Conozca sus derechos y nuestras responsabilidades en un solo lugar
Política de seguridad
Introducción
Objeto del Documento
El propósito de este documento es resumir los controles técnicos, organizativos y físicos y las prácticas de seguridad aplicadas en la infraestructura de ESET, que incluye la cartera de productos, aplicaciones, soluciones y servicios de ESET (en lo sucesivo, el "Producto"). Las medidas de seguridad, los controles y las políticas están diseñados para proteger
•Operación del portfolio de ESET y procesamiento de datos en entornos locales o en la nube
•confidencialidad, integridad y disponibilidad de los datos del cliente
•información del cliente derivada de la destrucción, pérdida, alteración, divulgación no autorizada o acceso ilícito
ESET puede actualizar este documento y las medidas, los controles y las políticas específicos que los regulan para responder a las amenazas en evolución y adaptarse a las tecnologías de seguridad y los estándares de la industria en desarrollo.
Audiencia
Este documento debe ser leído por cualquier persona que requiera una garantía en el ámbito de la seguridad de la cartera de ESET o por el Cliente que tenga la intención de usar las soluciones o servicios de ESET mediante la integración con su entorno.
Contexto, concepto y ámbito de aplicación
La empresa de ESET, spol s r.o. es ISO 27001:2022 certificada con un sistema de administración integrado.
Por lo tanto, el concepto de gestión de la seguridad de la información usa el marco de la norma ISO 27001 con el fin de implementar una estrategia de seguridad de defensa escalonada al momento de aplicar los controles de seguridad en cada capa de la arquitectura del sistema de información, por ejemplo, la red, los sistemas operativos, las bases de datos, las aplicaciones, el personal y los procesos operativos. Las prácticas y controles de seguridad aplicados tienen por objetivo superponerse y complementarse entre sí.
El alcance de este documento es resumir las medidas técnicas y organizativas implementadas para la cartera de ESET; la organización, el personal y los procesos operativos.
Las prácticas y controles de seguridad incluyen medidas de gobernanza y técnicas, incluidas, entre otras, las siguientes:
•Políticas de seguridad de la información
•Organización de la seguridad de la información
•Seguridad de los recursos humanos
•Control de acceso
•Criptografía
•Seguridad física y ambiental
•Protección de datos, seguridad de red, seguridad de las aplicaciones
•Seguridad operativa
•Seguridad de las comunicaciones
•Adquisición, desarrollo y mantenimiento del sistema
•Relación con el proveedor
•Administración de incidentes de seguridad de la información
•Aspectos de seguridad de la información de la administración de la continuidad empresarial
•Cumplimiento
Abreviaturas
Vigencia del término abreviado |
Vigencia completa |
|---|---|
Compañía |
ESET, spol. s r.o. |
CSP |
Proveedor de servicios en la nube |
Dr. |
Recuperación de desastres |
ESET |
ESET, spol. s r.o. |
GDPR |
Reglamento general de protección de datos |
TIC |
Tecnologías de la información y la comunicación |
IR |
Respuesta a incidentes |
está |
Seguridad de la información |
ISMS |
Sistema de administración de seguridad de la información |
TI |
Tecnología de la información |
NIS |
Ley de ciberseguridad por la que se transpone la Directiva sobre seguridad de la red y la información |
PKI |
Infraestructura de clave pública |
Producto |
Portfolio de ESET: es decir, productos, aplicaciones, plataformas en la nube, soluciones y servicios de ESET, además. |
SIEM |
Información de seguridad y administración de eventos |
SSDLC |
Ciclo de vida de desarrollo de software seguro |
QMS |
Sistema de gestión de calidad |
Nota: Escrito italiano. Se usa para los nombres de los documentos internos de la compañía a los que se hace referencia, que no están disponibles para el público, p. ej., Política sobre regulación interna
Gobernanza de la seguridad
Programa de administración de seguridad de la información
La compañía ESET estableció y mantiene un marco de programa de administración de seguridad de la Información como función interorganizacional que guía la protección de los activos de la información. La documentación de seguridad de la información se guía por políticas, procesos y documentación de seguridad a través de la Política de Reglamentos Internos. ESET adoptó la Política del sistema de administración integrado que sirve como nivel superior
•Política de ISMS.
•Política de QMS y
•Política de seguridad de la información.
