Politica in materia di sicurezza

Introduzione

Scopo del Documento

Lo scopo del presente documento è fornire un riepilogo dei controlli tecnici, organizzativi e fisici e delle procedure di protezione applicate all’interno dell’infrastruttura di ESET, che include il portafoglio di prodotti, applicazioni, soluzioni e servizi di ESET (di seguito denominati “Prodotto”). Le misure di protezione, i controlli e i criteri sono progettati per proteggere

•Operazione del portafoglio ESET e trattamento dei dati in ambienti on-premise o cloud

•riservatezza, integrità e disponibilità dei dati dei clienti

•informazioni dei clienti derivanti da distruzioni, perdite, alterazioni, divulgazioni non autorizzate o accessi illegittimi

ESET potrebbe aggiornare il presente documento e le misure, i controlli e le politiche specifiche che lo disciplinano per rispondere alle minacce in evoluzione e adattarsi allo sviluppo di tecnologie di protezione e di standard industriali.

Pubblico di destinazione

Questo documento dovrebbe essere letto da chiunque abbia bisogno di garanzie nell’ambito della protezione del portafoglio ESET o del Cliente che intende utilizzare le soluzioni o i servizi di ESET tramite integrazione nel proprio ambiente.

Contesto, concept e ambito di applicazione

ESET, spol s r.o. è certificata ISO 27001:2022 con un sistema di gestione integrato.

Di conseguenza, il concept di gestione della sicurezza delle informazioni si basa sullo standard di riferimento ISO 27001 finalizzato all’implementazione di una strategia di protezione basata su una difesa multilivello in termini di applicazione dei controlli di sicurezza a ogni livello dello stack dell’architettura del sistema informatico, ad es. rete, sistemi operativi, database, applicazioni, personale e processi operativi. Le procedure di protezione e i controlli di sicurezza applicati sono concepiti per garantire una sovrapposizione e un’integrazione reciproca degli stessi.

L’ambito del presente documento è quello di sintetizzare le misure tecniche e organizzative implementate per il portafoglio di ESET; organizzazione, personale e processi operativi.  

Le procedure e i controlli di sicurezza includono misure di governance e tecniche, tra cui, a titolo esemplificativo ma non esaustivo:

•Criteri di protezione delle informazioni

•Organizzazione della protezione delle informazioni

•Protezione delle risorse umane

•Controllo accessi

•Crittografia

•Protezione fisica e ambientale

•Protezione dati, Protezione della rete, Protezione dell’applicazione

•Sicurezza operativa

•Protezione delle comunicazioni

•Acquisizione, sviluppo e manutenzione del sistema

•Relazioni con i fornitori

•Gestione degli incidenti di protezione delle informazioni

•Aspetti concernenti la protezione delle informazioni relative alla gestione della continuità aziendale

•Conformità

Abbreviazioni

Nota: Corsivo: utilizzato per i nomi dei documenti interni della Società cui si fa riferimento che non sono disponibili per la consultazione pubblica, ad esempio Politica sui regolamenti interni

Gestione della protezione

Programma di gestione della sicurezza delle informazioni

L’azienda ESET ha istituito e mantiene un quadro del programma di gestione della protezione delle informazioni come funzione interorganizzativa che regola la protezione degli asset informativi. La documentazione sulla protezione delle informazioni è guidata da criteri di protezione, processi e documentazione tramite il Criterio sulle regolamentazioni interne. ESET ha adottato la Politica del sistema di gestione integrato che costituisce il riferimento normativo di primo livello

•Criterio ISMS,

•Criterio QMS e

•Critero di protezione delle informazioni

ESET aderisce alla Politica sul Sistema di gestione integrata, che definisce il quadro per la gestione della qualità e della protezione delle informazioni. Il presente criterio è di proprietà del Chief Information Security Officer (CISO) di ESET e rappresenta l’impegno della gestione a livello superiore in materia di sicurezza e qualità. Definisce le responsabilità per la gestione e l’assicurazione di questi domini e delinea l’impegno di ESET a valutare e migliorare continuamente l’efficacia del proprio sistema di gestione in conformità delle norme ISO 9001 e ISO 27001.

