Estrutura de controles comuns da Atlassian


Como acontece com muitas empresas, a Atlassian tem vários padrões de controle internacional aplicáveis a nossos ambientes de operações e desenvolvimento de produtos. Decidimos avaliar a sobreposição entre muitos desses padrões independentes e garantir que tenhamos uma única visão da aplicação desses padrões a nossos ambientes internos. O principal ambiente em que estamos aplicando esses padrões é a nossa plataforma de hospedagem em nuvem, entendemos que precisamos mostrar que estamos envidando todos os esforços adequados para proteger nossos clientes e os respectivos dados. Porém, nem todos os padrões se aplicam a todos os ambientes. Por exemplo, o foco para a Sarbanes-Oxley (SOX) são os sistemas que embasam nosso relatório financeiro, dos quais nossos serviços de nuvem são secundários na melhor hipótese. Vamos dar uma olhada nos padrões que avaliamos e os motivos.

Padrões internacionais aplicáveis

Abaixo há uma lista de normas que a gente avaliou à medida que criava uma estrutura interna de controles comuns:

Standard
Patrocínio
Controles
Domínios

ISO 27001

Organização Internacional de Normalização 26 requisitos

6 cláusulas

ISO27002

Organização Internacional de Normalização 114 requisitos

14 domínios

PCI-DSS

Indústrias de cartão de pagamento 247 requisitos

6 domínios

CSA CCM

Cloud Security Alliance 133 controles

16 domínios

SOC2

Controles de organização de serviço 116 requisitos

5 princípios

SOX 404 (IT)

Lei Federal dos EUA 22 requisitos

5 domínios

GAPP

AICPA 106 requisitos

10 domínios

Estrutura de controles comuns

Como você pode ver na tabela acima, há uma série de requisitos diferentes e díspares, muitos dos quais são aplicados aos mesmos ambientes, sistemas ou equipes. Para tornar um pouco mais fácil entender a sobreposição e as similaridades de muitos desses padrões para nossas equipes, avaliamos cada um dos requisitos de controle e identificamos os pontos de sobreposição, em que cada um dos padrões estava, essencialmente, avaliando o mesmo domínio. Com isso, temos uma estrutura de controles comuns mapeada com facilidade para cada um dos padrões.

Modelo conceitual de aplicabilidade

Conforme avaliamos cada um dos requisitos, percebemos que seria ineficiente aplicar toda a pilha de controles a cada um de nossos produtos ou serviços on-line. Desenvolvemos a estrutura de modo que diferentes partes da estrutura de controles sejam aplicadas a diferentes partes da pilha de entrega, que pode ser herdada pelas outras partes da organização.

Logotipo da Atlassian em um navegador

Aplicativos da Atlassian

Segurança de desenvolvimento de aplicativos

Gerenciamento do ciclo de vida da informação e segurança de dados

Cadeado

Segurança da Atlassian

Cripto e criptografia

Gerenciamento de ameaças e vulnerabilidades

Gerenciamento de incidentes de segurança

Nós conectados

Infraestrutura da Atlassian

Gerenciamento de ativos

Controle de acesso

Operações

Segurança de comunicações

cluster de servidor

Atlassian Data Centers e escritórios

Segurança física e ambiental

Maleta

Atlassian Corporate

Governança de segurança

Organização da segurança

Segurança dos funcionários

Gerenciamento de dados de terceiros e de fornecedores

Segurança de dispositivos móveis

Continuidade dos negócios

Auditoria/Conformidade

Privacidade

Conclusão

A organização da Estrutura de controles comuns da Atlassian foi importante para nossas equipes poderem utilizar a mentalidade de "avaliar várias vezes, executar uma vez". Em vez de perguntar a várias equipes várias vezes, usamos a eficiência desta estrutura para definir como poderíamos organizar e aplicar controles para que toda a empresa pudesse entender os requisitos e como cada parte de nossa organização atua em conjunto para proporcionar segurança a todos os nossos clientes.