ESET adhiere a su Política sobre el Sistema de administración integrado, que define el marco para la gestión de calidad y seguridad de la información. Esta política es propiedad del Director de Seguridad de la Información (CISO) de ESET y representa el compromiso de la administración a nivel superior con respecto a la seguridad y la calidad. Define las responsabilidades de la administración y la garantía de estos dominios y describe el compromiso de ESET de evaluar y mejorar continuamente la eficacia de su sistema de administración de conformidad con las normas ISO 9001 y ISO 27001.
Las políticas corporativas se documentan, mantienen y revisan de forma anual, además de actualizarse tras cambios importantes para garantizar la idoneidad, la adecuación y la eficacia continuas. Las actualizaciones se comunican al personal interno, donde las políticas están disponibles para todos los empleados. Las políticas se adoptan formalmente, firman por el director general, se publican y se comunican a todos los empleados y partes relevantes. Las políticas son reconocidas formalmente por los empleados de ESET al embarcarse.
Además de las políticas, los equipos de Seguridad y Seguridad Técnica de la Información de ESET han diseñado procesos, procedimientos, estándares y líneas de referencia de configuración en función de las mejores prácticas de seguridad de la industria y los proveedores (p. ej., parámetros de referencia de la CEI, OWASP, NIST). Estos se proporcionan a los equipos de TI y Tecnología para garantizar el desarrollo, la configuración y el funcionamiento seguros de los sistemas y productos de información de ESET.
ESET mantiene una documentación de gobernanza interconectada, que está diseñada y está disponible para todo el personal de acuerdo con las certificaciones de ESET para ISO 9001 y ISO 27001. Los procedimientos operativos se adaptan a las necesidades específicas de cada equipo, se administran dentro de los espacios de trabajo designados y se actualizan según sea necesario.
Se realizan supervisión del cumplimiento de las políticas y procedimientos disciplinarios para abordar y corregir cualquier incumplimiento de las políticas de seguridad, reforzando el compromiso de ESET con la responsabilidad y la mejora continua.
Para garantizar el cumplimiento y la eficacia continuos, ESET ha implementado un marco de gestión de riesgos, manteniendo los controles técnicos y organizativos. El proceso de gestión de riesgos de ESET implica una evaluación y gestión integrados de riesgos dentro de su Sistema de administración integrado (basado en la ISO 9001 y la ISO 27001). Esto incluye evaluar los activos, identificar los requisitos de seguridad, calcular los riesgos y seleccionar las estrategias de mitigación adecuadas. El Chief Information Security Officer (CISO) supervisa el proceso general de gestión de riesgos, garantizando el informe regular de los riesgos de seguridad y las métricas relacionadas a la dirección ejecutiva. Además, la gestión de riesgos de terceros se aplica estrictamente a través de evaluaciones del proveedor, siguiendo el estándar de seguridad del contrato de ESET.
Cumplimiento de las normas de la industria
La validación y la acreditación externas son importantes para las organizaciones que confían en las capacidades y la tecnología de ESET para asegurar sus datos y cumplir con los requisitos reglamentarios. Para obtener más detalles, consulte la página de certificaciones de ESET.
supervisión del cumplimiento
La Política del Sistema de administración integrada establece el sistema de administración integrado, incluidas revisiones y auditorías periódicas.
Las auditorías internas revisan periódicamente el cumplimiento de las políticas y los procesos de ESET según se describe en la Política de auditoría interna. La Política sobre Reglamentos internos estipula la responsabilidad de la supervisión periódica de la aplicación de los reglamentos internos y los ajustes pertinentes, si corresponde.
Las revisiones y las auditorías internas y externas se realizan de forma periódica de conformidad con un plan de auditoría a largo plazo anual y trienal. Las auditorías internas son realizadas por auditores independientes que revisan periódicamente el cumplimiento de las políticas y los procesos de ESET o las normas aplicables (por ejemplo, ISO 9001, ISO 27001 y SOC2), según el alcance de la auditoría. Las auditorías internas se planifican y se realizan como mínimo una vez al año. Los hallazgos de la auditoría se recopilan y registran en un sistema de billetes dedicado, con los respectivos propietarios asignados, que son responsables de abordar y resolver los incumplimientos dentro de un plazo predefinido. Los hallazgos de auditoría que requieren supervisión de la administración y las decisiones se revisan en reuniones periódicas de revisión de la administración.
