Unser Atlassian Trust Management System (ATMS)


Unser Atlassian Trust Management System (ATMS) kurz vorgestellt

Bei Atlassian sind wir stolz auf unsere Unternehmenswerte. Wir richten unser gesamtes Handeln an diesen Werten aus. Ein Wert sticht dabei besonders heraus: Offene Unternehmenskultur – kein Bullsh**. Dieser Wert sagt genau das aus, was du auf der Seite mit der Erläuterung unserer Werte nachlesen kannst.

Außerdem verstehen wir, dass es gleichermaßen Verstand (was gesagt werden soll), Bedächtigkeit (wann es gesagt werden soll) und Einfühlungsvermögen (wie es gesagt wird) erfordert, deine Meinung zu äußern.

Unsere Kunden fragen uns immer wieder, wie wir unser Unternehmen und das operative Geschäft führen. Im Folgenden möchten wir dir etwas mehr über unser Trust Management Program erzählen, oder wie es gemäß dem Sicherheitsmanagementstandard ISO27001 heißt – das Atlassian Trust Management System (ATMS).

Wir bei Atlassian rühmen uns, ein wenig anders zu sein. Beste Beispiele dafür sind unser einzigartiges Vertriebsmodell, unsere Unternehmenswerte oder unsere Eigenverpflichtung, der Gesellschaft etwas zurückzugeben. Denselben Ansatz verfolgen wir auch bei unserem Trust Management Program.

Warum ist ein strukturiertes Managementprogramm so wichtig?

Managementsysteme sind nützlich, egal ob es sich um Qualitätsmanagementsysteme, Fehlermanagementsysteme, die Kaizen-Methode zur kontinuierlichen Verbesserung oder eine strukturierte Methodik zur Reifegradbeurteilung (Capability Maturity) handelt. Diese Managementprogramme haben sich in der Praxis bewährt, wurden veröffentlicht, Peer-Reviews unterzogen und immer weiter verfeinert. Das Atlassian Trust Management Program basiert auf ISO27001, dem internationalen Standard für Informationssicherheit. Der Grundsatz des ISO27001-Standards lautet:

Dieser internationale Standard kann von internen und externen Parteien dazu verwendet werden, die Fähigkeit eines Unternehmens zu bewerten, die eigenen Sicherheitsanforderungen einzuhalten.

Internationale Standards dienen als Orientierung (müssen aber nicht zwingend umgesetzt werden)

Wie bei jedem anderen Unternehmen, insbesondere bei denen, die für das Hosting und die Verarbeitung der Daten unserer Kunden zuständig sind, fragen sich unsere Kunden verständlicherweise auch bei Atlassian, ob wir als Cloud-Serviceanbieter ausreichende Maßnahmen getroffen haben, um die Sicherheit und Vertraulichkeit von Kundendaten zu gewährleisten. Jeder Kunde, der die Verwendung von Cloud-Services in Erwägung zieht, steht vor ähnlichen Entscheidungen, was das Hosting wichtiger Anwendungen oder Services betrifft.

Das Atlassian Trust Management Program bezieht die individuellen Sicherheitsbedürfnisse unserer Kunden mit ein und destilliert daraus eine Reihe von Anforderungen, die für unser Unternehmen und unsere Umgebung einzigartig sind. Der ISO27001-Ansatz bezüglich Planung, Ausführung, Leistungsbeurteilung und Verbesserung gibt uns den Rahmen vor, um die Umsetzung unseres Programms kontinuierlich zu verbessern und neue Bedrohungen und Anforderungen einzubeziehen bzw. unsere Gesamtperformance zu optimieren.

Wir schätzen die internationalen Standards als gut strukturierte Leitlinien, entscheiden aber individuell, ob eine bestimmte Kontrollmaßnahme zu unserer Umgebung passt. Eine ähnliche Vorgehensweise verfolgen wir hinsichtlich der allgemeinen Anwendbarkeit dieser internationalen Standards auf unsere Umgebung.

Richtlinienmanagementprogramm

Die Grundlage unseres Trust Management Systems ist unser Policy Management Program (PMP). Unsere Richtlinien decken die Anforderungen von ISO27001 und der Cloud Controls Matrix (CCM) der Cloud Security Alliance (CSA) ab. Wir haben mehrere Grundprinzipien für unser Policy Management Program formuliert:

  • Wir sind stets informiert und verfügbar – Wir überlassen nichts dem Zufall, sondern definieren für unsere Teams klare Leistungsziele.
  • Wir lassen uns durch das Sicherheitsteam unterstützen, damit wir Richtlinien leichter einhalten können – Wir helfen unseren Teams, uns zu unterstützen.
  • Wir definieren unsere Sicherheitsziele – Wir setzen uns Ziele und kommunizieren diese klar und deutlich.
  • Wir verpflichten uns zur Einhaltung gesetzlicher Vorschriften – Niemand geht gerne ins Gefängnis.
  • Wir bemühen uns um kontinuierliche Iteration und Verbesserung – Wir bewerten die Risiken in unserer Umgebung und in unserem Programm regelmäßig neu und passen unsere Richtlinien an.
  • Wir sind auf Ausnahmefälle vorbereitet – Für den Fall, dass es für unsere Teams absolut unmöglich ist, Richtlinien im vorgegebenen Zeitrahmen einzuhalten.
  • Wir führen eine jährliche Überprüfung durch – einschließlich der Aktualisierung unserer Richtlinien, wenn neue Bedrohungen oder Risiken aufkommen.