Le politiche aziendali vengono documentate, curate e revisionate annualmente, nonché aggiornate in seguito a modifiche significative allo scopo di garantire un livello costante di idoneità, adeguatezza ed efficacia. Gli aggiornamenti vengono comunicati al personale interno e le politiche sono disponibili per tutti i dipendenti. I criteri vengono formalmente adottati, firmati dal CEO, pubblicati e comunicati a tutti i dipendenti e alle parti interessate. Le politiche sono accettate ufficialmente dai dipendenti di ESET al momento dell’onboarding.

Oltre alle politiche, i team addetti alla sicurezza tecnica e delle informazioni di ESET hanno elaborato processi, procedure, standard e principi fondamentali di configurazione basati sulle migliori prassi dell’industria e dei fornitori in materia di protezione (ad es. benchmark CIS, OWASP, NIST). Questi sono forniti ai team IT e Technology per garantire la sicurezza dello sviluppo, della configurazione e del funzionamento dei sistemi informativi e dei prodotti ESET.

ESET custodisce una documentazione di governance interconnessa, che è stata pensata e resa disponibile per l’intero personale in base alle certificazioni in possesso della Società previste dalle norme ISO 9001 e ISO 27001. Le procedure operative sono personalizzate per soddisfare le esigenze specifiche di ciascun team, gestite all’interno degli spazi di lavoro designati e aggiornate come richiesto.

La Società ha attuato un processo di monitoraggio della conformità alle politiche insieme a una serie di procedure disciplinari finalizzate alla gestione e alla correzione di eventuali inosservanze delle politiche di sicurezza, in modo da rafforzare il proprio impegno per quanto attiene alla gestione delle responsabilità e al miglioramento continuo.

Per garantire una costante conformità ed efficacia, ESET ha implementato un quadro di gestione dei rischi, mantenendo i controlli tecnici e organizzativi. Il processo di gestione dei rischi di ESET prevede una valutazione e una gestione completi dei rischi nell’ambito del Sistema di gestione integrata (in base a ISO 9001 e ISO 27001). Ciò include la valutazione degli asset, l’identificazione dei requisiti di protezione, il calcolo dei rischi e la selezione di strategie di mitigazione adeguate. Il Chief Information Security Officer (CISO) supervisiona il processo generale di gestione dei rischi, garantendo la segnalazione regolare dei rischi per la protezione e delle metriche correlate alla direzione esecutiva. Inoltre, la gestione dei rischi di terze parti viene rigorosamente applicata mediante valutazioni dei fornitori, seguendo lo Standard di protezione dei contratti di ESET.

Conformità agli standard del settore

La convalida e l’accreditamento esterni sono essenziali per le organizzazioni che si affidano alle capacità e alla tecnologia di ESET per proteggere i propri dati e rispettare i requisiti normativi. Per ulteriori informazioni, consultare La pagina delle certificazioni di ESET.

Monitoraggio della conformità

La Politica del sistema di gestione integrato definisce il sistema di gestione integrato, che prevede revisioni e audit periodici.

Gli audit interni esaminano regolarmente la conformità alle politiche e ai processi di ESET, come descritto nella Politica sugli audit interni. La Politica sui regolamenti interni stabilisce la responsabilità di monitorare periodicamente l’applicazione dei regolamenti interni e degli aggiustamenti pertinenti, se necessario.

Vengono effettuati revisioni periodiche e revisioni interne ed esterne in linea con un piano di revisione a lungo termine annuale e triennale. Le revisioni interne vengono eseguite da revisori indipendenti che controllano regolarmente l’aderenza ai criteri e ai processi di ESET o agli standard applicabili (ad esempio, ISO 9001, ISO 27001 e SOC2), a seconda dell’ambito di applicazione della revisione. Vengono pianificati e eseguiti audit interni almeno una volta all’anno. I risultati degli audit vengono raccolti e registrati in un sistema di gestione delle richieste dedicato, che prevede l’assegnazione dei rispettivi proprietari, che sono responsabili della gestione e della risoluzione delle non conformità entro un periodo di tempo predefinito. I risultati degli audit che richiedono la supervisione e decisioni da parte della dirigenza vengono esaminati durante le riunioni periodiche di revisione della dirigenza.

