Online-Help van ESET

Zoeken Nederlands
Selecteer de categorie
Selecteer het onderwerp

Beveiliging voor ESET PROTECT Hub

Inleiding

In dit document vindt u een samenvatting van de beveiligingspraktijken en beveiligingscontroles die binnen ESET PROTECT Hub worden toegepast. Beveiligingspraktijken en -controles zijn ontworpen om de vertrouwelijkheid, integriteit en beschikbaarheid van klantgegevens te beschermen. Houd er rekening mee dat beveiligingspraktijken en -controles kunnen veranderen.

Reikwijdte

In dit document vindt u een samenvatting van de beveiligingspraktijken en het beveiligingsbeheer voor de infrastructuur, de organisatie, het personeel en de operationele processen van ESET PROTECT Hub. Beveiligingspraktijken en -controles bestaan uit:

  1. Informatiebeveiligingsbeleid
  2. Organisatie van informatiebeveiliging
  3. Beveiliging van human resources
  4. Beheer van activa
  5. Toegangsbeheer
  6. Cryptografie
  7. Fysieke beveiliging en beveiliging van de omgeving
  8. Operationele beveiliging
  9. Beveiliging van de communicatie
  10. Systeemacquisitie, -ontwikkeling en -onderhoud
  11. Relatie met leverancier
  12. Beheer van IT-incidenten
  13. IT-aspecten van bedrijfscontinuïteitsbeheer
  14. Naleving

Beveiligingsconcept

Het bedrijf ESET s.r.o. is ISO 27001:2013 gecertificeerd met een geïntegreerd beheersysteem dat expliciet dekking biedt voor ESET PROTECT Hub.

Bij het concept van informatiebeveiliging wordt gebruik gemaakt van het ISO 27001-raamwerk om een gelaagde verdediging als beveiligingsstrategie te implementeren bij het toepassen van beveiligingscontroles bij de laag van het netwerk, de besturingssystemen, databases, toepassingen, het personeel en de bedrijfsprocessen. Toegepaste beveiligingspraktijken en beveiligingscontroles zijn bedoeld om elkaar te overlappen en aan te vullen.

Beveiligingspraktijken en -controles

1. Informatiebeveiligingsbeleid

ESET hanteert informatiebeveiligingsbeleid om alle aspecten van de ISO 27001-standaard te dekken, waaronder informatiebeveiligingsbeheer en beveiligingscontroles en -praktijken. Beleid wordt na belangrijke wijzigingen jaarlijks herzien en bijgewerkt om ervoor te zorgen dat het nog steeds geschikt, adequaat en effectief is.

ESET voert een jaarlijkse beoordeling van dit beleid en interne beveiligingscontroles uit om consistentie met dit beleid te waarborgen. Niet-naleving van het informatiebeveiligingsbeleid is onderworpen aan disciplinaire maatregelen voor ESET-werknemers of contractuele sancties, tot en met beëindiging van het contract met leveranciers.

2. Organisatie van informatiebeveiliging

De organisatie van informatiebeveiliging voor ESET PROTECT Hub bestaat uit meerdere teams en personen die betrokken zijn bij informatiebeveiliging en IT, waaronder:

  • uitvoerend management van ESET
  • interne beveiligingsteams van ESET
  • IT-teams voor bedrijfstoepassingen
  • Andere ondersteunende teams

IT-beveiligingsverantwoordelijkheden worden toegewezen in overeenstemming met het geldende IT-beveiligingsbeleid. Interne processen worden geïdentificeerd en beoordeeld op elk risico van ongeautoriseerde of onbedoelde wijziging of misbruik van ESET-activa. Risicovolle of gevoelige activiteiten van interne processen hanteren het principe van 'functiescheiding' om risico's te beperken.

Het juridische team van ESET is verantwoordelijk voor de contacten met overheidsinstanties, waaronder Slowaakse toezichthouders op het gebied van cyberbeveiliging en de bescherming van persoonsgegevens. Het interne beveiligingsteam van ESET is verantwoordelijk voor contact met speciale belangengroepen zoals ISACA. Het onderzoekslaboratorium van ESET is verantwoordelijk voor de communicatie met andere beveiligingsbedrijven en de grotere cyberbeveiligingsgemeenschap.

Informatiebeveiliging maakt dankzij het toegepaste projectmanagementkader deel uit van projectmanagement, van concept tot oplevering van projecten.

