Κατανοήστε τα δικαιώματά σας και τις ευθύνες της εταιρείας σε ένα μέρος

Τα περιεχόμενα αυτής της σελίδας μπορεί να έχουν μεταφραστεί μηχανικά και να έχουν υποστεί επεξεργασία από άνθρωπο μόνο εν μέρει.

Πολιτική ασφάλειας

Εισαγωγή

Σκοπός του εγγράφου

Ο σκοπός αυτού του εγγράφου είναι να συνοψίσει τους τεχνικούς, οργανωτικούς και φυσικούς ελέγχους και τις πρακτικές ασφάλειας που εφαρμόζονται στην υποδομή της ESET, η οποία περιλαμβάνει το χαρτοφυλάκιο της ESET, δηλαδή τα προϊόντα, τις εφαρμογές, τις λύσεις και τις υπηρεσίες της ESET (στο εξής: Προϊόν). Τα μέτρα ασφάλειας, τα στοιχεία ελέγχου και οι πολιτικές έχουν σχεδιαστεί για την προστασία

•της λειτουργίας του χαρτοφυλακίου της ESET και την επεξεργασία δεδομένων εσωτερικής εγκατάστασης ή σε περιβάλλοντα cloud

•εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των δεδομένων του πελάτη

•πληροφορίες του πελάτη από παράνομη καταστροφή, απώλεια, αλλοίωση, μη εξουσιοδοτημένη αποκάλυψη ή πρόσβαση

Η ESET ενδέχεται να ενημερώσει αυτό το έγγραφο και τα συγκεκριμένα μέτρα, τα στοιχεία ελέγχου και τις πολιτικές που τις διέπουν, ώστε να ανταποκρίνονται στις εξελισσόμενες απειλές και να προσαρμόζονται στις εξελισσόμενες τεχνολογίες ασφάλειας και στα βιομηχανικά πρότυπα.

Κοινό

Οποιοσδήποτε απαιτεί διαβεβαίωση στον τομέα της Ασφάλειας του χαρτοφυλακίου της ESET ή ο Πελάτης που προτίθεται να χρησιμοποιήσει τις λύσεις ή τις υπηρεσίες της ESET μέσω ενοποίησης στο περιβάλλον του θα πρέπει να διαβάσει αυτό το έγγραφο.

Πλαίσιο, έννοια και πεδίο εφαρμογής

Η εταιρεία ESET, spol s r.o. είναι πιστοποιημένη κατά ISO 27001:2022 και διαθέτει ολοκληρωμένο σύστημα διαχείρισης.

Συνεπώς, η έννοια της διαχείρισης της ασφάλειας πληροφοριών χρησιμοποιεί το πλαίσιο του προτύπου ISO 27001 για την υλοποίηση μιας στρατηγικής ασφάλειας άμυνας επιπέδων κατά την εφαρμογή στοιχείων ελέγχου ασφάλειας σε κάθε επίπεδο της στοίβας αρχιτεκτονικής του πληροφοριακού συστήματος π.χ. δίκτυο, λειτουργικά συστήματα, βάσεις δεδομένων, εφαρμογές, προσωπικό και επιχειρησιακές διεργασίες. Οι εφαρμοζόμενες πρακτικές ασφάλειας και τα στοιχεία ελέγχου ασφάλειας προορίζεται να αλληλοεπικαλύπτονται και να αλληλοσυμπληρώνονται.

Το αντικείμενο του παρόντος εγγράφου είναι να συνοψίσει τα τεχνικά και οργανωτικά μέτρα που υλοποιούνται για το χαρτοφυλάκιο της ESET, την οργάνωση, το προσωπικό και τις επιχειρησιακές διεργασίες.

Οι πρακτικές και τα στοιχεία ελέγχου ασφάλειας περιλαμβάνουν διακυβέρνηση και τεχνικά μέτρα, που περιλαμβάνουν, ενδεικτικά, τα εξής:

•Πολιτικές ασφάλειας πληροφοριών

•Οργάνωση της ασφάλειας πληροφοριών

•Ασφάλεια ανθρώπινων πόρων

•Έλεγχος πρόσβασης

•Κρυπτογράφηση

•Φυσική και περιβαλλοντική ασφάλεια

•Προστασία δεδομένων, Ασφάλεια δικτύου, Ασφάλεια εφαρμογών

•Επιχειρησιακή ασφάλεια

•Ασφάλεια επικοινωνιών

•Απόκτηση, ανάπτυξη και συντήρηση συστήματος

•Σχέση με τους προμηθευτές

•Διαχείριση συμβάντων ασφάλειας πληροφοριών

•Πτυχές ασφάλειας πληροφοριών της διαχείρισης επιχειρηματικής συνέχειας

•Συμμόρφωση

Συντομογραφίες

Όρος συντομογραφίας	Πλήρης όρος
Εταιρεία	ESET, spol. s r.o.
CSP	Πάροχος υπηρεσιών cloud
DR	Αποκατάσταση μετά από καταστροφές
ESET	ESET, spol. s r.o.
GDPR	Γενικός κανονισμός για την προστασία δεδομένων
ΤΠΕ	Τεχνολογίες πληροφοριών και επικοινωνιών
IR	Απόκριση σε συμβάντα
είναι	Ασφάλεια πληροφοριών
ISMS	Σύστημα διαχείρισης ασφάλειας πληροφοριών
IT	Πληροφορική
NIS	Νόμος περί κυβερνοασφάλειας που αναστρέφει την Οδηγία περί Ασφάλειας δικτύων και πληροφοριών
PKI	Υποδομή δημόσιου κλειδιού
Προϊόν	Το χαρτοφυλάκιο της ESET – δηλαδή τα προϊόντα, οι εφαρμογές, οι πλατφόρμες cloud, οι λύσεις και οι υπηρεσίες της ESET πάνω από αυτές
SIEM	Πληροφορίες ασφάλειας και Διαχείριση συμβάντων
SSDLC	Κύκλος ζωής ανάπτυξης ασφαλούς λογισμικού
QMS	Σύστημα διαχείρισης ποιότητας

Σημείωση: Πλάγια γραφή – χρησιμοποιείται για τα ονόματα εσωτερικών εγγράφων παραπομπής της εταιρείας, τα οποία δεν είναι διαθέσιμα στο κοινό, για παράδειγμα, Πολιτική για τον εσωτερικό κανονισμό

Διακυβέρνηση ασφάλειας

Πρόγραμμα διαχείρισης ασφάλειας πληροφοριών

Η εταιρεία ESET έχει δημιουργήσει και διατηρεί ένα πλαίσιο του προγράμματος διαχείρισης ασφάλειας πληροφοριών ως δια-οργανωτική λειτουργία που καθοδηγεί την προστασία των πόρων πληροφοριών. Η τεκμηρίωση ασφάλειας πληροφοριών καθοδηγείται από πολιτικές ασφάλειας, διαδικασίες και τεκμηρίωση μέσω της Πολιτικής για τους εσωτερικούς κανονισμούς. Η ESET υιοθέτησε την Πολιτική ολοκληρωμένου συστήματος διαχείρισης, η οποία χρησιμεύει ως ανώτατο επίπεδο

•πολιτική ISMS

•πολιτική QMS και

•Πολιτική ασφάλειας πληροφοριών.