Organización de la seguridad de la información
Las responsabilidades de seguridad de la información se asignan de acuerdo con las políticas de seguridad de la información implementadas. Los procesos internos se identifican y evalúan para determinar si existe cualquier riesgo de modificación no autorizada o no intencional o un mal uso del recurso de información de ESET. Las actividades riesgosas o delicadas de los procesos internos adoptan el principio de prácticas recomendadas de seguridad para mitigar el riesgo.
La seguridad de la información se explica en la administración de proyectos con el marco de administración de proyectos aplicado, desde el proceso de concepción hasta la finalización del proyecto.
El trabajo remoto y el transporte se cubren mediante el uso de una política implementada en dispositivos móviles que incluye el uso de una potente protección de datos criptográficos cuando se desplaza a través de redes no confiables. Los controles de seguridad de los dispositivos móviles están diseñados para funcionar de forma independiente de las redes internas de ESET y los sistemas internos.
Seguridad de los recursos humanos
ESET usa prácticas estándar de recursos humanos, incluidas políticas diseñadas para proteger la seguridad de la información. Estas prácticas abarcan todo el ciclo de vida del empleado y se aplican a todos los empleados.
La compañía de ESET requiere que el personal de ESET realice verificaciones y pruebas de antecedentes durante el embarque; la firma del acuerdo de no divulgación o confidencialidad como parte del contrato de trabajo que les obliga a seguir las políticas y los estándares de seguridad internos, a proteger la información confidencial de ESET y los datos de los clientes; y a completar la formación de conciencia de la seguridad de la información durante el embarque como parte del programa de cumplimiento y concienciación de ESET.
Medidas técnicas
Administración de identidad y acceso
La Política de administración de acceso de ESET rige todo acceso a la infraestructura de ESET. Procesos de control de acceso en el ámbito de la concesión, revocación, cambio de acceso, así como la revisión de los derechos de acceso otorgados aplicados a todos los niveles de infraestructura, tecnología, aplicación u herramientas. La administración del acceso completo a los usuarios a nivel de la aplicación es autónoma. El acceso único a la identidad se rige por un proveedor central de identidad, que garantiza que el usuario solo pueda acceder al entorno o a la aplicación autorizada.
Los procesos y medidas técnicas de administración y administración de usuarios y accesos, de deprovisionamiento de acceso de usuarios, de provisión de acceso de usuarios, de revisión, de eliminación y de ajuste de derechos de acceso se utilizan para gestionar el acceso de los empleados de ESET a la infraestructura y las redes de ESET de conformidad con las normas de seguridad, que incluyen, entre otros:
•Provisionamiento del acceso en función del mínimo privilegio "necesidad de saber"
•Revisión periódica del acceso del usuario
•Rescisión del acceso del usuario de conformidad con la política de seguridad
•Asignación de la cuenta única a todos
•Registro de intentos de acceso de usuarios, revisión y monitorización
•Registro y revisión de acceso físico
•Implementación de la autenticación multi-factor para el acceso altamente privilegiado y administrativo
•Ejecución del tiempo límite de las sesiones interactivas después de un período de inactividad especificado
Protección de datos
Cifrado de datos
ESET protege los datos de su infraestructura; se usa una fuerte criptografía para cifrar datos en reposo (incluidos los dispositivos portátiles) y en tránsito. La implementación de la criptografía sigue las reglas definidas por el estándar de criptografía interno . Los datos de los clientes se conservan de conformidad con las regulaciones pertinentes, p. ej. el RGPD, la directiva NIS2 o las normas de la industria y las finanzas.
Medidas vigentes:
•Por lo general, la autoridad de certificación de confianza se usa para emitir certificados para servicios web públicos
•ESET Internal PKI se usa para administrar claves dentro de la infraestructura de ESET
•Se habilita el cifrado nativo de la plataforma de CSP para garantizar la protección de datos en reposo para las partes relevantes del procesamiento de datos o la persistencia de datos en el entorno de la nube (almacenamiento de datos, copias de seguridad)
•Se dispone de una fuerte criptografía (p. ej. TLS) para cifrar los datos en tránsito.
Backup y recuperación de datos
Las copias de seguridad se rigen por la Política de seguridad de la información en el funcionamiento de las tecnologías de la información y la comunicación.
Todos los datos de configuración y instalación de la cartera de ESET se almacenan en repositorios protegidos de ESET y se realizan copias de seguridad periódicas para permitir la recuperación automatizada de una configuración de entorno. El proceso de prueba regular de recuperación de desastres se usa para verificar la capacidad de restauración de la copia de seguridad de la configuración dentro de los tiempos esperados por las empresas.
