Pahami hak Anda dan tanggung jawab kami dalam satu tempat

Konten halaman ini mungkin telah diterjemahkan oleh mesin dan hanya diedit sebagian oleh manusia.

Kebijakan Keamanan

Pengantar

Tujuan dari Dokumen

Tujuan dari dokumen ini adalah untuk merangkum kontrol teknis, organisasi, dan fisik serta praktik keamanan yang diterapkan dalam infrastruktur ESET, yang mencakup portofolio ESET, yaitu produk, aplikasi, solusi, dan layanan ESET (selanjutnya disebut sebagai Produk). Tindakan keamanan, kontrol, dan kebijakan dirancang untuk melindungi

•Operasi portofolio ESET dan pemrosesan data di lingkungan lokal atau cloud

•kerahasiaan, integritas, dan ketersediaan data pelanggan

•informasi pelanggan dari penghancuran, kehilangan, perubahan, pengungkapan atau akses yang tidak sah

ESET dapat memperbarui dokumen ini serta langkah-langkah, kontrol, dan kebijakan tertentu yang mengaturnya untuk memenuhi ancaman yang berkembang dan beradaptasi dengan teknologi keamanan dan standar industri yang berkembang.

Publik

Dokumen ini harus dibaca oleh siapa pun yang memerlukan jaminan dalam bidang Keamanan portofolio ESET, atau Pelanggan yang bermaksud menggunakan solusi atau layanan ESET melalui integrasi ke lingkungan mereka.

Konteks, konsep, dan cakupan

ESET, spol s r.o. adalah perusahaan Sertifikasi ISO 27001:2022 dengan sistem manajemen terintegrasi.

Oleh karena itu, konsep manajemen keamanan informasi menggunakan kerangka kerja ISO 27001 untuk menerapkan strategi keamanan pertahanan berlapis ketika menerapkan kontrol keamanan pada setiap lapisan arsitektur sistem informasi, misalnya jaringan, sistem operasi, database, aplikasi, personil, dan proses operasi. Praktek keamanan yang diterapkan dan kontrol keamanan dimaksudkan untuk berlapis dan melengkapi satu sama lain.

Bidang lingkup dokumen ini adalah untuk meringkas langkah-langkah teknis dan organisasi yang diterapkan untuk portofolio ESET; organisasi, personil, dan proses operasional.

Praktek dan kontrol keamanan mencakup pengelolaan dan langkah-langkah teknis, termasuk tetapi tidak terbatas pada:

•Kebijakan keamanan informasi

•Organisasi keamanan informasi

•Keamanan sumber daya manusia

•Kontrol akses

•Kriptografi

•Keamanan fisik dan lingkungan

•Perlindungan data, keamanan jaringan, keamanan aplikasi

•Keamanan operasional

•Keamanan komunikasi

•Akquisisi, pengembangan, dan pemeliharaan sistem

•Hubungan pemasok

•Manajemen insiden keamanan informasi

•Aspek keamanan informasi dari manajemen kontinuitas bisnis

•Kepatuhan

Pendekatan

Ketentuan Pendekatan	Jangka waktu penuh
Perusahaan	ESET, spol. s r.o.
CSP	Penyedia Layanan Cloud
DR	Pemulihan bencana
ESET	ESET, spol. s r.o.
GDPR	Peraturan Perlindungan Data Umum
ICT	Teknologi Informasi dan Komunikasi
IR	Respon insiden
IS	Keamanan Informasi
ISMS	Sistem Manajemen Keamanan Informasi
TI	Teknologi Informasi
NIS	Undang-undang Keamanan Siber yang menerapkan Direktif Keamanan Jaringan dan Informasi
PKI	Infrastruktur Kunci Publik
Produk	Portofolio ESET – yaitu, produk, aplikasi, platform cloud, solusi, dan layanan ESET di atasnya
SIEM	Informasi Keamanan dan Manajemen Peristiwa
SSDLC	Siklus Kehidupan Pengembangan Perangkat Lunak Secure
QMS	Sistem Manajemen Kualitas

Catatan: Skript Italia - digunakan untuk nama dokumen internal Perusahaan yang referensi, tidak tersedia untuk audiens publik, misalnya, Kebijakan tentang Regulasi Internal

Pemerintahan Keamanan

Program manajemen keamanan informasi

Perusahaan ESET telah menetapkan dan memelihara kerangka kerja program manajemen keamanan Informasi sebagai fungsi lintasorganisasi yang mengatur perlindungan aset informasi. Dokumentasi keamanan informasi dipandu oleh kebijakan keamanan, proses, dan dokumentasi melalui Kebijakan tentang Peraturan Internal. ESET mengadopsi Kebijakan Sistem Manajemen Terintegrasi yang berfungsi sebagai tingkat atas

•Kebijakan ISMS

•Kebijakan QMS

•Kebijakan Keamanan Informasi.