Η ESET τηρεί την Πολιτική της για το ολοκληρωμένο σύστημα διαχείρισης, καθορίζοντας το πλαίσιο για τη διαχείριση ποιότητας και ασφάλειας πληροφοριών. Αυτή η πολιτική ανήκει στον επικεφαλής της ασφάλειας πληροφοριών (CISO) της ESET και αντιπροσωπεύει τη δέσμευση της διοίκησης στο ανώτατο επίπεδο όσον αφορά την ασφάλεια και την ποιότητα. Ορίζει τις ευθύνες για τη διαχείριση και διασφάλιση αυτών των τομέων και περιγράφει τη δέσμευση της ESET να αξιολογεί και να βελτιώνει συνεχώς την αποτελεσματικότητα του συστήματος διαχείρισης της, σύμφωνα με τα πρότυπα ISO 9001 και ISO 27001.

Οι εταιρικές πολιτικές τεκμηριώνονται, διατηρούνται και επανεξετάζονται σε ετήσια βάση, και επικαιροποιούνται μετά από σημαντικές αλλαγές, ώστε να διασφαλίζεται η συνεχής καταλληλότητα, επάρκεια και αποτελεσματικότητά τους. Οι ενημερώσεις κοινοποιούνται στο εσωτερικό προσωπικό, όπου οι πολιτικές είναι διαθέσιμες σε όλους τους υπαλλήλους. Οι πολιτικές υιοθετούνται επίσημα, υπογράφονται από τον Γενικό Διευθυντή, δημοσιεύονται και κοινοποιούνται σε όλους τους υπαλλήλους και τους σχετικούς ενδιαφερόμενους. Οι πολιτικές γίνονται επίσημα αποδεκτές από τους υπαλλήλους της ESET κατά την πρόσληψη.

Εκτός από τις πολιτικές, οι ομάδες Ασφάλειας πληροφοριών και Τεχνικής ασφάλειας της ESET έχουν σχεδιάσει διεργασίες, διαδικασίες, πρότυπα και βασικές γραμμές ρύθμισης παραμέτρων που βασίζονται στις βέλτιστες πρακτικές ασφάλειας του κλάδου και των προμηθευτών (π.χ. ορόσημα CIS, OWASP, NIST). Αυτά παρέχονται στις ομάδες πληροφορικής και τεχνολογίας για να διασφαλίζεται η ανάπτυξη, η διαμόρφωση και η λειτουργία των πληροφοριακών συστημάτων και των προϊόντων της ESET.

Η ESET διατηρεί διασυνδεδεμένη τεκμηρίωση διακυβέρνησης, η οποία σχεδιάζεται και τίθεται στη διάθεση όλων των εργαζομένων σύμφωνα με τις πιστοποιήσεις της ESET για τα πρότυπα ISO 9001 και ISO 27001. Οι επιχειρησιακές διαδικασίες προσαρμόζονται ώστε να ανταποκρίνονται στις συγκεκριμένες ανάγκες κάθε ομάδας, να διαχειρίζονται εντός καθορισμένων χώρων εργασίας και να ενημερώνονται ανάλογα με τις ανάγκες.

Υπάρχει παρακολούθηση της συμμόρφωσης με τις πολιτικές και πειθαρχικές διαδικασίες για την αντιμετώπιση και την αποκατάσταση τυχόν μη συμμόρφωσης με τις πολιτικές ασφάλειας, ενισχύοντας τη δέσμευση της ESET για λογοδοσία και συνεχή βελτίωση.

Για να διασφαλίσει τη συνεχή συμμόρφωση και αποτελεσματικότητα, η ESET έχει εφαρμόσει ένα πλαίσιο διαχείρισης κινδύνων, διατηρώντας τεχνικούς και οργανωτικούς ελέγχους. Η διαδικασία διαχείρισης κινδύνων της ESET περιλαμβάνει μια ολοκληρωμένη αξιολόγηση και διαχείριση κινδύνων στο πλαίσιο του ολοκληρωμένου συστήματος διαχείρισης (με βάση το ISO 9001 και το ISO 27001). Αυτό περιλαμβάνει την αξιολόγηση πόρων, τον προσδιορισμό απαιτήσεων ασφάλειας, τον υπολογισμό κινδύνων και την επιλογή κατάλληλων στρατηγικών μετριασμού. Ο επικεφαλής της ασφάλειας πληροφοριών (CISO) εποπτεύει τη συνολική διαδικασία διαχείρισης κινδύνων, διασφαλίζοντας την τακτική αναφορά των κινδύνων ασφάλειας και των σχετικών δεικτών στην εκτελεστική διοίκηση. Επιπλέον, η διαχείριση κινδύνων τρίτων εφαρμόζεται αυστηρά μέσω αξιολογήσεων από τους προμηθευτές, σύμφωνα με το Πρότυπο ασφάλειας συμβάσεων της ESET.

Συμμόρφωση με τα πρότυπα βιομηχανίας

Η εξωτερική επικύρωση και διαπίστευση είναι ζωτικής σημασίας για τους οργανισμούς που βασίζονται στις δυνατότητες και την τεχνολογία της ESET για την προστασία των δεδομένων τους και τη συμμόρφωση με τις κανονιστικές απαιτήσεις. Για λεπτομέρειες, ο χρήστης πρέπει να ανατρέξει στη σελίδα πιστοποίησης της ESET.

Παρακολούθηση της συμμόρφωσης

Η Πολιτική του ολοκληρωμένου συστήματος διαχείρισης καθορίζει το ολοκληρωμένο σύστημα διαχείρισης, συμπεριλαμβανομένων τακτικών αναθεωρήσεων και ελέγχων.

