Comprender sus derechos y nuestras responsabilidades en un solo lugar
Política de seguridad
Introducción
Finalidad del Documento
El objetivo de este documento es resumir los controles técnicos, organizativos y físicos y las prácticas de seguridad aplicados en la infraestructura de ESET, que incluye el portfolio de ESET, es decir, los productos, las aplicaciones, las soluciones y los servicios de ESET (en lo sucesivo, los Productos). Las medidas, los controles y las políticas de seguridad están diseñados para proteger
•Operaciones de portfolio de ESET y procesamiento de datos en entornos on-premises o en la nube
•confidencialidad, integridad y disponibilidad de los datos del cliente
•información sobre el cliente de destrucción, pérdida, alteración, divulgación o acceso no autorizados
ESET puede actualizar este documento y las medidas, controles y políticas específicos que los regulan para responder a amenazas en evolución y adaptarse a las tecnologías de seguridad y los estándares de la industria en desarrollo.
Audiencia
Este documento debe leerse por cualquiera que requiera garantía en el área de Seguridad de la cartera de ESET o el Cliente que tenga la intención de utilizar las soluciones o servicios de ESET mediante integración en su entorno.
Contexto, concepto y ámbito de aplicación
ESET, spol s r.o. empresa es ISO 27001:2022 certificada con un sistema de administración integrado.
Por lo tanto, el concepto de gestión de seguridad de la información utiliza el marco de ISO 27001 para implementar una estrategia de seguridad por capas al aplicar controles de seguridad en todas las capas de la pila de arquitectura del sistema de información (por ejemplo, red, sistemas operativos, bases de datos, aplicaciones, personal y procesos operativos). El objetivo de los controles y las prácticas de seguridad aplicables es superponerse y complementarse entre sí.
El alcance de este documento es resumir las medidas técnicas y organizativas implementadas para el portfolio de ESET; organización, personal y procesos operativos.
Los controles y prácticas de seguridad incluyen medidas de gobernanza y técnicas, entre las que se incluyen, entre otras cosas:
•Políticas de seguridad de la información
•Organización de la seguridad de la información
•Seguridad de recursos humanos
•Control de acceso
•Cifrado
•Seguridad física y ambiental
•Protección de datos, seguridad de red, seguridad de la aplicación
•Seguridad de las operaciones
•Seguridad de la comunicación
•Adquisición, desarrollo y mantenimiento de sistemas
•Relación con proveedores
•Gestión de incidentes de seguridad de la información
•Aspectos de seguridad de la información de la gestión de la continuidad de la actividad
•Cumplimiento
Abreviaturas
Plazo abreviado |
Plazo completo |
|---|---|
Empresa |
ESET, spol. s r.o. |
CSP |
Proveedor de servicios de nube |
DR |
Recuperación de desastres |
ESET |
ESET, spol. s r.o. |
RGPD |
Reglamento general de protección de datos |
TIC |
Tecnologías de la información y la comunicación |
IR |
Respuesta a incidentes |
SI |
Seguridad de la información |
ISMS |
Sistema de administración de seguridad de la información |
TI |
Tecnología de la información |
NIS |
Ley de ciberseguridad que transpone la Directiva de seguridad de las redes y la información |
PKI |
Infraestructura de clave pública |
Producto |
Portfolio de ESET: es decir, productos, aplicaciones, plataformas de nube, soluciones y servicios de ESET, además de ellos. |
SIEM |
Información de seguridad y administración de eventos |
SSDLC |
Ciclo de vida del desarrollo de software seguro |
QMS |
Sistema de gestión de calidad |
Nota: Escrito italiano: se utiliza para nombres de documentos internos de la Compañía referidos, no disponibles para el público, por ejemplo, Política de regulación interna
Gobernanza de la seguridad
Programa de administración de seguridad de la información
La empresa ESET ha establecido y mantiene un marco del programa de administración de seguridad de la Información como función interorganizacional que guía la protección de los activos de la información. La documentación de seguridad de la información se guía por políticas, procesos y documentación de seguridad a través de la Política de reglamentos internos. ESET adoptó la Política de sistema de administración integrado que sirve como un nivel superior.
