Ajuda on-line ESET

Selecionar categoria
Selecionar tópico

Segurança para ESET PROTECT Hub

Introdução

O objetivo deste documento é controlar as práticas de segurança e os controles de segurança aplicados dentro do ESET PROTECT Hub. As práticas e controles de segurança são feitos para proteger a confidencialidade, integridade e disponibilidade das informações do cliente. Observe que as práticas e controles de segurança podem mudar.

Escopo

O escopo deste documento é ampliar as práticas de segurança e controles de segurança para a infraestrutura do ESET PROTECT Hub, organização, pessoal e processos operacionais. Práticas e controles de segurança incluem:

  1. Políticas de segurança da informação
  2. Organização da segurança da informação
  3. Segurança de recursos humanos
  4. Gerenciamento de ativos
  5. Controle de Acesso
  6. Criptografia
  7. Segurança física e ambiental
  8. Segurança de operações
  9. Segurança de comunicações
  10. Aquisição, desenvolvimento e manutenção do sistema
  11. Relação de fornecedor
  12. Gerenciamento de incidentes de segurança de informações
  13. Aspectos de segurança de informação do gerenciamento de continuidade dos negócios
  14. Compliance

Conceito de segurança

A empresa ESET s.r.o. é certificada pela ISO 27001:2013 com escopo integrado de sistema de gerenciamento que cobre explicitamente o ESET PROTECT Hub.

Portanto, o conceito de segurança da informação usa a estrutura ISO 27001 para implementar uma estratégia de defesa de segurança em camadas ao aplicar controles de segurança na camada de rede, sistemas operacionais, bancos de dados, aplicativos, pessoal e processos operacionais. As práticas de segurança aplicadas e controles de segurança têm como objetivo se sobrepor e se complementar.

Práticas e controles de segurança

1. Políticas de segurança da informação

A ESET usa políticas de segurança da informação para cobrir todos os aspectos do padrão ISO 27001, incluindo a governança da segurança da informação e controles e práticas de segurança. As políticas são revisadas anualmente e atualizadas depois de alterações significativas para garantir sua adequação e eficácia contínuas.

A ESET realiza revisões anuais desta política e verificações de segurança internas para garantir a coerência com esta política. A não conformidade com as políticas de segurança da informação está sujeita a ações disciplinares para os funcionários da ESET ou penalidades contratuais até a rescisão do contrato para os fornecedores.

2. Organização da segurança da informação

A organização da segurança da informação para ESET PROTECT Hub é composta por várias equipes e pessoas envolvidos na segurança da informação e de TI, incluindo:

  • Gerenciamento executivo da ESET
  • Equipes de segurança interna da ESET
  • Equipes de TI de aplicativos empresariais
  • Outras equipes de apoio

As responsabilidades de segurança da informação são alocadas alinhadas com as políticas de segurança da informação implementadas. Processos internos são identificados e avaliados para qualquer risco de modificação não autorizada ou não intencional ou uso indevido dos ativos ESET. Atividades perigosas ou sensíveis de processos internos adotam o princípio da separação de deveres para mitigar o risco.

A equipe jurídica da ESET é responsável por contatos com autoridades do governo, incluindo reguladores eslovacos sobre cibersegurança e proteção de dados pessoais. A equipe de Segurança Interna da ESET é responsável por entrar em contato com grupos de interesse especiais como ISACA. A equipe do laboratório de pesquisa da ESET é responsável pela comunicação com outras empresas de segurança e pela comunidade de cibersegurança em geral.

A segurança de informações é contada no gerenciamento de projeto usando a estrutura de gerenciamento de projeto aplicada, desde a concepção do projeto até sua conclusão.

O trabalho remoto e a troca de dados são cobertos pelo uso de uma política implementada em dispositivos móveis, que inclui o uso de uma forte proteção criptográfica de dados em dispositivos móveis enquanto viajam por redes não confiáveis. Controles de segurança em dispositivos móveis são projetados para funcionar independentemente das redes internas e dos sistemas internos da ESET.

3. Segurança de recursos humanos

A ESET usa práticas padrão de recursos humanos, incluindo políticas projetadas para ajudar na segurança da informação. Essas práticas cobrem todo o ciclo de vida dos funcionários, e são aplicadas a todas as equipes que acessam o ambiente ESET PROTECT Hub.

4. Gerenciamento de ativos

A infraestrutura ESET PROTECT Hub é incluída nas responsabilidades da ESET com propriedade rígida e regras aplicadas de acordo com o tipo de modelo e sensibilidade. A ESET tem um esquema de classificação interna definido. Todos os dados e configurações do ESET PROTECT Hub são classificados como confidenciais.

5. Controle de Acesso

A política de Controle de acesso da ESET governa todos os acessos no ESET PROTECT Hub. O controle de acesso é definido na infraestrutura, serviços de rede, sistema operacional, banco de dados e nível de aplicativo. O gerenciamento completo do acesso do usuário no nível do aplicativo é autônomo usando o controle de acesso baseado em função do Microsoft Azure.

O acesso ao backend da ESET é estritamente limitado a pessoas e funções autorizadas. Processos padrão da ESET para (des)registro de usuário, (de)provisionamento, gerenciamento de privilégios e revisão dos direitos de acesso do usuário são usados para gerenciar o acesso de funcionários da ESET à infraestrutura e às redes do ESET PROTECT Hub.

Uma autenticação forte está implementada para proteger o acesso a todos os dados do ESET PROTECT Hub.

6. Criptografia

Os bancos de dados do ESET PROTECT Hub protegem os dados criptografando os dados em trânsito com TLS. Além disso, os dados em descanso são criptografados e um certificado de servidor integrado protege a chave de criptografia do banco de dados.

Geralmente, uma autoridade de certificação confiável é usada para emitir certificados para serviços públicos.