ESET mematuhi Kebijakan tentang Sistem Manajemen Terintegrasi, yang mendefinisikan kerangka kerja manajemen kualitas dan keamanan informasi. Kebijakan ini dimiliki oleh Chief Information Security Officer (CISO) untuk ESET dan mewakili komitmen manajemen tingkat atas terhadap keamanan dan kualitas. Dokumen ini mendefinisikan tanggung jawab untuk pengelolaan dan pengamanan domain-domain ini dan menjelaskan komitmen ESET untuk terus mengevaluasi dan meningkatkan efektivitas sistem manajemen sesuai dengan standar ISO 9001 dan ISO 27001.

Kebijakan perusahaan didokumentasikan, dipertahankan, dan direvisi setiap tahun, dan diperbarui setelah perubahan signifikan untuk memastikan kesesuaian, kepatuhan, dan efektivitas tetap. Pembaruan dikomunikasikan ke staf internal, di mana kebijakan tersedia untuk semua karyawan. Kebijakan secara resmi diadopsi, ditandatangani oleh CEO, diterbitkan, dan dikomunikasikan kepada semua karyawan dan pihak terkait. Kebijakan secara resmi diakui oleh karyawan ESET saat masuk.

Selain kebijakan, tim Keamanan Informasi dan Keamanan Teknis ESET telah merancang proses, prosedur, standar, dan garis dasar konfigurasi berdasarkan praktik keamanan terbaik industri dan vendor (misalnya, referensi CIS, OWASP, NIST). Ini disediakan kepada tim TI dan Teknologi untuk memastikan pengembangan, konfigurasi, dan operasi sistem informasi dan produk ESET yang aman.

ESET memelihara dokumentasi pengelolaan yang terhubung, yang dirancang dan tersedia untuk seluruh staf sesuai dengan sertifikasi ESET untuk ISO 9001 dan ISO 27001. Prosedur operasi disesuaikan untuk memenuhi kebutuhan spesifik setiap tim, dikelola dalam ruang kerja yang ditentukan, dan diperbarui sesuai kebutuhan.

Pengawasan kepatuhan kebijakan dan prosedur disiplin telah ada untuk mengatasi dan memperbaiki setiap ketidaksesuaian dengan kebijakan keamanan, yang memperkuat komitmen ESET terhadap tanggung jawab dan peningkatan berkelanjutan.

Untuk memastikan kepatuhan dan efektivitas yang berkelanjutan, ESET telah menerapkan kerangka kerja manajemen risiko yang memelihara kontrol teknis dan organisasi. Proses manajemen risiko ESET melibatkan penilaian dan pengelolaan risiko yang komprehensif dalam Sistem Manajemen Terintegrasi (berdasarkan ISO 9001 dan ISO 27001). Ini mencakup evaluasi aset, mengidentifikasi persyaratan keamanan, menghitung risiko, dan memilih strategi mitigasi yang tepat. Chief Information Security Officer (CISO) mengawasi proses manajemen risiko secara keseluruhan, memastikan pelaporan risiko keamanan dan metrik terkait secara teratur kepada manajemen eksekutif. Selain itu, manajemen risiko pihak ketiga diatur secara ketat melalui penilaian vendor, sesuai dengan Standar Keamanan Kontrak ESET.

Kepatuhan terhadap Standar Industri

Validasi eksternal dan akreditasi sangat penting bagi organisasi yang mengandalkan kemampuan dan teknologi ESET untuk mengamankan data mereka dan mematuhi persyaratan peraturan. Untuk informasi selengkapnya, lihat halaman sertifikasi ESET.

Pengawasan kepatuhan

Kebijakan Sistem Manajemen Terintegrasi menetapkan sistem manajemen terintegrasi, termasuk pemeriksaan dan audit secara teratur.

