Responsabilidades por incidentes de segurança da Atlassian
Introdução
Assim como qualquer provedor de serviços em nuvem, a Atlassian faz o melhor possível para garantir que os clientes não sofram interrupções ou incidentes de segurança, mas a possibilidade existe. É importante que os clientes entendam como eles se encaixam no processo de resposta a incidentes de segurança da Atlassian e quais responsabilidades eles têm no decorrer de um incidente. A ideia aqui é sempre se planejar para o pior. Assim, se chegar nesse ponto, a gente vai dar conta e não vai ferrar a vida do cliente (DFTC).
A gente faz o possível para lidar com a integralidade de qualquer incidente de segurança que afete os serviços e a infraestrutura. A Atlassian faz de tudo, desde a detecção, até a contenção e a divulgação de violações. No entanto, não tem como ver tudo; às vezes, é preciso ter ajuda dos clientes para relatar um incidente ou consultoria externa para disponibilizar habilidades investigativas ou forenses especializadas.
Funções
Analisamos e utilizamos vários modelos de gerenciamento de incidentes de segurança para garantir que nossos processos de resposta a incidentes não sejam apenas abrangentes, mas de classe mundial. Selecionamos as atividades mais significativas desses modelos e descrevemos a responsabilidade de cada um.
| Parte | Função | Descrição |
---|---|---|---|
| Parte Atlassian | Função Coordenador de resposta a incidentes de segurança | Descrição Cada incidente de segurança tem um coordenador líder de incidentes da equipe de segurança da Atlassian para tomar decisões de segurança, supervisionar o processo e alocar tarefas. |
| Parte Atlassian | Função Analista de incidentes de segurança | Descrição Os analistas de segurança realizam a maioria das investigações e análises de incidentes. Em incidentes menores, é normal que isso seja assumido pelo coordenador de resposta a incidentes de segurança. |
| Parte Atlassian | Função Líder de comunicação com o cliente | Descrição Um líder de comunicação com o cliente é designado a cada incidente para tomar decisões sobre como os clientes devem se envolver. Em geral, essa pessoa também assume boa parte da comunicação com o cliente. |
| Parte Atlassian | Função Equipe vermelha | Descrição A equipe vermelha da Atlassian imita os adversários cibernéticos do mundo real e executa cenários de teste definidos, projetados para avaliar e identificar melhorias em nossos próprios recursos de detecção e resposta. |
| Parte Atlassian | Função Consultor auxiliar | Descrição As equipes de gerenciamento de incidentes de segurança da Atlassian procuram o aconselhamento de vários especialistas internos no assunto (por exemplo, jurídico, privacidade, risco, recursos humanos etc.). Esses consultores oferecem orientação especializada sobre questões que afetam suas áreas de especialização. |
| Parte Consultoria de segurança | Função Consultor | Descrição A Atlassian mantém os serviços de uma consultoria especializada em segurança cibernética em caso de incidente. Em geral, a consultoria é usada para disponibilizar recursos adicionais em caso de escassez, habilidades especializadas, se indisponíveis internamente, e consultoria e análise independentes de incidentes. |
| Parte Cliente | Função Relator | Descrição Os clientes são incentivados a relatar qualquer acesso não autorizado ou comportamento malicioso aos ativos da Atlassian. |
| Parte Cliente | Função Contato de segurança | Descrição Se um incidente que afeta um cliente for confirmado, o contato de segurança do cliente vai ser notificado. O normal é que o contato de segurança seja o contato técnico da conta, mas pode ser alterado se o cliente tiver uma equipe de segurança dedicada. O contato de segurança garante o gerenciamento adequado do incidente pelo cliente fora do escopo dos ativos da Atlassian. |
Responsabilidades
A Atlassian define as responsabilidades do gerenciamento de incidentes de segurança usando o modelo RACI. Ainda que a gente faça todo o esforço possível para cumprir as responsabilidades definidas, os clientes são, em última instância, os responsáveis pela segurança dos seus dados, de acordo com o Contrato do Cliente da Atlassian.
- Responsável - A parte que vai trabalhar para concluir a tarefa.
- Autoridade - A parte que vai de fato responder pela conclusão correta e completa da atividade.
- Consultado - A parte de quem se buscam opiniões e com quem há comunicação bidirecional.
- Informado - A parte que é mantida atualizada sobre o progresso e com quem há comunicação apenas unidirecional.
| Atividade | Atlassian | Cliente |
---|---|---|---|
| Atividade Detecção | Atlassian Responsável | Cliente
|
| Atividade Triagem | Atlassian Responsável | Cliente
|
| Atividade Investigação | Atlassian Responsável | Cliente
|
| Atividade Contenção | Atlassian Responsável | Cliente
|
| Atividade Erradicação | Atlassian Responsável | Cliente Informado |
| Atividade Recuperação | Atlassian Responsável | Cliente Informado |
| Atividade Notificação (para o cliente) | Atlassian Responsável | Cliente Informado |
| Atividade Notificação (para a Atlassian) | Atlassian Informada | Cliente Responsável |
| Atividade Melhoria | Atlassian Responsável | Cliente
|
| Atividade Testes | Atlassian Responsável | Cliente
|
| Atividade Relatórios externos (aplicação da lei e conformidade) | Atlassian Encarregada por Responsável | Cliente Informado |
| Atividade Publicação de dados agregados | Atlassian Responsável | Cliente Informado |