Krijg inzicht in uw rechten en onze verantwoordelijkheden, samen op één plek

De inhoud van deze pagina is mogelijk automatisch vertaald en slechts gedeeltelijk bewerkt door een mens.

Beveiligingsbeleid

Inleiding

Doel van het Document

Het doel van dit document is om een samenvatting te maken van de technische, organisatorische en fysieke controles en beveiligingspraktijken die worden toegepast binnen de ESET-infrastructuur, die het ESET-portfolio omvat, d.w.z. producten, toepassingen, oplossingen en ESET-services (hierna aangeduid als Product). Beveiligings- en beheersmaatregelen en beleidsregels zijn ontworpen voor de beveiliging van het volgende:

•ESET-portfolio-operatie en gegevensverwerking in de on-premises- of cloudomgevingen

•vertrouwelijkheid, integriteit en beschikbaarheid van de klantgegevens

•klantinformatie tegen onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking of toegang

ESET kan dit document en de specifieke (beheers)maatregelen en beleidsregels die hierop van toepassing zijn, bijwerken om in te spelen op veranderende bedreigingen en nieuwe ontwikkelingen van de beveiligingstechnologie en industriestandaarden.

Doelgroep

Dit document moet worden gelezen door iedereen die verzekering nodig heeft op het gebied van Beveiliging van de ESET-portefeuille, of de Klant die van plan is de ESET-oplossingen of -services te gebruiken via integratie in de eigen omgeving.

Context, concept en reikwijdte

ESET, spol s r.o. bedrijf is ISO 27001:2022 gecertificeerd met een geïntegreerd beheersysteem.

Bij het concept van informatiebeveiligingsbeheer wordt gebruikgemaakt van het ISO 27001-raamwerk om een gelaagde verdediging als beveiligingsstrategie te implementeren bij het toepassen van beveiligingsbeheer op elke laag van de architectuurstack van het informatiesysteem, zoals netwerk, besturingssystemen, databases, toepassingen, personeel en bedrijfsprocessen. Toegepaste beveiligingspraktijken en beveiligingscontroles zijn bedoeld om elkaar te overlappen en aan te vullen.

Het toepassingsgebied van dit document is om de technische en organisatorische maatregelen samen te vatten die zijn geïmplementeerd voor de ESET-portefeuille, de organisatie, het personeel en de operationele processen.

Beveiligingspraktijken en -controles omvatten governance- en technische maatregelen, waaronder, maar niet beperkt tot:

•Informatiebeveiligingsbeleid

•Organisatie van informatiebeveiliging

•Beveiliging van human resources

•Toegangsbeheer

•Cryptografie

•Fysieke beveiliging en beveiliging van de omgeving

•Gegevensbeveiliging, Netwerkbeveiliging, Toepassingsbeveiliging

•Operationele beveiliging

•Beveiliging van de communicatie

•Systeemacquisitie, -ontwikkeling en -onderhoud

•Relatie met leverancier

•Beheer van IT-incidenten

•IT-aspecten van bedrijfscontinuïteitsbeheer

•Naleving

Afkortingen

Afgekorte term	Volledige term
Bedrijf	ESET, spol. s r. o.
CSP	Provider van cloudservices
DR	Recovery bij rampen
ESET	ESET, spol. s r. o.
AVG	Algemene verordening gegevensbescherming
ICT	Informatie- en communicatietechnologieën
IR	Reactie op incidenten
IS	Informatiebeveiliging
ISMS	Informatiebeveiligingsbeheersysteem
IT	Informatietechnologie
NIS	Cyberbeveiligingswet tot omzetting van de richtlijn Netwerk- en informatiebeveiliging
PKI	Infrastructuur met openbare sleutel
Product	ESET-portfolio – d.w.z. bovendien producten, toepassingen, cloudplatforms, oplossingen en ESET-services
SIEM	Beveiligingsinformatie en Eventbeheer
SSDLC	Secure Software-ontwikkelingslevenscyclus
QMS	Quality Management System

Opmerking: Cursief schrift: gebruikt voor namen van interne bedrijfsdocumenten met verwijzingen, niet beschikbaar voor het publiek, bijvoorbeeld Beleid inzake interne regelgeving