Audit internal secara berkala meninjau kepatuhan terhadap kebijakan dan proses ESET sebagaimana dijelaskan dalam Kebijakan Audit Internal. Kebijakan tentang Peraturan Internal menetapkan tanggung jawab untuk memantau secara teratur penerapan peraturan internal dan penyesuaian terkait, jika diperlukan.

Pemeriksaan rutin serta audit internal dan eksternal dilakukan sesuai dengan rencana audit jangka panjang tahunan dan tiga tahun. Audit internal dilakukan oleh auditor independen yang secara teratur meninjau kepatuhan terhadap kebijakan dan proses ESET atau standar yang berlaku (misalnya, ISO 9001, ISO 27001 dan SOC2), tergantung pada cakupan audit. Audit internal direncanakan dan dilakukan setidaknya setiap tahun. Temuan audit dikumpulkan dan dicatat dalam sistem pencatatan tiket khusus, dengan pemilik masing-masing ditugaskan, yang bertanggung jawab atas penyelesaian dan penyelesaian ketidaksesuaian dalam jangka waktu yang ditentukan sebelumnya. Temuan audit yang memerlukan pengawasan manajemen dan keputusan diperiksa dalam pertemuan pemeriksaan manajemen reguler.

Organisasi Keamanan Informasi

Tanggung jawab keamanan informasi dikalokasikan sesuai dengan kebijakan keamanan informasi yang berlaku. Proses internal diidentifikasi dan dievaluasi untuk setiap risiko modifikasi atau penyalahgunaan informasi ESET yang tidak sah atau tidak disengaja. Aktivitas berisiko atau sensitif dari proses internal mengadopsi prinsip praktik terbaik keamanan untuk mengurangi risiko.

Keamanan informasi diperhitungkan dalam manajemen proyek menggunakan kerangka kerja manajemen proyek yang diterapkan dari konsepsi hingga penyelesaian proyek.

Kerja jarak jauh dan telekomunikasi tercakup melalui penggunaan kebijakan yang diterapkan pada perangkat seluler, yang mencakup penggunaan perlindungan data kriptografis yang kuat saat bepergian melalui jaringan yang tidak dipercaya. Kontrol keamanan pada perangkat seluler dirancang untuk bekerja secara independen dari jaringan internal dan sistem internal ESET.

Keamanan Sumber Daya Manusia

ESET menggunakan praktik sumber daya manusia standar, termasuk kebijakan yang dirancang untuk menjaga keamanan informasi. Praktek ini mencakup seluruh siklus hidup karyawan, dan berlaku untuk semua karyawan.

Perusahaan ESET mewajibkan personel ESET untuk menjalani verifikasi dan pemeriksaan latar belakang selama memasuki selama proses orientasi; menandatangani perjanjian kerahasiaan atau nonpengungkapan sebagai bagian dari kontrak kerja yang mewajibkan mereka untuk mengikuti kebijakan dan standar keamanan internal, melindungi informasi rahasia ESET serta data pelanggan; untuk menyelesaikan pelatihan kesadaran keamanan informasi selama proses orientasi sebagai bagian dari program kepatuhan dan kesadaran ESET.

Langkah-langkah teknis

Manajemen Identitas dan Akses

Kebijakan ESET tentang Manajemen Akses mengatur setiap akses ke infrastruktur ESET. Proses pengendalian akses di bidang pemberian, penarikan, perubahan akses, serta revisi hak akses yang diberikan yang diterapkan untuk semua tingkat infrastruktur, teknologi, aplikasi, atau alat. Manajemen akses pengguna penuh di tingkat aplikasi bersifat otonom. Pendaftaran tunggal identitas diatur oleh penyedia identitas sentral, yang memastikan bahwa pengguna hanya dapat mengakses lingkungan atau aplikasi yang sah.

