Sistema de Gestão da Confiança Atlassian (ATMS)


Introdução ao Sistema de Gerenciamento de Confiança da Atlassian (ATMS)

Aqui na Atlassian, a gente tem muito orgulho dos valores da empresa. Eles orientam tudo o que a gente faz. Um valor que se destaca é Ser uma empresa aberta, sem papo-furado. Esse valor específico representa com exatidão o que está definido na página de Valores —

e a gente entende que falar o que pensa requer partes iguais de cérebro (o que dizer), reflexão (quando dizer) e cuidado (como dizer).

Vocês, clientes, sempre dizem que gostariam de saber mais sobre o gerenciamento e as operações da Atlassian. Aqui, você fica por dentro de como funciona o Programa de gestão da Confiança, ou como chamado pela ISO27001 (Norma de Gestão de Segurança), o Sistema de Gestão da Confiança (ATMS).

Na Atlassian, a gente se orgulha de ser um pouquinho diferente, seja pela abordagem exclusiva de vendasos valores da empresa, ou a visão filantrópica. Essa visão se aplica também ao Programa de Gestão da Confiança.

Qual é a importância de um programa de gestão estruturado?

Há valor nos sistemas de gestão, quer você avalie os sistemas de gestão da qualidade, os sistemas de gestão de defeitos, o método kaizen de melhoria contínua ou uma metodologia estruturada de avaliação da maturidade de recursos. Esses programas de gestão foram testados em campo, publicados, revisados por pares e refinados. O Programa de Gestão da Confiança da Atlassian tem como base a norma Sistema de Gestão de Segurança da Informação (ISO27001) O resumo da norma ISO27001 é:

Essa norma internacional pode ser usada por terceiros internos e externos para avaliar a capacidade que a organização tem para cumprir os próprios requisitos de segurança da informação.

Valor das normas internacionais como orientação (e não como obrigação)

Como em qualquer empresa, em especial as responsáveis por hospedar e gerenciar os dados dos clientes, é compreensível que haja muitas perguntas sobre se a Atlassian, como prestadora de serviços em nuvem, está tomando o devido cuidado com a proteção e a confidencialidade dos dados dos clientes. Qualquer cliente que esteja pensando em utilizar serviços em nuvem enfrenta decisões semelhantes ao optar por hospedar os principais aplicativos ou serviços

Cada um dos clientes tem os próprios requisitos de segurança, e o Programa de Gestão da Confiança da Atlassian leva esses requisitos em consideração e chega a um conjunto de requisitos exclusivos para a empresa e o ambiente. A abordagem da ISO27001 para o planejamento, operação, avaliação de desempenho e melhoria permite a avaliação contínua de como o programa funciona e ainda melhora o programa ao longo do tempo, levando em consideração ameaças e exigências novas e o aprimoramento do desempenho geral da operação.

Avaliamos as normas internacionais como um conjunto de diretrizes bem estruturadas, mas consideramos cada um dos controles e se esses controles são apropriados para o ambiente específico.  Adotamos uma abordagem semelhante à aplicabilidade geral desses padrões internacionais aos ambientes.

Programa de gestão de políticas

A base do Sistema de Gestão de Confiança é o Programa de Gerenciamento de Políticas (PMP). Estruturamos as políticas para abranger os domínios incluídos tanto na norma ISO27001 como na Matriz de Controles na Nuvem (CCM) da Cloud Security Alliance (CSA). A gente desenvolveu alguns princípios fundamentais para o Programa de Gerenciamento de Políticas:

  • Esteja disponível — a gente não está de brincadeira — deixamos claro o que queremos que as equipes cumpram
  • Para facilitar, conte com o apoio da equipe de segurança — estamos aqui para ajudar as equipes para que nos ajudem
  • Defina as metas de segurança — gostamos de ter metas e ser claros sobre elas
  • Mostre comprometimento em cumprir as obrigações regulamentares — não queremos ser presos
  • Mantenha o foco na iteração e melhorias contínuas — continuamos a avaliar os riscos no ambiente e no programa, e eles são refletidos nas políticas
  • Estipule um processo de exceção — para quando as equipes não puderem, em absoluto, sem nenhuma chance, de jeito nenhum, cumprir as políticas por uma breve janela de tempo
  • Faça uma revisão anual — incluindo a atualização das políticas à medida que observamos novas ameaças e riscos

Leia a visão geral e trechos das Políticas de Tecnologia.

Programa de gestão de riscos

A Atlassian faz avaliações constantes dos riscos que os ambientes e produtos correm. Em muitos casos, em especial com relação aos nossos produtos, essas avaliações são feitas como avaliações técnicas de risco ou revisões de código. A gente também avalia cada uma das nossas pilhas de produtos ou uma parte da empresa para revelar riscos maiores para a empresa. Em geral, a metodologia de Gestão de Riscos da ISO27005 ou da ISO31010 é aplicada a um escopo específico. Nossa abordagem à gestão de riscos inclui:

  • Conduzir atividades de avaliação de riscos, inclusive a execução de avaliação de riscos, facilitando as decisões para lidar com o risco. Isso engloba a identificação do escopo e dos recursos no escopo, a identificação de riscos, a avaliação do impacto e probabilidade, a revisão e relatório dos riscos.
  • Monitorar e relatar projetos voltados para a gestão de riscos de segurança, continuar monitorando e relatando programas ou projetos destinados à gestão dos riscos de segurança.
  • Dar suporte ao SMP, por meio da avaliação contínua de riscos como mecanismo para melhorar o ambiente e garantir que os controles de segurança implementados lidem com eficiência com os riscos de segurança identificados.

Consulte o Programa de gestão de riscos da empresa para ver mais informações.

Fórum de Gestão da Confiança Atlassian (ATMF)

Por fim, mantemos um Fórum de Gestão da Confiança estruturado que inclui representantes de cada um dos pilares do programa de Confiança para garantir que aplicamos não apenas controles de segurança, mas também controles de confiabilidade, privacidade e conformidade e para gerenciar riscos em cada um desses pilares. Criamos  reuniões separadas no fórum para garantir a cobertura de tópicos específicos e as contribuições apropriadas.

O objetivo do ATMF é:

  • Concordar com as prioridades e ações necessárias para proteger a Atlassian e os clientes contra ameaças à segurança
  • Defender e conduzir atividades dentro de cada divisão de negócios para solucionar deficiências ou vulnerabilidades que possam permitir que ocorra um ataque
  • Proporcionar orientação e suporte aos grupos de trabalho sobre riscos críticos de segurança e programas de conformidade
  • Defender uma cultura de conscientização de segurança em toda a organização

Mantemos as seguintes reuniões do fórum:

  • ATMF: Revisão de gerenciamento (Anual)
  • ATMF: Revisão de recursos (anual)
  • ATMF: Revisão de riscos (Trimestral)
  • ATMF: Revisão da integridade de segurança (mensal)
  • ATMF: Revisão de conformidade (mensal)
  • ATMF: Revisões de gerenciamento (semanal — cada equipe funcional tem uma Revisão de Gerenciamento)

A estrutura e a frequência dessas reuniões garantem que revisemos continuamente o perfil de ameaças, bem como a resposta a essas ameaças.

Há tantas abordagens na gestão de uma empresa de segurança quanto há empresas por aí. Na Atlassian, nós acreditamos que construímos um programa flexível, responsivo e com uma estrutura suficiente para garantir a avaliação e o combate a novas ameaças e riscos internos e dos clientes.