Responsabilidades por incidentes de segurança da Atlassian


Introdução

Assim como qualquer provedor de serviços em nuvem, fazemos de tudo para garantir que nossos clientes não sofram interrupções ou incidentes de segurança. No entanto, entendemos que é provável que ocorram incidentes de segurança. Achamos importante que os clientes entendam como eles se encaixam em nosso processo de resposta a incidentes de segurança e quais responsabilidades eles têm no decorrer de um incidente. Estamos sempre prontos para o pior. Assim, se isso acontecer, vamos dar conta e não vamos ferrar a vida do cliente (DFTC). 

Fazemos o possível para lidar com a integralidade de qualquer incidente de segurança que afeta nossos serviços e infraestrutura. Fazemos de tudo, desde a detecção de violações, a contenção e até a divulgação. No entanto, não podemos ver tudo; às vezes, precisamos de ajuda dos clientes para relatar um incidente ou de consultoria externa para disponibilizar habilidades investigativas ou forenses especializadas.

Funções

Analisamos e utilizamos vários modelos de gerenciamento de incidentes de segurança para garantir que nossos processos de resposta a incidentes não sejam apenas abrangentes, mas de classe mundial. Selecionamos as atividades mais significativas desses modelos e descrevemos a responsabilidade de cada um.

 

Parte

Função

Descrição

 

Parte

Atlassian

Função

Coordenador de resposta a incidentes de segurança

Descrição

Cada incidente de segurança tem um coordenador líder de incidentes da equipe de segurança da Atlassian para tomar decisões de segurança, supervisionar o processo e alocar tarefas.

 

Parte

Atlassian

Função

Analista de incidentes de segurança

Descrição

Os analistas de segurança realizam a maioria das investigações e análises de incidentes. Em incidentes menores, é normal que isso seja assumido pelo coordenador de resposta a incidentes de segurança.

 

Parte

Atlassian

Função

Líder de comunicação com o cliente

Descrição

Um líder de comunicação com o cliente é designado a cada incidente para tomar decisões sobre como os clientes devem se envolver. Em geral, essa pessoa também assume boa parte da comunicação com o cliente.

 

Parte

Atlassian

Função

Equipe vermelha

Descrição

A equipe vermelha da Atlassian imita os adversários cibernéticos do mundo real e executa cenários de teste definidos, projetados para avaliar e identificar melhorias em nossos próprios recursos de detecção e resposta.

 

Parte

Atlassian

Função

Consultor auxiliar

Descrição

As equipes de gerenciamento de incidentes de segurança da Atlassian procuram o aconselhamento de vários especialistas internos no assunto (por exemplo, jurídico, privacidade, risco, recursos humanos etc.). Esses consultores oferecem orientação especializada sobre questões que afetam suas áreas de especialização.

 

Parte

Consultoria de segurança

Função

Consultor

Descrição

A Atlassian mantém os serviços de uma consultoria especializada em segurança cibernética em caso de incidente. Em geral, a consultoria é usada para disponibilizar recursos adicionais em caso de escassez, habilidades especializadas, se indisponíveis internamente, e consultoria e análise independentes de incidentes.

 

Parte

Cliente

Função

Relator

Descrição

Os clientes são incentivados a relatar qualquer acesso não autorizado ou comportamento malicioso aos ativos da Atlassian.

 

Parte

Cliente

Função

Contato de segurança

Descrição

Se um incidente que afeta um cliente for confirmado, o contato de segurança do cliente vai ser notificado. O normal é que o contato de segurança seja o contato técnico da conta, mas pode ser alterado se o cliente tiver uma equipe de segurança dedicada. O contato de segurança garante o gerenciamento adequado do incidente pelo cliente fora do escopo dos ativos da Atlassian.

Responsabilidades

Definimos nossas responsabilidades de gerenciamento de incidentes de segurança usando o modelo RACI. Embora façamos todos os esforços para cumprir nossas responsabilidades definidas, os clientes são os principais responsáveis pela segurança de seus dados, de acordo com o Contrato do Cliente da Atlassian.

  • Responsável - A parte que vai trabalhar para a realização da tarefa. 
  • Encarregada por  - A parte é responsável, em última instância, pela conclusão correta e completa da atividade.
  • Consultada - A parte que tem as opiniões ouvidas e com quem há comunicação bidirecional.
  • Informada - A parte que é mantida atualizada sobre o andamento e com quem há apenas uma comunicação unidirecional.
 

 

Atividade

Atlassian

Cliente

 

Atividade

Detecção

Atlassian

Responsável

Cliente

 

 

Atividade

Triagem

Atlassian

Responsável

Cliente

 

 

Atividade

Investigação

Atlassian

Responsável

Cliente

 

 

Atividade

Contenção

Atlassian

Responsável

Cliente

 

 

Atividade

Erradicação

Atlassian

Responsável

Cliente

Informado

 

Atividade

Recuperação

Atlassian

Responsável

Cliente

Informado

 

Atividade

Notificação (para o cliente)

Atlassian

Responsável

Cliente

Informado

 

Atividade

Notificação (para a Atlassian)

Atlassian

Informada

Cliente

Responsável

 

Atividade

Melhoria

Atlassian

Responsável

Cliente

 

 

Atividade

Testes

Atlassian

Responsável

Cliente

 

 

Atividade

Relatórios externos (aplicação da lei e conformidade)

Atlassian

Encarregada por Responsável

Cliente

Informado

 

Atividade

Publicação de dados agregados

Atlassian

Responsável

Cliente

Informado