Manajemen akses pengguna dan pengguna, proses dan langkah-langkah teknis untuk deprovisasi akses pengguna, penyediaan akses pengguna, pemeriksaan, penghapusan, dan penyesuaian hak akses digunakan untuk mengelola akses karyawan ESET ke infrastruktur dan jaringan ESET sesuai dengan standar keamanan, yang mencakup tetapi tidak terbatas pada:

•Penyediaan akses berdasarkan hak istimewa minimum berdasarkan "kebutuhan untuk mengetahui"

•Peninjauan rutin akses pengguna

•Penghentian akses pengguna sesuai dengan kebijakan keamanan

•Atribusi akun unik untuk semua

•Pendaftaran upaya akses, ulasan, dan pemantauan pengguna

•Pencatatan dan peninjauan akses fisik

•Implementasi otentikasi multi-faktor untuk akses administrasi dan privilegisasi tinggi

•Penegakan jangka waktu untuk sesi interaktif setelah periode inaktivitas yang ditentukan

Perlindungan data

Enkripsi Data

ESET melindungi data dalam infrastrukturnya; enkripsi yang kuat digunakan untuk mengenkripsi data saat istirahat (termasuk perangkat portabel) dan dalam perjalanan. Implementasi kriptografi mengikuti aturan yang ditetapkan oleh Standar Kriptografi internal. Data pelanggan disimpan sesuai dengan peraturan yang relevan, seperti GDPR, direktif NIS2, atau peraturan industri dan keuangan.

Langkah-langkah yang ada

•Otoritas sertifikat yang umumnya dipercaya digunakan untuk mengeluarkan sertifikat untuk layanan web publik

•ESET internal PKI digunakan untuk mengelola kunci dalam infrastruktur ESET

•Encryption native platform CSP diaktifkan untuk memastikan perlindungan data pada waktu istirahat untuk bagian yang relevan dari pemrosesan data atau persistensi data di lingkungan cloud (penyimpanan data, cadangan).

•Kriptografi yang kuat (misalnya TLS) tersedia untuk mengenkripsi data dalam transit

Penyimpanan dan Pemulihan Data

Backup diatur oleh Kebijakan Keamanan Informasi dalam Operasi Teknologi Informasi dan Komunikasi.

Semua data konfigurasi dan penyebaran portofolio ESET disimpan dalam repositori ESET yang dilindungi dan disimpan secara teratur untuk memungkinkan pemulihan konfigurasi lingkungan secara otomatis. Proses pengujian pemulihan bencana rutin digunakan untuk memverifikasi pemulihan cadangan konfigurasi dalam waktu yang diharapkan oleh bisnis.

Data Pelanggan ESET secara teratur dicadangkan sesuai dengan standar dan peraturan industri, operasi ketersediaan tinggi, dan persyaratan pemulihan kontraktual. Backup dilindungi dari penipuan, dan validitas backup secara teratur diuji oleh proses pemulihan bencana.

Keamanan jaringan

Segmentasi jaringan diterapkan di seluruh lingkungan jaringan ESET. Jaringan dipisahkan berdasarkan kriteria yang ditentukan dan dipenuhi dengan menggunakan VLAN pada firewall.

ESET menggunakan berbagai sistem perlindungan batas, termasuk firewall L7, sistem deteksi intrusi, dan sistem pencegahan intrusi. Sistem ini dikonfigurasi dan dipertahankan untuk melindungi titik akses eksternal, memastikan bahwa setiap upaya tidak sah untuk mengakses jaringan terdeteksi dan dihindari.

Akses jarak jauh ke aset internal disediakan melalui pengguna atau VPN dari situs ke situs dengan peran dan tanggung jawab, persyaratan keamanan, dan kontrol yang ditetapkan dalam kebijakan internal ESET, dan dikonfigurasi sesuai dengan standar industri keamanan. Akun pengguna VPN dikelola dalam Active Directory dan merupakan bagian dari proses penyediaan akun karyawan.

ESET menerapkan dan memelihara kontrol keamanan jaringan untuk melindungi data yang diproses, diterima, atau disimpan di lingkungan cloud. Akun CSP dan infrastruktur dasar menggunakan daftar kontrol akses jaringan dan kelompok keamanan dalam Jaringan Virtual CSP untuk membatasi akses ke semua sumber daya yang disediakan. Akses ke sumber daya cloud hanya melalui saluran terenkripsi.