Verschaffe dir in Auszügen einen Überblick über unsere Technologierichtlinien.

Risikomanagementprogramm

Wir führen regelmäßig Risikobewertungen für unsere Umgebungen und Produkte durch. Vor allem bei unseren Produkten handelt es sich dabei meist um technische Risikobewertungen oder Code-Prüfungen. Darüber hinaus überprüfen wir auch unseren gesamten Produkt-Stack oder Teile unseres Unternehmens auf allgemeine geschäftliche Risiken. Grundsätzlich halten wir uns dabei an die Risikomanagementmethoden ISO27005 oder ISO31010 und wenden diese ausschnittsweise an. Unser Risikomanagementansatz beinhaltet:

  • Durchführung von Aktivitäten zur Risikobewertung – einschließlich Risikobewertungen, um Entscheidungen zur Risikobehandlung zu treffen. Dazu gehört die Abgrenzung eines Bereichs und der darunterfallenden Assets, die Identifizierung von Risiken, die Bewertung von Auswirkungen und Wahrscheinlichkeiten sowie die Überprüfung und Meldung von Risiken.
  • Kontrolle und Feedback bezüglich Projekten zur Bewältigung von Sicherheitsrisiken – Fortlaufende Überwachung und Rückmeldung zu Programmen oder Projekten für die Bewältigung von Sicherheitsrisiken.
  • Unterstützung des SMP – Kontinuierliche Risikoevaluierungen ermöglichen es uns, die Umgebung zu verbessern, und sorgen dafür, dass die in Gang gesetzten Sicherheitskontrollen die identifizierten Sicherheitsrisiken wirksam eindämmen.

Weitere Informationen findest du in unserem Enterprise-Risikomanagementprogramm.

Atlassian Trust Management Forum (ATMF)

Wir haben ein strukturiertes Trust Management Forum gegründet, an dem Vertreter aus allen Kernbereichen unseres Vertrauensprogramms beteiligt sind. Das Forum regelt nicht nur die Anwendung von Sicherheitskontrollen, sondern definiert ähnliche Maßnahmen rund um Zuverlässigkeit, Datenschutz und Compliance und legt fest, wie mit Risiken innerhalb der Kernbereiche umgegangen wird. Wir halten dafür eigens Meetings ab, um bestimmte Themen zu besprechen und Maßnahmen zu koordinieren.

Das ATMF hat folgende Aufgaben:

  • Vereinbarung von Prioritäten und Maßnahmen zum Schutz von Atlassian und unseren Kunden vor Sicherheitsgefahren
  • Unterstützung von Aktivitäten innerhalb der einzelnen Geschäftsbereiche bei der Ausräumung von Defiziten oder Schwachstellen, die einem Angriff Vorschub leisten könnten
  • Anleitung und Hilfestellung für Arbeitsgruppen zu kritischen Sicherheitsrisiken und wichtigen Compliance-Programmen
  • Förderung des Sicherheitsbewusstseins innerhalb des Unternehmens

Das Forum veranstaltet die folgenden Meetings:

  • ATMF: Managementbewertung (jährlich, im Rahmen der jährlichen Budgetplanung)
  • ATMF: Ressourcenbewertung (jährlich, im Rahmen der jährlichen Budgetplanung)
  • ATMF: Risikobewertung (vierteljährlich)
  • ATMF: Sicherheitscheck (monatlich)
  • ATMF: Compliance-Bewertung (monatlich)
  • ATMF: Managementbewertungen (wöchentlich, für jedes funktionale Team gibt es eine Managementbewertung)

Die Zusammensetzung und Regelmäßigkeit dieser Meetings sorgen dafür, dass unser Bedrohungsprofil sowie unsere Reaktionen auf diese Bedrohungen kontinuierlich auf dem Prüfstand stehen.

Die Ansätze an das Management einer Sicherheitsorganisation sind so vielfältig wie die Unternehmen, die sie verfolgen. Das Programm von Atlassian ist flexibel, anpassungsfähig und zugleich ausreichend strukturiert, um neue Gefahren und Risiken für uns und unsere Kunden rechtzeitig zu erkennen und anzugehen.