Close

Unser Atlassian Trust Management System (ATMS)


Unser Atlassian Trust Management System (ATMS) kurz vorgestellt

Bei Atlassian sind wir stolz auf unsere Unternehmenswerte. Wir richten unser gesamtes Handeln an diesen Werten aus. Ein Wert sticht dabei besonders heraus: Offene Unternehmenskultur – kein Bullsh**. Dieser Wert sagt genau das aus, was du auf der Seite mit der Erläuterung unserer Werte nachlesen kannst.

Außerdem verstehen wir, dass es gleichermaßen Verstand (was gesagt werden soll), Bedächtigkeit (wann es gesagt werden soll) und Einfühlungsvermögen (wie es gesagt wird) erfordert, deine Meinung zu äußern.

Unsere Kunden fragen uns immer wieder, wie wir unser Unternehmen und das operative Geschäft führen. Im Folgenden möchten wir dir etwas mehr über unser Trust Management Program erzählen, oder wie es gemäß dem Sicherheitsmanagementstandard ISO27001 heißt – das Atlassian Trust Management System (ATMS).

Wir bei Atlassian rühmen uns, ein wenig anders zu sein. Beste Beispiele dafür sind unser einzigartiges Vertriebsmodell, unsere Unternehmenswerte oder unsere Eigenverpflichtung, der Gesellschaft etwas zurückzugeben. Denselben Ansatz verfolgen wir auch bei unserem Trust Management Program.

Warum ist ein strukturiertes Managementprogramm so wichtig?

Managementsysteme sind nützlich, egal ob es sich um Qualitätsmanagementsysteme, Fehlermanagementsysteme, die Kaizen-Methode zur kontinuierlichen Verbesserung oder eine strukturierte Methodik zur Reifegradbeurteilung (Capability Maturity) handelt. Diese Managementprogramme haben sich in der Praxis bewährt, wurden veröffentlicht, Peer-Reviews unterzogen und immer weiter verfeinert. Das Atlassian Trust Management Program basiert auf ISO27001, dem internationalen Standard für Informationssicherheit. Der Grundsatz des ISO27001-Standards lautet:

Dieser internationale Standard kann von internen und externen Parteien dazu verwendet werden, die Fähigkeit eines Unternehmens zu bewerten, die eigenen Sicherheitsanforderungen einzuhalten.

Internationale Standards dienen als Orientierung (müssen aber nicht zwingend umgesetzt werden)

Wie bei jedem anderen Unternehmen, insbesondere bei denen, die für das Hosting und die Verarbeitung der Daten unserer Kunden zuständig sind, fragen sich unsere Kunden verständlicherweise auch bei Atlassian, ob wir als Cloud-Serviceanbieter ausreichende Maßnahmen getroffen haben, um die Sicherheit und Vertraulichkeit von Kundendaten zu gewährleisten. Jeder Kunde, der die Verwendung von Cloud-Services in Erwägung zieht, steht vor ähnlichen Entscheidungen, was das Hosting wichtiger Anwendungen oder Services betrifft.

Das Atlassian Trust Management Program bezieht die individuellen Sicherheitsbedürfnisse unserer Kunden mit ein und destilliert daraus eine Reihe von Anforderungen, die für unser Unternehmen und unsere Umgebung einzigartig sind. Der ISO27001-Ansatz bezüglich Planung, Ausführung, Leistungsbeurteilung und Verbesserung gibt uns den Rahmen vor, um die Umsetzung unseres Programms kontinuierlich zu verbessern und neue Bedrohungen und Anforderungen einzubeziehen bzw. unsere Gesamtperformance zu optimieren.

Wir schätzen die internationalen Standards als gut strukturierte Leitlinien, entscheiden aber individuell, ob eine bestimmte Kontrollmaßnahme zu unserer Umgebung passt. Eine ähnliche Vorgehensweise verfolgen wir hinsichtlich der allgemeinen Anwendbarkeit dieser internationalen Standards auf unsere Umgebung.