Penyempurnaan

ESET menggunakan proses pengaman sistem untuk mengurangi kemungkinan kerentanan terhadap serangan. Ini melibatkan teknik dan praktik terbaik berikut:

•memiliki gambar emas yang ditandatangani yang digunakan untuk memasang atau mendistribusikan host atau kontainer

•mematikan layanan yang tidak perlu

•penekanan otomatis yang direncanakan dan patching ad hoc komponen penting dalam kasus risiko tinggi

•sistem operasi diperbarui sebelum mencapai Akhir Kehidupan

•mengkonfigurasi pengaturan keamanan

•otomatisasi manajemen Infrastruktur dan aplikasi dengan cara yang dapat diulang dan konsisten

•menghapus perangkat lunak yang tidak perlu

•membatasi akses ke sumber daya lokal

•kontrol berbasis host seperti antivirus, deteksi dan tanggapan titik akhir, dan kebijakan jaringan

ESET menggunakan pendekatan terpusat untuk menerapkan dan memverifikasi penyempurnaan terhadap komponen lingkungan TI yang bertujuan untuk meminimalkan permukaan serangan, yang merupakan jumlah semua titik masuk potensial yang dapat dimanfaatkan oleh penyerang. Untuk detail, lihat bagian berikut dari dokumen ini.

Keamanan Aplikasi

Praktek Pembangunan Secure

ESET menerapkan praktik pengembangan perangkat lunak yang aman melalui Kebijakan Keamanan dalam Siklus Kehidupan Pengembangan Perangkat Lunak (SSDLC), yang mengintegrasikan kontrol keamanan dan manajemen risiko di seluruh tahap pengembangan.

Kebijakan SSDLC menetapkan persyaratan untuk:

•Kode ditulis sesuai dengan pedoman pengkodean yang aman dan diperiksa sebelum merger

•Pemodelan ancaman dan ulasan desain dilakukan untuk fitur baru dan perubahan besar

•Pemeriksaan keamanan otomatis (analisis statis, pemindaian ketergantungan, dan tes dinamis yang dipilih) berjalan sebagai bagian dari pipa CI/CD

•Komponen pihak ketiga dan sumber terbuka dipantau dan diperbarui; SBOM dipertahankan untuk semua produk yang dirilis

•Temuan dari insiden, tes penetrasi, dan laporan bounty bug diperiksa dan dimasukkan kembali ke dalam proses pengembangan

Tujuan kebijakan SSDLC adalah untuk memastikan bahwa semua Produk Perangkat Lunak ESET aman, dapat diandalkan, dan mematuhi standar dan peraturan yang berlaku.

Manajemen Kerentanan Produk

ESET mempertahankan proses yang ditentukan untuk mengidentifikasi, mengevaluasi, dan mengatasi kerentanan dalam aplikasi dan Produknya sepanjang siklus hidupnya.

Proses ini mencakup masalah yang ditemukan secara internal dan laporan dari sumber eksternal.

Sebagai bagian dari manajemen kerentanan Produk, ESET:

•Menggunakan alat pemindaian otomatis untuk memindai kode sumber, ketergantungan, dan membangun artefak untuk kerentanan yang diketahui

•Meninjau temuan secara manual untuk mengkonfirmasi dampak dan relevansi sebelum menetapkan penyelesaian

•Melacak dan memprioritaskan perbaikan berdasarkan tingkat keparahan, kemampuan eksploitasi, dan eksposur produk

•Melakukan pengujian keamanan yang ditargetkan dan pengujian ulang untuk memverifikasi penyelesaian

•Mengintegrasikan data kerentanan ke dalam perencanaan pengembangan dan rilis, sehingga masalah kritis ditangani sebelum pengiriman

•Menerima dan menangani laporan eksternal melalui pengungkapan terkoordinasi dan program bonus bug publik

•Mengalokasikan pengidentifikasi CVE untuk kerentanan produk yang dikonfirmasi sebagai bagian dari perannya sebagai Badan Nomor CVE (CNA)

•Menerapkan patch dan perbaikan berdasarkan tingkat keparahan kerentanan dan dampak bisnis, mengikuti proses triage terstruktur

oProses triage sejalan dengan ISO/IEC 30111 (pengelolaan kerentanan) dan ISO/IEC 29147 (pengungkapan kerentanan)

oPenilaian CVSS dan sumber intelijen eksternal seperti katalog Kerentanan Tereksploitasi yang Diterima (KEV) dari CISA digunakan untuk membimbing prioritas

oKeputusan penyelesaian akhir dibuat secara kolaboratif oleh tim produk dan keamanan yang bertanggung jawab

Proses ini memastikan bahwa kerentanan dikelola secara konsisten, transparan, dan dapat dilacak di seluruh Produk ESET.