Οι εσωτερικοί έλεγχοι επανεξετάζουν τακτικά τη συμμόρφωση με τις πολιτικές και τις διαδικασίες της ESET, όπως περιγράφεται στην Πολιτική για τον εσωτερικό έλεγχο. Η Πολιτική για τους εσωτερικούς κανονισμούς ορίζει την ευθύνη για την τακτική παρακολούθηση της εφαρμογής των εσωτερικών κανονισμών και των σχετικών προσαρμογών, εφόσον απαιτείται.

Οι τακτικοί έλεγχοι και οι εσωτερικοί και εξωτερικοί έλεγχοι διεξάγονται σύμφωνα με ετήσιο και τριετές σχέδιο μακροπρόθεσμων ελέγχων. Οι εσωτερικοί έλεγχοι διενεργούνται από ανεξάρτητους ελεγκτές, οι οποίοι επανεξετάζουν τακτικά τη συμμόρφωση με τις πολιτικές και τις διαδικασίες της ESET ή τα ισχύοντα πρότυπα (π.χ. ISO 9001, ISO 27001 και SOC2), ανάλογα με το πεδίο εφαρμογής του ελέγχου. Οι εσωτερικοί έλεγχοι προγραμματίζονται και διενεργούνται τουλάχιστον ετησίως. Τα ευρήματα του ελέγχου συλλέγονται και καταγράφονται σε ένα ειδικό σύστημα δελτίων, με εκχώρηση των αντίστοιχων κατόχων, οι οποίοι είναι υπεύθυνοι για την αντιμετώπιση και την επίλυση των μη συμμορφώσεων εντός προκαθορισμένου χρονικού πλαισίου. Τα πορίσματα ελέγχου που απαιτούν εποπτεία και αποφάσεις διαχείρισης επανεξετάζονται σε τακτικές συνεδριάσεις επανεξέτασης διαχείρισης.

Οργάνωση της ασφάλειας πληροφοριών

Οι αρμοδιότητες ασφάλειας πληροφοριών κατανέμονται σύμφωνα με τις υπάρχουσες πολιτικές ασφάλειας πληροφοριών. Οι εσωτερικές διεργασίες εντοπίζονται και αξιολογούνται για οποιονδήποτε κίνδυνο μη εξουσιοδοτημένης ή ακούσιας τροποποίησης ή κατάχρησης των πόρων πληροφοριών της ESET. Οι επικίνδυνες ή ευαίσθητες δραστηριότητες των εσωτερικών διεργασιών υιοθετούν την αρχή της βέλτιστης πρακτικής ασφάλειας, ώστε να μετριάζεται ο κίνδυνος.

Η ασφάλεια πληροφοριών λαμβάνεται υπόψη στη διαχείριση έργων χρησιμοποιώντας το εφαρμοζόμενο πλαίσιο διαχείρισης έργου από τη σύλληψη έως την ολοκλήρωσή του.

Η απομακρυσμένη εργασία και η τηλεργασία καλύπτονται μέσω της χρήσης μιας πολιτικής που εφαρμόζεται σε κινητές συσκευές, η οποία περιλαμβάνει τη χρήση ισχυρής προστασίας κρυπτογραφημένων δεδομένων κατά τη μετακίνηση διαμέσου μη αξιόπιστων δικτύων. Τα στοιχεία ελέγχου ασφάλειας σε κινητές συσκευές έχουν σχεδιαστεί για να λειτουργούν ανεξάρτητα από τα εσωτερικά δίκτυα και τα εσωτερικά συστήματα της ESET.

Ασφάλεια ανθρώπινων πόρων

Η ESET χρησιμοποιεί τυπικές πρακτικές ανθρώπινων πόρων, οι οποίες περιλαμβάνουν πολιτικές που έχουν σχεδιαστεί για τη διατήρηση της ασφάλειας πληροφοριών. Αυτές οι πρακτικές καλύπτουν ολόκληρο τον κύκλο ζωής του υπαλλήλου και ισχύουν για όλους τους υπαλλήλους.

Η εταιρεία ESET απαιτεί από το προσωπικό της ESET να υποβάλλεται σε έλεγχο ιστορικού και έλεγχο κατά την πρόσληψη, να υπογράφει συμφωνία μη αποκάλυψης ή εμπιστευτικότητας ως μέρος της σύμβασης εργασίας, η οποία τους υποχρεώνει να ακολουθούν τις εσωτερικές πολιτικές και τα πρότυπα ασφάλειας, να προστατεύουν τις εμπιστευτικές πληροφορίες της ESET και τα δεδομένα των πελατών, να ολοκληρώνουν την εκπαίδευση ευαισθητοποίησης κατά την πρόσληψη, ως μέρος της συμμόρφωσης και του προγράμματος ευαισθητοποίησης της ESET.

Τεχνικά μέτρα

Διαχείριση ταυτότητας και πρόσβασης

Η Πολιτική διαχείρισης πρόσβασης της ESET διέπει κάθε πρόσβαση στην υποδομή της ESET. Διεργασίες ελέγχου πρόσβασης στον τομέα της εκχώρησης, ανάκλησης, αλλαγής πρόσβασης, καθώς και αναθεώρησης των εκχωρηθέντων δικαιωμάτων πρόσβασης που εφαρμόζονται για όλα τα επίπεδα υποδομής, τεχνολογίας, εφαρμογών ή εργαλείων. Σε επίπεδο εφαρμογής, η διαχείριση πλήρους πρόσβασης χρηστών είναι αυτόνομη. Η μοναδική σύνδεση ταυτότητας διέπεται από έναν κεντρικό πάροχο ταυτότητας, ο οποίος διασφαλίζει ότι ένας χρήστης μπορεί να αποκτήσει πρόσβαση μόνο στο εξουσιοδοτημένο περιβάλλον ή την εφαρμογή.