Beveiligingsbeheer

Programma voor informatiebeveiligingsbeheer

Het bedrijf ESET heeft een kader voor het beheer van het programma voor informatiebeveiliging opgezet en onderhoudt het als een interorganisatiefunctie voor de bescherming van informatieactiva. Informatiebeveiligingsdocumentatie wordt geleid door beveiligingsbeleid, -processen en -documentatie via het Beleid inzake interne voorschriften. ESET heeft het Beleid inzake geïntegreerd beheersysteem aangenomen, dat als topniveau dient

•ISMS-beleid

•QMS-beleid en

•Informatiebeveiligingsbeleid

ESET houdt zich aan het beleid inzake het geïntegreerde beheersysteem, dat het kader definieert voor het beheer van kwaliteit en informatiebeveiliging. Dit beleid is eigendom van de Chief Information Security Officer (CISO) van ESET en vertegenwoordigt de toewijding van het management op het hoogste niveau aan beveiliging en kwaliteit. Hierin worden verantwoordelijkheden gedefinieerd voor het beheer en de waarborging van deze domeinen en wordt de verbintenis van ESET uiteengezet om de doeltreffendheid van het beheersysteem continu te evalueren en te verbeteren in overeenstemming met de normen ISO 9001 en ISO 27001.

Bedrijfsbeleid wordt jaarlijks vastgelegd, bijgehouden en beoordeeld, en bijgewerkt na belangrijke wijzigingen, zodat het voortdurend bruikbaar, adequaat en effectief blijft. Updates worden meegedeeld aan intern personeel, waar het beleid voor alle werknemers beschikbaar is. Het beleid wordt formeel aangenomen, ondertekend door de CEO, gepubliceerd en meegedeeld aan alle werknemers en relevante partijen. Beleid wordt formeel erkend door ESET-medewerkers bij aanmelding.

In aanvulling op het beleid hebben de teams voor Informatiebeveiliging en Technische Beveiliging van ESET processen, procedures, normen en configuratiebasislijnen ontworpen op basis van de beste beveiligingspraktijken van de industrie en de leveranciers (bijvoorbeeld CIS-benchmarks, OWASP, NIST). Deze worden geleverd aan IT- en technologieteams om de ontwikkeling, configuratie en werking van ESET-informatiesystemen en -producten veilig te stellen.

ESET onderhoudt onderling verbonden governance-documentatie, die is ontworpen en beschikbaar is voor alle medewerkers in overeenstemming met ESET's certificeringen voor ISO 9001 en ISO 27001. Operationele procedures worden aangepast aan de specifieke behoeften van elk team, beheerd binnen aangewezen werkruimten en zo nodig bijgewerkt.

Er zijn beleidsconformiteitsbewaking en disciplinaire procedures beschikbaar om eventuele niet-naleving van beveiligingsbeleid aan te pakken en te verhelpen, waardoor de inzet van ESET voor verantwoordingsplicht en continue verbetering wordt versterkt.

Om permanente naleving en doeltreffendheid te garanderen, heeft ESET een kader voor risicobeheer geïmplementeerd waarbij technische en organisatorische controles worden gehandhaafd. Het risicobeheersproces van ESET omvat een uitgebreide evaluatie en beheer van risico's binnen het geïntegreerde beheersysteem (gebaseerd op ISO 9001 en ISO 27001). Dit omvat de evaluatie van activa, het identificeren van beveiligingsvereisten, het berekenen van risico's en het selecteren van passende beperkingsstrategieën. De Chief Information Security Officer (CISO) houdt toezicht op het algemene risicobeheersproces en zorgt ervoor dat beveiligingsrisico's en gerelateerde metricen regelmatig worden gemeld aan het uitvoerend management. Daarnaast wordt risicobeheer door derden strikt gehandhaafd door middel van evaluaties van leveranciers, volgens de ESET-contractbeveiligingsnorm.

Naleving van industriestandaarden

Externe validatie en accreditatie zijn van cruciaal belang voor organisaties die vertrouwen op de mogelijkheden en technologie van ESET om hun gegevens te beveiligen en te voldoen aan de wettelijke vereisten. Voor meer informatie raadpleegt u Certificatiespagina van ESET.

Toezicht op naleving

Het beleid voor het geïntegreerde beheersysteem stelt het geïntegreerde beheersysteem vast, met inbegrip van regelmatige beoordelingen en audits.

