Close

Estrutura de controles comuns da Atlassian


Como acontece com muitas empresas, a Atlassian tem vários padrões de controle internacional aplicáveis a nossos ambientes de operações e desenvolvimento de produtos. Decidimos avaliar a sobreposição entre muitos desses padrões independentes e garantir que tenhamos uma única visão da aplicação desses padrões a nossos ambientes internos. O principal ambiente em que estamos aplicando esses padrões é a nossa plataforma de hospedagem em nuvem, entendemos que precisamos mostrar que estamos envidando todos os esforços adequados para proteger nossos clientes e os respectivos dados. Porém, nem todos os padrões se aplicam a todos os ambientes. Por exemplo, o foco para a Sarbanes-Oxley (SOX) são os sistemas que embasam nosso relatório financeiro, dos quais nossos serviços de nuvem são secundários na melhor hipótese. Vamos dar uma olhada nos padrões que avaliamos e os motivos.

Padrões internacionais aplicáveis

A seguir está uma lista de padrões que avaliamos ao começarmos a criar nossa estrutura de controles comuns:

Padrão
Patrocinador
Controles
Domínios
ISO27001 International Organization for Standardisation 26 requisitos 6 cláusulas
ISO27002 International Organization for Standardisation 114 requisitos 14 domains
PCI-DSS Payment Card Industries 247 requisitos 6 domínios
CSA CCM Cloud Security Alliance 133 controles 16 domínios
SOC2 Controles da organização de serviço 116 requisitos 5 princípios
SOX 404 (IT) Lei federal dos EUA 22 requisitos 5 domínios
GAPP

AICPA

106 requisitos 10 domínios

 

Estrutura de controles comuns

Como você pode ver na tabela acima, há uma série de requisitos diferentes e díspares, muitos dos quais são aplicados aos mesmos ambientes, sistemas ou equipes. Para tornar um pouco mais fácil entender a sobreposição e as similaridades de muitos desses padrões para nossas equipes, avaliamos cada um dos requisitos de controle e identificamos os pontos de sobreposição, em que cada um dos padrões estava, essencialmente, avaliando o mesmo domínio. Com isso, temos uma estrutura de controles comuns mapeada com facilidade para cada um dos padrões.

Modelo conceitual de aplicabilidade

Conforme avaliamos cada um dos requisitos, percebemos que seria ineficiente aplicar toda a pilha de controles a cada um de nossos produtos ou serviços on-line. Desenvolvemos a estrutura de modo que diferentes partes da estrutura de controles sejam aplicadas a diferentes partes da pilha de entrega, que pode ser herdada pelas outras partes da organização.

Atlassian logo on a browser

Aplicativos da Atlassian

Segurança de desenvolvimento de aplicativos

Gerenciamento do ciclo de vida da informação e segurança de dados

Lock with key hole

Segurança da Atlassian

Cripto e criptografia

Gerenciamento de ameaças e vulnerabilidades

Gerenciamento de incidentes de segurança

Connected nodes

Infraestrutura da Atlassian

Gerenciamento de ativos

Controle de acesso

Operações

Segurança de comunicações

Stacked servers

Atlassian Data Centers e escritórios

Segurança física e ambiental

Briefcase

Atlassian Corporate

Governança de segurança

Organização da segurança

Segurança dos funcionários

Gerenciamento de dados de terceiros e de fornecedores

Segurança de dispositivos móveis

Continuidade de negócios

Auditoria/conformidade

Privacidade

Conclusão

A organização da Estrutura de controles comuns da Atlassian foi importante para nossas equipes poderem utilizar a mentalidade de "avaliar várias vezes, executar uma vez". Em vez de perguntar a várias equipes várias vezes, usamos a eficiência desta estrutura para definir como poderíamos organizar e aplicar controles para que toda a empresa pudesse entender os requisitos e como cada parte de nossa organização atua em conjunto para proporcionar segurança a todos os nossos clientes.