Se realiza una copia de seguridad de los datos del Cliente de ESET con regularidad de acuerdo con los estándares y las reglamentaciones de la industria, el funcionamiento de alta disponibilidad y los requisitos contractuales de recuperación. Las copias de seguridad están protegidas contra la manipulación y su validez se prueba periódicamente mediante procesos de ejercitación de recuperación de desastres.
Seguridad de la red
La segmentación de red se aplica en todo el entorno de red de ESET. Las redes se segregan según criterios definidos y se aplican mediante el uso de VLAN en paredes de seguridad.
ESET usa una variedad de sistemas de protección de fronteras, incluidos firewalls L7, sistemas de detección de intrusiones y sistemas de prevención de intrusiones. Estos sistemas se configuran y se mantienen para proteger los puntos de acceso externos, garantizando que se detecten y eviten cualquier intento no autorizado de acceso a la red.
El acceso remoto a los activos internos se proporciona a través de un VPN de usuario o sitio a sitio con roles y responsabilidades, requisitos de seguridad y controles estipulados en las políticas internas de ESET y configurados de conformidad con los estándares de la industria de la seguridad. Las cuentas de usuarios de VPN se mantienen dentro de Active Directory y forman parte del proceso de provisión de la cuenta del empleado.
ESET implementa y mantiene controles de seguridad de red para proteger los datos que se procesan, reciben o almacenan en el entorno de la nube. Las cuentas de CSP y la infraestructura subyacente utilizan listas de control de acceso de red y grupos de seguridad dentro de la Red Virtual de los CSP para limitar el acceso a todos los recursos proporcionados. El acceso a los recursos de la nube solo se realiza a través de canales cifrados.
Fortalecimiento
ESET usa el proceso de seguridad de los sistemas para reducir la posible vulnerabilidad a los ataques. Esto implica las siguientes técnicas y mejores prácticas:
•tener una imagen de oro firmada que se usa para instalar o instalar un host o contenedor
•apagando los servicios innecesarios
•adhesiones automáticas planificadas y parches ad hoc de componentes críticos en caso de alto riesgo
•actualiza el sistema operativo antes de llegar al fin de su ciclo de vida
•Configurar la configuración de seguridad
•automatización de la administración de infraestructura y aplicaciones de manera repetible y consistente
•Eliminar el software innecesario
•Restricción del acceso a recursos locales
•Controles basados en el host, como antivirus, detección y respuesta en puntos de conexión y políticas de red
ESET usa un enfoque centralizado para aplicar y verificar el endurecimiento de componentes de entornos de TI con el objetivo de minimizar la superficie de ataque, que es la suma de todos los posibles puntos de entrada que los atacantes podrían explotar. Para obtener más detalles, consulte la siguiente parte de este documento.
Seguridad de aplicaciones
Prácticas de desarrollo seguras
ESET implementa prácticas de desarrollo de software seguras a través de su Política de seguridad en el ciclo de vida del desarrollo del software (SSDLC), que integra controles de seguridad y gestión de riesgos en todas las etapas del desarrollo.
La política de SSDLC define los requisitos para:
•El código se escribe siguiendo las directrices de codificación segura y se revisa antes de fusionarse.
•Se realiza la modelización de amenazas y las revisiones de diseño para encontrar nuevas funciones y cambios importantes.
•Comprobaciones automatizadas de seguridad (análisis estático, detección de dependencias y pruebas dinámicas seleccionadas) que se ejecutan como parte de las tuberías de CI/CD
•Los componentes de terceros y de código abierto se rastrean y se mantienen actualizados; se mantiene un SBOM para todos los productos lanzados.
•Los hallazgos de los incidentes, las pruebas de penetración y los informes de recompensa de errores se revisan y se introducen en el proceso de desarrollo.
El objetivo de la política de SSDLC es garantizar que todos los Productos de software de ESET sean seguros, fiables y cumplan con los estándares y reglamentos aplicables.
Administración de vulnerabilidades de productos
ESET mantiene un proceso definido para identificar, evaluar y abordar las vulnerabilidades de sus aplicaciones y productos a lo largo de su ciclo de vida.
El proceso abarca tanto problemas descubiertos internamente como informes de fuentes externas.