Interne audits evalueren regelmatig de naleving van het ESET-beleid en -processen zoals beschreven in het Beleid inzake interne audit. Het Beleid inzake interne voorschriften bepaalt de verantwoordelijkheid voor het regelmatig toezicht op de toepassing van interne voorschriften en relevante aanpassingen indien nodig.

Regelmatige audits en interne en externe audits worden uitgevoerd in overeenstemming met een jaarlijks en driejarig auditplan. Interne audits worden uitgevoerd door onafhankelijke auditors die regelmatig de naleving van het ESET-beleid en -processen of van toepasselijke normen (bijvoorbeeld ISO 9001, ISO 27001 en SOC2) beoordelen, afhankelijk van de reikwijdte van de audit. Interne audits worden ten minste jaarlijks gepland en uitgevoerd. Auditresultaten worden verzameld en opgenomen in een speciaal ticketingssysteem, waarbij respectievelijke eigenaren worden toegewezen, die verantwoordelijk zijn voor het aanpakken en oplossen van de non-conformiteiten binnen een vooraf gedefinieerde termijn. Auditresultaten die beheersbewaking vereisen en beslissingen worden beoordeeld tijdens regelmatige vergaderingen voor beheersbeoordeling.

Organisatie van informatiebeveiliging

IT-beveiligingsverantwoordelijkheden worden toegewezen in overeenstemming met het geldende IT-beveiligingsbeleid. Interne processen worden geïdentificeerd en beoordeeld op het risico van ongeautoriseerde of onbedoelde wijziging of misbruik van ESET-informatieassets. Bij riskante of gevoelige activiteiten van interne processen wordt het principe van 'functiescheiding' toegepast om risico's te beperken.

Informatiebeveiliging maakt dankzij het toegepaste projectmanagementkader deel uit van projectmanagement, van concept tot oplevering van projecten.

In het geval van werken op afstand en telewerken op mobiele apparaten geldt er een specifiek beleid met onder meer het gebruik van sterke cryptografische gegevensbeveiliging tijdens de overdracht naar niet-vertrouwde netwerken. Beveiligingscontroles op mobiele apparaten zijn ontworpen om onafhankelijk van de interne netwerken en interne systemen van ESET te werken.

Beveiliging van human resources

ESET hanteert standaard humanresourcepraktijken, waaronder beleidsregels die zijn ontworpen om de informatiebeveiliging te handhaven. Deze praktijken hebben betrekking op de hele levenscyclus van de werknemer en zijn van toepassing op alle werknemers.

ESET als bedrijf vereist een antecedentenonderzoek tijdens de onboarding van ESET-werknemers en de ondertekening van een geheimhoudings- of vertrouwelijkheidsovereenkomst als onderdeel van de arbeidsovereenkomst, waarbij werknemers worden verplicht om interne beleidsregels en normen voor veiligheid toe te passen, vertrouwelijke informatie van ESET en klantgegevens te beveiligen en een training in informatiebeveiligingsbewustzijn te volgen tijdens de onboarding als onderdeel van het nalevings- en bewustzijnsprogramma van ESET.

Technische maatregelen

Identiteits- en toegangsbeheer

Het Beleid van ESET inzake toegangsbeheer is van toepassing op elke toegang tot ESET-infrastructuur. Toegangsbeheersprocessen op het gebied van verlening, intrekking, wijziging van toegang en ook herziening van verleende toegangsrechten die zijn toegepast op alle niveaus van infrastructuur, technologie, toepassing of hulpmiddelen. Het volledige toegangsbeheer voor gebruikers op toepassingsniveau is autonoom. Een enkele aanmelding voor identiteit wordt beheerst door een centrale identiteitsprovider, die ervoor zorgt dat een gebruiker alleen toegang heeft tot de geautoriseerde omgeving of toepassing.

Gebruikers- en toegangsbeheer, processen en technische maatregelen voor het intrekken of verstrekken van toegang voor gebruikers en de beoordeling, verwijdering en aanpassing van toegangsrechten worden gebruikt om de toegang van ESET-medewerkers tot ESET-infrastructuur en -netwerken te beheren in overeenstemming met beveiligingsnormen, waaronder, maar niet beperkt tot:

•Verlening van toegang op basis van de minimale bevoegdheid 'moet kennis hebben'

•Regelmatige beoordeling van gebruikerstoegang

•Beëindiging van gebruikerstoegang in overeenstemming met het beveiligingsbeleid

•Toewijzing van het unieke account aan iedereen

•Loggen, beoordelen en monitoren van pogingen van gebruikers om toegang te krijgen