•Política de ISMS
•política de QMS y
•Política de seguridad de la información
ESET se adhiere a su Política de Sistema de administración integrado, definiendo el marco para la gestión de calidad y seguridad de la información. Esta política es propiedad del Director de seguridad de la información (CISO) de ESET y representa el compromiso de la administración de alto nivel con la seguridad y la calidad. Define las responsabilidades de la administración y la garantía de estos dominios y describe el compromiso de ESET de evaluar y mejorar continuamente la eficacia de su sistema de administración de acuerdo con las normas de ISO 9001 y ISO 27001.
Las políticas corporativas se documentan, mantienen y revisan anualmente, y se actualizan tras cambios importantes para garantizar su conveniencia, adecuación y eficacia continuas. Las actualizaciones se comunican al personal interno, donde las políticas están disponibles para todos los empleados. Las políticas son adoptadas formalmente, firmadas por el CEO, publicadas y comunicadas a todos los empleados y las partes relevantes. Los empleados de ESET reconocen formalmente las políticas al embarcarse.
Además de las políticas, los equipos de Seguridad de la Información y Seguridad técnica de ESET han diseñado procesos, procedimientos, estándares y líneas de referencia de configuración en función de las mejores prácticas de seguridad de la industria y los proveedores (por ejemplo, índices de referencia de CIS, OWASP, NIST). Estas se proporcionan a equipos de TI y Tecnología para garantizar el desarrollo, la configuración y el funcionamiento seguros de los sistemas y productos de información de ESET.
ESET mantiene documentación de gobernanza interconectada, que se diseña y pone a disposición de todo el personal de acuerdo con las certificaciones de ESET para la norma ISO 9001 y la norma ISO 27001. Los procedimientos operativos se adaptan a las necesidades específicas de cada equipo, se administran en espacios de trabajo designados y se actualizan según sea necesario.
Se establecen controles de cumplimiento de políticas y procedimientos disciplinarios para abordar y corregir cualquier incumplimiento de las políticas de seguridad, reforzando el compromiso de ESET con la responsabilidad y la mejora continua.
Para garantizar el cumplimiento y la eficacia continuos, ESET ha implementado un marco de gestión de riesgos, manteniendo controles técnicos y organizativos. El proceso de gestión de riesgos de ESET implica una evaluación y gestión integrales de riesgos dentro de su Sistema de gestión integrado (basado en la norma ISO 9001 y la norma ISO 27001). Esto incluye la evaluación de activos, la identificación de requisitos de seguridad, el cálculo de riesgos y la selección de estrategias de mitigación adecuadas. El Director de seguridad de la información (CISO) supervisa el proceso general de gestión de riesgos, garantizando el informe periódico de los riesgos de seguridad y las métricas relacionadas a la dirección ejecutiva. Además, la gestión de riesgos de terceros se aplica estrictamente mediante evaluaciones del proveedor, siguiendo el estándar de seguridad del contrato de ESET.
Cumplimiento con las normas de la industria
La validación y la acreditación externas son importantes para las organizaciones que confían en las capacidades y la tecnología de ESET para proteger sus datos y cumplir con los requisitos reglamentarios. Para obtener más detalles, consulte la página de certificaciones de ESET.
supervisión del cumplimiento
La Política del sistema de administración integrado establece el sistema de administración integrado, incluidas las revisiones y las auditorías periódicas.
Las auditorías internas revisan regularmente el cumplimiento de las políticas y los procesos de ESET según se describe en la Política de auditoría interna. La Política sobre reglamentos internos estipula la responsabilidad de supervisar periódicamente la aplicación de reglamentos internos y los ajustes pertinentes, si es necesario.
Las revisiones periódicas y las auditorías internas y externas se realizan de acuerdo con un plan de auditoría anual y a largo plazo de tres años. Las auditorías internas son realizadas por auditores independientes que revisan regularmente el cumplimiento de las políticas y procesos de ESET o las normas aplicables (por ejemplo, ISO 9001, ISO 27001 y SOC2), según el alcance de la auditoría. Las auditorías internas se planifican y realizan como mínimo anualmente. Los hallazgos de la auditoría se recopilan y registran en un sistema de billetes dedicado, con los respectivos propietarios asignados, que son responsables de abordar y resolver las incumplimientos dentro de un plazo predefinido. Los resultados de la auditoría que requieren supervisión administrativa y las decisiones se revisan en reuniones de revisión administrativa periódicas.
