Zuständigkeiten bei Atlassian für Sicherheitsvorfälle
Einführung
Just like any cloud service provider, we try our best to ensure our customers don't experience an outage or a security incident. However, we understand that a security incident is likely to happen. It's important to us that customers understand how they fit into our security incident response process and what responsibilities you have in the course of an incident. We plan for the worst so, if it happens, we are ready and Don't #@!% our Customer (DFTC).
We do our best to handle the entirety of any security incident affecting our services and infrastructure. We'll do everything from breach detection to containment, and even disclosure. However, we can't possibly see everything; sometimes we need a helping hand from our customers to report an incident or from an external consultancy to provide specialized investigatory or forensic skills.
Rollen
We've reviewed and utilize a number of security incident management models to ensure our incident response processes are not only comprehensive but world-class. We've pulled out the most significant activities from those models and described the responsibility for each.
| Beteiligte | Rolle | Beschreibung |
---|---|---|---|
| Beteiligte Atlassian | Rolle Koordinator von Reaktionen auf Sicherheitsvorfälle | Beschreibung Für jeden Sicherheitsvorfall gibt es einen leitenden Vorfallkoordinator in unserem Atlassian-Sicherheitsteam, der Entscheidungen zum Thema Sicherheit trifft, den Prozess beaufsichtigt und Aufgaben zuweist. |
| Beteiligte Atlassian | Rolle Analyst für Sicherheitsvorfälle | Beschreibung Sicherheitsanalysten führen einen Großteil der Untersuchungen und Analysen von Vorfällen durch. Bei geringfügigeren Vorfällen wird diese Aufgabe häufig vom Koordinator von Reaktionen auf Sicherheitsvorfälle übernommen. |
| Beteiligte Atlassian | Rolle Leiter der Kundenkommunikation | Beschreibung Jedem Vorfall wird ein Leiter der Kundenkommunikation zugewiesen, der Entscheidungen darüber trifft, wie Kunden eingebunden werden. Diese Person stellt normalerweise auch die meisten Kundenkommunikationsmaterialien bereit. |
| Beteiligte Atlassian | Rolle Red Team | Beschreibung Das Red Team von Atlassian agiert wie reale Cyberangreifer und spielt definierte Testszenarien durch, um verbesserungswürdige Bereiche bei unseren eigenen Erkennungs- und Reaktionsfähigkeiten zu evaluieren und identifizieren. |
| Beteiligte Atlassian | Rolle Unterstützender Berater | Beschreibung Atlassian-Teams, die Sicherheitsvorfälle verwalten, holen sich Ratschläge von diversen internen Fachexperten (z. B. für Rechtliches, Datenschutz, Risiken und aus der Personalabteilung). Diese Berater bieten fachkundige Anleitung bei Problemen, die ihr Spezialgebiet betreffen. |
| Beteiligte Sicherheits- berater | Rolle Berater | Beschreibung Atlassian nutzt bei Eintreten eines Sicherheitsvorfalls die Dienstleistungen eines Spezialisten in Sachen Cybersicherheit. Diese Berater werden im Allgemeinen als zusätzliche Ressourcen hinzugezogen, wenn Personalmangel herrscht, intern kein Fachpersonal verfügbar ist oder wenn eine unabhängige Beratung und Prüfung von Vorfällen ansteht. |
| Beteiligte Kunde | Rolle Melder | Beschreibung Kunden sind angehalten, nicht autorisierte Zugriffe auf oder bösartiges Verhalten gegenüber Atlassian-Ressourcen zu melden. |
| Beteiligte Kunde | Rolle Ansprechpartner für Sicherheit | Beschreibung Wenn ein Vorfall bestätigt wird, der sich auf einen Kunden auswirkt, wird der Ansprechpartner für Sicherheit des Kunden benachrichtigt. Der Ansprechpartner für Sicherheit ist normalerweise der Technical Contact beim Kunden. Das kann sich aber ändern, wenn der Kunden über ein dediziertes Sicherheitsteam verfügt. Der Ansprechpartner für Sicherheit stellt sicher, dass der Kunde den Vorfall ordnungsgemäß und außerhalb des Bereichs von Atlassian-Assets verwaltet. |
Zuständigkeiten
We define our security incident management responsibilities using the RACI model. While we make every effort to fulfill our defined responsibilities, customers are ultimately responsible for the security of their data as per the Atlassian Customer Agreement.
- Responsible - The party will do the work to achieve the task.
- Accountable - The party ultimately answerable for the correct and thorough completion of the activity.
- Consulted - The party whose opinions are sought and with whom there is two-way communication.
- Informed - The party who is kept up-to-date on progress, and with whom there is just one-way communication.
| Aktivität | Atlassian | Kunde |
---|---|---|---|
| Aktivität Erkennung | Atlassian Zuständig | Kunde
|
| Aktivität Selektierung | Atlassian Zuständig | Kunde
|
| Aktivität Untersuchung | Atlassian Zuständig | Kunde
|
| Aktivität Eindämmung | Atlassian Zuständig | Kunde
|
| Aktivität Beseitigung | Atlassian Zuständig | Kunde Informiert |
| Aktivität Wiederherstellung | Atlassian Zuständig | Kunde Informiert |
| Aktivität Benachrichtigung (des Kunden) | Atlassian Zuständig | Kunde Informiert |
| Aktivität Benachrichtigung (von Atlassian) | Atlassian Informiert | Kunde Zuständig |
| Aktivität Verbesserung | Atlassian Zuständig | Kunde
|
| Aktivität Tests | Atlassian Zuständig | Kunde
|
| Aktivität Berichterstellung für externe Stellen (Strafverfolgung und Compliance) | Atlassian Verantwortlich Zuständig | Kunde Informiert |
| Aktivität Veröffentlichung aggregierter Daten | Atlassian Zuständig | Kunde Informiert |