•Loggen en beoordelen van fysieke toegang

•Implementatie van multi-factorauthenticatie voor toegang met hoge bevoegdheden en beheerder

•Uitvoering van timeout voor interactieve sessies na een bepaalde periode van inactiviteit

Gegevensbeveiliging

Gegevensversleuteling

ESET beveiligt gegevens in de infrastructuur; sterke cryptografie wordt gebruikt om gegevens in rust (met inbegrip van draagbare apparaten) en in doorvoer te versleutelen. De implementatie van cryptografie volgt regels die zijn gedefinieerd door de interne Cryptografie-standaard. Klantgegevens worden bewaard in overeenstemming met relevante voorschriften, bijvoorbeeld AVG, NIS2-richtlijn of industriële en financiële voorschriften.

Maatregelen die van kracht zijn:

•Doorgaans wordt een vertrouwde certificeringsinstantie gebruikt om certificaten voor openbare webservices te verlenen

•Interne ESET PKI wordt gebruikt om sleutels binnen ESET-infrastructuur te beheren

•De native versleuteling van het CSP-platform is ingeschakeld om gegevens in rust te beschermen voor relevante delen van de gegevensverwerking of de persistentie van gegevens in de cloudomgeving (gegevensopslag, back-ups)

•Er is sterke cryptografie (bijvoorbeeld TLS) beschikbaar voor het versleutelen van gegevens tijdens de doorvoer

Gegevens back-up en herstel

Back-ups worden beheerst door het Beleid inzake informatiebeveiliging bij de werking van informatietechnologie.

Alle ESET-portfolioconfiguratie- en implementatiegegevens worden opgeslagen in beveiligde opslagplaatsen van ESET waarvan regelmatig back-ups worden gemaakt, zodat automatisch herstel van een omgevingsconfiguratie mogelijk is. Er wordt een regelmatig testproces voor herstel van rampen gebruikt om de herstelbaarheid van configuratieback-ups te verifiëren binnen de verwachte tijd van de onderneming.

Er wordt regelmatig een back-up gemaakt van de gegevens van ESET-klanten in overeenstemming met de standaarden en voorschriften van de branche, de vereisten van een hoge beschikbaarheid en de contractuele eisen van herstelbaarheid. Back-ups worden beschermd tegen manipulatie en de geldigheid van back-ups wordt regelmatig getest door processen voor herstel van rampen.

Netwerkbeveiliging

Netwerksegmentatie wordt toegepast in de gehele ESET-netwerkomgeving. Netwerken worden gescheiden op basis van gedefinieerde criteria en uitgevoerd door gebruik te maken van VLAN's op firewalls.

ESET maakt gebruik van verschillende systemen voor grensbeveiliging, waaronder L7-firewalls, systemen voor detectie van inbreuken en systemen voor inbreukpreventie. Deze systemen worden geconfigureerd en onderhouden om externe toegangspunten te beveiligen, zodat alle ongeoorloofde pogingen om toegang te krijgen tot het netwerk worden gedetecteerd en voorkomen.

Op afstand toegang tot interne activa wordt verleend via een gebruiker-of site-to-site VPN met rollen en verantwoordelijkheden, beveiligingsvereisten en controles die zijn bepaald in ESET's interne beleidsmaatregelen en zijn geconfigureerd in overeenstemming met beveiligingsnormen in de industrie. VPN-gebruikersaccounts worden onderhouden binnen Active Directory en maken deel uit van het proces van het verstrekken van de account van de werknemer.

ESET implementeert en onderhoudt netwerkbeveiligingscontroles om gegevens te beschermen die worden verwerkt, ontvangen of opgeslagen in de cloudomgeving. CSP-accounts en onderliggende infrastructuur gebruiken netwerktoegangsbeheerlijsten en beveiligingsgroepen binnen het virtuele netwerk van CSP's om de toegang tot alle verstrekte middelen te beperken. Toegang tot cloudresources is alleen mogelijk via versleutelde kanalen.