Η διαχείριση χρηστών και δικαιωμάτων πρόσβασης, οι διεργασίες και τα τεχνικά μέτρα για την κατάργηση πρόσβασης χρηστών, η παροχή πρόσβασης χρηστών, η αναθεώρηση, η κατάργηση και η προσαρμογή των δικαιωμάτων πρόσβασης χρησιμοποιούνται για τη διαχείριση της πρόσβασης των υπαλλήλων της ESET στην υποδομή και τα δίκτυα της ESET σύμφωνα με τα πρότυπα ασφάλειας, τα οποία περιλαμβάνουν ενδεικτικά τα εξής:

•Παροχή πρόσβασης που βασίζεται στο ελάχιστο δικαίωμα «κατ' ανάγκη ενημέρωσης»

•Τακτική επανεξέταση της πρόσβασης του χρήστη

•Τερματισμός της πρόσβασης χρήστη σύμφωνα με την πολιτική ασφαλείας

•Εκχώρηση του μοναδικού λογαριασμού σε όλους

•Καταγραφή των προσπαθειών πρόσβασης χρήστη, επανεξέταση και παρακολούθηση

•Καταγραφή και επανεξέταση φυσικής πρόσβασης

•Εφαρμογή ελέγχου ταυτότητας πολλών παραγόντων για πρόσβαση δικαιωμάτων υψηλού επιπέδου και διαχειριστή

•Εφαρμογή χρονικού διαστήματος για διαδραστικές περιόδους λειτουργίας μετά από καθορισμένο χρονικό διάστημα αδράνειας

Προστασία δεδομένων

Κρυπτογράφηση δεδομένων

Η ESET προστατεύει τα δεδομένα στην υποδομή της. Η ισχυρή κρυπτογράφηση χρησιμοποιείται για την κρυπτογράφηση δεδομένων σε κατάσταση ανάπαυσης (συμπεριλαμβανομένων φορητών συσκευών) και κατά τη μεταφορά. Η εφαρμογή κρυπτογράφησης ακολουθεί κανόνες που ορίζονται από το εσωτερικό πρότυπο Κρυπτογράφησης. Τα δεδομένα των πελατών διατηρούνται σύμφωνα με τους σχετικούς κανονισμούς, π.χ. τον ΓΚΠΔ, την οδηγία NIS2 ή τους κανονισμούς του κλάδου και των οικονομικών.

Μέτρα που εφαρμόζονται:

•Χρησιμοποιείται μια γενικά αξιόπιστη αρχή έκδοσης πιστοποιητικών για την έκδοση πιστοποιητικών για δημόσιες υπηρεσίες διαδικτύου

•Το εσωτερικό PKI της ESET χρησιμοποιείται για τη διαχείριση κλειδιών εντός της υποδομής της ESET

•Η τοπική κρυπτογράφηση της πλατφόρμας CSP ενεργοποιείται για να διασφαλίζεται η προστασία δεδομένων σε κατάσταση αναμονής για τα σχετικά μέρη της επεξεργασίας δεδομένων ή της διατήρησης δεδομένων στο περιβάλλον cloud (αποθήκευση δεδομένων, αντίγραφα ασφαλείας)

•Υπάρχει ισχυρή κρυπτογράφηση (π.χ. TLS) για την κρυπτογράφηση δεδομένων κατά τη μεταφορά

Αντίγραφα ασφαλείας δεδομένων και ανάκτηση

Τα αντίγραφα ασφαλείας διέπονται από την Πολιτική για την ασφάλεια πληροφοριών κατά τη λειτουργία των τεχνολογιών πληροφοριών και επικοινωνιών.

Όλα τα δεδομένα διαμόρφωσης και ανάπτυξης του χαρτοφυλακίου της ESET αποθηκεύονται σε προστατευμένα αποθετήρια της ESET και δημιουργούνται τακτικά αντίγραφα ασφαλείας, ώστε να επιτρέπεται η αυτοματοποιημένη ανάκτηση μιας διαμόρφωσης περιβάλλοντος. Η τακτική διαδικασία δοκιμών ανάκτησης καταστροφών χρησιμοποιείται για την επαλήθευση της επαναφοράς αντιγράφων ασφαλείας διαμόρφωσης εντός των χρόνων που αναμένεται από την επιχείρηση.

Για τα δεδομένα του πελάτη της ESET δημιουργούνται τακτικά αντίγραφα ασφαλείας σύμφωνα με τα πρότυπα και τους κανονισμούς του κλάδου, τη λειτουργία υψηλής διαθεσιμότητας και τις συμβατικές απαιτήσεις που επιτρέπουν την ανάκτηση. Τα αντίγραφα ασφαλείας προστατεύονται από παραβιάσεις και η εγκυρότητα των αντίγραφων ασφαλείας ελέγχεται τακτικά από τις διαδικασίες ανάκτησης καταστροφών.

Ασφάλεια δικτύου

Ο κατακερματισμός δικτύου εφαρμόζεται σε ολόκληρο το περιβάλλον δικτύου της ESET. Τα δίκτυα διαχωρίζονται με βάση καθορισμένα κριτήρια και επιβάλλονται με τη χρήση VLAN σε τείχη προστασίας.

Η ESET χρησιμοποιεί μια ποικιλία συστημάτων προστασίας ορίων, όπως τείχη προστασίας L7, συστήματα ανίχνευσης εισβολών και συστήματα πρόληψης εισβολών. Αυτά τα συστήματα ρυθμίζονται και διατηρούνται για την προστασία εξωτερικών σημείων πρόσβασης, διασφαλίζοντας ότι ανιχνεύονται και αποτρέπονται τυχόν μη εξουσιοδοτημένες προσπάθειες πρόσβασης στο δίκτυο.

Η απομακρυσμένη πρόσβαση σε εσωτερικούς πόρους παρέχεται μέσω ενός χρήστη ή ενός VPN μεταξύ τοποθεσιών με τους ρόλους και τις αρμοδιότητες, τις απαιτήσεις ασφάλειας και τα στοιχεία ελέγχου που ορίζονται στις εσωτερικές πολιτικές της ESET και των οποίων η ρύθμιση παραμέτρων συμμορφώνεται με τα πρότυπα του κλάδου. Οι λογαριασμοί χρηστών VPN διατηρούνται στο Active Directory και αποτελούν μέρος της διαδικασίας παροχής λογαριασμού υπαλλήλου.

Η ESET εφαρμόζει και διατηρεί στοιχεία ελέγχου ασφάλειας δικτύου για την προστασία δεδομένων που υποβάλλονται σε επεξεργασία, λαμβάνονται ή αποθηκεύονται στο περιβάλλον cloud. Οι λογαριασμοί CSP και η υποκείμενη υποδομή χρησιμοποιούν λίστες ελέγχου πρόσβασης δικτύου και ομάδες ασφάλειας εντός του εικονικού δικτύου CSP για να περιορίσουν την πρόσβαση σε όλους τους πόρους που παρέχονται. Η πρόσβαση σε πόρους cloud γίνεται μόνο μέσω κρυπτογραφημένων καναλιών.