Organización de la seguridad de la información
Las responsabilidades de seguridad de la información se asignan de acuerdo con las políticas de seguridad de la información establecidas. Los procesos internos se identifican y evalúan para determinar si hay riesgo de uso indebido o modificación no autorizada o involuntaria de los activos de información de ESET. Las actividades riesgosas o delicadas de los procesos internos adoptan el principio de las prácticas de seguridad recomendadas para mitigar el riesgo.
La seguridad de la información se integra en la gestión de proyectos mediante el marco de gestión de proyectos aplicado desde la concepción hasta la finalización del proyecto.
El teletrabajo se asegura mediante una política implementada en los dispositivos móviles, que incluye protección de datos mediante cifrado seguro al atravesar redes no de confianza. Los controles de seguridad de los dispositivos móviles están diseñados para funcionar independientemente de los sistemas internos y las redes internas de ESET.
Seguridad de recursos humanos
ESET utiliza prácticas estándar de recursos humanas, como políticas diseñadas para proteger la seguridad de la información. Estas prácticas abarcan todo el ciclo de vida de los empleados y se aplican a todos los empleados.
La empresa de ESET requiere que el personal de ESET se someta a verificación y evaluación de antecedentes durante el embarque; firma del acuerdo de no divulgación o confidencialidad como parte del contrato de empleo que les obliga a seguir las políticas y los estándares de seguridad interna, proteger la información confidencial de ESET y los datos de los clientes; completar la formación de conciencia de la seguridad de la información durante el embarque como parte del programa de cumplimiento y conciencia de ESET.
Medidas técnicas
Administración de identidad y acceso
La Política de administración de acceso de ESET rige todo acceso a la infraestructura de ESET. Procesos de control de acceso en materia de concesión, revocación, cambio de acceso y también revisión de los derechos de acceso concedidos aplicados a todos los niveles de infraestructura, tecnología, aplicación o herramientas. La administración del acceso total de los usuarios a nivel de la aplicación es autónoma. El acceso único a la identidad se rige por un proveedor central de identidad, que garantiza que solo un usuario pueda acceder al entorno o aplicación autorizados.
Para administrar el acceso de los empleados de ESET a la infraestructura y las redes de ESET se utilizan los procesos y las medidas técnicas para la deprovisionamiento del acceso de los usuarios, la provisión de acceso de los usuarios, la revisión, la eliminación y el ajuste de los derechos de acceso, de acuerdo con los estándares de seguridad, que incluyen, entre otros:
•Provisionamiento del acceso en función del mínimo privilegio "necesidad de saber"
•Revisión periódica del acceso de los usuarios
•Rescisión del acceso del usuario de conformidad con la política de seguridad
•Asignación de la cuenta única a todos
•Logging de intentos de acceso por parte de los usuarios, revisión y supervisión.
•Logging y revisión de acceso físico
•Implementación de autenticación multifactor para acceso altamente privilegiado y administrativo
•Implementación de los horarios para las sesiones interactivas después de un período de inactividad especificado
Protección de datos
Cifrado de datos
ESET protege los datos de su infraestructura; se utiliza cifrado fuerte para cifrar datos en reposo (incluidos los dispositivos portátiles) y en tránsito. La implementación de cifrado sigue las reglas definidas por el estándar de cifrado interno. Los datos del cliente se conservan de conformidad con la normativa pertinente, por ejemplo, el RGPD, la directiva NIS2 o la normativa de la industria y las finanzas.
Medidas en vigor:
•Por lo general, la autoridad certificadora de confianza se utiliza para emitir certificados para servicios web públicos.
•El PKI de ESET interno se utiliza para administrar claves dentro de la infraestructura de ESET.
•Se activa el cifrado nativo de la plataforma de CSP para garantizar la protección en reposo de datos para partes relevantes del tratamiento de datos o la persistencia de datos en el entorno de nube (almacenamiento de datos, copias de seguridad).
•Se dispone de cifrado sólido (por ejemplo, TLS) para cifrar datos en tránsito.
Backup y recuperación de datos
Las copias de seguridad se rigen por la Política sobre seguridad de la información en el funcionamiento de las tecnologías de información y comunicación.
Todos los datos de configuración y implementación de portfolio de ESET se almacenan en repositorios protegidos de ESET y que se realizan copias de seguridad periódicamente para permitir la recuperación automatizada de una configuración de entorno. Se utiliza un proceso regular de prueba de recuperación de desastres para verificar la restaurabilidad de copias de seguridad de la configuración en los tiempos esperados para la actividad.