Beveiliging

ESET maakt gebruik van het proces van beveiliging van systemen om de mogelijke kwetsbaarheid voor aanvallen te verminderen. Dit omvat de volgende technieken en beste praktijken:

•een ondertekende gouden afbeelding hebben die wordt gebruikt om de host of container te installeren of te implementeren

•onnodige services uitschakelen

•automatisch geplande koppeling en ad-hoc-patches van kritieke onderdelen in geval van hoog risico

•upgrades van het besturingssysteem voordat het einde van de levensduur ervan is bereikt

•configuratie van beveiligingsinstellingen

•automatisering van het beheer van Infrastructuur en toepassingen op een herhaalbare en consistente manier

•onnodige software verwijderen

•beperking van de toegang tot lokale bronnen

•op hosts gebaseerd beheer met onder andere antivirus, eindpuntdetectie en -respons en netwerkbeleid

ESET gebruikt een gecentraliseerde benadering om harding toe te passen en te verifiëren op onderdelen van IT-omgevingen die gericht zijn op het minimaliseren van de aanvalsoppervlakte, wat de som is van alle potentiële invoerpunten die aanvaller zou kunnen benutten. Voor meer details verwijzen wij u naar het volgende deel van dit document.

Beveiliging van toepassingen

Praktijken voor veilige ontwikkeling

ESET implementeert veilige softwareontwikkelingspraktijken via het Beleid inzake beveiliging in de levenscyclus van softwareontwikkeling (SSDLC), dat beveiligingscontroles en risicobeheer integreert in alle stadia van ontwikkeling.

Het SSDLC-beleid definieert vereisten voor:

•Code wordt geschreven volgens richtlijnen voor veilige codering en gecontroleerd voorafgaand aan samenvoeging

•Er worden bedreigingsmodellen en ontwerpbeoordelingen uitgevoerd voor nieuwe functies en belangrijke wijzigingen

•Geautomatiseerde beveiligingscontroles (statische analyse, scanning van afhankelijkheden en geselecteerde dynamische tests) die worden uitgevoerd als onderdeel van CI/CD-pijpleidingen

•Derde partijen en open-source-onderdelen worden gevolgd en up-to-date gehouden; er wordt een SBOM gehandhaafd voor alle vrijgegeven producten

•Resultaten uit incidenten, penetratie-tests en bugbountyrapporten worden beoordeeld en teruggevoerd in het ontwikkelproces

Het doel van het SSDLC-beleid is ervoor te zorgen dat alle ESET-softwareproducten veilig, betrouwbaar en in overeenstemming zijn met toepasselijke normen en voorschriften.

Beheer van beveiligingsproblemen van producten

ESET onderhoudt een gedefinieerd proces voor het identificeren, evalueren en oplossen van beveiligingsproblemen in de eigen toepassingen en producten gedurende hun levenscyclus.

Het proces omvat zowel intern gedetecteerde problemen als rapporten uit externe bronnen.

Als onderdeel van het beheer van beveiligingsproblemen van Producten zorgt ESET voor het volgende:

•Hierbij worden geautomatiseerde scantools gebruikt om broncode en afhankelijkheden te scannen en artefacten te bouwen voor bekende beveiligingsproblemen

•Bevindingen worden handmatig gecontroleerd om de impact en relevantie te bevestigen voordat er een hersteloplossing wordt toegewezen

•Hierbij worden oplossingen bijgehouden en geprioriteerd op basis van ernst- en kwetsbaarheidsniveau en risico van het product

•Hierbij worden gerichte beveiligingstests uitgevoerd en worden items opnieuw getest om het herstel te verifiëren

•Integreert beveiligingsgegevens in de planning van de ontwikkeling en release, zodat kritieke problemen worden aangepakt voordat ze worden verzonden

•Accepteert en behandelt externe rapporten via gecoördineerde openbaarmaking en een openbaar bug-bonusprogramma

•Toewijzing van CVE-ID's voor bevestigde beveiligingsproblemen van producten als onderdeel van de rol van CVE-nummeringsautoriteit (CNA)

•Toepast patches en oplossingen op basis van de ernst van de beveiligingsproblemen en de bedrijfsimpact, volgens een gestructureerd triageproces

oHet triageproces is afgestemd op ISO/IEC 30111 (beheer van beveiligingsproblemen) en ISO/IEC 29147 (openbaarmaking van beveiligingsproblemen)

oCVSS-scoring en externe intelligentiebronnen zoals de catalogus van bekende geëxploiteerde beveiligingsproblemen (KEV) van CISA worden gebruikt om prioriteiten te bepalen.

oDe uiteindelijke beslissingen over correcties worden gezamenlijk genomen door de verantwoordelijke product- en beveiligingsteams.