Θωράκιση

Η ESET χρησιμοποιεί τη διαδικασία εξασφάλισης των συστημάτων για να μειώσει την πιθανή ευπάθεια σε επιθέσεις. Αυτό περιλαμβάνει τις ακόλουθες τεχνικές και βέλτιστες πρακτικές:

•να υπάρχει ένα υπογεγραμμένο χρυσό πρότυπο που θα χρησιμοποιείται για την εγκατάσταση ή την ανάπτυξη του κεντρικού υπολογιστή ή του κοντέινερ

•απενεργοποίηση περιττών υπηρεσιών

•αυτοματοποιημένη προγραμματισμένη προσάρτηση και ad hoc επιδιορθωση κρίσιμων στοιχείων σε περίπτωση υψηλού κινδύνου

•αναβάθμιση λειτουργικού συστήματος πριν από το τέλος του κύκλου ζωής

•ρύθμιση ρυθμίσεων ασφάλειας

•αυτοματοποίηση της διαχείρισης υποδομής και εφαρμογών με επαναλαμβανόμενο και συνεπή τρόπο

•κατάργηση περιττού λογισμικού

•περιορισμός της πρόσβασης σε τοπικούς πόρους

•στοιχεία ελέγχου που βασίζονται στον κεντρικό υπολογιστή, όπως το Antivirus, η ανίχνευση και απόκριση τερματικού, και οι πολιτικές δικτύου

Η ESET χρησιμοποιεί μια κεντρική προσέγγιση για την εφαρμογή και επαλήθευση της σκληρότητας σε στοιχεία περιβάλλοντος πληροφορικής που αποσκοπούν στην ελαχιστοποίηση της επιφάνειας επίθεσης, η οποία είναι το άθροισμα όλων των δυνητικών σημείων εισόδου που θα μπορούσαν να εκμεταλλευτούν οι επιτιθέμενοι. Για λεπτομέρειες, ανατρέξτε στο ακόλουθο μέρος αυτού του εγγράφου.

Ασφάλεια εφαρμογών

Ασφαλείς πρακτικές ανάπτυξης

Η ESET εφαρμόζει ασφαλείς πρακτικές ανάπτυξης λογισμικού μέσω της Πολιτικής ασφάλειας στον κύκλο ζωής ανάπτυξης λογισμικού (SSDLC), η οποία ενσωματώνει τα στοιχεία ελέγχου ασφάλειας και τη διαχείριση κινδύνων σε όλα τα στάδια ανάπτυξης.

Η πολιτική SSDLC ορίζει απαιτήσεις για:

•Ο κώδικας γράφεται σύμφωνα με τις κατευθυντήριες γραμμές ασφαλούς κωδικοποίησης και αναθεωρείται πριν από τη συγχώνευση

•Εκτελείται μοντελοποίηση απειλών και αναθεωρήσεις σχεδιασμού για νέες δυνατότητες και σημαντικές αλλαγές

•Αυτοματοποιημένοι έλεγχοι ασφάλειας (στατική ανάλυση, σάρωση εξάρτησης και επιλεγμένες δυναμικές δοκιμές) εκτελούνται ως μέρος των αγωγών CI/CD

•Τα στοιχεία τρίτων και τα στοιχεία ανοιχτού κώδικα παρακολουθούνται και διατηρούνται ενημερωμένα, ενώ διατηρείται SBOM για όλα τα προϊόντα που έχουν τεθεί σε κυκλοφορία

•Τα ευρήματα από συμβάντα, δοκιμές διείσδυσης και αναφορές επιβράβευσης σφαλμάτων αναθεωρούνται και επιστρέφονται στη διαδικασία ανάπτυξης

Ο στόχος της πολιτικής SSDLC είναι να διασφαλίσει ότι όλα τα Προϊόντα λογισμικού της ESET είναι ασφαλή, αξιόπιστα και συμμορφώνονται με τα ισχύοντα πρότυπα και τους κανονισμούς.

Διαχείριση τρωτών σημείων προϊόντος

Η ESET διατηρεί μια καθορισμένη διαδικασία για τον εντοπισμό, την αξιολόγηση και την αντιμετώπιση τρωτών σημείων στις εφαρμογές και τα Προϊόντα της καθ’ όλη τη διάρκεια του κύκλου ζωής τους.

Η διαδικασία καλύπτει τόσο εσωτερικά ανακαλυφθέντα προβλήματα όσο και αναφορές από εξωτερικές πηγές.

Ως μέρος της διαχείρισης τρωτών σημείων του προϊόντος, η ESET

•Χρησιμοποιεί εργαλεία αυτοματοποιημένης σάρωσης για σάρωση πηγαίου κώδικα, εξαρτήσεων και δημιουργίας αντικειμένων για γνωστές ευπάθειες

•Αναθεωρεί τα ευρήματα μη αυτόματα για να επιβεβαιώσει την επίπτωση και τη σχετικότητα πριν από την αντιστοίχιση αποκατάστασης

•Παρακολουθεί και δίνει προτεραιότητα στις διορθώσεις βάσει της κρισιμότητας, της δυνατότητας εκμετάλλευσης και της έκθεσης του προϊόντος

•Εκτελεί στοχευμένες δοκιμές ασφάλειας και εκ νέου δοκιμές για να επαληθεύσει την αποκατάσταση

•Ενσωματώνει δεδομένα ευπάθειας στο σχεδιασμό ανάπτυξης και κυκλοφορίας, έτσι ώστε να αντιμετωπίζονται κρίσιμα ζητήματα πριν από την αποστολή

•Αποδέχεται και χειρίζεται εξωτερικές αναφορές μέσω συντονισμένης αποκάλυψης και του δημόσιου προγράμματος επιβράβευσης σφαλμάτων

•Αναθέτει αναγνωριστικά CVE για επιβεβαιωμένες ευπάθειες προϊόντος ως μέρος του ρόλου της ως Αρχής Αριθμολόγησης CVE

•Εφαρμόζει ενημερώσεις κώδικα και επιδιορθώσεις βάσει της κρισιμότητας της ευπάθειας και της επίπτωσης στην επιχείρηση, ακολουθώντας μια δομημένη διεργασία διαλογής

oΗ διαδικασία διαλογής ευθυγραμμίζεται με το πρότυπο ISO/IEC 30111 (Διαχείριση ευπάθειας) και το πρότυπο ISO/IEC 29147 (Διαβίβαση ευπάθειας)

oΗ βαθμολογία CVSS και εξωτερικές πηγές πληροφοριών, όπως ο κατάλογος γνωστών εκμεταλλευόμενων τρωτών σημείων (KEV) του CISA, χρησιμοποιούνται για τον καθορισμό προτεραιοτήτων

oΟι τελικές αποφάσεις επιδιόρθωσης λαμβάνονται από κοινού από τις υπεύθυνες ομάδες προϊόντος και ασφάλειας

Αυτές οι διαδικασίες διασφαλίζουν ότι οι ευπάθειες διαχειρίζονται με συνεπή, διαφανή και ανιχνεύσιμο τρόπο σε όλα τα Προϊόντα της ESET.

