Zuständigkeiten bei Atlassian für Sicherheitsvorfälle
Einführung
Wie andere Cloud-Service-Anbieter tun auch wir unser Bestes, um sicherzustellen, dass unsere Kunden nicht von Ausfällen oder Sicherheitsvorfällen betroffen sein werden. Trotzdem ist uns bewusst, dass solche Vorfälle eintreten können. Uns ist wichtig, Kunden zu erklären, wie sie in unseren Prozess für die Reaktion auf Sicherheitsvorfälle eingebunden sind und welche Pflichten du im Falle eines Vorfalls hast. Wir rechnen mit dem Schlimmsten, damit wir im Eintrittsfall darauf vorbereitet sind, und werden nicht versuchen, Kunden hinters Licht zu führen.
Wir unternehmen alles, um Sicherheitsvorfälle, die sich auf unsere Services und die Infrastruktur auswirken, vollumfänglich zu behandeln. Dabei kümmern wir uns um alles: von der Erkennung der Sicherheitsverletzung über die Eindämmung bis hin zur Offenlegung. Wir können allerdings unmöglich alles allein im Auge behalten. Manchmal brauchen wir die Hilfe von Kunden, die uns Vorfälle melden, oder von externen Beratern, die spezialisierte Ermittlungsarbeit leisten oder Forensikkenntnisse aufweisen.
Rollen
Wir haben diverse Modelle für das Management von Sicherheitsvorfällen geprüft und genutzt, um sicherzustellen, dass unsere Incident Response-Prozesse nicht nur umfassend, sondern erstklassig sind. Diesen Modellen haben wir die wirksamsten Aktivitäten entnommen und die Verantwortlichkeiten dafür beschrieben.
| | Beteiligte | Rolle | Beschreibung |
|---|---|---|---|
|
| Beteiligte Atlassian | Rolle Koordinator von Reaktionen auf Sicherheitsvorfälle | Beschreibung Für jeden Sicherheitsvorfall gibt es einen leitenden Vorfallkoordinator in unserem Atlassian-Sicherheitsteam, der Entscheidungen zum Thema Sicherheit trifft, den Prozess beaufsichtigt und Aufgaben zuweist. |
|
| Beteiligte Atlassian | Rolle Analyst für Sicherheitsvorfälle | Beschreibung Sicherheitsanalysten führen einen Großteil der Untersuchungen und Analysen von Vorfällen durch. Bei geringfügigeren Vorfällen wird diese Aufgabe häufig vom Koordinator von Reaktionen auf Sicherheitsvorfälle übernommen. |
|
| Beteiligte Atlassian | Rolle Leiter der Kundenkommunikation | Beschreibung Jedem Vorfall wird ein Leiter der Kundenkommunikation zugewiesen, der Entscheidungen darüber trifft, wie Kunden eingebunden werden. Diese Person stellt normalerweise auch die meisten Kundenkommunikationsmaterialien bereit. |
|
| Beteiligte Atlassian | Rolle Red Team | Beschreibung Das Red Team von Atlassian agiert wie reale Cyberangreifer und spielt definierte Testszenarien durch, um verbesserungswürdige Bereiche bei unseren eigenen Erkennungs- und Reaktionsfähigkeiten zu evaluieren und identifizieren. |
|
| Beteiligte Atlassian | Rolle Unterstützender Berater | Beschreibung Atlassian-Teams, die Sicherheitsvorfälle verwalten, holen sich Ratschläge von diversen internen Fachexperten (z. B. für Rechtliches, Datenschutz, Risiken und aus der Personalabteilung). Diese Berater bieten fachkundige Anleitung bei Problemen, die ihr Spezialgebiet betreffen. |
|
| Beteiligte Sicherheits- berater | Rolle Berater | Beschreibung Atlassian nutzt bei Eintreten eines Sicherheitsvorfalls die Dienstleistungen eines Spezialisten in Sachen Cybersicherheit. Diese Berater werden im Allgemeinen als zusätzliche Ressourcen hinzugezogen, wenn Personalmangel herrscht, intern kein Fachpersonal verfügbar ist oder wenn eine unabhängige Beratung und Prüfung von Vorfällen ansteht. |
|
| Beteiligte Kunde | Rolle Melder | Beschreibung Kunden sind angehalten, nicht autorisierte Zugriffe auf oder bösartiges Verhalten gegenüber Atlassian-Ressourcen zu melden. |
|
| Beteiligte Kunde | Rolle Ansprechpartner für Sicherheit | Beschreibung Wenn ein Vorfall bestätigt wird, der sich auf einen Kunden auswirkt, wird der Ansprechpartner für Sicherheit des Kunden benachrichtigt. Der Ansprechpartner für Sicherheit ist normalerweise der Technical Contact beim Kunden. Das kann sich aber ändern, wenn der Kunden über ein dediziertes Sicherheitsteam verfügt. Der Ansprechpartner für Sicherheit stellt sicher, dass der Kunde den Vorfall ordnungsgemäß und außerhalb des Bereichs von Atlassian-Assets verwaltet. |
Zuständigkeiten
Wir definieren unsere Zuständigkeiten beim Management von Sicherheitsvorfällen mithilfe des RACI-Modells. Obwohl wir alles Mögliche unternehmen, um unsere festgelegten Pflichten zu erfüllen, sind laut Atlassian-Kundenvereinbarung letztendlich die Kunden für die Sicherheit ihrer Daten verantwortlich.
- Zuständig – Der Beteiligte wird die Aufgabe erledigen, um das Ziel zu erreichen.
- Verantwortlich – Der Beteiligte ist letztendlich für die korrekte und sorgfältige Ausführung der Aktivität verantwortlich.
- Herangezogen – Der Beteiligte, dessen Meinung eingeholt wird und mit dem eine wechselseitige Kommunikation stattfindet.
- Informiert – Der Beteiligte, der über den Fortschritt auf dem Laufenden gehalten wird und mit dem eine einseitige Kommunikation stattfindet.
| | Aktivität | Atlassian | Kunde |
|---|---|---|---|
|
| Aktivität Erkennung | Atlassian Zuständig | Kunde
|
|
| Aktivität Selektierung | Atlassian Zuständig | Kunde
|
|
| Aktivität Untersuchung | Atlassian Zuständig | Kunde
|
|
| Aktivität Eindämmung | Atlassian Zuständig | Kunde
|
|
| Aktivität Beseitigung | Atlassian Zuständig | Kunde Informiert |
|
| Aktivität Wiederherstellung | Atlassian Zuständig | Kunde Informiert |
|
| Aktivität Benachrichtigung (des Kunden) | Atlassian Zuständig | Kunde Informiert |
|
| Aktivität Benachrichtigung (von Atlassian) | Atlassian Informiert | Kunde Zuständig |
|
| Aktivität Verbesserung | Atlassian Zuständig | Kunde
|
|
| Aktivität Tests | Atlassian Zuständig | Kunde
|
|
| Aktivität Berichterstellung für externe Stellen (Strafverfolgung und Compliance) | Atlassian Verantwortlich Zuständig | Kunde Informiert |
|
| Aktivität Veröffentlichung aggregierter Daten | Atlassian Zuständig | Kunde Informiert |