Deze processen zorgen ervoor dat beveiligingsproblemen op een consistente, transparante en traceerbare manier worden beheerd in alle ESET-producten.

Penetratietesting

ESET voert regelmatig penetratietests van haar Producten uit als onderdeel van het algemene productbeveiligingsproces – binnen ons eigen Penetratietestprogramma. Tests worden uitgevoerd vóór grote releases en met geplande tussenpozen voor onderhouden Producten.

Penetratietesten bij ESET richten zich op het volgende:

•Verificeren of de geïmplementeerde beveiligingscontroles en beperkingen doeltreffend zijn

•Identificatie van potentiële beveiligingsproblemen die mogelijk niet worden gedetecteerd door geautomatiseerde hulpmiddelen

•Validatie van de resultaten van eerdere herstelinspanningen

•Evaluatie van de totale aanvalsoppervlakte en risico-expositie van vrijgegeven Producten

Tests worden uitgevoerd in geïsoleerde omgevingen door gekwalificeerde interne specialisten of vertrouwde externe partners met gebruikmaking van erkende branchemethoden (OWASP WSTG/MTG, NIST SP 800-115, PTES).

De bevindingen worden gedocumenteerd, beoordeeld en bijgehouden via hetzelfde beveiligingsproces dat wordt gebruikt voor problemen die intern en extern zijn gemeld.

De resultaten van penetratie-tests voeren rechtstreeks toe aan de plannen voor productverbetering en de SSDLC, waardoor wordt gewaarborgd dat de geleerde lessen worden vastgelegd en terugkerende zwakheden in de loop van de tijd worden verminderd.

Operationele beveiliging

Informatiebeveiligingsbeleid in de activiteiten van ICT

Beleid inzake informatiebeveiliging bij de werking van ICT binnen het Bedrijf stelt fundamentele beveiligingsregels vast met betrekking tot de werking van ICT in overeenstemming met de ISO 27001-norm.

Informatiebeveiligingsbeleid voor de werking van ICT definieert beveiligingsvereisten voor IT-operationele processen en de documentatie daarvan, met inbegrip van operationele procedures, wijzigingsbeheer, scheiding van rollen en verantwoordelijkheden, scheiding van de productie, test- en ontwikkelomgevingen, IT-services van derden, prestatieplanning, IT-projecten, malwarebeveiliging, back-up, netwerkbeveiliging,

Loggen en auditen

Loggen en audits op een systeem worden uitgevoerd volgens interne normen en richtlijnen (Beleid inzake beveiligingsbewaking en beheer van beveiligingsincidenten).

Logboeken en gebeurtenissen in de infrastructuur, het besturingssysteem, de database, toepassingsservers en beveiligingscontroles worden continu verzameld. ESET maakt gebruik van een centraal logbeheerplatform (SIEM) om relevante logbestanden te beschermen tegen ongeoorloofde wijziging of vernietiging. De logboeken worden verder verwerkt door IT- en interne beveiligingsteams om operationele afwijkingen, beveiligingsafwijkingen en informatiebeveiligingsincidenten te identificeren. Gegevens in SIEM worden bewaard voor de tijd die vereist is door de voorschriften en voor retrospectieve opsporing van bedreigingen.

Beveiligingsbewaking en incidentreactie

Beveiligingsbewaking en -beheer van beveiligingsincidenten worden gedefinieerd in het Beleid inzake Beveiligingsbewaking en Beveiligingsincidentbeheer.

Het beleid schetst

•verantwoordelijkheden en regels voor de ontwikkeling, correcte configuratie, bescherming, opslag, analyse, evaluatie en bewaring van beveiligingslogboeken en -audits

•proces, rollen en verantwoordelijkheden voor het beheer van beveiligingsincidenten

•Beveiligingsincidenten voorkomen

•de impact van beveiligingsincidenten minimaliseren

•Leren uit beveiligingsincidenten

•werknemers opvoeden over monitoringactiviteiten, hun reikwijdte en de rol van werknemers bij monitoring en reactie op incidenten

Een ingesteld Beveiligingsoperatiecentrum (SOC), 24 uur per dag operationeel, is bevoegd om de beveiligingsstatus van de IT-infrastructuur en -toepassingen continu te bewaken en te reageren op beveiligingsincidenten.