Organizzazione della protezione delle informazioni

Le responsabilità in termini di protezione delle informazioni vengono assegnate in base ai criteri in essere. I processi interni vengono identificati e valutati ai fini dell’individuazione di eventuali rischi correlati a modifiche non autorizzate o non intenzionali o a utilizzi non autorizzati delle informazioni di ESET. Le attività rischiose o sensibili dei processi interni si basano sul principio delle migliori prassi in materia di sicurezza finalizzato alla mitigazione del rischio.

La protezione delle informazioni viene garantita a livello della gestione progettuale attraverso l’adozione dell’apposito framework, dalla concezione al completamento del progetto.

Il lavoro da remoto e il telelavoro sono coperti tramite l’implementazione di una politica sui dispositivi mobili che prevede l’utilizzo di un complesso sistema di protezione dei dati crittografato durante il trasferimento delle informazioni attraverso reti non attendibili. I controlli di sicurezza sui dispositivi mobili sono stati concepiti ai fini di un funzionamento indipendente dalle reti e dai sistemi interni di ESET.

Protezione delle risorse umane

ESET utilizza pratiche standard relative alle risorse umane, compresi criteri concepiti allo scopo di preservare la protezione delle informazioni. Queste prassi coprono l’intero ciclo di vita del dipendente e si applicano a tutti i dipendenti.

ESET richiede al proprio personale di sottoporsi a verifiche delle referenze e a una serie di attività di screening durante il processo di onboarding. Il personale sarà altresì tenuto a firmare l’Accordo di non divulgazione o riservatezza previsto dal contratto di lavoro che sancisce l’obbligo di attenersi alle politiche e agli standard di sicurezza interni e di proteggere le informazioni riservate e i dati dei clienti di ESET. Durante il processo di onboarding, il personale è infine tenuto a completare un percorso di formazione sulla consapevolezza della sicurezza delle informazioni nell’ambito del Programma di conformità e consapevolezza di ESET.

Misure tecniche

Gestione delle identità e degli accessi

La Politica in materia di gestione degli accessi di ESET disciplina tutti gli accessi all’infrastruttura di ESET. Processi di controllo dell’accesso nell’ambito della concessione, della revoca, della modifica dell’accesso e anche della revisione dei diritti di accesso concessi applicati a tutti i livelli di infrastruttura, tecnologia, applicazione o strumenti. La gestione completa degli accessi degli utenti a livello di applicazione è autonoma. L’autenticazione singola è regolamentata da un fornitore centrale di identità, che garantisce che un utente possa accedere solo all’ambiente o all’applicazione autorizzati.

Sistemi di gestione di utenti e accessi, processi e misure tecniche finalizzati al deprovisioning degli accessi degli utenti, sistemi di provisioning degli accessi degli utenti, revisione, rimozione e modifica dei diritti di accesso ai fini della gestione degli accessi dei dipendenti di ESET all’infrastruttura e alle reti della Società in conformità degli standard di sicurezza, che includono, a titolo esemplificativo ma non limitativo:

•Provisioning degli accessi basato sul privilegio minimo della “necessità di sapere”

•Riesame regolare dell’accesso dell’utente

•Risoluzione dell’accesso dell’utente in base al criterio di protezione

•Assegnazione dell’account unico a tutti

•Registrazione dei tentativi di accesso, revisione e monitoraggio degli utenti

•Registrazione e revisione degli accessi fisici

•Implementazione dell’autenticazione a più fattori per l’accesso con privilegi avanzati e come utente amministratore

•Attuazione di un sistema di timeout per le sessioni interattive in seguito a periodi di inattività specificati

Protezione dati

Crittografia dei dati

ESET garantisce la protezione dei dati nella propria infrastruttura e utilizza un efficace sistema di crittografia per i dati a riposo (inclusi dispositivi portatili) e in transito. L’implementazione della crittografia segue le regole definite dallo standard interno Crittografia. I dati dei clienti vengono conservati in base ai principi sanciti dalle normative in materia, tra cui GDPR, Direttiva NIS2 o regolamenti dell’industria e delle finanze.