Como parte de la gestión de vulnerabilidades del Producto, ESET:
•Usa herramientas de escaneo automatizado para escanear el código fuente, las dependencias y construir artefactos para detectar vulnerabilidades conocidas
•Revisa los hallazgos de forma manual para confirmar el impacto y la relevancia antes de asignar una reparación
•Detecta y prioriza las correcciones en función de la gravedad, la explotación y la exposición del producto.
•Realiza pruebas y repeticiones de seguridad específicas para verificar la reparación.
•Integra datos de vulnerabilidad en la planificación del desarrollo y el lanzamiento, de modo que los problemas críticos se resuelvan antes del envío
•Acepta y trata informes externos mediante divulgación coordinada y un programa de recompensa de fallos público
•Asigna identificadores de CVE para vulnerabilidades de productos confirmadas como parte de su papel como Autoridad de numeración de CVE (CNA)
•Aplica parches y correcciones en función de la gravedad de la vulnerabilidad y el impacto comercial, siguiendo un proceso de triado estructurado
oEl proceso de clasificación se alinea con ISO/IEC 30111 (manipulación de vulnerabilidades) y ISO/IEC 29147 (divulgación de vulnerabilidades)
oLa puntuación de CVSS y las fuentes externas de inteligencia, como el catálogo de Vulnerabilidades conocidas explotadas (KEV) del CISA, se utilizan para orientar la priorización.
oLos equipos responsables del Producto y de la seguridad toman decisiones sobre la reparación final de forma colaborativa.
Estos procesos garantizan que las vulnerabilidades se administren de forma coherente, transparente y rastreable en todos los Productos de ESET.
prueba de penetración
ESET realiza pruebas de penetración periódicas de sus Productos como parte del proceso general de garantía de seguridad del producto, dentro de nuestro propio Programa de prueba de penetración. La prueba se realiza antes de los lanzamientos principales y a intervalos previstos para los Productos mantenidos.
Las pruebas de penetración en ESET se centran en:
•Verificar que los controles y mitigaciones de seguridad implementados sean efectivos.
•Identificar posibles vulnerabilidades que las herramientas automatizadas pueden no detectar
•Validar los resultados de los esfuerzos de remediación anteriores
•Evaluación de la superficie total de ataque y la exposición al riesgo de los Productos liberados
Las pruebas se realizan en entornos aislados por especialistas internos calificados o socios externos de confianza que usan metodologías reconocidas de la industria (OWASP WSTG/MTG, NIST SP 800-115, PTES).
Los hallazgos se documentan, clasifican y rastrean a través del mismo proceso de administración de vulnerabilidades que se usa para los problemas informados internamente y externamente.
Los resultados de las pruebas de penetración se alimentan directamente en los planes de mejora del Producto y en el SSDLC, lo que ayuda a garantizar que las lecciones aprendidas se capturen y las debilidades recurrentes se reducen con el tiempo.
Seguridad operativa
Política de seguridad de la información en las operaciones de las TIC
La Política de seguridad de la información en el funcionamiento de las TIC dentro de la Compañía establece reglas fundamentales de seguridad relacionadas con el funcionamiento de las TIC de acuerdo con la norma ISO 27001.
La Política de seguridad de la información en el funcionamiento de las TIC define los requisitos de seguridad de los procesos operativos de TI y su documentación, incluidos los procedimientos operativos, la gestión de cambios, la separación de roles y responsabilidades, la separación de la producción, los entornos de prueba y desarrollo, los servicios de TI de terceros, la planificación de rendimiento, los proyectos de TI, las protecciones de malware, la copia de seguridad, la seguridad de la red, la seguridad de los medios, los requisitos de comercio electrónico y la supervisión.
Registros y auditoría
El registro y la auditoría en un sistema se realizan de acuerdo con los estándares y las directrices internas (Política sobre supervisión y gestión de incidentes de seguridad).
Los registros y eventos de la infraestructura, el sistema operativo, la base de datos, los servidores de aplicaciones y los controles de seguridad se recopilan continuamente. ESET usa una plataforma de administración de registros central (SIEM) para proteger los registros relevantes de modificaciones o destrucción no autorizadas. El equipo de TI y seguridad interna procesan aún más los registros para identificar anomalías operativas y de seguridad e incidentes de seguridad de la información. Los datos en SIEM se conservan durante el tiempo requerido por las reglamentaciones y para la detección retrospectiva de amenazas.
Monitorización de seguridad y respuesta a incidentes
La supervisión y la gestión de incidentes de seguridad se definen en la Política sobre supervisión y administración de incidentes de seguridad.