Los datos del Cliente de ESET se realizan una copia de seguridad periódica de acuerdo con los estándares y reglamentos de la industria, el funcionamiento de alta disponibilidad y los requisitos de recuperabilidad contractuales. Las copias de seguridad se protegen contra la manipulación y la validez de las copias de seguridad se prueba periódicamente mediante procesos de recuperación de desastres.
Seguridad de red
La segmentación de red se aplica en todo el entorno de red de ESET. Las redes se segrega en función de criterios definidos y se ejecutan mediante el uso de VLAN en paredes de seguridad.
ESET utiliza una variedad de sistemas de protección de fronteras, incluidos los firewalls L7, los sistemas de detección de intrusiones y los sistemas de prevención de intrusiones. Estos sistemas se configuran y mantienen para proteger los puntos de acceso externos, garantizando que se detecten y impiden intentos no autorizados de acceso a la red.
El acceso remoto a los activos internos se proporciona mediante una VPN de usuario a sitio con roles y responsabilidades, requisitos de seguridad y controles estipulados en las políticas internas de ESET y configurados de acuerdo con los estándares de la industria de la seguridad. Las cuentas de usuario de VPN se mantienen dentro de Active Directory y forman parte del proceso de provisión de la cuenta de empleado.
ESET implementa y mantiene controles de seguridad de red para proteger los datos que se procesan, reciben o almacenan en el entorno de la nube. Las cuentas de CSP e la infraestructura subyacente utilizan listas de control de acceso a la red y grupos de seguridad dentro de la Red virtual de los CSP para limitar el acceso a todos los recursos proporcionados. El acceso a los recursos de la nube solo se realiza a través de canales cifrados.
Refuerzo
ESET utiliza el proceso de seguridad de los sistemas para reducir la posible vulnerabilidad a los ataques. Esto incluye las siguientes técnicas y mejores prácticas:
•tener una imagen de oro firmada que se utiliza para instalar o implementar un host o contenedor.
•desactivar los servicios innecesarios
•anexión automática planificada y corrección ad hoc de componentes críticos en caso de alto riesgo
•actualizaciones del sistema operativo antes de llegar a su final de vida útil
•configuración de configuraciones de seguridad
•automatización de la administración de infraestructuras y aplicaciones de forma repetible y consistente
•eliminación de software innecesario
•restricción del acceso a recursos locales
•controles basados en el host como antivirus, detección y respuesta de puntos de acceso y políticas de red.
ESET utiliza un enfoque centralizado para aplicar y verificar el endurecimiento a componentes de entornos de TI destinados a minimizar la superficie de ataque, que es la suma de todos los posibles puntos de entrada que los atacantes podrían explotar. Para más detalles, consulte la siguiente parte de este documento.
Seguridad de aplicaciones
Prácticas de desarrollo seguras
ESET implementa prácticas de desarrollo de software seguras a través de su Política de seguridad en el ciclo de vida del desarrollo de software (SSDLC), que integra controles de seguridad y gestión de riesgos en todas las fases del desarrollo.
La política de SSDLC define requisitos para:
•El código se escribe siguiendo directrices de codificación segura y se revisa antes de la fusión.
•Se realizan modelos de amenazas y revisiones de diseño para nuevas funciones y cambios importantes.
•Controles automatizados de seguridad (análisis estático, análisis de dependencias y pruebas dinámicas seleccionadas) que se ejecutan como parte de las pistas de CI/CD.
•Los componentes de terceros y de código abierto se rastrean y mantienen actualizados; se mantiene un SBOM para todos los productos lanzados.
•Los hallazgos de incidentes, las pruebas de penetración y los informes de recompensas de errores se revisan y regresan al proceso de desarrollo.
El objetivo de la política de SSDLC es garantizar que todos los Productos de software de ESET sean seguros, fiables y cumplan con las normas y reglamentos aplicables.
Administración de vulnerabilidades del producto
ESET mantiene un proceso definido para identificar, evaluar y abordar vulnerabilidades en sus aplicaciones y productos durante su ciclo de vida útil.
El proceso abarca tanto problemas descubiertos internamente como informes de fuentes externas.
Como parte de la gestión de vulnerabilidades del Producto, ESET:
•Usa herramientas de escaneo automatizadas para escanear el código fuente, las dependencias y construir artefactos para encontrar vulnerabilidades conocidas.