Misure in atto:

•Ai fini del rilascio di certificati destinati ai servizi web pubblici ESET utilizza generalmente l’autorità di certificazione accreditata

•ESET Internal PKI viene utilizzato per gestire le chiavi all’interno dell’infrastruttura di ESET

•È abilitata la crittografia nativa della piattaforma CSP per garantire la protezione in stato di riposo dei dati per le parti pertinenti del trattamento dei dati o la persistenza dei dati nell’ambiente cloud (archiviazione dei dati, backup)

•È disponibile un sistema di crittografia efficace (ad es. TLS) per la crittografia dei dati in transito

Backup e recupero dei dati

I backup sono disciplinati dalla Politica sulla sicurezza delle informazioni nell’ambito dell’utilizzo di tecnologie dell’informazione e delle comunicazioni.

Tutti i dati di configurazione e distribuzione del portafoglio di ESET vengono memorizzati negli archivi protetti della Società e sottoposti a backup periodici per consentire il ripristino automatico di una configurazione ambientale. Il processo che prevede l’esecuzione di test periodici a seguito di un ripristino di emergenza viene utilizzato allo scopo di verificare la possibilità di ripristino del backup di configurazione entro i tempi previsti dall’azienda.

I dati dei clienti di ESET vengono sottoposti a backup periodici in base agli standard e ai regolamenti industriali, nonché ai requisiti in materia di funzionamento ad alta disponibilità e di ripristino contrattuale. I backup sono protetti da manomissioni e la loro validità viene regolarmente testata mediante processi di esecuzione di operazioni di ripristino di emergenza.

Protezione di rete

La segmentazione della rete viene applicata in tutto l’ambiente di rete di ESET. Le reti vengono segregate in base a criteri definiti e applicate mediante l’utilizzo di VLAN sui firewall.

ESET utilizza una varietà di sistemi di sicurezza perimetrale, tra cui firewall L7, sistemi di rilevamento delle intrusioni e sistemi di prevenzione delle intrusioni. Questi sistemi sono configurati e mantenuti per proteggere i punti di accesso esterni, garantendo che vengano rilevati e prevenuti eventuali tentativi non autorizzati di accesso alla rete.  

L’accesso remoto alle risorse interne viene fornito tramite un servizio VPN utente o da sito a sito con ruoli e responsabilità, requisiti di protezione e controlli specificati nelle politiche interne di ESET e configurati in conformità degli standard di sicurezza del settore. Gli account utente VPN vengono gestiti all’interno di Active Directory e sono parte del processo di provisioning degli account dei dipendenti.

ESET implementa e gestisce controlli di sicurezza delle reti ai fini della protezione di dati elaborati, ricevuti o archiviati nell’ambiente cloud. Gli account del CSP e l’infrastruttura sottostante utilizzano elenchi di controllo dell’accesso alla rete e gruppi di protezione all’interno della rete virtuale del CSP per limitare l’accesso a tutte le risorse fornite. L’accesso alle risorse cloud è possibile solo tramite canali crittografati.  

Hardening

ESET utilizza il processo di protezione dei sistemi per ridurre possibili vulnerabilità agli attacchi. Ciò implica le seguenti tecniche e migliori prassi:

•disporre di una golden image firmata che viene utilizzata ai fini dell’installazione o della distribuzione di host o container

•Disattivazione di servizi inutili

•aggiunta automatica pianificata e patch ad hoc dei componenti critici in caso di rischio elevato

•aggiornamenti del sistema operativo prima di raggiungere la fine del ciclo di vita

•configurazione delle impostazioni di protezione

•automazione della gestione dell’Infrastruttura e delle applicazioni in modo ripetibile e coerente

•rimozione di software non necessari

•limitazione dell’accesso a risorse locali

•controlli basati su host, come antivirus, rilevamento endpoint e risposta e criteri di rete

ESET adotta un approccio centralizzato ai fini dell’applicazione e della verifica del processo di hardening per i componenti degli ambienti informatici allo scopo di ridurre al minimo la superficie dell’attacco, vale a dire l’insieme di tutti i potenziali punti di ingresso che potrebbero essere sfruttati dagli autori degli attacchi. Per informazioni dettagliate, fare riferimento alla seguente parte del presente documento.