Pengujian Penetrasi

ESET melakukan pengujian penetrasi rutin terhadap Produknya sebagai bagian dari proses jaminan keamanan produk secara keseluruhan – dalam Program Pengujian Penetrasi kami sendiri. Pengujian dilakukan sebelum rilis utama dan pada interval yang direncanakan untuk Produk yang dipertahankan.

Tes penetrasi di ESET berfokus pada:

•Memverifikasi bahwa kontrol keamanan dan mitigasi yang diterapkan efektif

•Mengidentifikasi kerentanan potensial yang mungkin tidak terdeteksi oleh alat otomatis

•Mengvalidasi hasil upaya pemulihan sebelumnya

•Penilaian permukaan serangan secara keseluruhan dan eksposur risiko dari Produk yang dirilis

Pengujian dilakukan di lingkungan terisolasi oleh spesialis internal yang berkualitas atau mitra eksternal tepercaya menggunakan metodologi industri yang diakui (OWASP WSTG / MTG, NIST SP 800-115, PTES).

Temuan didokumentasikan, dinilai, dan dilacak melalui proses manajemen kerentanan yang sama yang digunakan untuk masalah yang dilaporkan secara internal dan eksternal.

Hasil pengujian penetrasi langsung masuk ke dalam rencana peningkatan Produk dan SSDLC, yang membantu memastikan bahwa pelajaran yang dipelajari tercatat dan kelemahan berulang dikurangi seiring waktu.

Keamanan Operasional

Kebijakan Keamanan Informasi dalam Operasi ICT

Kebijakan Keamanan Informasi dalam Operasi ICT dalam Perusahaan menetapkan aturan keamanan dasar yang terkait dengan operasi ICT sesuai dengan standar ISO 27001.

Kebijakan Keamanan Informasi dalam Operasi ICT mendefinisikan persyaratan keamanan untuk proses operasional TI dan dokumentasinya, termasuk prosedur operasional, manajemen perubahan, pemisahan peran dan tanggung jawab, pemisahan produksi, lingkungan pengujian dan pengembangan, layanan TI pihak ketiga, perencanaan kinerja, proyek TI, perlindungan malware, cadangan, keamanan jaringan, keamanan media, persyaratan dan pemantauan e-commerce.

Logging dan Auditing

Pencatatan dan audit pada sistem dilakukan sesuai dengan standar dan pedoman internal (Kebijakan Pemantauan Keamanan dan Manajemen Insiden Keamanan).

Log dan peristiwa dari infrastruktur, sistem operasi, database, server aplikasi, dan kontrol keamanan dikumpulkan secara berkelanjutan. ESET menggunakan platform manajemen log sentral (SIEM) untuk melindungi log yang relevan dari modifikasi atau penghancuran yang tidak sah. Log tersebut diproses lebih lanjut oleh tim keamanan IT dan internal untuk mengidentifikasi anomali operasional dan keamanan serta insiden keamanan informasi. Data dalam SIEM disimpan selama diperlukan oleh peraturan dan untuk pencarian ancaman retrospektif.

Pemantauan Keamanan dan Respon Insiden

Pengawasan keamanan dan pengelolaan insiden keamanan ditetapkan oleh Kebijakan tentang Pengawasan Keamanan dan Pengelolaan Insiden Keamanan.

Kebijakan menggambarkan

•tanggung jawab dan aturan untuk pengembangan, konfigurasi yang tepat, perlindungan, penyimpanan, analisis, evaluasi, dan retensi pencatatan keamanan

•proses, peran, dan tanggung jawab untuk manajemen insiden keamanan

•mencegah insiden keamanan

•meminimalkan dampak insiden keamanan

•Belajar dari insiden keamanan

•mendidik karyawan tentang aktivitas pemantauan, lingkupnya, dan peran karyawan dalam pemantauan dan tanggapan insiden

Pusat Operasi Keamanan (SOC) yang ditetapkan, yang beroperasi 24x7, diberi wewenang untuk terus memantau status keamanan infrastruktur dan aplikasi TI serta merespons insiden keamanan.

