Close

Estrutura de controles comuns da Atlassian


Como acontece com muitas empresas, a Atlassian tem vários padrões de controle internacional válidos para os ambientes de operações e desenvolvimento de produtos. A gente decidiu avaliar a sobreposição entre muitos desses padrões independentes e garantir uma única visão de como aplicar esses padrões aos ambientes internos. O principal ambiente de aplicação desses padrões é a plataforma de hospedagem em nuvem da Atlassian, porque a gente sabe que precisa mostrar que as medidas adequadas estão sendo tomadas para proteger os clientes e os dados. Mas nem todos os padrões valem para todos os ambientes. Por exemplo, o foco da Sarbanes-Oxley (SOX) está nos sistemas de suporte ao relatório financeiro, secundários (se tanto) aos serviços de nuvem. Conheça os padrões avaliados e os critérios.

Padrões internacionais aplicáveis

Abaixo está uma lista de padrões que a gente incorporou na estrutura de controles comuns internos:

Standard

Patrocínio

ISO 27001

Organização Internacional de Normalização

ISO27002

Organização Internacional de Normalização

ISO 27018

Organização Internacional de Normalização

PCI-DSS

Indústrias de cartão de pagamento

CSA CCM

Cloud Security Alliance

SOC2

American Institute of Certified Public Accountants (AICPA)

SOX 404 (IT)

Lei Federal dos EUA

FedRAMP

Administração de Serviços Gerais dos EUA

Estrutura de controles comuns

Como você pode ver na tabela acima, há uma série de requisitos diferentes e díspares, muitos dos quais são aplicados aos mesmos ambientes, sistemas ou equipes. Para tornar um pouco mais fácil entender a sobreposição e as similaridades de muitos desses padrões para nossas equipes, avaliamos cada um dos requisitos de controle e identificamos os pontos de sobreposição, em que cada um dos padrões estava, essencialmente, avaliando o mesmo domínio. Com isso, temos uma estrutura de controles comuns mapeada com facilidade para cada um dos padrões.

Conclusão

A organização da Estrutura de controles comuns da Atlassian foi importante para nossas equipes poderem utilizar a mentalidade de "avaliar várias vezes, executar uma vez". Em vez de perguntar a várias equipes várias vezes, usamos a eficiência desta estrutura para definir como poderíamos organizar e aplicar controles para que toda a empresa pudesse entender os requisitos e como cada parte de nossa organização atua em conjunto para proporcionar segurança a todos os nossos clientes.