Close

Sistema de Gestão da Confiança Atlassian (ATMS)


Introdução ao Sistema de Gestão da Confiança Atlassian (ATMS)

Na Atlassian, a gente se orgulha dos valores da empresa. Eles guiam tudo o que é feito aqui. Um valor de grande destaque é o lema de ser uma empresa aberta, sem papo-furado. Esse valor representa exatamente o que está definido na página de Valores:

E a gente entende que falar o que você está pensando requer partes iguais de cérebro (o que dizer), reflexão (quando dizer) e cuidado (como dizer).

Vocês, nossos clientes, sempre dizem que gostariam de saber mais sobre como o gerenciamento e as operações da Atlassian. Aqui, você fica por dentro de como funciona o Programa de gestão da Confiança, ou como chamado pela ISO27001 (Norma de Gestão de Segurança), o Sistema de Gestão da Confiança (ATMS).

Na Atlassian, a gente se orgulha de ser um pouquinho diferente — seja pela abordagem exclusiva de vendas, os valores da empresa ou nossa visão filantrópica. Essa visão se aplica também ao Programa de Gestão da Confiança.

 

Qual a importância de um programa de gestão estruturado?

Há valor nos sistemas de gestão, quer você avalie os sistemas de gestão da qualidade, os sistemas de gestão de defeitos, o método kaizen de melhoria contínua ou uma metodologia estruturada de avaliação da maturidade de recursos. Esses programas de gestão foram testados em campo, publicados, revisados por pares e refinados. O Programa de Gestão da Confiança da Atlassian tem como base a norma Sistema de Gestão de Segurança da Informação (ISO27001) O resumo da norma ISO27001 é:

Essa norma internacional pode ser usada por terceiros internos e externos para avaliar a capacidade que a empresa tem para cumprir os próprios requisitos de segurança da informação.

 

Valor dos padrões internacionais como orientação (não necessariamente obrigatórios)

Muitas empresas, principalmente as que são responsáveis pela hospedagem e pelo processamento dos dados do cliente, recebem muitas perguntas dos nossos clientes sobre se a Atlassian, enquanto fornecedora de serviços na nuvem, está tomando o devido cuidado para a proteção e confidencialidade dos dados dos nossos clientes. Todos os clientes que consideram a utilização de serviços na nuvem enfrentam decisões parecidas na escolha da hospedagem de aplicativos ou serviços essenciais.

Cada um dos nossos clientes tem seus próprios requisitos de segurança, e o Programa de Gestão da Confiança da Atlassian leva esses requisitos em consideração e chega a um conjunto de requisitos exclusivos para a empresa e o ambiente. A abordagem da ISO27001 para o planejamento, operação, avaliação, desempenho e melhoria permite a avaliação contínua de como o programa funciona e ainda melhora o programa ao longo do tempo, levando em consideração ameaças e exigências novas e o aprimoramento do desempenho geral da nossa operação.

Aqui, as normas internacionais são vistas como um conjunto de diretrizes bem estruturadas, e cada um dos controles é analisado (e se esses controles são adequados para as especificidades do nosso ambiente). Uma abordagem semelhante serve para a aplicabilidade geral dessas normas internacionais no nosso ambiente.

 

Programa de Gestão de Políticas

A base do Sistema de Gestão da Confiança é o Programa de Gestão de Políticas (PGP). As políticas da Atlassian foram desenvolvidas para abordar os assuntos inclusos tanto na norma ISO27001 quanto na Matriz de Controles Cloud (MCC) da Cloud Security Alliance. Aqui estão alguns dos princípios fundamentais para o Programa de Gestão de Políticas:

  • Ficar por dentro e disponível — aqui não tem pegadinhas, o padrão que se espera das nossas equipes é sempre muito claro
  • Aceitar o apoio da equipe de segurança para facilitar a conformidade — é nossa função dar suporte às equipes da Atlassian. Ajude a gente a ajudar você
  • Descrever nossos objetivos de segurança — é bom ter objetivos e clareza em relação a eles
  • Mostrar comprometimento em cumprir obrigações regulatórias — ninguém quer ver o sol nascer quadrado
  • Ter foco em iterações e melhorias constantes — a avaliação dos riscos no ambiente e do programa é contínua, o que se reflete em nossas políticas
  • Preparar um processo de exceção — para quando nossas equipes não puderem, de maneira alguma, nem se chover canivete aberto, cumprir as políticas durante um período curto
  • Fazer uma revisão anual — incluindo a atualização das políticas com ameaças e riscos novos

 

Programa de Gestão de Riscos

Para avaliar continuamente os riscos para nossos ambientes e produtos, as avaliações constantes de riscos são vitais. Em muitos casos, principalmente com relação aos nossos produtos, essas avaliações são feitas como avaliações técnicas de risco ou revisões de códigos. A gente também avalia cada um dos nossos produtos ou uma parte da empresa para revelar riscos de um nível maior à empresa. Em geral, a metodologia de Gestão de Riscos da ISO27005 ou da ISO31010 é plicada a um escopo especifico: Nossa abordagem à gestão de riscos inclui:

  • Conduzir atividades de avaliação de riscos —- inclusive a execução de avaliações de risco, facilitando as decisões para lidar com o risco. Isso engloba a identificação do escopo e dos ativos no escopo, a identificação de riscos, a avaliação do impacto e probabilidade, a revisão e relatório dos riscos.
  • Monitorar e relatar projetos voltados para a gestão de riscos de segurança — continuar monitorando e relatando programas ou projetos destinados à gestão dos riscos de segurança.
  • Dar suporte ao SMP — por meio da avaliação contínua de riscos como mecanismo para melhorar o ambiente e garantir que os controles de segurança implementados lidem com eficiência com os riscos de segurança identificados

 

Fórum de Gestão da Confiança da Atlassian (ISMF)

Por fim, ainda há o Fórum de Gestão da Confiança, que conta com representantes de cada um dos pilares do programa de Confiança, para garantir a aplicação não apenas dos controles de segurança, mas também dos controles de confiabilidade, privacidade e conformidade, e de como gerenciar riscos em cada um desses pilares. As reuniões separadas do fórum propiciam a abordagem de tópicos específicos e uma participação adequada.

O objetivo do ISMF é:

  • Concordar com prioridades e ações necessárias para proteger a Atlassian e nossos clientes de ameaças de segurança
  • Defender e impulsionar atividades em cada divisão da empresa para lidar com deficiências ou vulnerabilidades que possam permitir um ataque
  • Dar orientação e suporte sobre riscos de segurança e programas de conformidade essenciais para grupos de trabalho
  • Defender uma cultura de conscientização sobre segurança em toda a organização

São realizadas as seguintes reuniões de fóruns:

  • ATMF: Análise da gestão(anual)
  • ATMF: Análise de recursos (anual)
  • ATMF: Análise de riscos (trimestral)
  • ATMF: Análise de saúde e segurança (mensal)
  • ATMF: Análise de conformidade (mensal)
  • ATMF: Análises da gestão (semanal)

A estrutura e frequência dessas reuniões garantem a análise contínua do nosso perfil de ameaças, bem como a resposta a essas ameaças.

Há tantas abordagens na gestão de uma empresa de segurança quanto há empresas por aí. Na Atlassian, a gente acredita manter um programa flexível, responsivo e com uma estrutura suficiente para garantir a avaliação e combate a novas ameaças e riscos internos e dos nossos clientes.