Sicurezza delle applicazioni

Sicurezza delle pratiche di sviluppo

ESET implementa le pratiche di sviluppo del software sicuro attraverso la Politica sulla protezione nel ciclo di vita del software (SSDLC), che integra i controlli sulla protezione e la gestione dei rischi in tutte le fasi di sviluppo.

Il criterio SSDLC definisce i requisiti per:

•La scrittura del codice è conforme alle linee guida sulla codifica sicura e viene sottoposta a revisione prima dell’unione

•Vengono eseguite la modellizzazione delle minacce e una serie di revisioni dell’aspetto delle nuove funzioni e delle principali modifiche

•Controlli automatizzati della protezione (analisi statica, analisi delle dipendenze e test dinamici selezionati) eseguiti nell’ambito dei canali CI/CD

•Vengono eseguiti un tracciamento e un aggiornamento continuo dei componenti di terze parti e open source; viene redatto un elenco SBOM per tutti i prodotti distribuiti

•I risultati di incidenti, test di penetrazione e report di bug bounty vengono esaminati e reinseriti nel processo di sviluppo

L’obiettivo della politica SSDLC è garantire che tutti i Prodotti software ESET siano sicuri, affidabili e conformi agli standard e ai regolamenti applicabili.

Gestione delle vulnerabilità dei prodotti

ESET mantiene un processo definito per identificare, valutare e affrontare le vulnerabilità nelle proprie applicazioni e Prodotti per l’intero ciclo di vita.

Il processo copre sia i problemi rilevati internamente che i report provenienti da fonti esterne.

Nell’ambito della gestione delle vulnerabilità dei prodotti, ESET:

•Utilizza strumenti di scansione automatica per eseguire la scansione del codice sorgente, delle dipendenze e la creazione di artefatti per le vulnerabilità note

•Vengono eseguite revisioni manuali dei risultati ottenuti allo scopo di confermarne l’impatto e la rilevanza prima dell’assegnazione dell’azione correttiva

•Monitora e assegna priorità alle risoluzioni in base alla gravità, alla capacità di sfruttamento e all’esposizione dei prodotti

•Esegue test di sicurezza mirati e la ripetizione dei test ai fini della verifica dell’azione correttiva

•Integra i dati sulle vulnerabilità nella pianificazione dello sviluppo e della distribuzione, in modo che i problemi critici vengano affrontati prima dell’invio

•Accetta e gestisce report esterni tramite divulgazioni coordinate e un programma bug bounty pubblico

•Assegna identificatori CVE per le vulnerabilità del prodotto confermate nell’ambito del proprio ruolo di Autorità di numerazione CVE (CVE Numbering Authority, CNA)

•Applica patch e correzioni in base alla gravità della vulnerabilità e all’impatto aziendale, seguendo un processo di classificazione strutturata

oIl processo di classificazione è conforme alla norma ISO/IEC 30111 (Gestione delle vulnerabilità) e alla norma ISO/IEC 29147 (Divulgazione delle vulnerabilità)

oI punteggi CVSS e le fonti informative esterne, come il catalogo Known Exploited Vulnerabilities KEV) di CISA, vengono utilizzati per guidare la definizione delle priorità

oLe decisioni correttive finali vengono adottate in collaborazione con i team responsabili del Prodotto e della sicurezza

Questi processi assicurano che le vulnerabilità siano gestite in modo coerente, trasparente e tracciabile in tutti i Prodotti ESET.

Test di penetrazione

ESET esegue regolari test di penetrazione dei propri Prodotti nell’ambito del processo complessivo di garanzia della sicurezza dei prodotti – nell’ambito del proprio Programma di Test di penetrazione. I test vengono eseguiti prima dei principali rilasci e a intervalli pianificati per i Prodotti mantenuti.