7. Segurança física e ambiental

O ESET PROTECT Hub é baseado em nuvem e usa o Microsoft Azure para segurança física e ambiental. A localização física do data center é exclusivamente na União Europeia (UE). Uma criptografia forte está implementada para proteger os dados do cliente durante o transporte.

8. Segurança de operações

O ESET PROTECT Hub é operado através de meios automatizados com base em procedimentos operacionais e modelos de configuração estritos. Todas as alterações, incluindo alterações de configuração e nova implantação de pacote, são aprovadas e testadas em um ambiente de teste dedicado antes da implantação para a produção. Ambientes de desenvolvimento, teste e produção são separados um do outro. Os dados ESET PROTECT Hub estão localizados apenas no ambiente de produção.

O ambiente ESET PROTECT Hub é supervisionado usando o monitoramento operacional para identificar problemas e fornecer capacidade suficiente para todos os serviços na rede e nos níveis de host.

Todos os dados de configuração são copiados regularmente e têm recursos de redundância aplicados.

Backups são criptografados e testados regularmente para capacidade de recuperação como parte de testes de negócios.

A auditoria em sistemas é realizada de acordo com padrões e diretrizes internos. Relatórios e eventos da infraestrutura, sistema operacional, banco de dados, servidores de aplicativo e controles de segurança são coletados continuamente. Os relatórios são processados ainda mais por equipes de TI e segurança interna para identificar anomalias operacionais e de segurança e incidentes de segurança de informações.

A ESET usa um processo geral de gerenciamento de vulnerabilidades técnicas para lidar com a ocorrência de vulnerabilidades na infraestrutura ESET, incluindo ESET PROTECT Hub e outros produtos ESET. Esse processo inclui o escaneamento proativo de vulnerabilidade e testes repetitivos de segurança de infraestrutura, produtos e aplicativos.

A ESET declara diretrizes internas para a segurança da infraestrutura interna, redes, sistemas operacionais, bancos de dados, servidores de aplicativos e aplicativos. Essas diretrizes são verificadas através do monitoramento de conformidade técnica e do nosso programa interno de auditoria de segurança de informações.

9. Segurança de comunicações

O acesso à rede do ESET PROTECT Hub é limitado apenas aos serviços necessários.

O tráfego da rede é monitorado continuamente em busca de anomalias operacionais e de segurança. Os potenciais ataques podem ser resolvidos usando controles nativos de nuvem ou soluções de segurança implantadas. Toda a comunicação de rede é criptografada através de técnicas geralmente disponíveis, incluindo IPsec e TLS.

10. Aquisição, desenvolvimento e manutenção do sistema

O desenvolvimento de sistemas ESET PROTECT Hub é realizado de acordo com a política de desenvolvimento de software seguro da ESET. Equipes de segurança interna são incluídas no projeto de desenvolvimento do ESET PROTECT Hub desde a fase inicial e supervisionam todas as atividades de desenvolvimento e manutenção. A equipe de segurança interna define e verifica o cumprimento dos requisitos de segurança em diversos momentos do desenvolvimento do software. A segurança de todos os serviços, incluindo os recentemente desenvolvidos, é testada continuamente depois do lançamento.

11. Relação de fornecedor

Uma relação de fornecedor relevante é conduzida de acordo com diretrizes válidas da ESET, que cobrem o gerenciamento de relacionamento por completo e os requisitos contratuais da perspectiva de segurança da informação e privacidade. A qualidade e a segurança dos serviços prestados pelo provedor de serviço crítico são avaliados regularmente.

Além disso, a ESET utiliza o princípio de portabilidade para o ESET PROTECT Hub para evitar o bloqueio do fornecedor.

12. Gerenciamento de segurança de informações

O gerenciamento de incidentes de segurança de informações no ESET PROTECT Hub é realizado de forma similar a outras infraestruturas da ESET e conta com procedimentos de resposta a incidentes definidos. As funções dentro da resposta a incidentes são definidas e alocadas em várias equipes, incluindo TI, segurança, jurídico, recursos humanos, relações públicas e gerenciamento executivo. A equipe de resposta a incidentes para um incidente é estabelecida com base na triagem de incidentes pela equipe de segurança interna. Essa equipe fornecerá ainda mais informações sobre outras equipes lidando com o incidente. A equipe de segurança interna também é responsável pela coleta de provas e por lições aprendidas. A ocorrência e a resolução de incidentes são comunicadas às partes afetadas. A equipe jurídica da ESET é responsável por notificar os corpos regulatórios se necessário, de acordo com o Regulamento Geral de Proteção de Dados (GDPR) e com a Lei de Cibersegurança que transpõe a Diretiva de Segurança da Informação e Rede (NIS).

13. Aspectos de segurança de informação do gerenciamento de continuidade dos negócios

A continuidade de negócios do serviço ESET PROTECT Hub é codificada na arquitetura robusta usada para aumentar ao máximo a disponibilidade dos serviços fornecidos. A restauração completa de dados de backup e configuração fora do local é possível no caso de uma falha total de todos os nós redundantes para componentes do ESET PROTECT Hub ou o serviço ESET PROTECT Hub. O processo de restauração é testado regularmente.

14. Compliance

A conformidade com os requisitos regulatórios e contratuais do ESET PROTECT Hub é regularmente avaliada e revisada de maneira semelhante a outras infraestruturas e processos da ESET, e as medidas necessárias são realizadas continuamente para garantir a conformidade. A ESET está registrada como um provedor de serviço digital para o serviço digital de Computação em nuvem, que cobre vários serviços ESET, inclusive o ESET PROTECT Hub. Observe que as atividades de conformidade da ESET não necessariamente significam que os requisitos gerais de conformidade dos clientes estão cumpridos como tal.