a personas y roles autorizados. Los procesos estándar de ESET para el registro de usuarios (o la baja de registro), el aprovisionamiento (o su cancelación), la administración de privilegios y la revisión de los derechos de acceso de los usuarios se usan para administrar el acceso de los empleados de ESET a la infraestructura de ESET PROTECT Hub y las redes.

Se ha implementado una autenticación segura para proteger el acceso a todos los datos de ESET PROTECT Hub.

6. Criptografía

Las bases de datos de ESET PROTECT Hub protegen los datos a través del cifrado de los datos en tránsito con TLS. Además, los datos en reposo están cifrados y un certificado integrado del servidor protege la clave de cifrado de las bases de datos.

Por lo general, la autoridad de certificación de confianza se usa para emitir certificados para servicios públicos.

7. Seguridad física y ambiental

ESET PROTECT Hub está basado en la nube y usa Microsoft Azure para la seguridad física y del entorno. La ubicación física del centro de datos se encuentra exclusivamente en la Unión Europea (UE). Se usa una potente criptografía para proteger los datos de los clientes durante la transferencia.

8. Seguridad de operaciones

ESET PROTECT Hub se opera a través de medios automatizados basados en estrictos procedimientos operativos y plantillas de configuración. Todos los cambios, incluidos los cambios de configuración y la nueva instalación del paquete, se aprueban y probarán en un entorno de prueba específico antes de la instalación para la producción. Los entornos de desarrollo, prueba y producción se separan entre sí. Los datos de ESET PROTECT Hub solo se encuentran en el entorno de producción.

El entorno de ESET PROTECT Hub se supervisa con la supervisión operativa para identificar problemas rápidamente y proporcionar suficiente capacidad a todos los servicios de la red y los niveles de host.

Se realiza una copia de seguridad periódica de todos los datos de configuración y se aplican funciones de redundancia.

Las copias de seguridad se cifran y prueban periódicamente para garantizar su recuperación como parte de las pruebas de continuidad empresarial.

La auditoría de los sistemas se realiza de acuerdo con las normas y las directrices internas. Los registros y eventos de la infraestructura, el sistema operativo, la base de datos, los servidores de aplicaciones y los controles de seguridad se recopilan continuamente. El equipo de TI y seguridad interna procesan aún más los registros para identificar anomalías operativas y de seguridad e incidentes de seguridad de la información.

ESET usa un proceso de administración general de vulnerabilidades técnicas para gestionar la aparición de vulnerabilidades en la infraestructura de ESET, incluido ESET PROTECT Hub y otros productos de ESET. Este proceso incluye exploración proactiva de vulnerabilidades y reiteradas pruebas de penetración de infraestructura, productos y aplicaciones.

ESET indica directrices internas para la seguridad de la infraestructura interna, las redes, los sistemas operativos, las bases de datos, los servidores de aplicaciones y las aplicaciones. Estas directrices se verifican mediante la supervisión del cumplimiento técnico y nuestro programa de auditoría de seguridad de la información interna.

9. Seguridad de las comunicaciones

El acceso a la red de ESET PROTECT Hub está limitado solo a los servicios necesarios.

El tráfico de red se supervisa continuamente para detectar anomalías operativas y de seguridad. Los posibles ataques se pueden resolver con controles nativos de la nube o soluciones de seguridad implementadas. Todas las comunicaciones de red se cifran a través de técnicas disponibles en general, incluidas IPsec y TLS.

10. Adquisición, desarrollo y mantenimiento del sistema

El desarrollo de los sistemas ESET PROTECT Hub se realiza de conformidad con la política de desarrollo de software seguro de ESET. Los equipos de seguridad interna se incluyen en el proyecto de desarrollo de ESET PROTECT Hub desde la fase inicial y supervisan todas las actividades de desarrollo y mantenimiento. El equipo de seguridad interna define y comprueba la ejecución de los requisitos de seguridad en varias etapas del desarrollo de software. La seguridad de todos los servicios, incluidos los recién desarrollados, se prueba continuamente tras su lanzamiento.

11. Relación con el proveedor

Las relaciones con proveedores relevantes se realizan de acuerdo con directrices válidas de ESET, que cubren toda la administración de las relaciones y los requisitos contractuales desde la perspectiva de la seguridad y la privacidad de la información. La calidad y seguridad de los servicios prestados por el proveedor de servicios críticos se evalúan periódicamente.

Además, ESET usa el principio de portabilidad para que ESET PROTECT Hub evite el bloqueo de proveedores.

12. Administración de seguridad de la información

La administración de incidentes de seguridad de la información en ESET PROTECT Hub se realiza de forma similar a lo que se realiza en otras infraestructuras de ESET, y se basa en procedimientos de respuesta a incidentes definidos. Las funciones dentro de la respuesta a incidentes se definen y asignan a través de varios ámbitos, como el de TI, seguridad, derecho, recursos personales, relaciones públicas y administración ejecutiva. El equipo de respuesta a incidentes se establece en función de la clasificación de incidentes por parte del equipo de seguridad interno. Ese equipo brindará más información sobre el resto de equipos que gestionarán el incidente. El equipo de seguridad interno también es responsable de la recopilación de los conocimientos y las lecciones aprendidas. La ocurrencia y la resolución de los incidentes se comunican a las partes afectadas. El equipo jurídico de ESET es responsable de notificar a los organismos normativos si es necesario de acuerdo con el Reglamento General de Protección de Datos de la Unión Europea (GDPR) y la Ley de seguridad informática, que establece la Directiva de seguridad de la red y la información (NIS).

13. Aspectos de seguridad de la información de la administración de la continuidad empresarial

La continuidad empresarial del servicio de ESET PROTECT Hub se codifica en la arquitectura sólida usada para maximizar la disponibilidad de los servicios proporcionados. La restauración completa a partir de datos de copia de seguridad y configuración fuera del sitio es posible en caso de falla catastrófica de todos los nodos redundantes de los componentes ESET PROTECT Hub o el servicio ESET PROTECT Hub. El proceso de restauración se pone a prueba periódicamente.

14. Cumplimiento

El cumplimiento de los requisitos contractuales y regulatorios de ESET PROTECT Hub se evalúa y se revisa de manera periódica, al igual que otras infraestructuras y otros procesos de ESET. Además, se toman las medidas necesarias para garantizar el cumplimiento continuo. ESET está registrado como proveedor de servicios digitales para servicios digitales de informática en la nube que cubren varios servicios de ESET, incluido ESET PROTECT Hub. Tenga en cuenta que las actividades de cumplimiento de ESET no tienen por qué significar que los requisitos generales de cumplimiento de los clientes se cumplan como tales.