Δοκιμές διείσδυσης

Η ESET εκτελεί τακτικές δοκιμές διείσδυσης των Προϊόντων της ως μέρος της διεργασίας γενικής διασφάλισης ασφάλειας προϊόντος – στο πλαίσιο του δικού της Προγράμματος δοκιμών διείσδυσης. Οι δοκιμές διεξάγονται πριν από μεγάλες κυκλοφορίες και σε προγραμματισμένα χρονικά διαστήματα για προϊόντα που διατηρούνται.

Οι δοκιμές διείσδυσης στην ESET επικεντρώνονται στα εξής:

•Έλεγχος της αποτελεσματικότητας των εφαρμοζόμενων ελέγχων ασφάλειας και των μετριασμών

•Προσδιορισμός δυνητικών τρωτών σημείων που ενδέχεται να μην ανιχνεύονται από αυτοματοποιημένα εργαλεία

•Επικύρωση των αποτελεσμάτων προηγούμενων προσπαθειών αποκατάστασης

•Αξιολόγηση της συνολικής επιφάνειας επίθεσης και της έκθεσης σε κίνδυνο των προϊόντων που έχουν κυκλοφορήσει

Οι δοκιμές διεξάγονται σε απομονωμένα περιβάλλοντα από εξειδικευμένους εσωτερικούς ειδικούς ή αξιόπιστους εξωτερικούς συνεργάτες χρησιμοποιώντας αναγνωρισμένες μεθοδολογίες της βιομηχανίας (OWASP WSTG / MTG, NIST SP 800-115, PTES).

Τα ευρήματα τεκμηριώνονται, αξιολογούνται και παρακολουθούνται μέσω της ίδιας διαδικασίας διαχείρισης ευπάθειας που χρησιμοποιείται για θέματα που αναφέρονται εσωτερικά και εξωτερικά.

Τα αποτελέσματα των δοκιμών διείσδυσης τροφοδοτούνται απευθείας στα σχέδια βελτίωσης προϊόντος και στο SSDLC, βοηθώντας να διασφαλιστεί ότι τα μαθήματα που μαθαίνονται καταγράφονται και οι επαναλαμβανόμενες αδυναμίες μειώνονται με την πάροδο του χρόνου.

Επιχειρησιακή ασφάλεια

Πολιτική ασφάλειας πληροφοριών στις λειτουργίες ΤΠΕ

Η Πολιτική για την ασφάλεια πληροφοριών κατά τη λειτουργία των ΤΠΕ εντός της Εταιρείας καθιερώνει βασικούς κανόνες ασφάλειας που σχετίζονται με τη λειτουργία των ΤΠΕ σύμφωνα με το πρότυπο ISO 27001.

Η Πολιτική ασφάλειας πληροφοριών στη λειτουργία των ΤΠΕ καθορίζει τις απαιτήσεις ασφάλειας για τις επιχειρησιακές διαδικασίες πληροφορικής και την τεκμηρίωσή τους, συμπεριλαμβανομένων των επιχειρησιακών διαδικασιών, της διαχείρισης αλλαγών, του διαχωρισμού ρόλων και αρμοδιοτήτων, του διαχωρισμού της παραγωγής, των περιβαλλόντων δοκιμών και ανάπτυξης, των υπηρεσιών πληροφορικής τρίτων

Καταγραφή και έλεγχος

Η καταγραφή και ο έλεγχος σε ένα σύστημα πραγματοποιούνται σύμφωνα με εσωτερικά πρότυπα και κατευθυντήριες γραμμές (Πολιτική για την παρακολούθηση ασφάλειας και τη διαχείριση συμβάντων ασφάλειας).

Τα αρχεία καταγραφής και τα συμβάντα από την υποδομή, το λειτουργικό σύστημα, τη βάση δεδομένων, τους διακομιστές εφαρμογών και τα στοιχεία ελέγχου ασφαλείας συλλέγονται διαρκώς. Η ESET χρησιμοποιεί μια κεντρική πλατφόρμα διαχείρισης καταγραφών (SIEM) για την προστασία σχετικών καταγραφών από μη εξουσιοδοτημένη τροποποίηση ή καταστροφή. Τα αρχεία καταγραφής υποβάλλονται σε περαιτέρω επεξεργασία από τις ομάδες πληροφορικής και εσωτερικής ασφάλειας για τον εντοπισμό λειτουργικών ανωμαλιών και ανωμαλιών ασφάλειας, καθώς και συμβάντων ασφάλειας πληροφοριών. Τα δεδομένα στο SIEM διατηρούνται για χρονικό διάστημα που απαιτείται από τους κανονισμούς και για αναδρομική επιδίωξη απειλών.

Παρακολούθηση ασφάλειας και ανταπόκριση σε συμβάντα

Η παρακολούθηση ασφάλειας και η διαχείριση συμβάντων ασφάλειας ορίζονται στην Πολιτική για την παρακολούθηση ασφάλειας και τη διαχείριση συμβάντων ασφάλειας.

Η πολιτική περιγράφει

•ευθύνες και κανόνες για την ανάπτυξη, σωστή διαμόρφωση, προστασία, αποθήκευση, ανάλυση, αξιολόγηση και διατήρηση των αρχείων καταγραφής ασφάλειας και ελέγχων

•διαδικασία, ρόλοι και ευθύνες για τη διαχείριση συμβάντων ασφάλειας

•πρόληψη συμβάντων ασφάλειας

•ελαχιστοποίηση του αντίκτυπου συμβάντων ασφάλειας

•μάθηση από συμβάντα ασφάλειας

•εκπαίδευση των εργαζομένων σχετικά με τις δραστηριότητες παρακολούθησης, το πεδίο εφαρμογής τους και τον ρόλο των εργαζομένων στην παρακολούθηση και την αντιμετώπιση συμβάντων

Ένα εγκατεστημένο Κέντρο επιχειρήσεων ασφάλειας (SOC), το οποίο λειτουργεί 24 ώρες το 24ωρο και 7 ημέρες την εβδομάδα, έχει τη δυνατότητα να παρακολουθεί διαρκώς την κατάσταση ασφάλειας της υποδομής πληροφορικής και των εφαρμογών και να αποκρίνεται σε συμβάντα ασφάλειας.