•Revisa los hallazgos manualmente para confirmar el impacto y la relevancia antes de asignar la reparación.
•Prueba y prioriza las correcciones en función de la gravedad, la explotabilidad y la exposición del producto.
•Realiza pruebas y repeticiones de seguridad específicas para verificar la corrección.
•Integra datos de vulnerabilidades en el plan de desarrollo y lanzamiento para que se resuelvan problemas críticos antes del envío.
•Acepta y gestiona informes externos mediante divulgación coordinada y un programa de recompensa de errores público.
•Asigna identificadores CVE para vulnerabilidades de productos confirmadas como parte de su papel como Autoridad de numeración de CVE (CNA).
•Aplica parches y correcciones en función de la gravedad de la vulnerabilidad y el impacto comercial, siguiendo un proceso de clasificación estructurada.
oEl proceso de clasificación se alinea con la norma ISO/IEC 30111 (manipulación de vulnerabilidades) y la norma ISO/IEC 29147 (divulgación de vulnerabilidades).
oLa puntuación de CVSS y las fuentes de inteligencia externas, como el catálogo de vulnerabilidades conocidas explotadas (KEV) de CISA, se utilizan para orientar la priorización.
oLos equipos responsables del Producto y de seguridad toman de forma colaborativa las decisiones de reparación final.
Estos procesos garantizan que las vulnerabilidades se administren de forma coherente, transparente y rastreable en todos los Productos de ESET.
Test de penetración
ESET realiza pruebas de penetración regulares de sus Productos como parte del proceso general de garantía de seguridad del producto - dentro de nuestro propio Programa de prueba de penetración. Las pruebas se realizan antes de las versiones principales y a intervalos planificados para Productos mantenidos.
Las pruebas de penetración en ESET se centran en:
•Verificación de que los controles y mitigaciones de seguridad implementados son efectivos
•Identificar posibles vulnerabilidades que las herramientas automatizadas pueden no detectar
•Validación de los resultados de los esfuerzos de reparación anteriores
•Evaluación de la superficie de ataque total y la exposición a riesgos de los Productos liberados
Las pruebas se realizan en entornos aislados por especialistas internos calificados o socios externos de confianza utilizando metodologías de la industria reconocidas (OWASP WSTG / MTG, NIST SP 800-115, PTES).
Los hallazgos se documentan, clasifican y rastrean mediante el mismo proceso de gestión de vulnerabilidades que se utiliza para los problemas informados internamente y externamente.
Los resultados de las pruebas de penetración se alimentan directamente en los planes de mejora del Producto y en el SSDLC, lo que ayuda a garantizar que las lecciones aprendidas se capturan y las debilidades recurrentes se reducen con el tiempo.
Seguridad de las operaciones
Política de seguridad de la información en las operaciones de las TIC
La Política de seguridad de la información en el funcionamiento de las TIC en la Empresa establece reglas fundamentales de seguridad relacionadas con el funcionamiento de las TIC de acuerdo con la norma ISO 27001.
Política de seguridad de la información en el funcionamiento de las TIC define los requisitos de seguridad para los procesos operativos de TI y su documentación, incluidos los procedimientos operativos, la gestión de cambios, la separación de roles y responsabilidades, la separación de la producción, los entornos de prueba y desarrollo, los servicios de TI de terceros, la planificación de prestaciones, los proyectos de TI, las protecciones de malware, las copias de seguridad, la seguridad de la red, la seguridad de los medios, los requisitos de comercio electrónico y la supervisión.
Logging y auditoría
El registro y la auditoría de un sistema se realizan de acuerdo con las normas y las directrices internas (Política sobre supervisión y gestión de incidentes de seguridad).
Se recopilan de forma continuada los registros y eventos de la infraestructura, el sistema operativo, la base de datos, los servidores de aplicaciones y los controles de seguridad. ESET utiliza una plataforma de administración de registros central (SIEM) para proteger los registros relevantes de modificación o destrucción no autorizadas. Los equipos de TI y seguridad interna procesan los registros para identificar anomalías operativas y de seguridad, e incidentes de seguridad de la información. Los datos de SIEM se conservan durante el tiempo requerido por las regulaciones y para la detección retrospectiva de amenazas.
supervisión de la seguridad y respuesta a incidentes
La supervisión de la seguridad y la gestión de incidentes de seguridad se definen por la Política sobre supervisión de la seguridad y gestión de incidentes de seguridad.
