Ayuda en línea de ESET

Búsqueda Español
Seleccione la categoría
Seleccione el tema

Seguridad para ESET PROTECT Hub

Introducción

La finalidad de este documento es resumir los controles y prácticas de seguridad que se aplican en ESET PROTECT Hub. Los controles y prácticas de seguridad están diseñados para proteger la confidencialidad, integridad y disponibilidad de la información del cliente. Tenga en cuenta que los controles y prácticas de seguridad pueden cambiar.

Alcance

En este documento se resumen los controles y prácticas de seguridad para la infraestructura, organización, personal y procesos operativos de ESET PROTECT Hub. Entre los controles y prácticas de seguridad se incluyen los siguientes:

  1. Políticas de seguridad de la información
  2. Organización de la seguridad de la información
  3. Seguridad de recursos humanos
  4. Administración de activos
  5. Control de acceso
  6. Cifrado
  7. Seguridad física y ambiental
  8. Seguridad de las operaciones
  9. Seguridad de la comunicación
  10. Adquisición, desarrollo y mantenimiento de sistemas
  11. Relación con proveedores
  12. Gestión de incidentes de seguridad de la información
  13. Aspectos de seguridad de la información de la gestión de la continuidad de la actividad
  14. Cumplimiento

Concepto de seguridad

La empresa ESET s.r.o. cuenta con la certificación ISO 27001:2013, con un alcance del sistema de administración integrado que abarca explícitamente ESET PROTECT Hub.

Por lo tanto, el concepto de seguridad de la información utiliza el marco de ISO 27001 para implementar una estrategia de seguridad por capas al aplicar controles de seguridad en las capas de red, sistemas operativos, bases de datos, aplicaciones, personal y procesos operativos. El objetivo de los controles y las prácticas de seguridad aplicables es superponerse y complementarse entre sí.

Controles y prácticas de seguridad

1. Políticas de seguridad de la información

ESET utiliza políticas de seguridad de la información para cumplir todos los aspectos de la norma ISO 27001, incluidos los controles y prácticas de seguridad, así como la gobernanza de la seguridad de la información. Las políticas se revisan anualmente y se actualizan tras cambios importantes para garantizar su conveniencia, adecuación y eficacia continuas.

ESET efectúa revisiones anuales de esta política y comprobaciones de seguridad interna para garantizar la coherencia con esta. El incumplimiento de las políticas de seguridad de la información puede acarrear medidas disciplinarias para los empleados de ESET y sanciones contractuales, incluida la rescisión del contrato, en el caso de los proveedores.

2. Organización de la seguridad de la información

La organización de la seguridad de la información de ESET PROTECT Hub se compone de varios equipos y personas implicados en la seguridad de la información y la TI, entre otros los siguientes:

  • Administración ejecutiva de ESET
  • Equipos de seguridad interna de ESET
  • Equipos de TI de aplicaciones empresariales
  • Otros equipos de apoyo

Las responsabilidades de seguridad de la información se asignan de acuerdo con las políticas de seguridad de la información establecidas. Los procesos internos se identifican y evalúan para determinar si hay riesgo de uso indebido o modificación no autorizada o involuntaria de los activos de ESET. Las actividades riesgosas o delicadas de los procesos internos adoptan el principio de segregación de controles para mitigar el riesgo.

El equipo jurídico de ESET es responsable de la comunicación con las autoridades gubernamentales, incluidas las entidades reguladoras eslovacas dedicadas a la seguridad informática y la protección de datos personales. El equipo de seguridad interna de ESET es responsable de la comunicación con grupos de interés especiales, como ISACA. El equipo del laboratorio de investigación de ESET es responsable de la comunicación con otras empresas de seguridad y la comunidad de seguridad informática en general.

La seguridad de la información se integra en la gestión de proyectos mediante el marco de gestión de proyectos aplicado desde la concepción hasta la finalización del proyecto.

