Close

Estrutura de controles comuns da Atlassian


Como acontece com muitas empresas, a Atlassian tem vários padrões de controle internacional válidos para os ambientes de operações e desenvolvimento de produtos. A gente decidiu avaliar a sobreposição entre muitos desses padrões independentes e garantir uma única visão de como aplicar esses padrões aos ambientes internos. O principal ambiente de aplicação desses padrões é a plataforma de hospedagem em nuvem da Atlassian, porque a gente sabe que precisa mostrar que as medidas adequadas estão sendo tomadas para proteger os clientes e os dados. Mas nem todos os padrões valem para todos os ambientes. Por exemplo, o foco da Sarbanes-Oxley (SOX) está nos sistemas de suporte ao relatório financeiro, secundários (se tanto) aos serviços de nuvem. Conheça os padrões avaliados e os critérios.

Padrões internacionais aplicáveis

Abaixo está uma lista de padrões que a gente incorporou na estrutura de controles comuns internos:

Standard

Patrocínio

ISO 27001

Organização Internacional de Normalização

ISO27002

Organização Internacional de Normalização

ISO 27018

Organização Internacional de Normalização

SOC2

American Institute of Certified Public Accountants (AICPA)

NIST SP 800-53 Rev 4

National Institute of Standards and Technology

FedRAMP

Governo federal dos EUA

CSA CCM

Cloud Security Alliance

HIPAA

Governo federal dos EUA

SOX 404 (IT)

Governo federal dos EUA

PCI DSS

PCI Security Standards Council

Estrutura de controles comuns

Como você pode ver na tabela acima, há uma série de requisitos diferentes e díspares, muitos dos quais são aplicados aos mesmos ambientes, sistemas ou equipes. Para tornar um pouco mais fácil entender a sobreposição e as similaridades de muitos desses padrões para nossas equipes, avaliamos cada um dos requisitos de controle e identificamos os pontos de sobreposição, em que cada um dos padrões estava, essencialmente, avaliando o mesmo domínio. Com isso, temos uma estrutura de controles comuns mapeada com facilidade para cada um dos padrões.

Conclusão

A organização da Estrutura de controles comuns da Atlassian foi importante para que as equipes da Atlassian pudessem utilizar a mentalidade de "avaliar várias vezes, executar uma vez". Em vez de perguntar a várias equipes várias vezes, a gente usou a eficiência desta estrutura para definir como poderia organizar e aplicar controles para que toda a empresa pudesse entender os requisitos e como cada parte da organização atua em conjunto para proporcionar confiança a todos os clientes.