Zuständigkeiten bei Atlassian für Sicherheitsvorfälle


Einführung

Wie andere Cloud-Service-Anbieter tun auch wir unser Bestes, um sicherzustellen, dass unsere Kunden nicht von Ausfällen oder Sicherheitsvorfällen betroffen sein werden. Trotzdem ist uns bewusst, dass solche Vorfälle eintreten können. Uns ist wichtig, Kunden zu erklären, wie sie in unseren Prozess für die Reaktion auf Sicherheitsvorfälle eingebunden sind und welche Pflichten du im Falle eines Vorfalls hast. Wir rechnen mit dem Schlimmsten, damit wir im Eintrittsfall darauf vorbereitet sind, und werden nicht versuchen, Kunden hinters Licht zu führen.

Wir unternehmen alles, um Sicherheitsvorfälle, die sich auf unsere Services und die Infrastruktur auswirken, vollumfänglich zu behandeln. Dabei kümmern wir uns um alles: von der Erkennung der Sicherheitsverletzung über die Eindämmung bis hin zur Offenlegung. Wir können allerdings unmöglich alles allein im Auge behalten. Manchmal brauchen wir die Hilfe von Kunden, die uns Vorfälle melden, oder von externen Beratern, die spezialisierte Ermittlungsarbeit leisten oder Forensikkenntnisse aufweisen.

Rollen

Wir haben diverse Modelle für das Management von Sicherheitsvorfällen geprüft und genutzt, um sicherzustellen, dass unsere Incident Response-Prozesse nicht nur umfassend, sondern erstklassig sind. Diesen Modellen haben wir die wirksamsten Aktivitäten entnommen und die Verantwortlichkeiten dafür beschrieben.

 

Beteiligte

Rolle

Beschreibung

 

Beteiligte

Atlassian

Rolle

Koordinator von Reaktionen auf Sicherheitsvorfälle

Beschreibung

Für jeden Sicherheitsvorfall gibt es einen leitenden Vorfallkoordinator in unserem Atlassian-Sicherheitsteam, der Entscheidungen zum Thema Sicherheit trifft, den Prozess beaufsichtigt und Aufgaben zuweist.

 

Beteiligte

Atlassian

Rolle

Analyst für Sicherheitsvorfälle

Beschreibung

Sicherheitsanalysten führen einen Großteil der Untersuchungen und Analysen von Vorfällen durch. Bei geringfügigeren Vorfällen wird diese Aufgabe häufig vom Koordinator von Reaktionen auf Sicherheitsvorfälle übernommen.

 

Beteiligte

Atlassian

Rolle

Leiter der Kundenkommunikation

Beschreibung

Jedem Vorfall wird ein Leiter der Kundenkommunikation zugewiesen, der Entscheidungen darüber trifft, wie Kunden eingebunden werden. Diese Person stellt normalerweise auch die meisten Kundenkommunikationsmaterialien bereit.

 

Beteiligte

Atlassian

Rolle

Red Team

Beschreibung

Das Red Team von Atlassian agiert wie reale Cyberangreifer und spielt definierte Testszenarien durch, um verbesserungswürdige Bereiche bei unseren eigenen Erkennungs- und Reaktionsfähigkeiten zu evaluieren und identifizieren.

 

Beteiligte

Atlassian

Rolle

Unterstützender Berater

Beschreibung

Atlassian-Teams, die Sicherheitsvorfälle verwalten, holen sich Ratschläge von diversen internen Fachexperten (z. B. für Rechtliches, Datenschutz, Risiken und aus der Personalabteilung). Diese Berater bieten fachkundige Anleitung bei Problemen, die ihr Spezialgebiet betreffen.

 

Beteiligte

Sicherheits- berater

Rolle

Berater

Beschreibung

Atlassian nutzt bei Eintreten eines Sicherheitsvorfalls die Dienstleistungen eines Spezialisten in Sachen Cybersicherheit. Diese Berater werden im Allgemeinen als zusätzliche Ressourcen hinzugezogen, wenn Personalmangel herrscht, intern kein Fachpersonal verfügbar ist oder wenn eine unabhängige Beratung und Prüfung von Vorfällen ansteht.

 

Beteiligte

Kunde

Rolle

Melder

Beschreibung

Kunden sind angehalten, nicht autorisierte Zugriffe auf oder bösartiges Verhalten gegenüber Atlassian-Ressourcen zu melden.

 

Beteiligte

Kunde

Rolle

Ansprechpartner für Sicherheit

Beschreibung

Wenn ein Vorfall bestätigt wird, der sich auf einen Kunden auswirkt, wird der Ansprechpartner für Sicherheit des Kunden benachrichtigt. Der Ansprechpartner für Sicherheit ist normalerweise der Technical Contact beim Kunden. Das kann sich aber ändern, wenn der Kunden über ein dediziertes Sicherheitsteam verfügt. Der Ansprechpartner für Sicherheit stellt sicher, dass der Kunde den Vorfall ordnungsgemäß und außerhalb des Bereichs von Atlassian-Assets verwaltet.

Zuständigkeiten

Wir definieren unsere Zuständigkeiten beim Management von Sicherheitsvorfällen mithilfe des RACI-Modells. Obwohl wir alles Mögliche unternehmen, um unsere festgelegten Pflichten zu erfüllen, sind laut Atlassian-Kundenvereinbarung letztendlich die Kunden für die Sicherheit ihrer Daten verantwortlich.

  • Zuständig – Der Beteiligte wird die Aufgabe erledigen, um das Ziel zu erreichen.
  • Verantwortlich – Der Beteiligte ist letztendlich für die korrekte und sorgfältige Ausführung der Aktivität verantwortlich.
  • Herangezogen – Der Beteiligte, dessen Meinung eingeholt wird und mit dem eine wechselseitige Kommunikation stattfindet.
  • Informiert – Der Beteiligte, der über den Fortschritt auf dem Laufenden gehalten wird und mit dem eine einseitige Kommunikation stattfindet.

 

Aktivität

Atlassian

Kunde

 

Aktivität

Erkennung

Atlassian

Zuständig

Kunde

 

 

Aktivität

Selektierung

Atlassian

Zuständig

Kunde

 

 

Aktivität

Untersuchung

Atlassian

Zuständig

Kunde

 

 

Aktivität

Eindämmung

Atlassian

Zuständig

Kunde

 

 

Aktivität

Beseitigung

Atlassian

Zuständig

Kunde

Informiert

 

Aktivität

Wiederherstellung

Atlassian

Zuständig

Kunde

Informiert

 

Aktivität

Benachrichtigung (des Kunden)

Atlassian

Zuständig

Kunde

Informiert

 

Aktivität

Benachrichtigung (von Atlassian)

Atlassian

Informiert

Kunde

Zuständig

 

Aktivität

Verbesserung

Atlassian

Zuständig

Kunde

 

 

Aktivität

Tests

Atlassian

Zuständig

Kunde

 

 

Aktivität

Berichterstellung für externe Stellen (Strafverfolgung und Compliance)

Atlassian

Verantwortlich Zuständig

Kunde

Informiert

 

Aktivität

Veröffentlichung aggregierter Daten

Atlassian

Zuständig

Kunde

Informiert