Manajemen insiden keamanan informasi di ESET bergantung pada Prosedur Respon Insiden yang ditetapkan. Peran dalam tanggapan insiden didefinisikan dan dialokasikan di berbagai tim, termasuk IT, keamanan, hukum, sumber daya manusia, hubungan publik, dan manajemen eksekutif. Insiden standar ditangani oleh tim SOC. Untuk insiden keamanan yang lebih signifikan, Pusat Komando akan diberitahu. Pusat Komando, dalam kerjasama dengan tim SOC, mengoordinasikan respons insiden dan melibatkan tim lain untuk menangani insiden. Tim SOC, yang didukung oleh anggota yang bertanggung jawab dari tim keamanan internal, juga bertanggung jawab atas pengumpulan bukti dan pelajaran yang dipelajari. Penyebab dan penyelesaian insiden akan diinformasikan kepada pihak yang terkena dampak, termasuk pelanggan dan mitra. Tim hukum ESET bertanggung jawab atas pemberitahuan kepada badan pengatur jika diperlukan, sesuai dengan Peraturan Perlindungan Data Umum (GDPR) dan Akta Keamanan Siber yang menerapkan Direktif Keamanan Jaringan dan Informasi (NIS2).

Manajemen patch

Manajemen Patch digunakan sebagai salah satu dari beberapa kegiatan mitigasi untuk memperbaiki kerentanan.

Patch keamanan dievaluasi dan diterapkan berdasarkan tingkat keparahan dan risiko kerentanan yang teridentifikasi.

Proses pemangkasan dan prioritas yang ditentukan menentukan urutan dan garis waktu penyebaran patch. Proses ini mengikuti pedoman internal ESET yang disesuaikan dengan ISO/IEC 30111. Penilaian CVSS dan sumber intelijen ancaman eksternal, seperti katalog Kerentanan yang Dapat Digunakan (KEV) yang dikenal oleh CISA, mendukung keputusan berbasis risiko dan pengaturan prioritas.

Semua patch dikonfirmasi di lingkungan terkontrol sebelum disebarkan ke produksi untuk memastikan bahwa patch menyelesaikan masalah target tanpa berdampak negatif terhadap stabilitas atau kompatibilitas sistem.

Penyebaran mengikuti prosedur manajemen perubahan yang telah ditetapkan yang memastikan pelacakan, tanggung jawab, dan kemampuan rollback apabila diperlukan.

Aktivitas patch terus dipantau dan diperiksa untuk mengkonfirmasi efektivitas, mengidentifikasi sistem yang sudah usang, dan mendorong peningkatan proses yang berkelanjutan.

Guideline Logging Application menetapkan langkah-langkah teknis dan persyaratan yang mengatur logging untuk semua aplikasi yang dikembangkan oleh ESET.

Perlindungan malware dan ancaman

Perlindungan terhadap malware (dengan perangkat lunak antivirus dan EDR) ditetapkan dalam Kebijakan Keamanan Informasi dalam Operasi Teknologi Informasi dan Komunikasi. Karyawan diwajibkan untuk segera melaporkan setiap kecurigaan infeksi malware kepada SOC sebagaimana dijelaskan dalam Kebijakan tentang keamanan informasi bagi karyawan ESET.

Persyaratan untuk titik akhir karyawan dijelaskan dalam Standar Keamanan untuk Stasiun Kerja.

ESET menggunakan alat anti-malware miliknya yang diperkaya dengan solusi pihak ketiga yang terverifikasi untuk melindungi titik akhir dan beban kerja cloud.

Tim SOC melakukan aktivitas pencarian ancaman berdasarkan Kebijakan Pemantauan Keamanan dan Manajemen Insiden Keamanan. Data ancaman (feed) dikumpulkan ke dalam sistem SIEM, yang secara otomatis diserap untuk menghasilkan intelijen ancaman yang diterapkan pada peristiwa dalam pemantauan keamanan.

Kepatuhan teknis

Tim Keamanan Internal menyediakan dan mempertahankan berbagai standar keamanan teknis untuk infrastruktur, cloud, komponen terkait web, dan praktik terbaik yang dapat diikuti oleh pengembang dan administrator TI. Berdasarkan standar teknis, tim Keamanan Dalam mempersiapkan file garis dasar konfigurasi yang digunakan oleh tim IT untuk otomatisasi penyebaran dan penegakan konfigurasi aman.