La política describe
•Responsabilidades y reglas para el desarrollo, la configuración correcta, la protección, el almacenamiento, el análisis, la evaluación y la retención de registros y auditorías de seguridad
•proceso, roles y responsabilidades para la administración de incidentes de seguridad
•Prevenir incidentes de seguridad
•minimizar el impacto de los incidentes de seguridad
•Aprender de los incidentes de seguridad
•educar a los empleados sobre las actividades de supervisión, su alcance y el papel de los empleados en la supervisión y la respuesta a incidentes
Un Centro de operaciones de seguridad establecido (SOC), que funciona 24 horas al día, 7 días a la semana, está autorizado a supervisar continuamente el estado de seguridad de la infraestructura y las aplicaciones de TI y a responder a los incidentes de seguridad.
La gestión de incidentes de seguridad de la información en ESET se basa en el Procedimiento de respuesta a incidentes definido. Las funciones dentro de la respuesta a incidentes se definen y asignan a través de varios ámbitos, como el de TI, seguridad, derecho, recursos personales, relaciones públicas y administración ejecutiva. Los incidentes estándar son gestionados por el equipo de SOC. En caso de incidentes de seguridad más importantes, se informa al centro de comandos. El Centro de comandos, en cooperación con el equipo de SOC, coordina la respuesta a incidentes y involucra a otros equipos para manejar el incidente. El equipo SOC, con el respaldo de miembros responsables del equipo de seguridad interno, también es responsable de la recopilación de los conocimientos y las lecciones aprendidas. La ocurrencia y la resolución de los incidentes se comunican a las partes afectadas, incluidos los clientes y los socios. El equipo jurídico de ESET es el responsable de notificar a los organismos normativos, cuando corresponda, conforme al Reglamento General de Protección de Datos (RGPD) y la Ley de Ciberseguridad que transpone la Directiva sobre Seguridad de las Redes y de la Información (NIS2).
Administración de parches
La Gestión de parches se usa como una de varias actividades de mitigación para corregir las vulnerabilidades.
Los parches de seguridad se evalúan y se aplican en función de la gravedad y el riesgo de las vulnerabilidades identificadas.
Un proceso de clasificación y priorización definido determina el orden y los horarios de instalación de los parches. Este proceso sigue las directrices internas de ESET alineadas con ISO/IEC 30111. CVSS Scoring y fuentes externas de inteligencia de amenazas, como el catálogo de Vulnerabilidades explotables conocidas (KEV) del CISA, soportan las decisiones basadas en riesgos y la priorización.
Todos los parches se verifican en entornos controlados antes de instalarse en la producción para garantizar que resuelvan el problema objetivo sin tener un impacto negativo en la estabilidad o la compatibilidad del sistema.
La instalación sigue los procedimientos establecidos de administración de cambios que garantizan la trazabilidad, la responsabilidad y la capacidad de retroalimentación cuando sea necesario.
Las actividades de parches se monitorean y revisan continuamente para confirmar su eficacia, identificar sistemas desactualizados y impulsar las mejoras continuas de los procesos.
La Guía de registro de aplicaciones especifica las medidas técnicas y los requisitos que regulan el registro de aplicaciones para todas las aplicaciones desarrolladas por ESET.
Protección contra malware y amenazas
La protección contra malware (por software antivirus y EDR) está estipulada en la Política sobre seguridad de la información en el funcionamiento de las tecnologías de la información y la comunicación. Los empleados deben informar de inmediato toda sospecha de infección por malware a SOC, según se describe en la Política de seguridad de la información para los empleados de ESET.
Los requisitos para los puntos de conexión de los empleados se describen en el estándar de seguridad para estaciones de trabajo.
ESET usa sus propias herramientas anti-malware, enriquecidas con soluciones verificadas de terceros, para proteger los puntos de conexión y las cargas de trabajo en la nube.
El equipo de SOC realiza actividades de detección de amenazas en función de la Política de supervisión y gestión de incidentes de seguridad. Los datos de amenazas (feeds) se recopilan en el sistema de SIEM, que se ingiere automáticamente para producir inteligencia de amenazas aplicada a eventos en la supervisión de la seguridad.