La política describe
•responsabilidades y reglas para el desarrollo, la configuración correcta, la protección, el almacenamiento, el análisis, la evaluación y la conservación del registro y la auditoría de seguridad
•proceso, roles y responsabilidades para la gestión de incidentes de seguridad
•prevención de incidentes de seguridad
•minimizar el impacto de los incidentes de seguridad
•aprendizaje de incidentes de seguridad
•educar a los empleados sobre las actividades de supervisión, su alcance y el papel de los empleados en la supervisión y la respuesta a incidentes.
Un Centro Operativo de seguridad establecido (SOC), que opera 24 horas al día, está autorizado a supervisar continuamente el estado de seguridad de la infraestructura y las aplicaciones de TI y responder a incidentes de seguridad.
La gestión de incidentes de seguridad de la información en ESET se basa en el Procedimiento de respuesta a incidentes definido. En la respuesta a incidentes, se definen y asignan funciones en múltiples equipos, como el jurídico, así como los de TI, seguridad, recursos humanos, relaciones públicas y administración ejecutiva. Los incidentes estándar son tratados por el equipo de SOC. En caso de incidentes de seguridad más importantes, se informa al Centro de mando. El Centro de comandos, en cooperación con el equipo de SOC, coordina la respuesta a incidentes y involucra a otros equipos para gestionar el incidente. El equipo de SOC, respaldado por los miembros responsables del equipo de seguridad interna, también es responsable de la recopilación de pruebas y las lecciones aprendidas. Se notifica a las partes afectadas, incluidos clientes y socios, cuando ocurre el incidente y cuando se resuelve. El equipo jurídico de ESET es responsable de notificar a los organismos normativos en caso necesario de acuerdo con el Regulación General de Protección de Datos (RGPD) y la Ley de seguridad informática, por la que se transpone la Directiva de seguridad de las redes y la información (NIS2).
Administración de revisiones
La Administración de parches se utiliza como una de varias actividades de mitigación para corregir las vulnerabilidades.
Los parches de seguridad se evalúan y aplican en función de la gravedad y el riesgo de las vulnerabilidades identificadas.
Un proceso de clasificación y priorización definido determina el orden y los horarios de implementación del parche. Este proceso sigue las directrices internas de ESET alineadas con la norma ISO/IEC 30111. CVSS puntuación y fuentes externas de inteligencia de amenazas, como el catálogo de vulnerabilidades explotables conocidas (KEV) de CISA, ayudan a tomar decisiones basadas en riesgos y priorización.
Todos los parches se verifican en entornos controlados antes de su implementación en la producción para garantizar que resuelvan el problema objetivo sin afectar negativamente a la estabilidad o la compatibilidad del sistema.
La implementación sigue procedimientos de gestión de cambios establecidos que garantizan la trazabilidad, la responsabilidad y la capacidad de revisión cuando sea necesario.
Las actividades de patches se monitorean y revisan de forma continua para confirmar su eficacia, identificar sistemas desactualizados y impulsar mejoras continuas de procesos.
La Directiva de registro de aplicaciones especifica las medidas técnicas y los requisitos que regulan el registro de datos para todas las aplicaciones desarrolladas por ESET.
Protección de malware y amenazas
La protección contra malware (por software antivirus y EDR) se estipula en la Política sobre seguridad de la información en el funcionamiento de las tecnologías de información y comunicación. Los empleados deben informar inmediatamente de cualquier sospecha de infección por malware a SOC como se describe en la Política de seguridad de la información para los empleados de ESET.
Los requisitos para los puntos de acceso de los empleados se describen en el estándar de seguridad para estaciones de trabajo.
ESET utiliza sus propias herramientas antimalware enriquecidas con soluciones verificadas de terceros para proteger los puntos de acceso y las cargas de trabajo en la nube.
El equipo de SOC realiza actividades de detección de amenazas en virtud de la Política sobre supervisión de seguridad y gestión de incidentes de seguridad. Los datos sobre amenazas (feeds) se recopilan en el sistema SIEM, que se ingiere automáticamente para producir información sobre amenazas aplicada a eventos de supervisión de la seguridad.