El teletrabajo se asegura mediante una política implementada en los dispositivos móviles que incluye protección de datos mediante cifrado seguro al atravesar redes que no son de confianza. Los controles de seguridad de los dispositivos móviles están diseñados para funcionar independientemente de los sistemas internos y las redes internas de ESET.

3. Seguridad de recursos humanos

ESET utiliza prácticas estándar de recursos humanas, como políticas diseñadas para proteger la seguridad de la información. Estas prácticas abarcan todo el ciclo de vida de los empleados y se aplican a todos los equipos que acceden al entorno de ESET PROTECT Hub.

4. Administración de activos

La infraestructura de ESET PROTECT Hub está incluida en los inventarios de activos de ESET con estrictos controles de propiedad y reglas que se aplican según el tipo y la sensibilidad del activo. ESET tiene un esquema de clasificación interno definido. Todos los datos y configuraciones de ESET PROTECT Hub se clasifican como confidenciales.

5. Control de acceso

El acceso a ESET PROTECT Hub se rige por la política de control de acceso de ESET. El control de acceso se establece en la infraestructura, los servicios de red, el sistema operativo, la base de datos y el nivel de la aplicación. La administración del acceso total de los usuarios a nivel de la aplicación es autónoma utilizando el control de acceso basado en funciones de Microsoft Azure.

El acceso al backend de ESET está estrictamente limitado a las personas y roles autorizados. Los procesos estándar de ESET para el (des)registro, (des)aprovisionamiento, administración de privilegios y revisión de derechos de acceso de los usuarios se utilizan para administrar el acceso de los empleados de ESET a la infraestructura y las redes de ESET PROTECT Hub.

Existe una autenticación segura para proteger el acceso a todos los datos de ESET PROTECT Hub.

6. Cifrado

Las bases de datos de ESET PROTECT Hub protegen los datos al cifrar los datos en tránsito mediante TLS. Además, los datos en reposo están cifrados y un certificado de servidor integrado protege la clave de cifrado de la base de datos.

Por lo general, la autoridad certificadora de confianza se utiliza para emitir certificados para servicios públicos.

7. Seguridad física y ambiental

ESET PROTECT Hub está basado en la nube y utiliza Microsoft Azure para la seguridad física y del entorno. La ubicación física del centro de datos se encuentra exclusivamente en la Unión Europea (UE). Se utiliza un cifrado seguro para proteger los datos de los clientes durante el transporte.

8. Seguridad de las operaciones

ESET PROTECT Hub se presta por medios automatizados basados en estrictos procedimientos operativos y plantillas de configuración. Todos los cambios, como los cambios de configuración y la implementación de nuevos paquetes, se aprueban y prueban en un entorno de pruebas específico antes de la implementación en producción. Los entornos de desarrollo, pruebas y producción se separan entre sí. Los datos de ESET PROTECT Hub se ubican solo en el entorno de producción.

El entorno de ESET PROTECT Hub se somete a supervisión operativa para identificar rápidamente los problemas y proporcionar suficiente capacidad a todos los servicios de la red y los niveles de host.

Se realiza una copia de seguridad periódica de todos los datos de configuración. Además, la configuración tiene funciones de redundancia aplicadas.

Las copias de seguridad se cifran y se someten a pruebas periódicas de recuperabilidad como parte de las pruebas de continuidad de la actividad.

La auditoría de los sistemas se lleva a cabo de conformidad con las normas y directrices internas. Se recopilan de forma continuada los registros y eventos de la infraestructura, el sistema operativo, la base de datos, los servidores de aplicaciones y los controles de seguridad. Los equipos de TI y seguridad interna procesan los registros para identificar anomalías operativas y de seguridad, e incidentes de seguridad de la información.

ESET utiliza un proceso general de administración de vulnerabilidades técnicas para gestionar la aparición de vulnerabilidades en la infraestructura de ESET, incluida la de ESET PROTECT Hub y otros productos de ESET. Este proceso incluye un análisis proactivo de vulnerabilidades y pruebas reiteradas de penetración de la infraestructura, los productos y las aplicaciones.