Richtlinienmanagementprogramm

The basis of the Trust Management System is our Policy Management Program (PMP). We have structured our policies to cover the domains included in both the ISO27001 standard as well as the Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM). We have developed a couple of foundational principles to our Policy Management Program:

  • Be posted and available - we aren't playing gotcha - we make it clear the bar our teams are expected to meet
  • Be supported by the security team to make it easy for you to comply - we are here to help our teams, help us
  • Outline our security objectives - we like to have goals and be clear about them
  • Show commitment to meet our regulatory obligations - we don't want to go to jail
  • Be focused on continual iteration and improvement - we continue to evaluate risks in our environment and in our program, and reflect those in our policies
  • Provide for an Exception Process - for when our teams absolutely, not even a chance, there is no way, can they meet the policies for a short window
  • Review annually - including updating our policies as we observe new threats and risks

Read on overview and excerpts of our Technology Policies.

Risikomanagementprogramm

Wir führen regelmäßig Risikobewertungen für unsere Umgebungen und Produkte durch. Vor allem bei unseren Produkten handelt es sich dabei meist um technische Risikobewertungen oder Code-Prüfungen. Darüber hinaus überprüfen wir auch unseren gesamten Produkt-Stack oder Teile unseres Unternehmens auf allgemeine geschäftliche Risiken. Grundsätzlich halten wir uns dabei an die Risikomanagementmethoden ISO27005 oder ISO31010 und wenden diese ausschnittsweise an. Unser Risikomanagementansatz beinhaltet:

  • Durchführung von Aktivitäten zur Risikobewertung – einschließlich Risikobewertungen, um Entscheidungen zur Risikobehandlung zu treffen. Dazu gehört die Abgrenzung eines Bereichs und der darunterfallenden Assets, die Identifizierung von Risiken, die Bewertung von Auswirkungen und Wahrscheinlichkeiten sowie die Überprüfung und Meldung von Risiken.
  • Kontrolle und Feedback bezüglich Projekten zur Bewältigung von Sicherheitsrisiken – Fortlaufende Überwachung und Rückmeldung zu Programmen oder Projekten für die Bewältigung von Sicherheitsrisiken.
  • Unterstützung des SMP – Kontinuierliche Risikoevaluierungen ermöglichen es uns, die Umgebung zu verbessern, und sorgen dafür, dass die in Gang gesetzten Sicherheitskontrollen die identifizierten Sicherheitsrisiken wirksam eindämmen.

Weitere Informationen findest du in unserem Enterprise-Risikomanagementprogramm.

Atlassian Trust Management Forum (ATMF)

Finally, we maintain a structured Trust Management Forum that includes representatives from each of the pillars of our Trust program to ensure we apply not only security controls but also reliability, privacy and compliance controls and how to manage risks across each of these pillars. We have created  separate forum meetings to ensure coverage of particular topics as well as appropriate input.

The ATMF’s purpose is to:

  • Agree on priorities and actions required to protect Atlassian and our customers from security threats
  • Champion and drive activities within each business division to address deficiencies or vulnerabilities that may allow an attack to occur
  • Provide direction and support to working groups on critical security risks and compliance programs
  • Champion a security awareness culture throughout the organisation

We maintain the following forum meetings:

  • ATMF: Management Review (Annually - in line with annual budgeting)
  • ATMF: Resource Review (Annually - in line with annual budgeting)
  • ATMF: Risk Review (Quarterly)
  • ATMF: Security Health Review (Monthly)
  • ATMF: Compliance Health Review (Monthly)
  • ATMF: Management Reviews (Weekly - each function team has a Management Review)

The structure and frequency of these meetings ensure we are continuously reviewing our threat profile, as well as our response to those threats.

There are as many different approaches to manage a security organization as there are organizations out there. We, at Atlassian, believe we have set up a program to be flexible, responsive, but also with enough structure to ensure we are evaluating and addressing new threats and risks to both us, as well as our customers.