Close

Estrutura de controles comuns da Atlassian


Como acontece com muitas empresas, a Atlassian tem vários padrões de controle internacional aplicáveis a nossos ambientes de operações e desenvolvimento de produtos. Decidimos avaliar a sobreposição entre muitos desses padrões independentes e garantir que tenhamos uma única visão da aplicação desses padrões a nossos ambientes internos. O principal ambiente em que estamos aplicando esses padrões é a nossa plataforma de hospedagem em nuvem, entendemos que precisamos mostrar que estamos envidando todos os esforços adequados para proteger nossos clientes e os respectivos dados. Porém, nem todos os padrões se aplicam a todos os ambientes. Por exemplo, o foco para a Sarbanes-Oxley (SOX) são os sistemas que embasam nosso relatório financeiro, dos quais nossos serviços de nuvem são secundários na melhor hipótese. Vamos dar uma olhada nos padrões que avaliamos e os motivos.

Padrões internacionais aplicáveis

Esta é a lista de normas avaliadas durante a criação do sistema interno de controles comuns:

 
Norma
Instituição
Controles
Domínios

ISO27001

Organização Internacional de Padronização 26 requisitos

6 cláusulas

ISO27002

Organização Internacional de Padronização 114 requisitos

14 domínios

PCI-DSS

Payment Card Industries 247 requisitos

6 domínios

CSA CCM

Cloud Security Alliance 133 controles

16 domínios

SOC 2

Service Organisation Controls 116 requisitos

5 bases

SOX 404 (IT)

Legislação Federal dos EUA 22 requisitos

5 domínios

GAPP

AICPA 106 requisitos

10 domínios

 

Estrutura de controles comuns

Como você pode ver na tabela acima, há uma série de requisitos diferentes e díspares, muitos dos quais são aplicados aos mesmos ambientes, sistemas ou equipes. Para tornar um pouco mais fácil entender a sobreposição e as similaridades de muitos desses padrões para nossas equipes, avaliamos cada um dos requisitos de controle e identificamos os pontos de sobreposição, em que cada um dos padrões estava, essencialmente, avaliando o mesmo domínio. Com isso, temos uma estrutura de controles comuns mapeada com facilidade para cada um dos padrões.

Modelo conceitual de aplicabilidade

Conforme avaliamos cada um dos requisitos, percebemos que seria ineficiente aplicar toda a pilha de controles a cada um de nossos produtos ou serviços on-line. Desenvolvemos a estrutura de modo que diferentes partes da estrutura de controles sejam aplicadas a diferentes partes da pilha de entrega, que pode ser herdada pelas outras partes da organização.

Logotipo da Atlassian em um navegador

Aplicativos da Atlassian

Segurança de desenvolvimento de aplicativos

Gerenciamento do ciclo de vida da informação e segurança de dados

Cadeado

Segurança da Atlassian

Cripto e criptografia

Gerenciamento de ameaças e vulnerabilidades

Gerenciamento de incidentes de segurança

Nós conectados

Infraestrutura da Atlassian

Gerenciamento de ativos

Controle de acesso

Operações

Segurança de comunicações

cluster de servidor

Atlassian Data Centers e escritórios

Segurança física e ambiental

Maleta

Atlassian Corporate

Governança de segurança

Organização da segurança

Segurança dos funcionários

Gerenciamento de dados de terceiros e de fornecedores

Segurança de dispositivos móveis

Continuidade de negócios

Auditoria/conformidade

Privacidade

Conclusão

A organização da Estrutura de controles comuns da Atlassian foi importante para nossas equipes poderem utilizar a mentalidade de "avaliar várias vezes, executar uma vez". Em vez de perguntar a várias equipes várias vezes, usamos a eficiência desta estrutura para definir como poderíamos organizar e aplicar controles para que toda a empresa pudesse entender os requisitos e como cada parte de nossa organização atua em conjunto para proporcionar segurança a todos os nossos clientes.