Close

Sistema de Gestão da Confiança Atlassian (ATMS)


Introdução ao Sistema de Gerenciamento de Confiança da Atlassian (ATMS)

Aqui na Atlassian, a gente tem muito orgulho dos valores da empresa. Eles orientam tudo o que a gente faz. Um valor que se destaca é Ser uma empresa aberta, sem papo-furado. Esse valor específico representa com exatidão o que está definido na página de Valores —

e a gente entende que falar o que pensa requer partes iguais de cérebro (o que dizer), reflexão (quando dizer) e cuidado (como dizer).

Vocês, clientes, sempre dizem que gostariam de saber mais sobre o gerenciamento e as operações da Atlassian. Aqui, você fica por dentro de como funciona o Programa de gestão da Confiança, ou como chamado pela ISO27001 (Norma de Gestão de Segurança), o Sistema de Gestão da Confiança (ATMS).

Na Atlassian, a gente se orgulha de ser um pouquinho diferente, seja pela abordagem exclusiva de vendasos valores da empresa, ou a visão filantrópica. Essa visão se aplica também ao Programa de Gestão da Confiança.

Qual é a importância de um programa de gestão estruturado?

Há valor nos sistemas de gestão, quer você avalie os sistemas de gestão da qualidade, os sistemas de gestão de defeitos, o método kaizen de melhoria contínua ou uma metodologia estruturada de avaliação da maturidade de recursos. Esses programas de gestão foram testados em campo, publicados, revisados por pares e refinados. O Programa de Gestão da Confiança da Atlassian tem como base a norma Sistema de Gestão de Segurança da Informação (ISO27001) O resumo da norma ISO27001 é:

Essa norma internacional pode ser usada por terceiros internos e externos para avaliar a capacidade que a organização tem para cumprir os próprios requisitos de segurança da informação.

Valor das normas internacionais como orientação (e não como obrigação)

Como em qualquer empresa, em especial as responsáveis por hospedar e gerenciar os dados dos clientes, é compreensível que haja muitas perguntas sobre se a Atlassian, como prestadora de serviços em nuvem, está tomando o devido cuidado com a proteção e a confidencialidade dos dados dos clientes. Qualquer cliente que esteja pensando em utilizar serviços em nuvem enfrenta decisões semelhantes ao optar por hospedar os principais aplicativos ou serviços

Cada um dos clientes tem os próprios requisitos de segurança, e o Programa de Gestão da Confiança da Atlassian leva esses requisitos em consideração e chega a um conjunto de requisitos exclusivos para a empresa e o ambiente. A abordagem da ISO27001 para o planejamento, operação, avaliação de desempenho e melhoria permite a avaliação contínua de como o programa funciona e ainda melhora o programa ao longo do tempo, levando em consideração ameaças e exigências novas e o aprimoramento do desempenho geral da operação.

Avaliamos as normas internacionais como um conjunto de diretrizes bem estruturadas, mas consideramos cada um dos controles e se esses controles são apropriados para o ambiente específico.  Adotamos uma abordagem semelhante à aplicabilidade geral desses padrões internacionais aos ambientes.

Programa de gestão de políticas

The basis of the Trust Management System is our Policy Management Program (PMP). We have structured our policies to cover the domains included in both the ISO27001 standard as well as the Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM). We have developed a couple of foundational principles to our Policy Management Program:

  • Be posted and available - we aren't playing gotcha - we make it clear the bar our teams are expected to meet
  • Be supported by the security team to make it easy for you to comply - we are here to help our teams, help us
  • Outline our security objectives - we like to have goals and be clear about them
  • Show commitment to meet our regulatory obligations - we don't want to go to jail
  • Be focused on continual iteration and improvement - we continue to evaluate risks in our environment and in our program, and reflect those in our policies
  • Provide for an Exception Process - for when our teams absolutely, not even a chance, there is no way, can they meet the policies for a short window
  • Review annually - including updating our policies as we observe new threats and risks

Read on overview and excerpts of our Technology Policies.

Programa de gestão de riscos

A Atlassian faz avaliações constantes dos riscos que os ambientes e produtos correm. Em muitos casos, em especial com relação aos nossos produtos, essas avaliações são feitas como avaliações técnicas de risco ou revisões de código. A gente também avalia cada uma das nossas pilhas de produtos ou uma parte da empresa para revelar riscos maiores para a empresa. Em geral, a metodologia de Gestão de Riscos da ISO27005 ou da ISO31010 é aplicada a um escopo específico. Nossa abordagem à gestão de riscos inclui:

  • Conduzir atividades de avaliação de riscos, inclusive a execução de avaliação de riscos, facilitando as decisões para lidar com o risco. Isso engloba a identificação do escopo e dos recursos no escopo, a identificação de riscos, a avaliação do impacto e probabilidade, a revisão e relatório dos riscos.
  • Monitorar e relatar projetos voltados para a gestão de riscos de segurança, continuar monitorando e relatando programas ou projetos destinados à gestão dos riscos de segurança.
  • Dar suporte ao SMP, por meio da avaliação contínua de riscos como mecanismo para melhorar o ambiente e garantir que os controles de segurança implementados lidem com eficiência com os riscos de segurança identificados.

Consulte o Programa de gestão de riscos da empresa para ver mais informações.

Atlassian Trust Management Forum (ATMF)

Finally, we maintain a structured Trust Management Forum that includes representatives from each of the pillars of our Trust program to ensure we apply not only security controls but also reliability, privacy and compliance controls and how to manage risks across each of these pillars. We have created  separate forum meetings to ensure coverage of particular topics as well as appropriate input.

The ATMF’s purpose is to:

  • Agree on priorities and actions required to protect Atlassian and our customers from security threats
  • Champion and drive activities within each business division to address deficiencies or vulnerabilities that may allow an attack to occur
  • Provide direction and support to working groups on critical security risks and compliance programs
  • Champion a security awareness culture throughout the organisation

We maintain the following forum meetings:

  • ATMF: Management Review (Annually - in line with annual budgeting)
  • ATMF: Resource Review (Annually - in line with annual budgeting)
  • ATMF: Risk Review (Quarterly)
  • ATMF: Security Health Review (Monthly)
  • ATMF: Compliance Health Review (Monthly)
  • ATMF: Management Reviews (Weekly - each function team has a Management Review)

The structure and frequency of these meetings ensure we are continuously reviewing our threat profile, as well as our response to those threats.

There are as many different approaches to manage a security organization as there are organizations out there. We, at Atlassian, believe we have set up a program to be flexible, responsive, but also with enough structure to ensure we are evaluating and addressing new threats and risks to both us, as well as our customers.