Het beheer van informatiebeveiligingsincidenten in ESET is afhankelijk van de gedefinieerde Procedure voor incidentrespons. Rollen binnen incidentrespons worden gedefinieerd en toegewezen aan meerdere teams, waaronder IT, beveiliging, juridisch, human resources, public relations en uitvoerend management. Modelincidenten worden behandeld door het SOC-team. Voor belangrijkere beveiligingsincidenten wordt het Commandocentrum geïnformeerd. Commandecentrum coördineert in samenwerking met het SOC-team de reactie op incidenten en engageert andere teams om het incident te verwerken. Het SOC-team, samen met leden van het interne beveiligingsteam, is ook verantwoordelijk voor het verzamelen van bewijsmateriaal en het leren van lessen. Incidenten en oplossingen daarvan worden medegedeeld aan de betrokken partijen, waaronder klanten en partners. Het juridische team van ESET is volgens de Algemene Verordening Gegevensbescherming (AVG) en de Cybersecurity Act Transposing Network and Information Security Directive (NIS2) verantwoordelijk voor het indien nodig op de hoogte stellen van regelgevende instanties.

Patchbeheer

Patchbeheer wordt gebruikt als een van de verschillende beperkende activiteiten om beveiligingsproblemen te verhelpen.

Beveiligingspatches worden geëvalueerd en toegepast op basis van de ernst en het risico van de geïdentificeerde beveiligingsproblemen.

Een gedefinieerd triage- en prioriteringsproces bepaalt de volgorde en timelines voor de implementatie van patches. Dit proces volgt de interne richtlijnen van ESET die zijn afgestemd op ISO/IEC 30111. CVSS-scoring en externe bronnen van bedreigingsinformatie, zoals de catalogus van Bekende exploiteerbare beveiligingsproblemen (KEV) van CISA, ondersteuning van op risico gebaseerde beslissingen en prioritering.

Alle patches worden gecontroleerd in gecontroleerde omgevingen voordat ze worden geïmplementeerd in de productie om ervoor te zorgen dat ze het doelprobleem oplossen zonder een negatieve invloed te hebben op de stabiliteit of compatibiliteit van het systeem.

De implementatie volgt gevestigde procedures voor het beheer van wijzigingen die waarborgen dat er, indien nodig, traceerbaarheid, verantwoordingsplicht en terugvorderingsmogelijkheden zijn.

Patchactiviteiten worden ononderbroken gecontroleerd en beoordeeld om de doeltreffendheid te bevestigen, verouderde systemen te identificeren en voortdurende verbeteringen van de processen te stimuleren.

De Gids voor het loggen van toepassingen specificeren technische maatregelen en vereisten voor het loggen voor alle toepassingen die door ESET zijn ontwikkeld.

Malware- en bedreigingsbeveiliging

Bescherming tegen malware (door antivirussoftware en EDR) is bepaald in het Beleid inzake informatiebeveiliging bij de werking van de informatietechnologie. Medewerkers zijn verplicht om elke verdachte malware-infectie onmiddellijk aan SOC te melden zoals uiteengezet in het Beleid inzake informatiebeveiliging voor ESET-medewerkers.

De vereisten voor endpoints voor werknemers worden uiteengezet in de Beveiligingsnorm voor werkstations.

ESET maakt gebruik van eigen anti-malware-tools die zijn verrijkt met geverifieerde oplossingen van derden om endpoints en cloudworkloads te beschermen.

Het SOC-team voert opsporingsactiviteiten uit op basis van het Beleid inzake beveiligingsbewaking en beheer van beveiligingsincidenten. Bedreigingsgegevens (feeds) worden verzameld in het SIEM-systeem, dat automatisch wordt opgenomen om bedreigingsinformatie te produceren die wordt toegepast op gebeurtenissen in beveiligingsbewaking.

Technische naleving

Het Interne beveiligingsteam verstrekt en onderhoudt verschillende technische beveiligingsnormen voor infrastructuur, cloud, webgerelateerde componenten en beste praktijken voor ontwikkelaars en IT-beheerders. Op basis van technische normen bereidt het Interne Beveiligingsteam configuratiebaselinebestanden op die door IT-teams worden gebruikt voor automatisering van de implementatie en handhaving van beveiligde configuraties.

