Responsabilidades por incidentes de segurança da Atlassian
Introdução
Assim como qualquer provedor de serviços em nuvem, fazemos de tudo para garantir que nossos clientes não sofram interrupções ou incidentes de segurança. No entanto, entendemos que é provável que ocorram incidentes de segurança. Achamos importante que os clientes entendam como eles se encaixam em nosso processo de resposta a incidentes de segurança e quais responsabilidades eles têm no decorrer de um incidente. Estamos sempre prontos para o pior. Assim, se isso acontecer, vamos dar conta e não vamos ferrar a vida do cliente (DFTC).
Fazemos o possível para lidar com a integralidade de qualquer incidente de segurança que afeta nossos serviços e infraestrutura. Fazemos de tudo, desde a detecção de violações, a contenção e até a divulgação. No entanto, não podemos ver tudo; às vezes, precisamos de ajuda dos clientes para relatar um incidente ou de consultoria externa para disponibilizar habilidades investigativas ou forenses especializadas.
Funções
Analisamos e utilizamos vários modelos de gerenciamento de incidentes de segurança para garantir que nossos processos de resposta a incidentes não sejam apenas abrangentes, mas de classe mundial. Selecionamos as atividades mais significativas desses modelos e descrevemos a responsabilidade de cada um.
| Parte | Função | Descrição |
---|---|---|---|
| Parte Atlassian | Função Coordenador de resposta a incidentes de segurança | Descrição Cada incidente de segurança tem um coordenador líder de incidentes da equipe de segurança da Atlassian para tomar decisões de segurança, supervisionar o processo e alocar tarefas. |
| Parte Atlassian | Função Analista de incidentes de segurança | Descrição Os analistas de segurança realizam a maioria das investigações e análises de incidentes. Em incidentes menores, é normal que isso seja assumido pelo coordenador de resposta a incidentes de segurança. |
| Parte Atlassian | Função Líder de comunicação com o cliente | Descrição Um líder de comunicação com o cliente é designado a cada incidente para tomar decisões sobre como os clientes devem se envolver. Em geral, essa pessoa também assume boa parte da comunicação com o cliente. |
| Parte Atlassian | Função Equipe vermelha | Descrição A equipe vermelha da Atlassian imita os adversários cibernéticos do mundo real e executa cenários de teste definidos, projetados para avaliar e identificar melhorias em nossos próprios recursos de detecção e resposta. |
| Parte Atlassian | Função Consultor auxiliar | Descrição As equipes de gerenciamento de incidentes de segurança da Atlassian procuram o aconselhamento de vários especialistas internos no assunto (por exemplo, jurídico, privacidade, risco, recursos humanos etc.). Esses consultores oferecem orientação especializada sobre questões que afetam suas áreas de especialização. |
| Parte Consultoria de segurança | Função Consultor | Descrição A Atlassian mantém os serviços de uma consultoria especializada em segurança cibernética em caso de incidente. Em geral, a consultoria é usada para disponibilizar recursos adicionais em caso de escassez, habilidades especializadas, se indisponíveis internamente, e consultoria e análise independentes de incidentes. |
| Parte Cliente | Função Relator | Descrição Os clientes são incentivados a relatar qualquer acesso não autorizado ou comportamento malicioso aos ativos da Atlassian. |
| Parte Cliente | Função Contato de segurança | Descrição Se um incidente que afeta um cliente for confirmado, o contato de segurança do cliente vai ser notificado. O normal é que o contato de segurança seja o contato técnico da conta, mas pode ser alterado se o cliente tiver uma equipe de segurança dedicada. O contato de segurança garante o gerenciamento adequado do incidente pelo cliente fora do escopo dos ativos da Atlassian. |
Responsabilidades
Definimos nossas responsabilidades de gerenciamento de incidentes de segurança usando o modelo RACI. Embora façamos todos os esforços para cumprir nossas responsabilidades definidas, os clientes são os principais responsáveis pela segurança de seus dados, de acordo com o Contrato do Cliente da Atlassian.
- Responsável - A parte que vai trabalhar para a realização da tarefa.
- Encarregada por - A parte é responsável, em última instância, pela conclusão correta e completa da atividade.
- Consultada - A parte que tem as opiniões ouvidas e com quem há comunicação bidirecional.
- Informada - A parte que é mantida atualizada sobre o andamento e com quem há apenas uma comunicação unidirecional.
| Atividade | Atlassian | Cliente |
---|---|---|---|
| Atividade Detecção | Atlassian Responsável | Cliente
|
| Atividade Triagem | Atlassian Responsável | Cliente
|
| Atividade Investigação | Atlassian Responsável | Cliente
|
| Atividade Contenção | Atlassian Responsável | Cliente
|
| Atividade Erradicação | Atlassian Responsável | Cliente Informado |
| Atividade Recuperação | Atlassian Responsável | Cliente Informado |
| Atividade Notificação (para o cliente) | Atlassian Responsável | Cliente Informado |
| Atividade Notificação (para a Atlassian) | Atlassian Informada | Cliente Responsável |
| Atividade Melhoria | Atlassian Responsável | Cliente
|
| Atividade Testes | Atlassian Responsável | Cliente
|
| Atividade Relatórios externos (aplicação da lei e conformidade) | Atlassian Encarregada por Responsável | Cliente Informado |
| Atividade Publicação de dados agregados | Atlassian Responsável | Cliente Informado |