Η διαχείριση συμβάντων ασφάλειας πληροφοριών στην ESET βασίζεται στην καθορισμένη Διαδικασία αντιμετώπισης συμβάντων. Οι ρόλοι στο πλαίσιο της απόκρισης σε συμβάντα καθορίζονται και κατανέμονται σε πολλές ομάδες, που συμπεριλαμβάνουν τις ομάδες πληροφορικής, ασφάλειας, νομικών θεμάτων, ανθρώπινων πόρων, δημοσίων σχέσεων και εκτελεστικής διοίκησης. Τα τυπικά συμβάντα αντιμετωπίζονται από την ομάδα SOC. Για πιο σημαντικά συμβάντα ασφάλειας, ενημερώνεται το Κέντρο εντολών. Το Κέντρο εντολών, σε συνεργασία με την ομάδα SOC, συντονίζει την απόκριση σε συμβάντα και εμπλέκει άλλες ομάδες για την αντιμετώπιση του συμβάντος. Η ομάδα SOC, η οποία υποστηρίζεται από υπεύθυνα μέλη της ομάδας εσωτερικής ασφάλειας, είναι επίσης υπεύθυνη για τη συλλογή αποδεικτικών στοιχείων και των διδαγμάτων που προέκυψαν. Η εμφάνιση και η επίλυση συμβάντων κοινοποιούνται στα επηρεαζόμενα μέρη, συμπεριλαμβανομένων πελατών και συνεργατών. Η νομική ομάδα της ESET είναι υπεύθυνη για την ενημέρωση των ρυθμιστικών φορέων, εάν απαιτείται, σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR) και τον Νόμο περί Κυβερνοασφάλειας, ο οποίος μεταφέρει την Οδηγία για την Ασφάλεια δικτύων και πληροφοριών (NIS2).

Διαχείριση ενημερώσεων κώδικα

Η διαχείριση ενημερώσεων κώδικα χρησιμοποιείται ως μία από πολλές δραστηριότητες μετριασμού για την αντιμετώπιση τρωτών σημείων.

Οι ενημερώσεις κώδικα ασφάλειας αξιολογούνται και εφαρμόζονται με βάση την κρισιμότητα και τον κίνδυνο των εντοπισμένων τρωτών σημείων.

Μια καθορισμένη διαλογή και ο ορισμός προτεραιοτήτων προσδιορίζει τη σειρά και τα χρονοδιαγράμματα ανάπτυξης των ενημερώσεων κώδικα. Αυτή η διαδικασία ακολουθεί τις εσωτερικές κατευθυντήριες γραμμές της ESET, ευθυγραμμισμένες με το ISO/IEC 30111. Ο βαθμός CVSS και εξωτερικές πηγές πληροφοριών για απειλές, όπως ο κατάλογος γνωστών εκμεταλλευόμενων τρωτών σημείων (KEV) του CISA, υποστηρίζουν αποφάσεις βάσει κινδύνου και θέτουν προτεραιότητες.

Όλες οι ενημερώσεις κώδικα επαληθεύονται σε ελεγχόμενα περιβάλλοντα πριν από την ανάπτυξη στην παραγωγή για να διασφαλιστεί ότι επιλύουν το στοχευόμενο ζήτημα χωρίς να επηρεάσουν αρνητικά τη σταθερότητα ή τη συμβατότητα του συστήματος.

Η ανάπτυξη ακολουθεί καθιερωμένες διαδικασίες διαχείρισης αλλαγών που διασφαλίζουν την ιχνηλασιμότητα, τη λογοδοσία και την ικανότητα ανάκλησης αποφάσεων όταν απαιτείται.

Οι δραστηριότητες επιδιορθώσεων παρακολουθούνται και αναθεωρούνται συνεχώς για να επιβεβαιωθεί η αποτελεσματικότητα, να εντοπιστούν παρωχημένα συστήματα και να προωθηθούν συνεχείς βελτιώσεις διεργασιών.

Οι Οδηγίες καταγραφής εφαρμογών καθορίζουν τα τεχνικά μέτρα και τις απαιτήσεις που διέπουν την καταγραφή για όλες τις εφαρμογές που αναπτύχθηκαν από την ESET.

Προστασία από κακόβουλο λογισμικό και απειλές

Η προστασία από κακόβουλο λογισμικό (μέσω λογισμικού προστασίας από ιούς και EDR) ορίζεται στην Πολιτική για την Ασφάλεια των πληροφοριών στη λειτουργία των τεχνολογιών πληροφοριών και επικοινωνιών. Οι υπάλληλοι υποχρεούνται να αναφέρουν αμέσως οποιαδήποτε υποψία μόλυνσης κακόβουλου λογισμικού στον SOC, όπως περιγράφεται στην Πολιτική για την ασφάλεια πληροφοριών για τους υπαλλήλους της ESET.

Οι απαιτήσεις για τερματικά σημεία των εργαζομένων περιγράφονται στο Πρότυπο ασφαλείας για σταθμούς εργασίας.

Η ESET χρησιμοποιεί δικά της εργαλεία κατά του κακόβουλου λογισμικού, εμπλουτισμένα με επαληθευμένες λύσεις τρίτων, για την προστασία τερματικών σημείων και φορτίων εργασίας στο cloud.

Η ομάδα SOC εκτελεί δραστηριότητες εντοπισμού απειλών με βάση την Πολιτική για την παρακολούθηση ασφάλειας και τη διαχείριση συμβάντων ασφάλειας. Τα δεδομένα απειλών (τροφοδοσίες) συλλέγονται στο σύστημα SIEM, το οποίο προσλαμβάνει αυτόματα τα δεδομένα για να δημιουργήσει πληροφορίες για απειλές που εφαρμόζονται σε συμβάντα στην παρακολούθηση ασφάλειας.

Τεχνική συμμόρφωση

Η ομάδα εσωτερικής ασφάλειας παρέχει και διατηρεί διάφορα τεχνικά πρότυπα ασφάλειας για την υποδομή, το cloud, τα συστατικά που σχετίζονται με το διαδίκτυο και τις βέλτιστες πρακτικές για τους προγραμματιστές και τους διαχειριστές πληροφορικής. Με βάση τα τεχνικά πρότυπα, η ομάδα Εσωτερικής ασφάλειας προετοιμάζει βασικά αρχεία ρύθμισης παραμέτρων, τα οποία χρησιμοποιούνται από τις ομάδες πληροφορικής για την αυτοματοποίηση της ανάπτυξης και την επιβολή ασφαλών ρυθμίσεων παραμέτρων.