Cumplimiento técnico
El equipo de Seguridad Interna proporciona y mantiene diversos estándares técnicos de seguridad para la infraestructura, la nube, los componentes relacionados con el web y las mejores prácticas para que los desarrolladores y los administradores de TI sigan. En función de los estándares técnicos, el equipo de Seguridad Interna prepara archivos de base de configuración que utilizan los equipos de TI para automatizar la instalación y la ejecución de configuraciones seguras.
Además, las verificaciones de cumplimiento se realizan a través de una herramienta de evaluación de vulnerabilidades cuando sea posible. ESET tiene un programa de pruebas de penetración establecido y los productos, las aplicaciones y los servicios desarrollados por ESET están sujetos a pruebas de penetración regulares en función del plan del programa. Todos los hallazgos se documentan y se informan a las partes interesadas del Producto para garantizar que se mitigen lo antes posible.
Seguridad física
La Política de seguridad física y los estándares de seguridad física relacionados definen las reglas de seguridad física alrededor de las instalaciones de oficinas y los centros de datos. Esta política estipula reglas y procedimientos para:
•protección de las instalaciones de ESET
•control de acceso físico
•Seguridad de oficinas, habitaciones y edificios
•trabajo en áreas seguras
•Seguridad de los equipos, los cables e infraestructura
Seguridad del centro de datos
Los componentes de la infraestructura de TI se encuentran físicamente dentro de múltiples centros de datos; por lo tanto, se realiza la redundancia en cada región.
El perímetro de seguridad física se define en la Política de seguridad física y los estándares de seguridad relacionados para las instalaciones de oficinas y los centros de datos. ESET define las reglas para establecer un perímetro de seguridad y los controles que se aplicarán en el perímetro de seguridad física. Los controles clave, incluido la zona y la segregación de la seguridad física, la administración de acceso y de visitantes, la prevención de incendios e inundaciones, así como la CCTV y la supervisión tripulada, se definen claramente, se implementan y se monitorean continuamente. El personal responsable y los auditores externos revisan periódicamente la seguridad de DC.
ESET confía en las medidas y controles físicos de seguridad de los proveedores de servicios gestionados; por lo tanto, revisa periódicamente los informes de cumplimiento de los proveedores de servicios gestionados correspondientes.
Controles de acceso físico
Los controles de entrada físicos se establecen en la Política de seguridad física y en los estándares de seguridad relacionados para las instalaciones de oficinas y los centros de datos. Las instalaciones se dividen en zonas protegidas con controles de acceso específicos.
La autenticación se administra de acuerdo con las mejores prácticas de seguridad mediante la utilización de claves, tarjetas de identificación/acceso y PIN.
Se implementa la supervisión del acceso físico y la prevención/detección de acceso no autorizado. Todas las entradas son supervisadas por CCTV con un registro registrado. El perímetro también se monitorea con sensores de movimiento o de rompimiento del vidrio (incluidas paredes de resistencia débil (es decir, paredes de vidrio o secas), salidas de fuego y ventanas).
Continuidad empresarial y recuperación de desastres
ESET mantiene, revisa periódicamente, evalúa e implementa mejoras a su sistema de administración de continuidad empresarial de acuerdo con la Política de administración de continuidad empresarial de acuerdo con la ISO 22301.
ESET ha establecido el Programa de BCM, que prioriza todas las actividades dentro de la Compañía y se somete a la aprobación de CISO de acuerdo con la Política de BCM. El Programa de BCM define las actividades operativas y las actividades destinadas a mitigar los riesgos relacionados con BCM, p. ej., mediante despidos o replicación de funciones e infraestructura de TI.
Se preparan y revisan Análisis de impacto empresarial (BIA) con objetivos de continuidad empresarial definidos (RTO, RPO, MTD, prioridades de recuperación). Los planes de recuperación de desastres (DRP) se revisan y prueban de acuerdo con el Programa de BCM. La estrategia de continuidad empresarial determina el enfoque para mantener los activos críticos del negocio. Todas las salidas de las actividades regulares de continuidad empresarial sirven como entrada para las mejoras continuas.
Administración de riesgos de terceros
La supervisión y la revisión de los servicios del proveedor se rigen por la Política sobre seguridad de la información en las relaciones con los proveedores. Las revisiones se realizan de forma trimestral y los resultados se almacenan en la evaluación del proveedor.
Documentación, ciclo de vida, actualizaciones e integraciones
- Ver sitio del escritorio
- Ayuda en línea de ESET
- Fin de vida útil
- Versiones más recientes
- Registro de cambios
- API e integraciones
- Actualizaciones del motor de detección