Werken op afstand en telewerken vallen onder beleid dat is geïmplementeerd op mobiele apparaten, waaronder het gebruik van sterke cryptografische gegevensbescherming op mobiele apparaten tijdens de overdracht naar niet-vertrouwde netwerken. Beveiligingscontroles op mobiele apparaten zijn ontworpen om onafhankelijk van de interne netwerken en interne systemen van ESET te werken.

3. Beveiliging van human resources

ESET hanteert standaard humanresourcepraktijken, waaronder beleidsregels die zijn ontworpen om de informatiebeveiliging te handhaven. Deze praktijken bestrijken de hele levenscyclus van medewerkers en zijn van toepassing op alle teams die toegang tot de ESET PROTECT Hub-omgeving hebben.

4. Beheer van activa

De ESET PROTECT Hub-infrastructuur is opgenomen in ESET-activa-inventarissen met strikte eigendom en regels die worden toegepast op basis van het type en de gevoeligheid van de activa. ESET hanteert een intern classificatieschema. Alle ESET PROTECT Hub-gegevens en configuraties worden als vertrouwelijk geclassificeerd.

5. Toegangsbeheer

Het toegangsbeheerbeleid van ESET regelt alle toegang in ESET PROTECT Hub. Toegangsbeheer wordt ingesteld op het niveau van de infrastructuur, netwerkservices, het besturingssysteem, de database en de toepassing. Het volledige beheer van gebruikerstoegang op toepassingsniveau is autonoom via het op rollen gebaseerde toegangsbeheer van Microsoft Azure.

ESET-backend-toegang is strikt beperkt tot geautoriseerde personen en rollen. Er worden standaard-ESET-processen voor gebruikersregistratie, (de)provisioning, beheer van bevoegdheden en beoordeling van gebruikerstoegangsrechten gehanteerd om de toegang van ESET-medewerkers tot de infrastructuur en netwerken van ESET PROTECT Hub te beheren.

Er is sterke verificatie aanwezig om de toegang tot alle ESET PROTECT Hub-gegevens te beveiligen.

6. Cryptografie

De gegevens van ESET PROTECT Hub-databases worden beveiligd door gegevens in-transit te versleutelen met TLS. Bovendien worden gegevens at-rest versleuteld en een ingebouwd servercertificaat beveiligt de versleutelingssleutel van de database.

Doorgaans wordt een vertrouwde certificeringsinstantie gebruikt om certificaten voor openbare diensten uit te geven.

7. Fysieke beveiliging en beveiliging van de omgeving

ESET PROTECT Hub maakt gebruik van de cloud en van Microsoft Azure voor fysieke beveiliging en beveiliging van de omgeving. De fysieke locatie van het datacenter bevindt zich uitsluitend in de Europese Unie (EU). Klantgegevens in-transit worden beveiligd met sterke cryptografie.

8. Operationele beveiliging

ESET PROTECT Hub wordt uitgevoerd via geautomatiseerde middelen op basis van strikte operationele procedures en configuratiesjablonen. Alle wijzigingen, waaronder configuratiewijzigingen en de implementatie van nieuwe pakketten, worden goedgekeurd en getest in een speciale testomgeving voordat deze in productie worden genomen. Ontwikkelings-, test- en productieomgevingen zijn van elkaar gescheiden. ESET PROTECT Hub-gegevens bevinden zich alleen in de productieomgeving.

De ESET PROTECT Hub-omgeving wordt bewaakt met behulp van operationele monitoring om problemen snel te identificeren en alle services op netwerk- en hostniveau voldoende capaciteit te bieden.

Er wordt regelmatig een back-up gemaakt van alle configuratiegegevens en er zijn redundantiefuncties toegepast.

Back-ups worden als onderdeel van het testen van de bedrijfscontinuïteit versleuteld en regelmatig getest op herstelbaarheid.

Audits op systemen worden uitgevoerd volgens interne normen en richtlijnen. Logboeken en gebeurtenissen in de infrastructuur, het besturingssysteem, de database, toepassingsservers en beveiligingscontroles worden continu verzameld. De logboeken worden verder verwerkt door IT- en interne beveiligingsteams om operationele afwijkingen, beveiligingsafwijkingen en informatiebeveiligingsincidenten te identificeren.

ESET gebruikt een algemeen technisch proces voor het beheer van beveiligingsproblemen om het optreden van beveiligingsproblemen in de ESET-infrastructuur, waaronder ESET PROTECT Hub en andere ESET-producten, aan te pakken. Dit proces bestaat uit proactieve scans op beveiligingsproblemen en herhaalde penetratietests van de infrastructuur, producten en toepassingen.