Daarnaast worden scans van naleving uitgevoerd via een beveiligingsbeoordelingsinstrument waar mogelijk. ESET heeft een gevestigd Penetration Testing-programma en door ESET ontwikkelde producten, toepassingen en services zijn regelmatig onderworpen aan penetratietests op basis van het programmaplan. Alle bevindingen worden gedocumenteerd en gemeld aan de belanghebbenden van het Product om ervoor te zorgen dat ze zo snel mogelijk worden verminderd.

Fysieke beveiliging

Het Beleid inzake fysieke beveiliging en gerelateerde fysieke beveiligingsnormen definiëren de regels voor fysieke beveiliging rond kantoorruimten en datacenters. Dit beleid bevat regels en procedures voor:

•beveiliging van de locaties van ESET

•beheer van fysieke toegang

•beveiliging van kantoren, kamers en gebouwen

•werken in beveiligde gebieden

•beveiliging van apparatuur, kabels en infrastructuur

Beveiliging van datacenters

IT-infrastructuuronderdelen bevinden zich fysiek binnen meerdere datacenters; daarom wordt redundantie bereikt binnen elke regio.

De fysieke beveiligingsperimeter wordt gedefinieerd in het Beleid inzake fysieke beveiliging en gerelateerde beveiligingsnormen voor kantoorruimten en datacenters - Fysieke beveiligingsnorm voor datacenters. ESET heeft regels gedefinieerd voor het instellen van een beveiligingsperimeter en de controles die op de fysieke beveiligingsperimeter moeten worden toegepast. Belangrijke controles, waaronder fysieke beveiligingszoneering en -segregatie, beheer van toegang en bezoekers, brand- en overstromingspreventie, CCTV en bemande bewaking, worden duidelijk gedefinieerd, geïmplementeerd en continu bewaakt. Beveiliging van DC wordt regelmatig beoordeeld door verantwoordelijk personeel en externe auditors.

ESET vertrouwt op de fysieke beveiligingsmaatregelen en -controles van de CSP's; daarom evalueert ESET regelmatig de overeenkomstige rapporten over naleving van de CSP's.

Fysieke toegangsbeheersing

De fysieke invoercontroles worden uiteengezet in het Beleid inzake fysieke veiligheid en gerelateerde beveiligingsnormen voor kantoorruimten en datacenters. De premises zijn onderverdeeld in beveiligde zones met specifieke toegangscontroles.

Authenticatie wordt beheerd in overeenstemming met beste beveiligingspraktijken met behulp van sleutels, ID/toegangskaarten en PIN's.

Er wordt fysieke toegangsbewaking en preventie/detectie van ongeautoriseerde toegang geïmplementeerd. Alle invoer wordt gecontroleerd door CCTV met een geregistreerd record. De perimeter wordt ook bewaakt met bewegings- of glasbreksensoren (met inbegrip van zwakke weerstandswanden (d.w.z. glas of droge muur), branduitgangen en ramen).

Zakelijke continuïteit en herstel van rampen

ESET onderhoudt, evalueert en implementeert regelmatig verbeteringen van haar bedrijfskontinuïteitsbeheersysteem in overeenstemming met het Beleid inzake bedrijfskontinuïteitsbeheer in overeenstemming met ISO 22301.

ESET heeft het BCM-programma opgezet, dat alle activiteiten binnen het Bedrijf prioriteert en CISO-goedkeuring ondergaat in overeenstemming met het BCM-beleid. Het BCM-programma definieert operationele activiteiten en activiteiten om risico's met betrekking tot BCM te beperken, bijvoorbeeld via ontslagen of replicatie van functies en IT-infrastructuur.

Er worden Business Impact Analyses (BIA) met gedefinieerde doelstellingen voor bedrijfscontinuïteit (RTO, RPO, MTD, herstelprioriteiten) opgesteld en beoordeeld. Disaster Recovery Plans (DRP) worden beoordeeld en getest volgens het BCM-programma. De strategie voor bedrijfscontinuïteit bepaalt de aanpak om kritieke bedrijfsactiva te behouden. Alle uitvoer uit de reguliere activiteiten inzake bedrijfscontinuïteit dient als invoer voor continue verbeteringen.

Risicobeheer door derden

Het toezicht en de beoordeling van leveranciersdiensten worden beheerst door het Beleid inzake informatiebeveiliging in relaties met leveranciers. Reviews worden kwartaallijks uitgevoerd en de resultaten worden opgeslagen in Evaluatie van Leveranciers.