Cumplimiento técnico
El equipo de seguridad interna proporciona y mantiene diversos estándares técnicos de seguridad para la infraestructura, la nube, los componentes relacionados con la web y las mejores prácticas para que los desarrolladores y los administradores de TI sigan. En función de las normas técnicas, el equipo de seguridad interna prepara archivos de base de configuración que utilizan los equipos de TI para automatizar la implementación y la ejecución de configuraciones seguras.
Además, se realizan escáneres de cumplimiento mediante una herramienta de evaluación de vulnerabilidades cuando sea posible. ESET tiene un Programa de prueba de penetración establecido, y los productos, las aplicaciones y los servicios desarrollados por ESET están sujetos a pruebas de penetración periódicas en función del plan del programa. Todos los hallazgos se documentan y informan a las partes interesadas del Producto para garantizar que se mitigan lo antes posible.
Seguridad física
La Política de seguridad física y los estándares de seguridad física relacionados definen las reglas de seguridad física en torno a las instalaciones de oficinas y los centros de datos. Esta política estipula reglas y procedimientos para:
•protección de las instalaciones de ESET
•control de acceso físico
•seguridad de oficinas, habitaciones y edificios
•trabajo en áreas seguras
•seguridad del equipo, cableado e infraestructura
Seguridad del centro de datos
Los componentes de la infraestructura de TI se encuentran físicamente en varios centros de datos; por lo tanto, se logra la redundancia en cada región.
El perímetro de seguridad física se define en la Política de seguridad física y los estándares de seguridad relacionados para oficinas y centros de datos: estándar de seguridad física para centros de datos. ESET definía reglas para establecer un perímetro de seguridad y controles que se aplicarían al perímetro de seguridad física. Los controles clave, como la zona de seguridad física y la segregación, el acceso y la administración de visitantes, el incendio y la prevención de inundaciones, así como la CCTV y la supervisión tripulada, se definen claramente, se implementan y se monitorean de forma continua. El personal responsable y los auditores externos revisan regularmente la seguridad de DC.
ESET se basa en las medidas y controles físicos de seguridad de los CSP; por lo tanto, revisa periódicamente los informes de cumplimiento correspondientes de los CSP.
Controles de acceso físico
Los controles de entrada físicos se establecen en la Política de seguridad física y los estándares de seguridad relacionados para las instalaciones de oficinas y los centros de datos. Los préstamos se dividen en zonas protegidas con controles de acceso específicos.
La autenticación se gestiona de acuerdo con las mejores prácticas de seguridad mediante la utilización de claves, tarjetas de identificación/acceso y PIN.
Se implementa supervisión del acceso físico y prevención/detección de acceso no autorizado. CCTV supervisa todas las entradas con un registro registrado. El perímetro también se supervisa con sensores de movimiento o de rompimiento de vidrio (incluidas paredes de resistencia débiles (es decir, vidrio o pared seca), salidas de fuego y ventanas).
Continuidad del negocio y recuperación de desastres
ESET mantiene, revisa, evalúa y implementa mejoras a su sistema de gestión de la continuidad de la actividad de conformidad con la Política de gestión de la continuidad de la actividad de conformidad con la norma ISO 22301.
ESET ha establecido el Programa de BCM, que prioriza todas las actividades dentro de la Empresa y se somete a la aprobación de CISO de acuerdo con la Política de BCM. El Programa BCM define actividades y actividades operativas para mitigar los riesgos relacionados con BCM, por ejemplo, mediante despidos o replicación de funciones e infraestructura de TI.
Se preparan y revisan Análisis de impacto empresarial (BIA) con objetivos de continuidad del negocio definidos (RTO, RPO, MTD, prioridades de recuperación). Los planes de recuperación de desastres (DRP) se revisan y prueban de acuerdo con el Programa de BCM. La estrategia de continuidad de las actividades determina el enfoque para mantener activos empresariales críticos. Todas las salidas de las actividades regulares de continuidad del negocio sirven como entrada para mejoras continuas.
Administración de riesgos de terceros
La supervisión y la revisión de los servicios de proveedores se rigen por la Política sobre seguridad de la información en las relaciones con proveedores. Las revisiones se realizan de forma trimestral y los resultados se almacenan en la evaluación de proveedores.
Documentación, ciclo de vida, actualizaciones e integraciones
- Ver sitio para ordenador
- Ayuda en línea de ESET
- Fin de la vida útil
- Versiones más recientes
- Registro de cambios
- API e integraciones
- Actualizaciones del motor de detección