ESET hanteert interne richtlijnen voor de beveiliging van interne infrastructuur, netwerken, besturingssystemen, databases, toepassingsservers en toepassingen. Deze richtlijnen worden gecontroleerd met behulp van technische monitoring op de naleving en ons interne auditprogramma voor informatiebeveiliging.

9. Beveiliging van de communicatie

De netwerktoegang voor ESET PROTECT Hub is beperkt tot alleen noodzakelijke diensten.

Het netwerkverkeer wordt continu bewaakt op afwijkingen in de werking en beveiliging. Potentiële aanvallen kunnen worden opgelost via native cloudbeheer of geïmplementeerde beveiligingsoplossingen. Alle netwerkcommunicatie wordt versleuteld via algemeen beschikbare technieken, waaronder IPsec en TLS.

10. Systeemacquisitie, -ontwikkeling en -onderhoud

De ontwikkeling van ESET PROTECT Hub-systemen wordt uitgevoerd in overeenstemming met het ESET-beleid voor de ontwikkeling van veilige software. Interne beveiligingsteams worden vanaf de beginfase in het ESET PROTECT Hub-ontwikkelingsproject opgenomen en houden toezicht op alle ontwikkelings- en onderhoudsactiviteiten. Het interne beveiligingsteam definieert en controleert de naleving van beveiligingsvereisten tijdens verschillende stadia van de ontwikkeling van de software. De beveiliging van alle services, waaronder nieuw ontwikkelde services, wordt na release continu getest.

11. Relatie met leverancier

Een relevante relatie met de leverancier is gebaseerd op geldende ESET-richtlijnen, die betrekking hebben op volledig relatiebeheer en contractuele vereisten vanuit het oogpunt van informatiebeveiliging en privacy. De kwaliteit en veiligheid van de dienstverlening van de kritische dienstverlener worden regelmatig beoordeeld.

Daarnaast maakt ESET gebruik van het principe van overdraagbaarheid voor ESET PROTECT Hub om een lock-out bij een leverancier te voorkomen.

12. Informatiebeveiligingsbeheer

Informatiebeveiligingsbeheer in ESET PROTECT Hub wordt op dezelfde manier uitgevoerd als in andere ESET-infrastructuren en is afhankelijk van gedefinieerde procedures voor incidentrespons. Rollen binnen incidentrespons worden gedefinieerd en toegewezen aan meerdere teams, waaronder IT, beveiliging, juridisch, human resources, public relations en uitvoerend management. Het incidentresponseteam voor incidenten wordt samengesteld op basis van de triage van incidenten door het interne beveiligingsteam. Dat team zorgt voor verdere coördinatie van andere teams die het incident afhandelen. Het interne beveiligingsteam is ook verantwoordelijk voor het verzamelen van bewijsmateriaal en het leren van lessen om soortgelijke incidenten in de toekomst te voorkomen. Incident en oplossing worden naar de betrokken partijen gecommuniceerd. Het juridische team van ESET is volgens de Algemene Verordening Gegevensbescherming (AVG) en de Cybersecurity Act Transposing Network and Information Security Directive (NIS) verantwoordelijk voor het indien nodig op de hoogte stellen van regelgevende instanties.

13. Informatiebeveiligingsaspecten ten aanzien van bedrijfscontinuïteitsbeheer

De bedrijfscontinuïteit van de ESET PROTECT Hub-service ligt besloten in de robuuste architectuur die wordt gehanteerd om de beschikbaarheid van de geleverde services te maximaliseren. Voor ESET PROTECT Hub-componenten of de ESET PROTECT Hub is volledig herstel van offsite back-up- en configuratiegegevens mogelijk na een catastrofale storing van alle redundante knooppunten -service. Het herstelproces wordt regelmatig getest.

14. Naleving

Naleving van de reglementaire en contractuele vereisten van ESET PROTECT Hub wordt regelmatig bekeken en beoordeeld, net als andere infrastructuur en processen van ESET, en de nodige stappen worden genomen om naleving ervan op een continue basis te waarborgen. ESET is geregistreerd als digitale serviceprovider voor digitale cloudcomputingservices voor meerdere ESET-services, waaronder ESET PROTECT Hub. Houd er rekening mee dat ESET-nalevingsactiviteiten niet noodzakelijkerwijs betekent dat als zodanig aan de algemene nalevingsvereisten van klanten wordt voldaan.