Il test di penetrazione di ESET si concentra su:

•Verifica dell’efficacia dei controlli sulla protezione e delle misure di mitigazione attuati

•Identificazione di potenziali vulnerabilità che potrebbero non essere rilevate da strumenti automatizzati

•Valutazione dei risultati delle precedenti azioni correttive

•Valutazione della superficie generale dell’attacco e dell’esposizione al rischio dei Prodotti rilasciati

I test vengono eseguiti in ambienti isolati da specialisti interni qualificati o partner esterni di fiducia che utilizzano metodologie del settore riconosciute (OWASP WSTG/MTG, NIST SP 800-115, PTES).

I risultati vengono documentati, valutati e tracciati attraverso il processo di gestione delle vulnerabilità utilizzato per i problemi segnalati internamente e esternamente.

I risultati dei test di penetrazione vengono inseriti direttamente nei piani di miglioramento del Prodotto e nel sistema SSDLC, contribuendo in tal modo a sedimentare le lezioni apprese e a ridurre nel tempo i punti deboli ricorrenti.

Sicurezza operativa

Criterio di protezione delle informazioni nelle operazioni delle TIC

La Politica sulla protezione delle informazioni nel funzionamento delle TIC all’interno della Società stabilisce le regole di protezione fondamentali correlate al funzionamento delle TIC in conformità della norma ISO 27001.

La Politica sulla sicurezza delle informazioni nell’ambito dell’utilizzo di tecnologie dell’informazione e delle comunicazioni definisce i requisiti di sicurezza per i processi di operatività informatica e la relativa documentazione, tra cui: procedure operative, gestione delle modifiche, separazione dei ruoli e delle responsabilità, separazione degli ambienti di produzione, test e sviluppo, servizi informatici di terze parti, pianificazione delle prestazioni, progetti informatici, sistemi di protezione anti-malware, backup, sicurezza della rete, sicurezza dei contenuti multimediali, requisiti e monitoraggio delle attività correlate all’e-commerce.

Registrazione e auditing

Le attività di registrazione e auditing di un sistema vengono eseguite in base a quanto sancito dalle norme e dalle linee guida interne (Politica sul monitoraggio della sicurezza e sulla gestione degli incidenti di sicurezza).  

I rapporti e gli eventi provenienti dall’infrastruttura, dal sistema operativo, dal database, dai server delle applicazioni e dai controlli di sicurezza vengono raccolti in modo continuativo. ESET utilizza una piattaforma di gestione dei rapporti centrale (SIEM) per proteggere i rapporti pertinenti da modifiche o distruzioni non autorizzate. I rapporti vengono ulteriormente elaborati dai team informatici e da quelli addetti alla sicurezza interna ai fini dell’identificazione delle anomalie operative e di protezione e degli incidenti in materia di protezione delle informazioni. I dati contenuti nel SIEM vengono conservati per il tempo richiesto dalle normative e ai fini della ricerca retrospettiva delle minacce.

Monitoraggio della protezione e risposta agli incidenti

Il monitoraggio della sicurezza e la gestione degli incidenti di sicurezza sono definiti nella Politica sul monitoraggio della sicurezza e sulla gestione degli incidenti di sicurezza.

La politica mira a raggiungere i seguenti obiettivi:

•responsabilità e regole per lo sviluppo, la corretta configurazione, la protezione, l’archiviazione, l’analisi, la valutazione e la conservazione dei rapporti di protezione e dell’audit

•processo, ruoli e responsabilità per la gestione degli incidenti di protezione

•prevenzione di incidenti di sicurezza

•ridurre al minimo l’impatto degli incidenti di sicurezza

•imparare dagli incidenti di sicurezza

•educare i dipendenti sulle attività di monitoraggio, sul relativo ambito e sul ruolo dei dipendenti nel monitoraggio e nella risposta agli incidenti

Un Centro operativo di protezione (Security Operations Center, SOC), che funziona 24 ore su 24, è autorizzato a monitorare continuamente lo stato della protezione dell’infrastruttura e delle applicazioni informatiche e a rispondere agli incidenti di protezione.