Επιπλέον, οι σαρώσεις συμμόρφωσης εκτελούνται μέσω ενός εργαλείου αξιολόγησης τρωτών σημείων, όπου είναι εφικτό. Η ESET διαθέτει καθιερωμένο Πρόγραμμα δοκιμών διείσδυσης και τα προϊόντα, οι εφαρμογές και οι υπηρεσίες που αναπτύσσει η ESET υπόκεινται σε τακτικές δοκιμές διείσδυσης βάσει του σχεδίου προγράμματος. Όλα τα ευρήματα τεκμηριώνονται και αναφέρονται στους ενδιαφερόμενους φορείς του προϊόντος, ώστε να διασφαλίζεται ο μετριασμός τους το συντομότερο δυνατό.

Φυσική ασφάλεια

Η Πολιτική φυσικής ασφάλειας και τα σχετικά πρότυπα φυσικής ασφάλειας καθορίζουν τους κανόνες για τη φυσική ασφάλεια γύρω από χώρους γραφείων και κέντρα δεδομένων. Η παρούσα πολιτική ορίζει κανόνες και διαδικασίες για:

•προστασία των εγκαταστάσεων της ESET

•Έλεγχος φυσικής πρόσβασης

•ασφάλεια γραφείων, δωματίων και κτιρίων

•εργασία σε ασφαλείς περιοχές

•ασφάλεια εξοπλισμού, καλωδίων και υποδομών

Ασφάλεια κέντρου δεδομένων

Τα στοιχεία της υποδομής πληροφορικής βρίσκονται φυσικά σε πολλά κέντρα δεδομένων. Ως εκ τούτου, επιτυγχάνεται εφεδρεία σε κάθε περιφέρεια.

Το περιθώριο φυσικής ασφάλειας ορίζεται στην Πολιτική φυσικής ασφάλειας και στα σχετικά πρότυπα ασφάλειας για χώρους γραφείων και κέντρα δεδομένων - Πρότυπο φυσικής ασφάλειας για κέντρα δεδομένων. Η ESET καθόρισε κανόνες για τη ρύθμιση ενός περιθωρίου ασφάλειας και των στοιχείων ελέγχου που θα εφαρμόζονται στο περιθώριο φυσικής ασφάλειας. Τα βασικά στοιχεία ελέγχου —συμπεριλαμβανομένης της ζώνης και του διαχωρισμού φυσικής ασφάλειας, της διαχείρισης πρόσβασης και επισκεπτών, της πρόληψης πυρκαγιών και πλημμυρών, καθώς και της CCTV και της ανθρωποκεντρικής παρακολούθησης— ορίζονται σαφώς, εφαρμόζονται και παρακολουθούνται συνεχώς. Η ασφάλεια του DC επανεξετάζεται τακτικά από υπεύθυνο προσωπικό και εξωτερικούς ελεγκτές.

Η ESET βασίζεται στα φυσικά μέτρα ασφάλειας και τα στοιχεία ελέγχου των CSP. Ως εκ τούτου, επανεξετάζει τακτικά τις αντίστοιχες εκθέσεις συμμόρφωσης των CSP.

Έλεγχοι φυσικής πρόσβασης

Τα φυσικά στοιχεία ελέγχου εισόδου ορίζονται στην Πολιτική φυσικής ασφάλειας και στα σχετικά πρότυπα ασφάλειας για χώρους γραφείων και κέντρα δεδομένων. Οι χώροι χωρίζονται σε προστατευόμενες ζώνες με συγκεκριμένα στοιχεία ελέγχου πρόσβασης.

Η διαχείριση του ελέγχου ταυτότητας γίνεται σύμφωνα με τις βέλτιστες πρακτικές ασφάλειας χρησιμοποιώντας κλειδιά, κάρτες ταυτότητας / πρόσβασης και PIN.

Εφαρμόζεται παρακολούθηση φυσικής πρόσβασης και πρόληψη / ανίχνευση μη εξουσιοδοτημένης πρόσβασης. Όλες οι καταχωρήσεις παρακολουθούνται από το CCTV με ένα αρχείο καταγραφής. Η περίμετρος παρακολουθείται επίσης από αισθητήρες κίνησης ή σπασίματος τζαμιών (συμπεριλαμβανομένων των τοιχωμάτων μικρής αντίστασης (π.χ. τζάμι ή γυψοσανίδα), των εξόδων πυρασφάλειας και των παραθύρων).

Επιχειρηματική συνέχεια και ανάκαμψη από καταστροφές

Η ESET διατηρεί, αναθεωρεί τακτικά, αξιολογεί και εφαρμόζει βελτιώσεις στο σύστημα διαχείρισης επιχειρηματικής συνέχειας σύμφωνα με την Πολιτική διαχείρισης επιχειρηματικής συνέχειας σύμφωνα με το πρότυπο ISO 22301.

Η ESET έχει καθιερώσει το Πρόγραμμα BCM, το οποίο δίνει προτεραιότητα σε όλες τις δραστηριότητες εντός της Εταιρείας και υποβάλλεται σε έγκριση CISO σύμφωνα με την Πολιτική BCM. Το Πρόγραμμα BCM ορίζει επιχειρησιακές δραστηριότητες και δραστηριότητες για τον μετριασμό των κινδύνων που σχετίζονται με το BCM, π.χ. μέσω εφεδρειών ή αναπαραγωγής των λειτουργιών και υποδομής πληροφορικής.

Προετοιμάζονται και αναθεωρούνται αναλύσεις επιχειρηματικού αντίκτυπου (BIA) με καθορισμένους στόχους επιχειρηματικής συνέχειας (RTO, RPO, MTD, προτεραιότητες ανάκαμψης). Τα σχέδια ανάκαμψης καταστροφών (DRP) αναθεωρούνται και δοκιμάζονται σύμφωνα με το Πρόγραμμα BCM. Η στρατηγική επιχειρηματικής συνέχειας καθορίζει την προσέγγιση διατήρησης κρίσιμων επιχειρηματικών πόρων. Όλες οι έξοδοι από τις τακτικές δραστηριότητες επιχειρηματικής συνέχειας χρησιμεύουν ως είσοδος για συνεχείς βελτιώσεις.

Διαχείριση κινδύνων τρίτων

Η παρακολούθηση και ο έλεγχος των υπηρεσιών των προμηθευτών διέπονται από την Πολιτική για την Ασφάλεια των πληροφοριών στις σχέσεις με τους προμηθευτές. Οι αναθεωρήσεις διενεργούνται σε τριμηνιαία βάση και τα αποτελέσματα αποθηκεύονται στην Αξιολόγηση προμηθευτή.