Selain itu, pemindaian kepatuhan dilakukan melalui alat penilaian kerentanan jika mungkin. ESET memiliki Program Pengujian Penetrasi yang mapan, dan produk, aplikasi, dan layanan yang dikembangkan oleh ESET tunduk pada pengujian penetrasi secara teratur berdasarkan rencana program. Semua temuan didokumentasikan dan dilaporkan kepada stakeholder Produk untuk memastikan hal tersebut dikurangi secepat mungkin.

Keamanan Fisik

Kebijakan Keamanan Fisik dan standar keamanan fisik terkait menetapkan aturan untuk keamanan fisik di sekitar lokasi kantor dan pusat data. Kebijakan ini menetapkan aturan dan prosedur untuk:

•perlindungan fasilitas ESET

•kontrol akses fisik

•keamanan kantor, ruangan, dan bangunan

•bekerja di daerah aman

•keamanan peralatan, kabel, dan infrastruktur

Keamanan Pusat Data

Komponen infrastruktur TI secara fisik terletak di dalam beberapa pusat data; oleh karena itu, redundansi dicapai di dalam setiap wilayah.

Perimeter keamanan fisik ditetapkan dalam Kebijakan Keamanan Fisik dan standar keamanan terkait untuk ruang kantor dan pusat data - standar keamanan fisik untuk pusat data. ESET mendefinisikan aturan untuk menetapkan perimeter keamanan dan kontrol yang akan diterapkan pada perimeter keamanan fisik. Kontrol kunci - termasuk zonasi keamanan fisik dan segregasi, manajemen akses dan pengunjung, pencegahan kebakaran dan banjir, serta CCTV dan pengawasan dengan penumpang - telah didefinisikan dengan jelas, diterapkan, dan dipantau secara terus-menerus. Keamanan DC secara teratur diperiksa oleh staf yang bertanggung jawab dan auditor eksternal.

ESET mengandalkan langkah-langkah keamanan fisik dan kontrol dari CSP; oleh karena itu, ESET secara teratur meninjau laporan kepatuhan yang sesuai dari CSP.

Kontrol Akses Fisik

Kontrol masuk fisik ditetapkan dalam Kebijakan Keamanan Fisik dan standar keamanan terkait untuk ruang kantor dan pusat data. Premis dibagi menjadi zona dilindungi dengan kontrol akses tertentu.

Autentikasi dikelola sesuai dengan praktik keamanan terbaik dengan menggunakan kunci, kartu ID/ akses, dan PIN.

Pengawasan akses fisik dan pencegahan/deteksi akses yang tidak sah diimplementasikan. Semua entri dipantau oleh CCTV dengan rekaman yang tercatat. Perimeter juga dipantau oleh sensor gerakan atau pemecatan kaca (termasuk dinding resistensi lemah (yaitu, kaca atau dinding kering), pintu keluar kebakaran, dan jendela).

Kontinuitas bisnis dan pemulihan bencana

ESET memelihara, secara teratur meninjau, mengevaluasi, dan menerapkan peningkatan terhadap sistem manajemen kontinuitas bisnisnya sesuai dengan Kebijakan Manajemen Kontinuitas Bisnis sesuai dengan ISO 22301.

ESET telah menetapkan Program BCM, yang memprioritaskan semua aktivitas dalam Perusahaan dan tunduk pada persetujuan CISO sesuai dengan Kebijakan BCM. Program BCM mendefinisikan kegiatan dan kegiatan operasional untuk mengurangi risiko terkait BCM, misalnya, melalui redundansi atau replikasi fungsi dan infrastruktur TI.

Analisis Dampak Bisnis (BIA) dengan tujuan kontinuitas bisnis yang ditentukan (RTO, RPO, MTD, prioritas pemulihan) sedang disiapkan dan diperiksa. Rencana pemulihan bencana (DRP) diperiksa dan diuji sesuai dengan Program BCM. Strategi Kontinuitas Bisnis menentukan pendekatan untuk menjaga aset bisnis penting. Semua hasil dari aktivitas kontinuitas bisnis reguler berfungsi sebagai input untuk peningkatan berkelanjutan.

Manajemen Risiko Pihak Ketiga

Pengawasan dan revisi layanan pemasok diatur oleh Kebijakan Keamanan Informasi dalam Hubungan Pemasok. Ulasan dilakukan secara kuartal, dan hasilnya disimpan dalam Pengevaluasi Penyedia.