La gestione degli incidenti di protezione delle informazioni in ESET si basa sulla Procedura di risposta agli incidenti definita. I ruoli nell’ambito della risposta agli incidenti sono definiti e assegnati tra più team, tra cui il team informatico e i team addetti alla protezione, alle questioni legali, alle risorse umane, alle pubbliche relazioni e alla gestione esecutiva. Gli incidenti standard vengono gestiti dal team SOC. In caso di incidenti di sicurezza di maggiore rilievo, viene allertato il Centro di comando. Il Centro di comando, in collaborazione con il team SOC, coordina la risposta agli incidenti e coinvolge altri team per la gestione degli incidenti. Il team SOC, supportato dai responsabili del team addetto alla sicurezza interna, si occupa altresì della raccolta di prove e della sedimentazione delle lezioni apprese. L’occorrenza e la risoluzione degli incidenti vengono comunicate alle parti interessate, inclusi clienti e partner. Se necessario, il team legale di ESET sarà responsabile delle comunicazioni con gli enti normativi, in conformità del Regolamento generale sulla protezione dei dati (GEneral Data Protection Regulation, GDPR) e del Cybersecurity Act che recepisce la Network and Information Security Directive (NIS2).

Gestione patch

La gestione delle patch viene utilizzata come una delle varie attività di mitigazione per correggere le vulnerabilità.

Le patch di protezione vengono valutate e applicate in base alla gravità e al rischio correlato alle vulnerabilità identificate.

La definizione di un processo di classificazione e di assegnazione delle priorità determina l’ordine e le tempistiche di distribuzione delle patch. Questo processo segue le linee guida interne di ESET in linea con la norma ISO/IEC 30111. Il punteggio CVSS e le fonti informative esterne relative alle minacce, come il catalogo Known Exploitable Vulnerabilities (KEV) di CISA, supportano le decisioni basate sui rischi e l’assegnazione delle priorità.

Tutte le patch vengono verificate in ambienti controllati prima della distribuzione e fino alla produzione allo scopo di garantire che un problema venga risolto senza alcuna ripercussione negativa sulla stabilità o sulla compatibilità del sistema.

La distribuzione segue procedure di gestione delle modifiche stabilite che garantiscono la tracciabilità, la responsabilità e la capacità di ripristino quando richiesto.

Le attività di patch vengono continuamente monitorate e riviste per confermare l’efficacia, identificare sistemi obsoleti e guidare i miglioramenti dei processi in corso.

La Guida sulla registrazione delle applicazioni specifica le misure tecniche e i requisiti che disciplinano la registrazione per tutte le applicazioni sviluppate da ESET.

Protezione da malware e minacce

Il sistema di protezione anti-malware (tramite software antivirus e EDR) è illustrato nella Politica sulla sicurezza delle informazioni nell’ambito dell’utilizzo di tecnologie dell’informazione e delle comunicazioni. I dipendenti sono tenuti a segnalare immediatamente al team SOC eventuali infezioni da malware sospette, come descritto nella Politica sulla sicurezza delle informazioni per i dipendenti di ESET.  

I requisiti per gli endpoint dei dipendenti sono descritti nello Standard di protezione per le workstation.

ESET utilizza i propri strumenti anti-malware arricchiti da soluzioni di terze parti verificate per proteggere gli endpoint e i carichi di lavoro cloud.

Il team SOC esegue attività di ricerca delle minacce in base alla Politica sul monitoraggio della sicurezza e sulla gestione degli incidenti di sicurezza. I dati sulle minacce (feed) vengono raccolti nel sistema SIEM, che viene alimentato automaticamente allo scopo di produrre informazioni sulle minacce applicate a eventi nell’ambito delle attività di monitoraggio della sicurezza.

Conformità tecnica

Il team di Protezione interna fornisce e mantiene vari standard di protezione tecnica per l’infrastruttura, il cloud, i componenti correlati al web e le migliori pratiche da seguire da sviluppatori e amministratori informatici. In base a quanto previsto dagli standard tecnici, il team addetto alla sicurezza interna prepara i file di base della configurazione che vengono utilizzati dai team informatici ai fini dell’automazione della distribuzione e dell’applicazione delle configurazioni protette.

Inoltre, i controlli di conformità vengono eseguiti tramite uno strumento di valutazione delle vulnerabilità, ove possibile. ESET dispone di un Programma di Test di penetrazione stabilito e i prodotti, le applicazioni e i servizi sviluppati da ESET sono soggetti a test di penetrazione regolari basati sul piano del programma. Tutti i risultati vengono documentati e segnalati alle parti interessate del Prodotto per garantire che vengano attenuati il prima possibile.