ESET establece directrices internas para la seguridad de la infraestructura interna, las redes, los sistemas operativos, las bases de datos, los servidores de aplicaciones y las aplicaciones. Estas directrices se verifican mediante la supervisión del cumplimiento técnico y nuestro programa interno de auditoría de seguridad de la información.

9. Seguridad de la comunicación

El acceso a la red de ESET PROTECT Hub está limitado exclusivamente a los servicios necesarios.

El tráfico de red se supervisa continuamente para detectar anomalías operativas y de seguridad. Los posibles ataques se pueden resolver mediante controles nativos de la nube o soluciones de seguridad implementadas. Todas las comunicaciones de red se cifran mediante técnicas generalmente disponibles, como IPsec y TLS.

10. Adquisición, desarrollo y mantenimiento de sistemas

El desarrollo de los sistemas de ESET PROTECT Hub se realiza de conformidad con la política de desarrollo de software seguro de ESET. Los equipos de seguridad interna se incluyen en el proyecto de desarrollo de ESET PROTECT Hub desde la fase inicial y supervisan todas las actividades de desarrollo y mantenimiento. El equipo de seguridad interna define y verifica el cumplimiento de los requisitos de seguridad en diferentes etapas del desarrollo de software. Todos los servicios, incluidos los que se han desarrollado recientemente, se someten a pruebas de seguridad continuas tras su lanzamiento.

11. Relación con proveedores

Las relaciones con proveedores relevantes se desarrollan de conformidad con las directrices válidas de ESET, que abarcan la gestión de toda la relación y los requisitos contractuales desde la perspectiva de la privacidad y la seguridad de la información. La calidad y seguridad de los servicios prestados por el proveedor de servicios críticos se evalúan periódicamente.

Además, ESET utiliza el principio de portabilidad para ESET PROTECT Hub a fin de evitar el bloqueo de proveedores.

12. Administración de seguridad de la información

La gestión de incidentes de seguridad de la información en ESET PROTECT Hub es similar a la de otras infraestructuras de ESET y se basa en procedimientos de respuesta a incidentes definidos. En la respuesta a incidentes, se definen y asignan funciones en múltiples equipos, como el jurídico, así como los de TI, seguridad, recursos humanos, relaciones públicas y administración ejecutiva. El equipo de respuesta a incidentes se establece función de la clasificación del incidente determinada por el equipo de seguridad interna. Este equipo estará a cargo de la coordinación del resto de equipos que gestionen el incidente. El equipo de seguridad interna también es responsable de la recopilación de pruebas y las lecciones aprendidas. Se notifica a las partes afectadas cuando ocurre el incidente y cuando se resuelve. El equipo jurídico de ESET es responsable de notificar a los organismos normativos en caso necesario de acuerdo con el Regulación General de Protección de Datos (RGPD) y la Ley de seguridad informática, por la que se transpone la Directiva de seguridad de las redes y la información (NIS).

13. Aspectos de seguridad de la información de la gestión de la continuidad de la actividad

La continuidad de la actividad del servicio de ESET PROTECT Hub está codificada en la sólida arquitectura utilizada para maximizar la disponibilidad de los servicios proporcionados. Es posible restaurar totalmente componentes de ESET PROTECT Hub o el servicio de ESET PROTECT Hub a partir de datos de configuración y copia de seguridad fuera del sitio en caso de fallo catastrófico de todos los nodos redundantes. El proceso de restauración se prueba periódicamente.

14. Cumplimiento

El cumplimiento de los requisitos normativos y contractuales de ESET PROTECT Hub se evalúa y revisa con regularidad, al igual que otros procesos e infraestructuras de ESET, y se toman las medidas necesarias para garantizar dicho cumplimiento en todo momento. ESET está registrado como proveedor de servicios digitales de informática en la nube y presta múltiples servicios, entre otros, ESET PROTECT Hub. Tenga en cuenta que las actividades de cumplimiento de ESET no están destinadas a satisfacer los requisitos generales de cumplimiento de los clientes.