Protezione fisica

La Politica sulla protezione fisica e i relativi standard di protezione fisica definiscono le regole per la protezione fisica intorno alle sedi degli uffici e ai data center. La presente politica stabilisce le regole e le procedure per:

•Protezione delle strutture di ESET

•controllo degli accessi fisici

•sicurezza di uffici, stanze ed edifici

•lavoro in aree protette

•sicurezza di apparecchiature, cablaggi e infrastrutture

Sicurezza dei Data Center

I componenti dell’infrastruttura informatica si trovano fisicamente all’interno di più centri dati e, pertanto, viene raggiunto un livello di ridondanza all’interno di ciascuna regione.

Il perimetro della sicurezza fisica è definito nella Politica sulla sicurezza fisica e negli standard di sicurezza correlati per uffici e i data center (Standard di sicurezza fisica per i data center). ESET ha stabilito una serie di regole per la creazione di un perimetro di sicurezza e di controlli da applicare al perimetro di sicurezza fisico. I controlli chiave, tra cui la definizione delle zone di protezione fisica e la segregazione, la gestione degli accessi e dei visitatori, la prevenzione degli incendi e delle inondazioni, nonché la CCTV e il monitoraggio con equipaggio, sono chiaramente definiti, implementati e monitorati in modo continuativo. La protezione di DC viene periodicamente rivista dal personale responsabile e da revisori esterni.

ESET si affida alle misure e ai controlli fisici di protezione dei fornitori di servizi gestiti e, pertanto, esamina regolarmente le relazioni di conformità corrispondenti dei fornitori di servizi gestiti.

Controlli degli accessi fisici

I controlli degli accessi fisici sono illustrati nella Politica sulla sicurezza fisica e negli standard di sicurezza correlati per uffici e data center. Le sedi sono suddivise in zone protette con controlli di accesso specifici.

L’autenticazione viene gestita in base alle migliori prassi in materia di sicurezza mediante l’utilizzo di chiavi, ID/schede di accesso e PIN.

Vengono implementati il monitoraggio degli accessi fisici e la prevenzione/il rilevamento di accessi non autorizzati. Tutti gli ingressi vengono monitorati tramite un sistema CCTV con record registrato. Il perimetro viene monitorato anche tramite sensori di movimento o di rottura di vetri (comprese pareti debolmente armate – ad es. vetri o cartongesso – uscite antincendio e finestre).

Continuità aziendale e ripristino di emergenza

ESET mantiene, riesamina regolarmente, valuta e implementa miglioramenti al proprio sistema di gestione della continuità aziendale in base alla Politica sulla gestione della continuità aziendale in linea con la norma ISO 22301.

ESET ha istituito il Programma BCM ai fini dell’assegnazione delle priorità alle attività interne alla Società. Questo strumento è sottoposto all’approvazione di CISO in base a quanto sancito dalla Politica del Programma BCM. Il Programma BCM definisce le attività operative e le attività volte a mitigare i rischi correlati al BCM, ad esempio tramite licenziamenti o replica di funzioni e infrastrutture informatiche.

Vengono preparate e sottoposte a revisione Analisi degli impatti aziendali (Business Impact Analyses, BIA) con obiettivi di continuità aziendale definiti (RTO, RPO, MTD, priorità delle azioni di ripristino). I piani di ripristino di emergenza (Disaster recovery plans, DRP) vengono sottoposti a revisione e testati in base al Programma BCM. La strategia di Continuità aziendale determina l’approccio per il mantenimento di attività aziendali critiche. Tutti i risultati ottenuti dalle attività di continuità aziendale periodiche vengono utilizzati per scopi di miglioramento continuo.

Gestione dei rischi di terze parti

Il monitoraggio e la revisione dei servizi dei fornitori sono disciplinati dalla Politica sulla sicurezza delle informazioni nelle relazioni con i fornitori. Le revisioni vengono eseguite su base trimestrale e i risultati vengono archiviati nella Valutazione del fornitore.